Jorge Armando Ramos

Warner Javier Oldenburg

José Manuel Castellanos
Grupo 10

PLAN DE CONTINUIDAD DE NEGOCIO (ESPSAP)

Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10

1. OBJETIVO

Proporcionar procedimiento a ejecutar ante un evento de contingencia que afecte el

servicio que la ESPAP les provee a sus clientes y proveedores en caso de terremotos,
inundación y huelga laboral.
2. ALCANCE

Se limita a los servicios informáticos prestados, base de datos y autorización de

servicios, se realizaron pruebas funcionales, de rendimiento, de disponibilidad de
datos, de seguridad, y de interfaz de usuario.
3. GENERALIDADES

En la actualidad los cambios tecnológicos adquieren cada vez mayor importancia al

interior de las organizaciones, por lo cual se hace necesario e indispensable contar
con un plan de continuidad, que garantice el restablecimiento del correcto
funcionamiento de los servicios en el menor tiempo posible, ante cualquier
eventualidad.

Ante tal situación, se considera que los activos de la empresa representan el

elemento primordial para la prestación de los servicios. Esto conlleva a incrementar
su efectividad, a mejorar la productividad, eficiencia del personal y a proveer un
servicio continuo y eficaz.

El Plan de continuidad implica un análisis de los posibles riesgos a los cuales pueden
estar expuestos los equipos de cómputo y la información contenida en los diversos
medios de almacenamiento; de igual forma se debe definir un plan de recuperación
de desastres el cual tendrá como objetivo restaurar el sistema de información en
forma rápida, suficiente y con el menor costo y pérdidas posibles.

4. Propósito del Plan de Continuidad de Negocio

Este mecanismo permitirá recuperar y dar continuidad a las funciones criticas de la

empresa ESPAP frente a las amenazas de terremotos, inundación y huelga laboral con
el fin de obtener los requerimientos mínimos para mitigar la probabilidad de
indisponibilidad de la empresa y el impacto a sus clientes, empleados y directivas.
Para definir las estrategias de continuidades posibles o viables, de manera efectiva y
eficiente, se debe contar con un entendimiento sobre los siguientes aspectos:

4.1Productos o servicios clave

Información que se maneja: Datos de los afiliados a la EAPB

Servicios prestados: Autorizaciones de servicios de salud.

Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
4.2 Categorización de Activos

Entidad EAPB

Referencia Activos
 
[SC] Servicios Comunicaciones
[SC_TEL_EAPB] Red telefónica
[SC_INT_EAPB] Internet
[SC_WIFI_EAPB] Red inalámbrica
[SC_LAN_EAPB] Red Local
 
[SW] Aplicaciones
[SW_OFF_EAPB] Afomaticas
[SW_SIS_EAPB] Aplicativos Propios
[SW_AGN_EAPB] Agenda Electrónica
[SW_WEB_EAPB] Página WEB

[SW_OS_EAPB] Sistemas Operativos

[SW_CTRA_EAPB] Control de Acceso
[SW_AV_EAPB] Antivirus
[SW_SERVER_EAPB] SO Servidores
 
[EIHW] Equipos Informáticos
[EIHW_PC_EAPB] Equipos Escritorio
[EIHW_SDB_EAPB] Servidores
[EIHW_PCP_EAPB] Equipos Portátiles
[EIHW_RO_EAPB] Router
[EIHW_SW_EAPB] Switchs
 
[HW] Hardware
[HW_PRINT_EAPB] Impresoras
[HW_TEL_EAPB] Teléfonos
[HW_PLTEL_EAPB] Planta Telefónica
[HW_ANT_EAPB] Antena
[HW_CITO_EAPB] Citófono
[HW_RAD_EAPB] Radios
 
[SOI] Soporte Informativo
[SOI_CD_EAPB] Medios Magnéticos CD/DVD
[SOI_USB_EAPB] Memoria USB
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
[SOI_DISK_EAPB] Discos Duros Externos
 
[AUX] Equipos Auxiliares
[AUX_GEN_EAPB] Generador Eléctrico
[AUX_MOB_EAPB] Mobiliario
[AUX_SVIG_EAPB] Sistema Vigilancia
 
[P] Personal
[P_GER_EAPB] Gerente Regional
[P_DIRS_EAPB] Director de Sistemas
[P_DIRPS_EAPB] Director de prestación de servicios
[P_JA_EAPB] JEFE DE AUTORIZACIONES
[P_TS_EAPB] TECNICO EN SISTEMAS
[P_DIRC_EAPB] DIRECTOR DE CONTABILIDAD
[P_TES_EAPB] TESORERO
[P_JTH_EAPB] JEFE DE TALENTO HUMANO
[P_JOJ_EAPB] JEFE DE OFICINA JURIDICA
[P_PESP_EAPB] PROFESIONAL ESPECIALIZADO
[P_AUXC_EAPB] AUXILIAR DE CONTABILIDAD
[P_SEC_EAPB] SECRETARIA GERENCIA
[P_REC_EAPB] RECEPCIONISTA
[P_CON_EAPB] CONDUCTOR
[P_SERG_EAPB] SERVICIOS GENERALES
[P_SVIG_EAPB] Servicio de Vigilancia

4.3 Actividades, Equipos y personal Criticas y Esenciales a proteger en el PCN

Este proceso nos permite enfocar el PCN con el fin determinar todos los
departamentos, personal y actividades que son consideradas críticas para la empresa
que deben son categorizadas despendiendo el valor para el funcionamiento de la
operación y la actividad del negocio, dando una prioridad de recuperación que nos
ayude a proteger a la empresa y su operación.

Prioridad Activos Para Proteger Características

Personal, Servidores, Basede Activos Esenciales para el
Alta Datos, Documentación funcionamiento de la Empresa
Activos Básicos Operación Interna de
Equipos Informáticos, Impresoras, la Empresa para operación del
Media Medios Magnéticos negocio
Servicios de Comunicación, Activos que no afectan la operación
Baja aplicaciones, Equipos Auxiliares del negocio
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Partiendo de la tabla anterior se puede clasificar los activos que deben ser recuperados
en momento de amenazas con el fin de garantizar el PCN y la operación de la empresa

4.4Líder y Equipo

Cuando ocurra una interrupción de cualquiera de los servicios prestados por la ESPAP
las siguientes personas realizan la valoración previa de la afectación o amenaza,
analizan la posible causa, el tiempo aproximado de solución y notifican a los
responsables de la Gerencia y convocar el Comité de Riesgos.

No Responsable

1. Gerente General

2. Jefes de Áreas

3. Directores

5. Amenazas

Liste las posibles amenazas que pudieran surgir en el escenario planteado. Las
amenazas deben estar relacionadas o derivadas de la ocurrencia de cada incidente.

5.1 Terremoto

Daño en instalaciones e instrumentos, ruptura, caída, daño interno de:

* Servidor de base de datos

* Medios de impresión

* PC de escritorio

* PC portátil

* Cinta magnética

* DVD

* Generador eléctrico

* Cableado

* Mobiliario

* Radios

* Equipos auxiliares

5.2 Inundación

* Corto en el cableado
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
* Corto en los equipos informáticos.

5.3 Huelga Laboral

Suspensión de los servicios de información que se maneja de los datos de los afiliados
y las autorizaciones de servicios de salud.

5.3.1 Componentes críticos

Se requiere el manejo de la información que está es importante para la atención de los

afiliados sin la base de datos no se podría abrir el historial y verificar su estado en la
base de datos.

Se requiere el manejo del sistema para poder autorizar los servicios de salud que se
van a prestar a los usuarios sin estas autorizaciones no se podría prestar ningún
servicio.

 Copia de seguridad de datos importantes

 Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos
no se pierda más que los datos de una semana.
 Incluir el software, así como toda la información de datos, para facilitar la
recuperación.
 Si es posible, usar una instalación remota de reserva para reducir al mínimo la
pérdida de datos.
 Redes de Área de Almacenamiento (SANs) en múltiples sitios son un reciente
desarrollo (desde 2003) que hace que los datos estén disponibles
inmediatamente sin la necesidad de recuperarlos o sincronizarlos.
 Protectores de línea para reducir al mínimo el efecto de oleadas sobre un
delicado equipo electrónico.
 El suministro de energía ininterrumpido (SAI).
 La prevención de incendios - más alarmas, extintores accesibles.
 El software del antivirus.
 El seguro en el hardware.

La siguiente tabla muestra las amenazas que podrían impactar la continuidad,

componentes de Sistemas y su administración, con base en la probabilidad de
ocurrencia

PROBABILIDAD DE AMENAZAS
Probabilidad de Ocurrencia ALTA MEDIA BAJA
Terremotos X - -
Falla del aire acondicionado - X -
Accidente aéreo - - X
Amenazas de bomba X - -
Pérdida de comunicación - X -
Destrucción de información X - -
Fuego - X -
Inundación / Daño por agua - X -
Corte eléctrico / Interrupción - X -
Tormenta Eléctrica - X -
Huelga laboral - X -
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Chantaje - X -
Sabotaje / Terrorismo - X -
Vandalismo - X -

6. Plan de Continuidad de Negocio

La empresa ESPAP hace todo lo posible para que en un tiempo óptimo, ante las
amenazas propuestas que afecten la operaciones, los clientes y partes interesadas
continúen recibiendo los servicios que la ESPAP determina como servicios críticos ante
un incidente o catástrofe la preservación de la vida e integridad de sus funcionarios,
contratistas y demás partes interesadas; y el restablecimiento de los servicios
prestados en una manera priorizada de acuerdo a la necesidad del negocio y los ANS
(niveles de servicio) pactados con los clientes tanto internos como externos.

6.1Lineamientos Generales

a. Principalmente está orientado en la protección general de las personas

que laboran en la compañía y restablecimiento de los servicios, procesos
críticos con su respectiva infraestructura frente a las amenazas que tiene
como objetivo evaluar este PBM

b. Todo el personal de la Entidad debe estar totalmente entrenado y

capacitado con los procedimientos adecuados y definidos por la empresa
en procesos de evacuaciones, movimientos y traslados de dispositivos
críticos de los activos esenciales para el proceso

c. Definir claramente los roles y responsabilidades que le competen en el

marco de la continuidad del negocio al personal, esto realizándolo
periódicas mediante los esquemas de formación, divulgación y prueba
de los Planes de Continuidad del Negocio trimestrales.

d. Utilizar los mecanismos adecuados de comunicación predefinidos en los

procesos que permitan determinar al personal interno y externo que se
esta en estado de PCN.

e. El PCN debe ser adecuado en cada una de las áreas por los jefes
inmediatos con la guía y coordinación de la oficina de TI

f. Los jefes de áreas deben asignar un líder de PCN que permitirá apoyar
las actividades relacionadas, dependiendo de la criticidad de los activos
a recuperar por área en proceso de hallazgo de una de las amenazas ya
analizadas.
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
g. Se debe realizar como minio dos pruebas de PCN que permita afinar las
estrategias de contingencia y recordación de los procesos.

h. Los planes PCN se deben tener actualizados que permita desarrollar,

probar y de ser necesario una mejora de los procesos de forma periódica
o ante cambios significativos en personal, proceso internos o externos,
tecnología que modifiquen la prioridad de los activos.

7. Plan de Activación de la contingencia

7.1 Criterios Para Activar el Plan

El Plan de recuperación de (PCN) debe ser activado cuando se presente alguna de las
amenazas analizadas en este documento y que genera un riesgo al activo con mayor
valor de la empresa con un Máximo tiempo de Interrupción (MTP) de 2 Horas hábiles o
por un escenario descrito en el presente documento y el tiempo de resolución
sobrepase las 4 Horas desde el momento que se originó la falla con la autorización de
la Gerencia de la empresa.

7.2 Identificación, Evaluación y Declaración de la Contingencia

Cuando ocurra una interrupción de cualquiera de los servicios prestados por las
amenazas la empresa ESPAP tendrá el siguiente comité de personas realizan la
valoración previa de la afectación del servicio, analizan la posible causa de falla, el
tiempo aproximado de solución y notifican a los responsables de la Gerencia, para
reportar al usuario final y de ser necesario convocar el Comité de Riesgos.

No Responsable

1. Gerente General

2. Jefes de Áreas

3. Directores

7.3 Esquema de Notificación Interno Thomas MTI

Si la contingencia se declara desde ESPAP se debe notificar al siguiente a los jefes de

áreas y los líderes de PCN mediante el esquema de comunicación seleccionado: Si el
evento es mayor, este equipo también debe informar inmediatamente al área de
continuidad y tecnología.

7.4Respuesta ante la Contingencia por amenaza

N Amenazas Responsables Descripción RTO

o
(Tiempo de
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Recuperación
Objetivo)

a. Terremotos 1.Identificar la falla y realizar

un diagnóstico interno
b. Inundación 2.De acuerdo al diagnóstico se
Gerente General decide  activar el centro de
2 horas hábiles
PCN.
Jefes de Área
Huelga 3.Los líderes y directores se
c. comunican telefónicamente
Laboral
con las dependencias para
iniciar el proceso de PCN.

7.5Operación en Contingencia – Monitoreo

Durante la Operación en contingencia y de acuerdo con el escenario de activación de la

contingencia, los responsables deben estar en monitoreo continuo del servicio y
realizando las labores pertinentes para el restablecimiento del servicio productivo.

8. Comunicación

Tiene como función servir de apoyo a los jefes de área y la gerencia general para que,
en caso de una amenaza, se puede proceder de manera efectiva y eficiente que
permita contactar a los lideres de las diferentes áreas que permita conformar el comité
de crisis.

En la ESPAP, las comunicaciones en momento de contingencia o PCN operan de la

siguiente manera:

 Comunicaciones con las Jedes de Área:

Área de comunicaciones Los elementos utilizados por estos funcionarios para

comunicarse con los líderes y jefes de dependencia son:

- Activación de Sistemas de Alarmas difundidas por sonidos distintos para las

amenazas de terremoto e inundación

- Teléfono celular corporativo en caso de Huelga

9. Plan de recuperación

El árbol telefónico: para notificar todo el personal clave del problema y asignarles
tareas enfocadas hacia el plan de recuperación.

Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario

grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a
la posición remota de reserva (o Internet).

Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico.

Instalaciones: Instalaciones de recuperación móviles están también disponibles en

muchos proveedores.
Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
Trabajadores con conocimiento: Durante desastre a los empleados se les requiere
trabajar horas más largas y agotadoras. Debe haber un sistema de apoyo para aliviar
un poco de tensión.

La información de negocio: Las reservas deben estar almacenadas completamente

separadas de la eps.

10. Plan de pruebas

IDENTIFICACIÓN DEL DOCUMENTO

SISTEMA DE
Plan de continuidad
INFORMACIÓN
FECHA VERSIÓN RESPONSABLES DESCRIPCIÓN
Se pone a prueba el
plan de continuidad
06/04/2019 1 Ingenieros informáticos ante un incidente,
huelga laboral,
terremoto, inundación.

ALCANCE: Se limita a los servicios informáticos prestados, base de datos y autorización

de servicios, se realizaron pruebas funcionales, de rendimiento, de disponibilidad de
datos, de seguridad, y de interfaz de usuario.

DEFINICIONES Y SIGLAS: <En la tabla relacione las palabras y siglas que se emplean
dentro del documento y su respectiva definición>

AMBIENTE DE PRUEBAS

Requerimientos Hardware: Sistema operativo, memoria, servidor de

aplicaciones, y de red para la ejecución del plan de pruebas

Requerimientos Software: IDE de base de datos, permisos especiales, para la

ejecución del plan de pruebas

PLAN DE PRUEBAS

Tipos De Prueba: Requerimientos Hardware

Tipo de prueba: Funcionales, de rendimiento, de disponibilidad de datos.

Verificar la funcionalidad y el rendimiento de datos, y la

Objetivo: disponibilidad de datos del sistema operativo, de la memoria, del
servidor de aplicaciones, y de red.

Técnica: Recopilación de datos

Precondiciones: Incidente de terremoto o inundación en las instalaciones

Criterios de éxito: Con un buen anejo de la base de datos recopilando la información

Jorge Armando Ramos
Warner Javier Oldenburg
José Manuel Castellanos
Grupo 10
adecuada se podrá tener éxito

Tipos De Prueba: Requerimientos Software

Tipo de prueba: Funcionales, de rendimiento, de disponibilidad de datos.

Verificar la funcionalidad y el rendimiento de datos, y la

Objetivo: disponibilidad de datos del IDE de base de datos, permisos
especiales.

Técnica: Recopilación de datos

Precondiciones: Incidente de terremoto o inundación en las instalaciones

Con un buen anejo de la base de datos recopilando la información

Criterios de éxito:
adecuada se podrá tener éxito