ebook img

manual de administracion del plan de continuidad de negocios instituto colombiano de crédito ... PDF

123 Pages·2013·1.7 MB·Spanish
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview manual de administracion del plan de continuidad de negocios instituto colombiano de crédito ...

Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 1 de 123 MANUAL DE ADMINISTRACION DEL PLAN DE CONTINUIDAD DE NEGOCIOS INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR - ICETEX Mayo de 2013 Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 2 de 123 Contenido 1 INTRODUCCION 4 2 OBJETIVOS 4 2.1 OBJETIVO GENERAL 4 2.2 OBJETIVOS ESPECIFICOS 4 3 ALCANCE 5 4 CONCEPTOS BASICOS 5 5 CAUSAS DE INTERRUPCION 7 6 GOBIERNO DE CONTINUIDAD 8 6.1 LINEAMIENTOS 8 6.2 NORMAS EXTERNAS 9 6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO 10 6.3.1 COMITE SARO - SARLAFT 10 6.3.2 LIDERES PCN 14 6.3.3 OFICINA DE RIESGOS 15 6.4 ELEMENTOS QUE CONFORMAN LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 15 6.5 ENTRENAMIENTO 15 7 FASES DE LA ADMINISTRACION DEL PLAN DE CONTINUIDAD DEL NEGOCIO 17 7.1 FASE DE PREVENCION 17 7.1.1 ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 17 7.1.2 ETAPA DE ANALISIS DE RIESGOS 23 7.1.3 ETAPA DE ESTRATEGIA 30 7.1.4 ETAPA DE PRUEBAS 34 7.1.5 ETAPA DE MANTENIMIENTO 37 7.2 FASE DE ADMINISTRACION DE CRISIS 38 7.2.1 CONCEPTO 38 7.2.2 OBJETIVOS 38 Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 3 de 123 7.2.3 ALCANCE 38 8 ANEXOS 39 8.1 ANEXOS DE ESTRATEGIA TECNOLOGICA 39 8.2 ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL 51 8.3 ANEXOS DE PROCEDIMIENTOS 93 8.3.1 ESCENARIO DE CONTINGENCIA A SITIO ALTERNO 93 8.3.2 MANEJO DE INCIDENTES POR PROBLEMAS EN LOS SISTEMAS 95 8.4 ANEXOS DE TABLAS 98 8.4.1 TIPOS DE AMENAZA 98 8.4.2 TIPOS DE VULNERABILIDADES 99 8.4.3 CRITERIOS DE FRECUENCIA 100 8.4.4 CRITERIOS DE IMPACTO 101 8.5 ANEXOS FORMATOS 102 8.5.1 FORMATO DE ANALISIS DE IMPACTO DEL NEGOCIO - BIA 102 8.5.2 FORMATO DE INCIDENTES DE CONTINGENCIA 106 8.5.3 CASCADA TELEFONICA 107 8.5.4 FORMATO GUION DE PRUEBAS Y SUS REGISTROS 109 8.5.5 FORMATO DE ACTIVACION Y SEGUIMIENTO DE LA ACTIVACION 116 8.6 ANEXOS RESULTADOS 117 8.6.1 EQUIPO DE TRABAJO DEL PCN 117 117 8.6.2 RESULTADO DE LA ETAPA DE ANALISIS DE IMPACTO DEL NEGOCIO – BIA 118 Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 4 de 123 1 INTRODUCCION El Icetex reconoce que existen amenazas significativas ante la posibilidad de la ocurrencia de un incidente o desastre que afecte la operación, como también la necesidad de recuperarse en el menor tiempo posible, garantizando la continuidad del instituto. La Administración del Plan de Continuidad de Negocios es la política que el Icetex implementa, para responder organizadamente a eventos que interrumpen la normal operación de sus procesos y que pueden generar impactos sensibles en el logro de los objetivos. El Plan de Continuidad del Negocio es una herramienta que mitiga el riesgo de no disponibilidad de los recursos necesarios para el normal desarrollo de las operaciones y como tal hace parte del Sistema de Gestión de Riesgo Operativo, ofreciendo como elementos de control la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. 2 OBJETIVOS 2.1 OBJETIVO GENERAL Asegurar que el Icetex esté preparado para responder a emergencias, recuperarse de ellas y mitigar los impactos ocasionados, permitiendo la continuidad de los servicios críticos para la atención de clientes y la operación. 2.2 OBJETIVOS ESPECIFICOS  Lograr un nivel de preparación frente a incidentes que permita asegurar que puede proteger la integridad de las personas y bienes de la entidad en forma adecuada, realizando una buena administración de la crisis.  Minimizar la frecuencia de interrupciones de la operación de los procesos del negocio.  Asegurar una pronta restauración de las operaciones afectadas por el evento.  Minimizar las decisiones a tomar en caso de contingencia para evitar cometer errores. Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 5 de 123  Cumplimiento de los requerimientos de normas emitidas por la Superintendencia Financiera de Colombia. 3 ALCANCE La Administración del Plan de Continuidad de Negocios es una disciplina que prepara a la organización para poder continuar operando durante un incidente o desastre, a través de la implementación de un plan de continuidad, el cual contempla los lineamientos de administración de la continuidad del Instituto, el desarrollo de fases que componen el plan de continuidad y las metodologías definidas por el Icetex para su ejecución, como también el desarrollo de los planes de contingencia, que se realizan de acuerdo con las prioridades establecidas por la Entidad. De la misma manera, el desarrollo de los planes de continuidad se apoya en las capacidades con las que cuenta el Icetex para enfrentar situaciones que amenacen o afecten la integridad física de sus colaboradores e instalaciones, tales como el Plan de Manejo de Emergencias, los mecanismos de protección y seguridad, Manual de gestión de la comunicación en situaciones de crisis y los demás sistemas de gestión. 4 CONCEPTOS BASICOS Administración del Plan de Continuidad de Negocios: Es un sistema administrativo integrado, transversal a toda la organización, que permite mantener alineados y vigentes todas las iniciativas, estrategias, planes de respuesta y demás componentes y actores de la continuidad del negocio. Busca mantener la viabilidad antes, durante y después de una interrupción de cualquier tipo. Abarca las personas, procesos de negocios, tecnología e infraestructura. Incidente de Trabajo: Es un evento que no es parte de la operación estándar de un servicio y el cual puede causar interrupción o reducción en la calidad del servicio y en la productividad. Problema de Continuidad de Negocio: Es un evento interno o externo que interrumpe uno o más de los procesos de negocio. El tiempo de la interrupción determina que una situación sea un incidente o un desastre. Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 6 de 123 Plan de Continuidad de Negocio (PCN): Conjunto detallado de acciones que describen los procedimientos, los sistemas y los recursos necesarios para retornar y continuar la operación, en caso de interrupción1. Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio. Análisis de Impacto del Negocio (BIA): Es la etapa que permite identificar la urgencia de recuperación de cada área, determinando el impacto en caso de interrupción. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso2. Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catástrofe o interrupción. Ejemplos: inundación, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la Institución. Ejemplos: Deficiente control de accesos, poco control de versiones de software, entre otros. Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad. Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación 1 Concepto tomado del Capítulo XXIII – Reglas relativas a la administración del riesgo operativo – de la Circular Básica Contable de la Superfinanciera. 2 Concepto tomado del Capítulo XII – Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios- Título I de la Circular Básica Jurídica de la Superfinanciera. Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 7 de 123 física a personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicación de controles. 5 CAUSAS DE INTERRUPCION Los planes de contingencia se definen de acuerdo con las causas de las posibles interrupciones y a partir de ellas se referencian las acciones a seguir en caso que las mismas se presenten. Estas se pueden unificar en los siguientes escenarios:  Ausencia de Personal: Se presenta cuando el funcionario o contratista que ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.  No acceso al sitio normal de trabajo: Se presenta cuando por algún evento como desastre natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades propias de su cargo. En este caso y con el ánimo de no interrumpir la operación del proceso crítico se debe contar con un sitio alterno de trabajo, el cual puede ser: • Suministrado por la Entidad, Ejemplo: Otra sede. • Suministrado por un proveedor, contratista o aliado estratégico.  Caída de los sistemas tecnológicos: Se presenta cuando el hardware y/o software presenta falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano.  No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no realización efectiva del proceso. En este caso se debe garantizar que en el contrato con el proveedor se especifique la existencia de un Plan de Continuidad del Negocio documentado, adicional, sea probado en conjunto con los colaboradores de la Entidad y aprobado por el Icetex. Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 8 de 123 6 GOBIERNO DE CONTINUIDAD 6.1 LINEAMIENTOS El objetivo de la administración de continuidad del negocio es planificar las acciones necesarias para responder de forma adecuada ante un incidente de trabajo, desde el momento en que se declare la contingencia hasta la vuelta a la normalidad, de forma que se reduzca al mínimo su impacto sobre el negocio. Los lineamientos se sustentan en un conjunto de principios que han sido formulados basándose en las necesidades del negocio y en el entendimiento de los riesgos asociados, ellos son:  El plan de continuidad de negocio está orientado a la protección de las personas, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre.  Todo el personal de la Entidad debe estar entrenado y capacitado en los procedimientos definidos y conocer claramente los roles y responsabilidades que le competen en el marco de la continuidad del negocio, mediante labores periódicas de formación, divulgación y prueba de los Planes de Contingencia del Negocio.  En caso de presentarse un incidente significativo se deben aplicar los mecanismos de comunicación apropiados, tanto internos como externos, de acuerdo con el manual de Comunicación en Situaciones de Crisis.  Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las áreas de la Entidad, con la guía y coordinación de la Oficina de Riesgos.  Los Jefes de área deben designar un Líder de Plan de Continuidad del Negocio, quien es responsable de apoyar las actividades del Programa de Plan de Continuidad de Negocios para el área que representa.  Las diferentes etapas que conforman la fase de Prevención deben ser ejecutadas con la siguiente frecuencia: o El análisis de impacto del negocio debe actualizarse cada dos (2) años o cada vez que un Líder de Proceso lo requiera, teniendo en cuenta los cambios del Instituto y sus necesidades. Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 9 de 123 o El monitoreo a los riesgos de continuidad se efectuará de manera semestral. o Pruebas anuales deben realizarse a todas las estrategias de contingencia definidas. o Las estrategias se revisarán cada vez que el Líder del Proceso lo considere o como resultado del análisis de riesgos se determine el ajuste o implementación de estrategias de contingencia.  Los procesos críticos deben ser recuperados dentro de los márgenes de tiempo requeridos en los Planes de Continuidad del Negocio.  La Entidad ha definido como el nivel máximo de aceptación del riesgo residual, la clasificación de Tolerable.  Los procesos / servicios del Instituto que sean desarrollados por terceros contratados deben disponer de planes de continuidad, para lo cual el funcionario interventor del contrato debe solicitar este documento y remitirlo a la Oficina de Riesgos, donde se analizará la cobertura del mismo. Adicionalmente, se debe verificar que los planes, en lo que corresponden a los servicios convenidos, funcionen en las condiciones esperadas, donde la Oficina de Riesgos debe coordinar con el área responsable del contrato la ejecución de pruebas a dicho plan.  Los planes de contingencia deben mantenerse actualizados, para lo cual se deben desarrollar, probar y de ser necesario mejorar de forma periódica o ante cambios significativos en políticas, personas, proceso, tecnología; siendo necesario que en dicha revisión participen las áreas involucradas. 6.2 NORMAS EXTERNAS La Superintendencia Financiera de Colombia ha emitido las siguientes circulares donde se normatiza la necesidad de que las Entidades vigiladas por este Ente de Control obtengan un Plan de Continuidad de Negocios, que cumplan con los siguientes elementos:  Circular 041/2007- SARO: Las entidades deben definir, implementar, probar y mantener un proceso para administrar la continuidad del negocio que incluya la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal.  Circular 038/2009 – Sistema de Control Interno: Implementar, probar y mantener un proceso para administrar la continuidad de la operación de la entidad para responder a las fallas e interrupciones específicas de un sistema o proceso y capacidad de retorno a la normalidad. Código: Versión: 1 MANUAL DE ADMINISTRACION DEL PLAN DE Fecha: 30/05/13 CONTINUIDAD DEL NEGOCIO Página: 10 de 123  Circular 042/2012: Exigir que los terceros contratados dispongan de planes de contingencia y continuidad debidamente documentados. Las entidades deberán verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas. Además, existen metodologías del Plan de Continuidad del Negocio fundamentado en el uso de buenas prácticas reconocidas y normas internacionalmente aprobadas basadas en la gestión de riesgos, entre ellas se encuentran DRI International (Disaster Recovey Institute International) e ISO 22301, ISO27001, las cuales fueron tenidas en cuenta para la elaboración de este documento. 6.3 ESTRUCTURA DE LA GESTION DE LA CONTINUIDAD DEL NEGOCIO Para asegurar una adecuada administración de la continuidad del negocio se estableció un estructura, que incluye la definición de los roles y responsabilidades, tanto de los Líderes de Proceso, como de la Alta Gerencia. Esa administración está conformada por: 6.3.1 COMITE SARO - SARLAFT La gestión de la continuidad de negocio requiere de una estructura organizacional, encargada de promover el desarrollo de los lineamientos definidos en este capítulo. Dado que el Comité SARO – SARLAFT realiza el monitoreo a la gestión del Sistema de Riesgo Operativo, también es responsable de administrar la continuidad de la operación del Instituto. A continuación se mencionan los integrantes del comité, su rol y responsabilidad frente a este item: COMITÉ SARO – SARLAFT ROLES DE CONTINGENCIA Presidente del Icetex o su delegado, quien presidirá el Comité Director de Continuidad Jefe de Riesgos Director Alterno de Continuidad Secretaria General Líder de Administración /Recuperación Infraestructura Física Director de Tecnología Líder de Recuperación Tecnológica Vicepresidente Financiero Coordinadores de Recuperación Vicepresidente de Crédito y Cobranza Vicepresidente de Fondos en Administración Jefe de Control Interno Tareas de apoyo, control y cumplimiento Jefe Oficina Asesora Jurídica Oficial de Cumplimiento Coordinador de Riesgos de Crédito y Operativo Jefe oficina Asesora de Comunicaciones (Su participación Asesor de Comunicaciones será por solicitud del Comité SARO-SARLAFT) Roles de Miembros de Comité SARO - SARLAFT

Description:
ANEXOS DE ESTRATEGIA DE CONTINGENCIA MANUAL . Las etapas de la Administración de PCN deben ser ejecutadas por cada una de las mencionan los integrantes del comité, su rol y responsabilidad frente a este item:.
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.