Transcript
DISEÑO Y PROPUESTA DE IMPLEMENTACIÓN DE UN PLAN DE
CONTINUIDAD DEL NEGOCIO APLICABLE A LA RED DE HOSPITALES EN
LA CIUDAD DE BOGOTA
JOHN ERIK ANGEL TORRES
HEYNNER VELASCO GALEANO
UNIVERSIDAD CATOLICA DE COLOMBIA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
ALTERNATIVA TRABAJO DE GRADO
BOGOTA
2014
DISEÑO Y PROPUESTA DE IMPLEMENTACIÓN DE UN PLAN DE
CONTINUIDAD DEL NEGOCIO APLICABLE A LA RED DE HOSPITALES EN
LA CIUDAD DE BOGOTA
JOHN ERIK ANGEL TORRES
HEYNNER VELASCO GALEANO
Trabajo de Grado para Optar al Título de Ingeniero de Sistemas
Director
Yasser Muriel Perea
UNIVERSIDAD CATOLICA DE COLOMBIA
FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
ALTERNATIVA TRABAJO DE GRADO
BOGOTA
2014
UNIVERSIDAD CATÓLICA DE
COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA INGENIERÍA DE SISTEMAS
Formato
F-062-05-001
FECHA
17-07-2014
FICHA DEL PROYECTO
Título: DISEÑO Y PROPUESTA DE IMPLEMENTACIÓN DE UN PLAN DE
CONTINUIDAD DEL NEGOCIO APLICABLE A LA RED DE HOSPITALES EN LA
CIUDAD DE BOGOTA
.
Descriptores: BCP (Business Continuity Plan), DRP (Disaster Recovery Plan),
Análisis de Riesgo, Análisis de Impacto.
Tipo de proyecto: Trabajo de investigación
Línea de investigación: Plan de Continuidad del Negocio.
Proyecto asociado: N/A
Fase / Seminarios: N/A
Director / Coordinador: YASSER MURIEL PEREA
Duración: 4 Meses
Costo: $ 1.980.000
DATOS DE LOS ESTUDIANTES
NOMBRE
HEYNNER VELASCO
GALEANO
JOHN ERIK ANGEL
TORRES
CODIGO
TELÉFONOS
e-mail
622051
313 442 93 74
[email protected]
623416
301 443 51 62
[email protected]
EMPRESA O ENTIDAD PARTICIPANTE
Razón social: Universidad Católica de Colombia
CONTENIDO
INTRODUCCIÓN ........................................................................................................................... 6
1.
GENERALIDADES ..................................................................................................................... 8
1.1 ANTECEDENTES ............................................................................................................................. 8
1.2 PLANTEAMIENTO DEL PROBLEMA ............................................................................................. 10
1.2.1 Descripción del Problema ....................................................................................................... 10
1.2.2 Formulación del Problema. ..................................................................................................... 11
1.3 OBJETIVOS DEL PROYECTO ......................................................................................................... 12
1.3.1 Objetivo General. .................................................................................................................... 12
1.3.2 Objetivos Específicos ............................................................................................................... 12
1.4 JUSTIFICACION ............................................................................................................................ 13
1.5
DELIMITACION ...................................................................................................................... 15
1.5.1
Espacio .......................................................................................................................... 15
1.5.2
Tiempo .......................................................................................................................... 15
1.5.3
Contenido...................................................................................................................... 15
1.6
MARCO REFERENCIAL ........................................................................................................... 16
1.6.1
Marco Teórico. .............................................................................................................. 16
1.6.1.1
¿Qué es el Plan de Continuidad del Negocio? ................................................. 16
1.6.2
¿Para que un Plan de Continuidad del Negocio .................................................. 16
1.6.3
Estructura de un Plan de Continuidad del Negocio ..................................................... 17
1.6.4 Análisis del Impacto del Negocio (BIA) ........................................................................ 18
1.6.5
Evaluación de Riesgos ............................................................................................... 19
1.6.6
Cadena de Valor............................................................................................................ 19
1.6.6.1 Actividades primarias .................................................................................................... 19
1.6.6.2 Actividades Secundarias .............................................................................................. 20
1.6.7
Plan de Continuidad del Negocio de acuerdo al Estándar Británico BS25999. 21
1.6.7.1 Inicio y Gestión del Proyecto ....................................................................................... 21
1.6.7.2 Evaluación y Control de Riesgos ............................................................................... 21
1.6.7.3 Análisis de Impacto del Negocio (BIA)...................................................................... 22
1.6.7.4 Desarrollo de Estrategias para la Continuidad del Negocio. .............................. 24
1.6.7.5 Respuesta ante Emergencias. ..................................................................................... 24
1.6.7.6 Desarrollo e Implementación del BCP. ..................................................................... 25
1.6.7.7 Programa de Concientización y Entrenamiento del BCP ..................................... 26
1.6.8 Resiliencia Tecnológica............................................................................................................ 27
1.7
METODOLOGIA PROPUESTA ................................................................................................ 29
1.7.1 Tipo de Estudio. ..................................................................................................................... 29
1.7.2
1.8
Fuentes de Información................................................................................................ 29
DISEÑO METODOLOGICO ....................................................................................................... 29
1.9 CRONOGRAMA ......................................................................................................................... 29
1.10 PRODUCTOS A ENTREGAR ........................................................................................................ 31
1.12 PRESUPUESTO........................................................................................................................... 31
1.13 ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN ............................................................... 31
1.14 BIBLIOGRAFIA ........................................................................................................................... 33
1.15 FIRMAS DE LOS ESTUDIANTES ................................................................................................. 34
1.16 FIRMA DEL DIRECTOR DE TRABAJO DE GRADO ....................................................................... 34
INTRODUCCIÓN
Hoy en día la información es considerada como uno de los recursos más valiosos
para cualquier tipo de empresa, sin importar el sector económico al cual
pertenezcan las decisiones más importantes y acertadas se toman con base a la
información que contenga cada una de las mismas. El aseguramiento de dicha
información y de los sistemas que la procesan es, por tanto, un objetivo de primer
nivel para la organización.
Por esta razón es importante adoptar medidas y planes que mitiguen el impacto
ante cualquier incidente o riesgo ya sea este provocado por un desastre natural
como un terremoto o inundación, sino también por aquellos riesgos que son
generados por el hombre, ataques cibernéticos, bombas, interrupción del fluido
eléctrico etc.
Adicionalmente para almacenar, procesar y distribuir la información equipos de
cómputo y comunicaciones, los cuales también deben ser protegidos en pro de la
seguridad, calidad, oportunidad y precisión de la información.
Teniendo en cuenta la alta competencia en un mundo globalizado y así mismo
expuesto día a día a diversas amenazas, se hace prioritario y menester la puesta
en marcha de un Plan de Continuidad del Negocio, el cual permita que los
procesos críticos de las empresas continúen aun cuando un desastre natural
ocurra o en caso de ser víctimas de un ataque perpetrado por el hombre.
La mayoría de las empresas tiene claro sus procesos críticos o en otras palabras
aquellos que deben ser entregados para asegurar la supervivencia de la
organización, pero muy pocas tiene claro cómo reaccionar si uno de estos
procesos falla o es interrumpido.
En España se dice que “El 81 por ciento de los directores cuyas organizaciones
activaron sus mecanismos de continuidad de negocio en los últimos 12 meses
dicen que fue efectivo en la reducción de las interrupciones. En resumen: la
continuidad de negocio funciona”1
Los desastres naturales, los cortes en las tecnologías de la información o la
huelga son las interrupciones que encontramos en primer plano. Sin embargo, la
interrupción también incluye las enfermedades de los empleados o algunos
acontecimientos que afectan a la cadena de suministro.
1
B.S.I Continuidad del Negocio [En línea]. Disponible en Internet:
[Citado
02/02/2014].
El siguiente trabajo proporciona un diseño de Plan de Continuidad del Negocio
que le permite identificar a la Red de Hospitales las amenazas y riesgos más
comunes teniendo en cuanta su actividad y misión, además les proporciona
herramientas y planes simples de acuerdo a un presupuesto limitado para que en
un determinado momento pueden utilizar o activar respectivamente con el finalidad
de continuar con la operación normal aun cuando un desastre ocurra.
El documento está compuesto de la siguiente manera, en primer lugar se
encuentran los antecedentes, planteamiento del problema, objetivos y justificación,
luego se encuentra la delimitación, marco teórico y finalmente la metodología
propuesta, presupuesto y cronograma.
1.
GENERALIDADES
1.1 ANTECEDENTES
De acuerdo con la constitución política de Colombia el servicio de salud es un
derecho fundamental y se debe garantizar la prestación de dicho servicio aun en
situaciones catastróficas o cuando se interrumpa la cadena de valor, dicho
servicios es ofrecido por la Red de Hospitales en la cuidad de Bogotá.
Para estas empresas, es muy importante garantizar a sus pacientes un adecuado
nivel de servicio, seguridad, disponibilidad y confiabilidad de los procesos que
garantizan la prestación del servicio, de tal manera que se asegure la continuidad
de su negocio. Esta disponibilidad se puede ver afectada por factores
accidentales, incidentales y humanos.
Por ejemplo, en el atentado del 11 de septiembre del 2001, varias empresas
fracasaron por la falta de un plan de continuidad del negocio. Esto genero la
necesidad de que actualmente las organizaciones estén implementando
mecanismos y/o técnicas, que mitiguen los riesgos a los que se está expuesto,
brindando una alta disponibilidad en las operaciones de su negocio.
Otro caso fue el incendio de la torre Windsor en Madrid en el 2005, donde se
evidencio que durante la fusión entre las compañías Andersen y Deloitte
se
realizó un plan de continuidad del negocio donde se adoptaron una serie de
medidas para tener respaldo de todos los sistemas de información y de
telecomunicaciones y es así cuando un periodo después ocurrió la catástrofe que
no se vio afectada en recursos humanos sino pérdidas materiales y la empresa
salió a flote gracias a él plan que se realizó unos meses antes.2
Una de las recomendaciones para mitigar los riesgos es la necesidad de recuperar
los recursos, ya sean humanos, infraestructura, datos vitales, tecnología de
información, equipos de oficina e implementos requeridos que permitan continuar
con el funcionamiento normal de la organización.3
La recuperación ante desastres (disaster recovery) es un concepto desarrollado en
los años setentas, a partir de que los administradores de centros de cómputo
comenzaron a reconocer la dependencia de sus organizaciones con sus sistemas
computarizados.
2
Alfonso Mur, Continuidad del Negocio, resiliencia y planes de contingencia, El Incendio del Edificio Windsor
– Un Caso Real [En línea]: < http://www.criptored.upm.es/descarga/ConferenciaAlfonsoMurTASSI2013.pdf >
Citado [28 de Julio de 2014]
3
SISTESEG. Plan de Continuidad P 2 [En línea]: [Citado 28 de Julio de 2015]
En los años setentas la mayoría de sistemas eran procesos en lote que corrían en
grandes computadoras centrales o mainframes, los cuales en muchos casos
podían estar caídos por varios días antes de que se produzcan daños
significativos a la organización.
A medida que la conciencia sobre de la recuperación ante desastres crecía, y
al ser considerados los centros de cómputo como puntos únicos de falla
(single points of failure - SPOF), se desarrolló un rubro de servicios que
proveía centros de cómputo de respaldo, Sun Information Systems fue uno
de los primeros (que luego se convertiría en Sungard Availability Systems) y
más importantes proveedores de hot-sites comerciales en los Estados
Unidos.
El costo de estos servicios era sustancialmente menor que el costo asumido
por el cliente, de duplicar su infraestructura informática crítica. Esta estrategia
se convirtió en el estándar para la recuperación de TI desde fines de los
setentas, y hoy continúa siendo un importante rubro de servicios.
Durante los ochentas y noventas, la conciencia sobre la recuperación
tecnológica ante desastres (IT disaster recovery) y la industria de
la recuperación ante desastres crecieron rápidamente, impulsada por la
aparición de los sistemas abiertos y el procesamiento en tiempo real.
Las organizaciones se dieron cuenta de que las interrupciones de TI podían
tener impactos significativos en la continuidad de las funciones operativas
críticas del negocio. La continuidad del negocio mismo podía verse
amenazada.
Con el rápido crecimiento del Internet en los noventas y la década del 2000,
organizaciones de todos los tamaños se volvieron mucho más dependientes
de la disponibilidad de sus sistemas informáticos, llegando algunas empresas
a establecer niveles de disponibilidad de hasta 99.999%.
Este incremento de la dependencia con los sistemas de TI, así como la
conciencia de posibles desastres a gran escala, como el del "11 de
septiembre", contribuyeron a:
Crecimiento de las diversas industrias relacionadas a la recuperación
ante desastres. desde soluciones de alta disponibilidad hasta
infraestructuras de sitios alternos (Hot-Sites)
La consolidación de la disciplina de continuidad de negocios.
Un factor clave fueron las regulaciones gubernamentales, que
comenzaron a exigir que las organizaciones de los diversos sectores
de la economía contaran con un sistema de gestión de la continuidad
del negocio (SGCN), así como con planes de recuperación ante
desastres para las TI.
Hoy en día, la gestión de la continuidad del negocio abarca a todas las
funciones y recursos, procesos críticos del negocio, recursos
humanos, mantenimiento y respaldo del suministro eléctrico, aspectos
de transporte, alimentación, seguridad, infraestructura tecnología y
salud.
Jerárquicamente, la continuidad del negocio está arriba; debajo está el
plan de recuperación ante desastres; y debajo de este viene la
tecnología como el respaldo de datos, la recuperación y la
restauración de TI. El departamento de TI, con su plan
de recuperación ante desastres, es un elemento (clave) dentro del
gran escenario de la continuidad del negocio (el SGCN).4
1.2 PLANTEAMIENTO DEL PROBLEMA
1.2.1 Descripción del Problema.
Aunque el acceso a la salud en un derecho fundamental, en una sociedad como
la nuestra este servicio es bastante limitado, la relación oferta vs demanda es muy
desequilibrada, ya que la Red de Hospitales no logra atender a la totalidad de
pacientes que requieren este servicio, lo anterior como consecuencia de un
presupuesto limitado, corrupción y diferentes factores que impiden una adecuada
prestación de este derecho fundamental.
Por lo anterior es de vital importancia proteger la limitada Red de Hospitales con el
fin de que estén preparados ante cualquier interrupción o catástrofe que amenace
la prestación del servicio de salud y del acceso a urgencias.
De acuerdo a entrevista realizada a el señor Orlando Ángel quien se ha
desempeñado como Director Financiero en los Hospitales de Bosa, Kennedy y
actualmente en el Hospital de Suba, la Red de Hospitales en la ciudad de Bogotá
están poco preparados ante eventos como desastres naturales o errores
humanos, lo anterior como consecuencia de carecer de un Plan de Continuidad
del Negocio.
4
BLOGGER GALILEUS. Antecedentes Históricos de la Continuidad del Negocio [En línea]:
http://businesscontinuity-pe.blogspot.com/2012/07/antecedentes-historicos-de-la.html Citado[20 de Julio
de 2014]
Según información suministrada por el entrevistado son pocos los conocimientos
que tienen la Red de Hospitales sobre los beneficios que pueden obtener con el
despliegue de un BCP, que permita la recuperación de servicios intangibles tales
como la información de los procesos críticos de la empresa.5
Basados en la anterior información podemos afirmar que muy probablemente la
mayor parte de la Red de Hospitales en la cuidad de Bogotá enfrentan la
problemática de desconocer este tipo de prácticas que en determinado momento
pueden llegar a salvarlas de su desaparición o quiebra y aún más grave de
denegar la prestación de un servicios básico como la salud.
Aunque proteger la información es un principio básico para la supervivencia de
cualquier empresa que preste servicios transaccionales, es decir que dependan de
la misma para continuar operando, esto no es suficiente, se debe contar con un
plan que garantice la continuidad de los procesos que soportan dicha información
frente a cualquier interrupción de la cadena de suministro.
Por esta razón surge la necesidad de diseñar e implementar un Plan de
Continuidad del Negocio que pueda ser aplicado y que tenga en cuenta los
factores más comunes de riesgos a los cuales están expuestas.
1.2.2 Formulación del Problema.
De acuerdo a los antecedentes y a la historia es clara la necesidad que hoy en día
afronta la Red de Hospitales por contar con un Plan de Continuidad del Negocio,
la falta de concientización y planeación sobre esta problemática puede tener como
consecuencia entre otras:
5
Multas por parte de la Superintendencia Nacional de Salud
La desaparición o quiebra del Hospital.
Estaría en riesgo la prestación del servicio de acceso a la salud.
La Entidad no cumpliría con su misión.
Afrontar consecuencias económicas y legales con los entes de control, ya
que la Red de Hospitales debe garantizar la prestación de servicios aun en
situaciones catastróficas o interrupciones de la cadena de valor.
Pérdida de pacientes.
Pérdida de credibilidad en el sector.
ENTREVISTA con Orlando Angel, Director de Departamento Financiero del Hospital de Suba II Nivel EPS, 08
de Marzo de 2014.
Contar con un Plan de Continuidad del Negocio ayuda considerablemente a
mitigar el riesgo de interrupción del servicios, dando la capacidad de reaccionar de
una forma correcta, ordenada y efectiva ante cualquier eventualidad o interrupción.
Esta investigación está centrada en identificar, cuantificar y mitigar los riesgos más
críticos a los cuales se exponen este tipo de empresas y diseñar un BCP que se
ajuste a sus necesidades teniendo en cuenta presupuesto, viabilidad y capacidad
de adaptación a las nuevas tecnologías.
1.3 OBJETIVOS DEL PROYECTO
1.3.1 Objetivo General.
Diseñar y proponer la implementación de un Plan de Continuidad del Negocio que
sea aplicable a la Red de Hospitales en la cuidad de Bogotá.
1.3.2 Objetivos Específicos
Identificar el grado de conocimiento e implementación de esta práctica
en tres (3) Hospitales de la cuidad de Bogotá.
Identificar los procesos críticos y a partir de estos diseñar un Plan de
Continuidad del Negocio aplicable a la Red de Hospitales de la cuidad
de Bogotá.
Proponer la implementación del prototipo diseñado en uno (1) de los
hospitales sobre los cuales se generó el estudio.
1.4 JUSTIFICACION
El acceso a la salud es un derecho fundamental, este derecho es constantemente
violado por la denegación del servicio a la cual se ven enfrentados los ciudadanos
que hacen parte del sistema de salud público, lo anterior obedece a varios
factores, tales como corrupción, limitaciones tanto económicas como sociales,
falta de mecanismos y planes que garanticen la continuidad del negocio.
De acuerdo con la Alcaldía Mayor de Bogotá6 la Red de Hospitales está
conformada por 12 hospitales de Primer Nivel de atención, 5 de Segundo y 5 de
Tercer Nivel, que cubren todas las localidades de la ciudad. Dentro del Hospital
Simón Bolívar se encuentra la Unidad de Quemados, una de las más reconocidas
en el país. A la red distrital también pertenece el Hemocentro Distrital, quien actúa
como apoyo a los bancos de sangre y garante del suministro de sangre y
hemoderivados seguros a la ciudad.
La población sobre la cual se generara el estudio está compuesta además de los
22 hospitales antes mencionados por 10 más del sector Privado para un total de
32 Hospitales, los cuales mencionamos a continuación:
http://wsr.registraduria.gov.co/descargar/clin_hosp.pdf
6
Alcaldía Mayor de Bogotá. Red Prestadora de Servicios de Salud [En línea].
http://www.saludcapital.gov.co/DASEG/Documents/Red%20Prestadora%20de%20Servicios%20de%20Salud
%20-%20Bogota%202013%20-%202014.pdf [Citado 14 de Julio de 2014].
Teniendo en cuenta que el número de Hospitales Públicos es reducido y no
garantiza cubrir con la totalidad de la demanda, es menester desplegar un Plan de
Continuidad del Negocio que mitigue el riesgo de quiebra o desaparición por
cuenta de eventos infortunados y por el contrario asegure la supervivencia de este
tipo de empresas con el fin de no deteriorar el derecho fundamental a la salud.
De acuerdo a entrevista con Adriana Hernández Baquero quien se ha
desempeñado como Ingeniera de Procesos y Riesgos en el Instituto de
Cancerología, Hospital de Kennedy y actualmente en la Clínica Mederi, la mayoría
de hospitales que pertenecen al sistema de salud en la ciudad no cuenta con un
Plan de Continuidad del Negocio que garantice la prestación del servicio en caso
de alguna eventualidad.
De acuerdo con entrevistas realizadas , aunque en ocasiones los hospitales tienen
conocimiento de los riesgos y amenazas a los cuales están expuestos, por temas
de presupuesto y falta de planeación nunca se realiza o se ejecuta un proyecto
que tenga que ver con el tema planeado en este trabajo.7
Adicionalmente, son pocos los conocimientos que tienen los Hospitales con
respecto a los beneficios que pueden obtener con la ejecución de planes de
continuidad de negocio, que permitan la recuperación de servicios intangibles tales
como la información de los procesos de la empresa.
Finalmente los hospitales, como muchas pequeñas y medianas empresas piensan
erróneamente que el back-up es un Plan de Continuidad de Negocio. No es así. El
simple back-up o la copia de datos, en sí mismo, no garantiza que un negocio será
capaz de desarrollar sus operaciones de manera normal, ni siquiera la
recuperación mínima necesaria de su información después de que ocurren los
desastres.8
Es por esto que es evidente la necesidad de colaborar en este sentido y
concientizar y apoyar a este tipo de empresas en la elaboración de proyecto
planteado.
7
ENTREVISTA con Adriana Baquero, Profesional de Procesos y Riesgo de la Clínica Mederi, 08 de Marzo de
2014
8
Revista Dinero en Línea. La importancia de implementar un Plan de Continuidad del Negocio (1ra Parte) [En
línea]. http://www.dineroenimagen.com/2013-07-01/22403. Citado [14 de Julio de 2014].
1.5
DELIMITACION
1.5.1 Espacio. El proyecto será aplicable principalmente para la Red de
Hospitales de la cuidad de Bogotá, la cual concentra la mayor cantidad de
empresas de este tipo, aunque dependiendo de la zona es aplicable
hospitales de todo el país.
1.5.2 Tiempo. Este proyecto será desarrollado en el segundo periodo académico
del año 2014 de la Universidad Católica de Colombia que comprende desde
el 09 de Agosto que es cuando se realiza la presentación formal del
Anteproyecto, hasta el 20 de Noviembre, día planteado para la
socialización.
1.5.3 Contenido. El contenido consta de la investigación en tres (3) Hospitales
de la cuidad de Bogotá con respecto al diseño e implementación de un Plan
de Continuidad del Negocio. El estudio se realizara en 3 empresas del
sector, pero se implementara en solo una (1) de ellas.
1.6 MARCO REFERENCIAL.
1.6.1 Marco Teórico.
El presente proyecto se enfoca en el diseño e implementación de un Plan de
Continuidad del Negocio que permita la mitigación de los riesgos más comunes a
los cuales se ven enfrentadas los Hospitales, por lo anterior es necesario conocer
la terminología general de la cual hablaremos en el proyecto.
1.6.1.1
¿Qué es el Plan de Continuidad del Negocio?
Un plan de continuidad del negocio (o sus siglas en inglés BCP, por Business
Continuity Plan) es un plan logístico para la práctica de cómo una organización
debe recuperar y restaurar sus funciones críticas parcial o totalmente
interrumpidas dentro de un tiempo predeterminado después de una interrupción no
deseada o desastre. En lenguaje sencillo, BCP es el cómo una organización se
prepara para futuros incidentes que puedan poner en peligro a ésta y a su misión
básica a largo plazo. Las situaciones posibles incluyen desde incidentes locales
(como incendios, terremotos, inundaciones, etc.), incidentes de carácter regional,
nacional o internacional hasta incidentes como pandemias, apocalipsis zombi,
ataques extraterrestres, etc.9
1.6.2 ¿Para que un Plan de Continuidad del Negocio?
El principal propósito de la planificación de la continuidad del negocio consiste en
ayudar a las organizaciones a reiniciar las operaciones críticas dentro de un marco
de tiempo aceptable después de una interrupción, esta intenta reparar dificultades
de gran envergadura (ya sean producidas por el hombre o por la naturaleza) que
tienen un impacto sobre la efectiva ejecución de los procesos críticos de una
organización. Todas las áreas críticas del negocio y las funciones de apoyo están
incluidas en el proceso de planificación.
En la era de la información la disponibilidad ininterrumpida de la misma es
esencial. Puede suceder que un desastre natural, una catástrofe o una acción
fraudulenta interrumpan la posibilidad de acceso a la información afectando
desfavorablemente los procesos clave del negocio. Asimismo, las exigencias del
mercado, junto con un mayor nivel de dependencia de la tecnología para ejecutar
9
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio
los procesos del negocio evidencian la necesidad de una planificación de
continuidad eficiente.10
“En síntesis el objetivo de un Plan de Contingencia y de un Plan de Continuidad
Del Negocio se podría resumir en la maximización de la capacidad de mantener
un nivel rentable no solo de las utilidades del negocio, sino también de su
capacidad de operar de forma relativamente normal en el período transitorio entre
el inicio de una catástrofe y de una reconstrucción completa y la recuperación del
sistema de información que procesa”.11
1.6.3 Estructura de un Plan de Continuidad del Negocio.
El Plan de continuidad del negocio sigue la siguiente estructura:
Fuente:http://www.sisteseg.com/files/Microsoft_PowerPoint_PLANES_DE_CONTINUIDAD_NEGOCIO_V_3.0.
pdf.
10
LEON LOPEZ, Diana Rocío. Plan de contingencia para el archivo de la Universidad de la Salle como parte
de la implantación del sistema integrado de conservación. Bogotá: Universidad de la Salle. Facultad de
Sistemas de Información y Documentación. Modalidad trabajo de grado, 2007. p. 35.
11
KPMG. Plan de Continuidad del Negocio [en línea]. México: La Empresa citado [14 Julio, 2014]. Disponible
en Internet:
1.6.5 Evaluación de Riesgos.
La evaluación de riesgos identifica las amenazas, vulnerabilidades y riesgos de la
información, sobre la plataforma tecnológica de una organización, con el fin de
generar un plan de implementación de los controles que aseguren un ambiente
informático seguro, bajo los criterios de disponibilidad, confidencialidad e
integridad de la Información.
Los dos puntos importantes a considerar son:
La probabilidad de una amenaza.
La magnitud del impacto sobre el sistema, la cual se mide por el nivel de
degradación de uno o combinación de alguno de los siguientes
elementos: confidencialidad, disponibilidad, integridad. 13
1.6.6 Cadena de Valor.
La cadena de valor es una herramienta propuesta por Michael Porter
planificación estratégica.
14
para la
La cadena de valor es esencialmente una forma de análisis de la actividad
empresarial mediante la cual descomponemos una empresa en sus partes
constitutivas, buscando identificar fuentes de ventaja competitiva en aquellas
actividades generadoras de valor. Esa ventaja competitiva se logra cuando la
empresa desarrolla e integra las actividades de su cadena de valor de forma
menos costosa o mejor diferenciada que sus rivales. Por consiguiente la cadena
de valor de una empresa está conformada por todas sus actividades
generadoras de valor agregado y por los márgenes que éstas aportan15 .
La cadena de valor se divide en dos partes:
1.6.6.1 Actividades primarias
Las actividades primarias se refieren a la creación física del producto,
su venta y el servicio postventa, y pueden también a su vez,
diferenciarse en sub-actividades. El modelo de la cadena de valor
distingue cinco actividades primarias:
13
Rodrigo Ferrer CISSP. SISTESEG [En línea]. Bogotá Citado[14 de Julio de 2014]
14
PORTER, Michael. La ventaja Competitiva: Creación y Sostenimiento de un Desarrollo mejor. México :
CECSA, 1987. 137 p.
15
Ibid
Logística interna: comprende operaciones de recepción,
almacenamiento y distribución de las materias primas.
Operaciones (producción): procesamiento de las materias primas para
transformarlas en el producto final.
Logística externa: almacenamiento de los productos terminados y
distribución del producto al consumidor.
Marketing y Ventas: actividades con las cuales se da a conocer el
producto.
Servicio: de post-venta o mantenimiento, agrupa las actividades
destinadas a mantener, realzar el valor del producto, mediante la
aplicación de garantías.16
1.6.6.2 Actividades Secundarias
Las actividades primarias están apoyadas o auxiliadas por las también
denominadas ‘actividades secundarias’:
• Infraestructura de la organización: actividades que prestan apoyo a
toda la empresa, como la planificación, contabilidad y las finanzas.
• Dirección de recursos humanos: búsqueda, contratación y motivación
del personal.
• Desarrollo de tecnología, investigación y desarrollo: generadores de
costes y valor.
• Compras.17
Fuente: http://www.luisarimany.com/la-cadena-de-valor.
16
17
Ibid
Ibid
1.6.7 Plan de Continuidad del Negocio de acuerdo al Estándar Británico BS25999.
1.6.7.1 Inicio y Gestión del Proyecto
El objetivo de esta primera fase, es establecer la necesidad de desarrollar el
BCM en la organización, de tal manera que se comunique la importancia de
realizar este plan, involucrando a los directivos y el personal de la empresa.
Para esto, es importante:
• Definir un comité responsable del plan
• Asignar responsabilidades por cada equipo de trabajo
• Indicar las actividades de cada una de las fases del proyecto
• Documentar los procesos
• Presentar los avances
• Obtener la aprobación por parte de los directivos.
Las responsabilidades del coordinador de esta etapa son:
• Dirigir la definición de objetivos, políticas y actividades críticas.
• Coordinar y organizar directores por cada fase del proyecto.
• Controlar el proceso de BCM a través de métodos de control efectivo y
gestión de cambio.
• Presentar el proceso a Directivos y personal.
• Desarrollar el plan y presupuesto para iniciar el proceso.
• Definir y recomendar procesos de estructura y gestión.
• Dirigir el proyecto a desarrollar e implementar el proceso del BCM. 18
1.6.7.2 Evaluación y Control de Riesgos.
El objetivo de la evaluación de riesgos es identificar las amenazas internas y
externas, incluyendo concentraciones de riesgo, que pueden causar la
18
RODRIGUEZ LACHE, Edith. CORREA CANO, Deisy. PLAN DE CONTINUIDAD DE NEGOCIO BS-25999.
Disponible en Internet: http://www.sisteseg.com/files/Microsoft_Word_-_Articulo_BS_25999_DEF1.pdf
[Citado 14 de Julio de 2014].
interrupción o pérdida de la Actividades Críticas de una organización, así
como la probabilidad (o frecuencia) de que ocurra una amenaza y cómo es
vulnerable una organización a varios tipos de amenazas permitiendo su
gestión de priorización y control para formar una base en la que se establezca
un programa de control y un plan de acción de gestión de riesgo.
Para realizar una evaluación y control de riesgos se debe tener en cuenta lo
siguiente:
• Identificar riesgos
• Análisis/Evaluación de riesgos
• Gestión y Control de riesgos
Después de realizar la evaluación y el control de riesgos, los resultados
obtenidos incluyen la identificación y documentación de:
• La probabilidad de ocurrencia, en la organización, a un tipo específico de
amenaza.
• Concentración de riesgos donde el número de Actividades de Misión Crítica
es localizado dentro del mismo edificio o en el mismo lugar.
• Una evaluación y análisis de riesgos (combinado con un Análisis de Impacto
del Negocio - BIA).
• Una estrategia de gestión de control de riesgo y plan de acción. • El enfoque
de priorización del BCM y control de riesgos. 19
1.6.7.3 Análisis de Impacto del Negocio (BIA).
El Análisis de Impacto del Negocio (BIA – Business Impact Analysis) consiste
en técnicas y metodologías que pueden ser usadas para identificar, cuantificar
y cualificar los impactos de negocio y sus efectos en una organización en caso
de pérdida o interrupción de las Actividades de Misión Crítica. Sin embargo, la
clave para realizar un Análisis de Impacto del Negocio es analizar el negocio
como un todo más no como componentes, procesos o funciones individuales.
19
Ibid.,p,3
El análisis BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO
(Recovery Point Objective) que deben ser establecidos por la organización.
Están definidos como:
• RTO (recovery Time Objective): El tiempo entre el punto de interrupción, y el
punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando
nuevamente, con los datos actualizados.
• RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las
actividades del sistema debido a la ocurrencia de un determinado evento.
El objetivo de un Análisis de Impacto del Negocio es identificar las actividades
de misión crítica de una organización, sus dependencias y sus puntos de fallas
así como analizar el impacto y el efecto que se generaría en caso de la
perdida e interrupción de las actividades de misión crítica. A su vez, informar y
permitir opciones para crear una resistencia en las operaciones de negocio de
la organización. 20
Sin embargo, el BIA posee los siguientes componentes claves:
• Cuestionarios de autovaloración – papel y digitales.
• Listas de comprobación.
• Una Matriz de Análisis de Impacto del Negocio.
Después de realizado el BIA, se obtendrán como resultados, la identificación y
documentación de:
• Objetivos y salidas (servicios y productos).
• Actividades de Misión Crítica, sus dependencias y puntos de falla.
• Impactos y efectos (consecuencias) financieros y no financieros como
resultado de una interrupción o pérdida de una o más actividades de misión
crítica durante varios periodos de tiempo.
• Los objetivos del BCM para cada actividad de misión crítica y sus
dependencias.
• Una priorización mínima y aceptable de la recuperación de los recursos.
20
Ibid., p.3-4
• Registros/datos vitales
• Usuarios y Clientes Claves
• Proveedores (tanto dentro como fuera de la organización)
1.6.7.4 Desarrollo de Estrategias para la Continuidad del Negocio.
El propósito del desarrollo de estrategias consiste en identificar las alternativas
de recuperación de las operaciones en los marcos de tiempo definidos.
El desarrollo de las estrategias del BCM involucra los siguientes aspectos:
• Identificar los requerimientos de continuidad de la organización.
• Evaluar la compatibilidad de las estrategias contra los resultados del BIA.
• Presentar el análisis costo / beneficio de las estrategias de continuidad.
• Seleccionar los sitios alternos y de almacenamiento externo.
• Entender los términos contractuales de los servicios de continuidad del
negocio.
Algunas de las alternativas de recuperación comprenden estrategias de
almacenamiento externo a la organización (Ej. Hotsite, coldsite, etc.), a su vez
procedimientos de recuperación interna documentados, así como acuerdos
recíprocos entre empresa-empresa y/o empresa-cliente, o una utilización de
combinación de estrategias.21
1.6.7.5 Respuesta ante Emergencias.
El propósito de la fase de respuesta ante emergencias es desarrollar e
implementar procedimientos para responder y estabilizar la situación después
de un incidente y administrar el centro de operaciones de emergencia a ser
utilizado como “centro de mando”.
Para cumplir con este propósito es necesario que:
• Identifique componentes de los procedimientos de respuesta a emergencia.
• Especifique los procedimientos de respuesta a emergencia.
21
Ibid., p.5
• Identifique requerimientos de control y autoridad.
• Procedimientos de control y autoridad.
• Respuesta a emergencia y recuperación de heridos.
• Seguridad y recuperación.22
1.6.7.6 Desarrollo e Implementación del BCP.
Esta fase involucra el diseño, desarrollo e implementación de planes de
continuidad del negocio para evitar interrupciones de acuerdo a los marcos
establecidos por los RTO’S y RPO’S.
Un buen desarrollo e implementación de un BCM incluye:
• Identificar requerimientos para el desarrollo de los planes.
• Definir requerimientos de control y administración de la continuidad.
• Identificar y definir un formato y la estructura principal de los componentes de
los planes.
• Elaborar un borrador de los planes.
• Definir procedimientos de gestión de crisis y continuidad del negocio.
• Definir las estrategias de evaluación de daños y reanudación.
• Desarrollar una introducción general a los planes.
• Desarrollar la documentación de los equipos de operación del negocio.
• Desarrollar la documentación de los equipos de recuperación de tecnología
de información.
• Desarrollar el sistema de comunicaciones.
• Desarrollar los planes de los usuarios finales de aplicaciones.
• Implementar los planes.
• Establecer los procedimientos de control y distribución de los planes.
22
23
Ibid.,p.4-5
Ibid.,p.5
23
1.6.7.7 Programa de Concientización y Entrenamiento del BCP
Toda organización que quiera posicionarse en el mercado y estar preparada a
cambios en su entorno, requiere de un constante proceso de evolución. Este
proceso genera en la mayoría de los casos, cambios al interior de la empresa.
Siempre que se presentan estos cambios existe un porcentaje de resistencia
al cambio relacionado con el personal que interviene en dicho proceso.
Es necesario que la organización prepare a sus empleados ante la presencia
de un cambio, logrando minimizar esa resistencia y obteniendo mejor
disposición ante situaciones de este tipo creando una cultura de aceptación
ante un evento que perturbe su labor.
Son estos algunos motivos por los cuales se presenta en la gestión de
continuidad de negocio una fase en la cual se trata la concientización y
entrenamiento del BCM y su relación con la implementación mantenimiento,
gestión y ejecución del mismo. Este proceso de conciencia es necesario que
se realice en toda la organización (no solamente en el área de IT) logrando
aumentar la resistencia ante riesgos.
Para logran una concientización y entrenamiento en necesario:
• Definir objetivos de concientización y entrenamiento
• Desarrollar e implementar varios tipos de programas de entrenamiento
• Desarrollar programas de concientización
• Identificar otras oportunidades de educación.24
24
Ibid.,p.5
1.6.8 Resiliencia Tecnológica.
Resiliencia, en términos generales, es la capacidad de un material para
regresar a su forma original después de que se le ha aplicado una fuerza de
deformación. En psicología, se define como la capacidad de las personas para
recuperarse ante situaciones problemáticas o contratiempos y continuar con
su vida.
En lo que a tecnologías de la información corresponde, resiliencia es la
capacidad de la infraestructura, ya sea de seguridad o de TI, de proveer y
mantener un funcionamiento aceptable a pesar de fallas y desafíos a la
operación normal, por ejemplo: sobrecargas de trabajo, tráfico malicioso,
etcétera.
El objetivo final es medir para cada componente aspectos como disponibilidad,
rendimiento, ancho de banda, latencia, paquetes perdidos, jitter, etcétera; de
tal forma que podamos evaluar, en la vida real, qué tan resistentes son
nuestras contramedidas y tecnologías de seguridad implementadas, así como
las capacidades de la infraestructura de TI con que contamos.25
Evaluar la resiliencia se torna crítico cuando reconocemos que:
Es cada día mayor la dependencia de las instituciones gubernamentales y
de las empresas privadas en las tecnologías de la información para desarrollar
sus actividades cotidianas.
Las aplicaciones y los ambientes en los que se ejecutan son cada vez más
complejos,
donde
conceptos
como
Web
2.0, Rich
Internet
Applications, Service Oriented Architecture (SOA), virtualización, cómputo en
la nube, ambientes de movilidad y servicios multimedia son los pilares de las
nuevas arquitecturas aplicativas.
Existen numerosos riesgos y una gran variedad de vectores de ataque a
los que la mayoría de las organizaciones está expuesta.
A continuación menciono algunas consideraciones a tomar en cuenta cuando
una organización decide comenzar con una iniciativa para evaluar la
resiliencia de su infraestructura:
Definir un plan de pruebas que contemple los diferentes escenarios a los
que la infraestructura está o pudiese estar expuesta, así mismo, este plan
debe considerar validaciones sobre todos los componentes que intervienen en
la prestación de servicios críticos para el negocio.
Contemplar la inyección de tráfico válido que refleje el comportamiento
típico de las aplicaciones y de los usuarios, e inválido que incluya
25
POLANCO. Marcos. ITIL, CISSP, CISA Y CISM. ¿Y usted ya está evaluando la resiliencia de su
infraestructura? Disponible en Internet: http://www.magazcitum.com.mx/?p=2105 [Citado 14 de Julio de
2014].
ataques DDoS, exploits, paquetes malformados, etcétera. En ambos casos
considerar volúmenes de tráfico normales y “sobrecargas”, para así obtener la
medición de tiempos de respuesta, disponibilidad, latencia y, en general,
observar el comportamiento de la infraestructura.
Realizar pruebas periódicas para la definición de líneas base. Estas últimas
nos permiten establecer el comportamiento mínimo aceptable de los
componentes de TI y ayudan a identificar cuando existen desviaciones que
impacten al negocio.
Efectuar pruebas de seguridad y rendimiento después de cambios mayores
a la infraestructura, con el fin de garantizar que las modificaciones
implementadas no afectan la resiliencia de la misma.
Utilizar tecnologías avanzadas para automatizar este tipo de pruebas. Hoy
en día ya existen herramientas avanzadas que permiten, entre otras cosas:
o
Definir escenarios tan complejos como se requiera, simulando
aplicaciones comerciales y los protocolos más comunes.
o
Simular ataques que incluyen malware, DDoS, malware móvil,
etcétera.
o
Simular millones de usuarios simultáneos.
o
Evaluar la capacidad de un dispositivo de manejar múltiples sesiones
TCP concurrentes.
o
Realizar pruebas mezclando tráfico válido e inválido al mismo
tiempo.
o
Alcanzar anchos de banda superiores a los 100 Gbps.
o
Capturar y recrear flujos de tráfico.26
26
Ibid.
1.7
METODOLOGIA PROPUESTA
1.7.1 Tipo de Estudio.
La técnica utilizada es investigación aplicada, está basada en la utilización de los
conocimientos en la práctica, para aplicarlos, siempre como principal objetivo
brindar u ofrecer un beneficio a las empresas del sector y a la sociedad en
general.
1.7.2 Fuentes de Información.
La fuente de información principal para diseñar el Plan de Continuidad del Negocio
serán los tres (3) Hospitales de la ciudad de Bogotá en los cuales se ejecutara el
trabajo propuesto.
1.8
DISEÑO METODOLOGICO
Inicialmente se hará un análisis acerca de la implementación de Planes de
Continuidad del negocio en el sector escogido, posteriormente realizamos el
levantamiento de información de procesos críticos con el fin de identificar posible
vulnerabilidades y riesgos.
Después y de acuerdo a la información recaudada de la muestra escogida
realizamos el Análisis de Impacto de Negocios (BIA), en seguida y con base en
dicho análisis hacemos la evaluación de riesgos para finalmente diseñar las
estrategias que conforman BCP, dicho plan será implementado en una única
empresa.
Finalmente cada una de las estrategias diseñadas será documentada y difundida a
través de un Blog, articulo, poster y socialización del proyecto.
1.9 CRONOGRAMA
En la siguiente grafica podemos observar las actividades que debemos ejecutar y
en cual semana del proyecto. En cada una de las semanas se mantendrán las
revisiones programadas por la materia con el fin de aprovechar y enriquecer el
trabajo con la experiencia del asesor asignado.
GRAFICA CRONOGRAMA PLAN DE CONTINUIDAD DEL NEGOCIO
Fuente. El autor
1.10 PRODUCTOS A ENTREGAR
• Documento final desarrollado dentro de la ejecución del proyecto
• Articulo IEEE.
• Poster.
1.11 INSTALACIONES Y EQUIPO REQUERIDO
Para la ejecución del proyecto requerimos de las siguientes
equipo de cómputo:
instalaciones y
Instalaciones de la Universidad Católica de Colombia.
Instalaciones de las 3 empresas escogidas para la muestra.
Equipo Portátil (Procesador Intel Core I5, 2 Gigas en Memoria, Disco
Duro de 500 Gb o superior, Sistema Operativo Windows y Paquete
Office).
Se requiere acceso a Internet de manera permanente.
1.12 PRESUPUESTO
A continuación se adjunta la tabla de costos en los cuales se incurrirá para la
ejecución del proyecto, el dinero necesario será aportado únicamente por el Autor
del presente documento.
Detalle
Valor
Detalle
Cantidad
Valor
Total
Transporte
100
1700
170.000
Recursos
Propios $ 4.000.000 Papelería
200
200
40.000
Computador
2
1600000 3200.000
Celular
2
80000
160.000
Internet
2
90000
180.000
Total
$ 4.000.000
Total
1.980.000
Fuente. El autor
1.13 ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN
Las estrategias que se emplearan para la divulgación del proyecto serán las
siguientes:
El 20 de Noviembre de 2014 será socializado en el auditorio de la
Universidad Católica de Colombia.
Sera publicado en un Blog en Internet.
Finalmente con el Poster y el Articulo que son dos entregables al final del
proyecto.
El trabajo será publicado en el repositorio institucional de la Universidad
Católica de Colombia – RIUCaC, el cual hace parte de la Red de
Repositorios Latinoamericanos.
1.14 BIBLIOGRAFIA
ROMERO, Jairo. RAMIREZ, Jennifer: Diseño e Implementación de un Prototipo
que permita el despliegue de un plan de recuperación de desastres aplicable a
empresas MIPYMES Colombianas.
PORTER, Michael. La ventaja Competitiva: Creación y Sostenimiento de un
Desarrollo mejor.
ENTREVISTA con Adriana Baquero, Profesional de Procesos y Riesgo de la
Clínica Mederi, 08 de Marzo de 2014
ENTREVISTA con Orlando Angel, Director de Departamento Financiero del
Hospital de Suba II Nivel EPS, 08 de Marzo de 2014
RODRIGUEZ LACHE, Edith. CORREA CANO, Deisy. PLAN DE CONTINUIDAD
DE NEGOCIO BS-25999. Disponible en Internet:
http://www.sisteseg.com/files/Microsoft_Word_-_Articulo_BS_25999_DEF1.pdf
[Citado 15 de Febrero de 2014].
POLANCO. Marcos. ITIL, CISSP, CISA Y CISM. ¿Y usted ya está evaluando la
resiliencia
de
su
infraestructura?
Disponible
en
Internet:
http://www.magazcitum.com.mx/?p=2105 [Citado 15 de Febrero de 2014].
B.S.I Continuidad del Negocio [En línea]. Disponible en Internet:
[Citado 02/02/2014].
SISTESEG. Plan de Continuidad P 2 [En línea]:
.
BLOGGER GALILEUS. Antecedentes Históricos de la Continuidad del Negocio
[En
línea]:
http://businesscontinuity-pe.blogspot.com/2012/07/antecedenteshistoricos-de-la.html Citado [02 de Febrero de 2014].
http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio.
Ataque al World Trade Center y al Pentágono en EE.UU. 11 de septiembre de
2001.
LEON LOPEZ, Diana Rocío. Plan de contingencia para el archivo de la
Universidad de la Salle como parte de la implantación del sistema integrado de
conservación. Bogotá: Universidad de la Salle. Facultad de Sistemas de
Información y Documentación. Modalidad trabajo de grado, 2007. p. 35.
KPMG. Plan de Continuidad del Negocio [en línea]. México: La Empresa citado [15
marzo,
2013].
Disponible
en
Internet:
Citado [03 de Febrero de
2014]
1.15 FIRMAS DE LOS ESTUDIANTES
_______________________
John Erik Angel Torres
Código: 623416
_______________________
Heynner Velasco Galeano
Código: 622051
1.16 FIRMA DEL DIRECTOR DE TRABAJO DE GRADO
___________________
Yasser Muriel Perea
Director