Upload
renzo-cordova-vasquez
View
220
Download
0
Embed Size (px)
Citation preview
7/23/2019 Equivida CIA Seguros
1/9
DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIO
PARA LA EMPRESA EQUIVIDA S.A PARA EL PERODO 2012-2015
Andrs Crdenas Pallo1,Mario Ron Egas2 ,Vctor Paliz3
1 Escuela Politcnica del Ejrcito, Ecuador, [email protected] Escuela Politcnica del Ejrcito, Ecuador, [email protected] Escuela Politcnica del Ejrcito, Ecuador, [email protected]
RESUMEN
Las empresas experimentan situaciones de emergencia, directa o indirectamente, las cuales necesitan
respuestas inmediatas. El Plan de Continuidad del Negocio (BCP) permite establecer los procedimientospara asegurar la continuidad de una empresa en caso de que esta se viera sometida a una interrupcin nodeseada de su negocio. El presente trabajo est orientado al desarrollo del Plan de Continuidad del Negocio(BCP) dentro de una empresa de servicios de Seguros de Vida por la factibilidad de conocer sus procesos ytener la apertura para este plan. El desarrollo est basado en la norma ISO 22301 Sistema de Gestin dela Continuidad del Negocio, siguiendo sus fases el trabajo incluye una breve descripcin de la empresa, seevala los posibles riesgos y amenazas a las que est expuesta, se realiza un Anlisis de Impacto delNegocio(BIA) que es el punto de partida para crear las estrategias de continuidad, se define un conjunto deequipos para el restablecimiento de operaciones y los procedimientos a utilizarse , y se definiobjetivamente los procesos crticos de la compaa que apoya a la toma de decisiones empresariales.
Palabras Clave: Plan de Continuidad del Negocio, Anlisis de Impactos del Negocio, Riesgos, Amenazas,Equipos de Crisis.
ABSTRACT
Companies have emergency situations, directly or indirectly, which need immediate answers. The BusinessContinuity Plan ( BCP ) set procedures to ensure the continuity of the process company in case this isseeing subjected to unwanted interruption. The work will develop the Business Continuity Plan ( BCP ) for aLife Insurance company because the feasibility to obtain their processes and knowledge of their business.The development is based on the ISO 22301 Management System " Business Continuity , following workstages a brief description of the company, we evaluate the potential risks and threats to which it is exposed,it takes an Analysis Business Impact Assessment (BIA) which is the starting point to create continuitystrategies, defines a set of equipment for the restoration of operations and procedures to be used, andobjectively defined critical processes of the company that supports business decisions.
KeyWords: Business Continuity Plan, Business Impact Analysis, Risk, Threats, Crisis Teams.
7/23/2019 Equivida CIA Seguros
2/9
2
I. INTRODUCCIN
EQUIVIDA COMPAA DE SEGUROS Y REASEGUROS S.A, es una empresa que se dedicaa ofrecer seguros y reaseguros para vida y riesgos personales a travs de plizas individualesy colectivas desde hace 18 aos. La empresa tiene 300 colaboradores los mismos que seencuentran en las diferentes ciudades donde opera.
La empresa EQUIVIDA S A inici un proceso de mejoramiento de sus polticas y procesos yencontr la necesidad de desarrollar un Plan de Continuidad del Negocio[1] con enfoque en losprocesos crticos de la compaa.
Los directivos tendrn a su alcance un plan estratgico de prevencin y recuperacin que lespermita tomar decisiones asertivas en momentos de crisis, tambin la empresa afirmar lasolidez de sus servicios ante cualquier desastre.
El plan contiene las polticas de Continuidad del Negocio, los procesos crticos del negocio, losresultados del anlisis de riesgos y las estrategias y procedimientos de mitigacin yrecuperacin.
II. MTODOS
METODOLOGA PARA EL PLAN DE CONTINUIDAD DEL NEGOCIO.
La metodologa aplicada se basa en la norma ISO 22301 Sistema de Gestin de Continuidaddel Negocio que inicia desde el entendimiento del negocio, la identificacin de posiblesriesgos, su impacto y valoracin, definicin de estrategias, elaboracin del plan, desarrollo deuna cultura, hasta la prueba, mantenimiento y auditora del plan[7]; Las fases planteadas en lametodologa son:
Anlisis de impacto en el negocio: Esta actividad permite que una organizacin identifiquelos procesos crticos que apoyan a sus productos y servicios claves, las interdependenciasentre procesos y recursos requeridos para operar los procesos en un nivel mnimamente
aceptable.
Evaluacin de riesgos: La meta de este requisito es establecer, implantar y mantener unproceso formal documentado de valoracin de riesgos que identifique, analice y evalesistemticamente el riesgo de incidentes que generen interrupciones en la organizacin.
Estrategia de continuidad de negocio: Las estrategias son desarrolladas para identificardisposiciones que permitan que la organizacin proteja y recupere actividades crticas, basadasen la tolerancia de riesgo organizacional y dentro de objetivos de tiempo de recuperacindefinidos.
Procedimientos de continuidad de negocio: La organizacin debe documentar losprocedimientos (incluyendo las disposiciones necesarias) para asegurar la continuidad de lasactividades, los procedimientos establecen un protocolo adecuado de comunicaciones internasy externas, son especficos y flexibles para responder a amenazas no anticipadas y acondiciones internas y externas cambiantes.
III. DESARROLLO DEL PLAN DE CONTINUIDAD DEL NEGOCIOPara el desarrollo del plan es imprescindible el conocimiento de la empresa, su estrategiaempresarial, su misin y los procesos del negocio.
Estrategia Empresarial de EquividaCrear con el cliente soluciones innovadoras que le permitan visualizar un futuro tranquilo antelos eventos trascendentales de su vida y la de su familia.
Ser una empresa slida y rentable; Crear productos y servicios innovadores y de alta calidad;Contar con personal profesional y comprometido; Mejorar continuamente los productos yservicios al cliente.
7/23/2019 Equivida CIA Seguros
3/9
3
Anlisis del Negocio y Evaluacin de RiesgosPara el anlisis del negocio los procesos de la compaa son divididos en: Procesos Primarios,
Procesos de Apoyo y Procesos de Gestincomo lo muestra la Fig.1
Fig. 1: Macroprocesos Equivida
Los procesos crticos que soportan las operaciones de la compaa son los indicados en laTabla 1, con su anlisis de impacto con enfoque al cliente y empresa.
Tabla 1: Anlisis impacto procesos
MACROPROCESOS CDIGO PROCESO IMPACTO
EN LA
EMPRESA
IMPACTO
EN EL
CLIENTE
TOTAL
Gestin Comercial PR-021 Ventas Colectivo 3 1 4
Gestin Comercial PR-022 Incremento de
negocio y fidelizacin
de los clientes
3 1 4
Gestin Comercial PR-023 Ventas Masivas 3 1 4Gestin Comercial PR-025 Gestin Posventa
Individual
Mantenimiento
3 2 5
Gestin de
Contratos
PR-031 Administracin de
operaciones
contractualescolectivo
3 3 6
Gestin de
Contratos
PR-032 Movimientos y
facturacin colectivo
3 3 6
Gestin de
contratos
PR-033 Recaudos 3 3 6
Gestin de
Contratos
PR-034 Beneficios y
prestaciones al cliente
siniestros
3 3 6
Gestin de
Contratos
PR-035 Administracin de
contratos individuales
3 3 6
Servicio al cliente y
canales
PR-041 Atencin al cliente ycanales vida individual
3 3 6
Gestin Contable -Financiera
PR-123 Pagos 3 3 6
7/23/2019 Equivida CIA Seguros
4/9
4
A continuacin se realiza el anlisis de riesgo y se determina su probabilidad e impacto. Latabla 2 permite determinar los riesgos propensos de la compaa [4][5].
Tabla 2: Anlisis de ri esgos propensos
DESCRIPCIN PROBABILIDAD IMPACTO RIESGO
Incendio Media Alto ALTO
Robo de equipos Alta Media ALTO
Robo de datos / documentos Alta Media ALTO
Virus Media Media MEDIO
Accesos no autorizados Media Media MEDIO
Falla en los servicios de comunicacin Alta Media ALTO
Prdida de confidencialidad Media Media MEDIO
Fallo de suministro elctrico Alta Media ALTO
Errores en los sistemas firewall Media Media MEDIO
En funcin de los riesgos que se marco como posibles, se establece los escenarios en que unaamenaza puede convertirse en un incidente de seguridad. La tabla 3 determina los escenariosy vulnerabilidades expuestas.
Tabla 3: Anlisi s de vulnerabilidades
ESCENARIOS VULNERABILIDAD
Fuego inesperado por cortocircuito de cablesencima del cielo raso
Material inflamable en todas las reas dela compaa
Ingreso de personas extraas al edificio yrobo de equipos
No se cuenta con controles de acceso aledificio
Extraccin de informacin confidencial atravs de disposit ivos portables
No existe polticas de desactivacin de lospuertos de los dispositivos
Cdigo mal intencionado instalado en losexploradores Web para robo de credenciales
Ausencia de procedimientos paradeteccin de programas espas.
Accesos a sistemas de informacin declientes por personas inescrupulosas
Informacin de clientes en bases de datosno ofuscada
Indisponibilidad del internet por un fallo delproveedor.
No se cuenta con un proveedor secundariode internet
Informe de Roles de pagos en carpetascompartidas para toda la empresa
Carpetas compartidas a nivel de toda laempresa sin controles de autentificacin
Interrupcin de la energa elctrica por ms de5 horas
No se cuenta con una planta elctrica dealta capacidad
Mala configuracin de los firewalls expuestosa internet.
Falta de expertos en seguridades dedispositivos fsicos
Para gestionar los riesgos y mitigarlos en lo posible, se propone las siguientes contramedidasdescritas en la Tabla 4:
7/23/2019 Equivida CIA Seguros
5/9
5
Tabla 4: Contramedidas de amenazas
DESCRIPCIN CONTRAMEDIDAS
IncendioContar con un sistema de deteccin de humo.Informar a cada rea de los extintores ms cercanos.Mantener los materiales inflamables bajo supervisin.
Robo de equipos
Controlar los accesos de personas ajenas a la compaa a lasoficinas internas.Instalar cmaras de vigilancia.Habilitar bloqueos y borrado de informacin remotaContratar una pliza de seguros contra robos de componentestecnolgicos.
Robo de datos /documentos
Generar encriptacin y ofuscacin de la informacin sensible de losrepositoriosCrear polticas de acceso y extraccin de informacin pordispositivos digitalesCrear polticas de respaldo para la informacin ms crtica para lacompaa.Contratar una empresa especializada en la administracin y custodia
de documentos fsicos (ej. plizas)Virus
Gestionar los logs que arroja el antivirus.Quitar permisos de administradores en las pcsMonitorear los sistemas que no pertenecen a la compaa
Accesos noautorizados
Establecer un control de acceso fsico al lugar donde se encuentranlos equipos con informacin clave para la compaa.
Falla en los serviciosde comunicacin
Contar con un proveedor alterno en casos de emergencia.Definir SLAs ajustados a la realidad del negocio
Prdida deconfidencialidad
Establecer polticas y niveles de confidencialidad de los documentos.
Fallo de suminis troelctrico
Adquirir un sistema de energa ininterrumpida UPS ms robusto.Contar con un sistema de proteccin de variacin de voltaje (picos ycadas de tensin)
Errores en lossistemas firewall
Definir polticas de seguridad correspondientes a cada redContar con diseo para la configuracin de cada firewallCapacitar al personal tcnico con las marcas especficas con las quese cuenta en la empresa.
IV. PROCEDIMIENTOS DE RECUPERACIN Y CONTINUIDAD
En esta fase se define los procedimientos[3], polticas y equipos para el restablecimiento delnegocio.
a. PROCEDIMIENTOS PARA LA CONTINUIDAD
PROCEDIMIENTO DE NOTIFICACIN DEL DESASTRE: Cualquier empleado de Equivida quesea consciente de un incidente grave que puede afectar a la empresa, debe comunicar a sujefe inmediato y este a su vez al comit de crisis para su respectiva evaluacin.
PROCEDIMIENTO DE EJECUCIN DEL PLAN: Una vez notificado del incidente el Comit decrisis se reunir en el punto de encuentro definido, se evaluar el grado del incidente y decidirsi el Plan de Continuidad del Negocio es puesto en marcha.
PROCEDIMIENTO DE NOTIFICACIN DE EJECUCIN DEL PLAN: El rbol de notificacin yllamadas para avisar a los diferentes equipos se detalla en la Fig. 2
7/23/2019 Equivida CIA Seguros
6/9
6
Fig. 2: Procedimiento de ejecucin del plan
PROCEDIMIENTOS PARA INCIDENTES DISRUPTIVOS: Los incidentes relacionados contecnologa de la informacin y de la comunicacin son informados telefnicamente a laJefatura de Sistemas, los dems incidentes son informados telefnicamente a la Jefatura deadministracin.
GESTIN DE INCIDENTES DISRUPTIVOS: Para la gestin se informa a todas las personasresponsables sobre la ocurrencia del incidente dentro de su rea de responsabilidad y senotifica al comit de crisis, que debe evaluar si es necesario alertar a alguna de las partesinteresadas, la persona responsable de erradicar el incidente debe registrar en el Registro deincidentes todas las acciones tomadas.
EQUIPO DE RECUPERACIN: El equipo de recuperacin [2] es el encargado de poner en marchatodo el proceso de recuperacin para restaurar los servicios en las Oficinas de la Sucursal
Viscaya, siguiendo los procedimientos de traslado, recuperacin de sistemas ycomunicaciones.Los equipos de recuperacin se dividen en:
EQUIPO DE COORDINACIN LOGSTICA: Es responsable de todo lo relacionado con lasnecesidades logsticas en funcin del tipo de incidente.
.EQUIPO DE RELACIONES PBLICAS: Es responsable de la comunicacin externa e interna.Segn el incidente ser el responsable de comunicar a clientes y proveedores el tiempo en elque los servicios sern restablecidos.
EQUIPO DE UNIDADES DEL NEGOCIO: Formado por las personas que trabajan con las
aplicaciones crticas, y sern los encargados de gestionar a sus supervisados para realizar laspruebas de funcionamiento para verificar la operatividad de los sistemas.
b. FASE DE TRANSICIN
PROCEDIMIENTO DE CONCENTRACIN Y TRASLADO DE MATERIAL Y PERSONAS:Notificados todos los equipos involucrados y activado el Plan, debern acudir al centro dereunin indicado, adems del traslado del personal al centro de recuperacin hay quetrasladar todo el material necesario para poner en marcha las actividades.
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIN: Una vezque el equipo de recuperacin llegue al Centro de recuperacin y que los materiales empiecen
a llegar, pueden comenzar a instalar las aplicaciones en los equipos que se encuentran en estaoficina.
7/23/2019 Equivida CIA Seguros
7/9
7
c. FASE DE RECUPERACIN
PROCEDIMIENTO DE RESTAURACIN
El orden de recuperacin de las funciones se realizar segn la criticidad los sistemas definidosen la Tabla 4.
Tabla 4: Contramedidas de amenazas
Sistema Descripcin Criticidad
VECTOR Sistema de modelamiento, control y seguimiento de procesos. 1
ADAM Sistema que administra la nmina de la compaa. 1
RISK CONTROL
SERVICE
Herramienta de control que tiene como objetivo minimizar el riesgo deestablecer vnculos con posibles involucrados o sealados enactividades ilcitas como lavado de activos, narcotrfico o terrorismo,
2
SISE
Sistema Integrado de Seguros. Este sistema soporta el core del negocio
y la parte administrativa financiera, tiene mdulos de:Emisin/Facturacin Individual y Colectivo, Reaseguros, Siniestros,Generacin Intereses, Retiros y Prstamos, Caja Ingresos, Caja Egresos,Contabilidad, Cierres Mensuales, Consultas, Informtica.
1
CRM Sistema automatizado para el control de la fuerza de ventas individual 2
PORTAL WEB Portal diseado para la prestacin de servicios online 2
PROCEDIMIENTOS PARA LA RECUPERACIN DE INFORMACIN DESDE LOS BACKUP.:Dentro de las operaciones diarias en la realizacin de respaldos el departamento de sistemas
genera los respaldos mediante los procesos batch los cuales se encargan de crear los archivosde backup, copiarlos a dispositivos de almacenamiento externos los cuales son: servidoresalternos dentro de la misma infraestructura, discos duros en estado compartido y cintasmagnticas.
PROCEDIMIENTO DE DOCUMENTACIN Y REGISTRO DE CONFIGURACIONES PARARECUPERACIN: SOFTWARE Y HARDWARE: El departamento de sistemas es el encargadode coordinar la distribucin e instalacin de los sistemas en los equipos entregadosprovisionalmente para reanudar las actividades.
PROCEDIMIENTO DE SOPORTE Y GESTIN: Una vez recuperados los sistemas, se avisara los equipos de los departamentos que gestionan los sistemas, fig.3 (listado del equipo deUnidades de Negocio) para que realicen las comprobaciones necesarias que certifiquen quefuncionen de manera correcta.
7/23/2019 Equivida CIA Seguros
8/9
8
Fig. 3: Procedimiento de soporte y gestin
d. FASE DE VUELTA A LA NORMALIDADUna vez restablecido los procesos crticos y solventados la contingencia, hay que definir lasdiferentes estrategias y acciones para recuperar la normalidad de todos los servicios de lacompaa, se realiza una valoracin detallada de los equipos e instalaciones daada. Para ello,el equipo de recuperacin junto con el equipo de seguridad, realizarn un listado de loselementos que han sido daados gravemente y son irrecuperables, as como de todo elmaterial que se puede volver a utilizar. Esta evaluacin deber ser comunicada lo antes posibleal equipo director para que determinen las acciones necesarias que lleven a la operacinhabitual lo antes posible.
ADQUISICIN DE NUEVO MATERIAL: Realizada la evaluacin del impacto, se determinar lanecesidad de nuevo material. El Comit de Crisis contactar con el seguro de la compaa para
conocer qu parte cubre el seguro y qu inversin tendr que hacer la compaa en el materialque no se pueda recuperar.
e. FIN DE LA CONTINGENCIADependiendo de la gravedad del incidente, la vuelta a la normalidad de operacin puede variarentre unos das (si no hay elementos clave afectados) e incluso meses (si hay elementos claveafectados). Lo importante es que durante el transcurso de este tiempo de vuelta a lanormalidad, se siga dando servicio a los clientes y trabajadores por parte de la compaa y quela incidencia afecte lo menos posible al negocio.
V. CONCLUSIONES, RECOMENDACIONES Y TRABAJO FUTURO.
El desarrollo del Plan define objetivamente los procesos crticos de la compaa y permite unaconsolidacin de intereses entre la Alta Direccin y las diferentes Unidades organizativas alconstatar que diferentes reas apoyan a procesos idnticos y generar estrategias efectivaspara los incidentes no previstos.
Como trabajo futuro se recomienda:
Dar continuidad al plan con revisiones de los procesos, personas y componentes involucradosa travs de talleres al menos una vez al ao para generar conciencia de la utilidad del Plan ydifundir a los nuevos colaboradores que ingresan a la compaa, para hacerles participe delmismo y fortalecer los Equipos que componen el plan.
7/23/2019 Equivida CIA Seguros
9/9
9
VI. REFERENCIAS BIBLIOGRFICAS
[1] Borrmart S.ALa necesidad de implantacin de un Plan de Continuidad del Negocio. [2] Dejan Kosutic (2012) Equipo del Plan de Continuidad Business
ImpactAssessmentTool.
[3] Juan Gaspar Martnez El Plan de Continuidad del Negocio. 1996. McGraw-HillInteramericana, 2da Edicin.[4] Martin Carrion, Gua Prctica para el Desarrollo de Planes de Contingencia de
Sistemas de Informacin Instituto Nacional de Estadstica e Informtica. Lima,Febrero 2001
[5] Cristina Gallardo Piedra. Anlisis de Riesgos Informticos y elaboracin de un Plan deContingencia TI, Quito Febrero 2011
[6] Marcelo Moran A., Tesis: Elaboracin del Plan de Continuidad del Negocio para laEmpresa Compteco compra por telfono consorcio comercial S.A, Escuela Politcnicadel Ejercito, Sangolqu Ecuador 2011
[7] Gallardo Mara, Pal Jcome, Tesis: Anlisis de riesgos informticos y elaboracin deun plan de contingencia T.I. para la empresa elctrica Quito S.A, Escuela PolitcnicaNacional, Quito Ecuador 2011
[8] Laura del Pino J, Tesis: Gua de Desarrollo de un Plan de Continuidad del Negocio,Universidad Politcnica de Madrid, Espaa Madrid 2009