Jorge Armando Ramos

Warner Javier Oldenburg

José Manuel Castellanos
Grupo 10

PLAN DE CONTINUIDAD DE NEGOCIO (ESPSAP)

Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10

1. OBJETIVO

Proporcionar procedimiento a ejecutar ante un evento de contingencia que afecte el

servicio que la ESPAP les provee a sus clientes y proveedores en caso de terremotos,
inundación y huelga laboral.

2. ALCANCE

Se limita a los servicios informáticos prestados, base de datos y autorización de servicios, se

realizaron pruebas funcionales, de rendimiento, de disponibilidad de datos, de seguridad,
y de interfaz de usuario.

3. GENERALIDADES

En la actualidad los cambios tecnológicos adquieren cada vez mayor importancia al

interior de las organizaciones, por lo cual se hace necesario e indispensable contar con
un plan de continuidad, que garantice el restablecimiento del correcto
funcionamiento de los servicios en el menor tiempo posible, ante cualquier
eventualidad.

Ante tal situación, se considera que los activos de la empresa representan el elemento
primordial para la prestación de los servicios. Esto conlleva a incrementar su
efectividad, a mejorar la productividad, eficiencia del personal y a proveer un servicio
continuo y eficaz.

El Plan de continuidad implica un análisis de los posibles riesgos a los cuales pueden
estar expuestos los equipos de cómputo y la información contenida en los diversos
medios de almacenamiento; de igual forma se debe definir un plan de recuperación
de desastres el cual tendrá como objetivo restaurar el sistema de información en forma
rápida, suficiente y con el menor costo y pérdidas posibles.

4. Propósito del Plan de Continuidad de Negocio

Este mecanismo permitirá recuperar y dar continuidad a las funciones criticas de la

empresa ESPAP frente a las amenazas de terremotos, inundación y huelga laboral con el
fin de obtener los requerimientos mínimos para mitigar la probabilidad de indisponibilidad
de la empresa y el impacto a sus clientes, empleados y directivas.

Para definir las estrategias de continuidades posibles o viables, de manera efectiva y

eficiente, se debe contar con un entendimiento sobre los siguientes aspectos:

4.1 Productos o servicios clave

Información que se maneja: Datos de los afiliados a la EAPB

Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Servicios prestados: Autorizaciones de servicios de salud.

4.2 Categorización de Activos

Entidad EAPB

Referencia Activos

[SC] Servicios Comunicaciones

[SC_TEL_EAPB] Red telefónica
[SC_INT_EAPB] Internet
[SC_WIFI_EAPB] Red inalámbrica
[SC_LAN_EAPB] Red Local

[SW] Aplicaciones
[SW_OFF_EAPB] Afomaticas
[SW_SIS_EAPB] Aplicativos Propios
[SW_AGN_EAPB] Agenda Electrónica
[SW_WEB_EAPB] Página WEB

[SW_OS_EAPB] Sistemas Operativos

[SW_CTRA_EAPB] Control de Acceso
[SW_AV_EAPB] Antivirus
[SW_SERVER_EAPB] SO Servidores

[EIHW] Equipos Informáticos

[EIHW_PC_EAPB] Equipos Escritorio
[EIHW_SDB_EAPB] Servidores
[EIHW_PCP_EAPB] Equipos Portátiles
[EIHW_RO_EAPB] Router
[EIHW_SW_EAPB] Switchs

[HW] Hardware
[HW_PRINT_EAPB] Impresoras
[HW_TEL_EAPB] Teléfonos
[HW_PLTEL_EAPB] Planta Telefónica
[HW_ANT_EAPB] Antena
[HW_CITO_EAPB] Citófono
[HW_RAD_EAPB] Radios
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10

[SOI] Soporte Informativo

[SOI_CD_EAPB] Medios Magnéticos CD/DVD
[SOI_USB_EAPB] Memoria USB
[SOI_DISK_EAPB] Discos Duros Externos

[AUX] Equipos Auxiliares

[AUX_GEN_EAPB] Generador Eléctrico
[AUX_MOB_EAPB] Mobiliario
[AUX_SVIG_EAPB] Sistema Vigilancia

[P] Personal
[P_GER_EAPB] Gerente Regional
[P_DIRS_EAPB] Director de Sistemas
[P_DIRPS_EAPB] Director de prestación de servicios
[P_JA_EAPB] JEFE DE AUTORIZACIONES
[P_TS_EAPB] TECNICO EN SISTEMAS
[P_DIRC_EAPB] DIRECTOR DE CONTABILIDAD
[P_TES_EAPB] TESORERO
[P_JTH_EAPB] JEFE DE TALENTO HUMANO
[P_JOJ_EAPB] JEFE DE OFICINA JURIDICA
[P_PESP_EAPB] PROFESIONAL ESPECIALIZADO
[P_AUXC_EAPB] AUXILIAR DE CONTABILIDAD
[P_SEC_EAPB] SECRETARIA GERENCIA
[P_REC_EAPB] RECEPCIONISTA
[P_CON_EAPB] CONDUCTOR
[P_SERG_EAPB] SERVICIOS GENERALES
[P_SVIG_EAPB] Servicio de Vigilancia

4.3 Actividades, Equipos y personal Criticas y Esenciales a proteger en el PCN

Este proceso nos permite enfocar el PCN con el fin determinar todos los departamentos,
personal y actividades que son consideradas críticas para la empresa que deben son
categorizadas despendiendo el valor para el funcionamiento de la operación y la
actividad del negocio, dando una prioridad de recuperación que nos ayude a proteger a
la empresa y su operación.

Prioridad Activos Para Proteger Características

Personal, Servidores, Base de Datos, Activos Esenciales para el
Alta Documentación funcionamiento de la Empresa
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Activos Básicos Operación Interna de
Equipos Informáticos, Impresoras, la Empresa para operación del
Media Medios Magnéticos negocio
Servicios de Comunicación, Activos que no afectan la operación
Baja aplicaciones, Equipos Auxiliares del negocio

Partiendo de la tabla anterior se puede clasificar los activos que deben ser recuperados
en momento de amenazas con el fin de garantizar el PCN y la operación de la empresa

4.4 Líder y Equipo

Cuando ocurra una interrupción de cualquiera de los servicios prestados por la ESPAP las
siguientes personas realizan la valoración previa de la afectación o amenaza, analizan la
posible causa, el tiempo aproximado de solución y notifican a los responsables de la
Gerencia y convocar el Comité de Riesgos.

No Responsable

1. Gerente General

2. Jefes de Áreas

3. Directores

5. Amenazas

Liste las posibles amenazas que pudieran surgir en el escenario planteado. Las amenazas
deben estar relacionadas o derivadas de la ocurrencia de cada incidente.

5.1 Terremoto

Daño en instalaciones e instrumentos, ruptura, caída, daño interno de:

* Servidor de base de datos

* Medios de impresión

* PC de escritorio

* PC portátil

* Cinta magnética

* DVD

* Generador eléctrico

* Cableado
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
* Mobiliario

* Radios

* Equipos auxiliares

5.2 Inundación

* Corto en el cableado

* Corto en los equipos informáticos.

5.3 Huelga Laboral

Suspensión de los servicios de información que se maneja de los datos de los afiliados y las
autorizaciones de servicios de salud.

5.3.1 Componentes críticos

Se requiere el manejo de la información que está es importante para la atención de los

afiliados sin la base de datos no se podría abrir el historial y verificar su estado en la base
de datos.

Se requiere el manejo del sistema para poder autorizar los servicios de salud que se van a
prestar a los usuarios sin estas autorizaciones no se podría prestar ningún servicio.

 Copia de seguridad de datos importantes

 Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no
se pierda más que los datos de una semana.
 Incluir el software, así como toda la información de datos, para facilitar la
recuperación.
 Si es posible, usar una instalación remota de reserva para reducir al mínimo la
pérdida de datos.
 Redes de Área de Almacenamiento (SANs) en múltiples sitios son un reciente
desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente
sin la necesidad de recuperarlos o sincronizarlos.
 Protectores de línea para reducir al mínimo el efecto de oleadas sobre un
delicado equipo electrónico.
 El suministro de energía ininterrumpido (SAI).
 La prevención de incendios - más alarmas, extintores accesibles.
 El software del antivirus.
 El seguro en el hardware.

La siguiente tabla muestra las amenazas que podrían impactar la continuidad,

componentes de Sistemas y su administración, con base en la probabilidad de ocurrencia

PROBABILIDAD DE AMENAZAS
Probabilidad de Ocurrencia ALTA MEDIA BAJA
Terremotos X - -
Falla del aire acondicionado - X -
Accidente aéreo - - X
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Amenazas de bomba X - -
Pérdida de comunicación - X -
Destrucción de información X - -
Fuego - X -
Inundación / Daño por agua - X -
Corte eléctrico / Interrupción - X -
Tormenta Eléctrica - X -
Huelga laboral - X -
Chantaje - X -
Sabotaje / Terrorismo - X -
Vandalismo - X -

6. Plan de Continuidad de Negocio

La empresa ESPAP hace todo lo posible para que en un tiempo óptimo, ante las
amenazas propuestas que afecten la operaciones, los clientes y partes interesadas
continúen recibiendo los servicios que la ESPAP determina como servicios críticos ante un
incidente o catástrofe la preservación de la vida e integridad de sus funcionarios,
contratistas y demás partes interesadas; y el restablecimiento de los servicios prestados en
una manera priorizada de acuerdo a la necesidad del negocio y los ANS (niveles de
servicio) pactados con los clientes tanto internos como externos.

6.1 Lineamientos Generales

a. Principalmente está orientado en la protección general de las personas

que laboran en la compañía y restablecimiento de los servicios, procesos
críticos con su respectiva infraestructura frente a las amenazas que tiene
como objetivo evaluar este PBM

b. Todo el personal de la Entidad debe estar totalmente entrenado y

capacitado con los procedimientos adecuados y definidos por la empresa
en procesos de evacuaciones, movimientos y traslados de dispositivos
críticos de los activos esenciales para el proceso

c. Definir claramente los roles y responsabilidades que le competen en el

marco de la continuidad del negocio al personal, esto realizándolo
periódicas mediante los esquemas de formación, divulgación y prueba de
los Planes de Continuidad del Negocio trimestrales.
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
d. Utilizar los mecanismos adecuados de comunicación predefinidos en los
procesos que permitan determinar al personal interno y externo que se
esta en estado de PCN.

e. El PCN debe ser adecuado en cada una de las áreas por los jefes
inmediatos con la guía y coordinación de la oficina de TI

f. Los jefes de áreas deben asignar un líder de PCN que permitirá apoyar las
actividades relacionadas, dependiendo de la criticidad de los activos a
recuperar por área en proceso de hallazgo de una de las amenazas ya
analizadas.

g. Se debe realizar como minio dos pruebas de PCN que permita afinar las
estrategias de contingencia y recordación de los procesos.

h. Los planes PCN se deben tener actualizados que permita desarrollar,

probar y de ser necesario una mejora de los procesos de forma periódica o
ante cambios significativos en personal, proceso internos o externos,
tecnología que modifiquen la prioridad de los activos.

7. Plan de Activación de la contingencia

7.1 Criterios Para Activar el Plan

El Plan de recuperación de (PCN) debe ser activado cuando se presente alguna de las
amenazas analizadas en este documento y que genera un riesgo al activo con mayor
valor de la empresa con un Máximo tiempo de Interrupción (MTP) de 2 Horas hábiles o por
un escenario descrito en el presente documento y el tiempo de resolución sobrepase las 4
Horas desde el momento que se originó la falla con la autorización de la Gerencia de la
empresa.

7.2 Identificación, Evaluación y Declaración de la Contingencia

Cuando ocurra una interrupción de cualquiera de los servicios prestados por las amenazas
la empresa ESPAP tendrá el siguiente comité de personas realizan la valoración previa de
la afectación del servicio, analizan la posible causa de falla, el tiempo aproximado de
solución y notifican a los responsables de la Gerencia, para reportar al usuario final y de
ser necesario convocar el Comité de Riesgos.

No Responsable

1. Gerente General

2. Jefes de Áreas
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
3. Directores

7.3 Esquema de Notificación Interno Thomas MTI

Si la contingencia se declara desde ESPAP se debe notificar al siguiente a los jefes de

áreas y los líderes de PCN mediante el esquema de comunicación seleccionado: Si el
evento es mayor, este equipo también debe informar inmediatamente al área de
continuidad y tecnología.

7.4 Respuesta ante la Contingencia por amenaza

RTO
No Amenazas Responsables Descripción
(Tiempo de Recuperación
Objetivo)

a. Terremotos 1.Identificar la falla y realizar un

diagnóstico interno
b. Inundación 2.De acuerdo al diagnóstico se
Gerente General decide activar el centro de
2 horas hábiles
PCN.
Jefes de Área
Huelga 3.Los líderes y directores se
c. comunican telefónicamente
Laboral
con las dependencias para
iniciar el proceso de PCN.

7.5 Operación en Contingencia – Monitoreo

Durante la Operación en contingencia y de acuerdo con el escenario de activación de

la contingencia, los responsables deben estar en monitoreo continuo del servicio y
realizando las labores pertinentes para el restablecimiento del servicio productivo.

8. Comunicación

Tiene como función servir de apoyo a los jefes de área y la gerencia general para que, en
caso de una amenaza, se puede proceder de manera efectiva y eficiente que permita
contactar a los lideres de las diferentes áreas que permita conformar el comité de crisis.

En la ESPAP, las comunicaciones en momento de contingencia o PCN operan de la

siguiente manera:

 Comunicaciones con las Jedes de Área:

Área de comunicaciones Los elementos utilizados por estos funcionarios para

comunicarse con los líderes y jefes de dependencia son:

- Activación de Sistemas de Alarmas difundidas por sonidos distintos para las amenazas
de terremoto e inundación
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
- Teléfono celular corporativo en caso de Huelga

9. Plan de recuperación

El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas
enfocadas hacia el plan de recuperación.

Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario
grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la
posición remota de reserva (o Internet).

Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico.

Instalaciones: Instalaciones de recuperación móviles están también disponibles en muchos

proveedores.

Trabajadores con conocimiento: Durante desastre a los empleados se les requiere trabajar
horas más largas y agotadoras. Debe haber un sistema de apoyo para aliviar un poco de
tensión.

La información de negocio: Las reservas deben estar almacenadas completamente

separadas de la eps.

10. Plan de pruebas

IDENTIFICACIÓN DEL DOCUMENTO

SISTEMA DE
Plan de continuidad
INFORMACIÓN
FECHA VERSIÓN RESPONSABLES DESCRIPCIÓN
Se pone a prueba el
plan de continuidad
06/04/2019 1 Ingenieros informáticos ante un incidente,
huelga laboral,
terremoto, inundación.

ALCANCE: Se limita a los servicios informáticos prestados, base de datos y autorización de

servicios, se realizaron pruebas funcionales, de rendimiento, de disponibilidad de datos, de
seguridad, y de interfaz de usuario.

DEFINICIONES Y SIGLAS: <En la tabla relacione las palabras y siglas que se emplean dentro
del documento y su respectiva definición>

AMBIENTE DE PRUEBAS

Requerimientos Hardware: Sistema operativo, memoria, servidor de aplicaciones, y

de red para la ejecución del plan de pruebas
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Requerimientos Software: IDE de base de datos, permisos especiales, para la
ejecución del plan de pruebas

PLAN DE PRUEBAS

Tipos De Prueba: Requerimientos Hardware

Tipo de prueba: Funcionales, de rendimiento, de disponibilidad de datos.

Verificar la funcionalidad y el rendimiento de datos, y la disponibilidad

Objetivo: de datos del sistema operativo, de la memoria, del servidor de
aplicaciones, y de red.

Técnica: Recopilación de datos

Precondiciones: Incidente de terremoto o inundación en las instalaciones

Con un buen anejo de la base de datos recopilando la información

Criterios de éxito:
adecuada se podrá tener éxito

Tipos De Prueba: Requerimientos Software

Tipo de prueba: Funcionales, de rendimiento, de disponibilidad de datos.

Verificar la funcionalidad y el rendimiento de datos, y la disponibilidad

Objetivo:
de datos del IDE de base de datos, permisos especiales.

Técnica: Recopilación de datos

Precondiciones: Incidente de terremoto o inundación en las instalaciones

Con un buen anejo de la base de datos recopilando la información

Criterios de éxito:
adecuada se podrá tener éxito