Orizon Soluciones Tecnológicas

SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO

1. OBJETO Y ALCANCE

 Describir la metodología a seguir para establecer, auditar, revisar, comprobar y actualizar el Plan de Continuidad del Negocio o DRP,  (Disaster Recovery Plan).

Aplica a todo el Sistema de Gestión de ORIZON SOLUCIONES TECNOLÓGICAS según el alcance definido en el sistema de gestión.

2. REFERENCIAS

 Norma ISO 22301

3. GENERALIDADES

 La gestión diaria de un sistema de gestión de la continuidad de negocio, se basa en el uso de recursos apropiados para cada actividad. Estos recursos incluyen personal competente en base a formaciones y servicios de soporte, toma de conciencia y comunicación pertinentes (y demostrables), esto debe ser apoyado por información documentada y adecuadamente gestionada.

Las comunicaciones, tanto internas como externas, deben ser consideradas en esta área, incluyendo su formato, contenido y el momento oportuno de estas comunicaciones.

El objetivo final del DRP es prever posibles situaciones de emergencia que interrumpan la operación de nuestro negocio, evaluarlas, establecer sistemáticas de recuperación de la empresa para operar nuestro negocio en el menor tiempo posible, implantarlas, probarlas, auditarlas y mejorarlas, en la medida de nuestras posibilidades.

4. DESCRIPCION GENERAL
4.1  Posibles situaciones de emergencia

 Todo DRP parte de unas situaciones de emergencia concretas, que puedan interrumpir la operación normal del negocio. El responsable de del sistema es el encargado de identificar y evaluar periódicamente estas situaciones. Actualmente, hemos identificado las siguientes situaciones potenciales de emergencia, con su probabilidad de ocurrencia asociada:

  • Accidente físico de origen industrial o natural: Incendio o inundación. Se le asigna una probabilidad muy baja ya que no disponemos de oficina física, sino que estamos en un centro de negocios. Únicamente se asigna alta a los cargos directivos.
  • Errores de los usuarios.
  • Suplantación de Identidad.
  • Divulgación y fugas de información.
  • Robo o sabotaje.
  • Indisponibilidad de recursos.
  • Baja masiva del personal, por ejemplo, por una epidemia. Se establece una posibilidad baja dado que el trabajo se realiza principalmente por Teletrabajo.
  • Ataque por denegación de servicio.
  • Cualquier deficiencia o manipulación malintencionada del software, así como la falta de actualización o utilización de versiones obsoletas.
  • Bajas voluntarias de los empleados técnicos para ir a trabajar a la competencia. Este es un riesgo alto debido al sector en el que operamos.
  • Impago por parte de algún cliente debido a situaciones socio-laborales.
  • Dependencia directa del riesgo de cada cliente.
  • El término de los proyectos en los que se encuentran los técnicos. En ese caso, intentaremos reubicarlos en otros proyectos. Si la situación de paro técnico se alarga en el tiempo, nos vemos en la situación de hacer el despido en las condiciones que correspondan.
4.2 Análisis de impacto en el negocio

Para establecer el impacto en el negocio causado por cada una de las potenciales situaciones de emergencia identificadas, debemos primero establecer los factores clave de operación de nuestro negocio. Se establecen a su vez los siguientes claves:

  • Disponibilidad de las herramientas informáticas, equipos informáticos (servidor, red y PCs) y datos necesarios para la producción rutinaria.
  • Seguridad de la información, red y servidores.
  • Control de proveedores.
  • Disponibilidad de personal cualificado para trabajar.

Por otro lado, es necesario establecer la ventana de interrupción máxima que nuestro negocio puede aguantar sin daños significativos, y que en función de los datos de que disponemos, hemos establecido en dos días laborables (dependiendo de requisitos contractuales de cliente).

El primero de los factores clave, disponibilidad de equipos y herramientas informáticas, red, y datos; sólo no se vería afectada en la situación de emergencia de baja masiva del personal. En el resto de situaciones potenciales de emergencia podría verse afectado parcial o totalmente.

El segundo, tercer y cuarto factor son claves para la continuidad de negocio. El más importante de ellos es la disponibilidad de personal cualificado para trabajar. Es realmente la más significativo, ya que, por la dinámica de trabajo con nuestros clientes, y el mercado, la selección de personal adecuada a las necesidades de cliente se encuentra con baja disponibilidad. Aun así, en Orizon estamos totalmente comprometidos a establecer estructuras productivas de personal funcionando en menos de dos días laborables (lo cual coincide con nuestra ventana de interrupción máxima)

4.3 Estrategia de continuidad de negocio

Una vez vistas las posibles situaciones de emergencia, y evaluadas sus probabilidades de ocurrencia y sus consecuencias predecibles, hemos establecido básicamente tres estrategias de continuidad del negocio, que pasamos a definir:

  • Estrategia 1: a desarrollar cuando se verifica la posible situación de emergencia de baja masiva del personal.
  • Estrategia 2: a desarrollar cuando se verifican las posibles situaciones de emergencia 1, 2; pero no se inutilizan totalmente los servidores, los programas informáticos de gestión y la red. En este caso, disponemos de contrato con empresa externa para la gestión de servicio externo.
  • Estrategia 3: a desarrollar cuando se verifican las posibles situaciones de emergencia 2, 3 y 4; pero sí se inutilizan totalmente los servidores, los programas informáticos de gestión y la red. Evidentemente, esta situación posible de emergencia es la más grave, y es la que requiere de una respuesta más potente por parte de nuestra organización. En este caso, la Dirección tiene ya seleccionados sistemas y empresas alternativas para albergar la producción mientras se repreparan los sistemas
4.4 Procedimientos de continuidad de negocio

A partir de las diferentes tres estrategias identificadas, surgen los diferentes procedimientos de continuidad del negocio.

  • La estrategia 1 nos define el procedimiento de búsqueda, selección rápida y puesta en producción de un número alto de empleados. Este procedimiento está ya muy rodado, dado que las exigencias de nuestros clientes nos obligan a ello en muchas ocasiones que ni siquiera pueden ser consideradas de emergencia. Los responsables de ejecutar este procedimiento son el responsable de Talento y los consultores de selección y recruiting.. Estos contactos rápidos se obtienen de:
  • Base de datos de CVs que maneja los consultores de selección, alimentada en los procesos de selección rutinarios.
  • Contactos de antiguos trabajadores

Las estrategias 2 y 3 incluyen el procedimiento de búsqueda, selección rápida y puesta en producción de un CPD externo que permita continuidad de producción. La puesta en servicio una vez seleccionada la nueva empresa por parte del responsable del sistema y el CEO será de menos de cuatro horas con la copia espejo del servidor de operaciones. Se dispone de un inventario de activos críticos. 

4.5 Auditoria de comprobación

Este plan se revisará como mínimo una vez al año, durante la revisión del sistema por la dirección, para actualizarlo y mejorarlo en donde proceda. Además, será auditado, al menos, anualmente.

Tanto durante las emergencias, como durante las auditorías, comprobaciones, actualizaciones y revisiones del plan, se seguirán manteniendo las mismas medidas de seguridad de la información, de los datos y de confidencialidad. Somos, en todo momento, responsables de la información del cliente que está en nuestro poder, incluso durante la ocurrencia de emergencias.

Toda la información obtenida durante las emergencias ocurridas, las simulaciones o simulacros, las revisiones del plan, las actualizaciones, las auditorías, o cualquier otra situación susceptible de proporcionarnos información sobre nuestro plan, sobre sus carencias y su desempeño, debe ser tenida en cuenta para mejorar nuestro DRP.

Una comprobación total de todos los procedimientos de continuidad del negocio (es decir, los correspondientes a la estrategia 2 y 3) será realizada y liderada por el CEO, al menos, anualmente, y quedará convenientemente registrada.

Nuestro propio sistema de copias de seguridad detecta si hay corrupción en las copias y avisa mediante mail al CEO de la posible corrupción. El CEO investiga la incidencia y la resuelve, ayudados si procede por la empresa externa.

El responsable del sistema comprueba todas las comunicaciones al menos una vez al mes.

 Auditorias
  • El responsable del sistema establecerá anualmente la Programación de Auditorías Internas, fijando los procesos a auditar y las fechas de realización de las auditorias.
  • Asimismo, cuando se aproxime la fecha de la auditoria, comunicará al equipo auditor y a los responsables a auditar la realización de la auditoría.
  • El equipo auditor recopilará toda la documentación relativa al objeto de la auditoría, como, por ejemplo: Política, procedimientos, resultados de auditorías anteriores, etc.
  • Previamente al comienzo de la auditoría, el equipo auditor se reunirá con el responsable a auditar para tenerle informado de las personas con las que se va a hablar, y el tiempo aproximado que van a estar apartadas de su trabajo.
Ejecución de la auditoría interna
  • El equipo auditor comprobará si el modelo establecido cumple los requisitos de nuestro DRP en las áreas fijadas para la auditoría.
  • Asimismo, recopilará todas aquellas evidencias objetivas posibles de las respuestas dadas por el auditado.
  • El equipo auditor registrará las posibles no conformidades detectadas en el Informe de Auditoría para la posterior determinación de las acciones correctivas o preventivas que eliminen la causa de las no conformidades.
  • También se identificarán áreas de mejora y observaciones que se incorporen al DRP.
Elaboración del Informe de auditoría interna
  • El equipo auditor examinará y analizará toda la información y documentación recopilada durante la auditoría.
  • Con toda esta información, el equipo auditor elaborará el Informe de Auditoría, que debe incluir el nombre de las personas entrevistadas, resumen de los resultados de la auditoría e identificación de las no conformidades detectadas.
  • El equipo auditor firmará el Informe de Auditoría.
Actuación post-informe de auditoría
  • El Responsable del sistema aprobará las acciones correctivas decididas durante la reunión post-auditoria, actuando según lo dispuesto en el procedimiento de mejora.

El Responsable del sistema enviará a las funciones auditadas copia de aquellos planes de acciones correctivas y preventivas abiertos, actuando según lo dispuesto en el procedimiento de mejora.

5. REGISTROS

REGISTROS

Nombre

Soporte

Responsable

Periodo archivo

Programación de auditorías

informático

Resp. Sistema

3 años

Informe de Auditoría

Informático

Resp. Sistema

3 años

Evaluación de riesgos

Informático

Resp. Sistema

3 años

Plan de continuidad

Informático

Resp. Sistema

3 años

Listado de activos críticos

Informático

Resp. Sistema

3 años

Firmado

José Luis García Sánchez