DESARROLLO DEL PLAN DE

CONTINUIDAD DEL NEGOCIO PARA

LA EMPRESA EQUIVIDA PARA EL
PERIODO 2012-2015
AGENDA
 Introducción
 Objetivo ,justificación ,alcance
 Metodología del proyecto
 Desarrollo del BCP
 Conclusiones y Recomendaciones
INTRODUCCIÓN

 El siguiente proyecto consiste en desarrollar el Plan de

Continuidad del negocio para la empresa de Seguros Equivida
para el período 2012-2015 con los lineamientos de la norma
ISO 22301 (Sistema de Gestión de Continuidad del Negocio)
 • Equivida necesita contar con un Plan para proteger la continuidad
de las operaciones, salvaguardar al recurso humano y tecnológico
JUSTIFICACIÓN ante un desastre.

• Diseñar el plan y establecer políticas de Continuidad del Negocio

• Identificar los servicios críticos del negocio
OBJETIVO • Crear estrategias de recuperación de los procesos críticos

• El plan es exclusivamente para la compañía Equivida para la ciudad

de Quito.
ALCANCE
METODOLOGÍA (ISO 22301)

 La norma ISO la primera norma internacional para la

gestión de la continuidad de negocio (SGCN)
 Reemplaza a la norma britanica BS25999
 La norma ISO 22301 La norma proporciona a las
organizaciones un marco que asegura que ellos pueden
continuar trabajando durante las circunstancias más
difíciles en caso de un desastre.
QUE ES UN PLAN DE CONTINUIDAD DEL
NEGOCIO (BCP)
 Es el conjunto de procedimientos y estrategias de una
organización para asegurar la reanudación oportuna y
ordenada de los procesos del negocio en un plazo
predefinido y con un coste acotado ante un incidente o
interrupción.
 Un Plan de Continuidad de Negocio está orientado al
mantenimiento del negocio de la organización, con lo que
priorizará las operaciones de negocio críticas necesarias
para continuar en funcionamiento después de un
incidente no planificado.
 La activación de un Plan de Continuidad debería
producirse solamente en situaciones de emergencia y
cuando las medidas de seguridad hayan fallado.
BENEFICIOS DE UN PLAN DE
CONTINUIDAD DEL NEGOCIO
Identifica los eventos que podrían impactar sobre
la continuidad de las operaciones y su impacto
financiero, humano y de reputación sobre la
organización.

Previene o minimiza las pérdidas para el negocio

en caso de desastre

Clasifica los activos para priorizar su protección

en caso de desastre.

Obliga a conocer los tiempos críticos de

recuperación para volver a la situación anterior al
desastre sin comprometer al negocio.

Mantener el servicio prestado por los sistemas de

información a los procesos del negocio,
minimizando el impacto en la operación.
UN BCP FUNCIONA CUANDO:

ALTA DIRECCION

DEFINIR ALCANCE

SIMPLE

PERSONALIZADO

ENTENDIBLE

PROBADO
 ANÁLISIS DE IMPACTO AL NEGOCIO (BIA)

Recuperación Recuperación de los

de las Servicios de
Operaciones Tecnología 1
0
0
Último
%
Backup

Punto Tiempo de
Objetivo de Tiempo recuperación de
Recuperació Objetivo de trabajo (WRT)
n Recuperación
(RPO) (RTO)
Periodo Máximo
Tolerable de
Interrupción (MPTD)
PASOS PARA EL DESARROLLO DEL BCP

1.
Analisis
del
Negoci
o

4. 2.
Selección
BCP
Pruebas
y de
manteni Estrategia
miento s

3.
Desarroll
o del
Plan
FASE I. ANÁLISIS DEL NEGOCIO Y
EVALUACIÓN DE RIESGOS

 Para desarrollar un Plan de Continuidad con garantía de

éxito, lo primero es conocer y entender cuáles son los
procesos de negocio que son esenciales dentro de la
compañía en la que se va a desarrollar el Plan
Análisis de impacto en el negocio
(Business Impact Analysis-BIA):

Determinar los Procesos

Críticos

Conocer las actividades de Relación de

los procesos los procesos

Relación de Obtención de la Tiempo de

Departamentos Relación de recuperación
y Usuarios Aplicaciones objetivo
ANALISIS DE RIESGOS
 El objetivo de un Análisis de Riesgos es poner de manifiesto
aquellas debilidades actuales que por su situación o su
importancia pueden poner en marcha, antes de lo deseable,
el Plan de Recuperación de Negocio

 Análisis de Riesgo debe centrarse en los

procesos/actividades del negocio que se han considerado
críticos
PASOS PARA EL ANALISIS DE RIESGO
 Identificar las amenazas físicas y las medidas correspondientes para la mitigación en
el sitio, incluyendo amenazas internas y externas, seguridad y controles ambientales,
seguridad y procedimientos de respuesta a incidentes, procedimientos de respaldo y
recuperación de datos, y prácticas de personal.
 Análisis de vulnerabilidad, identificar amenazas y debilidades en los controles que
pudieran no haber sido diseccionados, o identificar posibles mejoras que puedan
implementarse.
 Desarrollar sugerencias y recomendaciones para reducir la probabilidad de
ocurrencia de las amenazas, incluyendo acciones de prevención y correctivas.
 Los objetivos de un Análisis de Riesgos son evaluar las amenazas físicas en
contraposición con los controles para reducir la probabilidad de ocurrencia, y para
mitigar el impacto de dichas amenazas. Los tipos de controles incluyen políticas y
procedimientos de seguridad física, preparación para la respuesta a incidentes, y
planes en sitio para implementar procedimientos y políticas para controles
adicionales dentro de la organización. Los resultados de esta investigación se
documentan en un reporte.
Esquema del análisis del riesgo

IDENTIFICACION DE
ANALIZAR RIESGOS
AMENAZAS
• Procesos • Identificar
• Personas • Externas debilidad de • Determinar
• Sistemas activos impacto
• Internas
• Evaluar medidas
IDENTIFICACION DE ANALIZAR
ACTIVOS VULNERABILIDADES
 RIESGO
es la materialización de una amenaza aprovechando la
vulnerabilidad de un activo

IMPACTO PROBABILIDAD
¿Cuál es el impacto al ¿Qué tan probable es la
negocio? amenaza dados los controles?

MITIGACIÓN
ACTIVO AMENAZA VULNERABILIDAD
¿Cómo se reduce
¿Qué trata de ¿Qué teme que ¿Cómo puede
actualmente el
proteger? suceda? ocurrir la amenaza?
riesgo?
 POSIBLES ACCIONES A TOMAR ANTE LOS RIESGOS

• Significa poner en practica las acciones

EVITAR EL RIESGO
orientadas a prevenir su materialización.

• Ejecutar las medidas de prevencion y de

REDUCIR EL RIESGO
proteccion de los activos

• Reduce su efecto a través del traspaso de las

TRANSFERIR EL RIESGO pérdidas a otras organizaciones, como el caso de
los contratos de seguros

• El riesgo y el impacto son aceptados por la

ASUMIR UN RIESGO
compañia.
FASES OCTAVE
 FASE 1:
• Establecer criterios de evaluación de impacto
• Identificar sus criterios de seguridad
• Identificar sus amenazas
• Analizar los procesos tecnológicos relacionados
 FASE 2
• En esta fase se examina la infraestructura tecnológica
 FASE 3
• Esta fase se realiza la identificación de los riesgos, así como
también se realizan estrategias de mitigación y planes de
protección
. ESTRATEGIA DE RECUPERACIÓN
 En esta fase se seleccionarán los métodos operativos
alternativos que se van a utilizar en el caso de que ocurra
un incidente que provoque una interrupción en la
organización. El método seleccionado deberá garantizar la
restauración de los procesos afectados en los tiempos
determinados por el Análisis de Impacto.
 SELECCIÓN DE ESTRATEGIAS

• Esta estrategia se plantea en las funciones o actividades que se

NO HACER NADA
clasificaron como no críticas.

UTILIZACIÓN DE ESPACIOS PROPIOS • Utilización de espacios existentes en la compañia

REUTILIZACIÓN DE RECURSOS
• Reubicación de personal con funciones no urgentes en
tareas prioritarias

TRABAJO REMOTO
• Trabajar desde ubicaciones exteriores a la compañia
mediante conexión remota
• Acuerdos entre dos organizaciones con similares
ACUERDOS RECÍPROCOS
características de equipamiento/espacio.
• Contratación con compañias especializadas en espacios
SUBCONTRATO A TERCEROS
dedicados, espacios moviles o modulos prefabricados.
• Permite trasladar de forma inmediata la operación,
CENTRO REPLICADO
denominados tambien centros espejo.
DESARROLLO DEL PLAN DE
CONTINUIDAD DEL NEGOCIO
 Los equipos necesarios para el desarrollo del Plan.
 Las responsabilidades y funciones de cada uno de los
equipos.
 Las dependencias orgánicas entre los diferentes equipos.
 El desarrollo de los procedimientos de alerta y actuación
ante eventos que puedan activar el Plan.
 Los procedimientos de actuación ante incidentes.
 La estrategia de vuelta a la normalidad.
 Equipo Comité de Crisis: Encargado de dirigir las
acciones durante la contingencia y recuperación.
 Equipo de Recuperación: Encargado de restablecer
todos los sistemas necesarios (voz, datos, comunicaciones,
etc.)
 Equipo Logístico: Responsable de toda la logística
necesaria en el esfuerzo de recuperación
 Equipo de Atención a clientes: Encargados de
concentrar la información y de la comunicación a los
clientes
 Equipo de Unidades del Negocio: Personas que
trabajan con las aplicaciones críticas.
DESARROLLO DE PROCEDIMIENTOS POR
FASES
 FASE DE ALERTA
 Procedimiento de notificación del desastre.
 Procedimiento de lanzamiento del Plan
 Procedimiento de notificación de la puesta en marcha del
Plan a los equipos implicados.

 FASE DE TRANSICIÓN
 Procedimiento de concentración de equipos.
 Procedimiento de traslado y puesta en marcha de la
recuperación.
 FASE DE RECUPERACIÓN
 Procedimientos de restauración.
 Procedimientos de soporte y gestión.

 FASE DE VUELTA A LA NORMALIDAD

 Análisis del impacto.
 Procedimientos de vuelta a la normalidad.

 • Notificación del
Desastre
• Análisis de
Impacto • Lanzamiento del Plan
• Puesta en marcha de los
• Procedimiento equipos implicados
de vuelta a la
normalidad
Fase de
Vuelta a la Fase de Alerta
Normalidad

Fase de Fase de
• Procedimiento de Recuperación Transición • Translado y
restauración
puesta en
• Procedimiento de
soporte y gestión
marcha del
Centro de
Recuperación
PLAN DE PRUEBAS
 Ejercicios y pruebas:

COMO CERTIFICARSE EN LA NORMA
 Alcance del SGCN
 Política de la Continuidad del Negocio
 Objetivos de la continuidad del negocios
 Evidencia de competencias del personal
 Registros de comunicación con las partes interesadas
 Análisis del impacto en el negocio
 Evaluación de riesgos, incluido un perfil de riesgo
 Estructura de respuesta a incidentes
 Planes de continuidad del negocio
 Procedimientos de recuperación
 Resultados de acciones preventivas
 Resultados de supervisión y medición
 Resultados de la auditoría interna
 Resultados de la revisión por parte de la dirección
 Resultados de acciones correctivas
DESARROLLO DEL BCP
EN EQUIVIDA
CONOCIMIENTO DEL NEGOCIO
 EQUIVIDA COMPAÑÍA DE SEGUROS Y REASEGUROS S.A, es una
empresa que se dedica a ofrecer seguros y reaseguros para vida y riesgos
personales a través de pólizas individuales y colectivas desde hace 18 años,
la misma tiene 300 colaboradores los mismos que se encuentran en las
diferentes ciudades donde opera.
 EQUIVIDA S.A. desarrolla sus actividades en base a las siguientes premisas.
 Cultura de servicio: mantener el interés y compromiso por dar mejor servicio a
sus clientes.
 Innovación: ser creativos día a día en sus productos, estrategias, talento humano
y tecnológico.
 Éxito: persigue el crecimiento personal, profesional e institucional.
 Líder: establecer calidad y variedad de sus productos en el mercado de seguros
de vida.
 Transparencia: ser claros y oportunos a la hora de informar sobre sus productos.
 Crear con el cliente soluciones innovadoras que le permitan visualizar y
tangibilizar un futuro tranquilo ante los eventos trascendentales de su vida y la
de su familia.
 Para la selección de los procesos considerados críticos de
la compañía se realiza un acercamiento a través de la
cadena de valor, definidos en el mapa como Procesos
Primarios.
 Los Macro procesos a considerar son:
 MP 010 – Marketing
 MP 020 – Gestión Comercial
 MP 030 – Gestión de Contratos
 MP 040 – Servicio al Cliente y Canales
ANÁLISIS DE ACTIVIDADES/RESPONSABLE
POR PROCESO
PROCESOS CRITICOS
INVENTARIO DE SOFTWARE VS
PROCESOS
COMPONENTES TECNOLÓGICOS QUE
SOPORTAN LOS PROCESOS
Tiempo máximo de interrupción de los
servicios
ANÁLISIS DE RIESGOS
Generar los diferentes equipos
Procedimientos de ejecucion del plan
Se genera los procedimientos necesarios
 PROCEDIMIENTO DE EVACUACIÓN DEL
EDIFICIO
 PROCEDIMIENTO DE CONCENTRACIÓN Y
TRASLADO DE MATERIAL Y PERSONAS
 PROCEDIMIENTO DE NOTIFICACIÓN DEL
DESASTRES
 PROCEDIMIENTO DE EJECUCIÓN DEL PLAN
 PROCEDIMIENTO DE RESTAURACION
 PROCEDIMIENTOS DE REGISTRO DE INCIDENCIAS
 PROCEDIMIENTO DE VUELTA A LA NORMALIDAD
CONCLUSIONES Y RECOMENDACIONES
 El desarrollo del Plan permitió definir objetivamente los
procesos críticos de la compañía que sirvió además de apoyo a
la toma de decisiones en otros ámbitos.

 El desarrollo de un Plan de Continuidad permite una

consolidación de intereses entre la Alta Dirección y las
diferentes Unidades organizativas al constatar que diferentes
áreas apoyan a procesos idénticos.
 Implementar un Sistema de Gestión de Seguridad de la
Información que vaya a la par con un Sistema de Gestión de la
Continuidad para darle el respaldo respectivo a todas las
funciones del negocio y con eso mayor valor al negocio.
GRACIAS !!!