bcp plan de continuidad de negocios...fecha plan continuidad de negocios código: versión:...

BCP PLAN DE CONTINUIDAD DE NEGOCIOS

2019

PLAN CONTINUIDAD DE NEGOCIOS

Código:

Versión:

Fecha creación:

Código: /Versión:01/ Fecha creación:

1

Volver al índice

TABLA DE CONTENIDO

TABLA DE CONTENIDO ......................................................................................................................... 1

INTRODUCCIÓN ....................................................................................................................................... 2

1. OBJETIVOS ........................................................................................................................................ 2

2. ALCANCE ........................................................................................................................................... 3

3. MARCO NORMATIVO ...................................................................................................................... 3

4. GLOSARIO (Terminología) ............................................................................................................. 5

5. PLAN DE CONTINUIDAD DEL NEGOCIO ................................................................................... 6

5.1. Organización y funciones ................................................................................................................ 6

5.2. Políticas de continuidad de negocios ............................................................................................. 8

6. ANÁLISIS DE IMPACTO EN EL NEGOCIO ................................................................................. 9

7. PLAN DE CONTINUIDAD OPERATIVA (BCP / ITSMSC) ....................................................... 13

8. PLAN DE RECUPERACIÓN A DESASTRES (DRP) ................................................................ 32

9. PLAN GENERAL DE MANEJO DE LA CRISIS ......................................................................... 35

9.1. Plan de comunicación de la crisis ................................................................................................. 35

9.2. Plan de asistencia al recurso humano .......................................................................................... 41

9.3. Plan de emergencia ...................................................................................................................... 43

10. ACTUALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE CONTINUIDAD DE

NEGOCIO .................................................................................................................................................. 52

10.1. Actualización del Plan de Continuidad de Negocio .................................................................... 52

10.2. Mantenimiento de Análisis de Impacto de Negocio (BIA) ......................................................... 52

10.3. Plan de comunicaciones ............................................................................................................. 53

10.4. Plan de pruebas .......................................................................................................................... 55

11. LISTA DE DISTRIBUCIÓN .......................................................................................................... 56


Código:

Versión:

Fecha creación:


2

Volver al índice

INTRODUCCIÓN

La gestión de continuidad de negocios establece las políticas, procedimientos y estructura organizacional para responder o anticiparse a eventos que sean de tal magnitud que puedan causar una interrupción significativa en la operación del negocio, permitiendo a la organización continuar con dicha operación a un nivel aceptable predefinido, mediante la combinación de controles preventivos y de recuperación. La correcta implementación de la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de incidentes disruptivos y, en caso de producirse, la organización estará preparada para responder en forma adecuada y oportuna, de esa manera se reduce de manera significativa el impacto potencial que pueda ser ocasionado por un incidente. Valor+ ha desarrollado planes y análisis que hacen parte de este Plan de Gestión General:

- Un Plan de emergencias, el cual hace parte del Plan de emergencias del edificio Plaza la Libertad PH

- Un Plan de comunicaciones asociado al Plan de emergencias del edificio Plaza la Libertad PH

- Un Plan de recuperación de tecnología de información 1. OBJETIVOS

1.1. Objetivo General Definir e implementar directrices y lineamientos necesarios para fortalecer la capacidad de respuesta ante eventos que afecten la continuidad de negocio en Valor+, a partir de los lineamientos establecidos por MinTIC, estándares y mejores prácticas. 1.2. Objetivos Específicos - Identificar los elementos que den origen a procedimientos e instructivos operacionales

específicos que respondan a interrupciones del servicio, con el fin de proteger y recuperar las funciones criticas del negocio que se puedan ver comprometidas

- Identificar las aplicaciones y las plataformas consideradas críticas para la operación del negocio


Código:

Versión:

Fecha creación:


3

Volver al índice

- Identificar al personal clave interno y externo requerido para la operación de las actividades críticas del negocio

- Establecer los tiempos mínimos de recuperación requeridos en los que no se vea afectado el negocio

- Definir la funcionalidad mínima que requiere el negocio en caso de contingencia - Identificar los riesgos presentes para la continuidad - Establecer los elementos esenciales requeridos en el plan de recuperación de desastres - Desarrollar procedimientos específicos y guías de operación en caso de desastre para

cada uno de los servicios críticos vitales especificados en el alcance del plan - Establecer un plan de prueba, gestión y mantenimiento general, necesarios para

garantizar los objetivos del Plan

2. ALCANCE El Plan de continuidad de negocio considera como alcance el Soporte a la Operación de Servicios, tal como fue establecido en el BIA, también incluye el Plan de Comunicaciones y el Plan de Emergencias, integrado al Plan de Emergencias de las oficinas del Edificio Plaza la Libertad PH, en el que se encuentra Valor+.

3. MARCO NORMATIVO

NORMA DESCRIPCIÓN

Ley 1341 de 2009

Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y las comunicaciones - TIC- Se crea la agencia Nacional de espectro y se dictan otras disposiciones

Decreto 1078 de 2015

Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones

Decreto 2573 de 2014 Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones

Ley 527 de 1999

Por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se dictan otras disposiciones

Ley 594 de 2000 Por medio de la cual se expide la Ley General de Archivos

Ley 1266 de 2008

Por la cual se dictan las disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones


Código:

Versión:

Fecha creación:


4

Volver al índice

Ley 1221 del 2008

Por la cual se establecen normas para promover y regular el Teletrabajo y se dictan otras disposiciones

Ley 1273 de 2009

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones

Ley 1581 de 2012

Por la cual se dictan disposiciones generales para la protección de datos personales

Ley 1712 de 2014

Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones

Ley 1915 de 2018

Por la cual se modifica la Ley 23 de 1982 y se establecen otras disposiciones en materia de derecho de autor y derechos conexos

Decreto 2609 de 2012 Decreto 2609 de 2012. Por el cual se reglamenta el Titulo V de la Ley 594 de 2000, parcialmente los artículos 58 y 59 de la Ley 1437 de 2011 y se dictan otras disposiciones en materia de Gestión Documental para todas las Entidades del Estado

Decreto 0884 del 2012

Por el cual se reglamenta parcialmente la Ley 1221 del 2008


Por el cual se reglamenta parcialmente la Ley 1581 de 2012

Decreto 886 de 2014

Por el cual se reglamenta el Registro Nacional de Bases de Datos

Decreto 103 de 2015

Por medio del cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones


Por medio del cual se expide el Decreto Reglamentario del Sector Comercio, Industria y Turismo. Reglamenta parcialmente la Ley 1581 de 2012 e imparten instrucciones sobre el Registro Nacional de Bases de Datos. Artículos 25 y 26

Decreto 1008 del 2018

Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones

CONPES 3701 de 2011

Lineamientos de Política para Ciberseguridad y Ciberdefensa

CONPES 3854 de 2016

Política Nacional de Seguridad digital


Código:

Versión:

Fecha creación:


5

Volver al índice

4. GLOSARIO (Terminología) Nota: términos adicionales pueden ser consultados en los glosarios del BCM Institute e ISO22301 - Gestión de continuidad de negocio (BCM): Es una disciplina y conjunto de procesos

(como metodología) a largo de toda la organización que identifica impactos potenciales que amenazan una organización. Provee la capacidad para una respuesta efectiva que permitan proteger su reputación y el interés de las partes interesadas más importantes.

- Planeación de Continuidad de Negocio (BCP): Es el proceso de desarrollo previo de planes y procedimientos que permiten a una organización responder a un evento de tal manera que las funciones críticas de negocio pueden continuar en niveles planeados de operación.

- Análisis del impacto al negocio (BIA): Etapa del proceso de planeación de Gestión de Continuidad de Negocio. Es el proceso de análisis del efecto de las interrupciones a las operaciones o procesos de negocio en todas sus funciones de negocio.

- Planeación de recuperación de desastres de TIC (DRP TIC): Es el proceso de desarrollo de planes y procedimientos que permiten a la organización responder a desastres y retomar los procesos y aplicaciones de tecnología de información críticas en un periodo de tiempo determinado, minimizando la cantidad de pérdidas, y reparando o reemplazando las instalaciones afectadas tan rápido como sea posible.

- Preparación de las TIC para la continuidad de negocio (IRBC, ITSCM en ITIL): Capacidad de una organización para soportar sus operaciones de negocio mediante la prevención, detección y respuesta a una interrupción así como la recuperación de sus servicios TIC (ITSCM), respondiendo de forma efectiva a las fallas en sistemas o componentes de infraestructura.

- Nivel de Criticidad: Descripción cualitativa usada para enfatizar la importancia de un recurso, proceso o función que debe estar disponible y operativa constantemente o disponible y operativa al menor tiempo posible después de que un incidente, emergencia o desastre ocurra.

- Interrupción: Incidente, bien sea anticipado o no anticipados los cuales pueden afectar el normal curso de las operaciones en alguna de las ubicaciones de la organización.

- Punto objetivo de recuperación (RPO): Punto en el tiempo en el cual los sistemas y datos deben ser recuperados después de que un desastre ocurra.

- Punto Tiempo objetivo de tiempo de recuperación (RTO): Periodo de tiempo máximo-aceptable que puede pasar antes que la falta de una función de negocio impacte la organización de una manera severa.

- Tiempo de Recuperación de Trabajo (WRT): Tiempo disponible para recuperar datos perdidos una vez que los sistemas están reparados.


Código:

Versión:

Fecha creación:


6

Volver al índice

- PPRE: Plan de prevención, preparación y respuesta ante emergencias.

5. PLAN DE CONTINUIDAD DEL NEGOCIO La gestión de continuidad de negocios requiere la ejecución de un número importante de actividades de preparación y preventivas, de tal forma que al darse un incidente, existan procedimientos predefinidos para actuar que lleven a la organización a lograr en contingencia niveles mínimo aceptables de operación ya predefinidos. Cuando se da un incidente el primer Plan que debe ejecutarse es el Plan de manejo de emergencias, cuyo objetivo más relevante es la protección y salvaguarda de las personas, para luego evaluar el incidente y si es requerido activar los diferentes Planes. En forma paralela se activa el Plan de comunicación de la crisis y se ejecutan las diferentes actividades para lograr la continuidad de negocio, la recuperación de tecnología de información y la restauración de la operación normal de negocio. El marco de referencia utilizado para la implementación es la Guía para la preparación de las TIC para la continuidad de negocio del MinTIC y la norma NTC ISO/IEC 27031.

5.1. Organización y funciones

Comité de emergencias (Centro Cívico de Antioquia – Plaza la Libertad PH): Ordenar la activación de la alarma, en caso de una evacuación total por sismo, amenaza de bomba o incendio grande. Hacer cumplir la operatividad del plan de acuerdo a la política de planes de prevención, preparación y respuesta ante emergencias y seguridad y salud en el trabajo de la organización y promover su divulgación al personal. Asegurar que se mantengan los correctivos del plan de prevención, preparación y respuesta ante emergencias. Asegurar la actualización del documento del plan de prevención, preparación y respuesta ante emergencias. En caso de abrir o cambiar de sede, tener en cuenta el análisis de riesgos de la nueva sede para decidir la ubicación de ésta. Establecer vínculos con los organismos de socorro de la ciudad para poner en práctica la ayuda que se requiera en las emergencias. Asumir la dirección y control de la emergencia, en su respectivo puesto de comando. Determinar si la emergencia requiere evacuación total, parcial o no requiere evacuación del personal. El Comité tiene plena autonomía para decidir cómo proceder en caso de una emergencia. Brigada contra incendio (Centro Cívico de Antioquia – Plaza la Libertad PH): Conocer los riesgos y las actividades que se desarrollan en las diferentes áreas del edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y


Código:

Versión:

Fecha creación:


7

Volver al índice

verificando que se eliminen o solucionen adecuadamente. Realizar inventario frecuentemente de los equipos existentes para el control de incendios y llevar un registro de ellos. Actuar prontamente cuando se informe de una emergencia en su piso, accionando la alerta y la alarma, tratando de controlar la situación, prestando apoyo en la evacuación o en actividades de preparación y orientación de la evacuación. Controlar los conatos de incendio. En cualquier emergencia, actuar coordinadamente con los demás miembros de ayuda externa. Brigada de primeros auxilios (Centro Cívico de Antioquia – Plaza la Libertad PH): Mantener debidamente dotado su equipo de primeros auxilios. Hacer un inventario de los equipos requeridos para la atención de posibles pacientes que se presenten por enfermedad súbita o lesiones. Hacer un diagnóstico de las labores que representen una causa de posibles lesiones a los trabajadores. Prestar los primeros auxilios a los lesionados por la emergencia en el área donde laboran. Coordinar el acceso e intervención de los grupos de ayuda externa (Servicio de Salud), siguiendo las instrucciones del comité de emergencias. Controla la remisión de lesionados a centro de atención médica. Coordinadores de evacuación (Centro Cívico de Antioquia – Plaza la Libertad PH): Conocer los riesgos y las actividades que se desarrollan en el edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y verificando que se eliminen o solucionen adecuadamente. Velar porque se mantenga despejado el acceso a las vías de evacuación y se conserve la señalización. Incitar a las personas a mantener la calma y a seguir las instrucciones emitidas por el sistema de alarma. Dar a conocer y recordar a las personas los procedimientos generales establecidos para casos de emergencia durante las fases de alistamiento y evacuación, indicando la ruta de escape a utilizar y el lugar de reunión final. Incitar a las personas al desplazamiento ordenado por las rutas de evacuación si se escucha el sonido de la alarma. Desplazarse con todo el personal hasta el punto de encuentro asignado. Una vez se haya recibido la orden de evacuar, reunir al personal que tenga a su cargo y obrar según el plan. Equipo de dirección del Plan de Continuidad de Negocios (Valor+): Dirigir, tomar decisiones y aprobar las diferentes etapas de implementación o ajustes al Plan de continuidad de negocio. El Plan de continuidad de negocio cuando se produzca una emergencia será activado sólo por este Equipo de dirección. Coordinador de Continuidad de Negocio (Valor+): Apoyar la activación del Plan de continuidad de negocio. Dar la notificación de emergencia al Sitio Alterno e instalaciones con infraestructura o instalaciones de contingencia fuera de sitio. El Coordinador de Continuidad de Negocio debe ser una persona con conocimiento detallado del Plan de continuidad de negocio.


Código:

Versión:

Fecha creación:


8

Volver al índice

Equipo de logística/transporte (Valor+): Hacer los arreglos de emergencia para el transporte, alojamiento y alimentación del personal en el sitio alterno. Ordenar y asegurar la entrega de suministros necesarios fuera de sitio. Equipo de valoración / recuperación de daños (Valor+): Valorar los daños en el sitio del incidente e informar al Equipo de dirección del Plan de Continuidad de Negocios. Trabaja con el Comité de emergencias del Centro Cívico de Antioquia – Plaza la Libertad PH, para verificar que el edificio puede ser ocupado después de un desastre. Equipo de Comunicaciones (Valor+): Gestionar las Relaciones Públicas (Relaciones Públicas y Comunicación de Crisis) y otras comunicaciones (por ejemplo Coordinación con las Autoridades Públicas). Equipo de Telecomunicaciones (Valor+): Recuperar y mantener todas las comunicaciones de voz y comunicaciones de datos. Equipo de tecnología de información (Valor+): Recuperar la operación de todos los sistemas de computación críticos y estaciones de trabajo.

5.2. Políticas de continuidad de negocios

Compromiso de la dirección La alta dirección acompañará, en forma directa o a través de una delegación formal, al equipo de dirección del Plan de continuidad de negocios en la ejecución y actualización del análisis de impacto en el negocio, en la valoración que se realiza de los riesgos, las estrategias de continuidad que se definen y los resultados de los ejercicios o pruebas del Plan. Clasificación de activos de la información El Equipo de dirección del Plan de Continuidad de Negocios debe establecer y usar un marco de trabajo lógico para clasificar todos los activos de información por prioridad de recuperación. Análisis de impacto en el negocio El Equipo de dirección del Plan de Continuidad de Negocio o su designado, debe desarrollar un análisis de impacto de negocios que especificará el período máximo que la organización puede operar sin servicios de procesamiento de información críticos, el período de tiempo en el cual el Equipo de dirección del Plan de Continuidad de Negocios debe decidir si trasladar las actividades a un sitio de procesamiento alterno, y la


Código:

Versión:

Fecha creación:


9

Volver al índice

configuración de recuperación mínima aceptable de los sistemas de información de producción. Preparación y mantenimiento de los Planes de continuidad de negocio El Equipo de dirección del Plan de Continuidad de Negocio debe preparar, actualizar y evaluar regularmente el Plan de Continuidad de Negocios. Pruebas del Plan de continuidad de negocio Los Planes de continuidad de negocio deben ser probados regularmente y esta prueba debe ser documentada en un breve reporte dirigido a la alta dirección detallando los resultados. Planeación de continuidad de negocio y roles de recuperación de tecnología de información Los roles y responsabilidades para la planeación de continuidad de negocios y la recuperación de tecnología de información, deben ser revisados y actualizados anualmente por el Equipo de dirección del Plan de Continuidad de Negocios. Revisión de las políticas de continuidad de negocio Las políticas de Continuidad de Negocios debe ser revisadas en intervalos planeados de tiempo y cuando ocurran cambios significativos en la operación y/o servicios prestados por la organización. Aprobación de las políticas de continuidad de negocio Las políticas de Continuidad de negocio deben ser aprobadas siguiendo los mecanismos de aprobación de las políticas de seguridad de información.

6. ANÁLISIS DE IMPACTO EN EL NEGOCIO El Análisis de Impacto en el Negocio nos permite identificar, de acuerdo al nivel de criticidad para el negocio, qué procesos requieren recuperarse prioritariamente. Los procesos identificados con menor prioridad serán incluidos en los diferentes planes asociados a continuidad de negocio a medida que dicha gestión adquiera mayores niveles de madurez. Teniendo en cuenta la estructura de procesos de Valor+, se evalúa el nivel de impacto de una interrupción dentro de la entidad. El impacto operacional negativo de una interrupción se mide utilizando un esquema de valoración, con los siguientes niveles: A, B o C. Nivel A: La operación es crítica para el negocio. Una operación es crítica cuando al no contar con ésta, la función del negocio no puede realizarse.


Código:

Versión:

Fecha creación:


10

Volver al índice

Nivel B: La operación es una parte integral del negocio, sin ésta el negocio no podría operar normalmente, pero la función no es crítica. Nivel C: La operación no es una parte integral del negocio.

MACROPROCESO PROCESO N1 PROCESO N2 NIVEL DESCRIPCIÓN

Estratégicos

Planeación

estratégica

Planeación

estratégica B

Determinar las orientaciones estratégicas

en la Entidad, mediante procesos de

planeación y mejoramiento continuo, para

el cumplimiento de los Objetivos

Estratégicos

Riesgos Riesgos B

Identificar los riesgos de los procesos de

la Entidad, incluidos en la Matriz y/o Mapa

de riesgos y realizarle el control y

seguimiento adecuado para mitigarlos y/o

eliminarlos

Información y

comunicación

Información y

comunicación C

Gestionar la comunicación interna y

externa de la Entidad mediante la

definición de las políticas de información y

comunicación corporativas, con el fin de

informar la gestión empresarial de manera

clara y oportuna a todos los grupos de

interés

Talento humano Talento humano B

Administrar el recurso humano en forma

efectiva y oportuna de acuerdo con las

necesidades de la empresa, atendiendo

los requerimientos derivados de selección,

permanencia y retiro de los empleados, a

través de las actividades de

administración de salarios, formulación y

actualización del manual de funciones y la

implementación del Plan de Desarrollo del

Talento Humano


Código:

Versión:

Fecha creación:


11

Volver al índice


Misionales

Comercial Comercial C Cumplir con las ventas acordadas en el

plan de estratégico de la compañía

Servicios

Soporte a la

operación de

servicios:

- Procedimiento

Contact Center

- Procedimiento

Mesa de servicios

- Procedimiento

Monitoreo

- Procedimiento

base de datos de

conocimiento

A

Operar los servicios ofrecidos a nuestros

clientes cumpliendo con nuestros

compromisos contractuales y

garantizando los resultados esperados en

calidad, oportunidad y costo

Apoyo

Financiera y

contable

Financiera y

contable B

Direccionar el Proceso de Gestión

Financiera y Contable, abarcando los

procedimientos de Tesorería,

Contabilidad, Presupuesto y Finanzas

Corporativas

Administrativa Administrativa C

Mantener y responder por el

funcionamiento administrativo de la

empresa a través de la gestión y control

de los recursos físicos y logísticos

Documental Documental C

Apoyar a todos los procesos en la

adecuada identificación, seguimiento,

almacenamiento, organización,

conservación, tiempos de retención y

disposición final de los registros,

garantizando la custodia de los archivos y

la construcción de la memoria histórica de


Código:

Versión:

Fecha creación:


12

Volver al índice


la empresa

Contractual Contractual B

Adquirir los bienes y servicios requeridos

por la empresa durante cada vigencia,

para atender las necesidades previstas en

el Plan Anual de Adquisiciones (PAA)

mediante el desarrollo de los procesos

contractuales

Jurídica Jurídica C

Garantizar el cumplimiento de las normas

constitucionales y legales vigentes de

todas las actuaciones jurídicas y de

representación judicial de VALOR +

S.A.S, además del acompañamiento

efectivo a los procesos, velando por los

intereses de la sociedad

Calidad Calidad C

Asegurar el mantenimiento y

sostenimiento del Sistema de Gestión de

Calidad, mediante el uso de mecanismos

que contribuyan a la mejora continua de

los procesos

Tecnología Tecnología A

Definir e implementar la Estrategia de

Tecnología de Información Corporativa

para soportar la operación del negocio de

forma segura, efectiva y eficiente,

asegurando además que los objetivos de

transformación, crecimiento y expansión

de las unidades de negocio se logren a

través del uso de la Tecnología y de la

Información, posicionándola como una

palanca de valor y un activo estratégico

para el negocio

Control y Seguimiento y Seguimiento y B Realizar el seguimiento y evaluación a la

gestión empresarial, mediante métodos y


Código:

Versión:

Fecha creación:


13

Volver al índice


evaluación evaluación evaluación herramientas de control, medición y

análisis de información para el

cumplimiento de las metas

Evaluación

independiente

Evaluación

independiente B

Realizar evaluación independiente y

monitoreo permanente a la empresa, con

el fin de medir eficiencia, eficacia y

economía en las actuaciones y medir los

controles existentes en los diferentes

procesos y la calidad y la efectividad o no

de los mismos, de acuerdo con las

normas constitucionales y legales vigente

En el proceso crítico para Valor+ (Soporte a la Operación de Servicios) se consideran los siguientes procedimientos: Procedimiento Contact Center, Procedimiento Mesa de servicios, Procedimiento Monitoreo y Procedimiento base de datos de conocimiento. A través de estos procedimientos se operan los servicios ofrecidos a nuestros clientes cumpliendo con nuestros compromisos contractuales y garantizando los resultados esperados en calidad, oportunidad y costo. El alcance inicial del BCP de acuerdo a las prioridades definidas, tiene como foco este proceso y procedimientos asociados, en las diferentes etapas de maduración se integrará el análisis de otros procesos considerando la metodología aquí utilizada.

7. PLAN DE CONTINUIDAD OPERATIVA (BCP / ITSMSC) Proceso Soporte a la Operación de Servicios Objetivo del proceso Dar soporte a la operación de los servicios ofrecidos a nuestros clientes cumpliendo con nuestros compromisos contractuales y garantizando los resultados esperados en calidad, oportunidad y costo. Con los siguientes objetivos específicos:


Código:

Versión:

Fecha creación:


14

Volver al índice

- Contact Center: Atender requerimientos relacionados con los servicios prestados a terceros y ayudar a solucionar en el menor tiempo posible las dudas, solicitudes o inconvenientes que se presenten por parte de los usuarios o contribuyentes.

- Mesa de ayuda: Responder de manera oportuna, eficiente, eficaz y con calidad los incidentes, consultas y solicitudes escaladas por el personal de la compañía y sus clientes, dichas solicitudes son canalizadas y atendidas por la Mesa de Ayuda de Valor+, siendo el punto único de contacto para atender los diferentes requerimientos.

- Monitoreo: Generar alertas oportunas que permita cumplir con los indicadores establecidos (operación).

- Base de datos de conocimiento: Diseñar, desarrollar, implementar y mantener la base de datos de conocimiento, a partir de la recepción de los requerimientos funcionales definidos por la operación, con el fin de atender las necesidades de información de los procesos misionales y de apoyo.

Arquitectura del proceso En el proceso de análisis se parte del modelo de arquitectura empresarial (EA) para el proceso, utilizando el modelo TOGAF. Esto permite, no solo para el Plan de Continuidad de Negocios, sino para el análisis de seguridad de información y la planeación de tecnología de información un análisis más detallado y una documentación comprensible para un grupo más amplio de personas, que aquellas con conocimiento en tecnologías de información. La primera parte consiste en la descripción del proceso de negocio (el detalle lo determina el objetivo de análisis y el nivel al cual se toman decisiones o se gestiona el riesgo).


Código:

Versión:

Fecha creación:


15

Volver al índice

Servicios del negocio, funciones del proceso El Soporte a la Operación de Servicios, a través de una serie de procedimientos y actividades permiten que la organización cumpla su propuesta de valor de cara a los clientes; a continuación se identifican los servicios (tareas) que se deben considerar en las etapas posteriores de análisis y cuál sería el impacto en caso de que dichos servicios no se pudieran prestar. Los servicios o funciones se definen a partir del gráfico del proceso presentado anteriormente.


Código:

Versión:

Fecha creación:


16

Volver al índice

SERVICIO-FUNCIÓN IMPACTO POR NO DISPONIBILIDAD DEL SERVICIO-FUNCIÓN

Información de liquidación

El servicio no se puede prestar, afectando los ingresos del cliente

externo y de Valor+. Genera pérdida de imagen e insatisfacción del

cliente y del contratante

Estado de cuenta

El servicio no se puede prestar. Puede afectar la oportunidad de

trámites. Genera pérdida de imagen e insatisfacción del cliente y del

contratante

Información general

El servicio no se puede prestar. Puede conllevar a una afectación

económica. Genera pérdida de imagen e insatisfacción del cliente y

del contratante

Soporte servicios de plataforma

Afecta la operación de proyectos y su atención. Puede tener impacto

económico y pérdida de imagen ante el contratante. Puede afectar los

Acuerdos de Niveles de Servicio

Cambios menores Puede tener impacto económico y pérdida de imagen ante el

contratante. Puede afectar los Acuerdos de Niveles de Servicio

Respuesta a clientes internos y externos y

corporativos




Service desk

Afecta la respuesta a los incidentes, consultas y solicitudes escaladas

por el personal de la compañía y sus clientes. Puede afectar los


Monitoreo de infraestructura

No se registrarán eventos en la infraestructura que dependiendo de su

nivel podrían afectar el desempeño de la infraestructura y los Acuerdos

de Niveles de Servicio.

Gestión de eventos




Gestión de incidentes Afecta la respuesta a los incidentes, consultas y solicitudes escaladas



Código:

Versión:

Fecha creación:


17

Volver al índice

Requerimientos del proceso Se identifican los requerimientos de información, suministros o personas que requiere el proceso para poder operar.


Gestión de problemas




Gestión de soporte servicios de plataforma




Gestión de contacto directo




Gestión solicitudes de servicio

Afecta la respuesta a las solicitudes escaladas por el personal de la

compañía y sus clientes. Puede afectar los Acuerdos de Niveles de

Servicio

Service desk cliente corporativo

Insatisfacción del cliente (ciudadano). Afecta la respuesta a los

incidentes, consultas y solicitudes escaladas por el personal de la

compañía y sus clientes. Puede afectar los Acuerdos de Niveles de

Servicio

IVR

Afecta ejecución de un proyecto, afecta indicadores y probablemente

Acuerdos de Niveles de Servicio. Podría llevar a insatisfacción del

cliente

Campañas de salida

No se podrían efectuar campañas de salida, con la posibilidad de

afectar los ingresos si las campañas no pueden ser pospuestas o si su

efectividad se ve afectada

Tipificación, evaluación y mejoramiento No se podrían presentar reportes de indicadores y estadísticas


Código:

Versión:

Fecha creación:


18

Volver al índice

Requerimientos de información de entrada Información de entrada que requiere el proceso, qué impacto tiene sobre el proceso la no disponibilidad de esa información, quién suministra esa información y si existe otra fuente (o siempre debe ser la misma fuente) que pueda suministrar esta información en caso de que las fuentes primarias no estén disponibles.

INFORMACIÓN DE

ENTRADA

FUENTE

PRIMARIA

IMPACTO

SOBRE EL

PROCESO POR

LA NO

DISPONIBILIDAD

FRECUENCIA

(ÉPOCA - FECHA)

FUENTE

ALTERNATIVA

Llamada telefónica solicitud

de información general Ciudadano

No prestación del

servicio Diario Ninguna

Llamada telefónica solicitud

de información de liquidación Ciudadano

No prestación del

servicio Diario Ninguna

Estado de cuenta Sistema cliente

corporativo

No prestación del

servicio Diario

Depende del plan de

continuidad del

cliente corporativo

Ticket del service desk –

Información de desempeño

Áreas internas

Valor+

Atención sin

generación de

ticket

Diario Registro manual

Ticket del service desk –

Cambios y configuraciones

menores

Agentes y

supervisor de

servicio

Atención sin

generación de

ticket

Semanal - Mensual Registro manual

Información de plataforma Herramientas de

monitoreo

No se realiza el

monitoreo Diario

Comandos manuales

en equipos y

servidores

Información de campañas Áreas internas

Valor+

No se realiza la

campaña Mensual Ninguna


Código:

Versión:

Fecha creación:


19

Volver al índice

Requerimientos de información de salida Información resultado del proceso, para otros procesos internos o para entes externos (incluyendo reportes para entes reguladores). A quién está destinada esta información?, cuál es la sanción por el incumplimiento (ya sea internamente o en el caso de reportes para entes reguladores)?, cuál es la frecuencia y fechas en que esta información debe ser producida y entregada?, y cuáles podrían ser alternativas de generación para entregar a procesos o entes externos esta información de salida?.

INFORMACIÓN DE

SALIDA

QUIÉN

RECIBE

IMPACTO – SANCIÓN

POR

INCUMPLIMIENTO

FRECUENCIA

(ÉPOCA - FECHA)

ALTERNATIVA DE

GENERACIÓN

Información general

(oficinas, sitios y fechas

de pago, etc.)

Ciudadano

Definido en los

Acuerdos de Niveles de

Servicio

Diario Conexiones alternas a

cliente corporativo

Información de

liquidación Ciudadano

Definido en los

Acuerdos de Niveles de

Servicio

Diario Conexiones alternas a

cliente corporativo

Reportes de

desempeño

Áreas

internas

Valor+ /

Cliente

corporativo

externo

Ninguna

(insatisfacción) Diario

Recolección manual de

la información a partir

de archivos de registro

(logs)

Cierre de ticket

Áreas

internas

Valor+

Ninguna

(insatisfacción) Diario Llamada directa


Código:

Versión:

Fecha creación:


20

Volver al índice

Requerimientos tecnológicos Definen los elementos tecnológicos requeridos para ejecutar los diferentes servicios o funciones, tanto a nivel de componentes de software como infraestructura. Estos elementos se detallan a un nivel suficiente que permita realizar el análisis objetivo, a nivel de componentes de tecnología de información para definir estrategias de continuidad de la misma (ITSMC en ITIL) como a nivel de la estrategia de recuperación de sitio (DRP). Para el componente de redes se presenta un detalle mayor para el análisis utilizando elementos de diagramas de arquitectura empresarial (y no un diagrama de redes tradicional) con el fin de mantener la consistencia con un objetivo a mediano plazo de Valor+ sugerido en las políticas de Gobierno Digital, llevar a un estado mayor la calificación de madurez de arquitectura empresarial para la organización.


Código:

Versión:

Fecha creación:


21

Volver al índice

Se identifica entonces el software (aplicaciones) o hardware utilizado, para qué actividad se utiliza ese recurso, el impacto que tiene sobre el proceso si éste no se encuentra disponible y en caso que no se encuentre disponible que se debe hacer como contingencia (ya sea considerado como componente independiente o en el caso de un desastre que requiera que la operación se traslade a un sitio alterno).

SOFTWARE/

HARDWARE/RECURSO

UTILIZACIÓN DEL

RECURSO

IMPACTO SOBRE EL

PROCESO POR LA NO

DISPONIBILIDAD

TRATAMIENTO DE

CONTINGENCIA

PLANTEADO

Software VMW

Proporciona ambientes

de ejecución virtual para

el software de PBX,

Software de Help Desk,

IVR, Intranet y Extranet

No se puede ejecutar el

proceso al no poderse

ejecutar el software de

PBX, Software de Help

Desk, IVR, Intranet y

Extranet

Componente (ITSMC): Se

tienen copias de todas las

VM´s que están en los VMW1 y

VMW2 en un servidor alterno

VMW3 dentro del mismo centro

de datos.

Sitio alterno (DRP): El sitio

alterno se contrata con este

componente

Software PBX

Cumplir con las

funcionalidades de una

central telefónica para

No se podría ejecutar el

proceso para las

actividades

Componente (ITSMC): El

servicio se enruta a AWS

mientras se levanta la VM del


Código:

Versión:

Fecha creación:


22

Volver al índice

llamadas entrantes y

salientes

dependientes de

telefonía

VMW3

Sitio (DRP): El sitio alterno se

contrata con este componente.

El sitio de contingencia todos

los agentes contestan todos

los servicios.

Si la atención en sitio alterno

es por un largo periodo se

recuperan respaldos (AWS S3)

y se reinstalan en la nueva

infraestructura (CDR, bases de

datos y configuración del PBX)

Software Help Desk

(OTRS)

Plataforma para la

atención de eventos y

soporte de servicios de

tecnología de

información

El proceso se puede

ejecutar. Se podría

prestar el soporte

realizando inicialmente

un registro manual

Componente (ITSMC): Tiene

los niveles de disponibilidad de

AWS

Sitio (DRP): Tiene los niveles

de disponibilidad de AWS

Gestión conocimiento y

autoayuda OTRS

Plataforma para

almacenar el análisis de

gestión de problemas

creando las bases para

la atención de futuros

eventos y la autogestión

No se contaría con este

servicio pero el proceso

podría seguir operando



AWS



IVR

Plataforma de telefonía

que permite interactuar

con un sistema de

audiorespuesta a través

de opciones utilizando

los tonos del teclado

telefónico o

instrucciones simples de

voz





servicio se enruta a una

máquina en AWS mientras se

levanta la VM del VMW3

Sitio (DRP): No se ofrecerá al

ciudadano este servicio.


Código:

Versión:

Fecha creación:


23

Volver al índice

Intranet y extranet CRM &

KDB

Plataformas de trabajo

colaborativo orientadas

al público interno y

externo (clientes),

recogiendo información

para la formación en los

servicios prestados por

Valor+ y temas de

interés relacionados






AWS



LAN

Red de Área Local.

Infraestructura de

comunicación a nivel

local que permite la

interconexión y uso de

recursos de hardware y

software

No se permitiría la


recursos de hardware y

software en el área local

y afectaría la

conectividad a Internet.

El proceso no podría

seguir operando


tiene equipos y conectividad

redundante



componente

Firewall

Elemento de protección

que permite controlar el

tráfico entre elementos

de la red

Se perdería parte del

control de acceso a los

elementos de la red

afectando el nivel de los

riesgos de seguridad de

información


tiene equipo redundante y se

redirige el tráfico a este

componente



componente

Internet

Red descentralizada de

recursos a nivel global

que permite la

interconexión a través

del protocolo de

comunicaciones TCP/IP

No se permitiría la


recursos y servicios

ofrecidos o soportados

a través de esta red . El

proceso no podría

seguir operando


tiene servicio de Internet

redundante, con

configuraciones replicadas

sobre cada conexión para una

respuesta rápida a la

contingencia


Código:

Versión:

Fecha creación:


24

Volver al índice



componente

Software CC (Internet)

Plataforma que permite

a los agentes

administrar las llamadas

telefónicas de los

clientes, de una manera

eficiente permitiendo

además la trazabilidad y

generación de

estadísticas

El proceso se seguiría

ejecutando pero con

limitaciones. No se

podría tener interacción

con el cliente a través

de esta plataforma, se

haría de forma estática

sin tipificación

Componente (ITSMC):

Asignación estática de agentes

a colas, no se utiliza el

software de CC, por lo tanto,

se trabaja sin tipificación.

Sitio (DRP): No se utiliza este

software en el sitio alterno.

Troncal SIP (Internet)

Servicio de telefonía

que permite conectar el

software de PBX a la

red telefónica, a través

del protocolo TCP/IP en

Internet

No se podría ejecutar el

proceso para las

actividades

dependientes de

telefonía

Componente (ITSMC): Por la

configuración y el servicio

contratado con el proveedor, si

la falla es solo para el servicio

de Valor+ todas las llamadas

se enrutan al sitio alterno. El

personal debe desplazarse al

sitio alterno.

Si la falla del servicio es

general del proveedor no se

puede realizar ningún

tratamiento.

Sitio (DRP): El sitio alterno se

contrata con este servicio, pero

de menor simultaneidad

SMS (Internet)

Servicio de mensajería

simple o de mensajes

cortos a teléfonos

móviles utilizado por

Valor+ para realizar





servicio lo ofrece un proveedor

a través de Internet, tiene los

ANS del proveedor, no se

requiere disponibilidad 100%,


Código:

Versión:

Fecha creación:


25

Volver al índice

campañas si no esta disponible no se

realizan campañas

Sitio (DRP): El servicio lo

ofrece un proveedor a través

de Internet, tiene los ANS del

proveedor, no se requiere

disponibilidad 100%, si no está

disponible no se realizan

campañas

E-mail campañas (Internet)

Servicio de mensajería

electrónica utilizado por

Valor+ para realizar

campañas







ANS del proveedor, no se


si no está disponible no se

realizan campañas.



de Internet, tiene los ANS del

proveedor, no se requiere

disponibilidad 100%, si no está

disponible no se realizan

campañas.

Telefonía extendida

Servicio de telefonía

que incluye telefonía fija

y a celular para

llamadas de salida







ANS de Google Cloud, no se


No se usa para llamadas de

entrada, si no está disponible

no se realizan llamadas de

salida a los destinos utilizados

con este proveedor


Código:

Versión:

Fecha creación:


26

Volver al índice

Requerimientos de personal Hasta el momento se han identificado los requerimientos de información y tecnológicos para la ejecución del proceso, otro recurso de vital importancia son las personas, cuya no disponibilidad podría interrumpir completamente un proceso. En el tratamiento de continuidad se considera como medida preventiva la preparación adicional (capacitación) que requieren otros miembros de los equipos de trabajo para poder realizar esas labores en caso de una contingencia. Para cada uno de los roles (cargos) requeridos para la ejecución del proceso, ¿qué impacto tendría que éste no estuviera disponible? ¿Y qué se podría hacer o qué alternativas tienen para que el proceso pueda ser ejecutado en caso de que algún miembro del personal no esté disponible?



de Internet, tiene los ANS de

Google Cloud, no se requiere

disponibilidad 100%, No se usa

para llamadas de entrada, si

no está disponible no se

realizan llamadas de salida a

los destinos utilizados con este

proveedor

Canales dedicados clientes

corporativos

Canales de

comunicación

establecidos con los

clientes ya sea como

Internet, redes privadas

sobre Internet o por

conexiones establecidas

directamente

No se podría tener

acceso a las

plataformas de los

clientes por lo que no se

podría prestar los

servicios que dependan

de dichas plataformas

Componente (ITSMC):

Conexiones por VPN

Sitio alterno (DRP):

Conexiones por VPN


Código:

Versión:

Fecha creación:


27

Volver al índice

CARGO IMPACTO SOBRE EL PROCESO

POR LA NO DISPONIBILIDAD

TRATAMIENTO DE

CONTINGENCIA PLANTEADO

Administrador VMW

No sería posible realizar acciones de

soporte y configuración como

creación de nuevas máquinas

virtuales, recuperación de imágenes

anteriores, revisión y aseguramiento

de copias de imágenes, aumento de

espacio en disco de máquinas

virtuales, revisión de estado de

máquinas, solucionar situaciones

que impiden que una máquina virtual

se inicie, no sería posible

sobreponerse a bloqueos de red del

servidor ESXI.

Documentación de pares –

Instructivos operacionales


Código:

Versión:

Fecha creación:


28

Volver al índice

Administrador PBX

Si por algún motivo falla el software

de PBX no sería posible revisar el

motivo y subir de nuevo el servicio,

no se podrían realizar nuevas

configuraciones, ni cambiar

grabaciones de mensajes, no se

tendría quien revise los respaldos y

las copias de las grabaciones en

AWS S3, no se podrían revisar fallas

de canales que impiden utilización

de troncales, no se podrían

desbloquear IP’s banneadas ni

solucionar situaciones de softphone,

no se tendría quien realice nuevas

configuraciones en la aplicación de

aprovisionamiento del softphone ni

sería posible dar soporte, revisar y

solucionar problemas de

configuración realizados por

personal de la mesa de ayuda.



Administrador OTRS

No se podría realizar nuevas

configuraciones de servicios,

adicionar usuarios, generar nuevos

reportes.



Administrador IVR

No se podría revisar y buscar fallas

en el servicio, agregar mensajes,

realizar configuraciones de acuerdo

a fechas especiales ni adicionar

nueva funcionalidad.



Administrador Intranet y Extranet

No se podría prestar el servicio

afectando todos los procesos que las

utilizan, las comunicaciones internas,

los flujos de procesos, compartir

archivos, etc.




Código:

Versión:

Fecha creación:


29

Volver al índice

Administrador LAN

No se tendría ningún servicio que la

utiliza como Internet, intranet,

extranet, telefonía, call center, y

demás plataformas de servicio.



Administrador Internet

No se podría revisar las fallas y

solucionarlas, enrutar por diferentes

canales o por el alterno, no se

prestaría a los usuarios los servicios

que lo requieren para poder

ejecutarse como OTRS, software

CC, Telefonía extendida, intranet,

extranet



Administrador Software CC (Internet)

No se podrían realizar reportes, ni

revisar y monitorear el servicio

prestado, reasignar usuarios a colas,

descargar grabaciones y realizar

monitoreo de calidad de servicio.



Administrador Troncal SIP (Internet)

No se prestaría a los usuarios el

servicio y no sería posible revisar

fallas y solucionarlas. No se tendría

servicio de llamadas de entrada o

salida local en el call center.



Administrador SMS (Internet)

No sería posible ejecutar las

campañas, revisar y evaluar los

reportes de la campaña realizada.



Administrador E-mail campañas

(Internet)

No sería posible ejecutar las

campañas, revisar y evaluar los

reportes de la campaña realizada.



Administrador telefonía extendida

No se prestaría a los usuarios el

servicio y no sería posible revisar

fallas y solucionarlas o enrutar el

tráfico a otro proveedor.




Código:

Versión:

Fecha creación:


30

Volver al índice

Administrador de base de datos

(Internet)

No se podría solucionar posibles

fallos o lentitud de la base de datos

ni recuperar información de copias

de seguridad y afectaría el servicio

que las utiliza.



Administrador canales dedicados

clientes corporativos

Si se pierde la conectividad por

canales dedicados y no se tiene un

administrador con conocimiento para

solucionar la situación se afectan los

servicios que lo utilizan para

consultas a host de clientes o para

comunicaciones telefónicas, lo cual

conlleva a afectación de estos

servicios algunos de los cuales no se

pueden solventar con VPN’s sobre

Internet.



Supervisor Contact Center

No se podrían realizar reportes,

medir efectividad de campañas,

capacidad del call center, realizar

campañas de llamadas de salida,

SMS y correos electrónicos,

tampoco revisar y monitorear el

servicio prestado, reasignar usuarios

a colas, descargar grabaciones y

realizar monitoreo de calidad de

servicio, tampoco dar soporte en

información de proceso o servicios a

los agentes para resolver dudas en

la atención a los usuarios.

Personal capacitado en la estructura

organizacional del Contact Center

(pares)



Agentes

En la planeación de los turnos de

atención del call center siempre se

tiene en cuenta la posible falta al

puesto de trabajo de un porcentaje

de agentes, este porcentaje se

calcula con el histórico de ausencias

Planeación de disponibilidad


Código:

Versión:

Fecha creación:


31

Volver al índice

reportadas, por lo tanto, se tiene

contemplado posibles ausencias de

este cargo.

Supervisor Mesa de servicio

Algunas de sus responsabilidades, y

funciones no se podrían ejecutar de

la mejor manera, ya que las

personas que podrían reemplazarlas

no tienen el mismo perfil ni

capacidades, ni relacionamiento con

los clientes.



Agentes Mesa de servicio

La capacitación de los agentes en

las diferentes mesas de servicio

permite que cada uno de ellos pueda

atender todos los frentes que la

mesa soporta, por lo tanto en

ausencia de un agente los demás

pueden realizar las labores sin

generar afectación del servicio.

Capacitación de agentes Mesa de

Servicio



Administrador servicios AWS

No se podría estar evaluando el

costo del uso de la nube, buscar y

evaluar formas de reducir facturación

modificando servicios, tampoco

implementar nuevos servicios ni

realizar modificaciones a los ya

existentes. En caso de falla del

sistema no se podría evaluar la

causa ni generar ninguna acción de

solución, tampoco se podría hacer

verificación proactiva de los servicios

evitando la falla o caída de éstos.




Código:

Versión:

Fecha creación:


32

Volver al índice

8. PLAN DE RECUPERACIÓN A DESASTRES (DRP) Requerimientos tecnológicos sitio alterno De acuerdo a la información anterior se definió la infraestructura mínima para operación en contingencia.

Una vez identificados los procesos críticos del negocio, se deben establecer los tiempos de recuperación que son una serie de componentes correspondientes al tiempo disponible para recuperarse de una alteración o falla de los servicios. Los tiempos de recuperación de describen a continuación: - Punto objetivo de recuperación (RPO): Punto en el tiempo en el cual los sistemas y

datos deben ser recuperados después de que un desastre ocurra. - Punto Tiempo objetivo de tiempo de recuperación (RTO): Periodo de tiempo máximo-

aceptable que puede pasar antes que la falta de una función de negocio impacte la organización de una manera severa.

- Tiempo de Recuperación de Trabajo (WRT): Tiempo disponible para recuperar datos perdidos una vez que los sistemas están reparados.


Código:

Versión:

Fecha creación:


33

Volver al índice

HW / SW

ACTIVO DE

INFORMACIÓN

RELACIONADO

RTO

(Horas

)

RPO

(Horas)

WRT

(Horas)

RAZÓN/JUSTIFICACIÓN

CALIFICACIÓN

Software VMW

Ninguno. Solo se

requiere

configuración

mínima de

hardware

0 0 0

El sitio alterno se contrata con

este componente, debe tener

mínimo 4 VCPU, 8 GB RAM y

50 GB de disco

Software PBX

Base de datos

CDR,

Grabaciones,

Base de datos

configuración de

la planta

4 1

0 2

24 4


este componente. El sitio de

contingencia todos los agentes

contestan todos los servicios.

Si la atención en sitio alterno

es por un largo periodo se

recuperan respaldos (AWS S3)

y se reinstalan en la nueva

infraestructura (CDR, bases de

datos y configuración del PBX)

FreePBX 0 24 0

Debe tener la misma versión

de producción de módulos,

Asterix y FreePBX, es

responsabilidad del proveedor

de sitio alterno mantener

actualizada a la versión de

producción accediendo a la

información de Valor+


Código:

Versión:

Fecha creación:


34

Volver al índice

HW / SW

ACTIVO DE

INFORMACIÓN

RELACIONADO

RTO

(Horas

)

RPO

(Horas)

WRT

(Horas)

RAZÓN/JUSTIFICACIÓN

CALIFICACIÓN

disponble en la nube

LAN Sitio Alterno

Configuraciones

de acceso a la

infrestructura de la

Gobernación.

Dominios de

cifrado

0 0 0


este componente, debe

mantenerse preconfigurado

Firewall sitio

alterno

Preconfiguración

en sitio alterno 0 0 0


este componente. Debe estar

preconfigurado

Internet Preconfiguración



este componente. Debe estar

preconfigurado

Troncal SIP Preconfiguración



este servicio, pero de menor

simultaneidad. Debe estar

preconfigurado

Software Help

Desk

Toda la

plataforma 0 12 0

Tiene los niveles de

disponibilidad de AWS

Motor Base de

Datos

Toda la

plataforma 0 12 0

Tiene los niveles de

disponibilidad de AWS

Canales dedicados

clientes

corporativos

Preconfiguración


Conexiones por VPN. Deben

estar preconfigurados los

clientes VPN

1. Recuperación completa para traslado a sitio alterno durante un largo periodo de tiempo 2. No es necesaria recuperación completa, se opera como se encuentre la instalación


Código:

Versión:

Fecha creación:


35

Volver al índice

9. PLAN GENERAL DE MANEJO DE LA CRISIS

9.1. Plan de comunicación de la crisis

El plan de comunicación de la crisis provee las políticas y procedimientos requeridos para la coordinación de las comunicaciones de Valor+ y su personal, los medios y el público en general en caso de una emergencia o un evento que así lo amerite. Las emergencias pueden incluir sismos, atentados – explosiones, incendios, inundaciones, etc. Este Plan de comunicaciones no modifica la forma en que las emergencias son inicialmente reportadas, analizadas y comunicadas por el Puesto de Mando Unificado (PMU). Los objetivos del Plan son: - Coordinar toda la información que debe ser difundida - Proporcionar a los medios de comunicación y partes interesadas consistencia en la

información - Designar un grupo específico de personas (titulares y suplentes) con la responsabilidad

de difundir la información - Identificar los aspectos que deben ser informados acerca de una situación determinada - Comunicar los hechos acerca de la emergencia Organización Jefe o Coordinador General de Emergencias Es la máxima instancia para decisiones operacionales durante la fase de Control de la emergencia, el cual es responsable de la implantación del plan y posee el máximo nivel estratégico de decisión. Entre sus principales funciones están: - Decretar el estado de emergencia y su categoría - Tomar decisiones estratégicas necesarias para el manejo de la emergencia - Coordinar las diferentes funciones de emergencia, así como la actuación de los grupos

de apoyo internos - Coordinar la intervención de los grupos internos con los grupos de operación externos - Ordenar la evacuación parcial o total de las instalaciones - Coordinar con los organismos asesores internos la utilización de recursos necesarios

para el control de las emergencias - Declarar la finalización de la fase de control del evento - Coordinar con las demás dependencias de la organización las labores de

reconstrucción


Código:

Versión:

Fecha creación:


36

Volver al índice

Puesto de Mando Unificado – PMU Propiedad Horizontal Es el sitio donde se reúne el Comité de Emergencia para Coordinar y atender la emergencia. Es el lugar donde se centraliza la información y la toma de decisiones durante una emergencia. En la cadena de intervención técnica está integrado por un representante de cada uno de los grupos comprometidos en la atención y reparación del daño. Sus funciones son: - Evaluar la magnitud del evento y sus efectos - Organizar el plan de actividades - Adoptar y transmitir ordenes - Conseguir y coordinar los recursos requeridos - Canalizar la información para los medios de comunicación y la comunidad - Hacer informes de las actividades realizadas - Dar la orden de regreso a la normalidad Notificación de emergencias Para la notificación se requiere de un sistema de registro de información, y los medios que permitan conocer cuándo, dónde y de qué magnitud es la amenaza o el desastre. Estos mecanismos deben estar dispuestos para los empleados y las áreas vulnerables. El Comité ha definido la siguiente organización interna para dar respuesta a los programas de prevención, atención y recuperación en caso de emergencias y desastres. Componentes: - El Informante: Es la persona o el equipo de monitoreo que da el aviso de la existencia

de un peligro - El Receptor Inicial: Es la persona disponible para recibir, procesar y verificar la

información. Se debe disponer de este medio las 24 horas del día durante todo el año - Evaluación del mensaje y toma de decisiones: Es el nivel de la organización que debe

valorar el aviso del informante y determinar la importancia de notificar la emergencia a otras instancias administrativas y personas afectadas

- A su vez incluye la notificación a los integrantes del Comité de Emergencias quienes determinan la magnitud de la emergencia y los impactos esperados

- Declaración de alerta y alarma: Es el mecanismo que permite informar oportuna y adecuadamente a todas las personas e instituciones implicadas en la situación generada y la puesta en marcha de los planes operativos.


Código:

Versión:

Fecha creación:


37

Volver al índice

- El aviso: Es la información que se trasmite y determina la declaración de alerta o alarma. Esto debe contener el motivo de la emergencia, las instrucciones básicas y resumidas sobre el que hacer en este momento

- Se ha establecido una Cadena de Llamadas, para notificar a los responsables oportunamente

- Se tiene en cuenta que puede haber dificultades en las comunicaciones. Se considera que si el sistema falla, la misma ocurrencia del evento informará a los responsables para que asuman sus funciones

- La Cadena de llamadas se debe actualizar constantemente y se entregará copia a todos los involucrados cada vez que se actualice

Mecanismos de Comunicación

Mecanismo Utilización

Contacto telefónico directo o contacto

personal

Valor+ tiene un representante en el Comité de Emergencias y en

la Brigada de emergencias de la Propiedad Horizontal

En el Comité de Emergencias se toma la decisión de evacuación.

El representante de Valor+ es el responsable de comunicar al

Gerente y al personal la orden de evacuación

Se busca prioritariamente la protección de vidas humanas

El representante de Valor+ en el Comité de Emergencias

transmite el alcance de la misma al Gerente y personal de Valor+

Contacto personal

El PMU (solamente lo componen miembros de la Propiedad

Horizontal), se reúne en el punto de encuentro con el Comité de

Emergencias para informar el alcance de la emergencia.

Contacto telefónico directo

Utilizado por el PMU para la mayor parte del contacto externo.

Utilizado por Valor+ para el contacto con familiares que consultan

sobre una situación de emergencia.

Contacto directo con el personal

Utilizado por Valor+ para contactar a los familiares del personal

cuando se presentan lesiones graves o muertes (siempre que sea

posible)


Código:

Versión:

Fecha creación:


38

Volver al índice

Línea de Emergencia de Valor+ Utilizado por los empleados para obtener información sobre las

condiciones de emergencia

Correo electrónico Utilizado por Valor+ para contactar a los empleados

Página Web Utilizado por los empleados para obtener información sobre las

condiciones de emergencia

Responsables de la Comunicación Los miembros titulares y suplentes asignados para realizar contactos internos y externos son los siguientes:

Responsabilidad Miembro Titular Miembro Suplente

Responsabilidad general PMU Propiedad Horizontal Dirección Administrativa

Línea de emergencia de VALOR+ Dirección Administrativa Gerencia Administrativa y Financiera

Contacto con los medios Gerencia General Secretaría General

Contacto con los empleados Dirección Administrativa Gerencia Administrativa y Financiera

Contacto con los familiares de los

empleados Dirección administrativa Gerencia Administrativa y Financiera

Contacto con los clientes Gerencia de Operaciones Gerencia de Tecnología

Contacto con entes gubernamentales Gerencia General Secretaría General

Contacto con las compañías de Dirección Administrativa Gerencia Administrativa y Financiera


Código:

Versión:

Fecha creación:


39

Volver al índice

Seguros

Contacto con los proveedores para la

recuperación de la tecnología de

Información en sitio

Dirección de Infraestructura Gerencia de Tecnología

Contacto con los proveedores para la

recuperación en sitio Dirección de Infraestructura Gerencia de Tecnología

Contacto con los proveedores Dirección de Compras Secretaría General

Contacto con los contratistas Dirección Jurídica Contractual Secretaría General

Contacto con vendedores Dirección Administrativa Gerencia Administrativa y Financiera

Nota: El PMU desarrolla oportunamente las “declaraciones o informes” de la situación ocurrida a fin de que todos los involucrados con las comunicaciones internas y externas utilicen la misma declaración. En algunos casos los “Directores” y personas específicas podrán ser mencionados por su nombre – especialmente para el contacto con vendedores, subcontratistas, proveedores, etc. Las personas identificadas en el cuadro anterior son las únicas autorizadas para realizar los contactos ahí establecidos – nadie más esta autorizado para realizar dichos contactos. Comunicación con empleados Sistemas de notificación Alerta-Alarma La alerta es el aviso de la situación de peligro e implica estar dispuestos para actuar. La alarma es la señal que se debe adoptar para indicar la necesidad de salir en forma inmediata de la edificación. A la fecha se tiene establecido como sistema de alarma la utilización de pitos codificados así: un pitazo prolongado y fuerte, se cuenta hasta cinco, se vuelve a sonar el pito, se hace durante tres veces y se continúa la orientación por parte del líder o coordinador de evacuación. Este sistema se conoce como intermitente. La alerta es dada por la persona que inicialmente contacta con la fuente del riesgo. Se informa a Recepción quien notifica al Supervisor de Vigilancia y al Comité de Emergencias,


Código:

Versión:

Fecha creación:


40

Volver al índice

quienes corroboran y evalúan el nivel de riesgo o daños y establecen la conveniencia de la evacuación. Regreso a la normalidad (ocupación) Es la información que indica la terminación de la emergencia o ejercicio de entrenamiento (simulacro), el regreso a la normalidad o la disminución del peligro. Una vez controlado el evento le corresponderá al Coordinador Plan PPRE ordenar el regreso a la normalidad. En el caso de una evacuación será el mismo Coordinador el encargado de ordenar el regreso a las dependencias. Desastres graves con impacto en toda la comunidad Surgen dos nuevos problemas con este tipo de desastres en la comunidad. Primero, La infraestructura de comunicaciones puede estar inhabilitada. Segundo, Los empleados pueden ser directamente afectados por el desastre, lo que vuelve difícil o imposible un rápido retorno al trabajo. Si ocurre un desastre en la comunidad, la administración puede necesitar ponerse en contacto con el personal directamente. Esto se puede lograr si cada supervisor contacta su personal. Una vez que el contacto inicial se ha hecho o se ha intentado, el estado de cada empleado es reportado a Recursos Humanos. Recursos Humanos se mantendrá en contacto permanente, y (si es necesario) dará ayuda a todo el personal. Los empleados también están obligados a mantenerse en contacto con Valor+. Contacto con los medios de comunicación Una sola fuente de información permitirá a Valor+ (posteriormente debe ser a través del PMU) reducir el número de reportes contradictorios que inevitablemente se producen después de un desastre. Se debe asegurar que las personas que atienden requerimientos de medios de comunicación sean conscientes a quien deben dirigir las llamadas y que tienen instrucciones de no hablar con los medios de comunicación.


Código:

Versión:

Fecha creación:


41

Volver al índice

9.2. Plan de asistencia al recurso humano

Medidas preventivas

ACCIONES RESPONSABLES

Hacer un diagnóstico de las labores que representen una causa de posibles lesiones a los trabajadores

Brigada de primeros auxilios

Conocer los riesgos y las actividades que se desarrollan en el edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y verificando que se eliminen o solucionen adecuadamente

Coordinadores de evacuación

Mantener debidamente dotado su equipo de primeros auxilios Brigada de primeros auxilios

Velar porque se mantenga despejado el acceso a las vías de evacuación y se conserve la señalización


Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes, durante y después de una emergencia

Coordinador Plan PPRE

Notificaciòndelaemergencia

Existenriesgos?

Utilicelosrecursosdeatenciondelesionados.

NO.

Puedecontrolarlosriesgos?

SI.

SI.

NO.

Primerosauxiliosycontenciondelaemergencia

Controleenlazona

Transladeacentroasistencial,recupereelareaafectadayrealiceelreportedelaemergencia.

FIN.


Código:

Versión:

Fecha creación:


42

Volver al índice

Durante el evento


Dar a conocer y recordar a las personas los procedimientos generales establecidos para casos de emergencia durante las fases de alistamiento y evacuación, indicando la ruta de escape a utilizar y el lugar de reunión final


Invitar a las personas a mantener la calma y a seguir las instrucciones emitidas por el sistema de alarma


Prestar los primeros auxilios a los lesionados por la emergencia en el área donde laboran


Coordinar el acceso e intervención de los grupos de ayuda externa (Servicio de Salud), siguiendo las instrucciones del comité de emergencias


Controlar la remisión de lesionados a centro de atención médica Brigada de primeros auxilios

Invitar a las personas al desplazamiento ordenado por las rutas de evacuación si se escucha el sonido de la alarma


Desplazarse con todo el personal hasta el punto de encuentro asignado Coordinadores de evacuación

Una vez se haya recibido la orden de evacuar, reunir al personal que tenga a su cargo y obrar según el plan


Posterior al evento


Realizar un informe completo de la administración de la emergencia y presentarlo a la alta gerencia

Comité de emergencias

Colaborar con los organismos de ayuda externa en la atención de los lesionados


Tomar registro del traslado de los pacientes a los centros asistenciales Brigada de primeros auxilios

Realizar un conteo del personal evacuado Coordinadores de evacuación

Estar presto a la orden de la normalización de la emergencia para coordinar el retorno del personal a sus sitios de trabajo



Código:

Versión:

Fecha creación:


43

Volver al índice

9.3. Plan de emergencia

Actividades preventivas

General


Asegurar la actualización del documento del plan de prevención, preparación y respuesta ante emergencias

Comité de Emergencias

En caso de abrir o cambiar de sede, tener en cuenta el análisis de riesgos de la nueva sede para decidir la ubicación de ésta


Conocer los riesgos y las actividades que se desarrollan en las diferentes áreas del edificio, señalando las deficiencias o situaciones que constituyan riesgo o afecten los medios de protección y verificando que se eliminen o solucionen adecuadamente

Coordinadores de evacuación, Brigada contra incendio

Realizar inventario de los equipos existentes para el control de incendios y llevar un registro de ellos

Brigada contra incendio

Asegurar que se mantengan los correctivos del plan de prevención, preparación y respuesta ante emergencias


Hacer cumplir la operatividad del plan de acuerdo a la política de planes de prevención, preparación y respuesta ante emergencias y seguridad y salud en el trabajo de la compañía y promover su divulgación al personal


Establecer vínculos con los organismos de socorro de la ciudad para poner en práctica la ayuda que se requiera en las emergencias


Mantener debidamente dotado su equipo de primeros auxilios Brigada de primeros auxilios

Hacer un inventario de los equipos requeridos para la atención de posibles pacientes que se presenten por enfermedad súbita o lesiones

Brigda de primeros auxilios

Hacer un diagnóstico de las labores que representen una causa de posibles lesiones a los trabajadores


Ordenar la activación de la alarma, en caso de una evacuación total por sismo, amenaza de bomba o incendio grande


Velar porque se mantenga despejado el acceso a las vías de evacuación y se conserve la señalización


Amenaza de Sismo


Coordinar con un profesional en estudios técnicos de sismo resistencia para que realice una inspección a las estructuras del edificio, la cual debe quedar documentada con planes de acción y seguimiento


Realizar capacitaciones periódicas con todos los ocupantes del edificio en temas sobre qué hacer antes durante y después de un sismo

Comité de Emergencias, Coordinador Plan PPRE


Código:

Versión:

Fecha creación:


44

Volver al índice

Coordinar con la brigada de emergencias y/o personal de mantenimiento, inspecciones periódicas de trabajos que puedan generar una modificación en las estructuras del edificio.

Coordinador Plan PPRE, Brigada, Mantenimiento

Amenaza de lluvias y granizadas


Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes durante y después de una lluvia o granizada


Revisar, limpiar y dar mantenimiento periódico a canoas, sótanos y bajantes de los techos

Coordinador Plan PPRE, Mantenimiento

Coordinar con la brigada de emergencias y/o personal de mantenimiento, inspecciones periódicas de trabajos que puedan generar una modificación en las estructuras del edificio


Amenaza de inundaciones


Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes, durante y después de una inundación


Revisar, limpiar y dar mantenimiento periódico a canoas, sótanos y bajantes de los techos


Coordinar con la brigada de emergencias y/o personal de mantenimiento, inspecciones periódicas de trabajos que puedan generar una modificación en las estructuras del edificio


Amenaza de incendio


Coordinar con el área de mantenimiento la realización de inspecciones de seguridad documentadas con planes de acción y seguimiento


Realizar estudio técnico de condiciones del sistema eléctrico del edificio


Verificar de condiciones de seguridad y de no sobrecarga de instalaciones eléctricas en cada una de las oficinas

Coordinador Plan PPRE, Mantenimiento, brigada

Capacitar a todo el personal en el manejo de extintores Coordinador Plan PPRE, Brigada de emergencia


Código:

Versión:

Fecha creación:


45

Volver al índice

Amenaza de fugas


Coordinar con el área de mantenimiento la realización de inspecciones de seguridad documentadas con planes de acción y seguimiento


Realizar estudio técnico de condiciones del sistema de la red de gas del edificio


Realizar capacitaciones periódicas con todos los ocupantes del edifico en temas sobre qué hacer antes durante y después de una fuga de gas

Coordinador Plan PPRE, Mantenimiento, brigada

Amenaza de terrorismo


Coordinar con el jefe de seguridad requisas antes de ingresar tanto del personal como de los paquetes o maletines

Coordinador Plan PPRE y jefe de seguridad

Realizar rondas continuas tanto dentro de las instalaciones del edificio como en sus zonas externas

Coordinador Plan PPRE y jefe de seguridad

Capacitar al personal de interés en temas de orden público y manejo de crisis


Tener el número telefónico de contacto de la estación de policía más cercano, sijin, gaula, cti o cuadrante de la zona


Amenaza de alteración del orden público


Coordinar con el jefe de seguridad física las fechas importantes o noticias que puedan generar un cambio en la sociedad, fechas electorales, paros de estudiantes, paros de comerciantes, desfiles, entre otras

Coordinador Plan PPRE y Jefe de seguridad

Redoblar el sistema de seguridad cuando se tenga la certeza de estas fechas que nos pueden generar desorden publico


Capacitar el personal en manejo de crisis y tener a la mano el número de teléfono del escuadrón antidisturbios



Código:

Versión:

Fecha creación:


46

Volver al índice

Actividades durante el evento

General


Asumir la dirección y control de la emergencia, en su respectivo puesto de comando


Determinar si la emergencia requiere evacuación total, parcial o no requiere evacuación del personal


Actuar prontamente cuando se informe de una emergencia en su piso, accionando la alerta y la alarma, tratando de controlar la situación, prestando apoyo en la evacuación o en actividades de preparación y orientación de la evacuación


Controlar los conatos de incendio Brigada contra incendio

Coordinar en cualquier emergencia los demás miembros de ayuda externa Brigada contra incendio

Prestar los primeros auxilios a los lesionados por la emergencia en el área donde laboran


Coordinar el acceso e intervención de los grupos de ayuda externa (Servicio de Salud), siguiendo las instrucciones del comité de emergencias


Controlar la remisión de lesionados a centro de atención médica Brigada de primeros auxilios

Invitar a las personas a mantener la calma y a seguir las instrucciones emitidas por el sistema de alarma


Dar a conocer y recordar a las personas los procedimientos generales establecidos para casos de emergencia durante las fases de alistamiento y evacuación, indicando la ruta de escape a utilizar y el lugar de reunión final


Invitar a las personas al desplazamiento ordenado por las rutas de evacuación si se escucha el sonido de la alarma


Acompañar a todo el personal hasta el punto de encuentro asignado Coordinadores de evacuación

Una vez se haya recibido la orden de evacuar, reunir al personal que tenga a su cargo y obrar según el plan


Sismo


Mantener la calma y ubíquese en las zonas de seguridad del lugar en que usted se encuentre al momento del sismo y procure protegerse lo mejor, permaneciendo donde está. La mayor parte de los heridos en un sismo se ha producido cuando las personas intentaron entrar o salir del edificio

Todo el personal

Si se encuentran en espacios abiertos o en la vía pública, buscar una zona verde o parque donde no existan cables de conexión eléctrica de alta tensión o estructuras que puedan derrumbarse

Todo el personal

Mantener la distancia de ventanas espejos y artículos de vidrios que puedan quebrarse

Todo el personal

Atender las indicaciones de las autoridades o de los coordinadores de evacuación. No evacuar hacia el punto de encuentro, hasta que le sea informado por el

Todo el personal


Código:

Versión:

Fecha creación:


47

Volver al índice

Comité o Brigada de emergencia.

Lluvias o granizadas


Mantener la calma y ubíquese en las zonas de seguridad del lugar en que usted se encuentre al momento de la lluvia o granizada y procure protegerse lo mejor, permaneciendo donde está

Todo el personal

Mantener la distancia de ventanas espejos y artículos de vidrios que puedan quebrarse

Todo el personal

Atender las indicaciones de las autoridades o de los coordinadores de evacuación

Todo el personal

Conservar la calma Todo el personal

Tener a mano los artículos de emergencia Todo el personal

Cubrir con bolsas de plástico aparatos u objetos que puedan dañarse con el agua

Todo el personal

Inundaciones


Evitar que el agua llegue a lugares críticos utilizando barreras con material destinado para ello o improvisando con sacos de arena u otro material disponible

Todo el personal

Si el tiempo lo permite mover a un lugar alto los elementos de más valor Todo el personal

Subir a un lugar alto y permanecer allí. Evitar caminar por aguas en movimiento. Hasta 15 centímetros de agua en movimiento pueden hacerle caer

Todo el personal

Incendio


Avisar inmediatamente al personal de emergencias de la institución Todo el personal

No tratar de apagar el fuego si no conoce el manejo correcto del extintor Todo el personal

Nunca usar agua para apagar un incendio eléctrico o líquidos inflamables. Sólo use un extintor de incendios aprobado para incendios eléctricos.

Todo el personal

Nunca usar la palma de su mano o los dedos para ver si algún objeto metálico está caliente, use una toalla o cualquier objeto.

Todo el personal

Si su ropa se ha incendiado, deténgase, échese al suelo, cubra su rostro con ambas manos y ruede sobre el suelo hasta que el fuego se haya extinguido. Correr sólo hace que el fuego lo queme más rápidamente.

Todo el personal

Si tiene que salir a través del humo, agáchese y gatee sobre el piso bajo el humo hasta su salida – el humo denso y los gases venenosos se acumulan primero a lo largo del cielo raso. Una vez que esté seguro afuera, quédese afuera. Llame a los bomberos.

Todo el personal


Código:

Versión:

Fecha creación:


48

Volver al índice

Fugas


Cerrar las llaves de paso de gas más cercana al área de la fuga o, en su defecto, la llave general de alimentación, normalmente ubicada junto al recipiente de almacenamiento

Todo el personal

No buscar el área de la fuga con una flama, sólo con espuma de jabón y por parte de personal especializado

Todo el personal

Abrir puertas y ventanas para que circule el aire natural y retírese del lugar Todo el personal

No conectar ni desconectar la energía eléctrica: los interruptores “siempre” generan chispas y éstas, provocan una explosión

Todo el personal

Avisar inmediatamente a la subestación de bomberos más cercana a su empresa o a la compañía de gas, para que atiendan la emergencia, y vigile que el personal especializado repare la fuga. Llame desde un teléfono que no esté al interior de su empresa.

Todo el personal

Terrorismo


Si se produce un atentado terrorista, es importante mantener la calma y seguir las instrucciones de los funcionarios locales y del personal de servicios de emergencia

Todo el personal

Usted debe estar consciente de su entorno y atento a ataques adicionales Todo el personal

Mirar la televisión y escuchar las radios locales para obtener instrucciones e información sobre viajes e instrucciones de los funcionarios locales

Todo el personal

Si usted está ubicado en el área donde se produce el ataque, buscar a personas heridas y proporcione primeros auxilios si tiene conocimiento de cómo hacerlo.

Todo el personal

Llamar inmediatamente a las líneas de emergencia que haya en la zona y reporte de manera concreta, clara y veraz lo que está sucediendo.

Todo el personal

Alteración de orden público


Iniciar evacuación cuando lo ordene el Coordinador PPRE si las condiciones del área ofrecen peligro

Todo el personal

Prestar ayuda a quien lo requiera Todo el personal

No se deje llevar por el pánico, no grite, no corra y mantenga la calma Todo el personal

Resguárdese en un lugar seguro, al lado de un escritorio, mesa o cerca de una columna y ubíquese en posición fetal lejos de las ventanas hasta cuando pueda salir

Todo el personal

Llamar al 123 y reportar la situación Coordinador PPRE


Código:

Versión:

Fecha creación:


49

Volver al índice

Acciones posteriores al evento

General


Realizar un informe completo de la administración de la emergencia y presentarlo a la alta gerencia


Reunirse con el coordinador de la brigada y hacer retro alimentación de lo sucedido


Gestionar la reposición de los equipos y herramientas utilizadas en la emergencia


Colaborar con los organismos de ayuda externa en la remoción de escombros


Reportar al comité de emergencias los equipos utilizados para su respectiva reposición


Ayudar con el comité de emergencias con la elaboración del informe de lo sucedido


Realizar una inspección de las instalaciones que sufrieron daño para programas de recuperación


Colaborar con los organismos de ayuda externa en la atención de los lesionados


Tomar registro del traslado de los pacientes a los centros asistenciales Brigada de primeros auxilios

Reportar al comité de emergencias los equipos utilizados para su respectiva reposición




Verificar con el encargado de cada área que se haya hecho la evacuación de cada piso


Realizar un conteo del personal evacuado Coordinadores de evacuación

Estar presto a la orden de la normalización de la emergencia para coordinar el retorno del personal a sus sitios de trabajo




Sismo


Verificar si hay lesionados y de ser necesario busque ayuda médica. No utilice los elevadores y sea cauteloso con las escaleras, pudieron haberse resentido con el sismo

Todo el personal

Si queda atrapado, usar una señal visible o sonora para llamar la atención Todo el personal

Al evacuar hágalo rápido, pero sin correr y no regrese al sitio del incidente. Todo el personal


Código:

Versión:

Fecha creación:


50

Volver al índice

No lleve objetos que obstaculicen su desplazamiento

Coordinar con un profesional para que realicen pruebas de sismo resistencia a la estructura que quedo en pie

Coordinador PPRE

No permitir el ingreso de personas al interior del edificio sin antes realizar una inspección del lugar

Coordinador PPRE

Lluvias o granizadas


Verificar si hay lesionados y de ser necesario busque ayuda médica Todo el personal

Seguir las instrucciones transmitidas por las autoridades a través de los medios de comunicación

Todo el personal

Examinar la propiedad para evaluar daños Coordinador PPRE

Mantener desconectados el gas, la luz y el agua hasta asegurarse de que no haya fugas ni peligro de corto circuito

Coordinador PPRE

Cerciórarse que sus aparatos eléctricos estén secos antes de conectarlos Todo el personal

Inundaciones


Escuchar la radio o la televisión para obtener información sobre la emergencia, y posibles instrucciones de la autoridad a cargo

Todo el personal

Evitar entrar en el agua, puede encontrar elementos corto punzantes o contaminantes tóxicos

Todo el personal

Volver al interior de la empresa sólo cuando sea seguro o las autoridades así lo indiquen

Todo el personal

No entrar a los edificios si todavía hay agua alrededor Todo el personal

Reparar las instalaciones sanitarias lo antes posible, ya que dañadas son un riesgo para la salud

Coordinador PPRE

Incendio


No regresar al lugar del incendio hasta que le den orden los bomberos o personas autorizadas

Todo el personal

Dar primeros auxilios según sea necesario. Llame a los bomberos, enfríe y cubra las quemaduras para reducir la posibilidad de más lesiones o infección

Todo el personal

No entrar al edificio dañado por un incendio a menos que las autoridades digan que puede hacerlo

Todo el personal


Código:

Versión:

Fecha creación:


51

Volver al índice

Fugas


Dar primeros auxilios según sea necesario, si hubo personal que inhalo del gas en fuga. Llame a los bomberos

Todo el personal

Evaluar las causas de la emergencia y plantee las acciones correctivas y preventivas necesarias

Coordinador PPRE

No entrar a la edificación a menos que las autoridades digan que puede hacerlo

Todo el personal

Una vez reparada la fuga, retomar las mismas medidas preventivas, para evitar que vuelva a ocurrir otro incidente

Coordinador PPRE, Todo el personal

Terrorismo


Después de un ataque terrorista, se espera la participación de la policía y entidades de investigación a nivel local..

NA

Su lugar de trabajo puede permanecer cerrado, y puede haber restricciones en los viajes nacionales e internacionales

Todo el personal

Usted y sus compañeros quizás tengan que evacuar la zona, según las instrucciones de las autoridades locales

Todo el personal

Le espera una amplia cobertura de los medios de comunicación y el aumento de presencia policial, Valor+ tiene canales de comunicación formalmente establecidos y estos son los únicos que deben referirse oficialmente a los acontecimientos

Todo el personal

Alteración de orden público


Revisar que todo el personal en su empresa este en buenas condiciones de salud o no tenga lesiones personales

Coordinador PPRE

Si se encuentra algún empleado lesionado en estado de crisis, se debe remitir a los centros asistenciales

Coordinador PPRE

Contabilizar el personal, verificar que estén todos los empleados, indagar donde están los ausentes y si tiene alguna ausencia no justificada avisar a las autoridades competentes

Coordinador PPRE

Revisar el estado de las estructuras y partes locativas de su empresa, reportar los daños que puedan generar accidentes

Coordinador PPRE


Código:

Versión:

Fecha creación:


52

Volver al índice

10. ACTUALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE CONTINUIDAD DE

NEGOCIO

10.1. Actualización del Plan de Continuidad de Negocio

El Plan de continuidad de negocio es actualizado cada vez que hay un cambio de negocio o de personal relevante. Un cambio de negocio puede incluir también un cambio en la infraestructura de tecnología de información. Para realizar un seguimiento a los cambios se realiza una reunión periódica (trimestral) con todos los líderes de procesos y el equipo de administración de riesgo para evaluar cambios o eventos que puedan impactar el Plan de continuidad de negocios. Los cambios en el personal ocurren con más frecuencia, por lo que se debe evaluar constantemente si estos cambios afectan en algo el Plan de continuidad de negocios. Otros cambios, como los de infraestructura de tecnología de información se realizan a través de un proceso de control de cambios formal que permita mantener el registro de los mismos. Como mínimo las listas de llamadas y responsables se actualizan y distribuyen trimestralmente. Para los cambios controlados por los procedimientos de gestión de cambios o cambios no programados, el Plan de continuidad de negocio es actualizado tan pronto como sea posible después de que el cambio ocurra. El Coordinador de Continuidad de negocio es responsable que la información sobre las actualizaciones al Plan de continuidad de negocio sean reportadas a la Lista de distribución descrita en este documento.

10.2. Mantenimiento de Análisis de Impacto de Negocio (BIA)

El Análisis de Impacto de Negocio (BIA) no es un proyecto que se realiza una sola vez debido a los cambios que se pueden dar en el negocio, nuevas reglamentaciones, cambios en los canales y formas de prestar los servicios, etc. El BIA es ajustado cada vez que ocurren cambios importantes en el negocio o al menos una vez al año, lo que ocurra primero. Las Implementaciones y mejoras de aplicaciones deben seguir un proceso formal de toma o ajustes de requisitos, desarrollo, pruebas y puesta en producción que permitan tener


Código:

Versión:

Fecha creación:


53

Volver al índice

documentación precisa que permita realizar el soporte y planear las actividades de continuidad de las mismas.

10.3. Plan de comunicaciones

El Plan de Comunicaciones para el el BCP se ajusta al Plan de Comunicaciones del MSPI en Valor+, el cual busca ir más allá de la transmisión de una información, busca la adopción de los nuevos conocimientos, hasta convertirlos en una práctica diaria, de tal manera que las practicas definidas no se queden en la memoria pasiva de la organización. Una intervención de este tipo está encaminada a desplegar, instruir, entrenar y verificar y validar el accionar de los usuarios, en función del modelo de seguridad definido. Las siguientes son algunas áreas que se han considerado en el Plan de Comunicaciones para el MSPI en Valor+:

- Políticas Corporativas: Los usuarios deben comprender las políticas de seguridad de

información existentes, las cuales incluyen BCP, para evitar las violaciones no intencionales a éstas y que permita reconocer cuando otros lo hacen y reportarlo.

- Aspectos de seguridad de infromación y continuidad de negocio: Se requiere entrenar a los empleados en diferentes aspectos de seguridad, desde acceso físico, mal uso de la información, seguridad en el correo electrónico, etc, buscando que apoyen con su comportamiento las diferentes iniciativas de seguridad y continuidad que se desarrollen.

- Rol del empleado: Las personas tienden a prestar menos atención a aspectos que no los afectan directamente. El comportamiento adecuado y las acciones proactivas son más probables si los empleados entienden las consecuencias negativas para la organización y para ellos mismos de no acatar las diferentes políticas de seguridad.

- Cómo reportar y responder: Se debe capacitar a los empleados en el reconocimiento de incidentes, y la mecánica de reporte debe estar definida mediante procedimientos precisos que deben ser ampliamente difundidos, comprendidos y aplicados.

Políticas

Corporativas

Aspectos de

Seguridad

Rol del

Empleado

Reporte /

Respuesta

Las reglas Comportamiento

seguro

Pertinencia Qué hacer

Podría el empleado

identificar una brecha de

seguridad?

Podrían ellos

reportarla?Saben ellos cómo

reportarla?

Políticas

Corporativas

Aspectos de

Seguridad

Rol del

Empleado

Reporte /

Respuesta

Las reglas Comportamiento

seguro

Pertinencia Qué hacer

Podría el empleado

identificar una brecha de

seguridad?

Podrían ellos

reportarla?Saben ellos cómo

reportarla?


Código:

Versión:

Fecha creación:


54

Volver al índice

Valor+ ha desarrollado una matriz de comunicación con los siguientes componentes: - Grupos objetivo - Qué voy a transmitir (mensaje) - Canales que voy a utilizar para cada mensaje - Responsables - Cronograma - Seguimiento Con el objetivo de transmitir a todo el personal mensajes sobre: - Cumplimiento de políticas de seguridad de información - Confidencialidad, Integridad, Disponibilidad - Administración de contraseñas - Política de pantalla y de escritorios limpios - Ingeniería Social - Virus y Antivirus - Amenazas en la navegación por Internet - Uso seguro del correo electrónico - Respaldo de la información - Reporte de incidentes de seguridad - Propiedad intelectual Y al personal Gerencia de Tecnología y Operaciones: - Refuerzo compromiso con cumplimiento de políticas y procedimientos en cada uno de

los procesos - Refuerzo estándares de seguridad, línea base de configuración - Refuerzo aspectos legales, cumplimiento, propiedad intelectual - Refuerzo confidencialidad de la información e ingeniería social - Refuerzo confidencialidad de información y aspectos asociados a equipos en soporte o

que vayan a ser desechados - Responsabilidad en el uso de la información de acceso a sistemas - Confidencialidad de la información de Valor+ y conexión a la infraestructura Valor+

- Respaldo de información, instructivos operacioneales de pares


Código:

Versión:

Fecha creación:


55

Volver al índice

10.4. Plan de pruebas

El Coordinador de Continuidad de negocio es responsable de llevar a cabo ejercicios periódicos del Plan de Continuidad de Negocio, siguiendo el procedimiento de pruebas y mantenimiento BCP elaborado para tal fin. Cada año se lleva a cabo al menos dos ejercicios independientes: - Un ejercicio de seguimiento paso a paso, para actualizar el Plan de continuidad de

Negocio - Ejercicio técnico para recuperación de tecnología de información de componentes

críticos Los objetivos del seguimiento paso a paso son: - Determinar el estado de preparación del Plan de continuidad de negocio creando un

ambiente adecuado de forma que todos los participantes puedan aprender acerca del Plan.

- Validar que las listas de recursos del Plan de continuidad de negocio (personas y otros recursos) son suficientes para recuperar las operaciones de negocio o servicios de tecnología de información como esta planeado. Documentar cambios y actualizaciones (incluyendo omisiones) al Plan de continuidad de negocios.

- Verificar que el Plan de continuidad de negocio está actualizado y refleja con precisión los requerimientos de la organización.

Después de la prueba, debe asegurar que todos los cambios y actualizaciones están completos, y son distribuidas aquellas actualizaciones a la Lista de Distribución incluida en este documento. En los ejercicios técnicos, la primera Prueba Técnica esta limitada sólo al personal de tecnología de información. Es usual durante un Ejercicio Técnico identificar aspectos que causen problemas durante la restauración de sistemas y respaldo de datos, pérdida de respaldos o medios, medios corruptos/ilegibles, fallas de comunicación de todo tipo, hardware incompatible, y varias otras fallas de hardware. Los objetivos del ejercicio técnico son idénticos a los indicados para el ejercicio paso a paso estructurado, especialmente si este ejercicio es para ayudar a identificar problemas (y sus acciones correctivas) y proveer capacitación. Cuando el personal de tecnología de información haya completado una Prueba Técnica que logre todos los objetivos de recuperación de tecnología de información, se require entonces realizar un ejercicio que incluya recuperación de tecnología de información y


Código:

Versión:

Fecha creación:


56

Volver al índice

participación de usuarios para validar que todos los sistemas y datos recuperados son exactos, operacionales y se encuentran sincronizados. Los resultados de las pruebas son presentados al Comité de Gestión de Valor+ con una copia a todos los participantes de la prueba, lo mismo que a la Lista de distribución incluida en este documento.

11. LISTA DE DISTRIBUCIÓN Identificación de las personas que deben recibir información sobre actualizaciones al Plan de continuidad de negocios. La información sobre actualizaciones se realizará preferiblemente vía correo electrónico. ANEXOS

Actividades Continuidad Tecnología de Información

Información a personal técnico


Recepción del Gerente General y Gerente de Nuevos Negocios y Tecnología de la situación de emergencia


Evaluación de daños en infrestructura tecnológica Director de Infraestructura / Gerente de Nuevos Negocios y Tecnología

Determinación de necesidad de iniciar operación en sitio alterno Gerente de Nuevos Negocios y Tecnología

Informar a Director de Infraestructura y Director de Conectividad la necesidad de operación en sitio alterno

Gerente de Nuevos Negocios y Tecnología

Nombre Teléfono Dirección de Correo

Directora de Planeación 202 planeació[email protected]

Jefe de Control Interno 198 [email protected]

Director de Infraestructura 302 [email protected]

Director de Conectividad 302 [email protected]


Código:

Versión:

Fecha creación:


57

Volver al índice

Informar a proveedores de DRP la situación de emergencia y necesidad de activar la operación en sitio alterno

Director de Infraestructura

Informar a Director Administrativo la necesidad de activar la operación en sitio alterno para la logística de traslado de personal


Apagado de equipos


Seguir el instructivo para apagado de servidores del Centro de Datos Director de Infraestructura

Solicitar autorización al Coordinador de Emergencias para hacer evaluación de daños en el centro de datos principal


Seguir el instructivo para evaluación de daños en el centro de datos principal


Preparación de infraestructura alterna


Establecer comunicaciones y soporte de aplicaciones para el sitio de recuperación TI

Director de Infraestructura / Director de Conectividad

Mantener soporte de comunicaciones y aplicaciones desde el sitio de recuperación de TI

Director de Infraestructura / Director de Conectividad

Seguir instructivo de recuperación de respaldos Director de Infraestructura

Seguir instructivo de pruebas iniciales de infraestructura Gerente de Nuevos Negocios y Tecnología / Gerente de Operaciones

Operación alterna


Seguir instructivos de operación alterna Gerente de Operaciones

Seguir instructivo de generación de respaldos en contingencia Director de Infrestructura

Retorno al sitio


Comenzar la reparación del centro de datos principal: - Reparar el hardware que lo permita - Instalar el hardware de reposición - Supervisar a los subcontratistas

Director de Infraestructura / Director Administrativo

Trasladar las operaciones críticas del sitio de recuperación de TI al centro de datos


Consolidar información generada en sitio alterno (llamadas, grabaciones, Gerente de Nuevos Negocios


Código:

Versión:

Fecha creación:


58

Volver al índice

etc) según instructivos de retorno al sitio y Tecnología / Gerente de Operaciones

bcp plan de continuidad de negocios...fecha plan continuidad de negocios código: versión:...

Documents