Plan de continuidad de negocio
Plan de continuidad de negocio
Prepararnos para situaciones que afecten las operaciones de nuestra tecnología es muy importante. Por eso, debemos conocer los planes de contingencia con los que contamos para solventar cualquier caso de manera efectiva.
El plan de continuidad de negocio busca responder a dichos eventos para recuperar la correcta operativa del negocio.
Conocé los aspectos más importantes de este plan, a continuación:
Propósito
Identificar, evaluar y dar respuesta a eventos que podrían interrumpir los servicios de tecnología de Oceánica de Seguros, generando acciones para recuperar la infraestructura tecnológica que da soporte a los subprocesos críticos del negocio, de forma tal que, se restablezcan los servicios de TI a la operación normal.
Alcance
Cubre escenarios de negocio que interrumpan la operativa normal de la compañía, así como los delimitados por Oceánica de Seguros en la infraestructura de TI identificada como crítica en el análisis de administración de riesgos (seguridad perimetral, telecomunicaciones, hardware y software).
Aspectos esenciales
Las diferentes tareas que forman parte del plan se ejecutan y coordinan de la mano de líderes encargados de guiar y respaldar, así como grupos expertos que faciliten la recuperación y retorno a las actividades normales.
Conocé cuáles grupos conforman el plan y sus respectivas funciones:
Notificadores:
Grupo Descripción Responsabilidad
Notificadores
Notifican el incidente o evento (mesa de servicio u operadores).
En caso de presentarse un evento catalogado como desastre de continuidad y que interrumpa los servicios, se deberá de notificar al líder respectivo.
Grupo de manejo de incidentes:
Líder de continuidad de negocio Coordinador de proyectos Contralor normativo o coordinador de TI.
• Conocer a los líderes de recuperación.
• Participar en la evaluación del evento.
• Notificar la activación del Plan de continuidad de negocio.
• Realizar un monitoreo continuo de las actividades realizadas por los coordinadores.
• Comunicación con la Junta Directiva de Oceánica de Seguros.
Líder de negocio
Gerencia de Desarrollo Organizacional Contralor normativo
• Comunicación con la Gerencia General de la organización.
• Participar en la evaluación del evento.
• Tomar decisiones de alto nivel.
Jefatura de área
• Gerencia de Administración y Finanzas.
• Gerencia de Suscripción.
• Coordinador de Indemnizaciones.
• Gerencia de Desarrollo Organizacional.
• Supervisor de cobros.
• Coordinador administrativo.
• Coordinador de Suscripción.
• Supervisor de Indemnizaciones.
• Analista de Desarrollo Organizacional.
• Supervisor de pagos y servicio al cliente/administrativo de Indemnizaciones.
• Participar en la evaluación del evento.
• Tomar decisiones relacionadas con las funciones de la unidad.
• Indicar a la unidad responsable del proceso: pagos, cobranza, contabilidad, Centro de Servicios, suscripción o indemnización.
• Coordinar y apoyar la recuperación de los procesos para la operación.
Rol Funcionario principal Funcionario suplente Responsabilidades
Grupo de manejo de incidentes de continuidad de TI:
Responsabilidades
• Conocer a los líderes de recuperación.
• Participar en la evaluación del evento.
Líder de continuidad de TI Coordinador de proyectos Coordinador de TI
• Notificar la activación del Plan de continuidad de TI.
• Realizar un monitoreo continuo de las actividades realizadas por los coordinadores.
• Comunicación con la Junta Directiva.
• Comunicación con la Gerencia General de la organización.
Líder de TI Coordinador de TI Supervisor de TI
• Participar en la evaluación del evento.
• Tomar decisiones de alto nivel.
• Participar en la evaluación del evento.
Líder de infraestructura
tecnológica
Analista de infraestructura Coordinador de TI
• Coordinar y apoyar la recuperación de los componentes de infraestructura de TI (telecomunicaciones y seguridad perimetral).
• Tomar decisiones relacionadas con las funciones de la unidad de infraestructura tecnológica.
Funcionario
Funcionario
Rol
principal
suplente
Grupo de recuperación:
Grupo Descripción Responsabilidad
• Coordinar la recuperación del proceso (pagos, cobranza, contabilidad, Centro de Servicios, suscripción o indemnización), según estrategia de contingencia.
Coordinan la recuperación de procesos específicos de negocio (pagos, cobranza, contabilidad, Centro de Servicios, suscripción o indemnización) tanto a nivel de información como de prestación de servicio al cliente.
• Convocar a los expertos de recuperación del proceso a cargo.
• Informar a los líderes de recuperación sobre los incidentes o errores presentados durante la recuperación o retorno de las actividades.
• Coordinar la disponibilidad de los recursos humanos y materiales necesarios para la recuperación.
Coordinadores de recuperación
Grupo de redes y telecomunicaciones
Coordinan la recuperación de componentes específicos a nivel de seguridad perimetral, telecomunicaciones, infraestructura física y sistemas de información.
• Coordinar la recuperación de la infraestructura en el sitio alterno.
• Convocar a los expertos de recuperación del componente o sistema de información a cargo.
• Informar a los líderes de recuperación sobre los incidentes o errores presentados durante la recuperación o retorno de las actividades.
• Coordinar la disponibilidad de los recursos de hardware necesarios para la recuperación.
• Apoyar en la instalación y configuración de los equipos de telecomunicaciones.
Encargados de la recuperación de los equipos de telecomunicaciones y seguridad perimetral.
• Apoyar la configuración de enlaces de telecomunicaciones y conectividades.
• Emular el tráfico de datos del sitio principal hacia el sitio alterno.
Grupo de recuperación: Grupo Descripción Responsabilidad
Grupo de servidores
Grupo de servidores y aplicaciones
Funcionarios encargados de la instalación del software base (sistema operativo) en los servidores.
Instalación del software base (sistema operativo), según los procedimientos establecidos.
Encargados de la instalación y configuración de las aplicaciones y base de datos.
• Apoyar en la restauración y recuperación de respaldos de aplicaciones y bases de datos, según los procedimientos establecidos de recuperación.
• Realizar configuraciones necesarias a las diferentes bases de datos.
Grupo de almacenamiento
Grupo de sistemas
Funcionarios encargados de la restauración de equipos virtualizados.
• Apoyar en la configuración del ambiente de virtualización, así como la restauración de copias de máquinas virtuales, según los procedimientos establecidos de recuperación.
• Realizar ajustes de configuración en los sistemas de información restaurados.
Encargados de la configuración de los sistemas de información.
• Coordinar las pruebas con usuarios expertos.
Esquema de continuidad
A continuación, te mostramos el esquema del Plan de continuidad de negocio y TI de la organización conformado por cuatro fases: activación, recuperación, retorno y retroalimentación.
Identificación y evaluación del evento.
Escalamiento del evento.
Convocatoria de grupo de recuperación.
2 2 2
3 4
Convocatoria de grupo de evaluación.
Ejecución de recuperación con instructivos de acciones contingentes.
Evaluación de daños.
Planeación del retorno.
1 1 1 1
Evaluación posterior al incidente.
Ejecución del retorno.
Activación Recuperación Retorno Retroalimentación
Escenarios delimitados
En cada uno de los servicios que se delimitaron como críticos encontrás los escenarios de fallo para los cuales Oceánica debería establecer un plan de acción. Observá estos escenarios y enterate de si actualmente se cuenta con un plan de contingencia:
Servicio o recurso de TI
Acsel
Escenario
• Las edificaciones no se encuentran disponibles debido a la interrupción de procesos críticos por desastres naturales.
• Las edificaciones no se encuentran disponibles debido a la interrupción de procesos críticos por incendio de la estructura.
• El personal crítico coordinador no está disponible.
• Pérdida o bloqueo de información de procesos críticos por infiltración, ataque cibernético, robo o extravío.
• Limitación al procesamiento o acceso a la información por fallo en los recursos críticos del negocio.
Estado de la respuesta
• Se cuenta con políticas de teletrabajo, así como las herramientas para realizarlo de manera remota.
• Plan de formación de las funciones críticas.
• Si se daña la información, se procede a acceder a los respaldos que se tienen en el centro de cómputo de la oficina central de Oceánica de Seguros.
• Problemas en el sitio principal, la estrategia se basa en acceder a la información que se encuentra en el sitio alterno.
• En el caso de bloqueo de la información (encriptada), se deben reemplazar los datos con los respaldos que se cuentan.
Correo electrónico Sydle CredidProcedimiento de acciones contingentes de teletrabajo
Disparador de la contingencia
Se identifica la imposibilidad de permanecer o ingresar a las instalaciones de trabajo.
Comunicación del evento
Se siguen los siguientes pasos para la comunicación:
1. La Gerencia de Desarrollo Organizacional comunica la incapacidad de ingresar a las instalaciones de trabajo.
2. La alta dirección aprueba al Área de Desarrollo Organizacional para que se comunique al personal sobre el inicio de la continuidad de negocios; además, en caso de ser necesario, se comunica a TI la necesidad de usar los servidores de contingencia.
Procedimiento de acciones contingentes para servidores de respaldo
Disparador de la contingencia
Se realiza aviso por parte del personal de la incapacidad para acceder a los sistemas o la pérdida de la información crítica del proceso. Esto se comparte al gerente de TI para que evalúe la situación e inicie la contingencia.
Comunicación del evento
Se siguen los siguientes pasos para la comunicación:
1. El gerente de TI comunica la situación a la alta dirección y se procederá a iniciar con la contingencia.
2. La alta dirección da la instrucción al Área de Mercadeo y a la de Desarrollo Organizacional para que realicen la comunicación a los entes internos y al personal sobre la situación, así como el tiempo de inactividad mientras se inicia la contingencia.
Procedimiento de acciones contingentes de respaldos del personal crítico
Hacer lista del personal crítico
Disparador de la contingencia
La jefatura directa informará la ausencia del colaborador y el tiempo que tomará ésta al gerente de Desarrollo Organizacional para que active la contingencia.
Comunicación del evento
Se siguen los siguientes pasos para la comunicación:
1. Se informa al colaborador designado del respaldo sobre la necesidad de que asuma el puesto del colaborador crítico.
2. Se informa al personal sobre el cambio en el puesto y el tiempo planteado para este cambio.
3. En caso de que el personal crítico interactúe con externos (clientes, intermediarios o proveedores) se procede a coordinar con Mercadeo la comunicación de la situación.
4. Se solicita a TI los accesos correspondientes a la información necesaria para que el colaborador pueda ejecutar sus funciones de forma correcta.
Encargado de la comunicación
Se trata del vocero oficial de la organización para referirse a la situación actual del evento. Corresponde al vocero que deberá realizar las comunicaciones oficiales.
En caso de no estar disponible, el suplente del coordinador de continuidad (de negocio o de TI) tendrá la responsabilidad de ser el vocero oficial de la organización.
Las comunicaciones se deberán realizar al activar la recuperación, el retorno y la desactivación de acuerdo con el criterio del grupo de manejo de incidentes de continuidad (de negocio o de TI).
Canales de comunicación
El encargado de la comunicación informará a los interesados a través de los siguientes medios:
Canal
Descripción
Teléfono Teléfono celular o fijo (de casa o en la organización).
Correo interno Correo electrónico de la organización.
Correo externo Correo electrónico externo únicamente informativo.
Grupos WhatsApp Grupos mediante la herramienta de WhatsApp, usada únicamente para comunicaciones internas de la organización.
Reuniones virtuales De ser necesario, reuniones con grupos específicos para explicar la situación.
Otros Reuniones presenciales.
Directorio de contacto y orden de llamadas
En caso de ocurrir algún evento de continuidad, utilizá el siguiente orden de llamadas para informar al respecto:
Gerencia de Desarrollo Organizacional
Gerencia General Sugese
Líderes de negocio Contraloría Normativa
Personal no esencial Intermediarios
Líder de continuidad (de negocio o de TI)
Personal crítico Junta Directiva
Además, podés verificar los números de teléfono y extensiones, ingresando a nuestro sitio web www.oceanica-cr.com, dando clic en “Información” y luego en “Directorio telefónico”.
Plan de continuidad de negocio