plan de continuidad del negocio - ratingspcr.com...el plan de continuidad del negocio de pacific...

Fecha de emisión: 28/11/2019

Vigencia: 01/12/2019

Código: PCR-OR-GIR-PLA-RE-01

Versión: 01

Página: 1 de 24

PLAN DE CONTINUIDAD DEL

NEGOCIO

Elaborado por:

Daniela Urquizo Rojas

Aprobado por:

Oscar Jasaui

Oficial de Gestión Integral de Riesgos

Presidente Ejecutivo

Título: Plan de Continuidad del Negocio


Versión: 01

Página: 2 de 24

Índice de contenido

BITÁCORA DE MODIFICACIONES .............................................................................................................. 3

CAPÍTULO I. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO ................................................................. 4

I.1 Antecedentes .................................................................................................................................... 4

I.2 Objetivo del Documento ................................................................................................................... 4

I.3 Alcance ............................................................................................................................................. 4

I.4 Base Legal ........................................................................................................................................ 5

I.5 Marco Referencial Interno ................................................................................................................ 5

I.6 Responsables ................................................................................................................................... 5

I.6.1 Responsables de Cumplimiento .................................................................................................... 5

I.6.2 Responsables de Revisión y Periodicidad de Actualización ......................................................... 6

CAPÍTULO II. PLAN DE CONTINGENCIAS TECNOLÓGICAS ................................................................... 7

II.a Objetivo ............................................................................................................................................ 7

II.b Metodología ..................................................................................................................................... 7

II.c PROCEDIMIENTOS DE RECUPERACIÓN DE OPERACIONES CRÍTICAS PARA CADA

EVENTO IDENTIFICADO............................................................................................................... 10

II.d Funciones y Responsabilidades .................................................................................................... 11

II.e Medidas de Prevención ................................................................................................................. 12

II.f Recursos Mínimos asignados para la recuperación de los servicios y sistemas ........................... 13

II.g Convenios realizados para la recuperación de los servicios y sistemas ...................................... 13

II.h Revisión y evaluación del Plan de Contingencias Tecnológicas................................................... 13

II.i Pruebas al Plan de Contingencias Tecnológicas ........................................................................... 13

II.j Situaciones no cubiertas y supuestos ............................................................................................ 14

CAPÍTULO III. PLAN DE CONTINUIDAD DEL NEGOCIO ......................................................................... 15

III.a Inicio del Proyecto ........................................................................................................................ 15

III.b Análisis de impacto al negocio (BIA – Business Impact Analysis) ............................................... 15

III.c Análisis y evaluación de riesgos de seguridad de la información (SI) ......................................... 16

III.d Medidas de Prevención ................................................................................................................ 18

III.e Desarrollo de estrategias para el Plan de Continuidad del Negocio ............................................ 19

III.f Plan de emergencias para la gestión de incidentes ...................................................................... 20

III.g Plan de Recuperación de Desastres ............................................................................................ 21

III.h Desarrollo e implementación del BCP .......................................................................................... 22

III.i Programa de concientización y capacitación................................................................................. 22

III.j Mantenimiento y ejercicios del BCP .............................................................................................. 22

III.k Comunicación y Gestión de la Crisis ............................................................................................ 23

Anexo 1: Reporte de Eventos de Interrupción ..................................................................................... 24



Versión: 01

Página: 3 de 24

BITÁCORA DE MODIFICACIONES

Bitácora de modificaciones

No. Sección y No. de

página modificada Descripción del cambio Fecha de modificación

- No aplica Primera Versión del Documento 28/11/2019



Versión: 01

Página: 4 de 24

CAPÍTULO I. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

I.1 Antecedentes

La norma internacional ISO 27002 define de manera general en su punto 14.1 que “un proceso de gestión

de la continuidad del negocio debe ser implementado para minimizar el impacto y la recuperación por la

pérdida de los recursos de la información en la organización (…), hasta un nivel aceptable a través de una

combinación de controles preventivos y de recuperación.” En ese sentido, el punto 14.1.3 define que “Los

planes de continuidad del negocio deben ser desarrollados e implementados para mantener o restaurar

operaciones y asegurar la disponibilidad de la información a los niveles y escala de tiempo requeridos

después de la interrupción o falla de procesos críticos del negocio.”.

El Plan de Continuidad del Negocio de Pacific Credit Rating (PCR) expone las estrategias de respuesta al

riesgo, los procedimientos a seguir, y los recursos humanos, financieros y tecnológicos que se debe

emplear para dar soporte a la continuidad de las operaciones de la empresa, ante eventos adversos.

I.2 Objetivo del Documento

Definir las directrices básicas y los procedimientos para dar soporte tecnológico y logístico a la continuidad

de las operaciones de PCR ante eventos adversos en el menor tiempo y costo posible, velando por la

protección de la información indispensable para sus procesos críticos.

I.2.1 Objetivo de Continuidad del Negocio

Reanudar las actividades que forman parte de los procesos críticos de PCR en un máximo de 3 horas y 59

minutos.

I.3 Alcance

El presente Plan debe aplicarse a nivel corporativo, en todas las Oficinas en las que PCR presta servicios.

El BCP (Business Continuity Plan, por sus siglas en inglés) incluye al Plan de Contingencias Tecnológicas

como uno de sus componentes. El alcance de ambos planes comprende los siguientes puntos:

PLAN DE CONTINGENCIAS TECNOLÓGICAS PLAN DE CONTINUIDAD DEL NEGOCIO

(BCP – Business Continuity Plan)

a. Objetivo a. Inicio del proyecto

b. Metodología que incluye lo siguiente: i. Análisis y evaluación del riesgo tecnológico ii. Definición de eventos que afecten la operación de los sistemas de información. iii. Definición de procesos críticos relacionados a los sistemas de información.

b. Análisis y evaluación de riesgos de seguridad de la información

c. Procedimientos de recuperación de operaciones críticas para cada evento identificado

c. Análisis de impacto al negocio (BIA)

d. Descripción de responsabilidades, funciones e identificación del personal que ejecutará el plan

d. Medidas de prevención

e. Medidas de prevención e. Desarrollo de estrategias para el BCP



Versión: 01

Página: 5 de 24

PLAN DE CONTINGENCIAS TECNOLÓGICAS PLAN DE CONTINUIDAD DEL NEGOCIO

(BCP – Business Continuity Plan)

f. Recursos mínimos asignados para la recuperación de los servicios y sistemas

f. Plan de emergencias para la gestión de incidentes

g. Convenios realizados para la recuperación de los servicios y sistemas

g. Plan de recuperación de desastres

h. Revisión anual y evaluaciones frecuentes del plan de contingencias tecnológicas de acuerdo con el análisis y evaluación de riesgo tecnológico efectuado y/o los incidentes de seguridad de la información acontecidos

h. Desarrollo e implementación del BCP

i. Pruebas al Plan de Contingencias Tecnológicas i. Programa de concientización y capacitación

j. Situaciones no cubiertas y supuestos. j. Mantenimiento y ejercicio del BCP

- k. Comunicación y gestión de la crisis

I.4 Base Legal

El presente documento se elaboró en función a lo señalado en las siguientes normas:

Oficina País Título de la Norma Descripción

Bolivia Recopilación de Normas para el Mercado de Valores (ASFI)

Libro 11°, Título I, Capítulo I, Sección 10, Artículos 1° y 2°

El Salvador Normas Técnicas para la Gestión Integral de Riesgos de las Entidades de los Mercados Bursátiles

Plan de Continuidad del Negocio – Artículo 26°

Perú Reglamento de Gestión del Riesgo Operacional

Título IV: Gestión de la Continuidad del Negocio

Resto de los países

Sin normativa específica. En el resto de países no se cuenta con normativa específica obligatoria sobre gestión de continuidad del negocio para empresas Calificadoras de Riesgo.

I.5 Marco Referencial Interno

Los siguientes documentos normativos internos mantienen relación directa con el Plan de Continuidad

del Negocio de PCR:

- Política de Seguridad de la Información - Manual de Gestión Integral de Riesgos

I.6 Responsables

I.6.1 Responsables de Cumplimiento

Son responsables de cumplir y hacer cumplir el presente documento:

- Gerentes / Coordinadores País - Personal designado como “Oficial de Cumplimiento” de cada Oficina de PCR - Oficial de Gestión Integral de Riesgos - Analista de TI



Versión: 01

Página: 6 de 24

I.6.2 Responsables de Revisión y Periodicidad de Actualización

El Oficial de Gestión Integral de Riesgos es el responsable de revisar y consecuentemente actualizar o

ratificar el presente Plan de Continuidad del Negocio al menos una vez al año, o cuando las condiciones

del negocio y del entorno lo ameriten.



Versión: 01

Página: 7 de 24

CAPÍTULO II. PLAN DE CONTINGENCIAS TECNOLÓGICAS

II.a Objetivo

Definir los lineamientos, procedimientos y responsabilidades que permitan dar soporte tecnológico oportuno a las operaciones de PCR en caso de ocurrencia de un evento de riesgo tecnológico que pueda afectar el normal desarrollo de los procesos críticos de la empresa, en el menor tiempo y costo posibles.

II.b Metodología

La metodología empleada para la identificación y medición de riesgos tecnológicos se fundamenta en el Estándar Australiano de Administración del Riesgo AS/NZ 4360, y basa su análisis en la relación que existe entre los riesgos identificados y la efectividad de sus controles. Debido a que PCR aún no cuenta con una base de datos histórica representativa de eventos de riesgo tecnológico (con información de al menos cinco años), se aplicará un análisis semi-cuantitativo para medir el nivel de exposición de los riesgos identificados, en función al criterio de experto provisto por los dueños de los procesos:

• Medición de la efectividad de los controles. Se adopta la siguiente escala:

NIVELES DE EFECTIVIDAD DE LOS CONTROLES

Nivel Descripción Indicador de efectividad

1 Excelente El control no presentó ni una falla en los últimos 12 meses

2 Bueno El control podría fallar o falló ocasionalmente (1 vez al año)

3 Regular El control podría fallar o falló periódicamente (2 veces al año)

4 Deficiente El control no se ejecuta o falla frecuentemente (más de 2 veces al año)

• Frecuencia o Probabilidad de Ocurrencia. La probabilidad de los riesgos identificados se mide en concordancia con la efectividad de sus controles asociados:

PROBABILIDAD DE OCURRENCIA

Nivel Descripción Indicador de frecuencia*

1 Raro El control asociado al riesgo es “Excelente”

2 Improbable El control asociado al riesgo es “Bueno”

3 Posible El control asociado al riesgo es “Regular”

4 Probable El control asociado al riesgo es “Deficiente”

5 Frecuente El riesgo se materializó al menos 1 vez en los últimos 12 meses

(*): Por criterio de prudencia, cuando 1 riesgo cuente con más de 1 control asociado, se asignará la probabilidad de ocurrencia asociada al control de menor efectividad. Por ejemplo, si existen 1 riesgo asociado a 3 controles, entre los cuales 2 son controles excelentes y 1 es deficiente, el riesgo adopta la frecuencia asociada al control deficiente: “Probable”

• Impacto. El impacto de los riesgos identificados se puede clasificar según las siguientes escalas y dimensiones asociadas al apetito de riesgo de la empresa:



Versión: 01

Página: 8 de 24

Nivel

TIPO DE IMPACTO

Descripción Tipo de dimensión TECNOLÓGICO

Límites Interrupción de las operaciones*

1 Insignificante Apetito de riesgo Interrupción igual o menor a 30 minutos

2 Bajo Apetito de riesgo Interrupción mayor a 30 minutos y menor a 2 horas

3 Moderado Tolerancia al Riesgo Interrupción igual o mayor a 2 horas y menor a 4 horas

4 Alto Tolerancia al Riesgo Interrupción igual o mayor a 4 horas y menor a 24 horas

5 Extremo Capacidad de Riesgo Interrupción mayor a 24 horas

*Procesos críticos De este modo, se define que los niveles de riesgo serán resultado de la multiplicación de la frecuencia por el impacto, que a su vez resultará en un mapa de calor:

Nivel de Exposición al Riesgo = (Frecuencia) * (Impacto)

Mapa de Calor para la Identificación y Medición de Riesgos

FRECUENCIA 5 5 10 15 20 25 4 4 8 12 16 20 3 3 6 9 12 15 2 2 4 6 8 10

1 1 2 3 4 5

1 2 3 4 5

IMPACTO Donde cada riesgo se clasificará según su nivel de exposición:

Nivel de Exposición al riesgo

Estrategia de respuesta al riesgo

Tipo A 1-4 = Bajo Aceptar el riesgo No adoptar ninguna acción para controlar / mitigar el riesgo

Tipo B 5-10 = Moderado

Monitorear el riesgo Monitorear periódicamente las actividades que pueden generar el riesgo, a efecto de adoptar acciones correctivas oportunas.

Tipo C 12-16 = Alto Transferir, compartir o reducir el riesgo

Transferir: Tomar acciones a efectos de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo; Reducir: Tomar acciones a efectos de reducir o minimizar el impacto, la probabilidad de ocurrencia del riesgo o ambos;

Tipo D 20-25 = Extremo Evitar el riesgo Tomar acciones a efectos de discontinuar las actividades que generan riesgo



Versión: 01

Página: 9 de 24

II.b.1 Identificación y medición de riesgos Los procesos críticos de PCR son el proceso de “Calificación de Riesgo”, “Realización de copias de seguridad” y “Envío de información a entes reguladores y a la Bolsa de Valores”, cuyo soporte tecnológico está dado por los siguientes recursos de software:

• Microsoft Office 365 (Outlook, Word, Excel, Power Point, SharePoint y Teams), para el análisis de la información que envían los clientes y para la elaboración/envío y almacenamiento de Informes de Calificación en formato digital.

• Bitdefender Antivirus

• Sistema de Backup Next Cloud

• Zoho Project, para seguimiento del estado de las tareas de Calificación de Riesgos por caso, y para el almacenamiento de Informes de Calificación.

• Skype Empresarial, para las sesiones de teleconferencia de los Comités de Calificación. Los riesgos tecnológicos identificados que podrían generar una interrupción de las operaciones se exponen a continuación:

Matriz de Riesgos Tecnológicos

Cód. Posibles Causas

Descripción Riesgo

Consecuencia Factor Controles Efectividad

de los controles

Frecuencia Impacto Nivel de Riesgo

R1

*Virus Informático

Riesgo Interno Falla técnica en el computador de un funcionario, que derive en la interrupción de sus tareas de y en pérdida de información.

*Incumplimiento Normativo *Pérdidas económicas

Sistemas

C1: Antivirus actualizado a nivel corporativo

Excelente

Posible Bajo Moderado

*Falta de mantenimiento a equipos de computación

C2: El Analista de TI ofrece soporte técnico a los equipos de computación de los funcionarios de PCR, cuando éstos se lo solicitan.

Bueno

*Hardware obsoleto

C3: Existe un software que realiza copias diarias de seguridad de toda la información de los equipos de PCR automáticamente.

Excelente

C4: El Analista de TI mantiene un inventario de los equipos de software y hardware que utilizan los funcionarios de PCR.

Excelente

C5: Disponibilidad de equipos de computación alternativos para continuar con el proceso.

Excelente

R2

*Tormenta Eléctrica u otros que ocasionen la suspensión del servicio de internet

Riesgo Externo Caída del servicio de internet

*Incumplimiento Normativo *Pérdidas económicas

Externo

C6: Contrato con el proveedor de servicio de internet, que garantice la continuidad del servicio.

Excelente

Frecuente Bajo Moderado

*Insuficiente soporte técnico in situ para configuración de router

C7: Se cuenta con proveedores de soporte técnico para atender requerimientos no habituales de mantenimiento o reparación de hardware de la Oficina.

Regular



Versión: 01

Página: 10 de 24

Mapa de Calor de Riesgos Tecnológicos

FRECUENCIA 5 R2 4 3 R1 2 1

1 2 3 4 5

IMPACTO

II.c Procedimientos de recuperación de operaciones críticas para cada evento

identificado

II.c.1 Evento R1 - Falla técnica en el computador de un Analista, que derive en la interrupción de sus tareas de análisis y en pérdida de información.

Nro. Actividades Responsable

1 Reporta la falla técnica identificada en su computador al Analista de TI vía correo electrónico, Skype Empresarial o por teléfono.

Funcionario

2 Se comunica con el funcionario vía Skype Empresarial y realiza una revisión de la falla de manera remota, determinando el problema.

Analista de TI

3

¿Se puede solucionar el problema inmediatamente? Sí: Realiza las gestiones de configuración, reparación, restauración del equipo del funcionario y reenvía el caso al Oficial de Gestión Integral de Riesgos para su conocimiento. Fin. No: Comunica al funcionario que deberá utilizar otro computador de PCR para continuar con el proceso de Calificación de Riesgo, mientras procura restaurar las funcionalidades del equipo que tiene el problema. El proceso continúa en la actividad 4.

Analista de TI

4 Inicia sesión de Office 365 y de Zoho Project en otro equipo de computación según disponibilidad, y continúa el proceso Calificación de Riesgo. Fin

Funcionario

II.c.2 Evento R2 - Caída del servicio de internet


1 Ante una caída del servicio de internet, reporta la falla técnica al Gerente / Coordinador País

Funcionario

2

Instruye al Oficial de Cumplimiento designado de la Oficina, comunicarse con el proveedor del servicio de internet para confirmar si la falla se puede solucionar en el instante, o si requiere de una visita de soporte técnico por parte del proveedor.

Gerente / Coordinador País



Versión: 01

Página: 11 de 24


3

¿La falla se puede solucionar de manera inmediata sin necesidad de recibir una visita del proveedor? 3.1) Sí: Solicita que se reestablezca el servicio a la brevedad posible y comunica al funcionario del área de Análisis para que pueda continuar con el proceso de “Calificación de Riesgo”. El proceso continúa en la actividad 5. 3.2) No: Informa al Gerente / Coordinador País. El proceso continúa en la actividad 4.

Oficial de Cumplimiento

4

¿La falla afecta la continuidad de una sesión del Comité de Calificación de Riesgo? 4.1) Sí: Instruye al Oficial de Cumplimiento realizar la compra de datos para su celular personal con recibo o factura a nombre de la empresa, por un monto de hasta USD 15, a fin de retomar la sesión del Comité de Calificación vía Skype Empresarial, e informar al Analista de TI y al Oficial de Gestión Integral de Riesgos sobre la contingencia (a este último sólo se le informa para seguimiento de la Contingencia, cuando ésta no se suscite en Bolivia). Fin 4.2) No: Instruye a todo el equipo de colaboradores de la Oficina esperar a que el proveedor restituya el servicio, y hasta entonces se trabaja offline. El proceso continúa en la actividad 5.


5 Una vez restituido el servicio de internet, comunica al Analista de TI vía correo electrónico sobre el evento de caída del servicio, señalando hora de inicio, hora de finalización y medidas adoptadas para su solución. Fin


II.d Funciones y Responsabilidades

II.d.1 Gerente País / Coordinador País. Es la instancia encargada de instruir la activación del Plan de Contingencias Tecnológicas. El Gerente País / Coordinador País podrá delegar las tareas que considere pertinentes a las áreas dependientes de su cargo, a fin de facilitar la ejecución exitosa del Plan, sin que esto implique delegación de su responsabilidad. II.d.2 Oficial de Gestión Integral de Riesgos En PCR Bolivia, es la instancia encargada de activar el Plan de Contingencias Tecnológicas. Para tal fin, el Oficial de Gestión Integral de Riesgos notificará al Analista de TI y a los colaboradores de la Oficina sobre la activación del Plan, para que cada instancia ejecute las tareas que están a su cargo según procedimiento. En las Oficinas de PCR que no están ubicadas en Bolivia, su responsabilidad consiste en monitorear las acciones adoptadas por el Gerente País/Coordinador País, el Analista de TI, y demás colaboradores para cumplimiento del Plan de Contingencias Tecnológicas.



Versión: 01

Página: 12 de 24

II.d.3 Analista de TI Es la instancia responsable de gestionar la restauración de los sistemas de información que son críticos para PCR, y de configurar el software que sirve para realizar copias de seguridad de la información esencial de los procesos críticos de la empresa. En ese sentido, también es la instancia encargada de registrar los eventos de riesgo tecnológico que se susciten, según los campos expuestos en el Anexo 1 “Reporte de Eventos de Interrupción”. II.d.4 Oficial de Cumplimiento Es responsable de dar apoyo logístico para la restauración de los sistemas y recursos de comunicación que dan soporte a los procesos críticos de PCR, y de coordinar con las tareas designadas por el Gerente / Coordinador país, para la resolución de la contingencia.

II.e Medidas de Prevención

Para permitir un adecuado proceso de recuperación del servicio que otorga PCR a sus clientes, se debe capacitar al menos una vez al año, a todo el personal sobre el presente Plan de Contingencias. A nivel específico se listan las siguientes acciones preventivas para los riesgos identificados: II.e.1 R1 - Falla técnica en el computador de un Analista, que derive en la interrupción de sus tareas de análisis y en pérdida de información. Se debe aplicar las siguientes medidas de prevención para el riesgo R1:

• Mantenimiento preventivo (mínimamente anual) y correctivo (a requerimiento), del software de los computadores de todos los colaboradores de PCR.

• Mantener un inventario de hardware y software de todos los equipos de computación, a fin de reemplazar aquellos que sean obsoletos.

• Contar con un Directorio Telefónico actualizado en la nube, donde se incluya el teléfono al que se puede llamar para solicitar soporte técnico de hardware.

• Comprar únicamente equipos originales que cuenten con garantía por parte del proveedor.

• Se deben realizar copias de respaldo diarias de manera automática, de toda la información resguardada en los equipos del personal de PCR.

• Los colaboradores deben precautelar que su información más crítica (archivos de trabajo, información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o en el Sharepoint.

II.e.2 R2 - Caída del servicio de internet Se debe aplicar las siguientes medidas de prevención para el riesgo R1:

• Contar con un Acuerdo de Nivel de Servicio (SLA - Service Level Agreement por sus siglas en inglés), firmado entre el proveedor y PCR, es decir, un Contrato en el que se estipulen las



Versión: 01

Página: 13 de 24

condiciones del servicio de internet en función a parámetros objetivos (ancho de banda, precio, velocidad, continuidad del servicio, etc.), donde además se incluya la obligación del proveedor de dar asistencia técnica a PCR según lo requiera.

• Contar con un Directorio Telefónico actualizado en la nube para poder contactar al proveedor del servicio de internet, cuando se requiera asistencia técnica.

• Contar con un monto de hasta USD 15 en Caja Chica para la compra de datos o minutos, recargables en el celular personal de cualquiera de los colaboradores de la Oficina, sólo en caso de contingencia. Ante la no disponibilidad inmediata del monto citado, se puede usar los datos o minutos de cualquiera de los colaboradores, con posterior reposición de fondos mediante Caja Chica, de hasta USD 15.

II.f Recursos Mínimos asignados para la recuperación de los servicios y sistemas

• Recursos de hardware: Computadoras de escritorio y portátiles, impresoras, scanners, necesarios para dar soporte a los procesos críticos de PCR.

• Recursos de software: Aplicativo Office 365 y sistema Zoho Project, que permiten el cargado de información en la nube, con las medidas de seguridad de la información necesarias para precautelar la disponibilidad, integridad y confidencialidad de la información.

• Recursos humanos: Analista de TI, Oficial de Gestión Integral de Riesgos, Gerente / Coordinador País.

• Recursos financieros: Hasta USD 15 para realizar llamadas vía Skype Empresarial o, en su defecto, para llamadas de larga distancia.

II.g Convenios realizados para la recuperación de los servicios y sistemas

PCR cuenta con los siguientes convenios para garantizar la recuperación de sus servicios y sistemas:

• Contrato de Nivel de Servicio para Servicios Online de Microsoft (uno solo a nivel corporativo)

• Contrato de Servicio de Telecomunicaciones / Internet (uno por cada Oficina País)

II.h Revisión y evaluación del Plan de Contingencias Tecnológicas

El presente Plan de Contingencias se debe revisar y evaluar al menos una vez al año con un enfoque de gestión de riesgos tecnológicos y empleando como insumo los incidentes de seguridad de la información que se hayan materializado.

II.i Pruebas al Plan de Contingencias Tecnológicas

Se debe realizar al menos una prueba anual al Plan de Contingencias Tecnológicas de PCR, considerando y registrando lo siguiente:

- Realización de copias de seguridad de la información almacenada del(los) funcionario(s) del área de Análisis seleccionados aleatoriamente para el efecto.



Versión: 01

Página: 14 de 24

- Solicitudes de Asistencia Técnica al proveedor de telecomunicaciones / internet, para verificar si el proveedor tiene la capacidad de atender reclamos de manera oportuna.

- Realización de Comités de Calificación empleando alguno de los celulares de los colaboradores como enrutador de salida de Internet.

II.j Situaciones no cubiertas y supuestos

El presente Plan de Contingencias Tecnológicas no incluye situaciones de riesgo de convulsión social o de manifestaciones, en virtud de que éstas son cubiertas por el Plan de Continuidad del Negocio. Los Informes de Pruebas al Plan de Contingencias Tecnológicas siempre deben incluir los supuestos que se tomará en cuenta para cada escenario simulado.



Versión: 01

Página: 15 de 24

CAPÍTULO III. PLAN DE CONTINUIDAD DEL NEGOCIO

III.a Inicio del Proyecto

El presente proyecto ha sido desarrollado por el área de Gestión Integral de Riesgos de PCR con la colaboración de las áreas de TI, Comunicaciones, Desarrollo Organizacional y Administración, en coordinación con los Gerentes / Coordinadores País.

III.b Análisis de impacto al negocio (BIA – Business Impact Analysis)

La norma ISO 22301 señala que el BIA debe incluir al menos una evaluación del impacto que una interrupción del negocio podría generar en la entrega de productos y servicios de una organización. En tal sentido, PCR determina que el BIA debe componerse de al menos tres partes:

1. Identificación de los procesos críticos, tanto de negocio como de soporte que están sujetos a cumplimiento regulatorio, por Oficina.

2. Evaluación del impacto que la interrupción de los procesos críticos puede generar en la empresa y en sus principales stakeholders (clientes, proveedores, entes reguladores y bolsas de valores).

3. Definición del Tiempo Máximo Aceptable de Interrupción (TMAI) del negocio, durante el cual se deberá realizar las acciones para la recuperación del servicio.

III.b.1 Identificación de los procesos críticos de negocio y de soporte Los procesos de PCR están clasificados por nivel de criticidad según criterio de experto. De ese modo, se establece a los siguientes procesos críticos:

Proceso Nivel de Descentralización Tipo de Proceso

Nivel de Criticidad

Realización de copias de seguridad Todas las Oficinas de PCR Soporte Crítico

Calificación de Riesgo Todas las Oficinas de PCR Negocio Crítico

Envío de información a entes reguladores y a la Bolsa de Valores

Todas las Oficinas de PCR Soporte Crítico

En ese sentido, los procesos “Calificación de Riesgo” (proceso crítico de negocio) y “Envío de información a entes reguladores y a la Bolsa de Valores” y “Realización de copias de seguridad” (procesos críticos de soporte), se constituyen en aquellos a los que la gestión de la continuidad del negocio debe dar prioridad para su restablecimiento oportuno ante eventos adversos. III.b.2 Evaluación del impacto de la interrupción del negocio en los stakeholders Se estima que el impacto de un evento de interrupción del negocio se verá reflejado de la siguiente manera en los stakeholders de PCR, según el tiempo que dure la interrupción:



Versión: 01

Página: 16 de 24

Nivel

TIPO DE IMPACTO EN PCR IMPACTO EN STAKEHOLDERS

Interrupción de las operaciones*

Clientes Proveedores Entes

Reguladores Bolsas de Valores

1 Interrupción igual o menor a 30 minutos

Insignificante Insignificante Insignificante Insignificante

2 Interrupción mayor a 30 minutos y menor a 2 horas

Bajo Insignificante Bajo Bajo

3 Interrupción igual o mayor a 2 horas y menor a 4 horas

Moderado Insignificante Alto Moderado

4 Interrupción igual o mayor a 4 horas y menor a 24 horas

Alto Insignificante Alto Alto

5 Interrupción igual o mayor a 24 horas

Extremo Alto Extremo Extremo

*Procesos Críticos Donde cada nivel de impacto en los stakeholders representa lo siguiente:

• Insignificante. - La interrupción no afecta a los procesos del stakeholder.

• Bajo. - La interrupción puede ocasionar leves retrasos en los procesos del stakeholder.

• Moderado. - La interrupción puede ocasionar retrasos significativos en los procesos del stakeholder.

• Alto. - La interrupción puede ocasionar desconfianza por parte del stakeholder.

• Extremo. - La interrupción puede ocasionar una crisis sistémica (Bolsas de Valores y Clientes), y/o puede derivar en una sanción pecuniaria para PCR (Entes Reguladores).

III.b.3 Tiempo Máximo Aceptable de Interrupción (TMAI) Según la evaluación expuesta en el punto III.b.2, se establece que el tiempo máximo aceptable de interrupción de las operaciones de PCR es de 3 horas y 59 minutos, periodo máximo en el que se prevé reanudar los procesos críticos de la compañía.

III.c Análisis y evaluación de riesgos de seguridad de la información (SI)

La metodología empleada para la identificación y medición de riesgos de SI es la misma que la empleada en el punto II.c del Plan de Contingencias Tecnológicas. III.c.1 Identificación de riesgos de SI Los principales procesos críticos de PCR son el proceso de “Calificación de Riesgo” (proceso de negocio), y el proceso de “Envío de información a entes reguladores y bolsas de valores” (proceso de soporte). Si uno o ambos procesos se interrumpen, dependiendo del periodo que dure dicha interrupción, esto puede conllevar a consecuencias catastróficas para la empresa. A continuación, se identifica los riesgos que podrían generar severas interrupciones del negocio de PCR:



Versión: 01

Página: 17 de 24

Matriz de Riesgos en Seguridad de la Información

Cód. Riesgo

Posibles Causas Descripción

Riesgo Consecuencia Factor Controles

Efectividad de los

controles Frecuencia

Impacto

Nivel de

Riesgo

R1

*Cables en mal estado, enchufes estropeados

Riesgo Externo Incendio que implique la destrucción de los activos fijos y los activos de información críticos de la Oficina (pérdida de información)

*Incumplimiento normativo *Pérdidas económicas

Externo

C1: Mantenimiento de las conexiones de la Oficina (conexiones seguras)

Regular

Probable Extremo Extremo

*Saturación de cortapicos / tijeretas / extensores de corriente

C2: Se realiza al menos una capacitación anual para el uso de extintores

Regular

*Papeles desordenados, material inflamable no debidamente resguardado

C3: Se cuenta con un directorio telefónico que incluye bomberos y ambulancias.

Excelente

*Sobrecalentamiento de los equipos de cómputo o de comunicaciones

C4: Toda la información esencial para los procesos críticos se encuentra cargada en la nube de Microsoft Office 365

Bueno

R2

*Problemas socio -políticos varios

Riesgo Externo Convulsión e inestabilidad social (manifestaciones violentas, vandalismo), que atenten contra la infraestructura de PCR, y que además sean una amenaza para la integridad física de los colaboradores

*Incumplimiento normativo *Pérdidas económicas

Externo

C5: Se cuenta con personal de seguridad física (guardias o personal de vigilancia) en todos los Edificios donde PCR opera.

Regular

Frecuente Extremo Extremo

*Promulgación de Leyes o Decretos que priven de sus derechos a varios sectores

C6: Cámaras de seguridad y cerradura electrónica en la puerta de ingreso de la Oficina, impidiendo el acceso de terceros sin autorización

Bueno

*Medidas de política económica que generen algún shock a la economía del país (ej. Gasolinazo; Devaluación/Revaluación de la moneda local, etc.)

C7: Las instalaciones de la Oficina permiten una evacuación efectiva de los colaboradores.

Excelente

C4: Toda la información esencial para los procesos críticos se encuentra cargada en la nube de Microsoft Office 365

Bueno



Versión: 01

Página: 18 de 24

Mapa de Calor de Riesgos en Seguridad de la Información

FRECUENCIA 5 R2 4 R1 3 2 1

1 2 3 4 5 IMPACTO

III.d Medidas de Prevención

Para permitir un adecuado proceso de reanudación del servicio que otorga PCR a sus clientes y a las obligaciones que tiene con sus principales stakeholders, se debe capacitar al menos una vez al año, a todo el personal sobre el presente Plan de Continuidad del Negocio. A nivel específico se listan las siguientes acciones preventivas para los riesgos identificados: III.d.1 R1 - Incendio que implique la destrucción de los activos fijos y los activos de información críticos de la Oficina (pérdida de información) Se debe aplicar las siguientes medidas de prevención para el riesgo R1:

• Mantenimiento preventivo (mínimamente anual) y correctivo (a requerimiento), de los cables que conectan todo el hardware y los equipos de comunicación (teléfonos) de la Oficina, a fin de que éstos no estén en mal estado o que existan conexiones saturadas.

• Capacitación (mínimamente anual), a todo el personal de la Oficina, sobre la utilización de extintores en caso de incendio.

• Contar con un Directorio Telefónico actualizado en formato impreso, de fácil acceso para todos los funcionarios, donde se incluya el teléfono al que se puede llamar a los Bomberos y/o a Ambulancias.

• Se deben realizar copias de respaldo diarias de manera automática, en especial de los activos de información críticos de la empresa.

• Todo activo de información crítico que se resguarde en formato impreso (boletas de pago, estatutos, Actas de Directorio, etc.), debe estar escaneado en la nube, ya sea en Office Teams o en el Sharepoint.

• Todos los colaboradores deben precautelar que su información más crítica (archivos de trabajo, información de clientes, etc.), esté debidamente cargada en la nube, ya sea en el Office Teams o en el Sharepoint.

III.d.2 R2 - Convulsión e inestabilidad social (manifestaciones violentas, vandalismo), que atenten contra la infraestructura de PCR, y que además sean una amenaza para la integridad física de los colaboradores



Versión: 01

Página: 19 de 24

Se debe aplicar las siguientes medidas de prevención para el riesgo R2:

• Se deben realizar copias de respaldo diarias de manera automática, en especial de los activos de información críticos de la empresa.



III.e Desarrollo de estrategias para el Plan de Continuidad del Negocio

• Ante todo, se debe precautelar la integridad física de las personas que trabajan en PCR.

• Ante la falta de medios de transporte para que se movilicen los colaboradores, se podrá realizar teletrabajo desde casa, sujeto a la aprobación del Gerente / Coordinador País.

• Los Comités de Calificación que se tengan programados en el día del evento de riesgo podrán reprogramarse hasta 3 horas y 59 minutos después como máximo, y deberán realizarse vía Skype Empresarial. En caso de excederse ese plazo, se debe informar al Gerente / Coordinador País para que analice si corresponde reportar la interrupción de las operaciones por 4 ó más horas a los entes reguladores y demás stakeholders.

• Los Informes de Calificación que se deba enviar en formato impreso a entes reguladores, clientes y/o bolsas de valores deberán remitirse al día siguiente del evento de riesgo, incluyendo en la nota de envío la explicación/salvedad por el retraso. Para esa tarea, el(los) Analista(s) responsable(s) deberán coordinar con el personal administrativo (Asistente Administrativo, Gerente / Coordinador País), dicho envío oportunamente.

• Se debe hacer todos los esfuerzos por cumplir con las obligaciones de la empresa para con entes reguladores (envío de informes, pago de impuestos, pago de aportes a cajas de salud, seguro social, etc.). En caso de no poder cumplir con alguna de dichas obligaciones, se debe reprogramar su realización para el día hábil siguiente.





Versión: 01

Página: 20 de 24

III.f Plan de emergencias para la gestión de incidentes

II.f.1 Incidente R1 – Incendio El presente Plan se activará si se identifica un foco de incendio en las instalaciones de PCR.


1 Ante la detección de un foco de incendio (sitio en el que se origina el incendio), notifica al Asistente Administrativo y a los demás colaboradores de la Oficina para que se empiece la evacuación.

Cualquier funcionario/

colaborador de PCR

2

La Brigada contra Incendios (mínimo dos funcionarios), intentará contener el fuego a través del uso del(los) extintor(es) disponible(s) en la Oficina, siempre que esta actividad no comprometa su integridad física. La Brigada de Primeros Auxilios (mínimo dos funcionarios), de manera paralela, iniciará y guiará a todo el personal para la evacuación del Edificio (en todos los casos se debe utilizar las gradas y no el elevador / ascensor). Nota: Tan pronto la Brigada de Primeros Auxilios inicie la tarea de evacuación, ésta debe realizarse de manera inmediata. Las personas no pueden desperdiciar tiempo eligiendo qué artículos podrán llevarse de las instalaciones, pues esto retrasa el proceso, además de implicar un riesgo para la vida de esos funcionarios y para la Brigada de Primeros Auxilios.

Brigada contra incendios y Brigada

de Primeros Auxilios

3

¿La Brigada contra Incendios logró contener el fuego? Sí: El proceso continúa en la actividad 5. No: Se procede a llamar y solicitar ayuda a los Bomberos (la lista o Directorio Telefónico actualizado se encuentra en la nube). El proceso continúa en la actividad 4.

Cualquier funcionario/

colaborador de PCR

4 Realizan labores de sofocación de incendios. Bomberos

5 Notifica mediante correo electrónico a Presidencia y al Analista de TI, sobre los detalles del evento y las gestiones que se realizaron para solucionarlo.


II.f.1 Incidente R2 – Convulsión e inestabilidad social (manifestaciones violentas, vandalismo) El presente Plan se activará si luego de un análisis de la situación de riesgo, el Gerente / Coordinador País considera pertinente hacerlo, donde los principales criterios de activación serán una o dos de las siguientes señales de alerta:

- La posibilidad de no contar con suficiente control policial en la ciudad para contener la situación de convulsión/inestabilidad social, exponiendo la integridad de los colaboradores.

- La falta de medios de transporte para que los funcionarios se trasladen de la Oficina hasta su casa, y viceversa.



Versión: 01

Página: 21 de 24


1

Ante una situación de riesgo, autorizará y divulgará mediante correo electrónico, la instrucción para realizar teletrabajo desde casa, funcionarios autorizados y los horarios que se debe cumplir para la entrega y envío de información a sus jefes inmediatos. Nota: Los colaboradores que trabajan en el área administrativa y/o que deben gestionar el cumplimiento de obligaciones para con los stakeholders, deberán hacer todo lo posible por cumplir con sus labores en la Oficina, siempre que esto no comprometa su integridad física.


2

¿Dónde están ubicados los colaboradores al momento de recibir la instrucción?

- En la Oficina: Proceden a retirarse a sus domicilios según el horario señalado por el Gerente / Coordinador País y terminan de realizar sus labores mediante teletrabajo. Fin.

- Fuera de la Oficina: Si no comprometen su integridad física, asisten a la Oficina y realizan sus labores hasta el horario definido por el Gerente / Coordinador País. Fin.

Nota 1: Todos los colaboradores deben estar atentos a su correo Outlook (app instalada en el celular), para enterarse oportunamente de la instrucción enviada por el Gerente / Coordinador País. Nota 2: En caso de que nadie pueda asistir a trabajar a las Oficina de PCR, se debe notificar sobre la interrupción del servicio y sus salvedades a los stakeholders al día hábil siguiente de concluido el evento de convulsión social. Fin

Colaboradores de PCR

III.g Plan de Recuperación de Desastres

En caso de haberse suscitado un incendio, o un desastre que implique la destrucción de los activos fijos y activos de información de PCR, se debe llevar a cabo las siguientes tareas de recuperación:

1) Contabilizar el valor monetario de las pérdidas incurridas por el evento y notificar al área de Administración.

2) Realizar un inventario de los activos fijos y de los activos de información que se debe reponer a causa del evento, y su costo.

3) Gestionar la compra y reposición de los activos fijos y de información.

4) Coordinar con el área de TI la instalación del software en los equipos de cómputo que se haya repuesto.

5) Gestionar la recuperación de los datos y activos de información digital que están cargados en la nube, con ayuda del área de TI.



Versión: 01

Página: 22 de 24

III.h Desarrollo e implementación del BCP

El desarrollo e implementación del BCP es responsabilidad de los siguientes cargos jerárquicos: III.h.1 Gerente País / Coordinador País. Es la instancia encargada de instruir la activación del Plan de Continuidad del Negocio. El Gerente País / Coordinador País podrá delegar las tareas que considere pertinentes a las áreas dependientes de su cargo, a fin de facilitar la ejecución exitosa del Plan, sin que esto implique delegación de su responsabilidad. III.h.2 Oficial de Gestión Integral de Riesgos En PCR Bolivia, es la instancia encargada de activar el Plan de Continuidad del Negocio. Para tal fin, el Oficial de Gestión Integral de Riesgos notificará al Analista de TI y a los colaboradores de la Oficina sobre la activación del Plan, para que cada instancia ejecute las tareas que están a su cargo según procedimiento. En las Oficinas de PCR que no están ubicadas en Bolivia, su responsabilidad consiste en monitorear las acciones adoptadas por el Gerente País/Coordinador País, el Analista de TI, y demás colaboradores para cumplimiento del Plan de Continuidad del Negocio. III.h.3 Analista de TI Es la instancia responsable de gestionar la restauración de los sistemas de información que son críticos para PCR, y de configurar el software que sirve para realizar copias de seguridad de la información esencial de los procesos críticos de la empresa. En ese sentido, también es la instancia encargada de registrar los eventos de riesgo tecnológico que se susciten, según los campos expuestos en el Anexo 1 “Reporte de Eventos de Interrupción”. III.h.4 Oficial de Cumplimiento Es responsable de dar apoyo logístico para la restauración de los sistemas y recursos de comunicación que dan soporte a los procesos críticos de PCR, y de coordinar con las tareas designadas por el Gerente / Coordinador país, para la resolución de la contingencia.

III.i Programa de concientización y capacitación

Además de las instancias citadas en el punto III.h, se establece que el conocimiento y aplicación exitosa del Plan de Continuidad del Negocio es responsabilidad de todos los colaboradores de PCR. Para tal fin, se realizará una capacitación anual sobre el presente documento a todas las Oficinas de PCR, debiendo además realizarse como mínimo una prueba anual (simulacro), que permita exponer las debilidades y oportunidades de mejora de los procedimientos.

III.j Mantenimiento y ejercicios del BCP

El Plan de Continuidad del Negocio debe ser sujeto de actualización al menos una vez al año, empleando como insumo los resultados expuestos en las pruebas realizadas por las distintas Oficinas.



Versión: 01

Página: 23 de 24

III.k Comunicación y Gestión de la Crisis

A continuación, se expone las pautas necesarias para la comunicación interna y externa de cualquier evento de interrupción:

• Comunicación Interna

- El Oficial de Cumplimiento designado de cada Oficina es el encargado de comunicar al Analista de TI y al Jefe de Administración, sobre el inicio de la contingencia o evento de interrupción del negocio.

- Si el evento tiene duración mayor a 2 horas, el Analista de TI es responsable de enviar un Comunicado a los colaboradores de PCR para indicarles que la Oficina de determinado país, está atravesando una contingencia.

- Todos los colaboradores deben tener instalada la app de Skype Empresarial en sus celulares, en caso de que se requiera contactarlos para gestionar la solución de la contingencia o interrupción del negocio.

• Comunicación Externa

- La única instancia autorizada para ofrecer declaraciones a los stakeholders, y a los medios de prensa sobre la contingencia o interrupción del negocio es el Gerente / Coordinador País.

- Si la contingencia es de origen tecnológico (virus informático, ciberataque, etc.), con duración igual o superior a las 4 horas, el Oficial de Cumplimiento de la Oficina de PCR Perú debe notificar sobre el evento al CSIRT nacional o al Pe-Cert (Coordinadora de Respuesta a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú), según corresponda.



Versión: 01

Página: 24 de 24

Anexo 1: Reporte de Eventos de Interrupción

Oficina País

Año de reporte

Trimestre de reporte

Mes

Interrupciones del Negocio Interrupciones debido a fallas en los sistemas de información Interrupciones por fallas en los proveedores principales

Número de interrupciones

(a)

Tiempo (min) total

de interrupción

(b)


(c)

Tiempo (min) total

de interrupción

(d)

Proporción de interrupciones

por fallas en los sistemas

(c)/(a)



(d)/(b)


(e)

Tiempo (min) total

de interrupción

(f)



(e)/(a)



(f)/(b)

1

2

3

Formato: Superintendencia del Mercado Valores de Perú Elaboración: Propia

plan de continuidad del negocio - ratingspcr.com...el plan de continuidad del negocio de pacific...

Documents