Sistemas de informacion Descripción de la organización, su contexto y partes interesadas de la asesoría de los SI y TIC’s.

Contenido

1.        Inicio y gestión del proyecto.        3

1.1.        Descripción de la organización, su contexto y partes interesadas de la asesoría de los SI y TIC’s.        3

1.1.1.        Procesos y servicios de la asesoría de informática y telemática.        3

1.2.        Alcance.        4

1.3.        Política general de gestión de continuidad del negocio.        4

1.4.        Objetivos.        4

1.5.        Análisis de Impacto en el negocio BIA.        4

1.6.        Criterios de interrupción.        4

1.7.        Cuestionario BIA.        5

1.8.        Análisis de encuestas BIA y determinación de servicios críticos.        6

1.9.        Determinación de servicios críticos.        6

1.10.        Tiempos de recuperación RTO Y RPO.        9

2.        Evaluación y control de riesgo.        9

2.1.        Matriz de riesgos.        9

2.2.        Identificación de Riesgos        11

2.2.1.        Técnicas para la Identificación de Riesgos        11

3.        Análisis de impacto del negocio.        11

4.        Desarrollo de estrategias para la continuidad del negocio.        11

5.        Respuesta ante emergencias.        11

6.        Desarrollo e implementación del BCP.        11

7.        Programa de concientización y capacitación.        11

8.        Pruebas y mantenimiento del BCP.        11

9.        Comunicación de crisis.        11

10.        Coordinación con autoridades públicas.        12

1. Inicio y gestión del proyecto.

Para desarrollar el plan de continuidad del negocio, se debe empezar por recopilar información y tener conocimiento acerca de: sus productos/servicios, sus objetivos empresariales, procesos internos, clientes, y comprender el funcionamiento organizacional, debido que no es lo mismo un Plan de Continuidad para una empresa de servicios de telecomunicaciones que para una empresa de fabricantes de juguetes, así sea en ambos caso el objetivo de seguir proviniendo continuidad a los servicios o productos, los procedimientos relacionados para brindar soporte a la organización tendrá diferentes prioridades de recuperación ante una contingencia grave.

En esta fase se analizara la situación actual que tiene los SI y TIC’s relacionada con contexto organizacional, antecedentes de riesgos, planes de contingencia actuales, sistemas de respaldos, tecnología empleada con sus especificaciones técnicas, para contar si es capaz de afrontar cualquier incidente que se de en el momento, y alcance que podrán tener los planes de continuidad para así proceder a dar aceptación por parte de la alta gerencia.

1. Descripción de la organización, su contexto y partes interesadas de la asesoría de los SI y TIC’s.

La alcaldía está conformada por 17 dependencias de las cuales algunas operan de manera autónoma, la asesoría de los SI y TIC’s hace parte de secretaria general por lo que esta es responsable de proveer soporte a esta y caracterizar los procesos tanto de apoyo como estratégicos para que cada una de las dependencias acojan los mismos procedimientos, además la asesoría tiene la misión de proveer servicios, que se detallaran a continuación, a nivel de todas las dependencias tanto como a la ciudadanía. Actualmente la oficina de informática esa conformada por 4 grupos de trabajo:

• Infraestructura de comunicaciones.
• Centro de datos e infraestructura.
• Sistemas de información.
• Soporte técnico.

 Aparte de estos 4 grupos de trabajos existen otros que dan apoyo y son transversales a todos, tal es el caso como de seguridad informática para garantizar que cada grupo, cumpla con los requerimientos mínimos de seguridad para poder brindar la disponibilidad, confidencialidad e integridad de la información.

1. Procesos y servicios de la asesoría de informática y telemática.

La asesoría de SI y TIC’s actualmente cuenta con un proceso de apoyo llamado Administración de TIC, que tiene como objetivo garantizar de forma permanente y oportuna la disponibilidad, integridad, reserva, resguardo y el soporte tecnológico de los sistemas, estructuras y equipos que almacenan, manejan, transportan y controlan los datos y la información utilizada por los usuarios.

Del proceso de administración de tics se desprende en 3 subprocesos:

• Administración de sistemas de información. (Proceso de apoyo)

Proveer los servicios de DHCP, DNS, Internet, Intranet, Portal Municipal, Conectividad remota, Correo Institucional, Gestión Documental, Mensajería Instantánea a nivel de toda la dependencia.

• Administración de infraestructura tecnológica. (Proceso de apoyo)

Se contempla la administración de servidores, el mantenimiento del centro de datos, y la administración del soporte informático y tecnológico.

• Planeación estratégica del TIC. (Proceso estratégico)

Se contempla lo relacionado con el plan de ajustes de las TIC, la estrategia y el cumplimiento que se da a gobierno en línea, y el sistema de gestión de seguridad de la información y de calidad.

1. Alcance.

La administración de Plan de continuidad de negocios proveerá y prepara a la asesoría de SI y TIC’s para poder continuar operando durante un incidente o desastre, a través del diseño y posteriormente implementación de un plan de continuidad.

Este sistema de gestión de continuidad de negocio cubrirá todos los servicios críticos relacionadas a la gestión de las tecnologías de la información, administración de la continuidad, infraestructura, soporte e información de los funcionarios, recursos humanos y gestión de los proveedores de servicios de TI.

1. Política general de gestión de continuidad del negocio.

La Política General de Continuidad de Negocios aplica a toda la asesoría de SI y TIC’s  y todo el personal de la organización debe estar consciente de lo expresado en esta política.

1. Objetivos.

• Comunicar a todas las partes interesadas (internas y externas) el compromiso de la organización con la Gestión de la Continuidad de Negocios.
• Reflejar el compromiso de la gerencia con el desarrollo e implementación de un Sistema de Gestión de Continuidad de Negocios.
• Se establezca y mantenga un Sistema de Gestión de Continuidad de Negocios.
• Se desarrolle en forma continua un Análisis de Impacto al Negocio (BIA) y una Evaluación de Riesgos a los procesos y servicios críticos, recursos de apoyo e interdependencias.

1. Análisis de Impacto en el negocio BIA.

El análisis de impacto en el negocio es la base principal para luego establecer la estrategia de recuperación, que en principio se les dará a los servicios críticos y posteriormente al resto si es posible. Los servicios esenciales de la asesoría suelen ser en su mayoría los operacionales ya que estos interactúan directamente con los funcionarios de otras dependencias y entes externos, también es posible que el servicio de dicho procesos dependa de otros internos, que también deben ser analizados.

1. Criterios de interrupción.

Para conocer los servicios críticos se evalúan de 4 maneras; Un impacto cuantitativo representando por pérdidas financieras en el momento que se presenta una interrupción, un impacto cualitativo o de imagen frente a los funcionarios y la ciudadanía, un impacto legal regulatorio y un impacto operativo. De acuerdo a esto se pueden diferenciar escenarios de interrupciones por la que puede afectar el proceso:

• Ausencia de Personal: se presenta cuando el funcionario o contratista que ejecuta el proceso no puede asistir a trabajar para desarrollar las actividades propias de su cargo.
• No acceso al sitio normal de trabajo: se presenta cuando por algún evento como desastre natural, enfermedad contagiosa, actividad terrorista, problemas de transporte, huelgas, entre otros, el personal no puede acceder a su lugar de trabajo para desarrollar las actividades propias de su cargo.
• Caída de los sistemas tecnológicos: se presenta cuando el hardware y/o software presenta falla(s) o cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos corruptos, fallos de componentes, falla de aplicaciones y/o error humano.
• No contar con los Proveedores Externos: Se presenta cuando una o varias actividades del proceso crítico son realizadas por el proveedor y cualquier falla de éste, generaría la no realización efectiva del proceso.

1. Cuestionario BIA.

Dentro del cuestionario podemos identificar los siguientes elementos:

• Análisis de criticidad: se especifican las principales actividades que presenta el servicio, si hay procedimientos escritos para dichas actividades, funciones y determinar en qué periodos del año el servicio pueden tener un nivel de criticidad alto.
• Duración de interrupción: se especifica inmediatamente después de una interrupción el tiempo máximo en que podría estar inhabilitado el sistema, si se puede continuar brindando servicio por otros medios, y la mayor cantidad en (horas/días) que la información no puede estar disponible.
• Servicios públicos: se especifica que funciones pueden comprometerse con el servicio afectado, activos u otros servicios.
• Seguridad de los empleados: como se observa en el apartado de criterios de interrupción, la continuidad del negocio también debe brindar seguridad a los empleados entendiéndose este como uno de los activos más valiosos de cualquier organización.
• Comunicaciones: se especifica si la ruptura del servicio podría impactar en la comunicación con el público, empleados, gerencia, y clientes.
• Impacto financiero: se especifica el impacto financiero que representa la ruptura del servicio a medida que pasa el tiempo.
• Impacto legal regulatorio: se especifica el impacto legal regulatorio (demandas, multas, investigación disciplinaria, investigación fiscal o intervenciones) en caso de la ruptura del servicio o con la entrega de estos.
• Impacto de credibilidad o imagen: se especifica si la ruptura del servicio podría tener un impacto directo sobre los usuarios finales y el nivel de confiabilidad que apreciarían sobre este.
• Impacto operativo: se especifica si la ruptura del servicio podría afectar todos el sistema operativo de la asesoría dejándola inoperante por completo. En el Anexo C se puede observar la plantilla del cuestionario.

1. Análisis de encuestas BIA y determinación de servicios críticos.

Según el resultado de la encuesta del BIA, se realizó el respectivo análisis con la información para determinar los servicios críticos. Para la toma de la decisión de los servicios denominados críticos se tuvo en cuenta primordialmente lo siguientes factores:

...