TALLER N° 02: EVALUACIÓN DEL PLAN DE CONTINGENCIA

INFORMACIÓN DE LA EMPRESA G-139-2009C INFORME DE DIFERENCIAS RECOMENDACIONES3. GESTION DE LA CONTINUIDAD DEL NEGOCIO

El plan de contingencia informático del Ministerio de Energía y Minas (Feb-2014), garantiza la continuidad de sus servicios ante eventos que podrían alterar su normal funcionamiento a fin de minimizar los riesgos no previsibles, y que permita responder de forma inmediata hacia la recuperación de las actividades normales.

Las empresas deben realizar una gestión de la continuidad del negocio adecuada a su tamaño y a la complejidad de sus operaciones y servicios.

No se encuentran diferencias puesto que el plan de contingencia del MINEM plantea una gestión de la continuidad del negocio alineado a los servicios que brinda.

4. RESPONSABILIDAD DEL DIRECTORIO

Ver pag. 5 y 6 punto 4.1.1Funciones y roles del Comité

El Directorio es responsable de establecer una adecuada gestión de la continuidad del negocio. Entre sus responsabilidades específicas están:a. Aprobar una política general que defina el alcance, principios y guías que orienten la gestión de la continuidad del negocio.b. Aprobar los recursos necesarios para el adecuado desarrollo de la gestión de la continuidad del negocio, a fin de contar con la infraestructura, metodología y personal apropiados.c. Obtener aseguramiento razonable que la empresa cuenta con una efectiva gestión de la continuidad del negocio.

En el plan de contingencia del MINEM se plantea un Comité del Plan de contingencia, cuyos roles y funciones van acorde de los mencionados por la norma Circular G-139-2009

5. RESPONSABILIDAD DE LA GERENCIA

En la pag. 5 punto 4.1. Plantea un Comité del Plan de Contingencia, aquí menciona la participación de la Directora de la Oficina General de Administración.

La gerencia general tiene la responsabilidad de implementar la gestión de la continuidad del negocio conforme a las disposiciones del Directorio. La gerencia podrá constituir comités para el cumplimiento de sus responsabilidades relacionadas con la gestión de la continuidad del negocio.

En ningún punto del plan menciona la participación de la gerencia general solo de la directora de la Oficina General de Administración.

Se recomienda la participación de la Gerencia General, para el control de la continuidad del negocio.

6. RESPONSABILIDAD DE LA UNIDAD DE RIESGOS

En la pag. 5 punto 4.1. Plantea un Comité del Plan de Contingencia

La Unidad de Riesgos deberá asegurarse que la gestión de la continuidad del negocio que realice la empresa sea consistente con las políticas y procedimientos aplicados para la gestión de riesgos.

El comité del Plan de Contingencia es el responsable de su ejecución, cuando se presenten los eventos que lo activan.

7. FUNCIÓN DE LA CONTINUIDAD DEL NEGOCIO

El plan plantea objetivos, procedimientos y metodología para la gestión de la continuidad del negocio.Plantea también un comité que velara por el cumplimiento del plan de contingencia al producirse un riesgo con los servicios

Las empresas deberán contar con una función de continuidad del negocio, la cual tendrá asu cargo las siguientes responsabilidades:a. Proponer las políticas, procedimientos y metodología apropiados para la gestión de la continuidad del negocio en la empresa, incluyendo la asignación de roles y responsabilidades;b. Velar por una gestión de la continuidad del negocio competente;c. Informar a la gerencia general y al comité de riesgos los aspectos relevantes de la gestión de la continuidad del negocio para una oportuna toma de decisiones.

Informar a la gerencia general y al comité de riesgos los aspectos relevantes de la gestión de la continuidad del negocio para una oportuna

toma de decisiones.

Establecer comunicación con la gerencia general

sobre los incidentes que puedan producirse.

8. FASES DE LA CONTINUIDAD DEL NEGOCIO1. ENTENDIMIENTO DE LA ORGANIZACIÓN

Esta fase consiste en conocer los objetivos y metas de la empresa; identificar los principales procesos, productos, servicios y proveedores, así como las

actividades y recursos requeridos; evaluar los riesgos que podrían causar una interrupción de dichas actividades, y el impacto que podría tener dicha interrupción.En la pag. 6 punto 4.2.3 Impacto del Riesgo. El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una pérdida, causados por la consecuencia de la ocurrencia. Es una calificación aplicada al riesgo, para describir su impacto en relación al grado de afectación del nivel de servicio normal. Cuanto mayor sea el número, mayor es el impacto. Para nuestro caso, la clasificación del impacto será en una escala del 1 al 5.

a. Análisis de impacto:Consiste en determinar el impacto que tendría una interrupción de los procesos que soportan los principales productos y servicios de la empresa. Para ello, deben considerarse aspectos como: daños a la viabilidad financiera de la empresa, daños a su reputación, incumplimiento de requerimientos regulatorios, daños al personal o al público en general. Según ello, debe establecerse el período máximo tolerable de interrupción por cada uno de estos procesos.El análisis de impacto debe ser revisado periódicamente y actualizado cuando existan cambios en la organización o en su entorno, que puedan afectar sus resultados.

En la pag. 5 punto 4. METODOLOGÍA. Menciona 5 fases para la elaboración del plan de contingencia informático, cuya fase 2 es la de identificación y priorización de riesgos

b. Evaluación de riesgos:Consiste en identificar y evaluar los riesgos que podrían causar una interrupción del negocio. Para ello, deberá seguirse una metodología consistente con aquella utilizada para la evaluación de los demás riesgos que enfrenta la empresa.

2. SELECCIÓN DE LA ESTRATEGIA DE CONTINUIDADEn esta fase, se determinan las estrategias de continuidad que permitirán mantener las actividades y procesos de negocio luego de ocurrido un evento de interrupción de operaciones.

Debe desarrollarse, como mínimo, la siguiente actividad:En la pag. 4 punto 1:Objetivos específicosEstablecer las estrategias adecuadas

a. Evaluación y selección de estrategias de continuidad por proceso:Se refiere a seleccionar las estrategias que

para asegurar la continuidad de los servicios informáticos en caso de interrupción que permita restablecer en el menor tiempo posible.

Contar con documentación actualizada que garantice al MINEM la continuidad de los servicios críticos de TICs sin sufrir paralizaciones o pérdidas relevantes.

Contar con personal debidamente capacitado y organizado para afrontar adecuadamente las contingencias que puedan presentarse en los servicios críticos de TICS del MINEM.

permitirán mantener la continuidad de los procesos que soportan los principales productos y servicios de la empresa, dentro del tiempo objetivo de recuperación, definido para cada proceso. Las estrategias de continuidad deben tomar en cuenta los siguientes aspectos, según sea aplicable para cada proceso:- Seguridad del personal.- Habilidades y conocimientos asociados al proceso.- Instalaciones alternas de trabajo.- Infraestructura alterna de tecnología de información que soporte el proceso.- Seguridad de la información.- Equipamiento necesario para el proceso.

- Instalaciones alternas de trabajo.- Infraestructura alterna de tecnología de información que soporte el proceso

3. PRUEBAS Y ACTUALIZACIÓNPlan de Recuperación de los servicios de tecnología de información: Plan que busca inicialmente restaurar los servicios de tecnología de información dentro de los parámetros establecidos, permitiendo una posterior recuperación de las condiciones previas a su ocurrencia.pag. 16 punto 5.2. Desarrollo de los procedimientos de contingencia.Para cada uno de los servicios críticos en el presente documento se han desarrollado los procedimientos de contingencia que permitirá poner en operatividad dichos servicios…

a. Ejecución de pruebas:El alcance de las pruebas debe ser consistente con el alcance de los planes de continuidad del negocio. Cada prueba debe tener objetivos definidos y un reporte que resuma los resultados alcanzados y recomendaciones. Esta información debería ser usada para mejorar los planes de continuidad del negocio en forma oportuna. Pueden aplicarse diferentes tipos de prueba, desde las pruebas de escritorio hasta las simulaciones completas de escenarios de interrupción de operaciones.Las empresas deberán asegurarse que sus

principales proveedores de servicios cuenten con planes de continuidad y que éstos cumplan con lo señalado en el presente numeral.

4. INTEGRAR LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO A LA CULTURA ORGANIZACIONAL.Las actividades mínimas a desarrollar en esta fase son las siguientes:El comité es el encargado del monitoreo permanente de plan de contingencia.

a. Monitoreo permanente:Revisar periódicamente el nivel de entendimiento de la gestión de continuidad del negocio a fin de identificar requerimientos adicionales.

El comité está encargado de evaluar informes después de ocurrido la contingencia, y mantener permanentemente actualizado el Plan de contingencia.