PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 2 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
ANTECEDENTES Logist International Services S.A. de C.V. es una compañía dedicada a prestar servicios de seguridad privada, cuenta actualmente con 2 sucursales, una en 3ra cerrada san marcos #32, col. San Bartolo, Del. Azcapotzalco llamada “Bunker” y otra Aquiles Serdan No. 338, Col. Italia, Del. Azcapotzalco, llamada “Z8” distantes de si 5 kilómetros. Dentro de la empresa se cuenta con un pequeño departamento de informática formado por 2 empleados que se encargan de la gestión de todo lo relacionado con comunicaciones, software, hardware, bases de datos. Este departamento y su centro de proceso de datos se encuentran en “Bunker”. A continuación se describe brevemente cuál es la situación actual en cuanto a seguridad de la compañía: • • • • • •
Existe una política de seguridad en la compañía. Hay antivirus instalados en el total de los equipos de la compañía. Se realizan copias de seguridad de la información. Existe control de acceso a los equipos. Los servidores se encuentran en una sala con protección física. Se cuenta con acceso a la información corporativa a través de contraseñas.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 3 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
ANÁLISIS DE IMPACTO A continuación se muestra un inventario de los procesos críticos de la compañía, estableciendo los tiempos de recuperación de los mismos, antes de incurrir en pérdidas graves.
Proceso
Breve descripción
Frecuencia
Responsable
(Diario/Semanal Mensual) Centro de monitoreo
Se encarga de monitorear, vigilar, a cada uno de los servicios en proceso. Están encargados al igual de una pronta reacción en caso de alguna incidencia con el servicio.
Diario
Juan Carlos Fortuna
COMPONENTES DE LOS PROCESOS A continuación se describen cada uno de los componentes Hardware, Software, Comunicaciones, etc., que conforman los procesos definidos en Protech International S.A. de C.V. •
Sistemas del proceso de Centro de Monitoreo: Nombre del Sistema
Descripción
Criticidad
Tipo de Sistema (PC/Servidor/ Mainframe)
Correo Electrónico
Servicio de mensajería web que se utiliza para contacto con el cliente
2
Servicio contratado con proveedor Suempresa
SIM 12
Programa de gestión de monitoreo y servicio
3
Software/Servidor de base de datos
Nº de Equipos con la aplicación
Responsable
12
Adrián Reyes Ramírez
12
Enrique Mendez
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 4 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
•
Hardware del proceso de Centro de Monitoreo: Tipo de Hardware 3 PC’s
3 PC’s
1 PC
1 PC
1 PC
2 PC
Servidor de Aplicaciones
Detalles del Servicio/Modelo/Configuración Procesador Intel® CoreTM 2 Duo 6300 @ 1.86 Ghz Ram: 4097 Mb Chipset 0A58h Ethernet de Intel® Teclado y mouse estándar
Procesador Intel® CoreTM 2 Duo E8300 @ 2.83 Ghz Ram: 4100 Mb Chipset 2820h Ethernet de Intel® Teclado y mouse estándar
Procesador Intel® Celeron D @ 3.20 Ghz Ram: 2048 Mb Chipset 0A48 Ethernet de Intel® Teclado y mouse estándar
Procesador Intel® Pentium D @ 2.70 Ghz Ram: 2048 Mb Chipset H330 Ethernet de Intel® Teclado y mouse estándar
Procesador Intel® Pentium DC @ 2.60 Ghz Ram: 4096 Mb Chipset EG43M Ethernet de Intel® Teclado y mouse estándar
Procesador AMD Athlon II X2 B24 @ 3.00 Ghz Ram: 3076 Mb Chipset 3047h Ethernet de Intel® Teclado y mouse estándar
PowerEdgeTM 2900 Servidor en torre de núcleo cuádruple con 2 sockets
Distribuidor
Criticidad
Localización
Hewlett-packard
1
Bunker
Hewlett-packard
1
Bunker
Hewlett-packard
1
Bunker
Lenovo
1
Bunker
Acer
1
Bunker
Hewlett-packard
1
Bunker
Dell
1
Bunker
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 5 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
•
Otros Activos del proceso: Descripción
Tipo
Criticidad
Localización
Internet dedicado empresarial
Comunicaciones
1
Centros de trabajo.
Equipos de ruteo y swicheo
Comunicaciones
1
Centros de trabajo
Impresoras
Hardware
2
Centros de trabajo.
Red de área local
Comunicaciones
1
Centros de trabajo.
TIEMPO MÁXIMO DE RECUPERACIÓN DE LOS PROCESOS Proceso
Centro de Monitoreo
Necesidades de Recuperación En 4 horas
Criticidad
1
El proceso de Pedidos es clave para la organización, ya que si no se pueden monitorear los servicios de los clientes la empresa no puede dar servicio y por lo tanto incurrirá rápidamente en pérdidas. Por ello es importante que este proceso se recupere lo antes posible.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 6 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
ANÁLISIS DE RIESGOS INVENTARIO DE ACTIVOS
Activo/Descripción
Tipo
Localización
Valor
SERVIDOR DE APLICACIONES
Hardware
Bunker
MEDIO
APLICACIÓN DE PEDIDOS
Aplicación
Servidores y PC’s
MEDIO
INFORMACIÓN CLIENTES
Información
Base de datos
IMPRESORAS
Hardware
Bunker, Z8
MEDIO
REDES DE COMUNICACIONES
Comunicaciones
Bunker, Z8
MEDIO
ALTO
LISTADO DE AMENAZAS
AMENAZAS
POSIBLE
DESASTRES NATURALES Inundaciones
x
Incendios
x
DAÑOS ACCIDENTALES Fuego fortuito
x
Inundaciones
x
Fallo de suministro eléctrico
x
Pérdida de confidencialidad
x
Incumplimientos legales
x
ATAQUES INTENCIONADOS Accesos no autorizados al edificio
x
Actos de vandalismo
x
Robo de equipos
x
Robo de datos / documentos
x
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 7 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
•
Escenarios previstos ESCENARIOS
NIVEL DE PROTECCIÓN
RESPUESTA
1. Inundación del Centro de Proceso de Datos o monitoreo
¿El centro está situado en un terreno alto?
SI
2. Fallos del Suministro Eléctrico.
¿Existen Unidades de Suministro Eléctrico Alternativo (UPS)?
SI
3. Pérdida de información clave de la compañía.
¿Se realizan copias de seguridad de los datos periódicamente?
Si
4. Accesos no autorizados al edificio
¿Existe un control de acceso físico a los edificios de la compañía?
SI
5. Robo de datos
¿Existe una clasificación de la información adecuada al nivel de confidencialidad de los datos?
SI
6. Pérdida de servicios por infección de virus
¿Están los equipos protegidos por un antivirus?
SI
7. Perdida de servicios de comunicación (internet)
¿Se cuenta con servicios redundantes de acceso a internet?
SI
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 8 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
EVALUACIÓN DE RIESGOS
DESCRIPCIÓN
PROBAB
IMPACTO
RIESGO
Desastres naturales
BAJA
MEDIO
BAJO
Pérdida del servicio por fallos en la alimentación eléctrica
BAJA
MEDIO
BAJO
Accesos no autorizados al edificio
BAJA
ALTO
MEDIO
Robo de compañía
confidencial
BAJA
ALTO
ALTO
Pérdida de información crítica de la compañía
BAJA
ALTO
ALTO
información
CONTRAMEDIDAS Para gestionar los riesgos detectados y mitigarlos en la medida de lo posible, se propone la puesta en marcha de las siguientes contramedidas: Realizar copias de seguridad periódicamente. Controlar el acceso a la información estableciendo mecanismos de autenticación. • Establecer un control de acceso físico al lugar donde se encuentran los equipos con información clave para la compañía. • Establecer extintores de fuego. Instalar antivirus en todos los equipos de la compañía. • •
ESTRATEGIA DE RECUPERACIÓN De las alternativas existentes la solución más adecuada sería utilizar el centro de trabajo Z8 en caso de incidencia grave. De esta forma Protech International Services S.A. de C.V. podría seguir dando servicio a sus clientes, sin que el impacto de un incidente tuviera consecuencias catastróficas para la compañía.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 9 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
COMITÉ DE CRISIS
Listado de Integrantes del Comité.
Nombre: Erika Granados
Responsable del Comité
Posición: Gerencia General
Miembros del Comité
Leticia Rodríguez Cuenca Juan Carlos García Fortuna Marcos Soriano Verónica Núñez Alma Casillas Sandro Juárez Enrique Méndez Adrián Hernández Adrián Reyes Ramírez
En dado caso de no contar con la decisión de alguno de los integrantes listados o no puedan participar por cualquier causa, en el orden descendente se proporcionara el poder más alto jerárquicamente para la toma de decisiones de peso para la empresa. Diagrama jerárquico de integrantes del comité de crisis
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 10 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
PLAN DE RECUPERACIÓN El equipo de recuperación es el encargado de poner en marcha todo el proceso de recuperación para restaurar los servicios en “Z8”. Para ello realizarán las siguientes actividades: o Se trasladarán en coche desde Bunker a Z8 los equipos de infraestructura, software y hardware rescatables. o Se pondrá en marcha los sistemas de Centro de Monitoreo o Para la puesta en marcha de los sistemas, se tomará la última copia de seguridad de los sistemas que semanalmente se manda de Bunker a Z8 o En primera instancia se reutilizarán los equipos de Bunker para iniciar los servicios. Se contactará con la persona responsable de compras para que solicite a los proveedores todos los equipos (servidores, PC’s, impresoras, etc.) que no se ha podido salvar de Bunker. o Una vez que se vayan restaurando los servicios, debe comprobarse su operatividad. Punto de Reunión: Bunker. Si no es posible reunirse en Bunker porque los daños sean cuantiosos, se tomará como punto de reunión el sitio “Z8”, situado a 5 Km de “Bunker”.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 11 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
FASE DE ALERTA
PROCEDIMIENTO DE NOTIFICACIÓN DEL DESASTRE Cualquier empleado de Protech International Services S.A. de C.V. que sea consciente de un incidente grave que pueda afectar a la empresa, debe comunicarlo al Jefe de Seguridad proporcionando el mayor detalle posible en la descripción de los hechos. El Jefe de Seguridad debe evaluar la situación e informar al Responsable del Comité de Crisis, que en este caso coincide con la figura del Director General. Diagrama de comunicación
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 12 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
PROCEDIMIENTO DE EJECUCIÓN DEL PLAN El Comité de Crisis reunido en el punto de encuentro evaluará la situación. Con toda la información de detalle sobre el incidente, se decidirá si se activa o no el Plan de Continuidad de Negocio. En caso afirmativo, se iniciará el procedimiento de ejecución del Plan. En el caso de que el Comité decidida no activar el Plan de Continuidad porque la gravedad del incidente no lo requiere, sí será necesario gestionar el incidente para que no aumente su gravedad.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 13 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
FASE DE TRANSICIÓN
PROCEDIMIENTO DE CONCENTRACIÓN Y TRASLADO DE MATERIAL Y PERSONAS Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al centro de reunión indicado. Además del traslado de personas a Z8, hay que trasladar todo el material necesario para poner en marcha el centro de recuperación (cintas de backup, material de oficina, documentación, ...). Esta labor queda en manos del equipo logístico.
PROCEDIMIENTO DE PUESTA EN MARCHA DEL CENTRO DE RECUPERACIÓN Una vez que el equipo de recuperación llegue a Z8 y que los materiales empiecen a llegar, pueden comenzar a instalar las aplicaciones en los equipos que se encuentran en esta oficina.
El equipo de recuperación solicitará al equipo de logística cualquier tipo de material extra que fuera necesario para la recuperación.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 14 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
FASE DE RECUPERACIÓN
PROCEDIMIENTO DE RESTAURACIÓN Los sistemas deben recuperarse lo antes posible, en las 6 horas siguientes.
PROCEDIMIENTO DE SOPORTE Y GESTIÓN Una vez recuperados los sistemas, se avisará a los equipos de los departamentos que gestionan los sistemas, para que realicen las comprobaciones necesarias que certifiquen que funcionen de manera correcta y pueda continuarse dando el servicio.
Además el Equipo de Seguridad deberá comprobar que existen las garantías de seguridad necesarias (confidencialidad, integridad, disponibilidad) antes de dar por terminada la fase de recuperación.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 15 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
FASE DE VUELTA A LA NORMALIDAD Una vez con los procesos críticos en marcha y solventada la contingencia, hay que plantearse las diferentes estrategias y acciones para recuperar la normalidad total de funcionamiento.
ANÁLISIS DEL IMPACTO Es el momento de realizar una valoración detallada de los equipos e instalaciones dañadas para definir la estrategia de vuelta a la normalidad. Para ello, el equipo de recuperación junto con el equipo de seguridad, realizarán un listado de los elementos que han sido dañados gravemente y son irrecuperables, así como de todo el material que se puede volver a utilizar. Esta evaluación deberá ser comunicada lo antes posible al equipo director para que determinen las acciones necesarias que lleven a la operación habitual lo antes posible.
ADQUISICIÓN DE NUEVO MATERIAL Una vez realizada la evaluación del impacto, se determinará la necesidad de nuevo material. El Comité de Crisis contactará con el seguro de la compañía para conocer qué parte cubre el seguro, dependiendo del tipo de póliza contratada por Protech International Services S.A. de C.V, y qué inversión tendrá que hacer la compañía en el material que no se pueda recuperar. Contactar con los proveedores para que en el menor tiempo posible reponga todos los elementos dañados.
FIN DE LA CONTINGENCIA
Dependiendo de la gravedad del incidente, la vuelta a la normalidad de operación puede variar entre unos días (si no hay elementos clave afectados) e incluso meses (si hay elementos clave afectados). Lo importante es que durante el transcurso de este tiempo de vuelta a la normalidad, se siga dando servicio a los clientes y trabajadores por parte de la compañía y que la incidencia afecte lo menos posible al negocio.
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 16 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
Diagrama de plan de contingencia
PROCEDIMIENTO DE PLAN DE CONTINUIDAD DE NEGOCIOS Código PE-PCN-SIS-01
Fecha de emisión Versión Página 01/08/2012 1 17 de 17 Revisó Elaboró Aprobó Gerencia. Administración y Ing. Manuel Peraza Aguilera Gerencia General Finanzas
1. CONTROL DE CAMBIOS
Sección
Revisión
No. Hoja
Descripción
Fecha