ILLIMANI S.R.

L PLAN DE CONTINUIDAD DEL NEGOCIO Página 1 de 23

FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

CONTROL DE REVISIÓN

REVISIÓN OBSERVACIONES
1. Gerente Documento original
General

COMITÉ / UNIDAD RESPONSABLE

Responsable: Revisado y Aprobado:

Jefe de Desarrollo Gerencia de Sistemas
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 2 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

GESTIÓN DE CONTINUIDAD DEL NEGOCIO

EMPRESA DE SEGURIDAD BASADA EN DRONES

I. INICIACIÓN Y GESTIÓN DEL PROYECTO

1.1. MISIÓN INSTITUCIONAL

Iniciamos nuestro trayecto con una misión clara: poner al alcance de nuestros
clientes medios aéreos (RPAS) fiables y precisos para ayudarles y optimizar la
seguridad perimetral con tecnología de punta.

1.2. VISIÓN INSTITUCIONAL

Queremos ser un referente en el campo de los RPAS, dando a nuestros

clientes soluciones de gran valor añadido. La alta dependencia tecnológica y
los continuos cambios que se producen en nuestro sector, nos obligan a tener
flexibilidad y capacidad de adaptación. Integridad y profesionalidad son los dos
pilares que harán de nuestra organización el referente esperado.

1.3. ORGANIGRAMA

GERENTE GENERAL
Boris Gómez Orellana

LOGISTICA Y TECNOLOGIA Y
PERSONAL COMERCIAL OPERACIONES
MANTENIMIENTO SISTEMAS
Rene Sosa Enrique Moor Ebert Villarroel
Huber Machicado Gerardo Luna

ADMINISTRACION MARKETING ADMINISTRACION MONITOREO Y INFRAESTRUCTURA

Personal: 5 Personal: 2 DE DRONES CONTROL Personal: 3
Personal: 4 Personal: 4

LEGAL VENTAS DESARROLLO

Personal: 2 Personal: 3 PLANTA Personal: 3
EXTERNA
Personal: 5
FINANZAS COBRANZA SOPORTE
Personal: 3 Personal: 3 Personal: 3

1.4. GERENCIA DE TECNOLOGÍA Y SISTEMAS

Para el presente trabajo de Plan de Continuidad de Negocio se tomó como centro de

gestión de procesos críticos a la Gerencia Desarrollo Tecnológico e Información, que
es la encargada del monitoreo, administración del CPD, adquisición de software,
hardware, desarrollo e implementación, implantación y capacitación de todos los
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 3 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

sistemas que se maneja para los procesos internos y para los procesos que apoyan al
core del negocio.

El Plan de Continuidad del Negocio (PCN) es una herramienta que mitiga el riesgo de
no disponibilidad de recursos necesarios para el normal desarrollo de las operaciones,
formando parte del sistema de gestión de riesgo operacional. Ofrece como elementos
de control la prevención y atención a emergencias, gestión de crisis, planes de
contingencia y capacidad de retomar operaciones.

El PCN es el documento que permite que la Empresa “Illimani” asegure que los
objetivos de la continuidad del negocio se cumplan, sean medibles y consistentes con
las políticas, de igual forma como con las normativas regulatorias y legales que le sean
aplicables. En este documento se definen y determinan las responsabilidades, los
responsables, planes de acción, recursos para su adecuada gestión, control,
supervisión y mejoramiento.

II. ESTRATEGIA PARA LA GESTIÓN DE LA CONTINUIDAD DEL

NEGOCIO
La implementación de un sistema de gestión de continuidad del negocio basado en el
PCN considera los siguientes aspectos estratégicos de la continuidad del negocio:

a) Respaldo de información: Se establece el esquema de respaldos de la

información vital requerida para llevar a cabo cada proceso crítico de negocio.

b) Seguridad física: Se establecen procedimientos y medidas de seguridad

destinados a salvaguardar los centros de datos, terminales, la estructura física
y la información contra eventos naturales o humanos que, de forma intencional
o por accidente, puedan afectarlos.

c) Mantenimiento del plan: Se establecen mecanismos de mantenimiento y

actualización del PCN, con el fin de garantizar que se podrá utilizar
efectivamente ante la materialización de un escenario de crisis, velando porque
su información se encuentre actualizada, completa y precisa.

d) Ejercicios del plan: El PCN y Plan de Gestión de Crisis son probados

periódicamente, a través de ejercicios realizados por la Empresa “Illimani”, a
través de los cuales se evalúa su viabilidad y garantiza que sus empleados
estén familiarizados con los planes y procedimientos.

2.1. ALCANCE
El presente documento constituye el PCN desarrollado por la Empresa “Illimani”, que
comprende un conjunto estructurado y detallado de procedimientos documentados,
factores o recursos y sistemas que dirigen las actividades de nuestra empresa y
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 4 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

permiten identificar, responder, recuperar y restablecer las operaciones en caso de

interrupción.

2.2. BASE NORMATIVA Y ESTÁNDARES

- ISO 22301
- Normativa aplicada de algunos países.
- Normativa legal nacional vigente.

2.3. POLÍTICAS DE CONTINUIDAD DEL NEGOCIO DE LA EMPRESA

“ILLIMANI” DRONES
a) Definir los lineamientos a seguir, antes, durante y después de una
interrupción en las operaciones principales, que respondan asertiva y
oportunamente ante eventos que afecten los servicios de la Empresa,
así como gestionar la continuidad y restauración de sus procesos,
buscando el mínimo impacto en las operaciones

b) La Empresa ILLIMANI se compromete a garantizar que todos los

procesos críticos del negocio operen adecuadamente, bajo los
principios de universalidad, continuidad, oportunidad, calidad y
confiabilidad, para asegurar el abastecimiento nacional de
combustibles, mediante la implementación de un plan de continuidad de
negocio.

c) Para la aplicación del Plan de Continuidad de Negocio se establecen

como elementos primordiales los siguientes: la salvaguarda de la vida
humana, la protección del ambiente, la protección de los activos de la
Empresa, y la continuidad de las operaciones.

d) Se crea el Comité de Continuidad de Negocio como ente rector en la

materia, bajo la coordinación del Director de Tecnología Informática.

e) Se considera prioritaria la asignación de recursos humanos, financieros

y materiales para asegurar el cumplimiento de la presente política, y la
ejecución del plan de continuidad de negocio.
f) Se asignará y capacitará a personal clave para la gestión de la
continuidad de negocio, con la firme convicción y compromiso de
cumplir con la normativa vigente, así como con los requerimientos de
nuestros clientes y su papel en la sociedad costarricense.

g) Para los efectos del desarrollo del Plan de Continuidad de Negocio se

tomará como referencia la norma ISO 22301, con el fin de asegurar la
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 5 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

mejora continua y contar con un marco normativo que permita acceder

a las mejores prácticas ya definidas en dicha norma, utilizadas a nivel
mundial.

2.4. OBJETIVOS DEL PLAN DE CONTINUIDAD DEL NEGOCIO

El Objetivo Principal del presente PCN es:

 Fortalecer la capacidad de respuesta de Empresa ILLIMANI ante situaciones

de desastres, mediante la creación y mejora continua del plan de continuidad
de negocio, con lo cual reestablecerá la operación de los servicios críticos de la
empresa.

Los Objetivos Secundarios de la administración de la continuidad de los servicios han

sido establecidos de la siguiente manera:

 Asegurar la pronta recuperación de los servicios críticos de TI después de

cualquier desastre.
 Establecer políticas, tomar medidas y desarrollar procedimientos para evitar,
dentro de lo posible, las consecuencias de cualquier desastre natural, evento
accidental o actos de terrorismo.
 Posibiliten una respuesta adecuada y oportuna ante la materialización de un
riesgo de seguridad o medio ambiente de características catastróficas, que
provoquen un escenario de falta de disponibilidad de alguno de los
componentes básicos de la actividad de la Empresa: personas, edificios y
oficinas, tecnología, información y proveedores.
 Aminoren la repercusión de las posibles catástrofes sobre las actividades de
negocio, garantizando que se preservan los datos y funciones esenciales o, de
no ser posible, que tales datos o funciones se recuperen, oportuna y
progresivamente, hasta la vuelta a la normalidad.

2.5. DEFINICIONES
 RPA: Remotely Piloted Aircraft

 Administración del PCN: Es un sistema administrativo integrado transversal a

toda la Empresa “Illimani”, que permite mantener alineados y vigentes todas las
iniciativas, estrategias, planes de respuesta y demás componentes y actores
de la continuidad del negocio.

 Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la

urgencia de recuperación de cada área, determinando el impacto en caso de
interrupción.

 Amenaza: Persona, situación o evento natural del entorno (externo o interno)

que es visto como una fuente de peligro, catástrofe o interrupción.
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 6 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

 Control: Es el proceso, política, dispositivo, práctica u otra acción existente

que actúa para minimizar el riesgo o potenciar oportunidades positivas.

 Disponibilidad: La información debe estar en el momento y en el formato que

se requiera ahora y en el futuro, igual que los recursos necesarios para su uso.

 Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo

determinado. Los factores a tener en cuenta para su estimación son la fuente
de la amenaza y su capacidad y la naturaleza de la vulnerabilidad.

 Gestión del Plan de Continuidad de Negocios: Es un sistema administrativo

integrado, transversal a toda la Empresa “Illimani”, que permite mantener
alineados y vigentes todas las iniciativas, estrategias, planes de respuesta y
demás componentes y actores de la continuidad del negocio. Busca mantener
la viabilidad antes, durante y después de una interrupción de cualquier tipo.
Abarca las personas, procesos de negocios, tecnología e infraestructura física.

 Incidente de Trabajo: Es un evento que no es parte de la operación estándar

de un servicio y el cual puede causar interrupción o reducción en la calidad del
servicio y en la productividad.

 Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La

implicación del riesgo se mide en aspectos económicos, reputación,
disminución de capacidad de respuesta y competitividad, interrupción de las
operaciones, consecuencias legales y afectación física a personas. Mide el
nivel de degradación de uno de los siguientes elementos de continuidad:
confiabilidad, disponibilidad y recuperabilidad.

 Objetivo de Punto de Recuperación RPO (Recovery Point Objective): Es el

intervalo máximo tolerable en el que pueden perderse datos de un servicio de
TI, tras ocurrir un desastre. En otras palabras, es el momento en el que los
datos se restauran y se obtiene una perspectiva de los datos que se perderán
durante el proceso de recuperación. Suele coincidir con el tiempo transcurrido
desde el último backup o desde la última replicación, si ésta no es continua.

 Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que

describen los procedimientos, los sistemas y recursos necesarios para retornar
y continuar la operación, en caso de interrupción.

 Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue

para restablecer los servicios de tecnología (red, servidores, hardware y
software) después de haber sufrido una afectación por un incidente de
cualquier tipo, el cual afecta la continuidad del negocio.
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 7 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

 Problema de Continuidad de Negocio: Es un evento interno o externo que

interrumpe uno o más de los procesos de negocio. El tiempo de la interrupción
determina que una situación sea un incidente o un desastre.

 Planes de Contingencia: Conjunto de acciones y recursos para responder a

las fallas e interrupciones específicas de un sistema o proceso.

 Riesgo: Es la probabilidad de materialización de una amenaza por la

existencia de una o varias vulnerabilidades con impactos adversos resultantes
para la Empresa “Illimani”.

 Riesgo Inherente: Es el cálculo del daño probable a un activo de encontrarse

desprotegido, sin controles.

 Riesgo Residual: Riesgo remanente tras la aplicación de controles

 Tiempo Objetivo de Recuperación (RTO): Es el tiempo máximo asumible que

un equipo, sistema, red o aplicación puede estar no disponible después de
producirse un fallo o desastre.

 Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente

y puede ser causada por la falta de controles, llegando a permitir que la
amenaza ocurra y afecte los intereses de la Empresa “Illimani”.

III. EVALUACIÓN DE INCIDENTES O ESCENARIOS (CAUSAS DE LA

INTERRUPCIÓN DEL PROCESO CRÍTICO)
Los planes de contingencia se han definido de acuerdo con las causas de las posibles
interrupciones y a partir de ellas se referencian las acciones a seguir en caso que las
mismas se presenten. Estas se pueden unificar en los siguientes escenarios:

 Ausencia o pérdida de personal: Se presenta cuando el funcionario que

ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades
propias de su cargo.

 No acceso al sitio normal de trabajo: Se presenta cuando por algún evento

como desastre natural, enfermedad contagiosa, actividad terrorista, problemas
de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de
trabajo para desarrollar las actividades propias de su cargo. En este caso y con
el ánimo de no interrumpir la operación del proceso crítico se debe contar con
un sitio alterno de trabajo, el cual puede ser suministrado por la Empresa
“Illimani” (otra sede) o suministrado por un proveedor o aliado estratégico.

 Interrupción de los procesos críticos de la Empresa “Illimani”: Se presenta

cuando la capacidad de la Empresa “Illimani” para continuar con sus
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 8 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

operaciones y procesos críticos se ve afectada por la disponibilidad de

tecnologías de información, infraestructuras, recursos humanos, entre otros.

 Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o

software presenta falla(s) o cuando haya interrupción prolongada de las
comunicaciones, ocasionados por: datos corruptos, fallos de componentes,
falla de aplicaciones y/o error humano.

 Deficiencias en servicios proporcionados por proveedores externos: Se

presenta cuando una o varias actividades del proceso crítico son realizadas por
el proveedor y cualquier falla de éste, generaría la no realización efectiva del
proceso. En este caso se debe garantizar que en el contrato con el proveedor
se especifique la existencia de un Plan de Continuidad del Negocio
documentado, adicional, sea probado en conjunto con los colaboradores de la
Empresa “Illimani” y aprobado por el Directorio.

3.1. CONDICIONES Y DESARROLLO E IMPLEMENTACIÓN DEL PCN

El Plan de Continuidad de Negocio de la Empresa Illimani se activará solo en aquellos
casos que el incidente ha sobrepasado las previsiones y la capacidad de respuesta
institucional y será convocado por el Comité de Continuidad de Negocio.

Los otros tipos de incidentes que no superan la capacidad de respuesta de la

organización, son controlados a nivel focal por las áreas organizacionales de la oficina
mediante la implementación de los planes y procedimientos respectivos.

Ante un evento que no puede ser controlado por las áreas organizacionales
involucradas que supera la capacidad de respuesta de la oficina o representa un
riesgo ante la interrupción de un servicio crítico por un tiempo mayor al MTD, el
coordinador del Comité de Continuidad de Negocio emergencia comunicará de ello al
Gerente General.

IV. METODOLOGÍA IMPLEMENTADA PARA LA GESTIÓN DE

CONTINUIDAD DEL NEGOCIO
La metodología para la gestión de continuidad del negocio considera las siguientes
etapas: a. Identificación de Procesos, productos o Servicios, Proveedores y Grupo de
Interés

 Análisis de impacto en el negocio (BIA)

 Evaluación o análisis de riesgo.
 Estrategia de continuidad del negocio y plan de contingencia.
 Ejecución y desarrollo del plan de continuidad.
 Plan de evaluación y mantenimiento.
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 9 de 23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

A continuación, detallamos el contenido de cada una de las etapas que conforman la

metodología aprobada por el Directorio de accionistas de la empresa.

ETAPA 1 – Análisis y Selección de las Operaciones Críticas.

Dentro de las Operaciones Criticas del CPD de la Empresa Illimani, se tienen las
siguientes categorías:

- Datos
- Aplicaciones
- Tecnología Hardware y Software,
- Instalaciones
- Personal.
- Equipos de Monitoreo

ETAPA 2 - Identificación de Procesos en Cada Operación.

Teniendo en cuenta los elementos operacionales de la organización, se requiere

valuar el nivel de impacto de una interrupción dentro de la Entidad. El impacto
operacional permite evaluar el nivel negativo de una interrupción en varios aspectos de
las operaciones del negocio; el impacto se puede medir utilizando un esquema de
valoración, con los siguientes niveles: A, B o C.

 Nivel A: La operación es crítica para el negocio. Una operación es crítica

cuando al no contar con ésta, la función del negocio no puede realizarse.
 Nivel B: La operación es una parte integral del negocio, sin ésta el negocio no
podría operar normalmente, pero la función no es crítica.
 Nivel C: La operación no es una parte integral del negocio.

CATEGORIA
TOLERANCIA
(Basadas en ACTIVIDADES CRITICAS NIVEL A FALLAS DESCRIPCION
función del (HORAS)
Negocio)

Contenedor de los servicios de

Portal Empresarial C 2:00
la Empresa

Contenedor del software de

Sistema Web de monitoreo A 00:30 monitoreo
WEB
Aulas Virtuales (Capacitaciones Capacitaciones ONLINE para
Externas) B 5:00 los clientes

Extranet empresa C 1:00 Ingreso a servicios externos

ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 10 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Servicio de envío y recepción de

Servicio de Correo Electrónico. B 00:30 correo con los clientes.

Servicio de envió de información

Servicio de Nube Institucional.
APLICACIONES
Sistema de Gestión de
Correspondencia
que no puede ser administrada
por el Servicio de Correo
B 1:00 Electrónico
Manejo documental de la
correspondencia de la empresa
C 1:00 con los clientes.

Contenedor de los sistemas de

propósito general, RRHH,
Sistema Estratégico de Gestión C 1:00 Viáticos, Activos Fijos,

Software especializado para el

manejo de las maquinas
Virtualización de Servidores A 3:00 virtualizadas de la Empresa

Motor de Base de datos para la

información del Sistema de
Base de datos Oracle A 3:00 Monitoreo

Motor de Base de datos para las

Base de Datos Postgres / aplicaciones de propósito
MySql B 1:00 general, transaccional

Para el uso de algunas

aplicaciones como ser el
Biométrico control de personal
TECNOLOGIA Base de Datos SQL Server C 1:00 de la Empresa.
HARDWARE /
Storage Oficial A 2:00 Contenedor de l
SOFTWARE
De propósito interno para
recolección de la información
generada por los funcionarios
Servidor de Backup B 2:00 de la Empresa

Repositorio del software

adquirido especializado o de
Servidor de Instaladores C 2:00 propósito general.

Software para los equipos de

Antivirus Institucional C 1:00 los funcionarios de la Empresa

Hardware especializado para la

administración de las
Firewall Interno B 2:00 comunicaciones

Niveles de Seguridad de
INSTALACIONES
Acceso al CPD B 1:00 acceso al CPD
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 11 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Controles y monitoreo de la
infraestructura del CPD,
temperatura, energía eléctrica,
Condiciones Ambientales A 1:00 etc

Testeo continuo del servicio de

internet para publicar sus
Servicio de Internet - Entel B 0:10 aplicaciones.

Canal de comunicación con los

Servicio de Telefonía - Entel C 0:10 clientes / reclamos.

Eléctrico A 1:00

Red interna de comunicación

LAN B 1:00 del funcionario.

Personal Clave de Operaciones A 1:00

Personal Clave de
Mantenimiento / Instalaciones B 1:00

PERSONAL Personal Seguridad Fisica B 1:00

Personal con los accesos al

CPD A 1:00

Una vez identificados los procesos críticos del negocio, se deben establecer los
tiempos de recuperación que son una serie de componentes correspondientes al
tiempo disponible para recuperarse de una alteración o falla de los servicios; el
entendimiento de estos componentes es fundamental para comprender el BIA. Los
tiempos de recuperación de describen a continuación:

Tiempo de Recuperación Descripción

RPO Magnitud de la pérdida de datos medida en términos de
un periodo de tiempo que puede tolerar un proceso de
negocio.
RTO Tiempo Disponible para Recuperar Sistemas y/o
recursos que han sufrido una alteración.
WRT Tiempo Disponible para Recuperar Datos Perdidos una
vez que los sistemas están reparados. Tiempo de
Recuperación de Trabajo
MTD Periodo Máximo Tiempo de Inactividad que puede
tolerar la Entidad sin entrar en colapso.
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 12 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Las actividades críticas y sus respectivos tiempos de recuperación según la siguiente

matriz:

TOLERANCIA
CATEGORIA
A FALLAS
PROCESOS /
ACTIVIDADES
NIVEL DESCRIPCION COMPONENTES RPO RTO MTD
(Basadas en CRITICAS
TI
función del (HORAS)
Negocio)

Contenedor de
Portal
C los servicios de
Empresarial
la Empresa

Contenedor del
Sistema Web de
A software de
monitoreo
monitoreo
WEB
Aulas Virtuales Capacitaciones
(Capacitaciones B ONLINE para
Externas) los clientes

Ingreso a
Extranet
C servicios
empresa
externos

Servicio de
Servicio de envío y
Correo B recepción de
Electrónico. correo con los
clientes.

Servicio de
envió de
información que
Servicio de Nube no puede ser
B
Institucional. administrada
por el Servicio
de Correo
APLICACIONES
Electrónico

Manejo
documental de
Sistema de
la
Gestión de C
correspondencia
Correspondencia
de la empresa
con los clientes.

Contenedor de
Sistema los sistemas de
Estratégico de C propósito
Gestión general, RRHH,
Viáticos, Activos
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 13 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Fijos,

Software
especializado
Virtualización de para el manejo
A
Servidores de las maquinas
virtualizadas de
la Empresa

Motor de Base
de datos para la
Base de datos
A información del
Oracle
Sistema de
Monitoreo

Motor de Base
de datos para
Base de Datos las aplicaciones
B
Postgres / MySql de propósito
general,
transaccional

Para el uso de
algunas
aplicaciones
Base de Datos como ser el
C
TECNOLOGIA SQL Server Biométrico
HARDWARE / control de
SOFTWARE personal de la
Empresa.

Storage Oficial A Contenedor de l

De propósito
interno para
recolección de
Servidor de
B la información
Backup
generada por
los funcionarios
de la Empresa

Repositorio del
software
Servidor de adquirido
C
Instaladores especializado o
de propósito
general.

Software para
Antivirus los equipos de
C
Institucional los funcionarios
de la Empresa
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 14 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Hardware
especializado
para la
Firewall Interno B
administración
de las
comunicaciones

Niveles de
Acceso al CPD B Seguridad de
acceso al CPD

Controles y
monitoreo de la
infraestructura
Condiciones
A del CPD,
Ambientales
temperatura,
energía
eléctrica, etc

Testeo continuo
INSTALACIONES Servicio de del servicio de
B internet para
Internet - Entel
publicar sus
aplicaciones.

Canal de
Servicio de comunicación
C
Telefonía - Entel con los clientes /
reclamos.

Eléctrico A

Red interna de
LAN B comunicación
del funcionario.

Personal Clave
A
de Operaciones

Personal Clave
de
B
Mantenimiento /
Instalaciones
PERSONAL
Personal
B
Seguridad Fisica

Personal con los

A
accesos al CPD
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 15 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

V. ORGANIZACIÓN DE EQUIPOS DE EMERGENCIA Y

RECUPERACIÓN
Para la respuesta ante incidentes se ha decidio establecer las siguientes instancias:

5.1. Comité Directivo

El Comité Directivo debe incluir representantes de áreas clave de la organización:

 Gerente General
 Jefe de Sistemas de información
 Jefe de Soporte tecnológico
 Jefe Operaciones
 Jefe Personal

5.2. Equipo de continuidad de proyecto

 Gerente de proyecto
 Jefe de tecnologías y sistema
 Jefe de logística y mantenimiento

5.3. Equipo de soporte tecnológico

 Comunicaciones de red
 Gestión de las instalaciones
 Desarrollo y soporte de redes
 Administración de base de datos
 Seguridad de los sistemas de información
 Operaciones
 Soporte de red
 Implementación de la red
Estructura Roles
organizacional
Directorio Aprueba las políticas y el PCN
Comité Directivo Revisa anualmente la política de gestión de continuidad de negocios y
sus actualizaciones.
Apoya la gestión de continuidad de negocios mediante la designación de
los recursos necesarios para el desarrollo del programa.
Valida los servicios críticos para la organización al menos una vez cada
dos años.

Líder del equipo de a) Como líder del equipo de continuidad es el encargado de dirigir y
continuidad del negocio liderar todas las actividades del plan de continuidad del negocio. Es
responsable de declarar la contingencia ante el escenario de interrupción
de lugar de trabajo o en situaciones donde amerite realizar su activación
inmediata.
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 16 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Responsabilidades como líder de continuidad:

- Informar anualmente al Directorio sobre el desenvolvimiento del
PCN
- Actualizar, mantener y probar el plan de continuidad.
- Evaluar y aprobar los recursos requeridos para establecer y
mantener la estrategia de recuperación y contingencia. Advertir
sobre nuevos riesgos que afectan la continuidad de la operación
normal de la entidad y que ponen al descubierto debilidades del
plan de continuidad.
- Monitorear los reportes sobre el estado de recuperación o
evaluación durante una contingencia.
- Velar por la seguridad del personal que actúa en el área del
evento.
- Establecer los objetivos de recuperación y activar el plan de
continuidad ante el escenario de interrupción de lugar teniendo
en cuenta el resultado de la evaluación
- Velar por la ejecución del debido análisis causa – raíz del
evento que ocasionó la contingencia.
- Proponer y llevar a cabo actividades de concientización y
entrenamiento de continuidad del negocio al menos una vez al
año.
- Evaluar los incidentes de continuidad de forma continua y
recomendar acciones a seguir.
- Desarrollar planes de comunicación para determinar
responsabilidades en toma de decisiones.
b) Como líder administrativo ayuda a coordinar los aspectos logísticos
internos cuando la Entidad se encuentre operando bajo contingencia. Es
quien ayuda a gestionar en cada una de las instalaciones el suministro
de elementos esenciales para asegurar el desarrollo de la operación.
Responsabilidades como líder administrativo:
- Coordinar el suministro de elementos esenciales como
transporte, recursos de infraestructura y papelería.
- Gestionar la consecución y adecuación de los centros alternos
de operaciones según el plan de operaciones en contingencia.
- Mantener informado al Directorio sobre incidentes por falta de
suministros.
c) Como líder de recuperación tecnológica es el encargado de liderar la
recuperación tecnológica, basados en las estrategias de continuidad
implementadas con el apoyo del asesor tecnológico. Responsabilidades
del líder de recuperación tecnológica:
- Liderar la recuperación tecnológica, basados en las estrategias de
continuidad implementadas.
- Identificar los posibles riesgos de aspectos tecnológicos que afectan la
continuidad de la operación normal de la Empresa “Illimani” y que ponen
al descubierto debilidades del plan de continuidad.
- Mantener comunicación constante entre Coordinadores de
Recuperación del Negocio durante el estado de contingencia.
- Colaborar en la comunicación a los proveedores de los temas o
servicios de su competencia, sobre el estado de contingencia en que se
encuentra la Empresa “Illimani”.
- Entregar los reportes correspondientes al Directorio sobre el estado de
la recuperación.
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 17 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

- Velar por la actualización de la estrategia tecnológica en los casos que

se presenten situaciones como: cambios en los aplicativos, cambio en la
infraestructura, roles y responsabilidades, disponibilidad de los recursos,
entre otros.
- Velar por la realización de las pruebas del plan de continuidad y revisar
los resultados obtenidos en las mismas.
- Verificar que las actividades de ajuste sobre el plan, resultado de las
pruebas, hayan sido ejecutadas e implementadas.
Funcionario de Control Tareas de apoyo, control y cumplimiento:
Interno - Realizar actividades que sean asignadas durante la declaración
de contingencia.
- Advertir sobre riesgos que puedan afectar la continuidad en la
prestación del servicio o la funcionalidad del plan.
Equipo de soporte Tareas de desarrollo de metodología, procedimientos y herramientas
tecnológico para la gestión del PCN:
- Definir e implementar los instrumentos, metodologías y
procedimientos tendientes a gestionar efectivamente el PCN.
- Suministrar los programas de capacitación de PCN.
- Coordinar, apoyar y hacer seguimiento a la gestión de PCN en
cada área.
- Guiar en el desarrollo de las diferentes etapas del PCN.

VI. PLAN DE CRISIS

El plan de gestión de crisis tiene como objetivo establecer políticas, principios y

procedimientos de gestión del riesgo y respuesta ante crisis internas y externas
que afecten a la imagen de la empresa.
Se busca la integración de los procedimientos de continuidad del negocio con
los procedimientos de respuesta para aminorar el impacto en los servicios que
ofrece la empresa y, la identificación de los tipos de emergencias y las
respuestas apropiadas a estas.
La situación de crisis puede definirse como aquella que genera un riesgo que
pone en condición crítica a una empresa y puede calificarse en dos grupos:

 Crisis evitables: Los que pueden mitigarse mediante acciones preventivas y

cuyo origen es principalmente originada por personal.
 Crisis no evitables: Denominadas también accidentales productos
principalmente de desastres naturales.

El procedimiento a seguir comprende las siguientes etapas:

 Evaluación: La evaluación constituye la etapa de valoración preliminar

de un evento de interrupción que afecta de forma considerable a la
Entidad. La evaluación se hace en sitio, teniendo en cuenta los perfiles
y competencias necesarios para determinar: causa de la interrupción,
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 18 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

población de usuarios afectada, apreciación de la magnitud, valoración

del daño, escenario de soluciones, recursos involucrados y tiempo
estimado de la solución.
 Activación: Se describen las actividades requeridas para declarar y
comunicar el desastre de forma tal que se active la contingencia y se
comunique la interrupción a los equipos responsables de recuperar el
servicio.
 Retorno a la Normalidad: Consiste en definir la forma y/o
procedimientos a utilizar para restaurar la operación a la normalidad,
una vez superada la contingencia y recuperados los servicios de la
entidad.

Uno de los incidentes de mayor criticidad es descrito a continuación:

CASO: CAMARA DEL DRON CON MAL FUNCIONAMIENTO

Procedimiento de emergencia
- Detener el dron que está presentando el desperfecto
Procedimiento de respuesta
- Poner en funcionamiento uno de los drones que está en reserva.
Procedimiento de recuperación
- Establecer la configuración del dron para que pueda tomar el lugar del
que esta averiado
Planificar la vuelta a la normalidad
- Realizar el mantenimiento del equipamiento.

VII. REGISTRO DE VERIFICACIÓN DE CUMPLIMIENTO

La empresa Illimani debe mantener registros que permiten verificar el

cumplimiento de las normas, estándares, políticas y otros documentos internos
para asegurar la gestión de la continuidad del negocio. Así como, evidencia de
auditoría suficiente y adecuada para sustentar la opinión y la elaboración del
informe de auditoría mediante registros.

VIII. ENTRENAMIENTO, PRUEBAS Y MANTENIMIENTO DE LOS

PLANES DE CONTINUIDAD DE NEGOCIO

8.1. Pruebas y ejercicios del Plan de Continuidad del NegocioLuego de

implementado el Plan de Continuidad del Negocio, la Empresa Illimani,
realizará diferentes tipos de ejercicios y pruebas de simulación que le
permitirán evaluar la aplicabilidad de las estrategias planteadas en el Plan
de Continuidad de Negocios. El propósito de los ejercicios, será probar los
procesos operativos de contingencia y los procesos operativos de
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 19 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

recuperación establecidos, sobre todo en términos de disponibilidad de

personal, cumplimiento de funciones asignadas y grado de conocimiento
del personal de las medidas establecidas en los procesos operativos de
continuidad de negocios
Durante los ejercicios de simulación se probarán los sistemas de alertas del
Plan de Continuidad de Negocios, así también como la efectividad de las
comunicaciones entre el personal, utilizando los medios de comunicación
establecidos y las listas de contacto del personal.
Las pruebas de funcionamiento y los ejercicios realizados serán un factor
importante para validar y determinar aspectos que deben ser mejorados.
En ese entendido se ha establecido un cronograma de realización de
pruebas, el cual es descrito a continuación:

Activo de Fecha de Fecha de

Código Descripción del Escenario
Información Inicio Fin

Ataques de Hacking (SQL

WEB E1 15/01/2019 17/01/2019
Injection, Cross Site Scripting)

Explotación de
Vulnerabilidades en el
APLICACIONES E2 Desarrollo de la Aplicación 10/03/2019 10/03/2019
(Falta de Parches de
Seguridad).

TECNOLOGIA
HARDWARE / E3 Falla Hardware/Software 03/05/2019 04/05/2019
SOFTWARE

INSTALACIONES E4 Convulsión social 26/06/2019 27/06/2019

E5 Ausencia de Personal 19/08/2019 20/08/2019

PERSONAL E6 Robo por parte del Personal 12/10/2019 13/10/2019

E7 Infidelidad del Personal 05/12/2019 06/12/2019

Drones E8 Robo de un dron 28/01/2020 29/01/2020

E9 Batería descargada 22/03/2020 23/03/2020

E10 Falla en el hardware del dron 15/05/2020 16/05/2020

Enlaces de Falla en la comunicación con

E11 08/07/2020 09/07/2020
comunicación los drones

8.2. Revisiones periódicas al Plan de Contingencias

ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 20 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Con base en las pruebas ejecutadas se establecerán periodos de revisión

que tomarán en cuenta el éxito o falla de las pruebas realizadas, se
ejecutarán las revisiones según el siguiente detalle:

Fecha de Periodo de análisis de

Código Fecha de Inicio
Fin resultados

E1 15/01/2019 17/01/2019 3 días hábiles posteriores

E2 10/03/2019 10/03/2019 3 días hábiles posteriores

E3 03/05/2019 04/05/2019 5 días hábiles posteriores

E4 26/06/2019 27/06/2019 3 días hábiles posteriores

E5 19/08/2019 20/08/2019 3 días hábiles posteriores

E6 12/10/2019 13/10/2019 3 días hábiles posteriores

E7 05/12/2019 06/12/2019 3 días hábiles posteriores

E8 28/01/2020 29/01/2020 5 días hábiles posteriores

E9 22/03/2020 23/03/2020 5 días hábiles posteriores

E10 15/05/2020 16/05/2020 5 días hábiles posteriores

E11 08/07/2020 09/07/2020 5 días hábiles posteriores

8.3. Entrenamiento y Capacitación

Todo el personal involucrado debe capacitarse y entrenarse en los
procesos de recuperación del plan de contingencia, este proceso se llevará
a cabo conforme el siguiente esquema:

FORMACIÓN
Y DIRIGIDO A Fecha de Hrs.
TEMA Capacitador
DESARROLLO realización Aula
DE:

Gerentes Operativos

Ataques de
Plan de Hacking (SQL
x Externo 15/12/2018 8
Contingencias Injection, Cross
Site Scripting)
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 21 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

Explotación de
Vulnerabilidades
Plan de en el Desarrollo de
x Externo 16/12/2018 8
Contingencias la Aplicación (Falta
de Parches de
Seguridad).

Plan de Falla
x Interno 17/12/2018 8
Contingencias Hardware/Software

Plan de
Convulsión social x x Interno 18/12/2018 4
Contingencias

Plan de Ausencia de
x x Interno 19/12/2018 4
Contingencias Personal

Plan de Robo por parte del

x x Interno 20/12/2018 2
Contingencias Personal

Plan de Infidelidad del

x x Interno 21/12/2018 2
Contingencias Personal

Plan de
Robo de un dron x x Interno 22/12/2018 4
Contingencias

Plan de Batería
x x Externo 23/12/2018 4
Contingencias descargada

Plan de Falla en el
x x Externo 24/12/2018 6
Contingencias hardware del dron

Falla en la
Plan de
comunicación con x x Externo 25/12/2018 6
Contingencias
los drones

IX. CAPACITACIÓN Y DISTRIBUCIÓN

El Directorio al Gerente General la aprobación del plan de capacitación a ser

impartidos al personal de la empresa.

Este plan tiene como objetivo el establecimiento de un programa de

capacitación y entrenamiento del personal de la empresa e involucra una
comunicación efectiva de los objetivos del plan de continuidad del negocio para
que tenga el soporte necesario y garantice el éxito de su efectividad.
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 22 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

El programa de capacitación incluye el entrenamiento al personal respecto a la

operatividad para informar las incidencias que se presentan.

9.1. Cumplimiento

La empresa Illimani cumplirá todo lo que indique la norma de acuerdo a su

tamaño, naturaleza y complejidad del negocio. Aquello que no está incorporado
en el presente documento, cuando corresponda, será de estricto cumplimiento.

9.2. Documentos de Trabajo

La empresa Illimani desarrollará todos los documentos de trabajo cumpliendo

con la normativa y los estándares de mejores prácticas para la gestión de la
continuidad del negocio.

X. CONCLUSIONES Y RECOMENDACIONES

El realizar un análisis de riesgo es la base fundamental para la elaboración de un

Plan de continuidad de negocio, puesto que enfoca los esfuerzos para mitigar
riesgos latentes en el entorno, además de esquematizar de manera entendible el
impacto y la probabilidad de materialización de este.

El plan de respuesta ante incidentes se tiene que elaborar inicialmente basado en

el análisis de riesgo, ya que se irá enriqueciendo paulatinamente gracias a la
constante retroalimentación que tiene en la metodología propuesta.

El análisis de Impacto BIA, nos da una perspectiva mayor (patch adams) de los
riesgos que se tienen, la identificación del riesgo radio perimetral dota al análisis
de impacto de una visión más amplia y tal vez nunca antes tomada en cuenta, se
tienen riesgo no identificados los cuales se deben de cierta manera mitigar o
mínimamente identificar. Al tener el impacto de los riesgos en el negocio en valor
monetario se tienen una idea clara de la inversión que se debe hacer en seguridad
dato vital para la alta gerencia.

Empezar a identificar las aéreas críticas de tu organización, desmenuzar cada

subproceso, cada función, cada actividad, identificar personal clave, detectar las
dependencias entre aéreas o procesos, elaborar y realizar pruebas de los planes
de contingencia para cada proceso critico o subproceso (dependiendo la
granularidad que se quiera tener), detallar SLA con proveedores, proteger y
asegurar servicios, importante se debe tener el compromiso de la gente.

La elaboración de PCN requiere de esfuerzo y de la ayuda de todos, se debe

tener claro que el PCN necesita de preparación, implementación, pruebas,
mejoras continuas por lo que se debe tener dedicación en la elaboración del plan,
su mantenimiento es una operación de tiempo completo ya que la
ILLIMANI S.R.L PLAN DE CONTINUIDAD DEL NEGOCIO Página 23 de
23
FECHA DE Aprobado por
EMISION 17 de Diciembre 2018 Directorio

retroalimentación y las actualizaciones del plan pueden producirse de manera

frecuente.

Se deben elaborar PCN para cada empresa ya que sin esto no se tienen
garantizado la recuperación del negocio contra desastres que nadie está libre ni
se salva.