Inicio / Blog / Confecciona Tu Plan de Continuidad del Negocio

Confecciona Tu Plan de Continuidad del Negocio

Mantener las operaciones de fabricación y los servicios a disposisición de los clientes de forma continua, denota el compromiso que tiene una empresa para con su clientela. Toda empresa que demuestre cuenta con los elementos necesarios para sostener su operación, tendrá una ventaja competitiva sobre sus colegas.

Plan de Continuidad del Negocio se refiere al plan logístico que define como una organización debe respaldar, recuperar y restaurar sus funciones críticas que se han visto interrumpidas, ya sea de forma parcial o total, de forma temporal por un hecho no deseado o un desastre.

Para desarrollar el Plan de Continuidad del Negocio, lo que sugerimos es realizar las siguientes actividades:

  • Identificar el alcance del plan.
  • Identificar funciones críticas.
  • Identificar dependencias entre varias áreas de negocios y funciones.
  • Determine un tiempo de inactividad aceptable para cada función crítica.
  • Crea un plan para mantener las operaciones.

Existen varias estrategias para crear la base de un plan de continuidad de negocios, otra podría ser la creación de una lista de verificación que contemple cuales son los suministros y los equipos necesarios para mantener la [Entidad] operativa. Además, se puede listar quienes son las personas responsables de activar el plan, los contactos necesarios para poder llevar adelante las actividades.

Conforme se va creando el plan, sugerimos entrevistar al personal clave de la [Entidad] que han pasado por un desastre de forma exitosa. Recoger estas vivencias de momentos difíciles será de mucho valor para el plan de continuidad de negocios, podrás obtener de estas entrevistas tareas, estrategias y hasta técnicas que fueron exitosas en su momento.

Identificar el alcance del plan.
Un plan de continuidad de negocios le permitirá a la entidad responder de forma ordenada y ágil frente a una interrupción o un desastre que tenga impacto en las operaciones de la [Entidad].

El plan de continuidad de negocios solamente contemplará los procesos críticos y las estructuras fundamentales para la [Entidad]. Aquellos procesos que impactan el desempeño y reputación de la [Entidad] serán aquellos que formarán parte del plan, que persigue restablecer los servicios y las operaciones más importantes de la [Entidad].

Identificar funciones críticas.
Es necesario realizar un análisis de impacto del negocio, que no es más que una forma de evaluar sistemáticamente los impactos potenciales como resultado de eventos imprevistos o incidentes. El Plan de Continuidad del Negocio tiene como propósito definir el grado de pérdida potencial y los efectos no deseados que pudieran llegar a ocurrir ante un evento significativo.

La entidad debe realizar el análisis que le permita establecer los procesos de su negocio, operativos y administrativos que son críticos, ante una situación de contingencia.
En caso de una contingencia, los procesos fundamentales de la entidad son aquellos que deberán ser atendidos inicialmente. Dependiendo de las condiciones y funciones de cada área, se establece una jerarquía en caso de un percance.

Identificar dependencias entre varias áreas de negocios y funciones.
Son pocos aquellos servicios o funciones que pueden trabajar de forma totalmente independiente dentro de la empresa, es por esto que debemos establecer las relaciones y dependencias entre un área y la otra.

Determine un tiempo de inactividad aceptable para cada función crítica.
Dependiendo de la función o actividad que ha sido considerada crítica, debemos analizar cual es el margen de tolerabilidad. ¿Cuánto tiempo podemos estar sin esta función X?

Definitivamente que no es lo mismo que una entidad se dedique a renovar los permisos para que los vehículos particulares transiten en un país y este proceso no esté disponible por 4 días, y que el proceso de creación de nuevos permisos de tránsito para vehículos comerciales no esté disponible por 4 días.

¿Qué es más crítico, permisos para vehículos particulares o permisos para vehículos comerciales?

El primero impacta a un individuo que utiliza el vehículo como medio de transporte, el segundo lo utiliza como herramienta de trabajo, por lo que cada día sin poder transitar, es dinero que no podrá ganar.

Crea un plan para mantener las operaciones.
Utilizando como punto de partida los hallazgos, se puede empezar a desarrollar el Plan de Continuidad del Negocio.

Otros de nuestros consultores, utilizan el siguiente cuestionario como punto de partida para recopilar la información necesaria para completar el plan de continuidad de negocios:

10 pasos para desarrollar tu Plan de Continuidad de Negocios

Paso 1: Determinar el Propósito y alcance de tu PCN y selecciona al líder y equipo responsable de llevarlo a cabo
Paso 2: Determinar las Actividades Prioritarias de tu empresa y los Tiempos de Recuperación Ideales
Paso 3: Determinar qué necesitas para la continuidad de tus Negocios
Paso 4: Evaluación de Riesgos- Conozca sus escenarios de riesgos
Paso 5: No olvidar protección previa al desastre y métodos de mitigación
Paso 6: Respuesta de Emergencia ante el desastre
Paso 7: Estrategias para Continuidad de Negocios Temprana
Paso 8: Estar preparado financieramente
Paso 9: La práctica hace que el plan sea funcional
Paso 10: Revisión continua y mejoramiento del PCN

Cuestionario para recopilar la información que servirá como insumo para redactar el Plan de Continuidad de Negocios.

Las siguientes preguntas pueden servir de punto de partida para recopilar información que debe formar parte del Plan de Continuidad del Negocio:

1. ¿Cuáles son los recursos de información relacionados con los proceso críticos de la [Entidad]?
2. ¿Cuál es el periodo de tiempo de recuperación crítico para los recursos de información en el cual se debe establecer el procesamiento del negocio antes de que se experimenten pérdidas significativas o aceptables?
3. ¿Existen estrategias de respaldo vigentes? ¿cuáles son?
4. ¿Cuáles son los medios de almacenamiento para los respaldos?
5. ¿Cómo se hacen los respaldos de los servidores lógicos?
6. ¿Cuántos datos se pueden perder en caso de un desastre? ¿4 horas? ¿1 día?
7. ¿Con qué frecuencia se prueban los respaldos?
8. ¿Cuánto tiempo debe tomarse la restauración de un servicio?
9. ¿Existe redundancia de enlaces con las sucursales?
10. ¿Se cuenta con un plan de acción en caso pérdida de conexión?
11. ¿Qué hacen actualmente cuando se caen los servicios de proveedores clave?
12. ¿Hay equipos de reemplazo que se puedan instalar rápidamente en caso de que una computadora se dañe?
13. ¿Hay servidores de reemplazo en caso de que uno se dañe?
14. ¿Hay equipos de comunicaciones en inventario para reemplazo?
15. ¿Se cuenta con un inventario de partes de reemplazo para reacción rápida en caso de daños?
16. ¿Se cuenta con redundancia de energía para los centros de monitoreo?
17. ¿Los servidores Host de los servidores lógicos permiten mudanza de servidores en “caliente”?
18. ¿Existen impresoras de remplazo en caso de daño?
19. ¿Cuántos servidores de boletera electrónica hay?

Ejemplo de un Plan de Continuidad de Negocios

I. INTRODUCCIÓN

La [Entidad] es una institución importante para la ciudad, ya que brinda el servicio de registro de vehículos que van a transitar en la ciudad.

II. COMENTARIOS GENERALES

Alcance

Esta primera edición del Plan de Continuidad de Negocios de la [ENTIDAD] contempla los procesos, actividades y tareas correspondientes para poder enfrentar aquellos eventos fortuitos en donde, por cualquier contingencia, no sea operativo el centro de datos principal ubicado en [Ubicación] o no se pueda acceder a los módulos brindados por proveedores, ubicado en la [Ubicación 2].

También aplica para los equipos de cómputo, sistemas de información, telecomunicaciones y tecnología de la [Entidad]

Objetivo

1. Salvaguardar los intereses de los clientes de la [Entidad].
2. Identificar las vulnerabilidades de los distintos sistemas informáticos.
3. Establecer los pasos y la logística para restablecer los servicios necesarios para el buen funcionamiento de la [Entidad].
4. Ofrecer alternativas viables a los procesos críticos de la [Entidad].
5. Identificar el plan de capacitación para que el personal cuente con las habilidades y herramientas necesarias para llevar adelante los procedimientos de emergencia.

Definiciones

Análisis de Impacto del Negocio
Forma de evaluar sistemáticamente los impactos potenciales como resultado de eventos imprevistos o incidentes. El Plan de Continuidad del Negocio tiene como propósito definir el grado de pérdida potencial y los efectos no deseados que pudieran llegar a ocurrir ante un evento significativo.

Contingencia

Un evento que puede ocurrir en forma aleatoria y por circunstancias imprevistas.

Daños

Son los efectos de un incidente que pueden afectar al personal, los equipos y/o la infraestructura física del edificio. Los Equipos de Continuidad de Negocios de Administración y de Tecnología calificarán y reportarán los daños al Líder del Plan de Continuidad de Negocios según las siguientes categorías:

Daño Menor

Se refiere a aquel perjuicio que solamente tiene repercusiones o consecuencias en la operación diaria de la [Entidad] por un periodo menos a dos (2) horas a partir de la ocurrencia del incidente.

Daño Grave

Son aquellos que, impiden o dificultan la operación normal de la institución por un periodo menor a un (1) día laborable, pero mayor a dos (2) horas, a partir de la ocurrencia del incidente.

Daño Crítico

Se refiere a aquel daño que impacta las instalaciones de la institución e impiden la operación normal de la [Entidad] por un periodo igual o mayor a un (1) día laborable a partir de la ocurrencia del incidente.

Equipo de Continuidad

Son los colaboradores designados para coordinar la recuperación, restauración y operación de los procesos y servicios mínimos definidos para una contingencia. Ver el punto Equipo de PCN y árbol de llamadas.

Escenarios

Descripción de las situaciones, supuestos y otros factores tomados en consideración para realizar la planificación del PCN. El plan se diseña para poder enfrentar estas situaciones.

Evento significativo

Cualquier incidente que no califica en la categoría de desastres y cuyos efectos provocan que sea imposible trabajar desde la oficina principal de la [Entidad] ([$OFICINA_CENTRAL]) por lo menos por un (1) día laborable posteriores a la ocurrencia del incidente, tomando en consideración la seguridad de los colaboradores.

Incidente

Cualquier acontecimiento ajeno a la operación normal y que cause, o pueda causar, una reducción en la calidad del servicio o su interrupción. Dicho acontecimiento ha causado o tiene el potencial de causar daño a los sistemas, a las instalaciones, o al personal de la [Entidad].

Riesgos

El riesgo es aquella posibilidad de que se produzca un contratiempo o una desgracia, de que alguien o algo sufra perjuicio o daño. En el caso particular de la infraestructura tecnológica de la [Entidad], los riesgos que hemos identificado son los siguientes:

1. Personal
2. Hardware
3. Software
4. Servicios
5. Datos e Información
6. Documentación
7. Internet
8. Energía Eléctrica
9. Desastre Natural

Daños de Hardware

Se considerará un daño de hardware cuando la causa principal de la falta de un servicios sea producto de una parte o pieza de un equipo de tecnología dentro de la [Entidad] sufra un desperfecto o deje de funcionar.

Daños de Software

Será considerado un daño de software cuando el motivo principal de una afectación sea un programa o una aplicación instalada en un equipo dentro de la infraestructura tecnológica de la [Entidad].

Pérdida de Servicios

Cuando el motivo principal de una afectación que impida el funcionamiento apropiado de la infraestructura tecnológica de la [Entidad] sea un servicio contratado con un tercero, será considerado un daño de un servicio. Ejemplos de esta condición son: Pérdida del servicio de Internet, pérdida del servicio de interconexión (enlaces privados punto a punto), pérdida del servicio de telefonía fija o móvil.

Pérdida de Datos

Será considerado una pérdida de datos cuando la causa raíz de una afectación dentro de la infraestructura tecnológica de la [Entidad] sea motivado por la desaparición de archivos o datos almacenados en medios tecnológicos.

Desastre Natural

El término desastre natural hace referencia a las pérdidas materiales ocasionadas por eventos o fenómenos naturales, como terremotos, inundaciones, tsunamis, deslizamientos de tierra, y otros.

Pérdida de Energía Eléctrica

Un apagón eléctrico o corte de luz es la pérdida del suministro de energía eléctrica en un área, para ser más precisos, esta la [Entidad] tendrá un o varias instalaciones en ese área. Se considerará pérdida de energía eléctrica a la falta del suministro por un periodo superior a treinta (30) minutos, durante el cual la [Entidad] no estará recibiendo el servicio de entrega de energía eléctrica por parte de la empresa transmisora.

Plan de Continuidad de Negocios (PCN)

El PCN es un plan de acción escrito que detalla el curso de acción que debe seguirse para continuar o restablecer los procesos críticos de una organización, listando las actividades mínimas o criticas y sus responsables, incluyendo las personas que tienen la autoridad para declarar que un hecho tiene las cualidades para ser considerado como evento significativo o desastre y por ende, activar el plan.

Sitios

Son las localidades relevantes a la ejecución del PCN. La ubicación y breve descripción de cada una se encuentran en el punto denominado “Sitios”.

III. PROCESOS CRÍTICOS

La [Entidad] ha realizado el análisis que le permitió establecer los procesos de su negocio, operativos y administrativos que son críticos, ante una situación de contingencia.

Procesos críticos ante una contingencia

En caso de una contingencia, los procesos fundamentales de la [Entidad] son aquellos que deberán ser atendidos inicialmente. Dependiendo de las condiciones y funciones de cada área, se establece una jerarquía en caso de un percance. Actualmente la [Entidad] cuenta con la siguiente estructura organizacional, a la cual se le ha asignado un nivel de prioridad.

El documento cuenta con manuales prácticos y guías específicas de acción, dirigidas a:

  • Líder del Plan de Continuidad de Negocios
  • Equipo de Continuidad
  • Diferentes ejecutores de Plan

Estos documentos establecen las responsabilidades, actividades y tareas que los principales integrantes de la [Entidad].

Equipo del Plan de Continuidad de Negocios

Para llevar a cabo las acciones establecidas en el presente plan, es necesario establecer el equipo de trabajo con las funciones que deberá ejecutar en caso de presentarse una eventualidad identificada en la tabla de riesgos. Es importante tener en cuenta, que los roles pueden ser asumidos por una o más personas de acuerdo al grado de conocimiento y responsabilidad.

Líder del Plan

Es el responsable de aprobar la realización del Plan de Contingencia de TI, dirigir los comunicados de concientización y solicitud de apoyo a los jefes y/o directivos de las diferentes áreas involucradas. Una vez concluida la realización del Plan de Contingencia, el Responsable tendrá como función principal, verificar que se realicen reuniones periódicas, cuando menos cada seis meses, en donde se informe de los posibles cambios que se deban efectuar al plan original y de que se efectúen pruebas del correcto funcionamiento, cuando menos dos veces al año o antes si se presentan circunstancias de cambio que así lo ameriten. Al declararse una contingencia, deberá tomar las decisiones correspondientes a la definición de las ubicaciones para instalar el centro de cómputo alterno y comunicará a las directivas los costos para los gastos necesarios y el cronograma para la restauración del ambiente de trabajo.

Coordinador de Servidores

Tendrá como función principal asegurar que se lleven a cabo todas las fases para la realización del Plan de Contingencia, registrará las reuniones que se realicen y mantendrá actualizadas las bitácoras de monitoreo a servidores. Durante la realización del plan, una de sus actividades principales será la coordinación de la realización de las pruebas del centro de cómputo alterno, la restauración de datos e instalación de BD. Una vez que se encuentre aprobado el Plan de Contingencia, será el Coordinador General quien lleve a cabo formalmente la declaración de una contingencia grave y de inicio formal de la aplicación del Plan de Contingencia, cuando así lo considere conveniente, propiciando que la contingencia desaparezca con el objeto de continuar normalmente con las actividades; será el responsable de dar por concluida la declaración de contingencia. En conjunto con el responsable del Plan llevarán a cabo la toma de decisiones.

Coordinador de Redes

Es el responsable de determinar los procedimientos a seguir en caso de que se presente una contingencia que afecte las comunicaciones, Servicios de Internet, Intranet, correo electrónico y red, mantener actualizados dichos procedimientos en el Plan de Contingencia, determinar los requerimientos mínimos necesarios, tanto de equipo como de software, servicios, líneas telefónicas, cuentas de acceso a Internet, enlaces dedicados, dispositivos de comunicación (ruteadores, switchs, antenas etc.). Asimismo, deberá mantener actualizado el inventario de equipo de telecomunicaciones y redes, efectuar los respaldos correspondientes y llevar a cabo las pruebas de operatividad necesaria, para asegurar la continuidad del servicio, en caso de que se llegara a presentar alguna contingencia, ya sea parcial, grave o crítica. El Coordinador de Comunicaciones es el responsable de mantener el directorio de contactos, proveedores y usuarios de los servicios antes descritos y mantenerlo permanentemente actualizado e incluirlo dentro del Plan de Contingencia. Deberá realizar los procedimientos correspondientes para la emisión de los respaldos de cada uno de los servidores o equipos críticos y asegurar la actualización de datos en el data center. Coordinará las actividades correspondientes a los servicios de comunicaciones al declararse una contingencia, hasta su restablecimiento total.

Coordinador de Soporte Técnico

Es el responsable de llevar a cabo el inventario de equipo, software y equipos periféricos, como impresoras, escáner, faxes, fotocopiadoras, etc.; mantener los equipos en óptimas condiciones de funcionamiento; determinar la cantidad mínima necesaria de equipo y sus características para dar continuidad a las operaciones de la Institución; es responsable de elaborar o coordinar con los usuarios los respaldos de información. Efectuar y mantener actualizado el directorio de proveedores de equipos, garantías, servicio de mantenimiento y reparaciones, suministros, en su caso, e incluirlo dentro del Plan de Contingencia.
En caso de que se declare alguna contingencia que afecte a los equipos y al software, sea cual fuere su grado de afectación, es el responsable de restablecer el servicio a la brevedad, con el objeto de que no se agrave el daño o se llegara a tener consecuencias mayores. Para tal efecto debe participar en pruebas del Plan de Contingencia en conjunto con los demás participantes, con el objeto de estar permanentemente preparado para actuar en caso de contingencia.

Coordinador de Servidores

Será el responsable de determinar los sistemas de información, módulos y procedimientos críticos de la Institución, que, en caso de presentarse alguna contingencia como corte de energía eléctrica prolongada, temblor, incendio, falla del sistema de cómputo, pérdida de documentación, o alguna otra causa determinada, se llegará a afectar sensiblemente la continuidad de las operaciones en las áreas que utilicen dichos sistemas. En caso de cambiar a otras instalaciones alternas, el Coordinador de sistemas deberá definir cuáles serían las actividades que se deberán seguir para la configuración o instalación de los sistemas desarrollados, optimizando los recursos con los que se cuente, realizando las pruebas necesarias hasta su correcto funcionamiento en las terminales destinadas para su operación. Deberá mantener actualizados los Manuales de Usuario, resguardándolos fuera de las instalaciones para su consulta y utilización al momento de requerirse.

Coordinador de los Usuarios

El personal usuario en general, al verse afectado por una situación de contingencia, deberá en primera instancia apoyar para salvaguardar las vidas propias y de sus compañeros de trabajo, cuando la situación que se estuviera presentado sea grave (incendio, temblor, etc.); posteriormente, y en la medida en que la situación lo permita, deberá coadyuvar a salvaguardar los bienes de la Institución (el propio inmueble, equipos, documentación importante, etc.). Con posterioridad a la crisis inicial, deberá apoyar a solicitud del Coordinador de su área y/o del personal clave del Plan de Contingencia, en la toma del inventario de daños, para lo cual deberá seguir las instrucciones generales que se indiquen. En forma alterna, deberá dar cumplimiento a las instrucciones que se incluyan en el Plan de Contingencia Informático para darle continuidad a las funciones informáticas críticas, siguiendo los procedimientos establecido, con la salvedad de que deberá, en forma creativa y responsable, adaptarlos a las circunstancias de limitación que represente el cambio de ubicación de las diferentes áreas involucradas en los procesos y la utilización de recursos de cómputo, mensajería, comunicaciones, etc., limitados. Al declararse concluida la contingencia, deberá participar activamente en la restauración de las actividades normales, esto es, apoyar en la movilización de documentación, mobiliario, etc., a las instalaciones originales o al lugar que le sea indicado, hasta la estabilización de las actividades. Cuando sea necesario, deberá participar en la capacitación del personal eventual que hubiera sido necesario.

Equipo de trabajo [Entidad]

Rol
Nombre
Líder del Plan
NOMBRE DEL LIDER
Coordinador de Servidores
Nombre del Coord.
Coordinador de Redes y Telecom
Nombre del Coord.
Coordinador de Soporte Técnico
Nombre del Coord.
Coordinador de Usuarios
Nombre del Coord.

 

Árbol de Llamadas

Cuando suceda una contingencia, es de suma importancia de tener al alance de la mano las personas que son responsables de las distintas áreas y sus datos de contacto. Para facilitar la referencia, se sugiere crear un documento que consolide la estructura de las personas, sus roles y respectivos contactos:

IV. SITIOS

Se refiere a los espacios físicos, instalaciones u oficinas donde se realizan las actividades de forma regular de la [Entidad].

La oficina principal de la [Entidad] está ubicada en [Ubicación]. Adicionalmente, se cuentan con las siguientes sucursales:

[Lista de ubicaciones y oficinas de la organización] [Sucursal 1] [Ubicación] [Teléfono] [Persona Responsable] [Sucursal 2] [Ubicación] [Teléfono] [Persona Responsable]

Centro de Gestión del Plan de Continuidad de Negocios

En caso de que se suscite un desastre, se active el Plan de Contingencia y sea imposible operar desde las oficinas principales de la [$Entidad] ubicadas en [$OFICINA_CENTRAL], se podrá definir un lugar para celebrar las reuniones de forma temporal. El responsable de definir la locación será el Líder del Equipo de Plan de Continuidad de Negocios.

Dado el caso de que no estén accesibles los correos institucionales, se utilizarán las siguientes direcciones como medio de comunicación:

Rol Nombre Contacto

Miembros del equipo
Correo Alternativo
Líder del Plan
xxxx@correo.com
Coordinador de Servidores
xxxx@correo.com
Coordinador de Redes y Telecom
Nxxxx@correo.com
Coordinador de Soporte Técnico
xxxx@correo.com
Coordinador de Servidores
xxxx@correo.com
Coordinador de Usuarios
xxxx@correo.com
<$Lider>

Sitios de almacenamiento temporal

Equipos, documentos, elementos y demás cosas que requieran ser utilizadas por el equipo que activará el Sitio de Contingencia serán resguardados en:

[Definir sitio de contingencia] Lugar:
Dirección:
Teléfono:

V. ESTRATEGIA GENERAL DE OPERACIÓN

Una vez ocurrido un incidente, la estrategia general para enfrentar sus efectos se puede resumir en los siguientes términos:

Gestión de incidentes

Donde se definen las principales actividades inmediatas que se deben ejecutar y los recursos humanos que deben participar compuesto fundamentalmente por personal interno de Administración, Recursos Humanos y Tecnología. Los objetivos principales de este grupo de actividades son: salvaguardar la vida de las personas, y realizar una evaluación preliminar que permita al Líder del PCN decidir si activa o no la ejecución del Plan de Continuidad de Negocios.

Una vez sea evidenciado un incidente, se realizarán las siguientes actividades:

  • Los equipos de soporte regulares de las áreas de tecnología y administración deben atender el incidente con los procesos normales de “Manejo de Incidentes” mientras se evalúa la magnitud de los daños.
  • Si los responsables de los equipos de soporte lo consideran necesario, convocarán en forma inmediata al responsable de administración, cuyas funciones se detallan en el Manual del Equipo de Continuidad de Administración y Recursos Humanos.
  • El responsable del Equipo de Continuidad de Administración debe tomar acción inmediata para salvaguardar la vida de los colaboradores que se encuentren en los predios de la oficina o edificio afectado y desarrollar, previa autorización del Líder del PCN los procedimientos de desalojo, tal como se encuentran detallados en el Plan del Equipo de Continuidad de Administración y Recursos Humanos.
  • Dado el caso que se produzca un desalojo del edificio, cualquiera de los funcionarios de la [Entidad] podrá́ comunicarse con el líder del PCN, informándole del hecho.
  • Posterior a una evaluación de los daños, el líder del PCN decidirá́ si se activa o no el Plan de Continuidad de Negocios (PCN). La decisión de activar el PCN se basará considerando principalmente (i) la seguridad del personal y (ii) el tiempo de indisponibilidad estimado para el Sitio que haya sufrido la contingencia o el siniestro.
  • Dicha evaluación incluye temas tales como: lesiones sufridas por el personal, daños en equipos de infraestructura tecnológica, de potencia y red eléctrica (Ej. Aires acondicionados, fuentes de poder ininterrumpidas, etc.), infraestructura física (Ej. Plomería, mobiliario, puertas, escaleras, etc.) etc.

Activación del Plan de Continuidad de Negocios

  • Activar el árbol de llamadas del Anexo. El único autorizado para activar el Árbol de Llamadas es el Líder del PCN.
  • Establecer el Centro de Gestión con los miembros del Equipo Ejecutivo que se encuentren disponibles y que logren desplazarse hacia la residencia del Líder del PCN o hasta el lugar que se defina más apropiado en el momento de la contingencia, siempre que ello sea posible y practico en función de las características de la contingencia.
  • Mientras duren los efectos del incidente, los responsables del PCN estarán distribuidos de la siguiente manera: Los miembros del Equipo Ejecutivo que se encuentren disponibles se reunirán y operaran desde el Centro de Gestión, informando periódicamente la situación al administrador de la [Entidad] y a su Junta Directiva en caso de que ellos no se encuentren con posibilidades de acceder al Centro de Gestión.

Desactivación del Plan de Continuidad de Negocios

Cuando el sitio que fue afectado por el incidente esté en condiciones de albergar de forma segura y estable la operación normal el Líder del PCN tomará la decisión de desactivar la ejecución del Plan y comunicará su decisión al Comité́ de Gestión y cada uno de los lideres de los Equipos de Continuidad. La notificación se realizará utilizando el Árbol de Llamadas e instruyendo al Líder del Equipo de Continuidad de Recursos Humanos que contacte al resto del personal, incluyendo al de las Oficinas en el extranjero.

Tras la indicación de desactivación del PCN, los Equipos de Continuidad trabajaran con especial atención en el manejo de información sensitiva, la cual puede estar almacenada en medios físicos o electrónicos y trasladarse a los sitios principales lo antes posible. El equipo de Continuidad de Administración deberá disponer personal para dejar el Sitio Alterno o el Sitio de Contingencia en las condiciones necesarias para ser utilizado en el futuro, ya sea para hacer pruebas, o bien, para activar el PCN cuando fuese necesario. Se deberá́ trabajar en la limpieza y remoción de equipos y otros materiales que no permanecerán en sitio.

VI. HITOS (ACCIÓN REMEDIAL ANTE LOS ESCENARIOS)

La [Entidad] está orientada a mantener los servicios ofrecidos por la institución disponibles frente a algún desastre.

Escenario #1
No se puede utilizar las oficinas principales de la [Entidad] en [$OFICINA_CENTRAL].

Descripción General
Esta circunstancia supone cualquier motivo que pudiese impedir o interrumpir la disponibilidad del sitio de [$OFICINA_CENTRAL]; y las acciones conducentes para mantener la continuidad del negocio se abordan en el Plan de Continuidad de Negocios.

Se consideran los siguientes supuestos:

Han sido afectados:

  • La conectividad o acceso al sitio principal donde se encuentra el Centro de Datos y/o los enlaces entre el Centro de Datos principal y los distintos sitios de trabajo.
  • Otros temas detallados en el Plan de Continuidad de Negocios.

 

No han sido afectados:

  • Los funcionarios mínimos necesarios para ejecutar el Plan de Continuidad de Negocios
  • Las conexiones que brindan proveedores se mantienen operando de forma adecuada

Escenario #2

Escenario #3

VII. MANUAL DEL LÍDER DEL PLAN DE CONTINUIDAD DE NEGOCIOS

Información General

El Líder del PCN es el responsable de activar la ejecución del Plan de Continuidad de Negocios (PCN) de la [Entidad], ante un incidente que afecte la operación normal del negocio. Para ello evaluará el reporte de daños que le suministren los Equipos de Continuidad junto con la información externa que se vincule con esos hechos aunados a la experiencia y características especiales de la [Entidad]. Para los efectos de este Manual, los daños se han clasificados menor, grave y crítico; y el PCN sólo se activará ante daños considerados críticos.

Responsabilidades

a. Decretar el desalojo del edificio principal de la [Entidad] b. Activar el PCN
c. Definir el lugar en dónde se activará el Centro de Gestión del PCN, que estará conformado por los miembros del Equipo Ejecutivo que se encuentren disponibles, si ello es posible y la situación lo hace aconsejable.
d. Dar seguimiento a la ejecución de las tareas de cada uno de los Equipos de Continuidad para asegurar que:
o se opere en contingencia según las prioridades definidas por el Comité́ de Gestión, considerando el análisis de criticidad de los procesos
o se restaure la operación lo antes posible
e. Mantener informado a la Dirección General sobre el avance de la ejecución del Plan de Continuidad del Negocio
f. Definir el regreso al Sitio Principal de Trabajo, una vez que se hayan recuperado las condiciones normales de operación.
g. El Líder del PCN puede delegar una o varias de sus responsabilidades en los miembros del Comité́ de Gestión, según lo estime conveniente en función de las disponibilidades de recursos y si las circunstancias lo permiten.

Manejo de incidentes

a. Cuando haya ocurrido un incidente deberá evaluar su magnitud y definir si se activará el Plan de Desalojo del edificio
b. En caso que no se presente peligro al momento de desalojar el edificio, y una vez que se verifique la seguridad de todo el personal, el Líder del PCN definirá si se sacan los autos estacionados en el estacionamiento subterráneo de la [Entidad].
c. Mantener contactado con las personas de la [Entidad] responsables de contactar a las autoridades pertinentes (Asistencia Medica, Bomberos, Policía), cuando ello sea necesario.
d. Obtener el informe preliminar de daños por parte de los Equipos de Gestión de Continuidad de Administración y de Tecnología, respectivamente.
e. Evaluar los daños según su severidad.
f. Decidir si sea activa el PCN.

VII. MANUAL DEL EQUIPO DE CONTINUIDAD DE OPERACIONES Y NEGOCIOS

Información General

Este manual establece las acciones a tomar en un caso de contingencia tal como se ha definido en el Manual del PCN, en el aspecto logístico, administrativo y de comunicación interna.

Dentro de las actividades contempladas se detallan las acciones previas que deben ejecutar el Encargado de Administración y Coordinador del Desalojo y el Líder del PCN para definir la necesidad del desalojo del Edificio de la [Entidad], las acciones que deben adoptarse en el desalojo propiamente dicho, los aspectos que deberán ser evaluados a posteriori y la comunicación con el personal de la institución.

Responsabilidades

El encargado de RRHH será la persona responsable de la comunicación interna de manera clara y oportuna a todo el personal de la [Entidad] y de verificar su nivel de entrenamiento para este tipo de situaciones.

El Encargado de Administración y Coordinador del Desalojo será la persona responsable de velar por la ejecución de las actividades logísticas y de desalojo con el propósito fundamental de salvaguardar la seguridad de las personas y posteriormente, la reanudación y recuperación de la contingencia.

Manejo de incidentes

En caso de incidentes, distintos a los que causaron la activación del PCN, serán evaluador por el Líder del PCN y su equipo.

Sitio de Contingencia

En caso de un incidente y que se active el PCN, se deberá inicial las actividades que permitan que el Sitio de Contingencia entre en funciones y efectivamente tome el rol y las funciones del sitio principal.

El sitio de contingencia estará constituido por los siguientes servicios y funciones:
[Funciones]

VIII. MANUAL DEL EQUIPO DE TECNOLOGÍA

Información General

Este manual establece las acciones a tomar en un caso de contingencia tal como se ha definido en el Manual del PCN, en el aspecto tecnológico y de telecomunicaciones.

Dentro de las actividades contempladas se detallan las acciones previas que deben ejecutar el Encargado del Departamento de Informática y el Líder del PCN para definir la necesidad re-dirigir el tráfico de los datos y los servidores de la [Entidad], los aspectos que deberán ser evaluados a posteriori y la comunicación con el personal de la institución.

Responsabilidades

Estrategia de respaldo

Para lograr los objetivos establecidos de restablecer los servicios en los tiempos acordados, la [Entidad] deberá llevar a cavo una estrategia de respaldo, la cual contará con respaldos diarios, semanales, mensuales y anuales.

Para lograr esta estrategia, se realizarán de la siguiente manera.

a. Respaldo completo del servidor de correo electrónico los domingos a las 8:00AM.
b. Respaldo completo del sistema operativo del servidor controlador de dominio.
c. Respaldo incremental del servidor de correo electrónico de martes a sábado a las 9:00PM
d. Respaldo completo del servidor de correo electrónico los días 30 del mes a las 3:00AM.

Puntos de restauración
La estrategia de respaldos permite restaurar el servidor de correo en su totalidad, al igual que el servidor controlador de dominio.

En un esquema de respaldos completos 1 vez por semana e incrementales los otros 6 días, se agiliza el respaldo durante la semana, pero la restauración tomará más tiempo, ya que se requieren varios archivos para restaurar.

Por el contrario, si se hacen respaldos completos todos los días, tomará más tiempo la actividad de respaldo diaria, pero la restauración será más rápida.

Pruebas y Mantenimiento de los respaldos

Como parte del PCN es necesario realizar y documentar pruebas mensuales de la integridad de los respaldos que se realizan. Para efectos del cumplimiento de este PCN, es necesario restaurar al menos una (1) vez al mes cada respaldo realizado en un equipo de prueba.

En el caso de los respaldos que son incrementales o diferenciales, es necesario realizar la restauración de prueba de todos los archivos requeridos para la restauración apropiada del equipo.

Situaciones

a. Falla en el funcionamiento del Controlador de Dominio
b. Falla en el servidor del sitio web
c. Falla en el servidor de
d. Interrupción prolongada de la electricidad
e. Desastre limitado en el Centro de Datos – [$OFICINA_CENTRAL] f. Inundación
g. Amenaza de bomba
h. Tormentas y Huracanes
i. Terremoto
j. Fuego

IX. RETORNO A LA NORMALIDAD

Cuando el sitio que fue afectado por el incidente esté en condiciones de albergar de forma segura y estable la operación normal, el Líder del PCN tomará la decisión de desactivar la ejecución del Plan y comunicará su decisión al Comité de Gestión y cada uno de los líderes de los Equipos de Continuidad. La notificación se realizará activando el Árbol de Llamadas e instruyendo al Líder del Equipo de Continuidad de Recursos Humanos que contacte al resto del personal, incluyendo a las Oficinas en el extranjero para comunicar la nueva situación.

Tras la orden de desactivación del PCN, los Equipos de Continuidad trabajarán en dejar cualquier sitio Alterno de Procesamiento de Datos o el Sitio de Contingencia en el menor tiempo posible, con especial atención en el manejo de información sensitiva, la cual puede estar almacenada en medios físicos o electrónicos. El Equipo de Continuidad de Administración designará recursos para que el sitio de contingencia quede en las condiciones necesarias para ser utilizado en el futuro, ya sea para hacer pruebas, o bien, para activar el PCN cuando fuese necesario. Los miembros designados de cada Equipo participarán en la limpieza y remoción de equipos y otros materiales.

El Líder del PCN en conjunto con el Comité de Gestión decidirá si se considera necesario emitir algún comunicado a entes externos y en caso afirmativo, esto será ejecutado por el Equipo de Continuidad de Comunicación Institucional.

Con el objetivo de garantizar la continuidad de las operaciones y facilitar el proceso de transición, el Líder del PCN indicará a los Equipos cuál será el último día de operación en contingencia y por ende, cuál será el primer día de operación normal.

X. ANEXOS

Lista de Anexos del Plan de Continuidad del Negocio.

Esperamos que este post haya sido educativo y sirva de referencia para hacer tu propio Plan de Continuidad del Negocio.

Te invitamos a también mirar

¿Qué es ISO 14001 y cuáles son sus beneficios?

En la actualidad, las empresas buscan maneras de distinguirse o sobre salir por sobre las …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *