Business Continuity Hospitales Anteproyecto

Transcript

DISEÑO Y PROPUESTA DE IMPLEMENTACIÓN DE UN PLAN DE CONTINUIDAD DEL NEGOCIO APLICABLE A LA RED DE HOSPITALES EN LA CIUDAD DE BOGOTA JOHN ERIK ANGEL TORRES HEYNNER VELASCO GALEANO UNIVERSIDAD CATOLICA DE COLOMBIA FACULTAD DE INGENIERIA PROGRAMA DE INGENIERIA DE SISTEMAS ALTERNATIVA TRABAJO DE GRADO BOGOTA 2014 DISEÑO Y PROPUESTA DE IMPLEMENTACIÓN DE UN PLAN DE CONTINUIDAD DEL NEGOCIO APLICABLE A LA RED DE HOSPITALES EN LA CIUDAD DE BOGOTA JOHN ERIK ANGEL TORRES HEYNNER VELASCO GALEANO Trabajo de Grado para Optar al Título de Ingeniero de Sistemas Director Yasser Muriel Perea UNIVERSIDAD CATOLICA DE COLOMBIA FACULTAD DE INGENIERIA PROGRAMA DE INGENIERIA DE SISTEMAS ALTERNATIVA TRABAJO DE GRADO BOGOTA 2014 UNIVERSIDAD CATÓLICA DE COLOMBIA FACULTAD DE INGENIERÍA PROGRAMA INGENIERÍA DE SISTEMAS Formato F-062-05-001 FECHA 17-07-2014 FICHA DEL PROYECTO Título: DISEÑO Y PROPUESTA DE IMPLEMENTACIÓN DE UN PLAN DE CONTINUIDAD DEL NEGOCIO APLICABLE A LA RED DE HOSPITALES EN LA CIUDAD DE BOGOTA . Descriptores: BCP (Business Continuity Plan), DRP (Disaster Recovery Plan), Análisis de Riesgo, Análisis de Impacto. Tipo de proyecto: Trabajo de investigación Línea de investigación: Plan de Continuidad del Negocio. Proyecto asociado: N/A Fase / Seminarios: N/A Director / Coordinador: YASSER MURIEL PEREA Duración: 4 Meses Costo: $ 1.980.000 DATOS DE LOS ESTUDIANTES NOMBRE HEYNNER VELASCO GALEANO JOHN ERIK ANGEL TORRES CODIGO TELÉFONOS e-mail 622051 313 442 93 74 [email protected] 623416 301 443 51 62 [email protected] EMPRESA O ENTIDAD PARTICIPANTE Razón social: Universidad Católica de Colombia CONTENIDO INTRODUCCIÓN ........................................................................................................................... 6 1. GENERALIDADES ..................................................................................................................... 8 1.1 ANTECEDENTES ............................................................................................................................. 8 1.2 PLANTEAMIENTO DEL PROBLEMA ............................................................................................. 10 1.2.1 Descripción del Problema ....................................................................................................... 10 1.2.2 Formulación del Problema. ..................................................................................................... 11 1.3 OBJETIVOS DEL PROYECTO ......................................................................................................... 12 1.3.1 Objetivo General. .................................................................................................................... 12 1.3.2 Objetivos Específicos ............................................................................................................... 12 1.4 JUSTIFICACION ............................................................................................................................ 13 1.5 DELIMITACION ...................................................................................................................... 15 1.5.1 Espacio .......................................................................................................................... 15 1.5.2 Tiempo .......................................................................................................................... 15 1.5.3 Contenido...................................................................................................................... 15 1.6 MARCO REFERENCIAL ........................................................................................................... 16 1.6.1 Marco Teórico. .............................................................................................................. 16 1.6.1.1 ¿Qué es el Plan de Continuidad del Negocio? ................................................. 16 1.6.2 ¿Para que un Plan de Continuidad del Negocio .................................................. 16 1.6.3 Estructura de un Plan de Continuidad del Negocio ..................................................... 17 1.6.4 Análisis del Impacto del Negocio (BIA) ........................................................................ 18 1.6.5 Evaluación de Riesgos ............................................................................................... 19 1.6.6 Cadena de Valor............................................................................................................ 19 1.6.6.1 Actividades primarias .................................................................................................... 19 1.6.6.2 Actividades Secundarias .............................................................................................. 20 1.6.7 Plan de Continuidad del Negocio de acuerdo al Estándar Británico BS25999. 21 1.6.7.1 Inicio y Gestión del Proyecto ....................................................................................... 21 1.6.7.2 Evaluación y Control de Riesgos ............................................................................... 21 1.6.7.3 Análisis de Impacto del Negocio (BIA)...................................................................... 22 1.6.7.4 Desarrollo de Estrategias para la Continuidad del Negocio. .............................. 24 1.6.7.5 Respuesta ante Emergencias. ..................................................................................... 24 1.6.7.6 Desarrollo e Implementación del BCP. ..................................................................... 25 1.6.7.7 Programa de Concientización y Entrenamiento del BCP ..................................... 26 1.6.8 Resiliencia Tecnológica............................................................................................................ 27 1.7 METODOLOGIA PROPUESTA ................................................................................................ 29 1.7.1 Tipo de Estudio. ..................................................................................................................... 29 1.7.2 1.8 Fuentes de Información................................................................................................ 29 DISEÑO METODOLOGICO ....................................................................................................... 29 1.9 CRONOGRAMA ......................................................................................................................... 29 1.10 PRODUCTOS A ENTREGAR ........................................................................................................ 31 1.12 PRESUPUESTO........................................................................................................................... 31 1.13 ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN ............................................................... 31 1.14 BIBLIOGRAFIA ........................................................................................................................... 33 1.15 FIRMAS DE LOS ESTUDIANTES ................................................................................................. 34 1.16 FIRMA DEL DIRECTOR DE TRABAJO DE GRADO ....................................................................... 34 INTRODUCCIÓN Hoy en día la información es considerada como uno de los recursos más valiosos para cualquier tipo de empresa, sin importar el sector económico al cual pertenezcan las decisiones más importantes y acertadas se toman con base a la información que contenga cada una de las mismas. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Por esta razón es importante adoptar medidas y planes que mitiguen el impacto ante cualquier incidente o riesgo ya sea este provocado por un desastre natural como un terremoto o inundación, sino también por aquellos riesgos que son generados por el hombre, ataques cibernéticos, bombas, interrupción del fluido eléctrico etc. Adicionalmente para almacenar, procesar y distribuir la información equipos de cómputo y comunicaciones, los cuales también deben ser protegidos en pro de la seguridad, calidad, oportunidad y precisión de la información. Teniendo en cuenta la alta competencia en un mundo globalizado y así mismo expuesto día a día a diversas amenazas, se hace prioritario y menester la puesta en marcha de un Plan de Continuidad del Negocio, el cual permita que los procesos críticos de las empresas continúen aun cuando un desastre natural ocurra o en caso de ser víctimas de un ataque perpetrado por el hombre. La mayoría de las empresas tiene claro sus procesos críticos o en otras palabras aquellos que deben ser entregados para asegurar la supervivencia de la organización, pero muy pocas tiene claro cómo reaccionar si uno de estos procesos falla o es interrumpido. En España se dice que “El 81 por ciento de los directores cuyas organizaciones activaron sus mecanismos de continuidad de negocio en los últimos 12 meses dicen que fue efectivo en la reducción de las interrupciones. En resumen: la continuidad de negocio funciona”1 Los desastres naturales, los cortes en las tecnologías de la información o la huelga son las interrupciones que encontramos en primer plano. Sin embargo, la interrupción también incluye las enfermedades de los empleados o algunos acontecimientos que afectan a la cadena de suministro. 1 B.S.I Continuidad del Negocio [En línea]. Disponible en Internet: [Citado 02/02/2014]. El siguiente trabajo proporciona un diseño de Plan de Continuidad del Negocio que le permite identificar a la Red de Hospitales las amenazas y riesgos más comunes teniendo en cuanta su actividad y misión, además les proporciona herramientas y planes simples de acuerdo a un presupuesto limitado para que en un determinado momento pueden utilizar o activar respectivamente con el finalidad de continuar con la operación normal aun cuando un desastre ocurra. El documento está compuesto de la siguiente manera, en primer lugar se encuentran los antecedentes, planteamiento del problema, objetivos y justificación, luego se encuentra la delimitación, marco teórico y finalmente la metodología propuesta, presupuesto y cronograma. 1. GENERALIDADES 1.1 ANTECEDENTES De acuerdo con la constitución política de Colombia el servicio de salud es un derecho fundamental y se debe garantizar la prestación de dicho servicio aun en situaciones catastróficas o cuando se interrumpa la cadena de valor, dicho servicios es ofrecido por la Red de Hospitales en la cuidad de Bogotá. Para estas empresas, es muy importante garantizar a sus pacientes un adecuado nivel de servicio, seguridad, disponibilidad y confiabilidad de los procesos que garantizan la prestación del servicio, de tal manera que se asegure la continuidad de su negocio. Esta disponibilidad se puede ver afectada por factores accidentales, incidentales y humanos. Por ejemplo, en el atentado del 11 de septiembre del 2001, varias empresas fracasaron por la falta de un plan de continuidad del negocio. Esto genero la necesidad de que actualmente las organizaciones estén implementando mecanismos y/o técnicas, que mitiguen los riesgos a los que se está expuesto, brindando una alta disponibilidad en las operaciones de su negocio. Otro caso fue el incendio de la torre Windsor en Madrid en el 2005, donde se evidencio que durante la fusión entre las compañías Andersen y Deloitte se realizó un plan de continuidad del negocio donde se adoptaron una serie de medidas para tener respaldo de todos los sistemas de información y de telecomunicaciones y es así cuando un periodo después ocurrió la catástrofe que no se vio afectada en recursos humanos sino pérdidas materiales y la empresa salió a flote gracias a él plan que se realizó unos meses antes.2 Una de las recomendaciones para mitigar los riesgos es la necesidad de recuperar los recursos, ya sean humanos, infraestructura, datos vitales, tecnología de información, equipos de oficina e implementos requeridos que permitan continuar con el funcionamiento normal de la organización.3 La recuperación ante desastres (disaster recovery) es un concepto desarrollado en los años setentas, a partir de que los administradores de centros de cómputo comenzaron a reconocer la dependencia de sus organizaciones con sus sistemas computarizados. 2 Alfonso Mur, Continuidad del Negocio, resiliencia y planes de contingencia, El Incendio del Edificio Windsor – Un Caso Real [En línea]: < http://www.criptored.upm.es/descarga/ConferenciaAlfonsoMurTASSI2013.pdf > Citado [28 de Julio de 2014] 3 SISTESEG. Plan de Continuidad P 2 [En línea]: [Citado 28 de Julio de 2015] En los años setentas la mayoría de sistemas eran procesos en lote que corrían en grandes computadoras centrales o mainframes, los cuales en muchos casos podían estar caídos por varios días antes de que se produzcan daños significativos a la organización. A medida que la conciencia sobre de la recuperación ante desastres crecía, y al ser considerados los centros de cómputo como puntos únicos de falla (single points of failure - SPOF), se desarrolló un rubro de servicios que proveía centros de cómputo de respaldo, Sun Information Systems fue uno de los primeros (que luego se convertiría en Sungard Availability Systems) y más importantes proveedores de hot-sites comerciales en los Estados Unidos. El costo de estos servicios era sustancialmente menor que el costo asumido por el cliente, de duplicar su infraestructura informática crítica. Esta estrategia se convirtió en el estándar para la recuperación de TI desde fines de los setentas, y hoy continúa siendo un importante rubro de servicios. Durante los ochentas y noventas, la conciencia sobre la recuperación tecnológica ante desastres (IT disaster recovery) y la industria de la recuperación ante desastres crecieron rápidamente, impulsada por la aparición de los sistemas abiertos y el procesamiento en tiempo real. Las organizaciones se dieron cuenta de que las interrupciones de TI podían tener impactos significativos en la continuidad de las funciones operativas críticas del negocio. La continuidad del negocio mismo podía verse amenazada. Con el rápido crecimiento del Internet en los noventas y la década del 2000, organizaciones de todos los tamaños se volvieron mucho más dependientes de la disponibilidad de sus sistemas informáticos, llegando algunas empresas a establecer niveles de disponibilidad de hasta 99.999%. Este incremento de la dependencia con los sistemas de TI, así como la conciencia de posibles desastres a gran escala, como el del "11 de septiembre", contribuyeron a:  Crecimiento de las diversas industrias relacionadas a la recuperación ante desastres. desde soluciones de alta disponibilidad hasta infraestructuras de sitios alternos (Hot-Sites)  La consolidación de la disciplina de continuidad de negocios.  Un factor clave fueron las regulaciones gubernamentales, que comenzaron a exigir que las organizaciones de los diversos sectores de la economía contaran con un sistema de gestión de la continuidad del negocio (SGCN), así como con planes de recuperación ante desastres para las TI.  Hoy en día, la gestión de la continuidad del negocio abarca a todas las funciones y recursos, procesos críticos del negocio, recursos humanos, mantenimiento y respaldo del suministro eléctrico, aspectos de transporte, alimentación, seguridad, infraestructura tecnología y salud.  Jerárquicamente, la continuidad del negocio está arriba; debajo está el plan de recuperación ante desastres; y debajo de este viene la tecnología como el respaldo de datos, la recuperación y la restauración de TI. El departamento de TI, con su plan de recuperación ante desastres, es un elemento (clave) dentro del gran escenario de la continuidad del negocio (el SGCN).4 1.2 PLANTEAMIENTO DEL PROBLEMA 1.2.1 Descripción del Problema. Aunque el acceso a la salud en un derecho fundamental, en una sociedad como la nuestra este servicio es bastante limitado, la relación oferta vs demanda es muy desequilibrada, ya que la Red de Hospitales no logra atender a la totalidad de pacientes que requieren este servicio, lo anterior como consecuencia de un presupuesto limitado, corrupción y diferentes factores que impiden una adecuada prestación de este derecho fundamental. Por lo anterior es de vital importancia proteger la limitada Red de Hospitales con el fin de que estén preparados ante cualquier interrupción o catástrofe que amenace la prestación del servicio de salud y del acceso a urgencias. De acuerdo a entrevista realizada a el señor Orlando Ángel quien se ha desempeñado como Director Financiero en los Hospitales de Bosa, Kennedy y actualmente en el Hospital de Suba, la Red de Hospitales en la ciudad de Bogotá están poco preparados ante eventos como desastres naturales o errores humanos, lo anterior como consecuencia de carecer de un Plan de Continuidad del Negocio. 4 BLOGGER GALILEUS. Antecedentes Históricos de la Continuidad del Negocio [En línea]: http://businesscontinuity-pe.blogspot.com/2012/07/antecedentes-historicos-de-la.html Citado[20 de Julio de 2014] Según información suministrada por el entrevistado son pocos los conocimientos que tienen la Red de Hospitales sobre los beneficios que pueden obtener con el despliegue de un BCP, que permita la recuperación de servicios intangibles tales como la información de los procesos críticos de la empresa.5 Basados en la anterior información podemos afirmar que muy probablemente la mayor parte de la Red de Hospitales en la cuidad de Bogotá enfrentan la problemática de desconocer este tipo de prácticas que en determinado momento pueden llegar a salvarlas de su desaparición o quiebra y aún más grave de denegar la prestación de un servicios básico como la salud. Aunque proteger la información es un principio básico para la supervivencia de cualquier empresa que preste servicios transaccionales, es decir que dependan de la misma para continuar operando, esto no es suficiente, se debe contar con un plan que garantice la continuidad de los procesos que soportan dicha información frente a cualquier interrupción de la cadena de suministro. Por esta razón surge la necesidad de diseñar e implementar un Plan de Continuidad del Negocio que pueda ser aplicado y que tenga en cuenta los factores más comunes de riesgos a los cuales están expuestas. 1.2.2 Formulación del Problema. De acuerdo a los antecedentes y a la historia es clara la necesidad que hoy en día afronta la Red de Hospitales por contar con un Plan de Continuidad del Negocio, la falta de concientización y planeación sobre esta problemática puede tener como consecuencia entre otras:        5 Multas por parte de la Superintendencia Nacional de Salud La desaparición o quiebra del Hospital. Estaría en riesgo la prestación del servicio de acceso a la salud. La Entidad no cumpliría con su misión. Afrontar consecuencias económicas y legales con los entes de control, ya que la Red de Hospitales debe garantizar la prestación de servicios aun en situaciones catastróficas o interrupciones de la cadena de valor. Pérdida de pacientes. Pérdida de credibilidad en el sector. ENTREVISTA con Orlando Angel, Director de Departamento Financiero del Hospital de Suba II Nivel EPS, 08 de Marzo de 2014. Contar con un Plan de Continuidad del Negocio ayuda considerablemente a mitigar el riesgo de interrupción del servicios, dando la capacidad de reaccionar de una forma correcta, ordenada y efectiva ante cualquier eventualidad o interrupción. Esta investigación está centrada en identificar, cuantificar y mitigar los riesgos más críticos a los cuales se exponen este tipo de empresas y diseñar un BCP que se ajuste a sus necesidades teniendo en cuenta presupuesto, viabilidad y capacidad de adaptación a las nuevas tecnologías. 1.3 OBJETIVOS DEL PROYECTO 1.3.1 Objetivo General. Diseñar y proponer la implementación de un Plan de Continuidad del Negocio que sea aplicable a la Red de Hospitales en la cuidad de Bogotá. 1.3.2 Objetivos Específicos  Identificar el grado de conocimiento e implementación de esta práctica en tres (3) Hospitales de la cuidad de Bogotá.  Identificar los procesos críticos y a partir de estos diseñar un Plan de Continuidad del Negocio aplicable a la Red de Hospitales de la cuidad de Bogotá.  Proponer la implementación del prototipo diseñado en uno (1) de los hospitales sobre los cuales se generó el estudio. 1.4 JUSTIFICACION El acceso a la salud es un derecho fundamental, este derecho es constantemente violado por la denegación del servicio a la cual se ven enfrentados los ciudadanos que hacen parte del sistema de salud público, lo anterior obedece a varios factores, tales como corrupción, limitaciones tanto económicas como sociales, falta de mecanismos y planes que garanticen la continuidad del negocio. De acuerdo con la Alcaldía Mayor de Bogotá6 la Red de Hospitales está conformada por 12 hospitales de Primer Nivel de atención, 5 de Segundo y 5 de Tercer Nivel, que cubren todas las localidades de la ciudad. Dentro del Hospital Simón Bolívar se encuentra la Unidad de Quemados, una de las más reconocidas en el país. A la red distrital también pertenece el Hemocentro Distrital, quien actúa como apoyo a los bancos de sangre y garante del suministro de sangre y hemoderivados seguros a la ciudad. La población sobre la cual se generara el estudio está compuesta además de los 22 hospitales antes mencionados por 10 más del sector Privado para un total de 32 Hospitales, los cuales mencionamos a continuación: http://wsr.registraduria.gov.co/descargar/clin_hosp.pdf 6 Alcaldía Mayor de Bogotá. Red Prestadora de Servicios de Salud [En línea]. http://www.saludcapital.gov.co/DASEG/Documents/Red%20Prestadora%20de%20Servicios%20de%20Salud %20-%20Bogota%202013%20-%202014.pdf [Citado 14 de Julio de 2014]. Teniendo en cuenta que el número de Hospitales Públicos es reducido y no garantiza cubrir con la totalidad de la demanda, es menester desplegar un Plan de Continuidad del Negocio que mitigue el riesgo de quiebra o desaparición por cuenta de eventos infortunados y por el contrario asegure la supervivencia de este tipo de empresas con el fin de no deteriorar el derecho fundamental a la salud. De acuerdo a entrevista con Adriana Hernández Baquero quien se ha desempeñado como Ingeniera de Procesos y Riesgos en el Instituto de Cancerología, Hospital de Kennedy y actualmente en la Clínica Mederi, la mayoría de hospitales que pertenecen al sistema de salud en la ciudad no cuenta con un Plan de Continuidad del Negocio que garantice la prestación del servicio en caso de alguna eventualidad. De acuerdo con entrevistas realizadas , aunque en ocasiones los hospitales tienen conocimiento de los riesgos y amenazas a los cuales están expuestos, por temas de presupuesto y falta de planeación nunca se realiza o se ejecuta un proyecto que tenga que ver con el tema planeado en este trabajo.7 Adicionalmente, son pocos los conocimientos que tienen los Hospitales con respecto a los beneficios que pueden obtener con la ejecución de planes de continuidad de negocio, que permitan la recuperación de servicios intangibles tales como la información de los procesos de la empresa. Finalmente los hospitales, como muchas pequeñas y medianas empresas piensan erróneamente que el back-up es un Plan de Continuidad de Negocio. No es así. El simple back-up o la copia de datos, en sí mismo, no garantiza que un negocio será capaz de desarrollar sus operaciones de manera normal, ni siquiera la recuperación mínima necesaria de su información después de que ocurren los desastres.8 Es por esto que es evidente la necesidad de colaborar en este sentido y concientizar y apoyar a este tipo de empresas en la elaboración de proyecto planteado. 7 ENTREVISTA con Adriana Baquero, Profesional de Procesos y Riesgo de la Clínica Mederi, 08 de Marzo de 2014 8 Revista Dinero en Línea. La importancia de implementar un Plan de Continuidad del Negocio (1ra Parte) [En línea]. http://www.dineroenimagen.com/2013-07-01/22403. Citado [14 de Julio de 2014]. 1.5 DELIMITACION 1.5.1 Espacio. El proyecto será aplicable principalmente para la Red de Hospitales de la cuidad de Bogotá, la cual concentra la mayor cantidad de empresas de este tipo, aunque dependiendo de la zona es aplicable hospitales de todo el país. 1.5.2 Tiempo. Este proyecto será desarrollado en el segundo periodo académico del año 2014 de la Universidad Católica de Colombia que comprende desde el 09 de Agosto que es cuando se realiza la presentación formal del Anteproyecto, hasta el 20 de Noviembre, día planteado para la socialización. 1.5.3 Contenido. El contenido consta de la investigación en tres (3) Hospitales de la cuidad de Bogotá con respecto al diseño e implementación de un Plan de Continuidad del Negocio. El estudio se realizara en 3 empresas del sector, pero se implementara en solo una (1) de ellas. 1.6 MARCO REFERENCIAL. 1.6.1 Marco Teórico. El presente proyecto se enfoca en el diseño e implementación de un Plan de Continuidad del Negocio que permita la mitigación de los riesgos más comunes a los cuales se ven enfrentadas los Hospitales, por lo anterior es necesario conocer la terminología general de la cual hablaremos en el proyecto. 1.6.1.1 ¿Qué es el Plan de Continuidad del Negocio? Un plan de continuidad del negocio (o sus siglas en inglés BCP, por Business Continuity Plan) es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. En lenguaje sencillo, BCP es el cómo una organización se prepara para futuros incidentes que puedan poner en peligro a ésta y a su misión básica a largo plazo. Las situaciones posibles incluyen desde incidentes locales (como incendios, terremotos, inundaciones, etc.), incidentes de carácter regional, nacional o internacional hasta incidentes como pandemias, apocalipsis zombi, ataques extraterrestres, etc.9 1.6.2 ¿Para que un Plan de Continuidad del Negocio? El principal propósito de la planificación de la continuidad del negocio consiste en ayudar a las organizaciones a reiniciar las operaciones críticas dentro de un marco de tiempo aceptable después de una interrupción, esta intenta reparar dificultades de gran envergadura (ya sean producidas por el hombre o por la naturaleza) que tienen un impacto sobre la efectiva ejecución de los procesos críticos de una organización. Todas las áreas críticas del negocio y las funciones de apoyo están incluidas en el proceso de planificación. En la era de la información la disponibilidad ininterrumpida de la misma es esencial. Puede suceder que un desastre natural, una catástrofe o una acción fraudulenta interrumpan la posibilidad de acceso a la información afectando desfavorablemente los procesos clave del negocio. Asimismo, las exigencias del mercado, junto con un mayor nivel de dependencia de la tecnología para ejecutar 9 http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio los procesos del negocio evidencian la necesidad de una planificación de continuidad eficiente.10 “En síntesis el objetivo de un Plan de Contingencia y de un Plan de Continuidad Del Negocio se podría resumir en la maximización de la capacidad de mantener un nivel rentable no solo de las utilidades del negocio, sino también de su capacidad de operar de forma relativamente normal en el período transitorio entre el inicio de una catástrofe y de una reconstrucción completa y la recuperación del sistema de información que procesa”.11 1.6.3 Estructura de un Plan de Continuidad del Negocio. El Plan de continuidad del negocio sigue la siguiente estructura: Fuente:http://www.sisteseg.com/files/Microsoft_PowerPoint_PLANES_DE_CONTINUIDAD_NEGOCIO_V_3.0. pdf. 10 LEON LOPEZ, Diana Rocío. Plan de contingencia para el archivo de la Universidad de la Salle como parte de la implantación del sistema integrado de conservación. Bogotá: Universidad de la Salle. Facultad de Sistemas de Información y Documentación. Modalidad trabajo de grado, 2007. p. 35. 11 KPMG. Plan de Continuidad del Negocio [en línea]. México: La Empresa citado [14 Julio, 2014]. Disponible en Internet: 1.6.5 Evaluación de Riesgos. La evaluación de riesgos identifica las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica de una organización, con el fin de generar un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la Información. Los dos puntos importantes a considerar son:  La probabilidad de una amenaza.  La magnitud del impacto sobre el sistema, la cual se mide por el nivel de degradación de uno o combinación de alguno de los siguientes elementos: confidencialidad, disponibilidad, integridad. 13 1.6.6 Cadena de Valor. La cadena de valor es una herramienta propuesta por Michael Porter planificación estratégica. 14 para la La cadena de valor es esencialmente una forma de análisis de la actividad empresarial mediante la cual descomponemos una empresa en sus partes constitutivas, buscando identificar fuentes de ventaja competitiva en aquellas actividades generadoras de valor. Esa ventaja competitiva se logra cuando la empresa desarrolla e integra las actividades de su cadena de valor de forma menos costosa o mejor diferenciada que sus rivales. Por consiguiente la cadena de valor de una empresa está conformada por todas sus actividades generadoras de valor agregado y por los márgenes que éstas aportan15 . La cadena de valor se divide en dos partes: 1.6.6.1 Actividades primarias  Las actividades primarias se refieren a la creación física del producto, su venta y el servicio postventa, y pueden también a su vez, diferenciarse en sub-actividades. El modelo de la cadena de valor distingue cinco actividades primarias: 13 Rodrigo Ferrer CISSP. SISTESEG [En línea]. Bogotá Citado[14 de Julio de 2014] 14 PORTER, Michael. La ventaja Competitiva: Creación y Sostenimiento de un Desarrollo mejor. México : CECSA, 1987. 137 p. 15 Ibid   Logística interna: comprende operaciones de recepción, almacenamiento y distribución de las materias primas. Operaciones (producción): procesamiento de las materias primas para transformarlas en el producto final.  Logística externa: almacenamiento de los productos terminados y distribución del producto al consumidor.  Marketing y Ventas: actividades con las cuales se da a conocer el producto.  Servicio: de post-venta o mantenimiento, agrupa las actividades destinadas a mantener, realzar el valor del producto, mediante la aplicación de garantías.16 1.6.6.2 Actividades Secundarias Las actividades primarias están apoyadas o auxiliadas por las también denominadas ‘actividades secundarias’: • Infraestructura de la organización: actividades que prestan apoyo a toda la empresa, como la planificación, contabilidad y las finanzas. • Dirección de recursos humanos: búsqueda, contratación y motivación del personal. • Desarrollo de tecnología, investigación y desarrollo: generadores de costes y valor. • Compras.17 Fuente: http://www.luisarimany.com/la-cadena-de-valor. 16 17 Ibid Ibid 1.6.7 Plan de Continuidad del Negocio de acuerdo al Estándar Británico BS25999. 1.6.7.1 Inicio y Gestión del Proyecto El objetivo de esta primera fase, es establecer la necesidad de desarrollar el BCM en la organización, de tal manera que se comunique la importancia de realizar este plan, involucrando a los directivos y el personal de la empresa. Para esto, es importante: • Definir un comité responsable del plan • Asignar responsabilidades por cada equipo de trabajo • Indicar las actividades de cada una de las fases del proyecto • Documentar los procesos • Presentar los avances • Obtener la aprobación por parte de los directivos. Las responsabilidades del coordinador de esta etapa son: • Dirigir la definición de objetivos, políticas y actividades críticas. • Coordinar y organizar directores por cada fase del proyecto. • Controlar el proceso de BCM a través de métodos de control efectivo y gestión de cambio. • Presentar el proceso a Directivos y personal. • Desarrollar el plan y presupuesto para iniciar el proceso. • Definir y recomendar procesos de estructura y gestión. • Dirigir el proyecto a desarrollar e implementar el proceso del BCM. 18 1.6.7.2 Evaluación y Control de Riesgos. El objetivo de la evaluación de riesgos es identificar las amenazas internas y externas, incluyendo concentraciones de riesgo, que pueden causar la 18 RODRIGUEZ LACHE, Edith. CORREA CANO, Deisy. PLAN DE CONTINUIDAD DE NEGOCIO BS-25999. Disponible en Internet: http://www.sisteseg.com/files/Microsoft_Word_-_Articulo_BS_25999_DEF1.pdf [Citado 14 de Julio de 2014]. interrupción o pérdida de la Actividades Críticas de una organización, así como la probabilidad (o frecuencia) de que ocurra una amenaza y cómo es vulnerable una organización a varios tipos de amenazas permitiendo su gestión de priorización y control para formar una base en la que se establezca un programa de control y un plan de acción de gestión de riesgo. Para realizar una evaluación y control de riesgos se debe tener en cuenta lo siguiente: • Identificar riesgos • Análisis/Evaluación de riesgos • Gestión y Control de riesgos Después de realizar la evaluación y el control de riesgos, los resultados obtenidos incluyen la identificación y documentación de: • La probabilidad de ocurrencia, en la organización, a un tipo específico de amenaza. • Concentración de riesgos donde el número de Actividades de Misión Crítica es localizado dentro del mismo edificio o en el mismo lugar. • Una evaluación y análisis de riesgos (combinado con un Análisis de Impacto del Negocio - BIA). • Una estrategia de gestión de control de riesgo y plan de acción. • El enfoque de priorización del BCM y control de riesgos. 19 1.6.7.3 Análisis de Impacto del Negocio (BIA). El Análisis de Impacto del Negocio (BIA – Business Impact Analysis) consiste en técnicas y metodologías que pueden ser usadas para identificar, cuantificar y cualificar los impactos de negocio y sus efectos en una organización en caso de pérdida o interrupción de las Actividades de Misión Crítica. Sin embargo, la clave para realizar un Análisis de Impacto del Negocio es analizar el negocio como un todo más no como componentes, procesos o funciones individuales. 19 Ibid.,p,3 El análisis BIA tiene en cuenta el RTO (Recovery Time Objective) y RPO (Recovery Point Objective) que deben ser establecidos por la organización. Están definidos como: • RTO (recovery Time Objective): El tiempo entre el punto de interrupción, y el punto en el cuál los sistemas sensibles en el tiempo deben estar funcionando nuevamente, con los datos actualizados. • RPO (Recovery Point Objective): El punto en el cuál fueron interrumpidas las actividades del sistema debido a la ocurrencia de un determinado evento. El objetivo de un Análisis de Impacto del Negocio es identificar las actividades de misión crítica de una organización, sus dependencias y sus puntos de fallas así como analizar el impacto y el efecto que se generaría en caso de la perdida e interrupción de las actividades de misión crítica. A su vez, informar y permitir opciones para crear una resistencia en las operaciones de negocio de la organización. 20 Sin embargo, el BIA posee los siguientes componentes claves: • Cuestionarios de autovaloración – papel y digitales. • Listas de comprobación. • Una Matriz de Análisis de Impacto del Negocio. Después de realizado el BIA, se obtendrán como resultados, la identificación y documentación de: • Objetivos y salidas (servicios y productos). • Actividades de Misión Crítica, sus dependencias y puntos de falla. • Impactos y efectos (consecuencias) financieros y no financieros como resultado de una interrupción o pérdida de una o más actividades de misión crítica durante varios periodos de tiempo. • Los objetivos del BCM para cada actividad de misión crítica y sus dependencias. • Una priorización mínima y aceptable de la recuperación de los recursos. 20 Ibid., p.3-4 • Registros/datos vitales • Usuarios y Clientes Claves • Proveedores (tanto dentro como fuera de la organización) 1.6.7.4 Desarrollo de Estrategias para la Continuidad del Negocio. El propósito del desarrollo de estrategias consiste en identificar las alternativas de recuperación de las operaciones en los marcos de tiempo definidos. El desarrollo de las estrategias del BCM involucra los siguientes aspectos: • Identificar los requerimientos de continuidad de la organización. • Evaluar la compatibilidad de las estrategias contra los resultados del BIA. • Presentar el análisis costo / beneficio de las estrategias de continuidad. • Seleccionar los sitios alternos y de almacenamiento externo. • Entender los términos contractuales de los servicios de continuidad del negocio. Algunas de las alternativas de recuperación comprenden estrategias de almacenamiento externo a la organización (Ej. Hotsite, coldsite, etc.), a su vez procedimientos de recuperación interna documentados, así como acuerdos recíprocos entre empresa-empresa y/o empresa-cliente, o una utilización de combinación de estrategias.21 1.6.7.5 Respuesta ante Emergencias. El propósito de la fase de respuesta ante emergencias es desarrollar e implementar procedimientos para responder y estabilizar la situación después de un incidente y administrar el centro de operaciones de emergencia a ser utilizado como “centro de mando”. Para cumplir con este propósito es necesario que: • Identifique componentes de los procedimientos de respuesta a emergencia. • Especifique los procedimientos de respuesta a emergencia. 21 Ibid., p.5 • Identifique requerimientos de control y autoridad. • Procedimientos de control y autoridad. • Respuesta a emergencia y recuperación de heridos. • Seguridad y recuperación.22 1.6.7.6 Desarrollo e Implementación del BCP. Esta fase involucra el diseño, desarrollo e implementación de planes de continuidad del negocio para evitar interrupciones de acuerdo a los marcos establecidos por los RTO’S y RPO’S. Un buen desarrollo e implementación de un BCM incluye: • Identificar requerimientos para el desarrollo de los planes. • Definir requerimientos de control y administración de la continuidad. • Identificar y definir un formato y la estructura principal de los componentes de los planes. • Elaborar un borrador de los planes. • Definir procedimientos de gestión de crisis y continuidad del negocio. • Definir las estrategias de evaluación de daños y reanudación. • Desarrollar una introducción general a los planes. • Desarrollar la documentación de los equipos de operación del negocio. • Desarrollar la documentación de los equipos de recuperación de tecnología de información. • Desarrollar el sistema de comunicaciones. • Desarrollar los planes de los usuarios finales de aplicaciones. • Implementar los planes. • Establecer los procedimientos de control y distribución de los planes. 22 23 Ibid.,p.4-5 Ibid.,p.5 23 1.6.7.7 Programa de Concientización y Entrenamiento del BCP Toda organización que quiera posicionarse en el mercado y estar preparada a cambios en su entorno, requiere de un constante proceso de evolución. Este proceso genera en la mayoría de los casos, cambios al interior de la empresa. Siempre que se presentan estos cambios existe un porcentaje de resistencia al cambio relacionado con el personal que interviene en dicho proceso. Es necesario que la organización prepare a sus empleados ante la presencia de un cambio, logrando minimizar esa resistencia y obteniendo mejor disposición ante situaciones de este tipo creando una cultura de aceptación ante un evento que perturbe su labor. Son estos algunos motivos por los cuales se presenta en la gestión de continuidad de negocio una fase en la cual se trata la concientización y entrenamiento del BCM y su relación con la implementación mantenimiento, gestión y ejecución del mismo. Este proceso de conciencia es necesario que se realice en toda la organización (no solamente en el área de IT) logrando aumentar la resistencia ante riesgos. Para logran una concientización y entrenamiento en necesario: • Definir objetivos de concientización y entrenamiento • Desarrollar e implementar varios tipos de programas de entrenamiento • Desarrollar programas de concientización • Identificar otras oportunidades de educación.24 24 Ibid.,p.5 1.6.8 Resiliencia Tecnológica. Resiliencia, en términos generales, es la capacidad de un material para regresar a su forma original después de que se le ha aplicado una fuerza de deformación. En psicología, se define como la capacidad de las personas para recuperarse ante situaciones problemáticas o contratiempos y continuar con su vida. En lo que a tecnologías de la información corresponde, resiliencia es la capacidad de la infraestructura, ya sea de seguridad o de TI, de proveer y mantener un funcionamiento aceptable a pesar de fallas y desafíos a la operación normal, por ejemplo: sobrecargas de trabajo, tráfico malicioso, etcétera. El objetivo final es medir para cada componente aspectos como disponibilidad, rendimiento, ancho de banda, latencia, paquetes perdidos, jitter, etcétera; de tal forma que podamos evaluar, en la vida real, qué tan resistentes son nuestras contramedidas y tecnologías de seguridad implementadas, así como las capacidades de la infraestructura de TI con que contamos.25 Evaluar la resiliencia se torna crítico cuando reconocemos que:  Es cada día mayor la dependencia de las instituciones gubernamentales y de las empresas privadas en las tecnologías de la información para desarrollar sus actividades cotidianas.  Las aplicaciones y los ambientes en los que se ejecutan son cada vez más complejos, donde conceptos como Web 2.0, Rich Internet Applications, Service Oriented Architecture (SOA), virtualización, cómputo en la nube, ambientes de movilidad y servicios multimedia son los pilares de las nuevas arquitecturas aplicativas.  Existen numerosos riesgos y una gran variedad de vectores de ataque a los que la mayoría de las organizaciones está expuesta. A continuación menciono algunas consideraciones a tomar en cuenta cuando una organización decide comenzar con una iniciativa para evaluar la resiliencia de su infraestructura:  Definir un plan de pruebas que contemple los diferentes escenarios a los que la infraestructura está o pudiese estar expuesta, así mismo, este plan debe considerar validaciones sobre todos los componentes que intervienen en la prestación de servicios críticos para el negocio.  Contemplar la inyección de tráfico válido que refleje el comportamiento típico de las aplicaciones y de los usuarios, e inválido que incluya 25 POLANCO. Marcos. ITIL, CISSP, CISA Y CISM. ¿Y usted ya está evaluando la resiliencia de su infraestructura? Disponible en Internet: http://www.magazcitum.com.mx/?p=2105 [Citado 14 de Julio de 2014]. ataques DDoS, exploits, paquetes malformados, etcétera. En ambos casos considerar volúmenes de tráfico normales y “sobrecargas”, para así obtener la medición de tiempos de respuesta, disponibilidad, latencia y, en general, observar el comportamiento de la infraestructura.  Realizar pruebas periódicas para la definición de líneas base. Estas últimas nos permiten establecer el comportamiento mínimo aceptable de los componentes de TI y ayudan a identificar cuando existen desviaciones que impacten al negocio.  Efectuar pruebas de seguridad y rendimiento después de cambios mayores a la infraestructura, con el fin de garantizar que las modificaciones implementadas no afectan la resiliencia de la misma.  Utilizar tecnologías avanzadas para automatizar este tipo de pruebas. Hoy en día ya existen herramientas avanzadas que permiten, entre otras cosas: o Definir escenarios tan complejos como se requiera, simulando aplicaciones comerciales y los protocolos más comunes. o Simular ataques que incluyen malware, DDoS, malware móvil, etcétera. o Simular millones de usuarios simultáneos. o Evaluar la capacidad de un dispositivo de manejar múltiples sesiones TCP concurrentes. o Realizar pruebas mezclando tráfico válido e inválido al mismo tiempo. o Alcanzar anchos de banda superiores a los 100 Gbps. o Capturar y recrear flujos de tráfico.26 26 Ibid. 1.7 METODOLOGIA PROPUESTA 1.7.1 Tipo de Estudio. La técnica utilizada es investigación aplicada, está basada en la utilización de los conocimientos en la práctica, para aplicarlos, siempre como principal objetivo brindar u ofrecer un beneficio a las empresas del sector y a la sociedad en general. 1.7.2 Fuentes de Información. La fuente de información principal para diseñar el Plan de Continuidad del Negocio serán los tres (3) Hospitales de la ciudad de Bogotá en los cuales se ejecutara el trabajo propuesto. 1.8 DISEÑO METODOLOGICO Inicialmente se hará un análisis acerca de la implementación de Planes de Continuidad del negocio en el sector escogido, posteriormente realizamos el levantamiento de información de procesos críticos con el fin de identificar posible vulnerabilidades y riesgos. Después y de acuerdo a la información recaudada de la muestra escogida realizamos el Análisis de Impacto de Negocios (BIA), en seguida y con base en dicho análisis hacemos la evaluación de riesgos para finalmente diseñar las estrategias que conforman BCP, dicho plan será implementado en una única empresa. Finalmente cada una de las estrategias diseñadas será documentada y difundida a través de un Blog, articulo, poster y socialización del proyecto. 1.9 CRONOGRAMA En la siguiente grafica podemos observar las actividades que debemos ejecutar y en cual semana del proyecto. En cada una de las semanas se mantendrán las revisiones programadas por la materia con el fin de aprovechar y enriquecer el trabajo con la experiencia del asesor asignado. GRAFICA CRONOGRAMA PLAN DE CONTINUIDAD DEL NEGOCIO Fuente. El autor 1.10 PRODUCTOS A ENTREGAR • Documento final desarrollado dentro de la ejecución del proyecto • Articulo IEEE. • Poster. 1.11 INSTALACIONES Y EQUIPO REQUERIDO Para la ejecución del proyecto requerimos de las siguientes equipo de cómputo:     instalaciones y Instalaciones de la Universidad Católica de Colombia. Instalaciones de las 3 empresas escogidas para la muestra. Equipo Portátil (Procesador Intel Core I5, 2 Gigas en Memoria, Disco Duro de 500 Gb o superior, Sistema Operativo Windows y Paquete Office). Se requiere acceso a Internet de manera permanente. 1.12 PRESUPUESTO A continuación se adjunta la tabla de costos en los cuales se incurrirá para la ejecución del proyecto, el dinero necesario será aportado únicamente por el Autor del presente documento. Detalle Valor Detalle Cantidad Valor Total Transporte 100 1700 170.000 Recursos Propios $ 4.000.000 Papelería 200 200 40.000 Computador 2 1600000 3200.000 Celular 2 80000 160.000 Internet 2 90000 180.000 Total $ 4.000.000 Total 1.980.000 Fuente. El autor 1.13 ESTRATEGIAS DE COMUNICACIÓN Y DIVULGACIÓN Las estrategias que se emplearan para la divulgación del proyecto serán las siguientes:  El 20 de Noviembre de 2014 será socializado en el auditorio de la Universidad Católica de Colombia.    Sera publicado en un Blog en Internet. Finalmente con el Poster y el Articulo que son dos entregables al final del proyecto. El trabajo será publicado en el repositorio institucional de la Universidad Católica de Colombia – RIUCaC, el cual hace parte de la Red de Repositorios Latinoamericanos. 1.14 BIBLIOGRAFIA ROMERO, Jairo. RAMIREZ, Jennifer: Diseño e Implementación de un Prototipo que permita el despliegue de un plan de recuperación de desastres aplicable a empresas MIPYMES Colombianas. PORTER, Michael. La ventaja Competitiva: Creación y Sostenimiento de un Desarrollo mejor. ENTREVISTA con Adriana Baquero, Profesional de Procesos y Riesgo de la Clínica Mederi, 08 de Marzo de 2014 ENTREVISTA con Orlando Angel, Director de Departamento Financiero del Hospital de Suba II Nivel EPS, 08 de Marzo de 2014 RODRIGUEZ LACHE, Edith. CORREA CANO, Deisy. PLAN DE CONTINUIDAD DE NEGOCIO BS-25999. Disponible en Internet: http://www.sisteseg.com/files/Microsoft_Word_-_Articulo_BS_25999_DEF1.pdf [Citado 15 de Febrero de 2014]. POLANCO. Marcos. ITIL, CISSP, CISA Y CISM. ¿Y usted ya está evaluando la resiliencia de su infraestructura? Disponible en Internet: http://www.magazcitum.com.mx/?p=2105 [Citado 15 de Febrero de 2014]. B.S.I Continuidad del Negocio [En línea]. Disponible en Internet: [Citado 02/02/2014]. SISTESEG. Plan de Continuidad P 2 [En línea]: . BLOGGER GALILEUS. Antecedentes Históricos de la Continuidad del Negocio [En línea]: http://businesscontinuity-pe.blogspot.com/2012/07/antecedenteshistoricos-de-la.html Citado [02 de Febrero de 2014]. http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio. Ataque al World Trade Center y al Pentágono en EE.UU. 11 de septiembre de 2001. LEON LOPEZ, Diana Rocío. Plan de contingencia para el archivo de la Universidad de la Salle como parte de la implantación del sistema integrado de conservación. Bogotá: Universidad de la Salle. Facultad de Sistemas de Información y Documentación. Modalidad trabajo de grado, 2007. p. 35. KPMG. Plan de Continuidad del Negocio [en línea]. México: La Empresa citado [15 marzo, 2013]. Disponible en Internet: Citado [03 de Febrero de 2014] 1.15 FIRMAS DE LOS ESTUDIANTES _______________________ John Erik Angel Torres Código: 623416 _______________________ Heynner Velasco Galeano Código: 622051 1.16 FIRMA DEL DIRECTOR DE TRABAJO DE GRADO ___________________ Yasser Muriel Perea Director