Post on 25-Jan-2020
FACULTAD DE INGENIERÍA
Carrera de Ingeniería Informática y de Sistemas
IMPACTO E IMPLEMENTACIÓN DEL MODELO DE CONTINUIDAD DE SERVICIO DE MESA DE AYUDA EN
UN TERMINAL PORTUARIO DEL CALLAO
Tesis para optar el Título Profesional de Ingeniero Informático y de
Sistemas
ALBERTO FRANCISCO YUFRA TEJERINA
Asesor:
José Guevara Julca
Lima – Perú
2018
Página 1
JURADO DE LA SUSTENTACIÓN ORAL
……………….………………………………………
Presidente
……………….………………………………………
Jurado 1
……………….………………………………………
Jurado 2
Entregado el: Aprobado por:
_____________ ______________
Graduando Asesor de Tesis:
Página 2
DECLARACIÓN DE AUTENTICIDAD
Yo, Alberto Francisco Yufra Tejerina, identificado con DNI Nº 45083137 Bachiller del
Programa Académico de la Carrera de Ingeniería Informática y de Sistemas de la Facultad
de Ingeniería de la Universidad San Ignacio de Loyola, presento mi tesis titulada: Impacto
e implementación del modelo de continuidad de servicio de Mesa de Ayuda en un terminal
portuario del Callao.
Declaro en honor a la verdad, que el trabajo de tesis es de mi autoría; que los datos, los
resultados y su análisis e interpretación, constituyen mi aporte. Todas las referencias han
sido debidamente consultadas y reconocidas en la investigación.
En tal sentido, asumo la responsabilidad que corresponda ante cualquier falsedad u
ocultamiento de la información aportada. Por todas las afirmaciones, ratifico lo expresado,
a través de mi firma correspondiente.
Lima, 15 de diciembre de 2018
…………..…………………………..
Alberto Francisco Yufra Tejerina
DNI N° 45083137
Página 3
EPÍGRAFE
“The job of a manager is to support his
or her staff, not vice versa, and that
begins by being among them.”
William Redington Hewlett
Página 4
ÍNDICE DE CONTENIDOS
JURADO DE LA SUSTENTACIÓN ORAL ......................................................................... 1
DECLARACIÓN DE AUTENTICIDAD ................................................................................ 2
EPÍGRAFE ........................................................................................................................ 3
ÍNDICE DE CONTENIDOS ................................................................................................ 4
ÍNDICE DE TABLAS .......................................................................................................... 7
ÍNDICE DE FIGURAS ........................................................................................................ 8
ÍNDICE DE ANEXOS ......................................................................................................... 9
DEDICATORIA ................................................................................................................ 10
AGRADECIMIENTO ........................................................................................................ 11
RESUMEN ....................................................................................................................... 12
ABSTRACT...................................................................................................................... 13
INTRODUCCIÓN ............................................................................................................. 14
PROBLEMA DE INVESTIGACIÓN .................................................................................. 15
Identificación del problema ....................................................................................... 15
Formulación del problema ........................................................................................ 19
MARCO REFERENCIAL.................................................................................................. 20
Antecedentes ........................................................................................................... 20
Estado del arte ......................................................................................................... 23
Descripción de la empresa ....................................................................................... 23
Descripción del servicio ............................................................................................ 25
Marco teórico ........................................................................................................... 31
OBJETIVOS..................................................................................................................... 43
Objetivos generales ................................................................................................. 43
Objetivos específicos ............................................................................................... 43
JUSTIFICACIÓN .............................................................................................................. 43
Teórica ..................................................................................................................... 43
Práctica .................................................................................................................... 44
Página 5
Social ....................................................................................................................... 44
HIPÓTESIS...................................................................................................................... 45
MATRIZ DE CONSISTENCIA .......................................................................................... 46
MARCO METODOLÓGICO ............................................................................................. 48
Metodología ............................................................................................................. 48
Paradigma................................................................................................................ 50
Enfoque ................................................................................................................... 50
Método ..................................................................................................................... 50
VARIABLES ..................................................................................................................... 50
Variable independiente............................................................................................. 50
Variable dependiente ............................................................................................... 51
POBLACIÓN Y MUESTRA .............................................................................................. 51
Población ................................................................................................................. 51
Muestra .................................................................................................................... 51
UNIDAD DE ANÁLISIS .................................................................................................... 52
INSTRUMENTOS Y TÉCNICOS ...................................................................................... 52
Instrumentos ............................................................................................................ 52
Técnicas................................................................................................................... 53
PROCEDIMIENTOS Y MÉTODO DE ANÁLISIS .............................................................. 54
Procedimientos ........................................................................................................ 54
Método de análisis ................................................................................................... 54
RESULTADOS ................................................................................................................ 56
Análisis de impacto .................................................................................................. 58
Planificación ............................................................................................................. 93
Implementación y operación..................................................................................... 94
Revisión y concientización ....................................................................................... 95
Mantenimiento y mejora ......................................................................................... 110
CONCLUSIONES .......................................................................................................... 112
RECOMENDACIONES .................................................................................................. 114
Página 6
SUGERENCIAS ............................................................................................................. 115
REFERENCIAS ............................................................................................................. 116
ANEXOS ........................................................................................................................ 118
Página 7
ÍNDICE DE TABLAS
Tabla 1. Acuerdos de servicio 26
Tabla 2. Hipótesis 45
Tabla 3. Matriz de Consistencia 47
Tabla 4. Confiabilidad del instrumento encuesta 55
Tabla 5. Etapas del plan de continuidad 58
Tabla 6. Condiciones para la caída de servicio 60
Tabla 7. Áreas críticas en el puerto 64
Tabla 8. Matriz de Impacto 66
Tabla 9. Matriz de Urgencia 66
Tabla 10. Matriz de Prioridades 67
Tabla 11. Definición de prioridades 68
Tabla 12. Matriz de Riesgos 76
Tabla 13. Indicadores de negocio 83
Tabla 14. Costos en Operaciones de contenedores 86
Tabla 15. Costos en operaciones de carga general 87
Tabla 16. Costos en Seguridad, Salud y Medio ambiente 87
Tabla 17. Costos en Facturación y cobranzas 88
Tabla 18. Costos en Comercial y atención al cliente 89
Tabla 19. Costos en Legal 89
Tabla 20. Costos promedio 92
Tabla 21. Documentación del proceso de continuidad 93
Tabla 22. Datos Etapa 1 105
Tabla 23. Datos Etapa 2 106
Tabla 24. Razones de incumplimiento 1ra Etapa 107
Tabla 25. 1ra Etapa - Áreas afectadas 108
Tabla 26. Razones de incumplimiento 2da Etapa 109
Tabla 27. Áreas afectadas - 2da Etapa 110
Página 8
ÍNDICE DE FIGURAS
Figura 1. Diagrama FODA 17
Figura 2. Diagrama espina de pescado del problema 18
Figura 3. Diagrama AS-IS inicial 30
Figura 4. Metodología 49
Figura 5. Diagrama de la continuidad de negocio 57
Figura 6. Incidentes y requerimientos por área 64
Figura 7. Frecuencia relativa de casos en el día 65
Figura 8. Horas de caída de servicio por mes en el 2017 90
Figura 9. Línea de tiempo de recolección de datos 95
Figura 10. Estadística Pregunta 1 97
Figura 11. Estadística Pregunta 2 97
Figura 12. Estadística Pregunta 3 98
Figura 13. Estadística Pregunta 4 99
Figura 14. Estadística Pregunta 5 99
Figura 15. Estadística Pregunta 6 100
Figura 16. Estadística Pregunta 7 101
Figura 17. Estadística Pregunta 8 101
Figura 18. Estadística Pregunta 9 102
Figura 19. Estadística Pregunta 10 103
Figura 20. Estadística Pregunta 11 103
Figura 21. Estadística Pregunta 12 104
Figura 22. Distribución de Casos 1ra Etapa 105
Figura 23. Distribución de Casos 2da Etapa 106
Figura 24. Razones de Incumplimiento 1ra Etapa 107
Figura 25. Razones de Incumplimiento de SLAs -2da Etapa 109
Figura 26. Diagrama To-Be segundo periodo 111
Página 9
ÍNDICE DE ANEXOS
Anexo 1. Formato de la encuesta 118
Anexo 2. Ficha de Observación 121
Anexo 3. Funciones del servicio de Mesa de Ayuda 122
Anexo 4. Política de continuidad de servicio 128
Anexo 5. Plan de la continuidad del servicio de Mesa de ayuda 134
Anexo 6. Plan de recuperación de servicios 177
Anexo 7. Procedimiento de contingencia para aplicaciones 181
Anexo 8. Organigrama de la empresa 195
Anexo 9. Catálogo de servicio 196
Anexo 10. Plan de Capacitaciones 201
Página 10
DEDICATORIA
El presente trabajo de tesis lo
dedico a mi familia y las personas
que están a mi lado apoyándome
en la búsqueda de mi superación
personal y a culminar esta etapa
de mi desarrollo académico.
Página 11
AGRADECIMIENTO
Agradezco a las personas de mi
equipo de trabajo que apoyaron a
la recolección de los datos
necesarios para poder desarrollar
este proyecto, así mismo a las
personas que me dieron la
oportunidad de llevar la presente
investigación.
Página 12
RESUMEN
El presente proyecto tiene como objetivo validar y verificar la continuidad de servicio como
herramienta determinante para un servicio de mesa de ayuda en condiciones de empresa
como un terminal portuario, en donde los servicios brindados son críticos para las
operaciones. Se presentará los motivos que convierten este proyecto en importante y
relevante de manera operacional, social y académica para justificar la investigación y su
desarrollo, así mismo, se presentara el entorno en el que se presenta el caso y el contexto
actual en el que se desarrolla.
En el desarrollo y validación de la hipótesis se remarcará la importancia de los
marcos y librerías de las tecnologías de información, tal como ITIL, que revisa la gestión
de servicios, incluyendo el trabajado en la presente tesis. La importancia del marco de
buenas prácticas va corroborada con las investigaciones previas mencionados en los
antecedentes y marco teórico, lo cual da un precedente que servirá de comparación para
la discusión y posterior validación de la hipótesis.
Como metodología se tiene un enfoque no experimental, analizando el servicio en
diferentes puntos en el tiempo para marcar un precedente y comparar los resultados de un
antes y después del plan de continuidad de negocio. De acuerdo a la metodología
mencionada, el análisis económico se rige en un periodo de seis meses, para
posteriormente realizar la implementación del plan, así como la evaluación posterior de los
subprocesos de la gestión de continuidad. La principal limitación que presenta la tesis es
poder contar con un mayor número de evaluaciones para las pruebas del plan de
continuidad de servicios, debido a que dichas pruebas requieren un lapso de tiempo
apropiado y un costo asociado con el uso de recursos humanos para la realización de las
pruebas.
Finalmente, se presentará las conclusiones de la investigación para poder concretar
y validar los objetivos propuestos, además, se brindarán las recomendaciones del caso
que pueden derivar en un ahondamiento del tema para una investigación un grado mayor
académico.
Palabras clave: mesa de ayuda, continuidad de servicios, ITIL, gestión de riesgo,
continuidad de negocio, plan de recuperación de desastres, disponibilidad de servicios, ISO
22301.
Página 13
ABSTRACT
The upcoming project has as an objective to validate and verify the service continuity as a
determining tool for a help desk services in conditions of a port terminal enterprise, in which
the available services are critical for daily operations. The reasons that make this project
important and relevant will be presented in an operational, social and academic way to
justify the research and its development, furthermore the environment will be presented
where the case study is currently being developed.
In the development and validation of the hypothesis the importance of libraries and
frameworks of information technology will be highlighted, as well as ITIL, which checks the
proper management of services, including the work of the present document. The
importance of the framework of good practices is attached to the previous investigations
mentioned on the background and theoretical framework, which gives us a precedent that
will help compare during the discussion of post-validation of the hypothesis.
As methodology there is an experimental focus, analyzing the service in different
points in time to set a checkpoint and compare the results of before and after the business
continuity plan is implemented. According to the methodology previously mentioned, the
economic analysis has a time frame of six months, after that, the implementation would be
put in practice and be evaluated. The principal limitation that the thesis presents is to be
able to count a greater number of evaluations for the tests of the service continuity plan,
since such test require an appropriate timeframe and a cost associated from human
resources for the test implementation.
Finally, the conclusions of the investigation will be presented, to be able to establish
and validate objectives as well as providing recommendations in case this can shunt in a
more detailed research for a higher academic grade.
Keywords: Help desk, service continuity, ITIL, risk management, business continuity,
disaster recovery plan, service availability, ISO 22301.
Página 14
INTRODUCCIÓN
El terminal portuario del Callao es una entidad comercial en el ámbito del transporte de
carga en contenedores como en carga general. Dicha instalación cuenta con once muelles
dedicados a la carga y descarga de diferentes productos de todo ámbito, trabajando los
365 días del año. Tal como las operaciones portuarias no se detienen, tampoco su servicio
de mesa de ayuda. Dicho servicio por parte de la división de IT (Tecnologías de la
información) se encarga de la gestión de incidentes, requerimientos y logística de activos
de IT.
Tales servicios cuentan con un nivel de servicio acordado entre el proveedor del
servicio y la empresa contratante, el cual exige que se tenga un cumplimiento de los niveles
de servicio para los tiempos de resolución, registro oportuno de incidencias, seguimiento
de requerimientos, escalamiento apropiado, notificaciones de incidentes masivos,
documentación de soluciones, entre otros. Tal exigencia implica que se deba contar con
todas las contingencias para que el servicio permanezca activo durante todas las
operaciones del puerto.
A lo largo del tiempo, la empresa portuaria ha sido testigo de lo crucial que resulta
contar con un plan alterno para poder operar sin depender de sus sistemas, debido a que
es consciente que en todo sistema se tiene un riesgo de interrupción, pérdida de
información o denegación de servicios, ya sean por agentes internos o externos. Con tal
de permanecer operativos y tener disponibilidad de servicios, es que resulta imperativo que
los servicios de soporte cuenten con un plan de continuidad que establezca un accionar
frente a desastres, interrupciones o eventualidades propias de un trabajo tan crítico como
el que se realiza en el puerto.
En el presente trabajo se tomará en cuenta dichas referencias para poder
establecer y medir el impacto en la operación económica de los servicios del puerto.
Posteriormente, justificado el plan de continuidad de servicio de Mesa de ayuda, se
evaluará la percepción del mismo para consolidar la relación de operatividad del puerto y
sus servicios con la gestión que realiza la mesa de ayuda.
Página 15
PROBLEMA DE INVESTIGACIÓN
Identificación del problema
Las tecnologías de información son un componente clave que soporta los procesos de
negocio de las compañías, siendo éstos diferentes y diversos para cada tipo de empresa.
Sin embargo, como todo servicio, es vulnerable a los diferentes desastres que este inmerso
creando una materia de estudio para poder hacer frente a las amenazas. La diferenciación
entre un desastre y un incidente está definida por cada empresa dependiendo de los
procesos críticos de negocio.
El año 2017 fue en año marcado por los especialistas de seguridad informática
como el año de las amenazas ransomware. A inicios del año se tuvo la amenaza del
WannaCry que aproximadamente afectó 200 000 computadoras en 74 países alrededor
del mundo. Una de las principales características de este tipo de ataque es que afecta la
gran parte de equipos y dispositivos conectados en la red causando pérdida total de
información, impidiendo acceso a los servicios, por lo tanto, denegando servicios de
tecnologías de información a la compañía. Esta denegación es considera un desastre, así
tal cual como un tsunami, terremoto o incendio bajo el esquema de ITIL.
A pesar de que la cuna para tales ransomware fue Europa, el Perú no fue exento a
estos ataques. En el mes de junio del 2017, diferentes empresas fueron parte del ataque
NotPetya/Petya según informa el diario The Register (The Register, 2018). La empresa
portuaria APM Terminals, parte del grupo danés Maersk, fue afectada por dicho ataque
generando una denegación de servicios que no sólo abarcó las tecnologías de información,
sino que también, a las actividades fundamentales del puerto, tales como carga y descarga
de contenedores, transporte y logística de cargas. En total, el grupo Maersk indicó que se
tuvo que reinstalar la mayoría de sus servicios, incluyendo 4000 nuevos servidores, 45000
nuevos ordenadores y 2500 aplicaciones en un plazo de 10 días, generando una pérdida
entre 250 y 350 millones de dólares de acuerdo al portal de Seguridad Informática
Kaspersky (Kaspersky Lab, 2017).
Al observar este caso, cabe resaltar la importancia de determinar el impacto que
genera en las actividades del puerto la falta continuidad de soporte de Mesa de ayuda. Los
desastres que siempre son inesperados pueden causar tremendos daños a la operatividad
de las empresas. Dentro de los diferentes servicios de las tecnologías de información, el
servicio de Mesa de Ayuda es el primer punto de contacto para el reporte de los incidentes
y problemas que afectan a usuarios y servicios.
Página 16
Durante un desastre, los niveles de servicio para Mesa de Ayuda se ven afectados
ya que se puede llegar a perder el control de las actividades de recuperación, generando
incertidumbre a largo plazo. La problemática, sin embargo, se inicia desde que el personal
de Mesa de Ayuda no se encuentra preparada metodológicamente para enfrentar un
desastre, ocasionando que cuando, suceda el desastre se llegue al punto de falta de toma
de decisiones que sean efectivas para la recuperación de servicios de las tecnologías de
información.
Los niveles de servicio durante y después del desastre pueden aminorarse
dramáticamente, si es que este problema no es tratado de manera adecuada, sistemática
y anticipada. En un ambiente portuario, con actividades económicas críticas, se tiene
evaluar si la metodología de recuperación ante desastres es eficiente y adecuada para
poder regresar a los niveles de servicio establecidos para la Mesa de Ayuda, con el fin que
después del desastre, se tenga control sobre la información y que se aminore la
interrupción de los servicios brindados.
Dicho esto, se tiene el siguiente diagrama FODA (Fortaleza – Oportunidades –
Debilidades – Amenazas) para poder entender mejor el problema con respecto a la
continuidad de los servicios de Mesa de ayuda:
Factores
Internos
Factores
Externos
Fortalezas Debilidades
Personal altamente
motivado (F1).
Alto grado de supervisión y
gestión de servicios (F2).
Infraestructura y hardware
con fallas o defectos (D1).
Alta rotación de personal
(D2).
Oportunidades Estrategias FO Estrategias DO
Recursos humanos
disponibles para laborar en
el servicio (O1).
Mejor performance por
parte del personal,
incluyendo un mejor
ambiente laboral (F1-O1).
Capacitación reiterativa del
personal para evitar
incumplimiento de servicios
(F2-O1).
Especialización del
personal técnico para
agilizar la atención de
hardware (D1-O1).
Entrenamiento previo a
personal de reemplazo para
agilizar la transición de
personal (D2-O1).
Página 17
Amenazas Estrategias FA Estrategias DA
Canales de comunicación
inoperativos (A1).
Ataques que afecten la
ciberseguridad (A2).
Desastres naturales como
tsunamis o terremotos (A3).
Mejorar el proceso de
rápida identificación de
incidentes referentes a los
canales de comunicación
(F1-A1).
Mejorar previsión,
documentación y
entrenamiento en caso de
incidentes mayores ya sean
naturales o humanos (F2-
A2-A3).
Identificar la matriz de
riesgos e impacto en el
servicio (D1-A1).
Especializar al personal
para que sus funciones
puedan ser rápidamente
suplidas por un reemplazo
(D2-A2-A3)
Figura 1. Diagrama FODA
Elaboración propia
De la misma manera, se presenta el diagrama de espina de pescado (Ishikawa) en
donde se tienen las causas visibles para el problema principal:
Página 19
Formulación del problema
¿Cuál es el impacto en caso de caída del servicio de Mesa de Ayuda en el negocio de un
terminal portuario del Callao?
¿Qué indicadores de negocio se ven influenciados por la caída de servicios de Mesa
de Ayuda?
¿Qué medida tienen los valores de los indicadores de negocio frente a la
operatividad del servicio de Mesa de Ayuda?
¿Qué elementos son necesarios para la capacitación del proceso de continuidad de
servicio al personal de Mesa de Ayuda?
Página 20
MARCO REFERENCIAL
Antecedentes
Durante la investigación, se realizó consultas a diferentes bases de datos académicas
bibliográficas tanto nacionales como internacionales para poder llegar a un compendio de
antecedentes con respecto a los temas tratados por las variables expuestas en este
trabajo.
(Egúsquiza Cáceres & Kong Ramos, 2017), en su tesis “Implementación del modelo
de gestión de continuidad de servicios TI basado en ITIL v3” para el grado académico de
ingeniería en la Universidad de Ciencias Aplicadas (Lima), se basa en los fundamentos de
la metodología ITIL (Information Technology Infrastructure Library) para poder llegar a una
implementación del modelo de la gestión de la continuidad que llevó a prueba mediante
simulaciones controladas. La investigación de carácter exploratoria desarrolla las
actividades necesarias para llegar a una madurez en la gestión de la continuidad
generando la documentación y la capacitación necesaria para poder mejorar los procesos
frente a desastres. La tesis concluye que al aplicar el modelo de gestión de la continuidad
de Servicios existe una mejora en la capacidad de hacer frente a los desastres para los
servicios de TI.
Ghannam (2017), en su tesis “Challenges and Opportunities of Having an IT
Disaster Recovery Plan” (Ghannam, 2017), se enfoca en el análisis del enfoque del plan
de recuperación frente a desastres en el rubro de las tecnologías de información. Esta tesis
desarrollada en Suiza nos da una visión acerca de la efectividad de los planes de
recuperación frente a los riesgos previsibles que están sujetos los servicios de las
Tecnologías de Información. En su investigación, los resultados son analizados de manera
cualitativa para poder determinar la efectividad de los planes de contingencia frente a
desastres, y así, poder determinar los principales focos que abarca la gestión de
continuidad, tales como los lugares, los equipos de trabajos, las tecnologías, el soporte y
la disponibilidad de servicios. En esta investigación, se concluye que, después de usar
como instrumento la entrevista y el juicio de expertos en el tema, existen diversos desafíos
cuando se mide la efectividad de un plan de recuperación, principalmente la toma de
decisiones gerenciales y los tiempos de interrupción de servicios.
Sambo (2014), en su tesis "An investigation into business continuity plan (BCP)
failure during a disaster event" (Sambo, 2014), analiza la importancia de la determinación
Página 21
de tipos y alcances de contingencias que son neutralizadas por medio de un manejo de
gestión enfocado en la continuidad de servicio para evitar tiempos prolongados en los
cuales la productividad del negocio se afecta. La tesis concluye que para la creación de
una estructura de servicio hay que tener en cuenta los factores clave que deben ser
considerados en el proceso de trabajo, riesgos y debilidades para una pronta recuperación
de servicio.
Gneist, Kiersz, Osman (2009) en su tesis "The need for a developed Business
Continuity Plan" (Gneist, 2009) para el grado académico en la Universidad Internacional de
Negocios de Jönköping (Suecia) se basa en los fundamentos de un BCP (Business
Continuity Plan) para investigar y evaluar la posibilidad que tiene un negocio para
adaptarse en momentos de crisis y superar contingencias con pérdidas lo menor posibles.
Un plan de continuidad para un negocio en el mercado actual es de vital importancia dado
que permite a la gerencia actuar de forma eficaz en tiempo y recursos. Las partes que
considera de vital importancia son los encargados en momentos de crisis, la
documentación y las estrategias de comunicación tanto interna como externa referente a
los departamentos.
Simonsson (2008), en su tesis "Predicting IT Governance Performance A Method
for Model-Based Decision Making" (Simonsson, 2008) desarrollada en el Real Instituto de
Tecnología (Suecia), analiza los alcances de la toma de decisiones que la gerencia en un
departamento de soporte de TI tiene. La influencia e impacto que tienen departamentos
externos en la calidad y eficiencia de un servicio el cual tiene que superar deficiencias
internas para lograr el manejo de operaciones con percances mínimos. En su investigación,
los resultados infieren que las necesidades del negocio están estrechamente ligadas a la
libertad que tenga el departamento para implementación de procesos y generación de
documentación elemental para actividades conocidas.
Govindarajan (2011), en su tesis "Business Continuity Planning in the IT Age - A
railway sector case study" (Govindarajan, 2011) para grado maestría en el área de
ingeniería eléctrica de la Universidad de Linköping (Suecia), muestra la traducción de un
plan de continuidad de la teoría a la práctica en un área de negocio con altos requerimientos
de seguridad y baja tolerancia a los desastres. Habla de dos elementos clave que son la
reducción de tiempo de respuesta debido a toma de decisiones en calidad de urgente, así
como los caminos de operación estándar que permiten proveer un servicio continuo a los
usuarios que requieren soporte de TI.
Página 22
Kontos (2014), en su tesis "Design and development of a service management
framework for business continuity" (Kontos, 2014) en la Universidad del Egeo (Grecia), se
enfoca en el análisis de las áreas y causas que generan desperdicios basados en la
metodología LEAN Six Sigma que ofrece la habilidad de evaluar cual óptimos son los
procesos y como darle continuidad a los servicios manejando los recursos disponibles para
la efectividad de recuperación de servicio en caso de un desastre. En este estudio se
concluye que los factores de éxito son el correcto manejo de recursos y la proactividad que
brinda la experiencia profesional y observación.
Mathenge (2012), en su tesis "Disaster recovery and business continuity plans in
Class-A Parastatals in Kenya" (Mathenge, 2011) para el grado académico en la Universidad
de Nairobi (Kenia), muestra los resultados de su estudio cuantitativo realizado
considerando cada fase de un plan de recuperación de desastres que afectan las
operaciones en un caso de uso en Kenia. El estudio presenta la importancia de la
planificación previa a un desastre el cual puede ser definido como la interrupción de
actividades los cuales pueden tener diferentes niveles de urgencia y depende de las
decisiones gerenciales el dar prioridad para la resolución y reinstauración de operaciones.
Jordan (2005), en su tesis “An assessment of IT governance procedures” (Jordan,
An assessment of IT governance procedures, 2005), establece la relación de contar con un
plan de Continuidad de Negocios en los servicios claves de IT. En dicha investigación, se
resalta que hace uso del instrumento encuesta, el cual se usa en esta tesis, para poder
relacionar la percepción de seguridad y contingencia de los servicios de TI con la
continuidad de Negocio. Este enfoque se da en base a la experiencia, planeamiento,
estrategia, riesgos y futuras acciones. Con este enfoque, se da a conocer la interacción de
la gerencia en planes y contingencias de negocios, no solo en TI sino en todas las unidades
como un todo.
Cassis (2009), en su tesis “Diseño, análisis e interpretación de indicadores de
gestión para Autoridad Portuaria de Manta” (Cassis Zambrano, 2009), ofrece una amplia
gama de indicadores de negocio para la entidad portuaria ubicada al norte de Ecuador en
la ciudad de Manta. Las operaciones APM Manta, se realizan de la manera semejante a
las operaciones en el puerto del Callao, por tal motivo se usa esta tesis para extrapolar y
usar los indicadores de negocio relevantes para sintetizar los datos y relacionarlos en el
escenario de investigación planteado.
Página 23
Estado del arte
La gestión de la continuidad de los servicios enfocados a aquellos brindados en el rubro de
las tecnologías de la información se rige hoy en día principalmente por el marco de
referencia de ITIL (Information Technology Infrastructure Library). Dicho marco se
encuentra en la tercera versión que data del año 2011. A pesar de su antigüedad, el marco
brinda los puntos necesarios para todo servicio de manera que se adapte al cambio
generacional y de ámbito de negocio.
Prueba de esta referencia, es que la corporación MAERSK que es la matriz de los
principales terminales portuarios en el mundo aplica este marco en sus procesos de
tecnologías de información por su relevancia y acoplamiento a diferentes metodologías de
trabajo.
Cabe mencionar que, durante los últimos años, se ha ampliado el concepto que
unifica la preparación frente a incidentes o desastres y el manejo de servicios relacionados
con las tecnologías de información. A pesar que el marco de trabajo ITIL contempla lo
relacionado a desastres, su enfoque se basa en la gestión del servicio. Es así que se tiene
el marco de trabajo de RESILIA, la cual contempla la búsqueda de la ciber seguridad con
un enfoque esencial en la gente, los procesos y la tecnología para la identificación de
riesgos y oportunidades que disminuya los incidentes (Rance, 2017, pág. 2).
El marco de trabajo RESILIA es principalmente promocionado por la organización
AXELOS, la cual hace el mismo incentivo para el marco de trabajo ITIL. Ambos marcos
pueden trabajar juntos, siendo así que RESILIA puede ser aplicado como un servicio en sí
a los servicios de Mesa de ayuda. Hearsum (portafolio manager de AXELOS) plantea una
visión de trabajo en donde ambos marcos se agrupan para fortalecer los servicios de Mesa
de Ayuda. Su punto de vista es esencial para este trabajo, ya que indica que los servicios
de mesa de ayuda tienen que ser vistos por una perspectiva de ciber resiliencia y que su
interrupción llega a ser un costo dolorosa para el negocio (Hearsum, 2017).
Descripción de la empresa
La empresa en donde se desarrolla la tesis se denomina APM Terminals Callao, la cual es
parte del conglomerado danés A.P. Moller Maersk, el cual es líder mundial en la industria
marítima.
Página 24
El puerto maneja aproximadamente el 40% del tráfico de contenedores a nivel
nacional y aproximadamente el 75% de carga que no son contenedores, las cuales se
denomina carga general. Dentro de la carga general se puede encontrar productos
minerales, granos, vehículos, cemento, químicos o pescados congelados. Estas dos
variantes de tráfico de carga hacen que se denomine terminal multipropósito.
Durante el año 2017, en el mundo se presentaron diferentes eventos dañinos para
el mundo informático, como lo son los ataques cibernéticos que afectaron grandes
empresas, desde telefónica hasta importantes bancos europeos. Maersk al ser una
transnacional, fue afectada el 22 de junio del 2017 por un ataque global de naturaleza
ramsonware. Dicho ransomware se denominó NotPetya. El ataque llegó hasta las
instalaciones portuarias del Callao, logrando una denegación de servicios de negocio de
manera rotunda e inquebrantable. En tal sentido, los esfuerzos necesarios para restaurar
la infraestructura informática fueron inmensos. Sin dicha infraestructura informática lo
servicios portuarios se vieron detenidos.
El equipo de mesa de ayuda tuvo la necesidad de reinstalar el 100% de
ordenadores, aproximadamente 600, 70 centros de impresión, 400 periféricos de
comunicación para un aproximado de 2000 usuarios de sistemas. Este equipo de Mesa de
ayuda, que también fue afectado por una denegación, enfrenta uno de sus mayores retos.
Dar soporte a los servicios de negocio, a pesar de no contar con las herramientas, canales
de comunicación o personal debidamente entrenado para una caída total de servicios.
Misión
“Desarrollar y operar un terminal Multipropósito creando valor para nuestros clientes y
accionistas, logrando resultados económicos satisfactorios y promoviendo una cultura de
alto desempeño en un ambiente de trabajo seguro y motivador, desarrollando así la
comunidad del Callao, para convertirse en un puerto de clase mundial.” (APM Terminals
Callao, 2018)
Visión
“Convertirnos en el Terminal Multipropósito líder de Sudamérica prestando servicios de
primera calidad, operaciones efectivas y libres de riesgos, contando con profesionales
comprometidos y altamente calificados y elevando el valor socio económico de nuestra
zona de influencia y del país.” (APM Terminals Callao, 2018)
Página 25
Organigrama
Para el organigrama, ver el Anexo 8.
Áreas Críticas
Las áreas críticas de la empresa son aquellas que, según acuerdo con la gerencia general,
cumplen con garantizar las operaciones críticas generadoras de oportunidades
económicas como de calidad a los usuarios y clientes del terminal portuario.
Área de operaciones de contenedores.
Área de operaciones de carga general.
Área de Seguridad, salud y medio ambiente.
Área de Facturación y cobranzas.
Área Comercial.
Área Legal.
En la sección de análisis de impacto, se tiene mayor detalle acerca de la relación de
las áreas críticas con el servicio de Mesa de ayuda.
Descripción del servicio
El servicio de Mesa de ayuda en el terminal portuario está tercerizado a la empresa SAPIA,
la cual provee una Mesa de Ayuda la cual brinde un servicio de Primer y Segundo Nivel de
Soporte Técnico Informático a los usuarios finales, a fin de atender incidencias y
requerimientos.
En caso no sea resulto en el primer nivel, se derivará a un segundo nivel de soporte,
así como ejecutar las atenciones si este tuviera que ser el caso, de acuerdo al alcance de
su catálogo de servicio.
Gestionar las solicitudes conforme a los procedimientos establecidos. De ser
necesario y dependiendo de la casuística se derivará a un Tercer y Cuarto Nivel;
especialistas de las áreas de Infraestructura y Aplicaciones de APM TERMINALS CALLAO,
y/o proveedores.
Página 26
Niveles de Servicios
De acuerdo con la contratación del servicio de Mesa de Ayuda, se tiene los siguientes
acuerdos de servicio entre la empresa SAPIA y el terminal portuario APM Terminals del
Callao:
SLA Tiempo de
atención Cumplimiento
Atención incidentes usuarios VIP 1 horas Mayor igual a 90%
Atención de Incidentes usuarios
normales
2 horas Mayor igual a 90%
Atención requerimientos usuarios
VIP
12 horas Mayor igual a 90%
Atención de requerimientos usuarios
normales
24 horas Mayor igual al 90%
Tabla 1. Acuerdos de servicio
Elaboración propia
El 90% de los contactos vía email serán gestionados dentro de los 20 minutos de
recibido, entendiéndose como gestión su lectura, acuse de recibo automático y carga de la
incidencia clasificado en la herramienta de gestión.
Disponibilidad de la mesa de ayuda: En el período acordado la Mesa de Ayuda
tendrá una disponibilidad del 98%.
Niveles de resolución para incidencias por software e impresión: El 70 % de los
llamados serán resueltos por la mesa de ayuda en un primer nivel de contacto con un
tiempo de respuesta máximo de 1 hora. El resto será escalado al especialista de 2do Nivel.
Nivel de resolución para el resto de las incidencias (identificados en competencia):
El 50% de los llamados serán resueltos por la mesa de ayuda en un primer nivel de contacto
con un tiempo de respuesta máximo de 2 horas. El resto será escalado a los especialistas
de 2do Nivel.
Página 27
Niveles de resolución para Usuarios VIP, para incidencias por software y
conectividad e impresión, de un grupo de 30 usuarios (Directores, Jefes y áreas
operativas): El 90 % de los llamados serán resueltos por la mesa de ayuda en un primer
nivel de contacto, con un tiempo de respuesta máximo de 1 hora. Si la complejidad o
alcance excedieran este primer nivel, será escalado a los especialistas de nivel 2, con una
resolución en un tiempo total de 2 horas desde el llamado inicial.
Respecto al nivel de satisfacción del cliente, el servicio brindado será medido
también por encuestas de nivel de satisfacción de clientes conducidas por APM
TERMINALS. Dicha satisfacción deberá ser no menor a un 60% al cabo de los primeros 6
meses, considerando a satisfechos o muy satisfechos y un 70% al cabo de 9 meses de
operación, con la misma medición.
Perfil de primer nivel
Único punto de contacto para los usuarios finales, se encargan de recibir las llamadas de
los usuarios internos de APM TERMINAL, asignan el nivel de severidad a cada caso,
(dependiendo de los servicios afectados, o bien de la prioridad que cada usuario tiene
previamente asignada de acuerdo a su posición jerárquica) y dan el soporte de primer nivel
para problemas de Software o Hardware.
Registran y resuelven la mayor cantidad de incidentes reportados por los usuarios
de APM TERMINAL en forma remota, dentro de los acuerdos de nivel de servicio y en
cumplimiento de los procedimientos definidos.
Sus funciones son las siguientes:
Brindar solución a los incidentes y requerimientos de usuarios finales referentes a
herramientas básicas de escritorio y software comercial que estén dentro de su
alcance y posibilidades.
Registrar todos los incidentes en la herramienta de gestión definida.
Recepción de llamadas telefónicas, creación, priorización, solución, seguimiento y
cierre del ticket, atención remota de incidentes.
Realizar el seguimiento de los incidentes reportados a los grupos resolutores de
APM TERMINAL, desde el momento del reporte hasta que estos hayan sido
cerrados, independientemente del grupo que tiene asignado la incidencia o
requerimiento.
Página 28
Escalamiento de la incidencia en caso no pueda ser solucionado remotamente y/o
telefónicamente al Soporte Técnico en Sitio (Segundo Nivel).
Escalamiento hacia Tercer Nivel – Personal especializado, en caso no se pueda
solucionar las incidencias y donde se involucren la toma de decisión por parte de
APM TERMINAL.
Control de los niveles de servicio (SLA) de incidentes y/o requerimientos.
Envío de solicitudes de garantías de Hardware y Software a proveedores terceros.
Coordinación con terceros para la gestión SLAs y de garantías.
Perfil de segundo nivel
Estos servicios se originan en la Mesa de Ayuda (soporte de primer nivel) para dar solución
a incidentes que no pueden ser solucionados remotamente desde el mismo. Contempla
incidentes de los recursos informáticos de los usuarios según el alcance, principalmente
de uso, manejo y configuración del software y hardware.
El servicio de soporte técnico en sitio tendrá la responsabilidad de ejercer las siguientes
funciones:
Soporte a todo el parque de PC’s y periféricos incluidos en la presente propuesta,
los mismos que se encuentran ubicados en las instalaciones de APM TERMINAL.
Responsable de resolver los incidentes de hardware y software in situ.
Soporte a incidentes referentes a Software base.
Revisión, diagnóstico, mantenimiento correctivo y cambio de partes en primera
instancia de los equipos de cómputo (CPU, monitores, teclados, mouse). Informar,
registrar y canalizar si la solución requiere intervención de proveedores de APM
TERMINAL. Es responsabilidad de APM TERMINAL proporcionar los repuestos y
los insumos/suministros necesarios para el mantenimiento correctivo.
Preparación, instalación, configuración y cambio de equipos de cómputo por
anomalías del equipo. Incluye clonación de equipos, backup de la información del
usuario, personalización del equipo y restore de la información.
Preparación de equipos para ser entregados al proveedor para aplicación de
garantías.
Atenciones de primera línea a impresoras
Mantener actualizado el inventario de Hardware y Software.
Página 29
Mantener actualizado los soportes de licenciamiento.
Catálogo de servicio
Como parte del diseño y la estrategia del servicio, se tiene el catálogo de servicio el cual
muestra la información acerca de todos los servicios activos desarrollados por esta área,
incluyendo los que se encuentran en pruebas y desarrollo. Estos servicios son los que dan
cara a los usuarios como representación del accionar total del servicio, y se encuentra en
el Anexo 9 – Catálogo de servicios.
Proceso de la continuidad
Como se ha mencionado, la problemática es que no se tiene conocimiento del proceso de
continuidad de servicio en la Mesa de ayuda, por lo que de manera similar el proceso inicial
es carente de un flujo apropiado. A continuación, se muestra el proceso de continuidad AS-
IS:
Página 31
Marco teórico
Para mejorar el entendimiento de este trabajo y la manera de trabajo es necesario definir
los aspectos conceptuales de la tesis. A continuación, se detallan dichos conceptos:
Servicio
Se define como el medio por el cual se hace entrega de valor a un cliente facilitando
los resultados que el cliente quiera obtener sin asumir los costos y los riesgos
generados por el mismo (AXELOS, 2011).
La entrega exitosa de servicios depende de una o varios servicios de TI, por lo cual
se valora que los servicios que soportan al negocio estén siempre disponibles.
Tecnología de Información (TI)
El término de las tecnologías de información es usado constantemente en este
trabajo, y su definición está basada en el uso de las tecnologías para el
almacenamiento, comunicación o proceso de información (AXELOS, 2011).
Cuando se menciona las tecnologías de información, se asocia a las computadoras,
telecomunicaciones, aplicaciones y otros software. Además, el concepto incluye la
información de negocio, voz, imágenes, video entre otros.
Es la misión de las tecnologías de información brindar soporte a las actividades de
negocio, y esto se realiza a través de los servicios de TI.
ITIL (Information Technology Infrastructure Library)
tiene el Dentro de los principales conceptos trabajados en la presente tesis se tiene
principales aquellos relacionados a la gestión de la continuidad. A continuación, se
coteja los conceptos basados en el marco ITIL de buenas prácticas reconocidas
internacionalmente por su carácter pragmático.
De acuerdo al Marco de gestión ITIL (ITIL Foundation, s.f.) se define la
gestión de continuidad de servicios como un proceso mediante el cual se asegura
Página 32
que una vez que el plan de continuidad esté implementado, éste no se detenga y
esté alineado a las necesidades del negocio y sus prioridades.
De la misma manera, se define la gestión de incidentes como un proceso
responsable de acompañar a los incidentes a lo largo de todo su ciclo de vida.
Desde ser reconocidos o reportados por el personal o herramientas de monitoreo,
hasta la resolución por vías internas o por proveedores.
La gestión de requerimientos se define, en el mismo marco, como un
proceso responsable de acompañar a los requerimientos de usuarios a lo largo de
todo su ciclo de vida. A diferencia de los incidentes, los requerimientos son por lo
general más pequeños, de menor riesgo y personales.
Finalmente, es obligatorio definir el objeto del estudio, la mesa de ayuda.
Esta según ITIL (ITIL v3, 2018) tiene como función ser un centro de servicios para
los usuarios en donde se gestionan incidentes y requerimientos, facilitando al resto
de departamentos realizar sus actividades diarias.
Incidente
Se considera un incidente a una interrupción no planeada a un servicio de TI.
Asimismo, se considera incidente a la reducción en la calidad del servicio de TI.
Puede presentarse como una falla en un ítem de configuración que no ha afectado
aún a un servicio (AXELOS, 2011).
La gestión de incidentes controla todo el ciclo de vida de los incidentes y se asegura
que la normal operación de los servicios de TI se recupere lo más pronto posible
frente a un incidente.
Problema
Un problema en el ámbito de la gestión de servicios de TI, se define como la causa
de uno o más incidentes. Por lo general, la causa es desconocida al momento de
presentarse el mismo. La gestión de problemas se encarga de la prevenir que los
incidentes sucedan y minimizar el impacto de los que no puedan ser prevenidos
(AXELOS, 2011).
Página 33
Gestión de servicios TI
La gestión de servicios de TI comprende a las capacidades especializadas de la
organización para proveer de valor a los clientes en forma de servicios (AXELOS,
2011).
La gestión de servicios es parte fundamental para gestionar el ciclo de vida de los
servicios, incluyendo las acciones necesarias en caso de interrupción a la
continuidad de los servicios, y la mejora continua como consecuencia del
aprendizaje.
ISO/IEC 20000
Las normas ISO/IEC 20000 son un grupo de prácticas consolidadas y establecidas
relativas a la organización del trabajo en las áreas de TI. En este aspecto se tiene
la siguiente que “definen los procesos y las actividades esenciales para que las
áreas de TI puedan prestar un servicio eficiente y alineado con las necesidades de
la empresa u organización” (Moran, 2009, pág. 16).
El marco de trabajo ISO/IEC 20000 se enriquece del desarrollo del marco ITIL,
siendo ambos compatibles entre sí. Las normas ISO/IEC 20000 tiene las siguientes
partes (Moran, 2009):
1. ISO/IEC 20000-1: 2011 Requisitos de los sistemas de gestión de servicios.
2. ISO/IEC 20000-2: 2012 Guía de Implementación de los sistemas de gestión de
servicios.
3. ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la aplicabilidad
4. ISO/IEC DTR 20000-4:2010 - Modelo de procesos de referencia
5. ISO/IEC TR 20000-5:2010 - Ejemplo de implementación
Riesgo Operacional
De acuerdo a nuestro marco de trabajo, se define el riesgo como cualquier posible
evento que pueda ocasionar perdida, daño o afectación de la habilidad para
alcanzar objetivos. Un riesgo es medido por la probabilidad de la amenaza, la
vulnerabilidad del activo y el impacto en caso de ocurrencia. Así mismo, el concepto
Página 34
incluye la incertidumbre del resultado fuera éste negativo o positivo (AXELOS,
2011).
Continuidad de Negocio
Es el proceso por el cual se tiene responsabilidad de administrar los riesgos que
puedan afectar seriamente al negocio. La gestión de la continuidad del negocio
salvaguarda los intereses de los stakeholders, la reputación de la empresa y las
actividades generadoras de valor. El proceso involucra reducir los riesgos a un nivel
aceptable y planear la recuperación de los procesos del negocio en el caso que
suceda un incidente mayor (AXELOS, 2011).
La gestión de la continuidad de negocio se plantea objetivos claros, un alcance
óptimo y los requerimientos para los servicios de TI. Así mismo, como las
operaciones de negocio y los objetivos cambian, debe cambiar la visión de la
continuidad de negocio.
En este aspecto, la continuidad de negocio debe implementarse y sostenerse para
el apropiado plan que sea costo-efectivo plan. Dicho plan de la continuidad de
negocio debe proteger las operaciones en todas las sedes del negocio. También,
debe soportar el desarrollo de nuevas actividades y oportunidades.
Un aspecto fundamental de la continuidad de negocio es que debe proporcionar
seguridad al comité ejecutivo del negocio para que pueda tomar decisiones de
negocio tomando en cuenta la solidez y resiliencia del negocio. A continuación, se
muestra el diagrama de continuidad de negocio que rige en el terminal portuario.
Aspectos de la norma ISO 22301
Las organizaciones a menudo consideran que los sistemas de continuidad de
negocios son simples listas de verificación e instrucciones de trabajo que se deben
utilizar solo en situaciones improbables. Afortunadamente, hay muchos marcos en
el mercado que pueden ayudar a las organizaciones a manejar esta situación, entre
ellos ISO 22301: 2012.
Ya sea solo o integrado con otro sistema de gestión , como ISO 9001
(Calidad), ISO 27001 (seguridad de la información), ISO 14001 (Medio ambiente)
o OHSAS 18001 (Seguridad y salud operacional), la norma ISO 22301: 2012
Página 35
proporciona orientación e instrucciones sobre cómo una organización,
independientemente de su tamaño e industria, debe administrar, mitigar y
recuperarse de incidentes disruptivos cuando surgen, lo que puede traer muchos
beneficios no solo para la organización en sí, sino también para los clientes,
proveedores y otras partes interesadas. .
El contenido principal de este resumen seguirá el mismo orden y numeración de
las secciones requeridas para certificar un BCMS según ISO 22301: 2012 (ISO,
2012):
Impacto del enfoque del proceso:
El cumplimiento de la norma ISO 22301: 2012 es obligatorio para la certificación,
pero el cumplimiento por sí solo no garantiza la capacidad de una organización
para responder y sobrevivir a un incidente perturbador. El uso del enfoque de
procesos es útil para crear un vínculo entre los requisitos, las políticas, los
objetivos, el desempeño y las acciones. Como podemos ver en el siguiente
diagrama, un enfoque de proceso es una buena manera de organizar y administrar
las actividades de continuidad de negocios para crear valor para una organización
y otras partes interesadas.
Contexto de la organización.
o Entender la organización y su contexto: Requerir que la
organización determine todos los problemas internos y externos que
puedan ser relevantes para sus propósitos comerciales y para el
logro de los objetivos del BCMS en sí.
o Comprensión de las necesidades y expectativas de las partes
interesadas: el estándar requiere que la organización evalúe
quiénes son las partes interesadas en términos de su BCMS, sus
necesidades y expectativas, los requisitos legales y reglamentarios
que se aplican. Los requisitos legales y reglamentarios deben
documentarse, actualizarse y comunicarse a todas las partes
interesadas.
Página 36
o Determinación del alcance del sistema de gestión de la continuidad
del negocio: El alcance y los límites del BCMS se deben examinar
y definir teniendo en cuenta los problemas internos y externos, las
partes interesadas, sus necesidades y expectativas, así como las
obligaciones de cumplimiento legal y regulatorio.
o Sistema de gestión de la continuidad del negocio: el estándar indica
que se debe establecer y operar un BCMS y, mediante el uso de
procesos interactivos, se debe controlar y mejorar continuamente.
Liderazgo
o Liderazgo y compromiso: la alta gerencia y los gerentes de línea con
roles relevantes en la organización deben demostrar un esfuerzo
genuino para involucrar a las personas para que apoyen al BCMS.
o Compromiso de gestión: esta cláusula proporciona ejemplos
de niveles mejorados de liderazgo, participación y cooperación en
la operación del BCMS, asegurando aspectos como:
Política de continuidad y la alineación de los objetivos con
las políticas estratégicas y la dirección general del negocio.
Integración de las actividades de continuidad con otros
sistemas empresariales, en su caso
Provisión de recursos para que el BCMS pueda ser operado
eficientemente
La definición de las responsabilidades de continuidad del
negocio para las personas dentro del BCMS, y su correcto
apoyo, capacitación y orientación para completar sus tareas
de manera efectiva
Relevante, adecuada, oportuna comunicación con las partes
interesadas internas y externas.
Apoyo del BCMS durante todo su ciclo de vida, teniendo en
cuenta un enfoque PCDA.
o Política: La alta dirección tiene la responsabilidad de establecer una
política de continuidad del negocio, que esté alineada con el
Página 37
propósito de la organización, proporciona un marco para
establecer los objetivos de continuidad del negocio.
o Funciones de la organización, responsabilidades y obligaciones: La
norma establece que es responsabilidad de la alta dirección
garantizar que las funciones, responsabilidades y autoridades se
deleguen y se comuniquen de manera efectiva.
Planificación.
o Acciones para abordar riesgos y oportunidades.
o Objetivos de continuidad de negocio y planes para alcanzarlos.
Apoyo.
o Recursos: En todos los aspectos, financieros, tiempo y recursos
humanos.
o Competencia: la competencia de las personas a las que se asigna
la responsabilidad del BCMS que trabaja bajo el control de la
organización debe cumplir con los términos de la norma ISO 22301:
2012, para garantizar que sean capaces y seguros. La competencia
puede ser demostrada por la experiencia, capacitación y / o
educación con respecto a las tareas asumidas.
o Conciencia: las personas que trabajan bajo el control de la
organización deben conocer la política de continuidad del negocio y
su contenido, qué significa su desempeño personal para el BCMS y
sus objetivos, cuáles son las implicaciones de las no conformidades
para el BCMS y qué roles se deben cumplir durante incidentes
disruptivos.
o Comunicación: Los procesos para la comunicación interna y externa
deben establecerse y registrarse como información documentada
dentro del BCMS. Los procesos de comunicación interna y externa
deben considerar la participación de todas las partes interesadas
relevantes, la disponibilidad de recursos de comunicación durante
eventos perturbadores y la operación y prueba de los recursos de
comunicación destinados a ser utilizados solo durante incidentes
perturbadores que impactan los canales de comunicación normales.
Página 38
o Información documentada.
General
Creando y actualizando
Control de la información documentada.
Operación
o Planificación y control operacional: para garantizar que los riesgos
y las oportunidades se traten adecuadamente (cláusula 6.1) y que
se cumplan los requisitos de la norma, un BCMS debe definir
criterios claros para planificar, implementar y controlar sus
procesos, así como cualquier proceso externo relevante. ,
implemente efectivamente esos controles y retenga la información
documentada que se considere necesaria para brindar confianza en
los procesos que se están llevando a cabo y lograr sus resultados
según lo planificado.
o Análisis de impacto empresarial y evaluación de riesgos.
General: La norma requiere que los impactos adversos a los
productos, servicios y operaciones de la organización deben
analizarse y tratarse sistemáticamente.
Análisis de impacto en el negocio: el estándar reconoce que
los recursos de las organizaciones no son infinitos y que
desempeñan un papel aún más crítico durante los eventos
perturbadores, por lo que requiere que su BCMS tenga
medios, que se mantenga como información documentada,
para identificar sistemáticamente las prioridades de
continuidad y recuperación y defina los objetivos y metas
que deben alcanzarse, en términos de un rendimiento
mínimo aceptable y el tiempo para lograrlos.
Evaluación de riesgos: para ayudar a respaldar un análisis
de impacto en el negocio, el BCMS de una organización
debe tener implementado, como información documentada,
un proceso de evaluación de riesgos para identificar,
analizar, evaluar y tratar los riesgos que pueden llevar a
situaciones perturbadoras.
Página 39
o Estrategia de continuidad de negocio
Determinación y selección: la forma general en que una
organización describe su estrategia de continuidad
comercial debe considerar los resultados del análisis de
continuidad comercial y abarcar la protección, estabilización,
continuidad, reanudación y recuperación de las actividades
prioritarias, y la mitigación, respuesta y gestión de los
impactos resultantes de un evento disruptivo.
Establecimiento de requisitos de recursos: Para respaldar
las estrategias de continuidad del negocio, la organización
debe definir los recursos necesarios, como personas,
información y datos, edificios e instalaciones, equipos y
recursos de consumo, transporte, proveedores y socios.
Protección y mitigación: considerando su apetito por el
riesgo, la organización debe considerar controles de
protección y mitigación para minimizar las probabilidades de
interrupción, la duración de la interrupción y el impacto de
las interrupciones en los productos y servicios.
o Establecer e implementar procedimientos de continuidad de
negocio.
General: para garantizar la continuidad de las actividades y
la gestión de incidentes en línea con los objetivos de
recuperación identificados durante el análisis del impacto en
el negocio, una organización debe establecer, implementar,
mantener y documentar los procedimientos de continuidad
del negocio.
Estructura de respuesta a incidentes: para responder de
manera efectiva a una interrupción, ISO 22301: 2012
requiere que una organización cuente con procedimientos y
personas, con la autoridad y competencia adecuadas, para
gestionar incidentes, teniendo en cuenta la identificación del
incidente, la evaluación de la naturaleza y la extensión del
impacto y la activación de respuesta de continuidad
adecuada, incluidas las comunicaciones con las partes
interesadas relevantes.
Página 40
Advertencia y comunicación: Los procedimientos deben
definirse de manera que puedan proporcionar alertas
oportunas a las partes interesadas afectadas por un evento
perturbador, real o inminente, asegurar la disponibilidad de
la comunicación durante los eventos perturbadores y facilitar
la comunicación con los equipos de emergencia.
Plan de continuidad del negocio: el plan de continuidad del
negocio es un elemento clave para garantizar la continuidad
del negocio, y se deben cubrir una serie de elementos, como
roles, responsabilidades y autoridades que se deben realizar
durante y después de un incidente, un proceso para activar
el incidente y la respuesta. estructura, actividades para
gestionar los impactos inmediatos, el flujo de comunicación
con las partes interesadas y las actividades de continuidad
y recuperación.
Recuperación: sobrevivir a un evento perturbador es solo la
mitad de la historia. ISO 22301: 2012 también requiere que
un BCMS tenga, como procedimientos documentados, las
actividades necesarias para restablecer y devolver las
actividades comerciales de las condiciones temporales,
definidas como el logro de los niveles de rendimiento
mínimos acordados.
o Ejecución y pruebas.
Los procedimientos de continuidad del negocio deben ser
sistemáticamente y periódicamente ejercitados y probados para
garantizar que sean adecuados para su propósito, actualizados y
compatibles con los objetivos de continuidad.
Todos los ejercicios y pruebas planificados deben estar alineados
con el alcance y los objetivos del BCMS, considerando posibles
escenarios, la información que se debe registrar para proporcionar
datos para el ejercicio y la revisión crítica, para que la precisión de
las acciones planificadas y las interacciones entre las partes
interesadas puedan ser evaluados, así como la capacidad de los
planes para lograr sus objetivos definidos, aumentando la confianza
Página 41
en la efectividad de la planificación o colaborando para la mejora
continua mediante la corrección de vulnerabilidades o la
implementación de mejoras.
Evaluación del desempeño
o Seguimiento, medición, análisis y evaluación.
General: La organización no solo tiene que establecer y
evaluar métricas de desempeño con respecto a la
efectividad y eficiencia de los procesos, procedimientos y
funciones que protegen sus actividades más críticas, sino
que también debe considerar métricas para el desempeño
de BCMS.
Evaluación de los procedimientos de continuidad del
negocio: La norma reconoce la importancia de las
evaluaciones periódicas planificadas de los procedimientos
de continuidad del negocio, a través de ejercicios, pruebas y
revisiones posteriores al incidente, para garantizar que sean
continuamente efectivas, actualizadas y aptas para el
propósito de manejar el nivel. de riesgo que enfrentan todos
los productos y servicios clave identificados.
o Auditoría interna: las auditorías internas deben realizarse a
intervalos planificados, teniendo en cuenta la relevancia de los
procesos y los resultados de auditorías anteriores, para garantizar
el cumplimiento de los requisitos de la norma y los requisitos
definidos por la propia organización.
o Revisión de la gerencia: la revisión de la gerencia es la función más
relevante para la continuidad de un BCMS, debido a la participación
directa de la alta gerencia, y todos los detalles y datos de la revisión
de la gerencia deben documentarse y registrarse para garantizar
que el BCMS pueda cumplir los requisitos específicos. y dirección
estratégica general para la organización detallada allí.
Mejora
o No conformidad y acción correctiva: los resultados de las revisiones
de la administración, las auditorías internas y la evaluación de
cumplimiento y desempeño deben utilizarse para formar la base
Página 42
para las no conformidades y las acciones correctivas. Una vez
identificada, una no conformidad o acción correctiva debe
desencadenar, si se considera relevante, las respuestas adecuadas
y sistemáticas para mitigar sus consecuencias y eliminar las causas
de raíz, mediante la actualización de procesos y procedimientos,
para evitar la recurrencia.
Mejora continua: la mejora continua es un aspecto clave del BCMS,
para lograr y mantener la idoneidad, la adecuación y la eficacia del
esfuerzo de continuidad del negocio en relación con los objetivos de
la organización.
Página 43
OBJETIVOS
Objetivos generales
Medir el impacto económico de la discontinuidad de servicios de Mesa de Ayuda para el
negocio de un terminal portuario del Callao.
Objetivos específicos
Identificar los indicadores de negocio que se ven influenciados por la discontinuidad de
servicios de Mesa de Ayuda.
Medir los valores de los indicadores de negocio frente a la operatividad del servicio
de Mesa de Ayuda.
Diseñar un plan de capacitaciones para el proceso de continuidad de servicios para
el personal de Mesa de ayuda.
JUSTIFICACIÓN
Teórica
El estudio de la efectividad, ventajas y retos en el plan de gestión de continuidad de
servicios de TI, es una materia que no cuenta con mayor ahondo de estudio. Esto debido
a que la efectividad verdadera es medida cuando un desastre se hace realidad y se pueda
evaluar la efectividad de los procesos y planes internos.
Sin embargo, esta medición no cuenta con el mayor enfoque cuando sucede el
desastre, ya que se prioriza el levantamiento de servicios e infraestructura esenciales para
el negocio.
Esta disyunción permite que se tenga que evaluar la efectividad a priori. Es decir,
mediante el planeamiento y la estrategia de un plan que sea efectiva y asimilable a los
principales stakeholders del servicio.
Página 44
Práctica
En diferentes empresas, los servicios de Mesa de Ayuda son tercerizados. En la empresa
APM Terminals, los servicios de TI para Mesa de Ayuda son llevados a cabo por la empresa
Corporación SAPIA, la cual cuenta con un acuerdo de servicios para desempeñar estos
servicios.
La evaluación de un plan de gestión de continuidad es un aspecto importante para
el cumplimiento contractual de la continuidad de un servicio de TI. Como todo servicio, se
tiene que cumplir con un tiempo activo del servicio a lo largo del tiempo contratado por el
cliente.
Al ocurrir un desastre que cause la interrupción de los servicios, se debe tener un plan
eficaz capaz de cumplir con las expectativas contractuales dictaminados por los términos
de referencias en los contratos de servicio. Esto coloca al plan de gestión de continuidad
en una herramienta obligatoria para el cumplimiento legal de los términos aceptados entre
cliente y proveedor de servicios de TI.
Social
Los servicios llevados a cabo por el equipo de Mesa, ya sea la gestión de Incidentes,
Requerimientos, Logísticos y Problemas, implican directamente a la trazabilidad de activos
físicos o lógicos otorgados a los trabajadores portuarios.
Dentro de estos servicios, se requiere tener la traza completa del inicio, realización
y término de la entrega del servicio. Dicho seguimiento se realiza con las plataformas y con
todo el sistema de atención del equipo de Mesa de Ayuda. En caso de desastres, estas
atenciones y sistemas se ven afectados, perdiendo la trazabilidad de los mismos.
Esta pérdida de información puede implicar desde la pérdida de un acceso a un
sistema hasta el retraso de un pago de planilla. APM Terminals al ser una empresa
sumamente regulada por el estado, se debe a sus contrataciones y acuerdos con los
diferentes sindicados, ya sea en pago de jornada laboral (nombrada) como en facilidades
técnicas para el desempeño de las funciones sindicales.
La caída de servicios de atenciones a los usuarios en este punto se torna crítica,
tomando en cuenta que no existe otro punto de contacto para el escalamiento de
incidencias o requerimientos en tiempos de desastre y post-desastre. La disponibilidad de
las herramientas de Mesa de Ayuda para gestionar incidencias de los usuarios se torna
Página 45
esencial para el cumplimiento de normas y acuerdos entre la empresa y la comunidad
portuaria, representada por su sindicato.
HIPÓTESIS
TIPO DE HIPÓTESIS HIPÓTESIS HIPÓTESIS NULA
GENERAL
La discontinuidad del
servicio de Mesa de Ayuda
tiene un impacto en el
negocio del terminal
portuario del Callao.
La discontinuidad del
servicio de Mesa de Ayuda
no tiene un impacto en el
negocio del terminal
portuario del Callao.
ESPECÍFICAS
Los indicadores de negocio
del terminal portuario del
Callao se ven influenciados
por la discontinuidad de
servicio de Mesa de Ayuda.
Los indicadores de negocio
del terminal portuario del
Callao no se ven
influenciados por la
discontinuidad de servicio
de Mesa de Ayuda.
La operatividad del servicio
de Mesa de Ayuda altera
los valores de los
indicadores de negocio.
La operatividad del servicio
de Mesa de Ayuda no altera
los valores de los
indicadores de negocio.
El personal de mesa de
ayuda requiere
capacitación con respecto
al proceso de continuidad
de servicio.
El personal de mesa de
ayuda no requiere
capacitación con respecto
al proceso de continuidad
de servicio.
Tabla 2. Hipótesis
Elaboración propia
Página 46
MATRIZ DE CONSISTENCIA
PROBLEMA OBJETIVOS HIPÓTESIS VARIABLES METODOLOGÍA
Problema Principal:
¿Cuál es el impacto
económico en caso de
discontinuidad del
servicio de Mesa de
Ayuda en el negocio den
un terminal portuario del
Callao?
Problemas Específicos:
¿Qué indicadores de
negocio se ven
influenciados por la
discontinuidad de
servicios de Mesa de
Ayuda?
¿Qué medida tienen los
valores de los indicadores
Objetivo Principal:
Medir el impacto
económico de la
discontinuidad de
servicios de Mesa de
Ayuda para el negocio de
un terminal portuario del
Callao.
Objetivos Específicos:
Identificar los indicadores
de negocio que se ven
influenciados por la
discontinuidad de
servicios de Mesa de
Ayuda.
Medir los valores de los
indicadores de negocio
Hipótesis principal:
La discontinuidad del
servicio de Mesa de
Ayuda tiene un impacto
en el negocio del terminal
portuario del Callao.
Hipótesis Específicas:
Los indicadores de
negocio del terminal
portuario del Callao se
ven influenciados por la
discontinuidad de servicio
de Mesa de Ayuda.
La operatividad del
servicio de Mesa de
Ayuda altera los valores
Variable dependiente:
El impacto económico en
el negocio del terminal
portuario del Callao.
La percepción de la
eficacia de la continuidad
de servicio de Mesa de
ayuda.
Variable Independiente:
La continuidad del
servicio de Mesa de
Ayuda
Tipo de Investigación:
El tipo de investigación es
de carácter no
experimental.
Método de Investigación:
Investigación de tipo
cuantitativa.
Marco teórico:
Gestión de la continuidad
de servicios.
Gestión de incidentes y
requerimientos.
Servicio de Mesa de
Ayuda.
Disponibilidad de
servicios.
Página 47
de negocio frente a la
operatividad del servicio
de Mesa de Ayuda?
¿Qué elementos son
necesarios para la
capacitación del proceso
de continuidad de servicio
al personal de Mesa de
Ayuda?
frente a la operatividad
del servicio de Mesa de
Ayuda.
Diseñar un plan de
capacitaciones para el
proceso de continuidad
de servicios para el
personal de Mesa de
ayuda.
de los indicadores de
negocio.
El personal de mesa de
ayuda requiere
capacitación con respecto
al proceso de continuidad
de servicio.
Tabla 3. Matriz de Consistencia
Elaboración propia
Página 48
MARCO METODOLÓGICO
Metodología
La presente investigación es de carácter no experimental que de acuerdo al libro de
Metodología de Investigación (Hernandez Sampieri, Fernandez Collado, & Baptista Lucio,
2014) no se realiza ninguna manipulación a alguna de las variables, ya sea la gestión de
la continuidad ni a la disponibilidad de los servicios de Mesa de Ayuda.
Así mismo, se define que la investigación es de tipo correlativa ya que, según la
fuente mencionada en el párrafo anterior, se determinara de manera cuantitativa la relación
entre las variables a estudiar.
El diseño de la investigación es de tipo transversal ya que analiza la relación de las
variables al momento de realizar las pruebas y el análisis de la implementación del proyecto
de tesis.
La metodología de la presente tesis, va de a acuerdo a un seguimiento lógico por
pasos. Cada uno necesario para justificar al anterior.
Paso 1: Establecer las condiciones de entorno de trabajo y particularidad del negocio en
referencia al servicio de Mesa de Ayuda,
Paso 2: Determinar las condiciones que alteran la continuidad del servicio de Mesa de
ayuda.
Paso 3: Se definen las áreas críticas del negocio y su interrelación con el servicio de Mesa
de ayuda.
Paso 4: Se definen las matrices de impacto, urgencia y prioridad para clasificar los posibles
riesgos asociados.
Paso 5: Por cada área crítica, se definen los riesgos asociados que tienen como parte de
mitigación al servicio de Mesa de ayuda.
Paso 6: Para los riesgos con mayor prioridad, se tienen los indicadores de negocio
asociados a la caída de servicio de Mesa de ayuda.
Paso 7: Por cada indicador, se tiene el costo de ítems asociados y su unidad de medida.
Paso 8: Se define un espacio muestral de tiempo para realizar la observación de datos con
referencia a dichos indicadores.
Página 49
Paso 9: Se procede con el cálculo promedio de pérdida económica por las caídas de
servicio de Mesa de Ayuda en dicho espacio de tiempo.
Paso 10: Una vez determinada, la importancia económica, se tiene justificado la realización
de un plan de continuidad de servicio de Mesa de Ayuda.
Paso 11: Se determina dos puntos en el tiempo para hacer la evaluación de la recolección
de datos y su afectación al servicio portuario. El primero, antes de realizar la capacitación
con respecto al plan, y el segundo, posterior a la capacitación en el tema.
Paso 12: Acabada la capacitación, se procede a la encuesta de percepción del plan en los
trabajadores (muestra) para establecer su relevancia interna.
Paso 13: Con la diferencia de valores de operatividad del servicio, posterior a la segunda
recolección de datos, se procede con los resultados del proceso para determinar si hubo
mejora o no.
Figura 4. Metodología
Elaboración propia
Página 50
Paradigma
El paradigma adoptado por esta investigación es de tipo positivista debido a que la manera
de proceder indica la objetividad para encontrar los fundamentos, causas e impacto al tratar
la continuidad de servicio en el negocio portuario.
Enfoque
El enfoque es de carácter cuantitativo por lo mismo que se busca analizar los factores y
variables de manera que puedan ser medidas estadísticamente de manera amplia y
rigurosa.
Método
El método será de carácter no experimental ya que no se producirá la modificación de
alguna variable mencionada.
VARIABLES
Variable independiente
En la presente investigación se tiene la variable independiente a aquella que influenciará
en las variables dependientes, tomándose la medición de las variables dependientes. La
variable independiente es la continuidad de los servicios de Mesa de Ayuda.
La continuidad o discontinuidad de los servicios de Mesa de Ayuda en el terminal
portuario del Callo no está sujeta a manipulación, y la toma de datos es tal y como se
presenta en la práctica. Así mismo, la identificación de esta variable en la investigación de
campo, lleva características y condiciones establecidas para determinar el compartimiento
de la continuidad de servicios, el cual impactará en las variables dependientes. Dichas
condiciones para el establecimiento de los valores de la variable independiente nacen de
los paradigmas y líneas base de los acuerdos de servicio y el marco de trabajo ITIL
(Information Technology Infrastructure Library) el cual está aplicado para todos los
procesos de trabajo dentro de la compañía portuario como estándar.
Página 51
Variable dependiente
En esta investigación, se tiene como alcance el uso de dos variables dependientes. Las
variables son el impacto económico y la percepción de la eficacia asociadas a la
continuidad de los servicios de Mesa de Ayuda. Es el alcance de este trabajo resaltar como
es que varía o se comparta las variables dependientes con relación a la continuidad de los
servicios de Mesa de Ayuda.
POBLACIÓN Y MUESTRA
Población
En primer lugar, se define la población como “el conjunto de casos que concuerdan con
una serie de especificaciones” (Hernandez Sampieri, Fernandez Collado, & Baptista Lucio,
2014, pág. 174). En tal sentido para la presente investigación, se toma en cuenta los casos
en donde hay interacción entre los servicios de negocio a los clientes internos y externos
con los servicios de mesa de ayuda. Se delimita, así mismo, a que estos servicios son los
que se realizan en el terminal portuario del Callao por el equipo de Mesa de ayuda del
mismo.
Muestra
Para la investigación, se tomó en cuenta una muestra no probabilística, la cual resulta de
utilidad para “determinados diseños de estudio que requieren no tanto una
representatividad de elementos de una población, sino una cuidadosa y controlada elección
de casos con ciertas características especificadas” (Hernandez Sampieri, Fernandez
Collado, & Baptista Lucio, 2014, pág. 190).
Las características específicas para esta investigación están limitadas por el tiempo
y costo de la investigación. En primera instancia, se toma en cuenta dos periodos de tiempo
para la evaluación del costo económico del impacto de la discontinuidad del servicio de
Mesa de ayuda.
Página 52
Para el análisis de la percepción de calidad, se tomó se recauda datos a partir del
instrumento de evaluación de encuesta de servicio a 12 trabajadores del equipo que
conforma los servicios mencionados en la población. Dicha selección representa el aspecto
dirigido de la investigación y su alcance, así como la representatividad frente a las
limitaciones de la investigación como lo son el tiempo y el presupuesto (inversión personal).
La percepción del servicio y su continuidad son muestras directas de la calidad y robustez
del servicio que se brinda a los usuarios. Así mismo, se tiene la información histórica de
registros del servicio de Mesa de ayuda en el puerto, con el fin de poder observar el impacto
por área de cuando se tiene una caída de servicio.
UNIDAD DE ANÁLISIS
La unidad de análisis está determinada por cada interacción entre los servicios de negocio
y la operatividad del servicio de Mesa de Ayuda. En este caso, se define la unidad de
análisis como la representación del servicio ejercido.
A partir del servicio ejercido, el tema de la continuidad de servicio de Mesa de Ayuda
se enfoca, por una parte, en el impacto en las operaciones de negocio, y, por otro lado, del
impacto de mitigación en el personal encargado de brindar tal servicio. Con este punto de
vista de las personas encargadas de realizar el servicio se da validez a su referencia y
capacitación con respecto al tema, ya que de éstas depende la ejecución del plan de
Continuidad de Negocio, así como su implantación en el equipo de trabajo.
Por otro lado, se debe ser objetivo con los datos recabados, producto de la
interacción del servicio con los usuarios para poder evaluar con objetividad si se está
cumpliendo el plan de continuidad y la medida en que ésta se implanta en el negocio y el
servicio de TI analizado.
INSTRUMENTOS Y TÉCNICOS
Instrumentos
Se define instrumento, según (Hernandez Sampieri, Fernandez Collado, & Baptista Lucio,
2014) como la representación de las variables, de la cual se obtiene datos cuantificados y
sistematizados que, posteriormente, se procede a realizar el análisis estadístico necesario.
Página 53
Tomando en cuenta esta referencia y la unidad de análisis de esta tesis que se debe
aplicar dos distintos instrumentos para obtener y validar la información necesaria. Por una
parte, la percepción del avance del plan en los ejecutores del servicio de mesa de ayuda
de TI, y, por otra parte, se debe considerar la revisión de datos históricos y del día a día
para poder constatar y evaluar de manera objetivo los datos.
Para la primera parte, se estará realizando una lista de cotejo en base al instrumento
de la observación para poder evaluar el impacto de la continuidad del servicio de Mesa de
ayuda en el negocio. Así mismo, esta información servirá para que más adelante se coteje
la efectividad del plan de continuidad de negocio y su referencia con el servicio de Mesa
de Ayuda brindado por la división de TI.
Para la segunda parte, se utilizará el instrumento de la encuesta, la cual se realizará
a los trabajadores y ejecutores del servicio de Mesa de Ayuda de acuerdo a lo mencionado
por la muestra para medir la percepción del equipo frente a un plan de continuidad de
negocio.
Técnicas
Al tener dos instrumentos, se busca principalmente que ambas sean confiables y
relevantes para la tesis y el posterior análisis de datos. La técnica para la aplicación de
ambos instrumentos es la estructurada cuantificada.
Además, la recolección de datos en los instrumentos de Observación y encuesta se
basan en los estudios realizados por el profesor Ernest Jordan, quien logró relacionar la
continuidad de negocio con los servicios que se brinda en TI (Jordan, IT contingency
planning: management roles, 2000).
Página 54
PROCEDIMIENTOS Y MÉTODO DE ANÁLISIS
Procedimientos
Para la primera parte, se tiene el objetivo de medir el impacto en el negocio de la caída o
no servicio de Mesa de Ayuda. En tal propósito, se establece las condiciones básicas para
que se determine el servicio como ausente o caído. Esta determinación se logra en base a
los acuerdos contractuales plasmados en un Acuerdo de nivel de Servicio entre el
proveedor del servicio y la empresa portuaria contratante.
Para la segunda parte, se programó la toma de la encuesta con los doce sujetos
mencionados en la muestra. Debido a la organización laboral, la encuesta fue realizado en
espacios diferentes de tiempos de acuerdo a todos los horarios de trabajo establecidos en
el servicio de Mesa de Ayuda.
Cada individuo fue presentado a la encuesta, tomando en cuenta que después de
los eventos mencionados en la introducción, el tema de la Seguridad y continuidad de
negocio fueron establecidos como prioridad, estableciendo una conexión directa entre los
trabajadores y el tema, dejando los resultados como prueba de su capacitación y
entendimiento.
Método de análisis
En el primer instrumento, se hace uso de la recolección de datos y la revisión de datos
históricos de los mismos. En esta parte, se hace uso de la matriz de riesgos de las
operaciones de cada área crítica y se relaciona de manera directa con los servicios
interoperados por mesa de ayuda.
En el segundo instrumento, se tiene la encuesta, la cual consta de 12 preguntas
validadas en el estudio de Ernest Jordan, tal como se menciona en las referencias. De
dicha recolección de datos, se procede al análisis de confiabilidad, en el cual usamos el
coeficiente de fiabilidad de Alfa de Cronbach, mencionado en el marco teórico.
A continuación, se tiene dicho análisis, de los doce ítems y los doce encuestados,
siempre tomando en cuenta que la encuesta cuenta con una escala del uno al cinco para
indicar la dirección de las respuestas positiva o negativamente:
Página 55
Tabla 4. Confiabilidad del instrumento encuesta
Elaboración Propia
De tal análisis, se desprende que el valor del coeficiente de Alfa de Cronbach es de 0.790,
indicando así que la escala en la que fue realizada la encuesta cuenta con una fiabilidad
del 79% aproximadamente. Según Hernández, se recomienda un valor de coeficiente
mayor a 0.70 para que se pueda considerar que el instrumento cuenta con una coherencia
interna para su escala de medición (Hernandez Sampieri, Fernandez Collado, & Baptista
Lucio, 2014).
Una vez, validada la coherencia interna del instrumento recolector de dato, se
procede con los resultados de la data obtenida.
Página 56
RESULTADOS
A lo largo de la presente tesis se han repasado conceptos y puntos de vista acerca de la
relación entre la continuidad del negocio y la necesidad de un plan de contingencia para el
servicio de Mesa de Ayuda.
Cuando hay una crisis mayor, nos puede impedir el acceso a los sistemas por horas,
y la misión siempre es que el negocio salga airado de todo el desastre.
Mientras que el tiempo pasa, la tecnología y los marcos de trabajo nos han facilitado
avanzar en cuestión de contingencia y de recuperación frente a desastres. Durante mucho
tiempo se consideró a los servicios de Mesa de Ayuda como un costo o algo que brinda
algo que alguien necesite.
Entonces, es por eso, que se tienen los marcos de trabajo que dan lineamientos al
manejo de todos los aspectos referentes a un servicio. En este caso, debido a su
popularidad y su aceptación dentro de los lineamientos de la empresa, se procede a usar
el marco de trabajo ITIL con la inclusión de los lineamientos de la ISO 22301. Para tal
aspecto, se requiere entender las necesidades del negocio, así como la entrega de
requerimientos para poder alinear los servicios en base al negocio.
En el siguiente flujo, se da a mostrar las diferentes etapas necesarias para el
proceso de la continuidad:
Página 57
Figura 5. Diagrama de la continuidad de negocio
Elaboración propia
En este sentido, dicho flujo será comprendido de manera que se represente como
el círculo de Dening (Planificar – Hacer – Controlar – Actuar) ya que la ISO 22301
recomienda dicho enfoque, y a su vez, es compatible con los lineamientos del marco ITIL.
Plan Diseño de servicio Se establecen las políticas, objetivos, alcances y
procedimientos importantes para mejorar el
proceso de la continuidad con el fin de tener
resultados satisfactorios.
Página 58
Hacer Transición de servicio La implementación de las políticas y del trabajo
realizado en la planificación.
Controlar Operación del servicio La revisión y reportes del cumplimiento de las
políticas y objetivos. Reporte de resultados a la
gerencia para determinar y autorizar acciones de
mejora.
Actuar Mejora continua El plan de continuidad debe estar en constante
mejora, para tener mejores resultados y reajustar
lo establecido en la etapa de planificación.
Tabla 5. Etapas del plan de continuidad
Elaboración propia
Análisis de impacto
El servicio de Mesa de Ayuda, como tal, se encarga de proporcionar soporte a los sistemas
y diferentes servicios del negocio en el puerto. Es así, que dicho servicio de Mesa de Ayuda
tiene que estar establecido dentro de los parámetros convenidos con la gerencia para
mantener la continuidad de servicios, así como el óptimo desempeño para todos los
interesados, ya sean internos o externos.
El servicio se define, entonces, en base de un acuerdo entre el proveedor del
servicio y los intereses de la gerencia del puerto para mantener sus servicios de negocios
con la mayor disponibilidad y calidad de respuesta frente a incidentes ocurridos.
Por tal motivo, es que se tiene los siguientes puntos de referencia que indicarían
que el servicio no presenta dichas características y es considerado ausente u
operacionalmente caído:
Página 59
Motivo de caída de Servicio Impacto Causas
Canales de comunicación inoperativos
El servicio de Mesa de Ayuda tiene los
siguientes canales de comunicación, entre
el mismo equipo y los usuarios del puerto:
- Vía correo electrónico
- Vía personal
- Vía aplicativos celular
- Vía plataforma de gestión de
incidentes y requerimientos
- Vía telefónica
En caso de no contar con algún habilitado,
se tiene el riesgo de perder el contacto con
un incidente y no ofrecer oportuna reacción
o registro del mismo.
Fallas técnicas en las infraestructuras de
comunicación.
Falta de capacitación al personal acerca
del uso de los canales de comunicación.
Falla en el suministro de energía eléctrica.
Cambio o disminución de personal sin
previa autorización
La rotación del personal afecta de manera
dramática el servicio. En el caso que no se
haya autorizado el ingreso del personal, se
procede con una falta para la organización
del puerto y para la organización del mismo
servicio de Mesa de Ayuda, ya que para
todo personal se debe evaluar su
documentación y los requerimientos
Sanción al personal por incumplimiento de
las normas legales, de seguridad, salud y
medio ambiente que rigen en el puerto.
Renuncias imprevistas.
Vencimiento de requerimientos para el
ingreso del personal al puerto.
Página 60
básicos para su permanencia en el servicio
del puerto.
No tener la cantidad de personal acordada,
inhabilita que el servicio pueda cubrir todas
las áreas críticas de manera apropiada.
Mala gestión en la organización de los
turnos del personal.
Incumplimiento de la disponibilidad del
servicio establecidos
El servicio de Mesa de Ayuda debe estar
disponible las 24 horas del día todos los
días del año. No cumplir con dicho horario
establecido repercute en no gestionar
incidentes o requerimientos, generando
malestar en las áreas afectas, tanto por la
no respuesta, como en los incidentes en sí.
La falta de disponibilidad, también incluye
la falta de presentación de informes o
reportes, los cuales son de vital importancia
diaria para la mejora continua, el cual se
revisa diariamente.
Falta de supervisión del servicio y del
personal.
Inconvenientes de salud o personales que
afecten al personal.
Problemas de comunicación interna
Tabla 6. Condiciones para la caída de servicio
Elaboración propia
Página 61
Como se observa el incumplimiento de lo pactado en el servicio causa un impacto
en el directo operar de los servicios del negocio del puerto y la atención de las áreas
críticas.
Servicios Críticos del Puerto del Callao
En el puerto del Callao, las operaciones se basan principalmente en la carga y descarga
de contenedores, así como de la carga general. Dichas actividades son las más críticas del
negocio. Sin embargo, la criticidad no sólo de la operación de carga y descarga, sino de
los procesos y servicios asociados que son tan importantes como la misma operación.
A continuación, se presenta la lista de servicios fundamentales y críticos para las
operaciones en el puerto del Callao.
Área de Servicios de
negocio Descripción
Activos Informáticos
gestionados por Mesa de Ayuda
Operaciones de
Contenedores
El área de servicios de
operaciones de contenedores
se encarga de gestionar las
operaciones en el patio de
contenedores, así como en
las puertas de entrada de los
camiones que llegan al puerto
para la carga y descarga de
contenedores.
El área de operaciones de
contenedores incluye las
operaciones en las puertas de
entrada y en la logística para
la ubicación de contenedores
que se realiza en el patio
Equipos informáticos de
escritorio como desktop y laptop.
Equipos de comunicación
directa como radios.
Equipos de comunicación celular
smartphone.
Software para elaboración de
reportes y documentos.
Aplicativos y software de gestión
de carga de contenedores.
Dispositivos de control de
acceso como lectores de huella
digital y barreras
automovilísticas.
Lectores ópticos de placas de
rodaje.
Página 62
mediante la programación y el
uso especializado de software
de gestión.
Es un área crítica del negocio
debido a que de ésta se tiene
las operaciones núcleo del
puerto.
Cámaras de control perimetral.
Tabletas para Terminal Trucks
para la recepción de tareas en
patio.
Equipos de pesaje en las
balanzas de camiones.
Lectores de precintos de
contenedores.
Operaciones de
Carga General
Las operaciones de Carga
General incluyen a todos
aquellos movimientos de
carga que no se encuentra en
contenedores, como carga a
granel, harina, pescado,
líquidos, entre otros.
La gestión de dichos
movimientos se realiza con el
software especializado para
la medición de peso a la
entrada de cada puerta de
ingreso y a su salida.
Es un área crítica del negocio
debido a que de ésta se tiene
las operaciones núcleo del
puerto.
Equipos informáticos de
escritorio como desktop y laptop.
Equipos de comunicación
directa como radios.
Equipos de comunicación celular
smartphone.
Software para elaboración de
reportes y documentos.
Aplicativos y software de gestión
de carga de contenedores.
Dispositivos de control de
acceso como lectores de huella
digital y barreras
automovilísticas.
Lectores ópticos de placas de
rodaje.
Equipos de pesaje en las
balanzas de camiones.
Cámaras de control perimetral.
Seguridad, salud y
medio ambiente
El área que provee servicios
para el cumplimiento de las
leyes y la normativa que rige
el puerto en cuestiones de
seguridad, salud y medio
ambiente.
Es un área de servicios
críticos debido a que el
Equipos informáticos de
escritorio como desktop y laptop.
Equipos de comunicación
directa como radios.
Equipos de comunicación celular
smartphone.
Software para elaboración de
reportes y documentos.
Cámaras de control perimetral.
Página 63
incumplimiento de las
funciones, puede llevar a un
problema de carácter legal, o
el riesgo de daño físico a un
activo o al personal.
Facturación y
cobranzas
Área crítica encargada de
procesar los pagos a
proveedores, cobros a las
empresas de transporte,
empresas importadoras o
exportadoras.
Es el área crítica encargada
de la gestión de los ingresos
económicos y de la manera
de cómo son procesados.
Equipos informáticos de
escritorio como desktop y laptop.
Equipos de comunicación celular
smartphone.
Software para elaboración de
reportes y documentos.
Aplicativos para la
intercomunicación con entidades
del Estado.
Software y aplicativos para la
facturación electrónica.
Comercial y
atención al cliente
Área crítica encargada de las
notificaciones y
comunicaciones con los
posibles prospectos de
clientes y los clientes
recurrentes.
Es crítico que, frente a todo
cambio, se mantenga la
comunicación inmediata con
los clientes del puerto para no
generar desorden y gestionar
las citas al puerto.
Equipos informáticos de
escritorio como desktop y laptop.
Equipos de comunicación celular
smartphone.
Software para elaboración de
reportes y documentos.
Software de gestión de clientes y
oportunidades.
Legal
El cumplimiento del marco
legal que impone el estado
peruano es de suma criticidad
para el puerto, de tal manera
que se eviten multas o
Equipos informáticos de
escritorio como desktop y laptop.
Equipos de comunicación celular
smartphone.
Software para elaboración de
reportes y documentos.
Página 64
sanciones por parte de algún
ente regulador o sindical.
Tabla 7. Áreas críticas en el puerto
Elaboración propia
Con esta información, se tiene la siguiente distribución de requerimientos e
incidentes para dichas áreas.
Figura 6. Incidentes y requerimientos por área
Elaboración propia
Operaciones de Contenedores
24%
Operaciones de Carga General
21%
Seguridad, salud y medio ambiente
10%Facturación y
cobranzas13%
Comercial y atención al cliente
15%
Legal5%
Otros12%
Frecuencia relativa de Incidentes y Requerimientos por Área de Servicios durante el 2017
Página 65
Figura 7. Frecuencia relativa de casos en el día
Elaboración propia
La información fue recabada desde agosto del 2017 hasta fines de diciembre del
mismo año. En dicha gráfica se observa que el 45% de accionar del servicio de Mesa de
Ayuda se destina al área de negocio referente a la carga y descarga de activos en el puerto.
La categoría “Otros” abarca las áreas diferentes que no son clasificadas como críticas,
tales como Control de Acceso, Recursos Humanos, Bienestar social, Compras, Marketing,
entre otras.
Así es como se tiene que las áreas críticas tienen sus servicios críticos de manera
que repercuten en la operatividad del negocio. Para poder determinar la importancia y
poder clasificar y mitigar los riesgos, se tiene la siguiente matriz de impacto y riesgo. Dichas
matrices nos dan la matriz de prioridades, dando un nuevo paradigma a las actividades de
Mesa de Ayuda con las actividades de negocio directa.
Impacto Descripción Ejemplo
1 – Empresa Cuando existe la pérdida
total en el servicio afectado.
Puede causar pérdida
significativa de ganancia,
Pérdida de la base de datos
del sistema en producción.
2%
1%
2%
1%
3%
2%
2%
5%
9%
8%
8%
7%
6%
5%
7%
6%
7%
5%
3%
2% 3%
1% 2%
3%
Frecuencia de Casos durante el día
Página 66
reputación, exposición legal
o riesgo a la vida.
2 – Área/Departamento Evidente efecto en la
habilidad del área de
efectuar el negocio.
Denegación de peticiones
en el firewall o falla en los
switch.
3 – Varios usuarios Sin impacto en la habilidad
de efectuar el negocio.
Caída de un aplicativo no
crítico.
4 – Usuario Sin impacto en la habilidad
de efectuar el negocio que
sólo afecta a un usuario.
Bloqueo de la cuenta de un
usuario.
Tabla 8. Matriz de Impacto
Elaboración propia
Urgencia Descripción Ejemplo
1 – Crítico Pérdida inmediata o
vulnerabilidad sin opción
alternativa.
Pérdida de la base de datos
del sistema en producción.
2 – Alta Pérdida inminente o
vulnerabilidad, pero
atenuable con el uso de
soluciones alternativas.
Pérdida de acceso a un
servidor en producción.
3 – Media Sin pérdida. Afecta de uno a
varios usuarios, naves u
oficinas.
Pérdida de la conectividad
con el servidor de respaldo.
4 – Baja Sin pérdida, Inconvenientes
a los usuarios.
Pérdida de operatividad en
el ordenador de un usuario.
Tabla 9. Matriz de Urgencia
Elaboración propia
Página 67
Dichas matrices nos dan la matriz de prioridad, la cual clasifica a los riesgos desde
prioridad critica a prioridad baja.
Matriz de Prioridad
Impacto
1 – Empresa 2 – Área 3 – Varios
usuarios 4 – Usuario
Urgencia
1 – Crítico P1 – Crítico P2 – Alta P3 – Media P3 – Media
2 – Alta P2 – Alta P2 – Alta P3 – Media P3 – Media
3 – Media P3 – Media P3 – Media P3 – Media P3 – Media
4 – Baja P4 – Baja P4 – Baja P4 – Baja P4 – Baja
Tabla 10. Matriz de Prioridades
Elaboración propia
Prioridad Descripción Contractual Definición
P1 – Crítico Incidentes con un impacto
directo en los clientes o
elementos de la operación
críticos (Contenedores o
naves).
Situaciones en donde el
soporte de los procesos
críticos no se encuentra
disponible o que la gran
mayoría de usuarios ha sido
afectada y que no haya
alguna alternativa de
solución viable.
Un incidente que causa una
completa interrupción para
la entrega de servicios, ya
sea a un cliente o a un
entorno de producción.
Los afectados se ven
imposibilitados de usar los
servicios hasta que se
restablezca el servicio. No
hay inmediata alternativa de
solución.
P2 – Alta Incidentes con un impacto
directo en el negocio.
Situaciones en donde el
soporte de los procesos
Un incidente causante de
una interrupción
significativa o degradación
del servicio.
Página 68
críticos no se encuentra
disponible y afecta gran
cantidad de usuarios.
Una alternativa de solución
está disponible, pero es
restrictivo o tiene
inconvenientes.
Un plan de contingencia
podría hacer que los
afectados recuperen
funcionalidades durante el
evento.
P3 – Media Incidentes que no afectan
inmediatamente a los
procesos críticos.
El número de usuarios
impactados por el incidente
no afecta severamente al
negocio.
Un incidente causante de
que uno o más usuarios
afectados se ven
imposibilitados de usar los
servicios de la manera que
fueron diseñados.
Mientras que el impacto es
moderado, el riesgo que el
aumente el impacto existe.
P4 – Baja Llamadas o notificaciones
concernientes a la
funcionalidad, configuración
y la operación de un servicio
específico. Impacto limitado
en la productividad.
Un incidente causante de la
interrupción mínima o
degradación en los
servicios que opera un
usuario.
Tabla 11. Definición de prioridades
Elaboración propia.
Con esta clasificación de riesgos en el negocio, se tienen los principales riesgos
relacionados con las operaciones del área de la Tecnología de Información con las áreas
críticas relevantes del negocio.
Página 69
Área Riesgo Estrategia de mitigación con relación con
Mesa de Ayuda Prioridad
Operaciones de
Contenedores
Falta de personal para realizar actividades. El personal de Mesa de Ayuda debe facilitar la
nueva configuración y preparación de perfil
para el personal sustituto en caso de ser
requerido.
P1 – Crítico
Incumplimiento a las políticas, normas y
procedimientos de la normativa laboral
portuaria.
- P1 – Crítico
Perdida de conectividad o falla de
comunicación en las operaciones.
El personal de Mesa de Ayuda debe identificar
la necesidad de reponer el equipo afectado, o
determinar si es que se enfrenta a un
incidente masivo.
P2 – Alta
Divulgación, pérdida o robo de información
sensible o crítica.
El personal de Mesa de Ayuda debe estar, de
manera recurrente, revisando los permisos y
accesos del personal de acuerdo a la matriz
de autorización otorgada por Gerencia.
P2 – Alta
Violación de las autorizaciones para las
modificaciones de reportes, documentos o
archivos clasificados como confidenciales.
El personal de Mesa de Ayuda debe
supervisar que los accesos otorgados no sean
violados ni alterados por otras fuentes.
P2 – Alta
Fallas de equipos necesario para el trabajo
de los operadores de la Balanza.
El personal de Mesa de Ayuda debe tener
preparados los equipos necesarios para la
P2 – Alta
Página 70
sustitución inmediata dependiente de la
función requerida por el área.
Robo o pérdida de equipos. El personal de Mesa de Ayuda debe tener
identificados y revisar de manera recurrente el
inventario de activos de informática físicos
para que se encuentre en el lugar asignado.
En el caso de presentarse un inconveniente,
se debe generar el reporte adecuado al
gerente del área.
P1 – Crítico
Fallas en los aplicativos o errores de
procesamiento.
El personal de Mesa de Ayuda debe poder
identificar el error, incidente o problema
presentado para poder determinar una
alternativa de solución según su matriz de
escalamiento.
P2 – Alta
Operaciones de
Carga General
Falta de personal para realizar actividades. El personal de Mesa de Ayuda debe facilitar la
nueva configuración y preparación de perfil
para el personal sustituto en caso de ser
requerido.
P1 – Crítico
Incumplimiento a las políticas, normas y
procedimientos de la normativa laboral
portuaria.
- P1 – Crítico
Página 71
Perdida de conectividad o falla de
comunicación en las operaciones.
El personal de Mesa de Ayuda debe identificar
la necesidad de reponer el equipo afectado, o
determinar si es que se enfrenta a un
incidente masivo.
P2 – Alta
Divulgación, pérdida o robo de información
sensible o crítica.
El personal de Mesa de Ayuda debe estar, de
manera recurrente, revisando los permisos y
accesos del personal de acuerdo a la matriz
de autorización otorgada por Gerencia.
P2 – Alta
Violación de las autorizaciones para las
modificaciones de reportes, documentos o
archivos clasificados como confidenciales.
El personal de Mesa de Ayuda debe
supervisar que los accesos otorgados no sean
violados ni alterados por otras fuentes.
P2 – Alta
Fallas de equipos necesario para el trabajo
de los operadores de la Balanza.
El personal de Mesa de Ayuda debe tener
preparados los equipos necesarios para la
sustitución inmediata dependiente de la
función requerida por el área.
P2 – Alta
Robo o pérdida de equipos. El personal de Mesa de Ayuda debe tener
identificados y revisar de manera recurrente el
inventario de activos de informática físicos
para que se encuentre en el lugar asignado.
En el caso de presentarse un inconveniente,
se debe generar el reporte adecuado al
gerente del área.
P1 – Crítico
Página 72
Fallas en los aplicativos o errores de
procesamiento.
El personal de Mesa de Ayuda debe poder
identificar el error, incidente o problema
presentado para poder determinar una
alternativa de solución según su matriz de
escalamiento.
P2 – Alta
Seguridad, salud
y medio ambiente
Incumplimiento a las políticas, normas y
procedimientos de la normativa laboral
portuaria.
- P1 – Crítico
Perdida de conectividad o falla de
comunicación en las operaciones.
El personal de Mesa de Ayuda debe identificar
la necesidad de reponer el equipo afectado, o
determinar si es que se enfrenta a un
incidente masivo.
P1 – Crítico
Divulgación, pérdida o robo de información
sensible o crítica.
El personal de Mesa de Ayuda debe estar, de
manera recurrente, revisando los permisos y
accesos del personal de acuerdo a la matriz
de autorización otorgada por Gerencia.
P1 – Crítico
Violación de las autorizaciones para las
modificaciones de reportes, documentos o
archivos clasificados como confidenciales.
El personal de Mesa de Ayuda debe
supervisar que los accesos otorgados no sean
violados ni alterados por otras fuentes.
P1 – Crítico
Fallas de equipos necesario para el trabajo
de los operadores de seguridad perimetral.
El personal de Mesa de Ayuda debe tener
preparados los equipos necesarios para la
P2 – Alta
Página 73
sustitución inmediata dependiente de la
función requerida por el área.
Robo o pérdida de equipos. El personal de Mesa de Ayuda debe tener
identificados y revisar de manera recurrente el
inventario de activos de informática físicos
para que se encuentre en el lugar asignado.
En el caso de presentarse un inconveniente,
se debe generar el reporte adecuado al
gerente del área.
P3 – Media
Facturación y
cobranzas
Incumplimiento a las políticas, normas y
procedimientos de la normativa laboral
portuaria.
- P1 – Crítico
Perdida de conectividad o falla de
comunicación en las operaciones.
El personal de Mesa de Ayuda debe identificar
la necesidad de reponer el equipo afectado, o
determinar si es que se enfrenta a un
incidente masivo.
P3 – Media
Divulgación, pérdida o robo de información
sensible o crítica.
El personal de Mesa de Ayuda debe estar, de
manera recurrente, revisando los permisos y
accesos del personal de acuerdo a la matriz
de autorización otorgada por Gerencia.
P1 - Crítico
Página 74
Violación de las autorizaciones para las
modificaciones de reportes, documentos o
archivos clasificados como confidenciales.
El personal de Mesa de Ayuda debe
supervisar que los accesos otorgados no sean
violados ni alterados por otras fuentes.
P1 – Crítico
Fallas de equipos necesario para el trabajo
de los operadores de facturación.
El personal de Mesa de Ayuda debe tener
preparados los equipos necesarios para la
sustitución inmediata dependiente de la
función requerida por el área.
P2 – Alta
Robo o pérdida de equipos. El personal de Mesa de Ayuda debe tener
identificados y revisar de manera recurrente el
inventario de activos de informática físicos
para que se encuentre en el lugar asignado.
En el caso de presentarse un inconveniente,
se debe generar el reporte adecuado al
gerente del área.
P3 – Media
Comercial y
atención al cliente
Incumplimiento a las políticas, normas y
procedimientos de la normativa laboral
portuaria.
- P2 – Alta
Perdida de conectividad o falla de
comunicación en las operaciones.
El personal de Mesa de Ayuda debe identificar
la necesidad de reponer el equipo afectado, o
determinar si es que se enfrenta a un
incidente masivo.
P3 – Media
Página 75
Divulgación, pérdida o robo de información
sensible o crítica.
El personal de Mesa de Ayuda debe estar, de
manera recurrente, revisando los permisos y
accesos del personal de acuerdo a la matriz
de autorización otorgada por Gerencia.
P1 – Alta
Violación de las autorizaciones para las
modificaciones de reportes, documentos o
archivos clasificados como confidenciales.
El personal de Mesa de Ayuda debe
supervisar que los accesos otorgados no sean
violados ni alterados por otras fuentes.
P2 – Alta
Fallas de equipos necesario para el trabajo
de los operadores de atención al cliente.
El personal de Mesa de Ayuda debe tener
preparados los equipos necesarios para la
sustitución inmediata dependiente de la
función requerida por el área.
P3 – Media
Robo o pérdida de equipos. El personal de Mesa de Ayuda debe tener
identificados y revisar de manera recurrente el
inventario de activos de informática físicos
para que se encuentre en el lugar asignado.
En el caso de presentarse un inconveniente,
se debe generar el reporte adecuado al
gerente del área.
P3 – Media
Legal
Incumplimiento a las políticas, normas y
procedimientos de la normativa laboral
portuaria.
- P1 – Alta
Página 76
Perdida de conectividad o falla de
comunicación en las operaciones.
El personal de Mesa de Ayuda debe identificar
la necesidad de reponer el equipo afectado, o
determinar si es que se enfrenta a un
incidente masivo.
P3 – Media
Divulgación, pérdida o robo de información
sensible o crítica.
El personal de Mesa de Ayuda debe estar, de
manera recurrente, revisando los permisos y
accesos del personal de acuerdo a la matriz
de autorización otorgada por Gerencia.
P1 – Alta
Violación de las autorizaciones para las
modificaciones de reportes, documentos o
archivos clasificados como confidenciales.
El personal de Mesa de Ayuda debe
supervisar que los accesos otorgados no sean
violados ni alterados por otras fuentes.
P2 – Alta
Robo o pérdida de equipos. El personal de Mesa de Ayuda debe tener
identificados y revisar de manera recurrente el
inventario de activos de informática físicos
para que se encuentre en el lugar asignado.
En el caso de presentarse un inconveniente,
se debe generar el reporte adecuado al
gerente del área.
P3 – Media
Tabla 12. Matriz de Riesgos
Elaboración propia
Página 77
Con esta información, se procede a relacionar los indicadores de negocio
impactados por la operatividad del servicio de Mesa de Ayuda, se ven reflejados en la
matriz de riesgos. Cada riesgo tiene una actividad de un servicio crítico que es
representada en un indicador de operatividad.
Cada área define sus indicadores con el fin de llegar a metas alcanzables y mejorar
su desempeño a lo largo del tiempo. A continuación, se presenta los principales
indicadores, los cuales se extrapolaron de la tesis mencionada en los antecedentes de
Cassis (2009). Dichos indicadores son similarmente relevantes, ya que se trata de la misma
tipa de operación que tiene lineamientos globales que se ejecutan a lo largo de todos los
muelles como parte de los conceptos de calidad de operaciones internacionales.
Se presenta la tabla con los indicadores clave principales para las áreas críticas, en
donde se define cada uno y, además, se tiene el valor aceptado y el valor cuando es
afectado por una caída del servicio de Mesa de Ayuda. Dicho valor es calculado en base a
la información histórica de cuando se afectó el servicio de Mesa de Ayuda, debido a un
ataque informático de carácter malicioso y que afectó a toda la compañía en junio del 2017.
Página 78
Área crítica Indicador Clave Definición Dependencia con Mesa
de Ayuda
Valor
aceptado
Valor alterado
por ausencia de
servicio de
Mesa de Ayuda
Operaciones de
Contenedores
Número de grúas
operativas en el sistema
por turno
En el puerto del Callao se
tienen diferentes grúas para
la carga y descarga de
contenedores.
Cada grúa tiene un
ordenador donde recibe
las tareas. Este equipo
puede afectarse por
fallas, demoras o falta de
operatividad del software.
Mesa de ayuda tiene que
atender dichas
incidencias de manera
inmediata para poder
atenuar el tiempo perdido
de operación de la grúa.
13 grúas
operativas
11 grúas
Número de Terminal
Trucks operativas en el
patio por turno
Los Terminal trucks se
encargan de llevar los
contenedores entre las
diferentes áreas del puerto.
Los terminal trucks son
los camiones encargados
de transportar los
contenedores por el patio
del muelle. Poseen una
tableta vehicular en la
26 Terminal
Trucks
operativos
20 Terminal
Trucks
Página 79
cual reciben las tareas y
ubicaciones. Mesa de
ayuda hace
mantenimiento a las
tabletas (software y
hardware), por lo que la
disponibilidad de
camiones depende de la
operatividad de este
equipo.
Número de puertas de
ingreso operando por
turno
Las puertas de ingreso
incluyen el proceso de
identificación de camión,
carga y conducto.
Las puertas de entrada y
de salida poseen una
tranquera, un ordenador,
dispositivos de control de
acceso y cámaras de
lectura de placas. Todos
estos dispositivos están
dentro del catálogo de
servicio de Mesa de
ayuda, ya sea de manera
directa o como parte de
un escalamiento externo.
6 puertas
habilitadas
3 puertas
Número de puertas de
salida operando por turno
Las puertas de salida
abarca el proceso de
liberación de patio, próxima
cita y de pesaje de la carga
de salida.
5 puertas
habilitadas
4 puertas
Página 80
Operaciones de
Carga General
Número de handheld
operativas en patio por
turno
Las tabletas son esenciales
para el control de carga e
identificación de nave,
empresa y transportista.
La lectura de datos de las
cargas es a través de un
equipo handheld, el cual
puede leer los códigos
impresos en las etiquetas.
Este dispositivo está
dentro del alcance de
soporte de Mesa de
Ayuda.
13 handheld
activas
12 handheld
Número de puertas de
ingreso operando por
turno
Las puertas de ingreso
incluyen el proceso de
identificación de camión,
carga y conducto.
Las puertas de entrada y
de salida poseen una
tranquera, un ordenador,
dispositivos de control de
acceso y cámaras de
lectura de placas. Todos
estos dispositivos están
dentro del catálogo de
servicio de Mesa de
ayuda, ya sea de manera
directa o como parte de
un escalamiento externo.
4 puertas
habilitadas
2 puertas
Número de puertas de
salida operando por turno
Las puertas de salida
abarca el proceso de
liberación de patio, próxima
cita y de pesaje de la carga
de salida.
4 puertas
habilitadas
4 habilitadas
Página 81
Seguridad,
Salud y Medio
ambiente
Numero de cámaras
operativas
Con el fin de mantener el
control perimetral, se tienen
los diferentes controles y
revisiones de las cámaras.
Al haber fallas de las
cámaras, el escalamiento
pasa por el equipo de
Mesa de Ayuda, así
mismo, como los
requerimientos de
mantenimiento.
255 cámaras
perimetrales
178 cámaras
operativas
Número de dispositivos
de control de acceso
operativos
La operación en el puerto es
constante y toda persona
debe ser registrada
haciendo el uso de
dispositivos de control de
acceso.
Los incidentes con los
lectores de huella digital,
lectores de placa,
tranqueras vehiculares,
molinetes de personal
son parte del proceso de
escalamiento de Mesa de
ayuda.
78 dispositivos 70 dispositivos
Facturación y
cobranzas
Número de horas de
interrupción de servicio al
público por día
La atención al público se
realiza las 24 horas del día y
se debe mantener su
disponibilidad idónea.
Para la atención al
público es necesario
ordenadores, dispositivos
de comunicación y
aplicativos de software.
Dichos elementos son
parte del catálogo del
0 horas 2.5 horas de
interrupción
Página 82
servicio de Mesa de
Ayuda.
Número de
interrupciones de
refrendos y de facturas
por día
La comunicación entre
sistemas internos y externos
al puerto son esenciales
para la transmisión de
pagos y autorizaciones.
El descarte de problemas
con los canales de
comunicación de
facturación lo realiza
Mesa de Ayuda.
0 23
interrupciones
Comercial y
atención al
cliente
Número de horas de
interrupción de servicio al
público por día
La comunicación directa se
debe tener siempre para
mantener la calidad del
servicio del puerto.
Los canales de
comunicación y su
operatividad son
evaluada por el equipo de
Mesa de Ayuda.
0 horas 2.2 horas
Cantidad de mensajes o
comunicados que fallaron
al enviar por día
Por problemas de
comunicación, se puede
tener escenarios donde la
comunicación formal este
interrumpida generando
atraso en la difusión de
mensajes.
0 mensajes 16 mensajes
por día
Legal
Número de puestos
operativos para el trabajo
de los agentes por turno
El trabajo de los agentes
legales es importante para
estar regulados y en línea
La operatividad de
estaciones de trabajo es
parte del catálogo de
11 puestos 9 puestos
Página 83
con lo que indica el estado o
los entes reguladores.
servicio de Mesa de
Ayuda.
Tabla 13. Indicadores de negocio
Elaboración propia
Página 84
Conforme a los indicadores mostrados, se tiene que la ausencia de servicio de
Mesa de Ayuda, resulta en la degradación de los indicadores de negocio más importantes
de la empresa, es decir del negocio. En este aspecto, cada uno de los indicadores puede
trasladarse a un impacto funcional, social, económico o legal. Así, cada aspecto del
impacto puede ser, al final de cuenta, asociado a un costo económico que representa una
carga por la falta de servicios del negocio. A continuación, se presenta el cuadro de costos,
de los principales ítems del negocio afectados por la caída de servicio de Mesa de Ayuda.
Página 85
Área de Operaciones de Contenedores
Indicador Ítem Unidad de Medida Cálculo Fuente Interpretación
Número de grúas
operativas en el
sistema por turno
Operatividad de la
Grúa
Costo por hora en
USD
$475.54 Índice de ganancias
de utilidades por
puesto - 2017
Costo de no tener
operativa la grúa.
Operador de Grúa Costo por hora
trabajada en USD
$31.81 Reporte de
operatividad
portuaria del muelle
5 - 2017
Costo del operador de
la grúa que se
encuentra en turno.
Operador de gestión
de contenedores y
naves
Costo por hora
trabajada en USD
$23.34 Índice de ganancias
de utilidades por
puesto - 2017
Costo del operador
que se encarga de
registrar las tareas
para una grúa en
específico.
Número de Terminal
Trucks operativas en
el patio por turno
Operatividad de un
Terminal Truck
Costo por hora en
USD
$115.20 Reporte de
operatividad
portuaria del muelle
5 - 2017
Costo por la falta de
operatividad de un
camión Terminal
Truck.
Operador de Terminal
Truck
Costo por hora
trabajada en USD
$26.40 Índice de ganancias
de utilidades por
puesto - 2017
Costo por el conductor
del vehículo.
Página 86
Número de puertas
de ingreso operando
por turno
Operador de puerta Costo por hora
trabajada en USD
$23.34 Índice de ganancias
de utilidades por
puesto - 2017
Costo por el trabajador
que se encuentra en la
puerta de ingreso.
Número de puertas
de salida operando
por turno
Operador de puerta Costo por hora
trabajada en USD
$23.34 Índice de ganancias
de utilidades por
puesto - 2017
Costo por el trabajador
que se encuentra en la
puerta de salida.
Tabla 14. Costos en Operaciones de contenedores
Elaboración propia
Área de Operaciones de Carga General
Indicador Ítem Unidad de Medida Cálculo Fuente Interpretación
Número de handheld
operativas en patio
por turno
Operador de patio Costo por hora en
USD
$26.10 Índice de ganancias
de utilidades por
puesto - 2017
Costo del trabajador
encargado del registro
de datos de la carga en
patio.
Número de puertas
de ingreso operando
por turno
Operador de puerta Costo por hora
trabajada en USD
$16.77 Índice de ganancias
de utilidades por
puesto - 2017
Costo por el trabajador
que se encuentra en la
puerta de ingreso.
Página 87
Número de puertas
de salida operando
por turno
Operador de puerta Costo por hora
trabajada en USD
$16.77 Índice de ganancias
de utilidades por
puesto - 2017
Costo por el trabajador
que se encuentra en la
puerta de salida.
Tabla 15. Costos en operaciones de carga general
Elaboración propia
Área de Seguridad, salud y medio ambiente
Indicador Ítem Unidad de Medida Cálculo Fuente Interpretación
Numero de cámaras
operativas
Operador de
Seguridad
Costo por hora en
USD
$10.41 Major Incident
Management Report
2017
Costo por tener que
revisar las
grabaciones del
tiempo perdido de las
cámaras, o por la
revisión en sitio del
lugar sin visión.
Número de
dispositivos de
control de acceso
operativos
Operador de
Seguridad
Costo por hora
trabajada en USD
$10.41 Major Incident
Management Report
2017
Costo por la
supervisión y
facilitación de
ingreso/salida manual
de personal.
Tabla 16. Costos en Seguridad, Salud y Medio ambiente
Elaboración propia
Página 88
Área de Facturación y cobranzas
Indicador Ítem Unidad de Medida Cálculo Fuente Interpretación
Número de horas de
interrupción de
servicio al público
por día
Operadores de
atención al público
Costo por hora en
USD
$11.20 Reporte de
operación
administrativa - 2017
Costo por personal
encargado de la
atención al público.
Número de
interrupciones de
refrendos y de
facturas por día
Operadores de
gestión de facturas y
documentos fiscales
Costo por hora
trabajada en USD
$11.20 Reporte de
operación
administrativa - 2017
Costo por persona que
debe realizar el
proceso de facturación
en un horario extra.
Tabla 17. Costos en Facturación y cobranzas
Elaboración propia
Área de Comercial y atención al cliente
Indicador Ítem Unidad de Medida Cálculo Fuente Interpretación
Número de horas de
interrupción de
servicio al público
por día
Agente comercial Costo por hora en
USD
$13.02 Reporte de
operación
administrativa - 2017
Costo para retomar la
comunicación con los
clientes externos o
internos.
Página 89
Cantidad de
mensajes o
comunicados que
fallaron al enviar por
día
Agente comercial Costo por hora
trabajada en USD
$13.02 Reporte de
operación
administrativa - 2017
Costo por agente
comercial que tiene
que volver a realizar
las tareas de
comunicación.
Tabla 18. Costos en Comercial y atención al cliente
Elaboración propia
Área de Legal
Indicador Ítem Unidad de Medida Cálculo Fuente Interpretación
Número de puestos
operativos para el
trabajo de los
agentes por turno
Agente Legal Costo por hora en
USD
$18.22 Reporte de
operación
administrativa - 2017
Costo por falta de
trabajo de un personal
del área legal.
Tabla 19. Costos en Legal
Elaboración propia
Página 90
Basados en la información de los costos asociados a la ausencia de servicio de
soporte de Mesa de ayuda, se procede a analizar en el periodo de tiempo desde julio del
2017 a fines de diciembre del 2017. En este periodo, se analiza la cantidad de horas de
servicio en donde no se prestó atención o dejó de funcionar la Mesa de ayuda, tomando
en cuenta las condiciones previamente discutidas.
Figura 8. Horas de caída de servicio por mes en el 2017
Elaboración propia
Para determinar el costo total de impacto de ausencia de servicio de Mesa de
ayuda, se tiene que en total se incurrió en un total de 21.4 horas en un plazo de 6 meses,
equivaliendo a una disponibilidad del 99.5%. Al revisar la unidad de los indicadores, se
tiene como unidad al costo por hora en dólares, por lo que el obtener la media y multiplicarlo
de manera ponderada por los valores proporcionales del mismo periodo de tiempo de la
figura 5, se tiene un valor medio ponderado del costo total de la caída de servicio de Mesa
de ayuda en el negocio de dicho periodo.
El costo medio es calculado por evento individual y con los costos por ítem afectado
en cada indicador:
Área Operaciones de Contenedores:
De acuerdo a los indicadores, se tiene una pérdida de operatividad de 2 grúas, por
lo que se calcula el costo de dos grúas, dos operadores y una persona encargada
10.4
4.6
2.7
0.50
3.2
0
2
4
6
8
10
12
Julio Agosto Setiembre Octubre Noviembre Dicembre
Horas de caida de servicio por mes en 2017
Página 91
de registrar las tareas para las grúas. Además, se considera que no operan seis
puertas de ingreso/salida y seis terminal trucks.
Costo = 2*(475.54 + 31.81) + 23.34 + 6*(23.34) + 6*(115.20 + 26.40) = $2027.68
Operaciones de Carga General:
De la misma manera, el cálculo promedio para las operaciones de Carga General,
se dan cuando deja de operar una handheld. También cuando no operan dos
puertas, ya sean de ingreso o de salida.
Costo = 1*(26.10) 2*(16.77) = $59.64
Seguridad, Salud y Medio Ambiente
En el área de seguridad, el costo está dado por el personal extra que se requiere
para realizar manualmente las funciones que realizan los dispositivos perimetrales.
Se tiene, entonces, que las incidencias se darían en 77 cámaras y 8 dispositivos de
control de acceso. Para esta cantidad, el personal desplegado extra equivale a diez
personas, repartidas en las principales áreas a cubrir. Este cálculo se debe a la
cantidad de personas laborando por turno para el área de Seguridad (35) y la
proporcionalidad de dispositivos en total.
Costo = 10* (10.41) = $104.1
Facturación y cobranzas
En el área de facturación, se tiene que la falta de servicio puede llegar a ocasionar
hasta 2.5 horas en el día. Tomando en cuenta, que la oficina de factura cuenta
como 6 personas que se dedican a atender al público, se multiplican por las horas
de caída de servicio. Por el lado de los documentos de cobranza, se tiene que el
desfase de trabajo se requiere dos personas que realicen el trabajo cuando no se
tuvo las facilidades técnicas.
Costo = 6*(11.20) + 2*(11.20) = $89.60
Comercial y atención al cliente
Similar al área de facturación, cuando se tiene el trabajo extra por falta de servicios
de soporte, se tiene que, para la respuesta de mensajes, se requeriría 1 persona y
para la atención de clientes, a dos teleoperadores.
Página 92
Costo = 1*(13.02) + 2*(13.02) = $39.06
Legal
Los agentes de la parte legal, se ven afectados reduciendo dos posiciones de
trabajo que son esencial para el trabajo diario.
Costo = 2* (18.22) = $36.44
Área Costo Medio Proporción* Cálculo
Operaciones de
Contenedores $2027.68 0.27 $547.47
Operaciones de
Carga General $59.64 0.24 $14.31
Seguridad, Salud y
Medio Ambiente $104.10 0.11 $11.45
Facturación y
cobranzas $89.60 0.15 $0.00
Comercial y
atención al cliente $39.06 0.17 $13.44
Legal $36.44 0.06 $6.64
Subtotal por hora $595.50
Total en 21.4 horas $12,743.80
Tabla 20. Costos promedio
Elaboración propia
*Para el conteo de proporción, no se tomó en cuenta la sección de otras áreas, tomándose
para la ponderación sólo las cinco áreas críticas.
De acuerdo a la información, por la falta de servicio Mesa de ayuda se tiene una
pérdida económica de $12,743.80 dólares. Lo que equivale a la cantidad de 21.4 horas de
caída en un plazo de seis meses.
Página 93
Planificación
Para empezar la planificación, se deben tomar en cuenta diferentes aspectos del servicio
y del objetivo.
Las funciones del servicio de Mesa de ayuda están detalladas en el Anexo 3. En
donde se tiene las diferentes funciones técnicas de las que se hace cargo el equipo de
Mesa de ayuda. Este servicio está contratado por el terminal portuario, del cual recibe un
pago mensual por concepto de servicios. Dicho servicio tiene que mantener los acuerdos
pactados para no caer en penalizaciones económicas que afectan la percepción del dinero
mensual.
Como producto del planeamiento, se tienen los siguientes entregables que son la
guía para el proceso de continuidad.
Documento Referencia Descripción
Funciones del servicio de Mesa
de Ayuda
Anexo 3 Características principales del servicio de
Mesa de ayuda, en donde se detallan las
funciones y la envergadura de su
accionar en el puerto.
Política de continuidad de
servicio
Anexo 4 Se define el proceder y los objetivos a
tratar en el proceso de la gestión de la
continuidad.
Plan de la continuidad del
servicio de Mesa de Ayuda
Anexo 5 Se detallan los posibles riesgos, activos,
planes y estrategias para hacer efectivo
la planteado en la política.
Plan de recuperación de
servicios
Anexo 6 Se detalla el procedimiento para
recuperar servicios, respetando el flujo de
autoridades y de funciones respectivas.
Procedimiento de contingencia
para aplicaciones
Anexo 7 Se detalla el procedimiento técnico para
la recurso de software informático del
área de operaciones de contenedores en
caso de disrupción de servicio.
Tabla 21. Documentación del proceso de continuidad
Elaboración propia
Página 94
Así como se tiene la documentación clave para el proceso de la continuidad de
servicio, es necesaria y vital que se tenga un plan para las capacitaciones necesarias para
el equipo. Estas capacitaciones son parte crítica del proceso de la continuidad ya que su
implementación depende de las capacidades del personal ejecutor. En el Anexo 10 – Plan
de capacitaciones, se tiene la propuesta del plan y los elementos claves para su realización.
Implementación y operación
En el desarrollo de la implementación de un servicio, es común encontrar quejas de un
servicio mal enfocado, hasta que, a través de la mejora continua, llegue a ser una
verdadera mesa de ayuda eficiente.
Es muy común encontrar que la división de seguridad informática, sea reactiva a la
problemática y riesgos que tiene la empresa o las tecnologías usadas en la misma, y
muchas veces, las políticas de seguridad van en contra de la eficiencia o facilidad de uso
de las tecnologías.
Es así, que dese un principio se tiene que tener una cultura de cambio para poder
instigar a estar alineados al negocio como proveedores de servicios de informática, ya que
los activos y la reputación de la empresa están en juego.
Tratar la seguridad informática como un servicio es vital para avanzar con los
objetivos de continuidad de negocio, sin importar el servicio que sea. Por eso es importante,
que la seguridad y la continuidad del negocio sean parte del ciclo de vida del servicio.
Como se ha mencionado, buscar la relación y el impacto del Servicio de mesa de
ayuda y su continuidad en la continuidad del negocio es la misión de esta tesis.
Como se ha mencionado en esta tesis, el motivo de la investigación nace de un
evento que altera tanto el negocio como al servicio de mesa de ayuda. Dicho evento,
brecha de seguridad e infección masiva de ordenadores y servidores, logró causar una
interrupción de servicios del negocio como la inhabilitación del servicio de Mesa de Ayuda
que es el objeto de estudio.
De acuerdo a lo mencionado, la organización sufrió un ataque el mes de junio del
año 2017, inhabilitando sistemas de registro de Servicio hasta mediados del mes de
agosto. Desde el mes de Setiembre hasta el mes de diciembre del año 2017, se le llamará
la primera etapa de la revisión. Esta primera etapa está caracterizada por tener un alto
Página 95
grado de conflictos debido al evento del ataque. Además, se tuvo diferentes
reorganizaciones en el tema de la continuidad.
La segunda etapa de análisis, se refiere a los meses desde febrero hasta mayo.
Durante esta etapa, ya se realizaba la investigación y la implementación de los planes de
contingencia. En este punto es donde se realiza la obtención de datos para la encuesta. El
segundo reporte se realiza al final de la segunda etapa, finalizando mayo.
Ambas etapas cuentan con cuatro meses calendario, espacio de tiempo
homogéneo para comparar la efectividad de los planes y su implementación. Los
resultados se obtendrán en base a los reportes de quejas o de cumplimiento que impacten
directamente con la continuidad del negocio. A continuación, se presenta la línea de tiempo
de la recolección de datos e implementación.
Figura 9. Línea de tiempo de recolección de datos
Elaboración propia
Revisión y concientización
Se procedió como parte de la investigación establecer el plan de continuidad de Servicios
para el servicio de Mesa de Ayuda, observado en el Anexo 5. Esto con el fin de poder
establecer de manera objetiva y clara su impacto en la continuidad del negocio. Pasado el
evento, se procedió con mucho a énfasis a implementar y capacitar al personal de Mesa
de ayuda en cuestión de la Continuidad del Negocio y la continuidad del servicio, por tal
motivo, al inicio de esta investigación, se procedió con la encuesta mencionada en los
instrumentos y que se encuentra en el Anexo 1.
De las doce preguntas, se puede observar la interacción y percepción del personal,
previamente entrenado en el tema. Los resultados muestran diferentes interacciones, así
Página 96
como el sentido de capacitación y compromiso con el servicio. Estos factores se han de
encontrar en cualquier ámbito laboral, ya que son comunes de cualquier equipo de trabajo.
Así, se procederá a desglosar los resultados de la mencionada encuesta, la cual está
dividida en los aspectos fundamentales de la administración de servicios. Los enfoques de
la encuesta que fueron planteados por Jordan, son los siguientes:
- Situación del Planeamiento
- Administración
- Experiencia
- Riesgos
- Acciones futuras
De las doce encuestas tomadas, se contestaron las 12, sin eventos que alteren el orden
o la confianza de los datos en cuestión.
a. Planeamiento
En la primera sección se analiza la frecuencia con que la organización cuenta con
planes, ya sean del negocio o del área de TI. Tal como muestran los resultados, el
entendimiento de la tenencia de planes de contingencia indica que aún se
encuentra en desarrollo la conciencia acerca de la importancia de los planes de
continuidad.
Página 97
Figura 10. Estadística Pregunta 1
Elaboración propia
En la primera pregunta, se consulta que si es la que organización tiene
planes para la continuidad de negocio y para la contingencia. Se tiene un resultado
de que 42% de los encuestados respondieron positivamente a que se tiene plan de
continuidad para toda la operación portuaria.
Figura 11. Estadística Pregunta 2
Elaboración propia
25%
33%
42%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Ni para TI, ni el negocio Solamente para TI. Para toda la operación,incluyendo TI.
En relación con el planeamiento de la contingencia de TI, ¿la empresa tiene planes
comprensivos?
8%
25%
42%
25%
0%0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
No hay plan Plan endesarrollo
Menos de 1 año 1 a 2 años Más de 5 años
¿Desde hace cuánto se tiene el plan de contingencia del negocio?
Página 98
De la misma manera, en la sección de planeamiento, se preguntó cuál es la
antigüedad del plan de continuidad de negocio, en donde mayoritariamente se tiene
la percepción que el plan es reciente, menor a un año.
Figura 12. Estadística Pregunta 3
Elaboración propia
Así mismo, se realizó la misma pregunta, pero enfocada en la contingencia
del área de TI que abarca la continuidad de servicio de Mesa de Ayuda. Es así que
se tiene que la mayoría responde que el plan está dentro del rango de recién a dos
años de antigüedad. Esto indica que, para el personal, se tiene una percepción que
la estrategia del manejo de crisis y de contingencia es más cercana al área de TI
que al negocio como un todo.
b. Administración
Las actividades del día a día están ejercidas por el concepto de quién es el
encargado y responsable de llevarlas o verificar que se lleven a cabo. En tal sentido,
es importante tener una jerarquía de control para poder estar organizados en caso
de desastre o de interrupción de servicios, no sólo del área sino del negocio.
8%
25%
33% 33%
0%0%
5%
10%
15%
20%
25%
30%
35%
No hay plan Plan endesarrollo
Menos de 1 año 1 a 2 años Más de 5 años
¿Desde hace cuánto se tiene el plan de contingencia para TI?
Página 99
Figura 13. Estadística Pregunta 4
Elaboración propia
En la pregunta, se hace hincapié a indicar de quién es la responsabilidad de
llevar a cabo las acciones para los planes de contingencia y de continuidad. Para
el personal, tienen la noción que debe ser el Gerente del área de Tecnologías de
Información. Para otro grupo, la responsabilidad recae sobre todos de manera
positiva, ya que las acciones diarias con respecto al servicio son, de hecho,
responsabilidad de todos.
Figura 14. Estadística Pregunta 5
8%
42%
17%
33%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
No hay plan Gerente de TI Supervisor del área Todo el personal
¿Quién es el responsable de las acciones del día a día con respecto al plan?
8%
33%
25%
33%
0%0%
5%
10%
15%
20%
25%
30%
35%
El CEO La junta directiva Gerente de TI Supervisor Todo el personal
¿Quién es el responsable de asegurar la implementación de los planes en una
emergencia?
Página 100
Elaboración propia
Con respecto a los planes de emergencia, la tendencia es que el personal
delega la función a su supervisor o a un ente de mayor jerarquía que es sería la
junta directiva.
c. Experiencia
Varias de las preguntas en el cuestionario, tienen como misión resaltar la
contingencia como una forma de prueba de los planes de continuidad de negocio.
Para lograr esto es necesario saber que cada vez que se incumple con brindar un
servicio, existe una necesidad sin cumplir por lo que se detiene una parte del
negocio brindado.
Figura 15. Estadística Pregunta 6
Elaboración propia
En la pregunta, se toma en cuenta la convicción de que si los planes de
continuidad y de contingencia sean efectivos a la hora de presentarse un problema.
De manera positiva, la mayoría de los encuestados indicaron que si es favorable la
presencia de planes para mitigar algún evento desastroso.
0%
50%
25% 25%
0%
10%
20%
30%
40%
50%
60%
No Hay ciertaprobabilidad que si
Si, creo que seránefectivos
Si, muy seguro
¿Está Ud. seguro que los planes de contingencia asegurarán la supervivencia del negocio?
Página 101
d. Riesgos
Para muchas organizaciones, el área de TI no es un área crítica sino un área de
soporte a las diferentes actividades más cercanas a la interacción del negocio. En
tal sentido, es necesario reconocer los riesgos que implican las caídas de servicio
del área de mesa de ayuda en el negocio.
Figura 16. Estadística Pregunta 7
Elaboración propia
Figura 17. Estadística Pregunta 8
Elaboración propia
0%
33%
25%
42%
0%0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
1 2 a 3 4 a 6 7 a 9 10 o más
¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de menos de 1 hora
han sucedido?
33%
42%
17%
8%
0%0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
1 2 a 3 4 a 6 7 a 9 10 o más
¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de más de 1 hora han
sucedido?
Página 102
En ambas preguntas, se evalúa cuantas caídas de servicio hayan
presenciado durante su estancia en el trabajo. Para esto las opiniones se basan en
la experiencia personal, y en la determinación de reconocer que hubo caídas de
servicios que pudieron haber impactado en el negocio.
e. Acciones futuras
Como sondeo de la estrategia a seguir y de escuchar las opiniones de las personas
que se encuentran dentro de la organización, es necesario establecer acciones a
futuro para mejorar la implantación de la continuidad de negocio.
Figura 18. Estadística Pregunta 9
Elaboración propia
8% 8%
33%
0%
50%
0%
10%
20%
30%
40%
50%
60%
No se sabe Consideradonecesario, pero
de baja prioridad
Falta de recursos Está siendodesarrollado,
pero aún no estálisto
Si se tiene unplan
Según su consideración, ¿Cuál es la principal razón por no tener un plan de contingencia?
Página 103
Figura 19. Estadística Pregunta 10
Elaboración propia
En las preguntas anteriores, se aclara la razón de la falta de un plan de
continuidad, ya sea de negocio o del área de TI. Mayoritariamente, se reconoció
que, si se cuenta con el plan, pero, además, se tiene que la falta de recursos o la
baja prioridad impiden su crecimiento a totalidad.
Figura 20. Estadística Pregunta 11
Elaboración propia
8%
25%
8% 8%
50%
0%
10%
20%
30%
40%
50%
60%
No se sabe Consideradonecesario, pero
de baja prioridad
Falta de recursos Está siendodesarrollado,
pero aún no estálisto
Si se tiene unplan
Según su consideración, ¿Cuál es la principal razón por no tener un plan de continuidad de
negocio?
8% 8%
17% 17%
50%
0%
10%
20%
30%
40%
50%
60%
No se tiene enconsideración
En el próximoaño
Dentro de 1 a 2años
El plan existe,pero no está
documentado
Si se tiene el plan
Según Ud. ¿Cuándo se planea producir el plan de continuidad del negocio?
Página 104
Figura 21. Estadística Pregunta 12
Elaboración propia
Así como se tiene las razones para poder desplazar en prioridad a un plan
implementado de la continuidad de negocio, se indica que con esta prioridad es que los
planes podrían verse concretados en el futuro cercado (uno a dos años).
Después de analizar e interpretar la encuesta, se tiene que contrarrestar con la
información de los sistemas de gestión de Requerimientos e Incidentes. Para tal fin, se
obtuvieron los reportes del sistema, llamado Aranda Software, en dos puntos en particular.
En la primera etapa se registraron 1512 casos, requerimientos o incidentes, de los
cuales se observa en la tabla adjunta:
1ra Etapa
Fecha de Inicio: 01/09/2017
Fecha de Fin: 28/09/2017
Casos totales: 1512
Requerimientos: 681
Incidentes: 831
0%
25%
0%
25%
50%
0%
10%
20%
30%
40%
50%
60%
No se tiene enconsideración
En el próximoaño
Dentro de 1 a 2años
El plan existe,pero no está
documentado
Si se tiene el plan
Según Ud. ¿Cuándo se planea producir el plan de contingencia de TI?
Página 105
Requerimientos incumplimiento de SLA:
72
Incidentes incumplimiento de SLA: 65
Tabla 22. Datos Etapa 1
Elaboración personal
Figura 22. Distribución de Casos 1ra Etapa
Elaboración propia
De la misma se tiene que el 47% son Incidentes y el 53% son Requerimientos, y
que la taza de incumplimiento de SLAs (Service level agreements) bordea los 10%
aproximadamente.
2da Etapa
Fecha de Inicio: 05/02/2018
Fecha de Fin: 30/05/2018
Casos totales: 1347
Requerimientos53%
Incidentes47%
Distribución de Casos 1ra Etapa
Requerimientos Incidentes
Página 106
Requerimientos: 562
Incidentes: 785
Requerimientos incumplimiento de SLA:
65
Incidentes incumplimiento de SLA: 62
Tabla 23. Datos Etapa 2
Elaboración propia
Figura 23. Distribución de Casos 2da Etapa
Elaboración propia
En la segunda etapa, se pueden observar valores porcentuales semejantes con los
de la primera, infiriendo que, a pesar de la diferente etapa del año, estadísticamente ambas
etapas son homogéneas.
Además de saber la cantidad y proporciones de los casos en ambas etapas, se
revisó la información de las áreas afectadas, así como las principales categorías para que
no se puedan concretar respetando los SLAs (Service Level Agreements) establecidos por
el cliente (organización).
Requerimientos51%
Incidentes49%
Distribución de Casos 2da Etapa
Requerimientos Incidentes
Página 107
Para la primera etapa se tiene los siguientes datos:
Razones para incumplimiento
Fallas externas de Equipamientos 37.5%
Falta de Recursos 25.8%
Errores humanos 14.1%
Error de captura del requerimiento 12.4%
Falta de Capacitación 6.6%
Otros 3.6%
Tabla 24. Razones de incumplimiento 1ra Etapa
Elaboración propia
Figura 24. Razones de Incumplimiento 1ra Etapa
Elaboración propia
Las razones mencionadas del incumplimiento, son inherentes al servicio que la
Mesa de Ayuda brinda, en donde se denota que la principal causa para el incumplimiento
de los acuerdos de niveles de servicio fue la falla externa de equipamientos. Al fallar los
equipos (desde ordenadores hasta dispositivos de comunicación especializados) se
produce una falla en los servicios que brinda el negocio, por lo que se empieza a hablar de
una falta a la continuidad del negocio. Esta información es corroborada por el sistema de
registro de incidencias y requerimientos, ya que el incumplimiento del nivel de servicio
queda registrada automáticamente al momento que se logra terminar con lo solicitado o
requerido. Sin embargo, durante el tiempo que se falló en brindar oportuna solución, ocurrió
una brecha en la continuidad, afectando directamente al negocio. La medida de afectación
37.5%
25.8%
14.1%12.4%
6.6%3.6%
0.0%
5.0%
10.0%
15.0%
20.0%
25.0%
30.0%
35.0%
40.0%
Fallas externasde
Equipamientos
Falta de Recursos Errores humanos Error de capturadel
requerimiento
Falta deCapacitación
Otros
Razones de Incumplimiento de SLAs - 1ra Etapa
Página 108
es directamente proporcional con el tiempo de la demora y con el tiempo en que cada área
dispone a usar su plan de contingencia para sobrepasar temporalmente el problema.
Así como se tienen las razones, se tiene las principales unidades de negocio
afectadas por los mencionados incidentes:
Área Afectada
Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Contenedores
23.1%
Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Carga General
11.3%
Área de Finanzas y Cobranzas 19.5%
Área de Grúas y Terminal Trucks 10.4%
Área de Comunicaciones 12.2%
Área de Seguridad Perimetral y CCTV 13.5%
Área de Monitoreo y Pesaje de Carga 5.6%
Área de Control de Accesos 4.4%
Tabla 25. 1ra Etapa - Áreas afectadas
Elaboración propia
Como se observa, la principal área afectada es el área de operaciones, la cual se
encarga de las operaciones en las puertas de entrada y salida para los camiones que llevan
la carga o realizan la descarga. Estas áreas son las más propensas a fallar, y las que mayor
impacto generan en el negocio. Cabe resaltar que cada área cumple una misión crítica
para alguno de los interesados en el negocio, ya siendo usuarios, empresas o hasta
entidades de regulación del Gobierno.
En la segunda etapa, se contrapone el mismo análisis, con la diferencia que el
personal de Mesa de Ayuda recibió una mejor capacitación con respecto a la continuidad
de negocio y planes de contingencia del servicio.
Razones para incumplimiento
Falta de Recursos 38.4%
Fallas externas de Equipamientos 36.3%
Error de captura del requerimiento 12.6%
Página 109
Errores humanos 6.1%
Falta de Capacitación 4.3%
Otros 2.3%
Tabla 26. Razones de incumplimiento 2da Etapa
Elaboración propia
Figura 25. Razones de Incumplimiento de SLAs -2da Etapa
Elaboración propia
Al igual que en la primera etapa, se observa que la falta de recursos y la falla de
equipos son las principales causas para incumplir y detener el servicio ofrecido por la
organización. Sin embargo, es muy importante denotar que para la segunda etapa los
errores humanos y los errores causados por la falta de capacitación han disminuido
notoriamente. De 14.1% a 6.1% para errores humanos, y de 6.6% a 4.3% para errores por
falta de capacitación se ven disminuidos. Dentro de los factores para este cambio, se tiene
la mayor capacitación brindada para el tema de continuidad de negocio y contingencia en
el trabajo.
Un servicio concreto que tiene un plan de contingencia, puede solucionar problemas
de manera más guiada y estructurada, con el fin de reducir tiempos de respuesta, y
concluyentemente mejorar la continuidad de las unidades de negocio.
38.4%36.3%
12.6%
6.1% 4.3%2.3%
0.0%
5.0%
10.0%
15.0%
20.0%
25.0%
30.0%
35.0%
40.0%
45.0%
Falta de Recursos Fallas externasde
Equipamientos
Error de capturadel
requerimiento
Errores humanos Falta deCapacitación
Otros
Razones de Incumplimiento de SLAs - 2da Etapa
Página 110
Área Afectada
Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Contenedores
18.6%
Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Carga General
12.4%
Área de Finanzas y Cobranzas 21.3%
Área de Grúas y Terminal Trucks 12.8%
Área de Comunicaciones 14.6%
Área de Seguridad Perimetral y CCTV 13.3%
Área de Monitoreo y Pesaje de Carga 5.6%
Área de Control de Accesos 1.4%
Tabla 27. Áreas afectadas - 2da Etapa
Elaboración propia
Mantenimiento y mejora
Tomando en cuenta que las razones principales de interrupción de servicios son las
mismas, se tiene que las áreas afectadas del negocio no varían, sino que se mantienen
proporcionales a lo largo del tiempo, así como su problemática.
De acuerdo al plan, en el segundo periodo, se tiene el proceso implementado y en
transición de lo que debería contemplar un proceso completo de la continuidad de negocio.
A continuación, el diagrama TO-BE para el proceso de continuidad:
Página 111
Figura 26. Diagrama To-Be segundo periodo
Elaboración propia
Es así, como el proceso del modelo de la gestión de la continuidad mejora en cada
iteración y cada acción del plan, especialmente los simulacros, capacitaciones, eventos de
concientización, los cuales deben ser programados según la frecuencia esperada del plan,
para posteriormente ser analizadas, y entre todo el equipo realizar las mejoras al proceso.
Página 112
CONCLUSIONES
A lo largo de esta tesis, se han revisado diferentes aspectos de la gestión de servicios y de
la continuidad de negocio, así como, los marcos de trabajo que nos dan los lineamientos
para mejorar el servicio o hacerlo más resiliente. A la pregunta inicial, de indicar cuál es el
impacto de la que el servicio de Mesa de Ayuda influye en el negocio, se pudo observar
que, mediante la recolección de datos en momentos distintos, que cada área crítica ve
afectada sus operaciones e indicadores cuando el servicio de Mesa de Ayuda no se
encuentra activo. En dicho caso, los indicadores parten de los riesgos clasificados como
Altos, lo cual significa que la prioridad la da el mismo negocio. En los indicadores
mostrados, se tiene que la ausencia de servicio de Mesa de Ayuda, conlleva a una
degradación de los servicios principales. Toda caída de servicio de Mesa de Ayuda, puede
ser trasladada a un costo asociado para el negocio, ya que de manera directa existen
indicadores de negocio en las áreas críticas que dependen del soporte de las tecnologías
de información para poder ser eficaces en sus funciones. El costo depende del tiempo en
que sus operaciones se quedan detenidas y del área afectada por la falta de servicio,
siendo el principal costo, la operación con contenedores y carga general, ya que estas
áreas son las más sensibles a la falta de operatividad, generando así una mayor pérdida
económica.
Los riesgos de cada área crítica del negocio tienen como plan de mitigación, el uso
del área de soporte de Mesa de Ayuda, para que pueda brindar las facilidades tecnológicas
que se requieran para poder seguir operando y que los indicadores de negocio no se vean
degradados. Sin embargo, a pesar de tener identificados los riesgos y los planes de
mitigaciones, no es el ámbito de esta tesis, identificar los problemas de fondo que inician
dichas degradaciones. La visión de problemática incluye los problemas comunes que se
puedan dar en cada área ajena al servicio de Mesa de Ayuda, como falta de capacitación
de personal, índice de averías de equipos, destrucción accidental de equipos, mal uso de
las tecnologías de información, entre otras.
Cuando se tuvo un incidente mayor que afectó a todo el puerto, detuvo de manera
temporal inhabilitado el servicio de Mesa de Ayuda. La recolección de datos es limitada, ya
que el mismo concepto de registro de incidencias o requerimientos se da dentro del servicio
de Mesa de Ayuda, es decir, que, al no haber servicio de Mesa de Ayuda, la magnitud de
los indicadores de operatividad puede diferir de la realidad, siendo realmente mayor de lo
identificado inicialmente. Sin embargo, de los datos recabados se tiene que el principal
riesgo e impacto lo sufre el área de Operaciones con contenedores, concluyendo que
Página 113
debido a la pérdida económica se debe dar foco a las interacciones entre el servicio de
Mesa de ayuda y el área de operaciones, para mejorar en ambos casos la continuidad de
servicios y mitigar el impacto de falta de soporte.
La implementación de un plan de contingencia hace que los trabajadores ejecutores
del servicio sean más conscientes con respecto a la seguridad y su propio accionar. Los
datos reflejan que se puede disminuir los errores humanos, mediante la capacitación y la
concientización, ya que sólo tener el plan escrito no es signo de un buen plan de
continuidad. Tal como lo indica las percepciones de los trabajadores, si es que la
información no es difundida correctamente no llegará a ser válida ni utilizada. Los aspectos
que el servicio de Mesa de Ayuda impacta en el negocio, son visibles cuando no se llega
a cumplir lo pactado en los niveles de servicio, siendo finalmente afectados, las áreas que
interactúan con el usuario, por lo que por cada falta del servicio de Mesa de Ayuda se tiene
un impacto directo en la operación portuaria, y por ende en las actividades del negocio. La
percepción de los trabajadores del servicio, indica su conocimiento acerca de los planes
de continuidad y de contingencia. A pesar de que los planes fueron creados e instaurados
en el ámbito del equipo de trabajo, no todos los trabajadores comparten la misma opinión
de los mismos. Para poder definir qué servicios de Mesa de Ayuda cuentan con un plan de
contingencia, no sólo es necesario tener el plan, sino capacitar al personal y realizar
ejercicios de práctica para que se llegue a implantar en la memoria colectiva del equipo.
Esto quiere decir que no sólo basta con crear el plan, sino que para afirmar que se
encuentra implementado, se tiene que medir con la capacidad de aprendizaje de los
trabajos, quienes, al final al cabo, son los que deben realizar las acciones de día a día para
estar al tanto de los planes. Los conocimientos implementados en los planes, ya sean de
contingencia o de continuidad de negocio, deben ser transmitidos a los trabajadores. El
cálculo de la capacidad de retención de los conocimientos tiene muchos factores que
pudieran alterar el resultado, es decir que dependerá de cada individuo y su entorno para
que sea efectivo y válido. En ese sentido, mediante el primer instrumento se puede concluir
que al menos el 41% de los encuestados muestran signos positivos de retención y
conciencia con respecto a los planes trabajados. Así mismo, grupalmente, el instrumento
de observación indica una mejora en los aspectos directamente relacionados con la
Continuidad, una mejora del 45.8%. Este valor se calcula de la diferencia en los factores
humanos observados en ambas etapas de la recolección de datos.
Finalmente, de la observación de los datos recolectados en ambos procesos, se
concluye que las razones de las fallas de equipos o falta de recursos se mantienen
Página 114
proporcionales a lo largo del tiempo. Esto quiere decir que hay factores que resultan en
que no se pueda evitar esa tendencia, tales como el tiempo de vida media de los artefactos
electrónicos. Los datos recabados muestran una mejora en la disminución de errores
humanos y por falta de capacitación, ya sea aplicando una mejor consciencia de trabajo
ordenado y una mejor evaluación de incidentes y problemas antes de tratarlos para no
empeorarlos.
RECOMENDACIONES
A lo largo de la tesis, se tomó el aspecto de los eventos pasados que atravesó la empresa
para poder determinar los impactos y la evaluación de etapas, divididas por un espacio de
entrenamiento y capacitación. Sin embargo, dicho proceso no debería ser una división, ya
que el mismo, debe ser de manera continua y progresiva. Como parte de la mejora continua
de todo servicio, es necesario que dicho aspecto de capacitación se realice con constancia
y con la evaluación necesaria. Para el caso de crisis, emergencias y denegación total de
servicios, éstos deben ser practicados de manera regular en escenarios que sean lo más
cercano a la realidad para poder medir la efectividad de dichos planes. En tal sentido, se
recomienda seguir con la investigación, pero enfocada a la práctica recursiva de los
aspectos principales de los planes de continuidad.
Así también, se recomienda la práctica de las políticas, lineamientos y planes, es
necesario estar conscientes que el aprendizaje de dichas buenas prácticas depende de
dos aspectos. El primero, la información en sí y la capacitación, y el segundo, del individuo
que se espera pueda reaccionar y hacer uso de dichas prácticas. Es por eso, que así
mismo, se debe entender e investigar la gestión del conocimiento para tales casos, en
donde se dependa de las facultadas y resistencias de cada individuo a entrenar.
Se debe tener como prioridades, aquellas áreas donde la pérdida económica es
mayor, pero, tomando en cuenta que toda área es importante y que a largo plazo se debe
considerar como pérdida, también, a la baja percepción de los clientes acerca de los
servicios del puerto.
Página 115
SUGERENCIAS
Al finalizar esta tesis, se sugiere que dicho concepto de continuidad de negocio se
extrapole para grupos mayores de trabajo, con el fin de poder tener mayor confiabilidad en
la obtención de datos, evitar la manipulación y contaminación de los mismos. Es necesario
variedad de opiniones y de habilidades para establecer que el plan, por sí solo, es efectivo
en un entorno cambiante.
También, se sugiere que lo aplicado en esta tesis (la relación entre la continuidad
del servicio de Mesa de ayuda y el impacto en el negocio) sea analizado similarmente frente
a otros servicios brindados por TI, que a su vez impacten en la operatividad del negocio.
Página 116
REFERENCIAS
AXELOS. (2011). ITIL Glossary.
Cassis Zambrano, M. d. (2009). Diseño, análisis e interpretación de indicadores de gestión
para Autoridad Portuaria de Manta. Loja: Universidad Técnica Particular de Loja.
Obtenido de http://dspace.utpl.edu.ec/handle/123456789/1222
Egúsquiza Cáceres, H., & Kong Ramos, C. (2017). Implementación del modelo de gestión
de continuidad de servicios TI basado en ITIL v3. Lima: Universidad Ciencias
Aplicadas. Obtenido de
http://repositorioacademico.upc.edu.pe/upc/handle/10757/622506
Ghannam, M. Z. (2017). Challenges and Opportunities of Having an IT Disaster Recovery
Plan. Umeå: Umeå University. Obtenido de http://www.diva-
portal.org/smash/record.jsf?pid=diva2%3A1117263&dswid=6256
Gneist, P. K. (2009). The need for a developed Business Continuity Plan. Suecia:
Universidad Internacional de Negocios de Jönköping. Obtenido de
https://slidex.tips/download/the-need-for-a-developed-business-continuity-
plan#modals.
Govindarajan, A. V. (2011). Business Continuity Planning in the IT Age - A railway sector
case study. Suecia: Universidad de Linköping. Obtenido de http://liu.diva-
portal.org/smash/get/diva2:483470/FULLTEXT02.pdf
Hearsum, P. (2017). RESILIA from an ITIL veteran’s perspective. AXELOS. Obtenido de
https://www.axelos.com/news/blogs/july-2016/resilia-from-an-itil-veterans-
perspective
Hernandez Sampieri, R., Fernandez Collado, C., & Baptista Lucio, M. (2014). Metodología
de la Investigación. Mexico D.F.: McGraw Hill.
ISO. (2012). International Standard ISO 22301. Geneva.
ITIL Foundation. (s.f.). What is ITIL? Recuperado el 21 de Abril de 2018, de
https://www.greycampus.com/opencampus/itil-foundation/
ITIL v3. (2018). La función de Centro de Servicio (Service Desk). Recuperado el 21 de Abril
de 2018, de https://www.servicetonic.es/itil/itil-v3-la-funcion-de-centro-de-servicio-
service-desk/
Página 117
Jordan, E. (2000). IT contingency planning: management roles. Sydney: MCB UP Ltd.
Obtenido de
http://130.18.86.27/faculty/warkentin/SecurityPapers/Robert/Others/Jordan1999_I
MCS7_5_ITContingencyPlanning.pdf
Jordan, E. (2005). An assessment of IT governance procedures. Macquarie University.
Sidney: Brussels, Belgium: EIASM. Obtenido de
https://www.researchonline.mq.edu.au/vital/access/manager/Repository/mq:63999
Kaspersky Lab. (16 de Mayo de 2017). WannaCry: Are you safe? Obtenido de
https://www.kaspersky.com/blog/wannacry-ransomware/16518/
Kontos, G. (2014). Design and development of a service management framework for
business continuity. Grecia: Universidad del Egeo. Obtenido de
https://oatd.org/oatd/record?record=handle:10442/hedi/35315&q=service
continuity management
Mathenge, M. W. (2011). Disaster recovery and business continuity plans in Class-A
Parastatals in Kenya. Kenia: Universidad del Nairobi. Obtenido de
https://oatd.org/oatd/record?record=oai:localhost:11295/10931&q=service%20cont
inuity%20management.
Moran, L. (2009). ISO/IEC 20000. Guía completa de aplicación para la gestión de los
servicios de tecnologías de la información. Madrid: AENOR.
Rance, S. (2017). Resilia, Cyber resilience best practices. British Computer Society.
Obtenido de https://www.bcs.org/upload/pdf/resilia-srance-090915.pdf
Sambo, M. F. (2014). An investigation into business continuity plan (BCP) failure during a
disaster event. Zambia: University of the Western Cape. Obtenido de
http://hdl.handle.net/11394/4241
Simonsson, M. (2008). Predicting IT Governance Performance A Method for Model-Based
Decision Making. Suecia: Real Instituto de Tecnología. Obtenido de
http://swepub.kb.se/bib/swepub:oai:DiVA.org:kth-9129?tab2=abs&language=en
The Register. (25 de Enero de 2018). IT 'heroes' saved Maersk from NotPetya with ten-day
reinstallation bliz. Obtenido de
http://www.theregister.co.uk/2018/01/25/after_notpetya_maersk_replaced_everythi
ng/
Página 118
ANEXOS
Anexo 1. Formato de la encuesta
Continuidad del Negocio
A continuación, se le presenta preguntas con relación a la continuidad de negocio y el
servicio de Mesa de Ayuda del área de TI prestado en la institución. Favor de encerrar la
alternativa que, según su entendimiento y capacitación, considere representa con
objetividad la realidad.
1. En relación con el planeamiento de la contingencia de TI, ¿la empresa tiene planes
comprensivos?
a. Ni para TI, ni el negocio
b. Solamente para TI.
c. Para toda la operación, incluyendo TI.
2. ¿Desde hace cuánto se tiene el plan de contingencia del negocio?
a. No hay plan
b. Plan en desarrollo
c. Menos de 1 año
d. 1 a 2 años
e. Más de 5 años
3. ¿Desde hace cuánto se tiene el plan de contingencia para TI?
a. No hay plan
b. Plan en desarrollo
c. Menos de 1 año
d. 1 a 2 años
e. Más de 5 años
4. ¿Quién es el responsable de las acciones del día a día con respecto al plan?
a. No hay plan
b. Gerente de TI
c. Supervisor del área
d. Todo el personal
5. ¿Quién es el responsable de asegurar la implementación de los planes en una
emergencia?
a. El CEO
Página 119
b. La junta directiva
c. Gerente de TI
d. Supervisor
e. Todo el personal
6. ¿Está Ud. seguro que los planes de contingencia asegurarán la supervivencia del
negocio?
a. No
b. Hay cierta probabilidad que si
c. Sí, creo que serán efectivos
d. Si, muy seguro
7. ¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de menos
de 1 hora han sucedido?
a. 1
b. 2 a 3
c. 4 a 6
d. 7 a 9
e. 10 o más
8. ¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de más de
1 hora han sucedido?
a. 1
b. 2-3
c. 4-6
d. 7-9
e. 10 o más
9. Según su consideración, ¿Cuál es la principal razón por no tener un plan de
contingencia?
a. No se sabe
b. Considerado necesario, pero de baja prioridad
c. Falta de recursos
d. Está siendo desarrollado, pero aún no está listo
e. Si se tiene un plan
10. Según su consideración, ¿Cuál es la principal razón por no tener un plan de
continuidad de negocio?
a. No se sabe
b. Considerado necesario, pero de baja prioridad
c. Falta de recursos
d. Está siendo desarrollado, pero aún no está listo
e. Si se tiene un plan
11. Según Ud. ¿Cuándo se planea producir el plan de continuidad del negocio?
Página 120
a. No se tiene en consideración
b. En el próximo año
c. Dentro de 1 a 2 años
d. El plan existe, pero no está documentado
e. Si se tiene el plan
12. Según Ud. ¿Cuándo se planea producir el plan de contingencia de TI?
a. No se tiene en consideración
b. En el próximo año
c. Dentro de 1 a 2 años
d. El plan existe, pero no está documentado
e. Si se tiene el plan
Página 121
Anexo 2. Ficha de Observación
Ficha de Observación Requerimientos e Incidentes - Sistema Aranda
Fecha de Inicio:
Fecha Final:
N Ticket Tipo Detalle Hora de Registro Hora de Cierre Tiempo en Pendiente Razón
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Página 122
Anexo 3. Funciones del servicio de Mesa de Ayuda
FUNCIONES DEL SERVICIO DE MESA DE AYUDA
El presente documento es propiedad de las entidades legales dentro del Grupo A. P. Moller
– Maerk (también conocido como “APMM”) y es para uso exclusivo del personal de APMM.
Éste documento no deberá afectar legalmente cualquier relación o confiabilidad de APMM
con cualquiera de nuestros colaboradores o terceros, los cuales tienen permitido usarlo como
guía.
APMM no se responsabilizará por información técnica o editorial por errores de omisión de
éste documento; ni por ningún daño causado por dicha acción, incluido, pero no limitado a:
daño directo, accidental o consecuente resultado del uso por directivos, gerentes, empleados,
agentes, representantes, dueños u otros allegados a APMM. Copyright © Maersk Group.
Derechos reservados.
Página 123
1. OBJETIVO
Establecer las diferentes funciones que realiza personal de Mesa de Ayuda, con el fin
de lograr establecer responsabilidades y puntos de control.
2. ALCANCE
El alcance corresponde a las características del servicio brindado por Corporación
SAPIA al cliente.
3. RESPONSABILIDADES
Supervisor IT Helpdesk. Es responsable de la actualización y control de este
documento.
4. DESCRIPCIÓN
Se contemplan los siguientes procesos:
GESTIÓN DE INCIDENCIAS
El objetivo es resolver, de la manera más rápida y eficaz posible, cualquier incidencia
que cause una interrupción en el servicio.
Las funciones de la gestión se describen a continuación:
• Identificación del Incidencia.
• Registro y clasificación de la incidencia.
• Filtro del Incidencia (determinación tipo de incidencia).
Determinación de la prioridad de la incidencia (Vips, Vips Operacionales y
Estándar).
• Asignar personal encargado de atender incidencia.
Si fuera una incidencia mayor, contemplar los procedimientos para su
escalamiento.
• Diagnóstico de las incidencias del 1er y 2do Nivel.
Resolución de Incidencias del 1er y 2do Nivel, considerando los tiempos de
atención asumidos por el servicio.
Comunicación a los usuarios de la resolución de las incidencias sea cual fuera
el nivel.
Página 124
Documentar las incidencias del 1er y 2do Nivel, el caso de otros niveles
solicitar el informe técnico.
• Cierre de la incidencia previa conformidad del usuario.
Para las atenciones de incidencia se considerará:
o Soporte inicial de la incidencia a través de conexión remota local con el
software que APM TERMINALS CALLAO tenga a disposición en las PCs.
o Investigar y diagnosticar las incidencias.
o Asignar y escalar las incidencias a los grupos de resolución correspondientes.
o Seguimiento de la incidencia durante todo su ciclo de vida e informe
o oportuno a los usuarios del estado de atención hasta el cierre del ticket.
o Escalamiento según niveles establecidos cuando sea necesario.
o Contactar con los usuarios para su atención, seguimiento e informe hasta el
cierre del ticket.
o Atención y seguimiento de incidencias mayores (masivas o críticas para el
negocio) hasta la resolución, incluye conformidad del usuario y documentación
de solución.
GESTIÓN DE REQUERIMIENTOS
Tiene como objetivo atender los requerimientos de los usuarios proporcionándoles
información y acceso a recursos informáticos y servicios locales y globales de APM
TERMINALS CALLAO, servicios estándar de la organización desde un único punto de
contacto para los usuarios, con la finalidad de atender sus solicitudes definidas en el
alcance del presente documento.
Las funciones de la gestión serán:
• Proporcionar un único canal de comunicación a través del cual los usuarios
puedan ingresar requerimientos informáticos, aprobados por sus respectivas
áreas.
• Informar a los usuarios sobre la disponibilidad de los servicios y los
procedimientos para acceder a ellos.
• Registrar los requerimientos, tomando en consideración las prioridades de
atención según los tipos de usuario y servicios (Vips y Estándar).
• Capacidad para utilizar apropiadamente el Catálogo de Servicios.
Página 125
• Seguimiento de las aprobaciones según procedimiento establecido por APM
TERMINALS CALLAO.
Proveer un canal para que los usuarios puedan realizar consultas acerca del
estado de sus solicitudes.
Distribuir los recursos informáticos o servicios solicitados, bajo los estándares
de procedimiento de entrega.
• Cumplimiento de los tiempos de entrega asumidos para el servicio.
• Conformidad de la atención de parte del usuario.
• Cierre de los requerimientos.
GESTIÓN DE NIVELES DE SERVICIO
Garantizar que se mantenga y mejore continuamente los servicios brindados a los
usuarios de APM TERMINALS CALLAO mediante la formalización, capacitación
constante, seguimiento, control, retroalimentación, monitorización e informando
acerca del rendimiento de los servicios. Los objetivos serán:
• Definir, documentar, acordar, monitorear, medir, comunicar y ejecutar una
revisión del nivel de servicio para mejorar los niveles de satisfacción del
usuario.
• Realizar una revisión bimestral del Catálogo de Servicios.
• Establecer una comunicación efectiva con el equipo de Help Desk y los
involucrados en el servicio (especialistas, Help Desk Global y proveedores).
• Garantizar que se desarrollen objetivos del servicio.
• Asegurar que se cumplan los niveles de servicio.
• Control y seguimiento de cumplimiento de SLA del servicio.
• Control y seguimiento del cumplimiento de SLA con Proveedores.
• Generar informes mensuales de Gestión para la Gerencia, con la presentación
de estadísticas del servicio, cumplimiento de SLAs, resumen de inventario de
equipamiento, recomendaciones y conclusiones.
A fin de establecer un servicio eficiente y que mejore en el tiempo, se el servicio
contará con:
• Informes sobre la calidad del servicio y los Planes de Mejora de Servicio
mensualmente.
Página 126
• Documentación en base a las atenciones del servicio de 1er y 2do Nivel.
• Revisión mensual de la documentación generada (instructivos y
procedimientos).
• Capacitación constante al personal del servicio para una atención técnica
adecuada.
• Encontrar puntos de mejora del servicio.
• Resolver quejas, en caso estas existan, sobre el servicio prestado.
GESTIÓN DE PROBLEMAS
Controlar el ciclo de vida de los problemas que conlleva el servicio (1er y 2do Nivel).
Con el objetivo de prevenir las incidencias y minimizar el impacto de aquellas
incidencias que no puedan prevenirse. A partir del análisis de los registros de
incidencias y datos de los procesos de Gestión del Servicio, se pueden identificar
tendencias o problemas significativos.
Las funciones de la gestión serán:
• Identificación y Categorización de Problemas de manera adecuada.
• Diagnóstico y Resolución de Problemas.
• Control y seguimiento de Problemas y Errores a fin de introducir medidas
correctivas cuando sean necesarias.
• Cierre y Evaluación de Problemas; asegurar que, tras la solución exitosa de un
problema, haya una descripción histórica completa en el registro del problema
y que se actualicen los registros de errores conocidos.
• Revisión de Problemas Graves con la finalidad de prevenir su recurrencia y
aprender lecciones para el futuro.
• Informes de Gestión de Problemas.
GESTIÓN DE LA CONFIGURACIÓN
Las funciones del servicio serán:
• Establecer y actualizar periódicamente la Base de Datos de Configuración.
• Llevar el control de todos los elementos de configuración del servicio con el
adecuado nivel de detalle y gestionar dicha información a través de la Base de
Datos de Configuración.
Página 127
• Proporcionar información precisa sobre la configuración TI a todos los
diferentes procesos de gestión.
• Interactuar con las Gestiones de incidencias, problemas y cambios de manera
que estas puedan resolver más eficientemente las incidencias, a fin de
encontrar rápidamente la causa de los problemas, realizar los cambios
necesarios para su resolución y mantener actualizada en todo momento la
CMDB (Base de Datos de la Gestión de Configuración).
• Monitorizar periódicamente la configuración de los servicios y contrastarla con
la almacenada en la CMDB para subsanar discrepancias.
GESTIÓN LOGISTICA
Las funciones a cubrir en la gestión logística es la siguiente:
• Actualizar el inventario de hardware y software, registrando los movimientos
(altas, bajas, cambios, reasignaciones) de; desktops, laptops, Impresoras,
ticketeras, equipos móviles (Celulares, iPhone, Tetra), equipos telefónicos,
dispositivos de Internet móvil, equipos de control de acceso, seguridad, redes,
servidores y Equipos PSION (equipos recolectores de datos).
• Control de los Almacenes de IT, ingresos y salidas de equipos y materiales.
• Control documentario, registro de documentos de PROVEEDOR (guías de
remisión, facturas, órdenes de compra, constancias, credenciales, formatos, IT
Form Request, etc.).
• Registro de evolución de pagos periódicos (Servicios).
• Gestión de la factura desde la recepción en IT, hasta la derivación a Finanzas.
• Control de préstamo de equipos.
• Control de suministros de insumos para impresoras (seguimiento de niveles,
gestión con PROVEEDOR, etc.)
• Escalamiento y seguimiento a proveedores por garantía o mantenimiento de
equipos.
Página 128
Anexo 4. Política de continuidad de servicio
POLÍTICA DE CONTINUIDAD DE NEGOCIO
El presente documento es propiedad de las entidades legales dentro del Grupo A. P. Moller
– Maerk (también conocido como “APMM”) y es para uso exclusivo del personal de APMM.
Éste documento no deberá afectar legalmente cualquier relación o confiabilidad de APMM
con cualquiera de nuestros colaboradores o terceros, los cuales tienen permitido usarlo como
guía.
APMM no se responsabilizará por información técnica o editorial por errores de omisión de
éste documento; ni por ningún daño causado por dicha acción, incluido, pero no limitado a:
daño directo, accidental o consecuente resultado del uso por directivos, gerentes, empleados,
agentes, representantes, dueños u otros allegados a APMM. Copyright © Maersk Group.
Derechos reservados.
Página 129
Política de continuidad de servicio
Resumen de política
El presente documento define las reglas estipuladas para el manejo de continuidad de negocio
dentro de APMM.
ROLES
Patrocinador Persona encargada de la estrategia operativa, financiera y de
transformación.
Dueño Gestor del programa de continuidad.
Encargado Gerente del área
Monitoreo La política de continuidad debe ser revisada cuando exista la necesidad
de cambiar el proceso vigente para la operatividad del negocio, sin
embargo, es recomendable validar el plan anualmente para realizar los
cambios pertinentes.
CONTROL DE DISTRIBUCIÓN
Método Empelados y colaboradores Externos
Intranet N/A N/A
Correo Correos internos exclusivamente Encriptado
Dispositivos extraíbles Encriptado Encriptado
Impresión No es controlado una vez impreso Sobre sellado
Página 130
CONTROL DE VERSIONES
Versión Fecha Autor Descripción
1.0 11 Feb 2018 Alberto Yufra Documento publicado
Contenido
1 - Introducción ................................................................................................................. 131
2 - Alcance ........................................................................................................................ 131
3 - Objetivos ...................................................................................................................... 131
4 - Principios Generales .................................................................................................... 131
4.1 Definición de Manejo de Continuidad de Negocio ............................................... 132
4.2 Programa de continuidad de negocio .................................................................. 132
5 - Implementación ........................................................................................................... 132
6 - Referencias de control ................................................................................................. 133
7 - Documentos relacionados ............................................................................................ 133
Página 131
1 - Introducción
Maersk Line tiene la responsabilidad con sus inversionistas y clientes de cumplir con los
estándares de planeación para la continuidad de negocio, objetivos clave del negocio y los
acuerdos con nuestros clientes se cumplen a través del mantenimiento de las operaciones
críticas en línea con los objetivos del negocio durante contingencias. Dichas
responsabilidades recaen en las obligaciones de la gerencia para asegurar que las
operaciones del negocio continúen.
2 - Alcance
Ésta política, es un resumen de los procedimientos estándar a aplicar por todos los
empleados, colaboradores y agentes de organizaciones externas que trabajen en el área de
soporte.
3 - Objetivos
El principal objetivo de tener un sistema de manejo de continuidad de negocio (BCMS por sus
siglas en inglés) es permitir a Maersk Line un manejo continuo de las operaciones de negocio
bajo circunstancias adversas, por medio de la introducción de un programa apropiado en el
cual se describen estrategias, objetivos de recuperación, continuidad del negocio,
recuperación durante desastres, consideraciones de los riesgos en el manejo de operación y
planes para el manejo de crisis.
4 - Principios Generales
Maersk Line debe soportar un sistema de manejo de continuidad de negocio (BCMS) para:
• Proteger la imagen, información y recursos de Maersk Line.
• Cumplir con la normatividad aplicable, aseguradoras, y prácticas de negocio éticas.
• Apoyar y estar en cumplimiento con la estrategia táctica de continuidad de negocio.
Página 132
• Minimizar el impacto de un cese en las operaciones del negocio para nuestros
clientes, colaboradores, inversionistas o empleados a quienes se les brinda un
servicio.
4.1 Definición de Manejo de Continuidad de Negocio
Manejo de continuidad de negocio está definido un proceso integral que identifica los
impactos potenciales que amenazan a la organización. También proporciona un
marco de trabajo para la construcción de capacidad de resiliencia para una respuesta
efectiva, salvaguardando los intereses de nuestros inversionistas, reputación y el valor
de las actividades del negocio.
4.2 Programa de continuidad de negocio
Maersk Line debe establecer y mantener un programa de continuidad de negocio que
incluya lo siguiente:
• Implementar un amplio programa de continuidad que incluya roles formales,
responsabilidades y requerimientos principales incluidos la medición y reporte
de la efectividad del programa generalmente.
• Implementar un programa de supervisión que asegure la continuidad
requerida con documentación y ejercicios completos para la identificación de
problemas y disminuir el riesgo organizacional, cumpliendo ese modo con las
obligaciones regulatorias por la junta directiva.
• Identificar e implementar estrategias basadas en la mitigación de riesgos para
resolver puntos de riesgo y otras cosas que expongan la continuidad de
negocio.
5 - Implementación
Con el objetivo de que Maersk Line mantenga estándares de trabajo alto y una buena
reputación, cada persona debe asumir responsabilidad por sus acciones y reaccionar
apropiadamente en caso de que alguna acción estuviese desalineada a las políticas de
Maersk Line u otros estándares de negocios. EL incumplimiento o sospechas de
incumplimiento a las políticas de Maersk Line deberán ser consultados con el gerente del
Página 133
área en cuestión. En caso de no ser apropiado en esas circunstancias, deberá reportarse al
gerente de otra área, el equipo de Recursos Humanos local, el equipo legal o por medio del
sistema “Whistle-blower”. El Incumplimiento a las políticas de Maersk Line puede genera
sanciones disciplinarias.
Maersk Line tiene una política de confidencialidad con sus empleados y no se tolerará
ninguna represalia en contra de cualquiera que, de Buena fe, reporte una infracción de la
política o reglas de Maersk Line.
6 - Referencias de control
Estándar Controles
ISO 22301:2012 (Standard) Estándar completo.
ISO/IEC 27001:2013 (Standard) A17, A.17.1, (A.17.1.1, A.17.1.2, A.17.1.3)
Maersk Group - Commit Rule
(BCM)
BCM Commit Rule v1.1
7 - Documentos relacionados
Tipo Nombre del documento
Maersk Line Continuidad de
negocio, resumen y estándares
Maersk Line – Resumen de continuidad de negocio
Maersk Line – Estándares de continuidad de negocio
Recursos Internos BCM Commit Rule
BCM Mandatory Instructions
Recursos Externos ISO 22301:2012 (Standard)
ISO 22313 (Guidance to the Standard)
BCI Good Practice Guidelines (GPG) 2013 (Framework)
ISO/IEC 27001:2013 (Standard)
Página 134
Anexo 5. Plan de la continuidad del servicio de Mesa de ayuda
PLAN DE CONTINUIDAD DE SERVICIO
Página 135
HISTORIAL DE VERSIONES
Versión Implementado
por
Fecha de
Revisión
Aprobado
por
Fecha de
aprobación
Comentario
1 Alberto Yufra 02/15/2018 IT
Infrastructure
Supervisor
02/20/2018 Creación del
documento
Página 136
ACUERDO DE CONFIDENCIALIDAD
Este documento no deberá afectar legalmente cualquier relación o confiabilidad de APMM con
cualquiera de nuestros colaboradores o terceros, los cuales tienen permitido usarlo como guía.
APM no se responsabilizará por información técnica o editorial por errores de omisión de este
documento; ni por ningún daño causado por dicha acción, incluido, pero no limitado a: daño
directo, accidental o consecuente resultado del uso por directivos, gerentes, empleados, agentes,
representantes, dueños u otros allegados a APMM. Copyright © Maersk Group. Derechos
reservados
Página 137
Lista de actualizaciones
Nombre Teléfono Ubicación Fecha Fecha
actualización
Actualizado por
IT
Superviso
r
+5123388
77
APM
Terminals
Callao
02/15/2018 02/15/2018 IT Supervisor
Página 138
Tabla de Contenidos
1 INFORMACIÓN GENERAL 7
1.1 Visión general 7
1.2 Alcance 7
1.3 Programa de la política de la continuidad de servicio 7
1.4 Suposiciones del planeamiento 7
1.5 Objetivos 8
1.6 Análisis de riesgos 9
1.7 Resumen del análisis del impacto 11
1.8 Estrategia para la continuidad del servicio 11
1.9 Centro de Operaciones de Emergencia 11
1.10 Sitio alternativo 11
1.11 Resumen del plan de emergencia 12
2 INFORMACIÓN CRÍTICA 13
2.1 Lista de números del equipo 13
2.2 Lista de tareas 13
2.3 Acciones del equipo 14
2.4 Equipamiento Crítico 14
2.5 Lista de Software 15
2.6 Lista de consumibles 16
2.7 Lista de datos vitales 16
3 ADMINISTRACIÓN Y GESTIÓN DEL PLAN 17
3.1 Responsabilidades y equipos funcionales 18
3.2 Administración del plan de la continuidad 18
3.3 Concientización y entrenamiento 19
Página 139
3.4 Puesta en práctica 19
3.5 Mantenimiento del plan de continuidad 19
3.6 Aprobaciones del plan de continuidad 20
4 PLAN DE EJERCICIOS Y REPORTES 21
4.1 Metodología del plan de ejercicios de la continuidad 21
4.2 Desarrollo de los ejercicios 23
Página 140
1 Información general
1.1 Visión general
El presente plan de continuidad de servicio para la Mesa de ayuda que ejerce sus servicios en
la terminal portuaria del Callao. La información en este plan tiene la intención de guiar al servicio
durante algún desastre de tipo natural o causados por el hombre para que se pueda seguir la
normal operatividad. El primer capítulo incluye la información general del propósito, alcance,
objetivos y suposiciones usadas en el desarrollo de lo restante del plan. El primer capítulo,
también, incluye la revisión de riesgos, un resumen del impacto en el negocio, la estructura
organizacional, y la estructura del equipo de la continuidad de negocio.
1.2 Alcance
El alcance de este plan de la continuidad está limitada a las oficinas y área de soporte del terminal
portuario del Callao, muelles e instalaciones ubicadas en Contralmirante Raygada 111, Callao,
Perú.
1.3 Programa de la política de la continuidad de servicio
El principal objetivo de tener un sistema de manejo de continuidad de negocio (BCMS por sus
siglas en inglés) es permitir a Maersk Line un manejo continuo de las operaciones de negocio
bajo circunstancias adversas, por medio de la introducción de un programa apropiado en el cual
se describen estrategias, objetivos de recuperación, continuidad del negocio, recuperación
durante desastres, consideraciones de los riesgos en el manejo de operación y planes para el
manejo de crisis.
1.4 Suposiciones del planeamiento
El plan de continuidad está diseñado para manejar el peor escenario que las instalaciones o el
servicio pueda afrontar por un periodo de tiempo hasta cuatro semanas. El backup de la
información de la base de datos de la gestión de requerimientos e incidentes se realiza
diariamente alrededor de la media noche. Dichos backup son guardados en cintas físicas y
Página 141
enviados a un sitio externo para su almacenamiento la mañana siguiente. El área de operaciones
del servicio de Mesa de ayuda se encuentra en el tercer piso del edificio administrativo de las
instalaciones del puerto. El vehículo para el uso del servicio se encuentra operativo las 24 horas
del día. No existe horario predeterminado para realizar las funciones de gestión de
requerimientos o de incidentes del servicio.
1.5 Objetivos
Desarrollar la estructura de un plan de continuidad de servicio para gestionar un posible
desastre que pueda afectar al negocio.
Salvaguardar al personal del servicio.
Documentar información crítica requerida para la implementación del plan de continuidad.
Proveer los lineamientos para la empresa terminal portuaria del Callao para afrontar
mayores desastres.
Tener una recuperación de servicios dentro de las 72 horas después de un desastre
significativo.
Mantener las operaciones de primer punto de atención estables inclusive si las oficinas se
encuentran cerradas.
Mantener un mínimo nivel de servicio al cliente 24x7.
Página 142
1.6 Análisis de riesgos
Escala de probabilidad Impacto Escala de Control
1 – 2 – 3 – 4 – 5 1 – 2 – 3 – 4 – 5 1 – 2 – 3 – 4 – 5
Bajo…………………Alto Sin Impacto……Alto impacto Bueno………………Pobre
Escala de probabilidad: Las chances que un evento suceda.
Escala de impacto: El grado en que el evento afecta el servicio.
Escala de control: El grado de control se tiene para prevenir el evento.
Amenaza Escala de
probabilidad
Impacto Escala de
Control
Ideas para la mitigación
Tsunami 2 5 5 Simulacros, planes de evacuación
Terremoto 2 5 5 Simulacros, planes de evacuación
Sabotaje 2 3 1 Control perimetral, control de accesos y sistema de
alertas inmediata.
Disturbios civiles 2 2 2 Prevención de conflictos sociales, responsabilidad
social, mejora del ambiente laboral
Página 143
Robo/Vandalismo 4 2 1 Control perimetral, control de accesos, sistema de
alertas inmediata y control de activos.
Terrorismo 1 5 3 Plan de evacuación y de emergencia
Publicación de
información
confidencial
3 2 3 Prevención de pérdida de datos
Incendios 3 4 3 Simulacros, capacitación del uso de dispositivos
contra incendios.
Empleados
disconformes 4 1 4 Evaluación del clima laboral
Pérdida de
energía eléctrica 4 2 2
Validación y pruebas con fuentes de poder
alternativo
Pérdida de
comunicaciones 4 3 2
Validación y pruebas con los enlaces de
comunicación redundantes
Virus, malware,
ransomware o
ataque
cibernéticos
4 5 3 Instauración del comité de la seguridad
informática, capacitación
Página 144
1.7 Resumen del análisis del impacto
El impacto en el negocio se debe a que la interrupción en el servicio afecta a las áreas críticas del
negocio y su infraestructura informática. Las áreas críticas del negocio en donde se enfoca la
recuperación de atenciones del servicio de Mesa de ayuda son:
1. Área de operaciones de contenedores
2. Área de operaciones de carga general
3. Área de Seguridad, Salud y Medio Ambiente
4. Área de Facturación y cobranzas
5. Área Comercial y atención al cliente
6. Área Legal
1.8 Estrategia para la continuidad del servicio
En el evento que un desastre declarado afecte los servicios de Mesa de ayuda del terminal
portuario del Callao, las operaciones se mantendrán en las instalaciones al menos que se declare
lo contrario por la alta gerencia en el caso que el edificio administrativo no cuente con las
facilidades para el soporte. En dicho escenario es responsabilidad del supervisor del servicio
indicar si es que se puede mantener el servicio durante o después del desastre declarado. Se
debe hacer uso de los números de contacto y del personal autorizado por cada parte involucrada
en el servicio para las ordenes de comunicación.
1.9 Centro de Operaciones de Emergencia
Ubicación Calle Los Negocios 249, Surquillo
Nombre Instalaciones de Mesa de Ayuda
Teléfono de
Contacto
+512154530
Página 145
1.10 Sitio alternativo
Sitio alternativo Los Negocios 249
Contacto -
Teléfono +512154530
Almacenamiento
Offsite
Instalaciones de Iron Mountain
Contacto -
Teléfono +517114000
1.11 Resumen del plan de emergencia
En el evento declarado de desastre, las operaciones del servicio se verían sometidas a la facultad
de poder ejercer en el sitio del negocio (terminal portuario del Callao). En el caso de seguir las
operaciones, como primer paso es la evaluación de la necesidad de requerir mayor cantidad de
recursos humanos. Al evaluar la capacidad del personal en referencias a las tareas requeridas,
se procede al plan de acciones a realizar, incluyendo las fechas límites acordadas por este plan
para la recuperación de los servicios vitales, como la gestión de requerimientos, de incidentes y
de logística.
Página 146
2 Información crítica
2.1 Lista de números del equipo
Nombre Móvil Email
Service Desk
Supervisor
[Reservado] [Reservado]
Infrastructure
Supervisor
[Reservado] [Reservado]
IT Manager [Reservado] [Reservado]
Operations Manager [Reservado] [Reservado]
2.2 Lista de tareas
# Tarea Asignado Frecuencia Método
1 Identificar daños Equipo de Mesa de Ayuda Necesario Inspección física
2 Reporte de daños Supervisor del servicio Necesario Recopilación de datos
3 Contactar con las
áreas críticas para
recoger sus
necesidades de
soporte
Supervisor del servicio Necesario Reuniones entre áreas
Página 147
4 Comunicar estrategia
de trabajo
Supervisor del servicio Necesario Reunión de equipo
5 Comunicar actividades
e impacto del servicio
Supervisor del servicio Necesario Reporte frecuente
2.3 Acciones del equipo
Responsabilidades:
Comunicar las necesidades en cuestión de soporte informático.
Mantener la comunicación con la gerencia de cada área.
Hacer efectivo el plan de continuidad de negocio para cada una de sus áreas.
Tareas:
Brindar la lista de usuarios importantes para la pronta recuperación de servicios.
Brindar la lista de aplicativos necesarios para la operación vital del área.
Brindar la lista de hardware necesario para la respuesta y operatividad inmediata.
2.4 Equipamiento Crítico
Ítem Cantidad Fuente Costo/Ítem Total
Monitores 589 Inventario de Activos Informáticos $125 $73 625
Página 148
Desktop 557 Inventario de Activos Informáticos $950 $529 150
IP-Phone 294 Inventario de Activos Informáticos $60 $17 640
Radios 292 Inventario de Activos Informáticos $350 $102 200
Celulares 254 Inventario de Activos Informáticos $500 $127 000
Laptop 134 Inventario de Activos Informáticos $1200 $160 800
Tableta Vehicular 115 Inventario de Activos Informáticos $3250 $373 750
Handheld 68 Inventario de Activos Informáticos $1700 $115 600
2.5 Lista de Software
Nombre de Software Versión Propósito Contacto Teléfono/Email
Commtrac -
Control de las puertas
de ingreso para las
operaciones de Carga
General
IT Terminal Operation
Software Manager ithelpdesk@apmterminals.com
PASS -
Control de las puertas
de ingreso y salida para
las operaciones de
contenedores
IT Terminal Operation
Software Manager ithelpdesk@apmterminals.com
Página 149
Onguard - Control del sistema de
video vigilancia
IT Infrastructure
Supervisor ithelpdesk@apmterminals.com
MOST
Control del pesaje de
camiones para carga
general
IT Terminal Operation
Software Manager ithelpdesk@apmterminals.com
N4 Control del pesaje de
contenedores
IT Terminal Operation
Software Manager
2.6 Lista de consumibles
Ítem Cantidad Fuente
Accesorios y
periféricos
Depende de la demanda y presupuesto del área
solicitante. Compras y reporte de uso.
Cartuchos y tintas de
impresión
Depende de la demanda y presupuesto del área
solicitante. Compras y reporte de uso.
Pilas Depende de la demanda y presupuesto del área
solicitante. Compras y reporte de uso.
Cintas de Backup Depende de la demanda y presupuesto del área
solicitante. Compras y reporte de uso.
Baterías de radio de
comunicación
Depende de la demanda y presupuesto del área
solicitante. Compras y reporte de uso.
Página 150
2.7 Lista de datos vitales
Tipo Nombre Ubicación perenne Back-up? Ubicación Back-up Contacto
Documentos Registro de
Requerimientos
Oficina de Mesa de
ayuda SI IronMountain
IT
Infrastructure
Página 151
3 Administración y gestión del plan
El éxito de nuestro proceso de Planificación de Continuidad de Servicio está en gran medida en
manos de su coordinador. Él tiene la responsabilidad general de coordinar con los líderes del
equipo para diseñar, desarrollar, coordinar, implementar y administrar la capacitación, los
programas de concientización y la actualización y el mantenimiento del Plan de Continuidad del
Servicio.
El Coordinador es responsable de garantizar que ocurran las siguientes acciones (estas tareas
deben personalizarse para su organización y pueden delegarse a los miembros del equipo de
planificación):
• Proporcionar coordinación y gestión de proyectos.
• Realizar la evaluación de riesgos y mitigación según sea necesario.
• Realizar un análisis de impacto empresarial.
• Desarrollar y obtener la aprobación de la Estrategia de Continuidad.
• Desarrollar e implementar el Plan de Continuidad del Negocio.
• Crear, implementar y mantener los Programas de Concientización y Capacitación del plan.
• Desarrollar, mantener, coordinar, ejercitar y evaluar el plan.
• Desarrollar, mantener, coordinar, ejercer y evaluar planes para relaciones públicas y
coordinación de crisis.
• Asistir al Equipo de Dirección Ejecutiva durante una crisis / desastre según sea necesario.
Si esta responsabilidad se asigna a un individuo en función de las habilidades y la experiencia, se
debe proporcionar una carta formal de designación a ese individuo que describa las
responsabilidades y obligaciones. Si esta responsabilidad se asigna a un puesto específico, las
responsabilidades y los requisitos de calificación deben incluirse como parte del puesto escrito /
descripción del trabajo
Guía para el planeamiento del plan
La estrategia con respecto a la planeación de recursos del equipo humano de Mesa
de ayuda tiene como lineamiento las siguientes estrategias fundamentales, que se
aplicaran a la mayoría de escenarios de desastre:
Página 152
1. Asegurar la seguridad del personal, clientes y/o visitas.
2. Listar los servicios que responderán durante la emergencia local.
3. Asegurar y proteger los activos de la empresa y las oficinas.
4. Planificar las funciones especiales durante el desastre.
5. Recuperar la operatividad de las funciones en el tiempo planeado.
3.1 Responsabilidades y equipos funcionales
Las siguientes subsecciones describen cada uno de los roles de los equipos funcionales, así como
las responsabilidades en cuestión de preparación frente al desastre.
Pre-desastre:
1 Verificar el alcance de las políticas y planes.
2 Verificar el presupuesto requerido para poder accionar el plan en caso
de desastre.
3 Instruir al personal en cuestión del plan y acciones a proceder.
Post desastre:
1 Inspeccionar las oficinas e instalaciones para notificar cualquier
hallazgo que altera la operatividad del servicio.
2 Evaluar los daños a las instalaciones y los activos informáticos.
3 Desarrollar el reporte de daño.
4 Presentar el reporte a gerencia.
5 Asegurar el espacio de trabajo donde se ejecutará el servicio.
3.2 Administración del plan de la continuidad
Resumen
A nivel organizacional, el material y capacitaciones son dirigidas y aprobadas por el
departamento de Tecnología de Información, por lo que el equipo debe contar con la
Página 153
disponibilidad necesaria. La disponibilidad del equipo completo o parcial depende de
las disposiciones de la empresa y el cronograma de actividades de entrenamiento.
3.3 Concientización y entrenamiento
Actividad Frecuencia Oficina Materiales
requeridos
Comentarios
Orientación para
nuevo empleado
Cada vez
que ingrese
un nuevo
personal
Sala de
reuniones
Presentación,
proyector
La presentación debe
ser actualizada según
los lineamientos de la
mejora continua.
Reporte de
actividades
Semestral - - Se debe presentar un
resumen ejecutivo para
gerencia.
Informativos Al momento
de
capacitación
- Impresiones Campaña de
concientización que
debe incluir encuestas
3.4 Puesta en práctica
Según la disponibilidad, se recomienda que al menos 3 ejercicios se realicen al año.
Tipo Propósito Participantes Fecha(s)
Ejercicio guiado Familiarizar al
personal al plan de
continuidad
Todo el personal de
mesa de ayuda
Por definir
Simulacro post-
desastre
Ejercer los acciones y
evaluar el desempeño
Todo el personal de
mesa de ayuda
Por definir
3.5 Mantenimiento del plan de continuidad
El Coordinador es responsable del mantenimiento de este documento. Cuando se requieren
actualización, el coordinador debe establecer un calendario para las actualizaciones, asegurarse
Página 154
de que se completen las actualizaciones necesarias y distribuir los cambios a la Lista de
distribución al principio de este documento.
El plan se actualiza según sea necesario:
• en respuesta a cambios importantes en la organización, como mudanzas de oficinas,
cambios de número de teléfono, nuevos equipos o personal, jubilaciones, cambios de
tareas, nuevas líneas de productos y adiciones o eliminaciones de aplicaciones críticas o
procesos de fabricación;
• en respuesta a los cambios en los procesos de negocios revelados durante las
actualizaciones al Análisis de impacto de servicio;
• después de cada prueba de sitio alternativo para reflejar las recomendaciones
resultantes de las sesiones informativas de recapitulación posteriores a la prueba; y
• basado en las lecciones de ejercicio aprendidas y revisiones del plan anual.
Como las secciones del plan están actualizadas, las secciones revisadas se proporcionan a los
miembros del equipo y a los titulares de planes adicionales. Todos los participantes y los titulares
del plan son notificados de los cambios y se los alienta a revisar todos los cambios y actualizar
adecuadamente su copia del plan. Los cambios generalmente se distribuirán electrónicamente y
los titulares del plan imprimirán copias impresas para insertar en sus planes.
Además, el plan se actualizará en caso de que ocurra un desastre real. El plan será revisado y
actualizado en un momento conveniente después de que se hayan completado las respuestas
iniciales al desastre.
3.6 Aprobaciones del plan de continuidad
Revisión Firmante Fecha de
aprobación
02/18/2018 Alberto Yufra Tejerina 02/19/2018
Página 155
4 Plan de ejercicios y reportes
Los objetivos generales de un programa de ejercicios son:
• Crear un ambiente de aprendizaje para que todos los participantes aprendan sobre el plan
• Documentación de cambios y actualizaciones (incluidas omisiones) al plan.
4.1 Metodología del plan de ejercicios de la continuidad
El Plan de continuidad se puede verificar y validar utilizando cualquiera de las siguientes
metodologías:
• Ejercicio de mesa: personal clave que discute escenarios simulados en un entorno informal
• Ejercicio funcional: simula la realidad de las operaciones en un área funcional al presentar
problemas complejos y realistas.
• Ejercicio a escala completa: las operaciones reales en múltiples áreas funcionales presentan
problemas complejos y realistas que requieren pensamiento crítico, resolución rápida de
problemas y respuestas efectivas por parte de personal capacitado
• Simulacro: actividad coordinada y supervisada que generalmente se utiliza para probar una sola
operación o función específica.
Objetivos
Los objetivos generales de un ejercicio de plan de continuidad del negocio son:
• Determinar el estado de preparación de su plan para crear un entorno de aprendizaje para que
todos los participantes aprendan sobre el plan.
• Validar las listas de recursos: las personas y los inventarios son suficientes para efectuar la
recuperación de las operaciones comerciales y / o los servicios de TI según corresponda.
• Documentar cambios y actualizaciones (incluidas omisiones) al plan.
• Verificar que la información en el BCP esté actualizada y que refleje con precisión los requisitos
de la organización.
Página 156
Los ejercicios deben tener las siguientes características:
Específicos: ser precisos con lo que se quiere alcanzar.
Medibles: cuantificar los objetivos.
Alcanzables: evaluar si se está abarcando demasiado.
Realistas: validar si se tienen los recursos necesarios para alcanzar los objetivos, en cuestión de
materiales, gente, dinero, equipamiento, etc.
Tiempo: validar si se plantea un espacio de tiempo en donde los objetivos pueden ser cumplidos.
Se tienen las siguientes acciones con referencia a los ejercicios programados:
90 días antes
Determinar el presupuesto para el próximo ejercicio e identificar a las áreas
participantes del mismo.
45 a 30 días antes
Distribuir las invitaciones a los seleccionados e interesados en el tema.
Establecer una fecha de cierre de inscripciones para la participación de diferentes
proveedores que trabajan con el equipo de Mesa de ayuda.
30 a 10 días antes
Reservar las oficinas para la capacitación.
Determinar la mejor manera para la clasificación de personas que atenderán el
entrenamiento.
Terminar de armar la presentación y crear etiquetas con nombres.
Post-Ejercicio
Tener una sesión de revisión con los participantes.
Recolectar las formas, encuestas o fichas usadas en el ejercicio.
Formular las lecciones aprendidas y los siguientes pasos para dirigir los esfuerzos de
mejora.
Página 157
4.2 Desarrollo de los ejercicios
En la siguiente tabla se muestra el registro de ejercicios realizados previamente:
Tipo de Ejercicio Propósito Participantes Fecha(s)
Ejercicio guiado de
corte de
comunicación
Familiarizar al
personal al plan de
continuidad
Área de Tecnología de
información
Por definir
Simulacro post-
desastre de
denegación de
servicios totales
por causa de
desastres
naturales
Ejercer los acciones
y evaluar el
desempeño frente a
una crisis total.
Área de Tecnología de
información
Por definir
Simulacro de
caída de los
sistemas de
registros de
Requerimientos e
incidentes
Verificar el
procedimiento de
emergencia
Personal de Mesa de
Ayuda nivel 1 y 2, y su
supervisor
Por definir
Sabotaje a la base
de datos de los
activos
informáticos
Verificar el
procedimiento de
emergencia y de
registro alternativo
Personal encargado de
la logística de activos y
su supervisor
Por definir
Página 158
Anexo A: GLOSARIO DE CONTINUIDAD DEL NEGOCIO
Acuerdo recíproco: un acuerdo entre organizaciones con básicamente los mismos
procesos de negocios y / o hardware de procesamiento de datos que permite a una
organización continuar las operaciones de negocios para la otra en caso de desastre.
Actividades empresariales de misión crítica: las actividades operativas críticas y
/ o de apoyo empresarial (ya sea de forma interna o externa) requeridas por la organización
para lograr su (s) objetivo (s), es decir, servicios y / o productos.
Almacenamiento electrónico: la transmisión de transacciones de diario o registros
de datos a un sitio alternativo o almacenamiento externo mediante instalaciones de
telecomunicaciones.
Almacenamiento externo: una instalación de almacenamiento designada, que no
sea la instalación principal, donde se pueden almacenar registros vitales y documentos
críticos para uso de emergencia durante la ejecución del Plan de Continuidad de Negocios
de una organización.
Amenaza: un evento potencial que puede causar un riesgo de convertirse en una
pérdida. Las amenazas consisten en fenómenos naturales como tornados y terremotos e
incidentes causados por el hombre, como ataques terroristas, amenazas de bomba,
empleados descontentos y fallas en el suministro eléctrico.
Análisis de impacto empresarial: el proceso de desarrollo y distribución de un
cuestionario para determinar el impacto financiero y el impacto operativo en una organización
si sus oficinas comerciales y / o las instalaciones del centro de datos no están disponibles por
un tiempo prolongado (generalmente al menos un mes). El objetivo del BIA es proporcionar
un análisis a nivel de gestión que documente específicamente el impacto financiero diario y
el objetivo de tiempo de recuperación (RTO) para cada unidad de negocios y procesos
asociados.
Auditoría: un examen y evaluación exhaustivos del Plan de Continuidad del Negocio
de una organización y los procedimientos para verificar su exactitud y viabilidad.
BIA - Acrónimo para Análisis de Impacto Empresarial.
Cadena de suministro: el movimiento de los materiales a medida que fluyen desde
su origen hasta el cliente final. La cadena de suministro incluye compras, fabricación,
almacenamiento, transporte, servicio al cliente, planificación de la demanda, planificación de
suministros y gestión de la cadena de suministro. Está compuesto por las personas, las
Página 159
actividades, la información y los recursos involucrados en el traslado de un producto de su
proveedor al cliente.
Categorías de riesgo: los riesgos de tipos similares se agrupan bajo títulos clave,
también conocidos como "categorías de riesgo". Estas categorías incluyen reputación,
estrategia, finanzas, inversiones, infraestructura operativa, negocios, cumplimiento
normativo, subcontratación, personal, tecnología y conocimiento.
Centro de Operaciones de Emergencia (EOC, por sus siglas en inglés): un sitio
alternativo con suficientes capacidades de comunicaciones de voz y espacio de trabajo
utilizado para administrar los esfuerzos de recuperación iniciales, incluidas las notificaciones
de emergencia utilizando la Lista de llamadas del Plan de continuidad comercial. El EOC
puede ser inicialmente una ubicación temporal (por ejemplo, un hotel, un remolque) utilizado
por el equipo de administración para comenzar a coordinar las operaciones de recuperación
o puede ser el Sitio Frío, el Sitio Cálido o el Sitio Caliente designado para las operaciones de
recuperación.
Comunicaciones de datos: la transmisión de datos, generalmente en forma digital,
entre ubicaciones geográficamente separadas a través de sistemas de transmisión eléctricos
u ópticos públicos y / o privados. Contraste con las comunicaciones de voz.
Comunicaciones de voz: la transmisión de sonido a frecuencias dentro del rango de
audición humana que puede ser digital o analógica. Contraste con las comunicaciones de
datos.
Continuidad de negocios: la capacidad de una organización para brindar servicio y
soporte a sus clientes y mantener su viabilidad antes, durante y después de un evento de
continuidad de negocios.
Controles: un término generalmente asociado con la auditoría y definido como
procedimientos u otras medidas diseñadas para garantizar que los planes y sistemas
funcionen correctamente.
Controles de riesgo: todos los métodos para reducir la frecuencia y / o la gravedad
de las pérdidas, incluida la prevención de la exposición, la prevención de la pérdida, la
reducción de la pérdida, la separación de las unidades de exposición y la transferencia de
riesgo no asegurada.
Coordinador de Continuidad de Negocios (BCC): un miembro del Equipo de
Gestión Ejecutiva y / o el Equipo de Gestión de Crisis con la responsabilidad del desarrollo,
coordinación, capacitación, pruebas e implementación del Plan de Continuidad de Negocios.
Página 160
Crisis: un evento que amenaza la seguridad, integridad o instalaciones de una
organización y / o la seguridad de sus empleados. Una crisis puede ir desde la evacuación
de un edificio debido a una amenaza de bomba hasta un desastre a gran escala y fácilmente
reconocible. Para fines de planificación, una Crisis incluye, pero no se limita a, amenazas
climáticas severas u ocurrencias (nieve, tornados, etc.), planificación de la sucesión de la alta
gerencia, cortes de energía y comunicaciones, emergencias médicas, situaciones de
rehenes, amenazas de bombas, terremotos, elevadores atrapamientos, etc., además de un
desastre obvio y fácilmente reconocible.
Departamento: una entidad separada y discreta definida por cada organización o
empresa. Un departamento generalmente realiza una función o proceso comercial
específico. Ver también Unidad de Negocios.
Desastre: un suceso calamitoso repentino y no planeado que causa gran daño o
pérdida. En el entorno empresarial: cualquier evento que genere una incapacidad por parte
de una organización para proporcionar productos y / o servicios esenciales por un período de
tiempo indefinido.
Ejercicio: una oportunidad brindada para demostrar, evaluar y mejorar la capacidad
combinada y la interoperabilidad de los elementos para realizar las misiones y tareas
asignadas a los estándares necesarios para lograr resultados exitosos.
Tipos de ejercicios -
Simulacro: una actividad coordinada y supervisada que generalmente se utiliza para
probar una sola operación o función específica en una sola agencia. Los simulacros
se usan comúnmente para brindar capacitación en nuevos equipos, desarrollar o
probar nuevas políticas o procedimientos, o practicar y mantener las habilidades
actuales. Los atributos típicos incluyen lo siguiente: un enfoque estrecho, medido en
comparación con los estándares establecidos; Retroalimentación
instantánea; desempeño en aislamiento; Ambiente realista.
Ejercicio de escala completa (FSE, por sus siglas en inglés): una actividad de
múltiples organismos, múltiples jurisdicciones y múltiples organizaciones que pone a
prueba muchas facetas de la preparación. Se centran en la implementación y el
análisis de los planes, políticas, procedimientos y acuerdos de cooperación
desarrollados en ejercicios basados en debates y perfeccionados en ejercicios
anteriores, más pequeños, basados en operaciones. En los FSE, la realidad de las
operaciones en múltiples áreas funcionales presenta problemas complejos y realistas
que requieren pensamiento crítico, resolución rápida de problemas y respuestas
Página 161
efectivas por parte de personal capacitado. Durante los FSE, los eventos se proyectan
a través de un escenario de ejercicio con secuencias de comandos con flexibilidad
incorporada para permitir que las actualizaciones impulsen la actividad. Los FSE se
realizan en un entorno estresante en tiempo real que refleja fielmente los eventos
reales.
Ejercicio funcional (FE): una actividad diseñada para probar y evaluar capacidades
individuales, funciones múltiples, actividades dentro de una función o grupos
interdependientes de funciones. Los eventos se proyectan a través de un escenario
de ejercicio con actualizaciones de eventos que impulsan la actividad en el nivel de
gestión. Una FE simula la realidad de las operaciones en un área funcional al
presentar problemas complejos y realistas que requieren respuestas rápidas y
efectivas por parte de personal capacitado en un ambiente altamente estresante.
Ejercicio de mesa (TTX): una actividad que involucra a personal clave que discute
escenarios simulados en un entorno informal. Este tipo de ejercicio puede usarse para
evaluar planes, políticas y procedimientos o para evaluar los sistemas necesarios para
guiar la prevención, respuesta y recuperación de un incidente definido. Los TTX
generalmente tienen como objetivo facilitar la comprensión de conceptos, identificar
fortalezas y deficiencias, y lograr cambios en la actitud. Se alienta a los participantes
a discutir temas en profundidad y desarrollar decisiones a través de la resolución de
problemas a un ritmo lento, en lugar de tomar decisiones rápidas y espontáneas que
se producen en condiciones de emergencia reales o simuladas.
EOC - Acrónimo de Centro de Operaciones de Emergencia.
Equipo: un grupo de individuos asignados a trabajar juntos para realizar una función
específica en el Plan de Continuidad del Negocio. Un equipo está formado por un líder de
equipo, un líder de equipo alternativo y miembros del equipo. El Líder del equipo es
responsable de la finalización exitosa de todas las tareas asignadas (Ver Lista de tareas) a
un Equipo.
Equipo de gestión ejecutiva: un equipo de personal directivo superior con la
capacidad de comprometer fondos y tomar decisiones en nombre de la organización.
Equipo de proyecto: un grupo de personas que representan áreas organizativas
clave que trabajan juntas y siguen las responsabilidades documentadas para el diseño,
desarrollo e implementación de un plan de continuidad empresarial.
Página 162
Estación de trabajo: un área de trabajo para una sola persona que generalmente
incluye mobiliario de oficina (por ejemplo, un escritorio), equipo de cómputo (por ejemplo, una
PC), un teléfono y una papelera.
Estrategia de Continuidad de Negocios: un curso de acción aprobado,
documentado y financiado por la administración que se utilizará en el desarrollo e
implementación del Plan de Continuidad de Negocios de una organización.
Evaluación / análisis de riesgos: proceso de identificación de riesgos para una
organización, evaluación de las funciones críticas necesarias para que una organización
continúe las operaciones comerciales, define los controles establecidos para reducir la
exposición de la organización y evalúa el costo de dichos controles. El análisis de riesgos a
menudo implica una evaluación de las probabilidades de un evento en particular.
Evaluación de daños / Equipo de recuperación: un grupo capacitado de personal,
formado por representantes de seguridad, instalaciones y TI, que, tras la notificación del
Equipo de seguridad de que es seguro volver a ingresar a la instalación, ingresa a la
instalación o centro de datos dañado para evaluar y documentar daños a la estructura,
infraestructura, equipo y mobiliario. Además, identifican los activos que pueden eliminarse del
sitio y recuperarse mediante reparaciones, renovaciones o limpieza para su reutilización. Esta
información, junto con las recomendaciones para la acción, se compila en un informe y se
presenta al Equipo de Gestión Ejecutiva.
Funciones críticas: funciones comerciales esenciales que son sensibles al tiempo
y deben restaurarse primero en caso de un desastre o interrupción para evitar impactos
financieros u operativos inaceptables para garantizar la capacidad de proteger los activos de
la organización, satisfacer las necesidades de la organización y cumplir con las regulaciones.
Función de negocios: una función o proceso separado y discreto realizado por una
unidad de negocios. Por ejemplo, la unidad de negocios de contabilidad en una organización
más pequeña puede incluir cuentas por pagar y cuentas por cobrar como funciones de
negocios, mientras que una organización más grande puede tener unidades de negocios
separadas que realizan estas funciones de negocios.
Gestión de proyectos: el desarrollo, la planificación, la organización y la gestión de
tareas y recursos para lograr un objetivo definido, como un Plan de Continuidad de Negocios,
generalmente bajo restricciones de tiempo y costo.
Gestión de riesgos: la cultura, los procesos y las estructuras que se implementan
para gestionar con eficacia los posibles eventos negativos. Como no es posible o deseable
eliminar todos los riesgos, el objetivo es reducir los riesgos a un nivel aceptable.
Página 163
Hot Site: una instalación alternativa con equipo y recursos listos para usar para
recuperar las funciones empresariales críticas afectadas por un desastre. Los sitios calientes
varían según el tipo de instalaciones ofrecidas (como equipos de procesamiento de datos,
equipos de comunicaciones, energía eléctrica, etc.). Los proveedores comerciales suelen
proporcionar espacios / instalaciones independientes con suscripciones mensuales para
recuperar las operaciones de las unidades de negocios y las operaciones informáticas. Véase
también Cold Site y Warm Site.
HVAC - Siglas de calefacción, ventilación y aire acondicionado.
Impacto financiero: un impacto tangible, medido en dólares y generalmente negativo,
como resultado de la falta de disponibilidad de la oficina de negocios de una organización y /
o las instalaciones del centro de datos. Los impactos financieros generalmente se informan
durante un Análisis de impacto empresarial (BIA) y generalmente se estiman a diario. Ver
también Impacto Operacional.
Impacto operativo: un impacto intangible que resulta de la falta de disponibilidad de
la oficina de negocios de una organización y / o las instalaciones del centro de datos. Un
impacto operacional no se puede cuantificar en dólares, pero puede ser crítico debido a su
efecto en una organización. Los ejemplos de impactos operativos incluyen, entre otros, el
servicio al cliente, la confianza de los accionistas, la imagen de la industria, la regulación, la
información financiera, la moral de los empleados, las relaciones con los proveedores, el flujo
de efectivo (que no se puede cuantificar) y los aumentos de responsabilidad. Los impactos
operacionales generalmente se informan durante un Análisis de impacto empresarial (BIA) y,
por lo general, se estiman en una escala arbitraria, como 1-5, donde el mayor número
representa el impacto más grave. Ver también Impacto Financiero.
Infraestructura: las instalaciones e instalaciones de soporte básicas de las que
depende la continuidad y el crecimiento de una comunidad o empresa, como centrales
eléctricas, suministros de agua, sistemas de transporte y sistemas de comunicaciones, etc.
La infraestructura de una empresa incluye la planta física y los servicios públicos necesarios
para lo operaciones esenciales.
Instalación de recuperación móvil (MRF, por sus siglas en inglés): un lugar cálido
y móvil, normalmente un gran remolque de un proveedor comercial, que se puede transportar
a una ubicación predeterminada para que el equipo necesario pueda obtenerse e instalarse
cerca de la ubicación original. Dependiendo del proveedor, un MRF puede estar disponible
en una "oficina de negocios" y una configuración de "centro de datos".
Página 164
Inventarios: listas específicas de artículos requeridos para el Plan de continuidad del
negocio que incluye la Lista de clientes con información de contacto, Lista de equipos (con
Lista de proveedores e información de contacto), Lista de suministros (con Lista de
proveedores e información de contacto), Lista de software (con Lista de proveedores e
información de contacto), lista de telecomunicaciones (con lista de proveedores e información
de contacto), lista de registros vitales (con ubicación de registros vitales). Consulte el artículo
de inventario específico (que se muestra en cursiva) para obtener información adicional.
IT - Acrónimo de Tecnología de la Información. Un departamento o unidad de
negocios que proporciona soporte de sistemas informáticos a una organización o empresa.
LAN - Acrónimo de red de área local.
La cartera - Una medida de la obra inacabada en horas o días.
Lista de clientes: una lista de inventario de todos los clientes principales, incluidos el
nombre, la dirección, el número de teléfono y el contacto (si es necesario), que deben
notificarse durante la recuperación de una unidad de negocios o de una compañía
completa. La Lista de Clientes es una parte esencial del Plan de Continuidad del Negocio de
una organización. Es una buena práctica tener una lista de inventario completa de TODOS
los clientes existentes compilados para una organización.
Lista de equipos: una lista de todos los equipos y proveedores asociados necesarios
para la recuperación de una unidad de negocios o de una compañía completa. El equipo
incluye, entre otros, máquinas de fax, impresoras, sistemas informáticos, monitores, cables,
escáneres, hardware de procesamiento de correo, etc. La Lista de equipos es una parte
esencial del Plan de Continuidad de Negocio de una organización. Es una buena práctica
tener una lista de inventario completa de TODOS los equipos existentes compilados y
utilizados por una organización.
Lista de llamadas: una lista de todos los miembros del equipo y sus números de
teléfono (hogar, trabajo, celular, buscapersonas, etc.) en un Plan para el Plan de Continuidad
del Negocio.
Lista de proveedores: una lista de inventario de todos los proveedores primarios
(proveedores), incluidos el nombre, la dirección, el número de teléfono y el representante del
proveedor (si es necesario), que brindan un servicio o producto esencial requerido para la
recuperación de una unidad de negocios o de una compañía completa. La Lista de
proveedores es una parte esencial del Plan de continuidad del negocio de una
organización. Es una buena práctica tener una lista de inventario completa de TODOS los
proveedores existentes compilados y utilizados por una organización.
Página 165
Lista de registros vitales: una lista de inventario que contiene el nombre y la
ubicación externa de los registros vitales (ver Registro vital) necesarios para la recuperación
de una unidad de negocios o de una compañía completa. La Lista de Registros Vitales es una
parte esencial del Plan de Continuidad de Negocios de una organización.
Lista de software: una lista de inventario de todos los proveedores de software y
asociados (ver Lista de proveedores) que se requiere para la recuperación de una unidad de
negocios o de una compañía completa. La Lista de Software es una parte esencial del Plan
de Continuidad del Negocio de una organización. Es una buena práctica tener una lista de
inventario completa de TODO el software existente compilado y utilizado por una
organización.
Lista de suministros: una lista de inventario de todos los suministros y proveedores
asociados que se requieren para la recuperación de una unidad de negocios o de una
compañía completa. Los suministros incluyen, entre otros, formularios (p. Ej., Control de
existencias), sellos especiales de goma, bolígrafos, lápices, papel, clips, grapadoras, etc. La
Lista de suministros es una parte esencial del Plan de Continuidad de Negocios de una
organización. Es una buena práctica tener una lista de inventario completa de TODOS los
suministros existentes compilados y utilizados por una organización.
Lista de tareas: una lista de todas las tareas, generalmente en forma de lista de
verificación, que debe realizar un equipo para recuperar una parte específica de una
organización, función empresarial y / o unidad de negocio. La Lista de tareas es una parte
esencial del Plan de Continuidad de Negocios de una organización.
Lista de telecomunicaciones: una lista de inventario de todos los circuitos de
comunicaciones de voz y datos que se requieren para la recuperación de una unidad de
negocios o de una compañía completa. La Lista de Telecomunicaciones es una parte esencial
del Plan de Continuidad del Negocio de una organización. Es una buena práctica tener una
lista de inventario completa de TODOS los circuitos de telecomunicaciones existentes
compilados y utilizados por una organización.
Mantenimiento del plan: el proceso de administración para mantener los Planes de
Administración de Continuidad del Negocio de una organización actualizados y efectivos. Los
procedimientos de mantenimiento son parte de este proceso para la revisión y actualización
de los planes de BC en un horario definido.
Medidas preventivas: controles dirigidos a disuadir o mitigar la ocurrencia de eventos
indeseables.
Página 166
Mitigación de desastres: acciones, planes y actividades para reducir o eliminar los
efectos de un desastre en las operaciones comerciales y / o del centro de datos.
Mitigar: hacer o volverse más suave, menos severo o menos doloroso.
Módem: acrónimo de modulador / demodulador, un dispositivo que convierte señales
analógicas en señales digitales y viceversa, generalmente en circuitos de comunicaciones de
voz.
Objetivo de punto de recuperación (RPO): la medida de cuánta pérdida de datos,
en horas o días, es aceptable para una organización. El punto en el tiempo en el que TI debe
restaurar y sincronizar los datos de copia de seguridad (por ejemplo, las cintas de copia de
seguridad) para reanudar el procesamiento. La mayoría de las organizaciones de TI suelen
tener un RPO de al menos -1 día (–24 horas) porque las copias de seguridad generalmente
se realizan diariamente (generalmente por la noche) y se transportan a un almacenamiento
externo temprano al día siguiente. El mejor RPO es cero (0), lo que básicamente significa que
todos los sistemas informáticos afectados utilizan tecnología de "duplicación" (copia de datos
/ transacciones en tiempo real) para copiar simultáneamente todos los datos / transacciones
entrantes a otro sistema idéntico en una ubicación remota que sea lo suficientemente remota
desde el sitio primario.
Objetivo de tiempo de recuperación (RTO): el período de tiempo durante el cual los
sistemas, aplicaciones o funciones deben recuperarse después de una interrupción (por
ejemplo, un día hábil). Los RTO a menudo se utilizan como base para el desarrollo de
estrategias de recuperación y como un factor determinante para implementar o no las
estrategias de recuperación durante una situación de desastre.
El RTO tiene cinco (5) componentes:
(1) El tiempo antes de que se declare un desastre (ver Plan de Escalamiento);
(2) El tiempo requerido para activar el Plan de Continuidad del Negocio;
(3) El tiempo requerido para que la organización de TI restaure los sistemas informáticos;
(4) El tiempo requerido por una unidad de negocios afectada para realizar tareas asignadas
al punto en el que se pueden reanudar las operaciones comerciales, incluido el tiempo para
verificar que los datos de los sistemas informáticos restaurados sean precisos y estén
sincronizados con la última copia de seguridad disponible; y
(5) El tiempo para que cada unidad de negocios vuelva a ingresar / procesar todo el Backlog
(incluido el trabajo procesado manualmente, si corresponde) para llevar las operaciones del
negocio al estado actual.
Página 167
Pérdida: recursos comerciales irrecuperables que se ven afectados o eliminados
como resultado de un desastre. Dichas pérdidas pueden incluir pérdida de vidas, ingresos,
participación de mercado, estatura competitiva, imagen pública, instalaciones o capacidad
operativa. Ver también Impacto Financiero e Impacto Operacional.
Plan de continuidad comercial (BCP): proceso de desarrollo y documentación de
acuerdos y procedimientos que permiten a una organización responder a un evento que dura
un período de tiempo inaceptable y volver a realizar sus funciones críticas después de una
interrupción.
Plan de escalado: un plan que documenta los criterios de toma de decisiones,
generalmente basado en el Objetivo de tiempo de recuperación (RTO), para determinar si
una declaración de desastre y la implementación del Plan de continuidad del negocio es lo
mejor para la organización o empresa.
Plan de recuperación de desastres: el documento aprobado por la administración
que define los recursos, las acciones, las tareas y los datos necesarios para administrar el
esfuerzo de recuperación de tecnología. Generalmente se refiere al esfuerzo de recuperación
de la tecnología.
Planificación de contingencia: proceso de desarrollo de acuerdos y procedimientos
avanzados que permiten a una organización responder a un evento que podría ocurrir por
casualidad o por circunstancias imprevistas.
Planificación de continuidad del negocio: el proceso de desarrollo de planes y
procedimientos avanzados que permiten a una organización responder a un evento para que
las funciones comerciales críticas puedan continuar sin impactos financieros significativos o
inaceptables y / o impactos operativos.
Planificación de la reanudación de negocios - Ver Planificación de continuidad de
negocios.
Planificador de continuidad de negocios: un individuo responsable del diseño,
desarrollo y mantenimiento de un plan de continuidad de negocios.
POTS - Acrónimo de Plain Old TeleTeléfono Service.
Preparación para desastres: actividades, planes, programas y sistemas
desarrollados antes de un desastre que se utilizan para respaldar y mejorar la mitigación, la
respuesta y la recuperación ante desastres.
Página 168
Priorización: el ordenamiento de las actividades críticas y sus dependencias se
establecen durante la fase de planificación estratégica y BIA. Los planes de continuidad del
negocio se implementarán en el orden necesario al momento del evento.
Programa de continuidad del negocio: un enfoque integral y colaborativo para
proteger a una organización de amenazas y vulnerabilidades. Un programa sólido incorpora
planes específicos, como un Plan de Continuidad de Negocios, que aborda diferentes
aspectos del proceso de continuidad para asegurar que una organización pueda responder y
recuperarse de todos los peligros.
Programa de recuperación ante desastres: el proceso, las políticas y los
procedimientos relacionados con la preparación para la recuperación o la continuación de la
infraestructura tecnológica crítica para una organización después de un desastre natural o
provocado por el hombre. La recuperación de desastres es un subconjunto de la continuidad
del negocio.
Programa de recuperación de negocios: un programa diseñado para garantizar la
continuidad de los procesos de negocios de una organización mediante la documentación de
alternativas manuales y alternativas para que el trabajo de misión crítica pueda continuar en
caso de una pérdida del entorno de procesamiento de TI.
Proveedor de una sola fuente: la política de compra de utilizar un proveedor para un
componente o servicio en particular. El abastecimiento único puede resultar en una mayor
calidad y un mayor nivel de cooperación en el desarrollo de productos que el enfoque
tradicional occidental de abastecimiento múltiple. El abastecimiento único ha aumentado en
importancia, alentando relaciones más cercanas con un número menor de proveedores.
Punto de reunión inicial (IAP): una ubicación predefinida, como un estacionamiento,
el hotel o la casa de una persona, donde todos los líderes de equipos y miembros designados
pueden reunirse si las oficinas de negocios y / o el centro de datos de la organización no son
accesibles por cualquier motivo.
Recuperación: implementación de las acciones priorizadas requeridas para devolver
los procesos y las funciones de soporte a la estabilidad operativa después de una interrupción
o desastre.
Registro vital: un registro crítico de negocios requerido para recuperar y continuar las
operaciones comerciales de una organización. Esto puede incluir información de los
empleados, registros financieros y de accionistas, planes y procedimientos de negocios y el
Plan de Continuidad de Negocios. Los registros vitales pueden estar contenidos en una
Página 169
amplia variedad de medios, incluidos, entre otros, los electrónicos (que incluyen cinta, disco
y CD-ROM), copia impresa (normalmente papel), microfilm y microficha.
Red de área amplia (WAN): una red que conecta redes metropolitanas, de campus o
de área local geográficamente separadas a través de distancias más grandes, que
generalmente se realizan utilizando líneas de transporte comunes. Véase también la red de
área local.
Red de área local (LAN): una red de corta distancia utilizada para conectar
terminales, computadoras y periféricos bajo una topología estándar, generalmente dentro de
un edificio o un grupo de edificios. Una LAN no utiliza operadores públicos para vincular sus
componentes, aunque puede tener una "puerta de enlace" fuera de la LAN que utiliza un
proveedor público. Véase también la red de área amplia.
Respuesta de emergencia: las actividades y planes iniciales diseñados para abordar
y mitigar los efectos inmediatos ya corto plazo de un desastre.
Requisitos de recursos: los recursos (por ejemplo, personas, equipos, suministros,
proveedores, telecomunicaciones, registros vitales) necesarios para la recuperación de una
unidad de negocios o de una compañía completa, según se documenta en el Plan de
Continuidad del Negocio.
Riesgo: potencial de exposición a la pérdida, que puede determinarse utilizando
medidas cualitativas o cuantitativas.
Riesgo operacional: el riesgo de pérdida resultante de procedimientos y controles
inadecuados o fallidos. Esto incluye la pérdida de eventos relacionados con la tecnología e
infraestructura, fallas, interrupciones del negocio, problemas relacionados con el personal y
eventos externos, como los cambios regulatorios.
Sitio alternativo: una ubicación alternativa, que no sea la instalación principal, que
está designada para uso de emergencia por el Centro de Operaciones de Emergencia (EOC)
de la organización, unidades de negocios para operaciones comerciales y / o servicios de
procesamiento de datos (IT) cuando la ubicación principal (s)) son inaccesibles.
Sitio frío: un sitio alternativo que consta de espacio que se puede configurar para
admitir la recuperación de unidades de negocios y / o las operaciones de recuperación del
centro de datos. Un Sitio Frío es básicamente "cuatro paredes" con acceso a los circuitos de
Comunicaciones de Voz y Comunicaciones de Datos y suficiente potencia eléctrica disponible
y HVAC para soportar las operaciones de recuperación. Un sitio frío puede o no tener piso
Página 170
elevado, y TODOS los muebles y herrajes deben entregarse, instalarse, conectarse y
probarse. También se puede llamar un sitio de Shell. Véase también Hot Site y Warm Site.
Unidad de negocio: una entidad organizativa separada y discreta que realiza una
función o proceso empresarial específico. Una unidad de negocios puede ser tan pequeña
como dos personas o tan grande como una compañía completa.
Tarifa de declaración: un cargo por única vez que normalmente se paga a un
vendedor comercial que proporciona una instalación de sitio alternativo (generalmente un sitio
caliente) en el momento en que se declara oficialmente un desastre.
Telecomunicaciones: un término general que se aplica a los datos analógicos o
digitales transmitidos (consulte también Comunicaciones de datos y Comunicaciones de voz)
por medios eléctricos, ópticos o acústicos a través de proveedores de comunicaciones
públicos o privados.
Transferencia de riesgos: una técnica común utilizada por los gestores de riesgos
para abordar o mitigar las posibles exposiciones de la organización. Una serie de técnicas
que describen los diversos medios de abordar el riesgo a través de seguros y productos
similares.
WAN - Acrónimo de Wide Área Network.
Warm site: un sitio alternativo que consta de espacio de oficina designado y / o
espacio de centro de datos que ha instalado el acceso a las comunicaciones de voz y datos
y está parcialmente equipado con interfaces de telecomunicaciones, como un sistema
telefónico de intercambio de sucursales privadas (PBX) y / o un enrutador. Un sitio cálido
generalmente está precableado para las comunicaciones de voz y datos, de modo que los
teléfonos, PC y otro hardware de computadora (por ejemplo, servidores) pueden, literalmente,
"conectarse" según sea necesario. Véase también Cold Site y Hot Site.
Anexo B: INSTRUCCIONES DE ANÁLISIS DE IMPACTO EMPRESARIAL
Página 171
Objetivo: Identificar los impactos de las interrupciones y los escenarios de desastre que
resultan en el acceso denegado a los servicios, edificios e instalaciones críticos.
Proceso:
Determina los servicios críticos.
Priorizar los servicios críticos.
Evaluar el impacto del acceso denegado a los espacios de trabajo normales.
Identifique los recursos necesarios para continuar las funciones críticas en un sitio
alternativo.
Determine sus prioridades e interdependencias de recuperación para poder
establecer los objetivos de tiempo de recuperación y los objetivos de punto de
recuperación.
Resultados:
Una lista priorizada de servicios de misión crítica.
Una lista de todos los equipos de apoyo, personal y registros vitales necesarios para
realizar sus funciones esenciales.
Un concepto de operaciones para volver a operar después de una interrupción del
negocio.
Definiciones:
Servicios de negocios: un servicio o proceso separado y discreto realizado por una unidad
de negocios. Por ejemplo, la unidad de negocios de contabilidad en una organización más
pequeña puede incluir cuentas por pagar y cuentas por cobrar como funciones de negocios,
mientras que una organización más grande puede tener unidades de negocios separadas
que realizan estas funciones de negocios.
Servicios críticos: Servicios comerciales esenciales que son sensibles al tiempo y deben
restaurarse primero en caso de un desastre o interrupción para evitar impactos financieros u
operativos inaceptables para garantizar la capacidad de proteger los activos de la
organización, satisfacer las necesidades de la organización y cumplir con las regulaciones.
Servicios de soporte: Servicios comerciales esenciales que se realizan de forma rutinaria
para que las operaciones comerciales se realicen sin problemas, pero no son críticas para
evitar pérdidas financieras inaceptables, satisfacer problemas de seguridad o satisfacer otras
necesidades de la organización.
Página 172
Acción:
1. Identificar a los Representantes del Área Funcional Informados
Estos son sus jefes de departamento y líderes de equipo. Estas personas realizan sus
procesos de negocio o tienen en el pasado. Saben lo que se requiere para completar con
éxito sus tareas.
2. Identificar las funciones de la organización, incluida la información y los recursos
(personas, tecnología, instalaciones, etc.)
Al identificar las funciones de la organización, es importante identificar y escribir qué
herramientas necesita (personas, materias primas, equipos, tecnología, etc.). La capacidad
de realizar una función depende no solo de la asignación de un cuerpo al trabajo, sino también
de todos los recursos que soportan la función. Por lo tanto, si una función requiere suministros
de oficina, inclúyalos en su lista. Si es fundamental que el personal permanezca en el lugar
durante todo su turno, asegúrese de incluir cosas como una sala de descanso totalmente
equipada.
3. Identificar y definir la prioridad de los criterios de criticidad
Ahora que ha identificado a sus expertos funcionales, sistemas, equipos, registros y
suministros que son necesarios para cumplir sus funciones críticas, debe determinar la
importancia de esas funciones. Es importante reconocer que no todas las funciones son
críticas o incluso necesarias en un entorno de crisis. Sus expertos funcionales deberían
realizar una lluvia de ideas para desarrollar una lista de criterios que se utilizan para
determinar la criticidad. La forma más fácil de hacer esto es dar a cada elemento de su lista
de criticidad un valor numérico. Esta es una forma sencilla de ver qué es lo más importante a
considerar acerca de una función y qué no lo es. Una vez que todas sus funciones se califican
según los criterios, las que tienen la puntuación más alta son las más críticas.
4. Revisión de la alta gerencia
Una vez que sus expertos funcionales hayan desarrollado su lista de criterios y asignado un
valor a cada uno, es importante para el proceso obtener la aprobación de los criterios y valores
por parte de la alta gerencia. Es posible que quieran agregar o restar criterios, o cambiar
valores. Con su comprensión de todo el proceso de negocios, pueden ver cosas a nivel macro
Página 173
que se han perdido, mientras que los expertos funcionales se han centrado estrictamente en
los procesos paso a paso.
5. Análisis de coordenadas
En este punto, usted y su equipo deben coordinar sus listas. Usted puede ser el jefe, pero si
desea que el plan funcione, necesita la participación de las personas con las que trabaja a
diario. Trabajar juntos para desarrollar una lista ordenada por rango de funciones críticas
ayuda a crear consenso y aceptación. Una vez que tenga cada una de las funciones
ordenadas por prioridad, el análisis continúa refinando el producto. Debe determinar si es
factible o no intentar realizar todas las funciones en un entorno de crisis, si el liderazgo quiere
delegar algunas funciones, si es necesario establecer un punto de corte que no vaya a
realizar a continuación si puede mantener su cadena de suministro para materiales críticos,
etc. Es probable que este proceso sea el paso más difícil del análisis. Todos consideran su
función una prioridad. Sin embargo, en una crisis que no siempre es posible. Igualmente,
importante en este proceso es determinar el personal, los sistemas, los registros, etc. que no
son esenciales y cómo los manejará.
6. Identificar las interdependencias (internas y externas a la organización)
Ahora que tiene una lista de prioridades, puede definirla y refinarla aún más examinando
dónde las funciones dependen de otras entidades tanto dentro como fuera de la
organización. Una vez que haya identificado las interdependencias, debe coordinar con esas
otras entidades para desarrollar un plan de apoyo para emergencias.
Finalmente, tiene su borrador final de lista de funciones, personal esencial, sistemas,
registros, suministros y otros equipos para realizar las funciones más esenciales de su
negocio. También ha desarrollado la información crítica que determinará su concepto de
operaciones en el entorno de crisis.
7. Definir los objetivos de restauración y los plazos
Hasta este punto, se ha centrado en qué y cómo funcionar durante una crisis. Continuar las
operaciones durante una crisis es un trabajo duro. Mantener las operaciones de recuperación
requerirá gran parte de su atención, ya que en el proceso a veces se olvida volver a las
operaciones normales. Ahora es el momento de decidir cómo volver a las operaciones
completas en un sitio permanente.
Este suele ser el paso más difícil. Mudarse a una nueva ubicación permanente puede requerir
operaciones en fases. La reconstrucción en su sitio actual puede requerir cambiar todas o
Página 174
parte de sus operaciones a instalaciones temporales. Es posible que no tenga los recursos
para realizar un movimiento o para comenzar a reconstruir de inmediato debido a la
naturaleza o magnitud de la emergencia. En esos casos, necesita cronometrar el
proceso. Sean cuales sean sus requisitos para volver a sus capacidades operativas
completas, deben identificarse aquí.
No escatime en esta área. Puede tener el mejor plan para las operaciones de crisis en el
mundo, pero si no puede hacer que sus instalaciones vuelvan a estar en plena capacidad en
un sitio permanente, finalmente ha fracasado. Recuerde que contará con la ayuda externa
del gobierno, las compañías de seguros, los servicios públicos y las empresas de
construcción, entre otros. Todos estos tendrán muchas demandas de atención en una
emergencia a gran escala.
Página 175
7.1 Formulario de análisis de impacto en el negocio.
Departamento:
Nombre:
Impacto en el negocio
La no operatividad de ésta unidad tendrá los siguientes efectos secundarios:
Catastrófico Moderado Menor
Comentarios:
¿Cuánto tiempo puede el negocio operar sin éste departamento?
Solo 1 Hasta 3
días
Hasta 7
días Hasta 1 mes Otro:
Comentarios: (Asume que las pérdidas que ocasione la falta de servicio de éste
departamento sean durante el punto máximo de operaciones.)
¿Éste departamento tiene alta demanda operativa por periodos? Si No
¿Cuándo?
Día:
Semana:
Meses:
¿Existe algún plan de contingencia en caso de que las
operaciones se vean interrumpidas? Si No
En caso positivo indicar cuál.
Página 176
Utiliza el siguiente código para responder el cuestionario:
A. Hasta $10,000 D. $1,000,000 - $10,000,000
B. $10,000 - $100,000 E. Arriba de $10,000,000
C. $100,000 - $1,000,000
Día 1 Día 3 Semana
1
Semana
2
Semana
3
La afectación de este departamento resultara
en pérdidas de multas, cargos, intereses,
penalizaciones, etc.
La afectación de este departamento resultara
en pérdidas de relación con nuestros clientes y
colaboradores.
La afectación de este departamento resultara
en multas por requerimientos legales locales o
nacionales.
La afectación de este departamento resultara
en ramificaciones legales debido a reglamentos
o contratos existentes.
Página 177
Anexo 6. Plan de recuperación de servicios
PLAN DE RECUPERACIÓN DEL SERVICIO DE MESA DE AYUDA
El presente documento es propiedad de las entidades legales dentro del Grupo A. P. Moller
– Maerk (también conocido como “APMM”) y es para uso exclusivo del personal de APMM.
Éste documento no deberá afectar legalmente cualquier relación o confiabilidad de APMM
con cualquiera de nuestros colaboradores o terceros, los cuales tienen permitido usarlo como
guía.
APMM no se responsabilizará por información técnica o editorial por errores de omisión de
éste documento; ni por ningún daño causado por dicha acción, incluido, pero no limitado a:
daño directo, accidental o consecuente resultado del uso por directivos, gerentes, empleados,
agentes, representantes, dueños u otros allegados a APMM. Copyright © Maersk Group.
Derechos reservados.
Página 178
1. OBJETIVO
Tener un plan de recuperación ante un evento crítico masivo el cual afecte la red
corporativa de APM Terminals Callao, así como la infraestructura tecnológica de las áreas
críticas y esenciales del negocio, con el fin de poder minimizar el tiempo de impacto y
mantener la continuidad de las operaciones.
2. ALCANCE
El alcance de recuperación aplica para todo el personal de TI de APM Terminals.
3. BASE LEGAL
No aplica.
4. RESPONSABILIDADES
Personal IT APM Terminals: Deberá reportar de forma inmediata a IT Help Desk
cuando se detecte el evento crítico el cual se encuentra afectando a toda el área.
IT Help Desk: Ejecutor del procedimiento de restauración del servicio.
5. DEFINICIONES
No aplica.
6. DESCRIPCIÓN DEL PROCESO
1. La notificación de la incidencia puede ingresar por dos canales:
Usuarios de APM Terminals.
Personal de IT.
Página 179
2. IT Helpdesk registrará el respectivo ticket en la herramienta Service Desk Aranda por
la incidencia, de no contar con dicha herramienta se usará el formato de registro de
ticket hasta su regularización en el sistema.
3. Soporte OnSite se desplazará hasta la ubicación del usuario para validar lo reportado.
4. Una vez confirmado el evento, el Soporte OnSite procederá a realizar las
coordinaciones respectivas para minimizar el impacto de área afectada.
5. Se validará con Logística la disponibilidad de los equipos operativos para su
implementación inmediata.
6. De no contar con el stock suficiente se procederá a comunicar al IT Infrastructure
Supervisor para la coordinación de alquiler de equipos con el proveedor.
7. Soporte OnSite preparara los equipos en laboratorio para que puedan ser entregados
al usuario.
8. Se realiza seguimiento de los equipos para evitar cualquier tipo de falla que pueda
presentarse dentro de las 48 horas.
9. IT Helpdesk procederá con el cierre del ticket generado.
7. REGISTROS
No aplica.
8. REFERENCIAS
No aplica.
Página 180
9. ANEXOS
Anexo 01: Flujograma de Recuperación Ante Un Evento Critico Masivo
10. CONTROL DE CAMBIOS
Versión 00.
Elaboración del documento.
Versión 01.
Elaboración del flujograma del procedimiento.
Página 181
Anexo 7. Procedimiento de contingencia para aplicaciones
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Procedimiento de contingencia para aplicaciones de Contenedores
Este documento contiene información de uso interno de propiedad de APM Terminals. Antes de utilizar alguna copia, verifique que la versión sea igual a la publicada en el módulo
drive del SGSI.
USO INTERNO
Página 182
1. Información del Documento
HISTORIA DEL DOCUMENTO
Nombre del Documento: Procedimiento de contingencia para aplicaciones de Carga de
contenedores
Creado por: APM Terminals Callao
Responsable del
Documento: Supervisor de Servicio
Fecha de la Creación 15/01/2018
CONTROL DE VERSIONES
Versión Fecha de Vigencia Aprobación Detalle
001 11/02/2018 Alberto Yufra Creación del documento. Primera
versión
Página 183
2. Objetivos.
Identificar el escenario de contingencia existente, con el fin de desarrollar una ficha
que contenga las actividades necesarias para recuperar el servicio afectado, que se
encuentran dentro del alcance del SGSI de APM Terminals.
3. Alcance del documento.
Se aplica al Sistema Pass GUI, considerado como un sistema crítico dentro del
Sistema de Gestión de Seguridad de la Información.
4. Servicio identificado como crítico
Sistemas Pass GUI
Descripción del Servicio
El sistema Pass GUI permite gestionar la carga de contenedores en el Terminal
Portuario:
- Control de exportación e importación de containers.
- Intercambiar información con N4 mediante mensajes EDI.
- Captura de imágenes de estado de containers.
- Automatización del proceso de ingreso y salida de containers.
Este servicio se ha agrupado en el Site Recovery Manager (SRM).
5. Riesgo
El riesgo de indisponibilidad del servicio crítico es el siguiente:
Activos de Información Riesgos Asociados
Sistemas Pass GUI Indisponibilidad de los servicios que
afectan la operatividad del negocio
Página 184
Activos de Información Riesgos Asociados
Falta de cumplimiento de acuerdos con
estado
Quejas de clientes
Disminución de productividad
Será considerado en la presente ficha de contingencia.
6. Responsabilidades
Personal APM – Comité de Contingencia
Son los responsables de la evaluación e impacto los cuales determinaran la
autorización de la activación de la contingencia y están compuestos por los siguientes
miembros.
COO
CCO
CFO
Head of IT
Personal APM y PROVEEDOR – Equipo de Recuperación IT
Son los responsables de restablecer de la ejecución de las acciones de contingencia,
los cuales están compuestos por los siguientes miembros.
Infrastructure Team
IT Infrastructure Supervisor. (Líder)
IT Infrastructure Specialists
Application Team
IT Application Supervisor (Líder)
IT Terminal Operating System Administrator.
IT ERP – IFS Administrator.
IT Applications Coordinator.
Página 185
Helpdesk Team
IT Helpdesk Coordinator. (Líder)
IT Helpdesk Team: Personal OUTSOURCING
7. Fichas de Contingencia.
ACTIVOS DE INFORMACIÓN AFECTADOS
Sistemas Pass GUI
RIESGO
Indisponibilidad de los servicios que afectan la
operatividad del negocio
Business Impact Analysis
Descripción BIA (¿Cuál es el impacto
de no dar el servicio?)
Una falla en los sistemas impactaría
operacionalmente de manera considerable.
Periodo crítico (meses, semanas,
días) Todos los días
7.1 Sección de Contingencia del Proceso
Roles y Responsabilidades en Contingencia
Responsabilidad Equipo
Responsable de ejecutar las acciones de recuperación
Infrastructure Team
Application Team
Página 186
Helpdesk Team
Responsable de activar el plan de contingencia Comité de Contingencia
Composición de los Equipos
Comité de
Contingencia Infrastructure Team Application Team Helpdesk Team
COO
CCO
CFO
Head of IT
IT Infrastructure Supervisor. (Líder)
IT Infrastructure
Specialists
IT Application
Supervisor (Líder)
IT Terminal Operating System Administrator.
IT ERP – IFS Administrator.
IT Applications
Coordinator.
IT Helpdesk
Coordinator. (Líder)
IT Helpdesk Team:
Personal
OUTSOURCING
Descripción de Actividades en Contingencia
La tarea será ejecutar la ficha de contingencia.
Recursos Provistos en Contingencia
Comunicado de corte de Servicios (Ver Anexo A)
Vcenter de Producción y Contingencia
Teléfono
VMware vSphere Client
Archivos:
Nombre del archivo: NAVIS Pass GUI
Actividades de Contingencia
1.1 Confirmación de activación de la contingencia
Enviada por el Head of IT, previamente autorizada por el comité.
Página 187
1.2 Envío de comunicado por activación de contingencia
El Coordinador de Servicios de IT realizara el envío del comunicado de corte de
servicios. Este correo será enviado a todo el personal de APM. El modelo del correo se
encuentra en el Anexo A.
1.3 Llamada a Usuarios de turno sobre activación de contingencia
El Responsable de Aplicaciones IT deberá comunicar telefónicamente a los usuarios
líderes de los servicios críticos sobre la activación del plan de contingencia.
Anexo: (Planning, Billing, Operaciones, Balanza y Comercial)
1.4 Activación del SRM
1.4.1 Conexión remota al Vcenter de CONTINGENCIA
Procederemos a conectarnos de manera remota al servidor virtual para la activación del
SRM
Usuarios y Password
1.4.2 Acceso al VMware vSphere Client (Icono)
Página 188
Deberán conectarse al cliente vSphere Client para poder ingresar al servicio del SRM
utilizando el Vcenter como puente de acceso.
1.4.3 Ingreso al ambiente del SRM
Cuando hayamos ingresado al Vcenter, podremos entablar comunicación con el servicio
de SRM
1.4.4 Validación de acceso al SRM
Página 189
Mediante este acceso validaremos la conexión con el servicio del SRM
IP: 10.51.12.138
SCRBVCTPECAL002
1.4.5 Validación de comunicación de los Vcenter de Producción y Contingencia.
Este proceso debe completarse para dar paso a la ejecución del SRM
1.4.6 Acceso al Recovery Plans
Luego de la validación de los servicios se tendrá que ejecutar el Recovery Plan el cual
brindara la recuperación de las VM agrupadas previamente en dentro de la opción
Protection Groups marcando la opción RECOVERY
Página 190
En el caso de OCR Pass, se ejecutará la opción recovery al Grupo “Recovery_OCR”
1.4.7 Proceso de Recuperación
En este paso marcaremos las opciones que nos indica en la imagen para iniciar el
proceso de recuperación.
1.4.8 En este paso se confirmaremos el pase para entrar en contingencia.
Página 191
1.4.9 Verificación del proceso de Recovery Manager
Durante este periodo comenzara a generar las reconfiguraciones en las VM, este
proceso tardara un promedio de 2 a 5 minutos.
1.4.10 Proceso Recovery Manager.
Al término de las reconfiguraciones de las VM mostrara el status de los cambios y del
VM ya en estado de contingencia.
Página 192
1.5 Inicio de servicios de las Virtual Machine
1.5.1 Verificación de status de VM sistema operativo
En este proceso tendremos que acceder al Vcenter de contingencia para verificar el
correcto funcionamiento de la VM, posterior a ello tendremos que validar el status de los
servicios, para este caso se tomó EJM el server de Billing Test.
Página 193
En este caso los servicios a validar en el servidor de PASS son los siguientes:
1.6 Proceso de Pruebas
Los Administradores de las aplicaciones realizaran los test del funcionamiento y brindaran
la conformidad respectiva.
1.7 Validación con los usuarios.
Personal de Help Desk validara el funcionamiento con las áreas afectadas, obteniendo la
conformidad de los usuarios.
1.8 Envió de comunicado
El Coordinador de Servicios de IT realizara el envío del comunicado de restauración de los
servicios.
Página 194
8. Anexos
8.1 Anexo A - Comunicado del corte de servicio del Sistema Pass GUI
Mantenimiento de Servicio - Plan de Contingencia
Descripción: Estimados colaboradores, durante el periodo de X horas no habrá
disponibilidad de los siguientes servicios debido a la caída de estos y el ingreso al
plan de contingencia.
Servicios Afectados:
PASS GUI
Si tiene alguna consulta comunicarse con mesa de ayuda al anexo 8877.
Atentamente
Departamento de IT
Página 195
Anexo 8. Organigrama de la empresa
Elaboración propia
Gerencia General
Operaciones
Carga General ContenedoresTecnologías de la
Información
Helpdesk
Aplicaciones
Infraestructura
Seguridad de la información
Seguridad, Salud y Medio
Ambiente
Control de Accesos
Salud ocupacional
Emergencia y protección civil
Medio Ambiente
Finanzas
Facturación y cobranzas
Compras
Contabilidad
Recursos Humanos
Responsabilidad Social
Compensaciones
Relaciones Laborales
Legal
Comunicaciones
Comercial
Atención al cliente
Página 196
Anexo 9. Catálogo de servicio
Aplicación / Activo
Tipo Categoría Sub-
categoría Tarea Descripción
Smartphone Requerimiento Telecom - Activación de Roaming / Incremento de saldo
El personal de mesa de ayuda se encarga de verificar el plan de telefonía del usuario, y en caso de ser aceptado, proceder a gestionar el aumento de saldo o activación de roaming con la empresa proveedora del servicio.
Smartphone Requerimiento Network - Registro de dirección MAC para dispositivos de invitados.
Debido a la política de BYOD, el personal de administrativo puede solicitar el registro de sus equipos para acceso a la red. Personal de mesa de ayuda procede a registrar la MAC del dispositivo en el portal de accesos a la red inalámbrica.
Active Directory Requerimiento User Mng - Dar baja a la cuenta de usuarios
Después de la salida de personal, se procede a retirar y deshabilitar los accesos a los sistemas.
Desktop Requerimiento IT Security - Actualización de la base de datos de antivirus
Para equipos que no cuentan con salida a Internet, la actualización de la base de datos de antivirus se realiza de manera manual.
Desktop Requerimiento Software Configuración Instalación de aplicativos autorizados
A solicitud del usuario, se puede instalar aplicativos aprobados y que se encuentren en el catálogo de software.
Página 197
Desktop Requerimiento Hardware Configuración Instalación de equipo de trabajo
Una vez seleccionada la ubicación del nuevo trabajador, se procede a instalar los equipos según el procedimiento y tipo de trabajo.
N4 Requerimiento Hardware - Instalación y configuración de software N4
A solicitud del área de operaciones, se procede a instalar y configurar el software N4, encargado de la gestión de contenedores.
Commtrac Requerimiento Software - Instalación y configuración de software Commtrac
A solicitud del área de operaciones, se procede a instalar y configurar el software Commtrac, encargado de la gestión de carga general.
PASS Requerimiento Software - Instalación y configuración de software PASS
A solicitud del área de operaciones, se procede a instalar y configurar el software PASS, encargado de la gestión de las puertas de entrada y salida.
Onguard Requerimiento Software - Instalación y configuración de software Onguard
A solicitud del área de Seguridad, se instala y configura el sistema Onguard, encargado de los periféricos de control de accesos como cámaras y lectores de huella dactilar.
Active Directory Requerimiento Network - Cambio y reset de contraseña de usuario
En caso de fallo de acceso al sistema, bajo ciertas verificaciones se puede cambiar la contraseña de un usuario.
Impresora Requerimiento Consumibles Cartuchos Cambio de consumibles para equipos impresoras
En caso de alerta de bajo consumible, se cambia a los equipos necesarios.
Página 198
Tableta Requerimiento Hardware Configuración Instalación de equipo Tableta para grúa
Ya sea por avería o falta de operatividad, se cambia el equipo encargado de recibir las tareas de las grúas. Esta actividad se desarrolla en zona operativa, por lo que implementos de seguridad deben ser utilizados.
Handheld Requerimiento Hardware Configuración Configuración de equipo Handheld lectora de precintos
Los equipos Handheld se encargan de la lectura de precintos en el patio de contenedores. En caso de ser necesario, se debe actualizar su software y sus aplicativos.
Desktop Requerimiento Hardware Instalación Cambio de periféricos A solicitud del usuario, se cambia los periféricos como lectores de código de barra, mouse, teclado o pantallas para mejorar la calidad del uso del ordenador.
Proyector Requerimiento Hardware Préstamo Préstamo de proyector Los usuarios pueden solicitar con unas 48 horas de anticipación, el préstamo de los equipos
Módulo de atención
Requerimiento Hardware Configuración Configuración de módulo para auto atención de los usuarios
En la zona de atención al usuario, se tiene módulos de atención al cliente los cuales requieren configuración dependiendo del requerimiento.
Desktop / Laptop
Incidente Hardware Performance Revisión de problemas de performance
Cuando los usuarios reportan problemas con sus equipos, personal de Mesa de ayuda procede a la revisión y registro del incidente para proceder con la resolución o escalamiento apropiado.
Desktop / Laptop
Incidente Hardware Perdida Reporte de activo informático extraviado / robado
En caso de pérdida o robo, se requiere la denuncia policial, la cual Mesa de ayuda saca copia y almacena para restitución del equipo.
Página 199
Desktop / Laptop
Incidente Software Office Revisión de problemas con software de ofimática
En caso de reporte, se procede a revisar los equipo o equipo que poseen la falla.
Smartphone Incidente Software Outlook Revisión de falta de sincronización de correo con aplicativo móvil
Mesa de ayuda procede a realizar el descarte para la conectividad y sincronización de correo electrónico.
Impresora Incidente Hardware Centro de Impresión
Revisión de obstrucción de salida de impresiones
Cuando se reporta problemas de impresión, personal de mesa de ayuda investiga el hecho, solucionando o reportando al proveedor técnico.
Balanza Incidente Hardware - Revisión de problemas con balanza de peso de camiones
Cuando se reporta problemas de pesaje, personal de mesa de ayuda investiga el hecho, solucionando o reportando al proveedor técnico.
Tableta Incidente Software - Revisión en falta de sincronización con tareas de la tableta grúa
Se procede a cambio de equipo o revisión de conectividad del equipo.
Periféricos Incidente Control de Acceso
- Revisión de problemas con el lector de huellas digitales
Se solicita el escalamiento con el proveedor de dispositivos de control de acceso.
Network Incidente Software Inc. Masivo Reporte de caída de sistemas N4
Se debe generar el reporte, y ser comunicado al área de aplicaciones.
Network Incidente Hardware Inc. Masivo Reporte de caída de sistemas de radio
Se debe generar el reporte, y ser comunicado al área de infraestrucutura.
Network Incidente Network Inc. Masivo Reporte de caída de VPN Se debe generar el reporte, y ser comunicado al área de infraestrucutura.
Hardware Incidente Hardware Daños Reporte de daños físicos a un activo informático
Se debe generar el reporte, informando al gerente de sistemas y al área de seguridad para la investigación del tema.
Server Incidente Software Alerta Revisión frente a alertas automáticas del print server
Se debe examinar el estado de los servicios en el servidor, y si el problema persiste derivarlo al área de aplicaciones.
Página 200
Server Incidente Software Alerta Revisión frente a alertas automáticas del firewall principal
Se debe examinar el estado de los servicios en el servidor, y si el problema persiste derivarlo al área de infraestructura.
Server Incidente Software Alerta Revisión frente a alertas automáticas del sistema de aire acondicionado del data center
Se debe examinar el estado de los servicios en el servidor, y si el problema persiste derivarlo al área de infraestructura.
Desktop Incidente IT Security Alerta Revisión de alerta de brecha de seguridad informática
En caso de ser alertados por el equipo de seguridad informática, Mesa de ayuda ejecuta el procedimiento frente alerta de seguridad, el cual incluye desconexión física del equipo, retiro y formateo completo.
Página 201
Anexo 10. Plan de Capacitaciones
PLAN DE CAPACITACIONES
El presente documento es propiedad de las entidades legales dentro del Grupo A. P. Moller
– Maerk (también conocido como “APMM”) y es para uso exclusivo del personal de APMM.
Éste documento no deberá afectar legalmente cualquier relación o confiabilidad de APMM
con cualquiera de nuestros colaboradores o terceros, los cuales tienen permitido usarlo como
guía.
APMM no se responsabilizará por información técnica o editorial por errores de omisión de
éste documento; ni por ningún daño causado por dicha acción, incluido, pero no limitado a:
daño directo, accidental o consecuente resultado del uso por directivos, gerentes, empleados,
agentes, representantes, dueños u otros allegados a APMM. Copyright © Maersk Group.
Derechos reservados.
Página 202
I. ACTIVIDAD DE LA EMPRESA
LA EMPRESA CORPORACIÓN SAPIA, es una empresa nacional líder en integración
de soluciones de negocios, Transformación Digital, Servicios TI y Operaciones.
II. JUSTIFICACIÓN
En una organización, el recurso más importante lo forma el personal implicado en las
actividades laborales, como ser el caso el Equipo de Servicio de Mesa de Ayuda en
el Terminal Portuario del Callao. Por lo cual es de especial importancia en una
organización que presta servicios, en la que la conducta y rendimiento de los
individuos influye directamente en la calidad y optimización de los servicios que se
brindan.
Un personal motivado y trabajando en equipo, son los pilares fundamentales
en los que las organizaciones exitosas sustentan sus logros, siendo la esencia
primordial en la calidad del trato que se recibe el cliente y proveedor de servicios de
TI. Sin embargo, en la mayoría de las organizaciones de nuestro País, ni la motivación,
ni el trabajo en equipo aprovechan significativos aportes de la fuerza laboral.
Tales premisas conducen automáticamente a enfocar inevitablemente el tema
de la capacitación como uno de los elementos vertebrales para mantener, modificar o
cambiar las actitudes y comportamientos de las personas dentro de las
organizaciones, direccionado a la atención del Servicio de Mesa de Ayuda en el
terminal Portuario en el Callao.
En tal sentido se plantea el presente Plan de Capacitación para el proceso de
continuidad de servicio en el área de Mesa Ayuda en el Terminal Portuario del Callao
y mejorar los procesos que dan cara a los usuarios.
III. ALCANCE
El presente plan de capacitación es de aplicación para todo el personal que trabaja en
LA EMPRESA CORPORACIÓN SAPIA – EQUIPO DE MESA DE AYUDA.
Página 203
IV. FINES DEL PLAN DE CAPACITACIÓN
Siendo su propósito general impulsar la eficacia organizacional, la capacitación se
lleva a cabo para contribuir a:
Inculcar al personal de las buenas prácticas y de los marcos referenciales del
proceso de continuidad de servicio.
Mostrar las responsabilidades personales de los miembros del equipo en caso de
incidente masivo o desastre.
Elevar el nivel de conocimientos de los colaboradores con respecto a los procesos
de gestión del servicio.
Satisfacer más fácilmente requerimientos futuros de la empresa en materia de
personal, sobre la base de la planeación de recursos humanos.
Generar conductas positivas y mejoras en el clima de trabajo, la productividad y la
solidez y, con ello, a elevar la moral de trabajo.
Mantener la salud física y mental en tanto ayuda a prevenir accidentes de trabajo,
y un ambiente seguro lleva a actitudes y comportamientos más estables,
especialmente durante el desastre.
V. OBJETIVOS DEL PLAN DE CAPACITACIÓN
5.1 Objetivos Generales
Preparar al personal para la ejecución eficiente de sus responsabilidades que
asuman en sus puestos.
Brindar oportunidades de desarrollo personal en los cargos actuales y para
otros puestos para los que el colaborador puede ser considerado.
Modificar actitudes para contribuir a crear un clima de trabajo satisfactorio,
incrementar la motivación del trabajador y hacerlo más receptivo a la
supervisión y acciones de gestión.
Página 204
5.2 Objetivos Específicos
Proporcionar orientación e información relativa a los objetivos del proceso de
continuidad, su organización, funcionamiento y planes.
Proveer conocimientos y desarrollar habilidades que cubran la totalidad de
requerimientos para el desempleo de puestos específicos.
Contribuir a elevar y mantener un buen nivel de interacción entre la gerencia y
el personal ejecutor de tareas de servicio.
Apoyar la continuidad del negocio y los objetivos de las áreas críticas del
terminal portuario.
VI. METAS
Capacitar al 100% al Personal de Mesa de Ayuda de los diferentes turnos que se
encuentran laborando en el terminal portuario del Callao APM.
VII. ESTRATEGIAS
Las estrategias a emplear son.
Desarrollo de simulacros prácticos que se realizan de manera trimestral.
Presentación de casos casuísticos de su área.
Realizar talleres autodidactas.
Metodología de exposición – diálogo.
VIII. TIPOS, MODALIDADES Y NIVELES DE CAPACITACION
8.1 Tipos de Capacitación
Capacitación Inductiva: Es aquella que se orienta a facilitar la integración del nuevo
colaborador, en general se expone los riesgos del centro de trabajo, en particular.
Normalmente se desarrolla como parte del proceso de Selección de Personal, pero
puede también realizarse previo a esta. En tal caso, se organizan programas de
Página 205
capacitación para postulantes y se selecciona a los que muestran mejor
aprovechamiento y mejores condiciones técnicas y de adaptación.
Capacitación Preventiva: Es aquella orientada a prever los cambios que se producen
en el personal, toda vez que su desempeño puede variar con los años, sus destrezas
pueden deteriorarse y la tecnología hacer obsoletos sus conocimientos.
Esta tiene por objeto la preparación del personal para enfrentar con éxito la adopción
de los planes de contingencia, planes de recuperación de desastres, llevándose a
cabo en estrecha relación al proceso continuidad de negocio del puerto.
8.2 Modalidades de Capacitación
Los tipos de capacitación enunciados pueden desarrollarse a través de las siguientes
modalidades:
Formación: Su propósito es impartir conocimientos básicos orientados a proporcionar
una visión general y amplia con relación al contexto de desenvolvimiento.
Actualización: Se orienta a proporcionar conocimientos y experiencias derivados de
recientes mejoras o nuevos riesgos encontrados en el negocio.
Especialización: Se orienta a la profundización y dominio de conocimientos y
experiencias o al desarrollo de habilidades.
IX. ACCIONES A DESARROLLAR
Las acciones para el desarrollo del plan de capacitación están respaldadas por los
temarios que permitirán a los asistentes a capitalizar los temas, y el esfuerzo realizado
que permitirán mejorar la calidad de los recursos humanos, para ello se está
considerando lo siguiente:
Página 206
TEMAS DE CAPACITACIÓN
Riesgos inherentes de las instalaciones portuarias
Riesgos en los principales servicios
Criticidad y prioridades del servicio y del negocio
Salvaguarda y protección personal durante desastre
Planes de recuperación de servicio
Planes de contingencia
Cultura Organizacional
Primeros Auxilios
IMAGEN INSTITUCIONAL
Misión y visión del negocio portuario
LOGISTICA:
Centro de mando en caso de emergencia
Lugares de operación alternativos
X. RECURSOS
10.1 HUMANOS: Lo conforman los participantes, facilitadores y expositores
especializados en la materia.
10.2 MATERIALES:
INFRAESTRUCTURA. - Las actividades de capacitación se desarrollarán en
ambientes adecuados proporcionados por la gerencia de la empresa.
MOBILIARIO, EQUIPO Y OTROS. - está conformado por carpetas y mesas de trabajo,
pizarra, plumones, total folio, equipo multimedia, y ventilación adecuada.
Página 207
DOCUMENTOS TÉCNICO – EDUCATIVO. - Entre ellos se tiene certificados,
encuestas de evaluación, material de estudio, etc.
XI. FINANCIAMIENTO
El monto de inversión de este plan de capacitación será financiado por la empresa
SAPIA, la cual como parte de su mejora continua se hace responsable del proceso de
continuidad de servicio.
XII. PRESUPUESTO
DESCRIPCIÓN UNID. CANTIDAD COSTO
UNITARIO COSTO TOTAL
Pasajes Psje. 30.00 12.00 360.00
Plumones Unid. 30.00 5.00 150.00
Fólder Unid. 150.00 1.50 225.00
Separatas anilladas Unid. 150.00 5.00 750.00
Certificados Unid. 150.00 3.00 450.00
Lapiceros tinta seca Unid. 60.00 2.00 120.00
Papel Bond A-4 de 80
gramos
Unid. 5.00 22.00 110.00
Refrigerios Unid. 120.00 12.00 1440.00
Honorario de expositores* Global 1.00 12000.00 12000.00
Imprevistos % 1.00 1000.00 1000.00
Total 16605.00
*Los honorarios de los capacitadores es referencial y puede variar.
Página 208
XIII. CRONOGRAMA
ACTIVIDADES A DESARROLLAR
CURSOS y TALLERES
MESES
1 2 3 4 5 6 7 8 9 10 11
Misión y visión del negocio portuario X
Riesgos inherentes de las
instalaciones portuarias
X X
Riesgos en los principales servicios X
Criticidad y prioridades del servicio y
del negocio
X X
Salvaguarda y protección personal
durante desastre
X
Planes de recuperación de servicio X X
Planes de contingencia X X
Cultura Organizacional X X
Primeros Auxilios X
Centro de mando en caso de
emergencia
X
Lugares de operación alternativos X