Pcn - Plan De Continuidad De Negocio: Contenido
PCN - PLAN DE CONTINUIDAD DE NEGOCIO SGI-DO-VO1-001 10/2017 Contenido 1 2 3 ASPECTOS GENERALES ..................
Views 163 Downloads 3 File size 1MB
Recommend stories
- Author / Uploaded
- Alvaro Javier NAJAR MORENO
Citation preview
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Contenido
1
2
3
ASPECTOS GENERALES ........................................................................................................................ 3 1.1
OBJETIVO GENERAL..................................................................................................................... 3
1.2
OBJETIVOS ESPECIFICOS ............................................................................................................. 3
1.3
ALCANCE ..................................................................................................................................... 4
1.4
GLOSARIO.................................................................................................................................... 4
GOBIERNO DE CONTINUIDAD ............................................................................................................. 5 2.1
POLITICAS .................................................................................................................................... 5
2.2
ESTRUCTURA DE GESTION .......................................................................................................... 6
2.2.1
Roles y responsabilidades ................................................................................................... 7
2.2.2
Línea de sucesión ................................................................................................................ 8
Etapas de la administración del PCN .................................................................................................. 8 3.1
Fase de Prevención ..................................................................................................................... 8
3.1.1
Análisis de impacto ............................................................................................................. 9
3.1.2
Análisis de riesgos ............................................................................................................. 11
3.1.3
Estrategia de continuidad ................................................................................................. 14
3.1.4
Pruebas ............................................................................................................................. 16
3.1.5
Mantenimiento ................................................................................................................. 17
3.2
Fase de Administración de crisis ............................................................................................... 17
3.2.1
Alerta................................................................................................................................. 18
3.2.2
Transición .......................................................................................................................... 19
3.2.3
Recuperación .................................................................................................................... 19
ACTIVIDAD................................................................................................................................................. 27 RESPONSABLE ........................................................................................................................................... 27 3.2.4
Vuelta a la normalidad ...................................................................................................... 30
ANEXO 1 Matriz de Riesgo Operativo ....................................................................................................... 31 ANEXO 2 Cascada telefónica ..................................................................................................................... 35 ANEXO 3 Documentación de incidentes de contingencia ........................................................................ 38 ANEXO 4 Modelos de documentos de la etapa de pruebas ..................................................................... 39 ANEXO 5 Formatos para operación manual ............................................................................................. 41
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 1 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Índice de Ilustraciones ..............................................................................................................................................................................
Ilustración 1 Etapas de la fase de prevención ........................................................................................... 9 Ilustración 2 Procesos del Centro de Distribución .................................................................................... 9 Ilustración 3 Mapa térmico de riesgo ...................................................................................................... 12 Ilustración 4 Mapa de riesgo inherente .................................................................................................. 12 Ilustración 5 Mapa de riesgo residual ..................................................................................................... 13 Ilustración 6 Etapas de la fase de administración de crisis ..................................................................... 17 Ilustración 7 Etapa de alerta .................................................................................................................... 18 Ilustración 8 Paso a paso de la etapa de transición ............................................................................... 19 Ilustración 9 Paso a paso estrategia sitio alterno ................................................................................... 20 Ilustración 10 Paso a paso estrategia de personal .................................................................................. 21 Ilustración 11 Paso a paso estrategia IT .................................................................................................. 22 Ilustración 12 Plan de contingencia de Base de datos ............................................................................ 23 Ilustración 13 Plan de contingencia Red WAN ........................................................................................ 24 Ilustración 14 Plan de contingencia Red LAN .......................................................................................... 25 Ilustración 15 Plan de contingencia Sistema Operativo ......................................................................... 26 Ilustración 16 Plan de contingencia por un corte de luz ......................................................................... 27 Ilustración 17 Operación manual recibos ................................................................................................ 29 Ilustración 18 Operación manual entregas ............................................................................................. 30
Índice de Tablas Tabla 1 Niveles de criticidad ............................................................................................................................... 6 Tabla 2 Matriz de roles ....................................................................................................................................... 6 Tabla 3 Línea de sucesión ................................................................................................................................... 8 Tabla 4 Procesos críticos ................................................................................................................................... 10 Tabla 5 Elementos de TI críticos ....................................................................................................................... 10 Tabla 6 Especificaciones y recursos de ubicaciones alternas ........................................................................... 14 Tabla 7 Alcance de los planes de contingencia ................................................................................................. 16
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 2 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
INTRODUCCIÓN Vigía Plus Services, VPS, reconoce que existen amenazas por la factibilidad de materializarse un incidente o desastre que afecte la operación. Así mismo, conoce la necesidad de recuperarse en el menor tiempo posible, garantizando la continuidad de la prestación de servicios a los clientes. La Administración del Plan de Continuidad de Negocios (PCN) es la manera como VPS responde organizadamente a los eventos que puedan interrumpir la normal operación e impactar el logro de los objetivos. El Plan de Continuidad del Negocio ofrece elementos para la prevención y atención de emergencias, administración de la crisis, planes de contingencia y capacidad de retorno a la operación normal. 1
ASPECTOS GENERALES
1.1
OBJETIVO GENERAL
Tener un protocolo para que VPS pueda responder a emergencias, recuperarse de ellas y mitigar los impactos ocasionados, protegiendo a las personas, permitiendo la continuidad de los servicios críticos y minimizar el impacto en los clientes.
1.2
OBJETIVOS ESPECIFICOS
Identificar los procesos críticos Identificar los riesgos presentes para la continuidad Definir la funcionalidad mínima que requiere el negocio en caso de contingencia. Administrar la crisis de manera adecuada, de tal forma que permita a VPS, proteger de manera adecuada: La integridad de las personas que trabajan o visitan. La mercancía e información de sus clientes. Los activos de la organización. Minimizar la frecuencia e impacto de interrupciones de la operación. Asegurar la rápida y eficaz restauración de las operaciones afectadas por un evento. Disminuir las decisiones a tomar en caso de contingencia. Desarrollar procedimientos específicos y guías de operación en caso de desastre para cada uno de los servicios críticos vitales especificados en el alcance del plan. Establecer un plan de prueba, gestión y mantenimiento necesarias para garantizar los objetivos del Plan.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 3 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
1.3
ALCANCE
Se establece como alcance de este Plan la Continuidad de Negocios los servicios que VPS ofrece a Oriflame: Operación logística: recibo, almacenamiento, abastecimiento, selección, empaque, despacho, control de inventario Maquila: acondicionamiento de mercancías, alistamiento de promociones, Kits, elaboración de etiquetas, rotulación de kits promocionales, marcación de producto, termo encogido.
1.4 GLOSARIO Sitio alterno. Ubicación alterna de operaciones seleccionada para ser utilizada por una organización cuando las operaciones normales no pueden llevarse a cabo utilizando las instalaciones normales después de que se ha producido una interrupción. Gestión de continuidad del Negocio. Proceso general que identifica amenazas potenciales a una organización y el impacto que se podría causar a la operación de negocio que en caso de materializarse y el cual provee un marco de trabajo para la construcción de la resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los intereses de las partes interesadas claves, reputación, marca y actividades de creación de valor. Plan de Continuidad de Negocio. Procedimientos documentados que orientan a las organizaciones para responder, recuperar, reanudar y restaurar la operación a un nivel pre-definido de operación una vez presentada una interrupción. NOTA: Típicamente, esto incluye los recursos, servicios y actividades necesarios para garantizar la continuidad de las funciones críticas del negocio. Plan de Recuperación de Desastres (DRP): Es la estrategia que se sigue para restablecer los servicios de tecnología (red, servidores, hardware y software) después de haber sufrido una afectación por un incidente o catástrofe de cualquier tipo, el cual atente contra la continuidad del negocio. Análisis del impacto al negocio (BIA por sus siglas en ingles). Proceso del análisis de actividades las funciones operacionales y el efecto que una interrupción del negocio podría tener sobre ellas. Planes de contingencia: Conjunto de acciones y recursos para responder a las fallas e interrupciones específicas de un sistema o proceso. Interrupción. Incidente, bien sea anticipado o no anticipados los cuales pueden afectar el normal curso de las operaciones en alguna de las ubicaciones de la organización. Registro. Registro electrónico o en papel que es esencial para preservar, continuar o reconstruir las operaciones de una organización y proteger los derechos de una organización, sus empleados, sus clientes y sus partes interesadas. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, igual que los recursos necesarios para su uso. Amenaza: Persona, situación o evento natural del entorno (externo o interno) que es visto como una fuente de peligro, catástrofe o interrupción, tales como inundación, incendio, robo de datos. Vulnerabilidad: Es una debilidad que se ejecuta accidental o intencionalmente y puede ser causada por la falta de controles, llegando a permitir que la amenaza ocurra y afecte los intereses de la Institución.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 4 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Riesgo: Es la probabilidad de materialización de una amenaza por la existencia de una o varias vulnerabilidades con impactos adversos resultantes para la Entidad. Frecuencia: Estimación de ocurrencia de un evento en un período de tiempo determinado. Los factores a tener en cuenta para su estimación son la fuente de la amenaza y su capacidad y la naturaleza de la vulnerabilidad. Impacto: Es el efecto que causa la ocurrencia de un incidente o siniestro. La implicación del riesgo se mide en aspectos económicos, imagen reputacional, disminución de capacidad de respuesta y competitividad, interrupción de las operaciones, consecuencias legales y afectación física a personas. Mide el nivel de degradación de uno de los siguientes elementos de continuidad: Confiabilidad, disponibilidad y recuperabilidad. Control: Es el proceso, política, dispositivo, práctica u otra acción existente que actúa para minimizar el riesgo o potenciar oportunidades positivas. Riesgo inherente: Es el cálculo del daño probable a un activo de encontrarse desprotegido, sin controles. Riesgo residual: Riesgo remanente tras la aplicación de controles. Punto objetivo de recuperación (RPO). Punto en el tiempo en el cual los datos deben ser recuperados después de que una interrupción ocurra. Punto Tiempo objetivo de tiempo de recuperación (RTO). Periodo de tiempo en el cual los mínimos niveles de productos y/o servicios y los sistemas, aplicaciones, o funciones que los soportan deben ser recuperados después de que una interrupción ocurra. 2
GOBIERNO DE CONTINUIDAD
2.1
POLITICAS
El PCN está orientado a la protección de las personas, así como al restablecimiento de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre. Todos los funcionarios de la organización deben estar entrenados en los procedimientos definidos en este plan y conocer los roles que desempeñe en un evento de interrupción o desastre. El jefe de cada área operativa asume el rol de líder del PCN en su respectiva área. Se deben realizar las etapas del PCN con la siguiente frecuencia, salvo indicación en contrario de la presidencia para que se realice con una mayor frecuencia: Análisis de impacto del negocio, cada 2 años. Monitoreo de riesgos, anual. Pruebas, anual. Estrategias, cada dos años, o cuando ocurra un evento significativo. Se definen los siguientes niveles de criticidad
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 5 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Tabla 1 Niveles de criticidad Nivel de criticidad Baja Criticidad Media Criticidad Crítico
Muy crítico
2.2
Descripción Proceso que en general puede permanecer suspendido varios días sin afectar significativamente la operación o económicamente la compañía Puede permanecer varias horas bloqueado, pero que en la medida en que no se restablece se torna crítico. Debe ser habilitado rápidamente para evitar incurrir en pérdidas económicas (indemnizaciones, pérdida de ingresos, penalidades contractuales), legales (demandas, multas y sanciones) o reputacionales (principalmente con los clientes), representativas para la empresa. Se debe evitar su interrupción, por las consecuencias en costos para la compañía o por su impacto en los clientes.
Tiempo máx. de interrupción RTO Más de 2 días
1 día 3 horas
Menos de 1 hora
Los procesos o servicios contratados con terceros que afecten los procesos críticos y muy críticos, deben contar con un Plan de Continuidad de Negocio. El funcionario responsable de la administración del proveedor debe evaluar este plan. En el momento de presentarse un incidente significativo, el único funcionario autorizado para interactuar con medios de comunicación es el Director de Continuidad. El contacto oficial para informar el inicio y avance de la contingencia con clientes y proveedores lo realiza el Líder de Administración /Recuperación. ESTRUCTURA DE GESTION
La gestión del PCN exige una estructura responsable de promover la cultura de la seguridad y asegurar el cumplimiento de las políticas señaladas al interior de la compañía. Se crea, por lo tanto, el Comité de Riesgo conformado de la siguiente manera: Tabla 2 Matriz de roles Cargo
Rol Director de Continuidad Director Alterno de Continuidad Líder de Recuperación Tecnológica Líder de Administración /Recuperación Infraestructura Física Jefe CEDI (VPS Oriflame) Coordinador de Recuperación Jefe de Distribución Oriflame Coordinador de Recuperación Oriflame El Comité de riesgo se reunirá mensualmente para analizar el avance del desarrollo del PCN, así como para evaluar los eventos que pudieron generar algún tipo de pérdida para la compañía o que puso a la misma en situación de riesgo comercial, económico o reputacional y establecer acciones tendientes a su no repetición. En caso de ser activada una emergencia el Comité se denominará Comité de Crisis. Gerente General Director HSQ Director de IT Jefe de Operaciones
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 6 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
2.2.1
Roles y responsabilidades
Director de continuidad: El Director de Continuidad es el encargado de dirigir y liderar todas las actividades del plan de continuidad del negocio. Por lo tanto, debe convocar y liderar el comité de riesgo rutinariamente. En caso de una emergencia es el responsable de:
Declarar la contingencia. Establecer los objetivos de recuperación y activar el plan de continuidad. Evaluar y aprobar los recursos requeridos para establecer y mantener la estrategia de recuperación y contingencia de la entidad. Monitorear los reportes sobre el estado de recuperación o evaluación durante una contingencia. Velar por la seguridad del personal que actúa en el área del evento. Ser la voz oficial de la compañía ante los clientes y canal exclusivo ante medios de comunicación y demás entes externos.
Director alterno de continuidad: Es el responsable de suplir al Director de Continuidad en todas sus responsabilidades en caso de ausencia temporal o definitiva del mismo
Líder de Recuperación Tecnológica: Es el responsable de liderar las estrategias de prevención en el área tecnológica, incluyendo identificación y evaluación de riesgos, formulación de estrategias de prevención, realización de pruebas etc. En caso de una emergencia es responsable de:
Liderar la recuperación tecnológica. Mantener informado al Comité de Crisis del estado de la plataforma tecnológica y los avances en el proceso de recuperación. Mantener el seguimiento permanente a los proveedores asociados a los servicios de tecnología.
Líder Administrativo/Recuperación: Es el responsable de proveer los recursos necesarios para la realización de las diferentes etapas del plan. Durante la emergencia debe:
Coordinar la consecución y entrega de suministros a las diferentes áreas. Coordinar con proveedores los recursos adicionales o temporales que sean requeridos. Mantener informado al Comité de Crisis del avance en el suministro de recursos.
Coordinadores de Recuperación: Son los responsables de liderar los procesos críticos del negocio durante la emergencia, apoyando las fases de análisis de impacto y pruebas. Habrá adicional al coordinador de Vigía Plus Services, un Coordinador de Oriflame, funcionario del cliente quien será el responsable de liderar las actividades del proceso que ejecuta Oriflame con sus recursos, dentro del Centro de distribución. Durante la emergencia debe:
Diagnosticar y evaluar los efectos de la emergencia. Comunicar al equipo de trabajo las indicaciones especiales recibidas del Comité de Riesgo. Informar al Comité de Riesgo el estado de las actividades de recuperación. Mantener informado al Director de Continuidad del avance en el suministro de recursos.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 7 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
2.2.2
Línea de sucesión
En eventos de emergencia, en caso de ausencia temporal o definitiva de alguno de los funcionarios con cargos de responsabilidad, se establece un cargo alterno que asumirá sus funciones durante el tiempo que dure la emergencia o hasta que el titular pueda reincorporarse a su cargo, lo que suceda primero. Tabla 3 Línea de sucesión Cargo Gerente General Director Financiero Director HSEQ Jefe de Operaciones Director de IT Coordinadora de Compras Director CEDI Oriflame Jefe de Inventarios 3
Cargo alterno Director Financiero Representante Legal Jefe de inventarios Coordinadora de Compras Asistente de Tecnología Director Financiero Coordinador de Operaciones Analista de inventarios
Etapas de la administración del PCN
Se establecen dos fases principales, una de prevención, donde se establecen las estrategias de continuidad de forma metodológica y se dan los lineamentos para garantizar su eficacia, y la fase de administración de la crisis, que indica los pasos a ejecutar una vez declarada la situación de crisis.
3.1
Fase de Prevención Esta fase permite conocer las necesidades y con base en ellas determinar los mecanismos de prevención que mitiguen el impacto de incidentes o desastres.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 8 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 1 Etapas de la fase de prevención
Análisis de impacto del negocio
Mantenimiento
Pruebas
Análisis de riesgos
Estrategia de continuidad
3.1.1 Análisis de impacto A continuación, se identifican y clasifican los procedimientos y sistemas críticos de la organización, los recursos utilizados para soportar las funciones, sus proveedores y de esta manera se establece el tiempo requerido para su recuperación en caso de un incidente o desastre y por lo tanto la prioridad en la etapa de recuperación.
Ilustración 2 Procesos del Centro de Distribución
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 9 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Como base en la clasificación de la Tabla 1 Niveles de criticidad, se clasifican los diferentes subprocesos y aplicativos. Dentro de los pasos de la operación logística podemos catalogar los procesos de acuerdo con su criticidad así: Tabla 4 Procesos críticos Procesos Operación Logística Recepción
Alcance
Almacenaje Reabastecimiento
Selección Empaque* Despacho* Control de inventarios
Nivel de criticidad
Recibo del camión, verificación de documentos y conteo de unidades de mercancía, con estado aparente. Ubicación de la mercancía ya acondicionada en estantería. Manejo de ubicaciones de picking y de reabasto, garantizando disponibilidad en las ubicaciones de picking. Proceso de alistamiento de pedido hasta su entrega a zona de empaque y despacho. Empaque en cajas de los pedidos a clientes. Entrega al transportador de los pedidos y sus documentos. Conteos físicos de mercancía cíclicos, aleatorios o generales.
Maquila Acondicionamiento
Revisión unidad por unidad de la mercancía recibida, clasificar No conformes, etiquetar y empacar según estándares. Alistamiento de Preparación de nuevas referencias por promociones o kits requerimiento especial del cliente. *Lo realiza personal de Oriflame en instalaciones de Vigia Plus Services
Media criticidad
Media criticidad Baja criticidad
Muy Crítico Muy Crítico Muy Crítico Media criticidad
Crítico
Crítico
Tabla 5 Elementos de TI críticos
Categoría
Aplicaciones
Elemento
WMS- LAB
USOS
Aplicación Core del Negocio, mediante la misma se administra todas las mercancías y productos que se almacenan a los diferentes clientes en nuestros CEDIS
Nivel de criticidad
Critico
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 10 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Categoría
Elemento
USOS
Nivel de criticidad
Correo electrónico
Aplicación Oficial de comunicación corporativa desde y hacia nuestros clientes internos / Critico externos, proveedores, y demás, esta se encuentra bajo el esquema de Hosting en Nube
SIIGO
Aplicación Contable, esta maneja un esquema compartido de la cual es propietaria una de las empresas del grupo (Cumbria Constructora), el servidor físico no se aloja en las instalaciones de VPS
File Server
Servidor que da el servicio de carpetas Critico compartidas para algunas áreas de la compañía
Servidor Respaldo equipos de Usuario
Equipo de cómputo que agrupa todos los respaldos de información de los usuarios con cargos críticos
Critico
WEB
Sitio web
Página web de la organización Ubicada en el Hosting en nube.
Media Criticidad
Seguridad de la información
Firewall
Seguridad perimetral, que controla todas las transacciones desde y hacia internet
Muy Critico
Comunicaciones
Acceso a Internet
Red telefónica
Media Criticidad
Muy Critico Planta telefónica IP Local alojada en el data center de VPS la cual funciona para la entrada y Media Criticidad salida de llamadas de clientes y como servicio interno de extensiones.
Cuarto de máquinas Centro de datos
En este se alojan todos los servicios de TI y comunicaciones de la organización
Proveedores de aplicación
Los tiempos de SLA con Systech se manejan de manera adecuada en temas específicos de BD y Critico operatividad de la aplicación
WMS-LAB
Muy Critico
3.1.2 Análisis de riesgos Anualmente se debe realizar el levantamiento de los riesgos conjuntamente por parte del equipo operativo, estableciendo el riesgo inherente, los controles actuales y el riesgo residual. A los elementos que al final de la metodología se mantiene en nivel de riesgo residual alto se les deben establecer acciones para mitigar el riesgo. Para el análisis de riesgos se utilizó el siguiente mapa térmico para la evaluación del riesgo, de acuerdo con su
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 11 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
probabilidad de ocurrencia (diario, mensual, etc.) e impacto (menos de $1 millón, de $1 a $10 millones etc.), donde rojo es el riesgo alto; amarillo, medio, y verde, riesgo bajo.
Ilustración 3 Mapa térmico de riesgo Diario Mensual Semestral Anual Varios años menos $1 mill
$1-10 mill
$11-50 mill
$51-100 mill
$101-500 mill $501-1.000 mill
Más de $1.000 mill
A partir de la evaluación del mapa de riesgos operativos realizados para la operación de Oriflame (ver Anexo 1), se obtuvieron las siguientes matrices:
Ilustración 4 Mapa de riesgo inherente
Probabilidad de ocurrencia
Diario
5,11,15,31,32, 10,16, IT2,IT4, 8,17,21,22,23,3 18,20,47,50,51,I IT3,IT6, IT7, IT8, IT13,IT15,IT17,I 0,33,34,41,53 T5 IT16, IT18 T20
Mensual
3,7,26,27
Semestral
2,43,44,49
48
Anual
4
40,52,IT14
9,25,45
13, IT21
42,46,54,55,IT1 0
14
24,28
1,IT1
IT9,IT12
12,39,IT11
19,35
Varios años
IT19
36
29
37,38, 56,57
menos $1 mill
$1-10 mill
$11-50 mill
$51-100 mill
$101-500 mill $501-1.000 mill
Más de $1.000 mill
Impacto
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 12 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 5 Mapa de riesgo residual
Probabilidad de ocurrencia
Diario
Mensual
IT1
47
13,16
18,42,46,52
Semestral
1,3,4,9,17,25,30,41 ,43,45,50,51,53
Anual
2,5,8,7,10,11,21,22 ,23,26,27,28,31,32, 14,15,IT3,IT4,IT13, 20,4,IT5,IT19,IT21 33,34,44,48,49,IT6, IT17,IT18 IT7,IT8,IT14,IT15,I T16,IT20
Varios años
menos $1 mill
$1-10 mill
54,55,IT2,IT10
35,36;IT11,IT12
24
19
12,37,38,39,56,57;I T9
$11-50 mill
$51-100 mill
$101-500 mill
29
$501-1.000 mill
Más de $1.000 mill
Impacto
De acuerdo con la metodología se observa que efectivamente los controles actuales disminuyen tanto en frecuencia como en impacto los riesgos operacionales. Sin embargo, quedan algunos elementos en riesgo alto, que deben seguirse trabajando para disminuir aún más su impacto. Estos riesgos son:
12 Sanciones relacionadas a faltas contra la certificación INVIMA 29 No pago por parte de la compañía de seguros en caso de siniestro 36 Incendio 37 Terremoto 38 Acto terrorista 39 Pérdida de la certificación INVIMA 47 Fallas de energía 56 Inundación 57 Caída de aeronaves IT9 Robo de información IT11 Falla total de Hardware de servidores IT12 Problemas en almacenamiento de información
Es necesario que el responsable del proceso operativo y de tecnología revisen anualmente el mapa de riesgos y reevalúen los controles para mitigar el impacto o frecuencia de los riesgos.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 13 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
3.1.3
Estrategia de continuidad
El objetivo de la estrategia es permitir a la compañía superar la crisis y recomponerse en el menor tiempo posible, con un adecuado nivel de servicio, garantizando que los colaboradores estén protegidos, sepan qué hacer y cómo lo deben hacer.
Se establecen alternativas de recuperación para operar en lugar alterno, suplir el personal requerido, así como los mecanismos de comunicación y tecnología para operar durante la crisis.
3.1.3.1
Estrategia de sitio alterno:
Se utiliza en los eventos en los cuales no sea posible operar dentro del centro de distribución y sea necesario operar desde una instalación alterna. A continuación, se relacionan las características y recursos mínimos para una operación de contingencia, indicando los lugares seleccionados vigentes para la operación de Oriflame.
Tabla 6 Especificaciones y recursos de ubicaciones alternas Cobertura de procesos Acondicionamiento (únicamente)
Especificaciones mínimas
Todos los procesos del centro de distribución
50 m2 para operar y 50 m2 para ubicación de 1. material 2 Bandas transportadoras 2. 1 Impresora laser 1 PC o Portatil con acceso a internet 100.000 Etiquetas Equipos de Termosellado Disponibilidad: inmediata incluida en el contrato 6 personas y un supervisor 1 Director Técnico compartido Kit : 6 esferos, 6 marcadores, 1 resma de papel, 1 rollo de cinta pegante, 12 rollos de stretch. Bodega cubierta, pisos en concreto, limpia, libre de polución, no compartda con productos incompatibles con los productos de consumo humano o que generen contaminación, polvo tóxicos, combustibles, contaminantes de olor como llantas. 1. 400 m2 de almacenamiento y 300 para picking. 1 puerta para ingreso de camión o muelle. 2 gatos hidráulicos 2 puestos de trabajo con PC o portátil con acceso a Internet 2. 2 puestos de oficina para el cliente 1 Coordinador de operación
Sitio alterno Parque Industrial San Diego, Km 1,5 vía Funza Siberia, Bodega 2A Instalaciones del proveedor: Dirección: Celta Trade Park , Km7 Autopista Medellín, Bodega 21, P&G
Parque Industrial San Diego, Km 1,5 vía Funza Siberia, Bodega 2A ,si la contingencia es solo en la bodega Oriflame Parque Industrial Metropolitano, si la contingencia es en todo el
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 14 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Cobertura de procesos
Especificaciones mínimas
Sitio alterno
5 Operarios 1 Montacarguista Kit : 6 esferos, 6 marcadores, 1 resma de papel, 1 rollo de cinta pegante, 12 rollos de stretch. Bodega cubierta, pisos en concreto, limpia, libre de polución, no compartida con productos incompatibles con los productos de consumo humano o que generen contaminación, polvo tóxicos, combustibles, contaminantes de olor como llantas. Opcional: 200 posiciones estantería selectiva estándar 1 montacargas eléctrico capacidad 1 tonelada que alcance el último nivel de la estantería
parque industrial. 3. Parque Industrial El Trébol.
3.1.3.2
Estrategia de personal:
En ausencia significativa de personal por cualquier circunstancia, a criterio del Coordinador de cada proceso se debe activar la cascada telefónica en orden ascendente. Como apoyo de esta estrategia es fundamental el proceso de comunicación, por lo que es fundamental contar con la base de datos actualizada del personal disponible para contactarlos en caso de declararse contingencia en horario no laboral. En el Anexo 2 se encuentra el modelo de la cascada y el listado de contactos internos y externos. En la fase de administración de crisis se detalla esta estrategia.
3.1.3.3
Estrategia tecnológica:
Se requiere cuando el software, hardware o telecomunicaciones presentan fallas o interrupciones de cualquier tipo. El líder de tecnología activará los planes de contingencia en la medida que la interrupción se prolongue más de 1 hora en horario hábil o 3 horas en horario no hábil. Los Siguientes son los elementos que cuentan con plan de contingencia que asegura la prestación de servicios de Oriflame, que debe atender el uso de los aplicativos WMS LAB y el correo electrónico:
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 15 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Tabla 7 Alcance de los planes de contingencia Elemento de TI Base de Datos LAN Sistema Operativo Centro de cómputo
Alcance del plan de contingencia Servidor Software de base de datos Switches Hardware o software Servidor Software del servidor Sistema eléctrico
En la fase de administración de crisis se describe el procedimiento general de la Estrategia de TI y posteriormente los diferentes Planes de contingencia para cada elemento de tecnología.
3.1.4
Pruebas
Se deben realizar pruebas que permitan asegurar el correcto funcionamiento del plan, detectar deficiencias, actualizar el plan, desarrollar habilidades del personal requeridas para un momento de emergencia real. Las pruebas deben permitir verificar la efectividad del plan, la coordinación y desempeño del equipo y la capacidad de recuperar registros esenciales para el funcionamiento. Debe realizarse al menos una prueba de los diferentes elementos del plan al año siguiendo las siguientes pautas:
Definir fecha y alcance con al menos un mes de anticipación. Se recomienda realizarlas en un día hábil específico caracterizado por baja operación. El tiempo programado no debe impactar la operación. Dentro de los objetivos se debe asegurar: Flujo correcto de información. Claridad del rol. Cumplimiento de los tiempos previstos. Asegurar la integridad de información. Aspectos cualitativos: Participación y actitud del equipo.
Detalle de la ejecución: Definir recursos a utilizar: Debe enviarse la documentación de las pruebas, al menos con una semana de anticipación. Asignación de responsabilidades: se debe indicar a cada funcionario que debe hacer antes, durante y después de la fase de pruebas. Incluir en la asignación de responsabilidades el personal de back up para asegurar que tanto el personal titular como su reemplazo pueden hacerse cargo del proceso. Se recomienda armar un paquete de operaciones a realizar con los datos del día anterior para su ejecución en el esquema de pruebas. Tiempo de ejecución de cada actividad. Se debe contemplar cuando y porqué suspender las pruebas.
Detalle del retorno: Definir actividades y tiempo de ejecución para el retorno a la operación normal.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 16 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Las pruebas se clasifican en operativas y de tecnología, estando a cargo del Coordinador de restauración y el Líder de recuperación tecnológica respectivamente. Ellos son los responsables de programar las pruebas de sus diferentes planes de contingencia para asegurar su correcto funcionamiento y capacidad de respuesta. Cada responsable debe presentar durante el primer bimestre al Comité de Riesgo la programación del plan para su aprobación. Durante el año deben coordinar la realización de las pruebas y evaluar sus resultados. En el último bimestre del año deben presentar el informe de pruebas al comité de riesgo, con las conclusiones y recomendaciones del caso. En el Anexo 4 se pueden ver los modelos de los documentos para esta etapa.
3.1.5
Mantenimiento
Anualmente debe hacerse una revisión del Plan de Continuidad, o antes en alguno el Comité de Riesgos lo considere por alguno de los siguientes eventos:
Fallas significativas en la realización de pruebas Cambios en la plataforma tecnológica Cambios en la legislación que afecten el plan Cambios significativos en las operaciones: Nuevas operaciones, servicios o sedes.
El Comité asigna la responsabilidad de la actualización del plan. Una vez concluida debe realizarse la divulgación del mismo a todo el personal. 3.2
Fase de Administración de crisis Esta fase permite la gestión durante y después de la crisis generada por incidentes o desastres.
Ilustración 6 Etapas de la fase de administración de crisis
Alerta Vuelta a la normalidad
Transición
Recuperación
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 17 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
3.2.1
Alerta
Define los procedimientos de actuación ante las primeras etapas de un suceso que implique la pérdida parcial o total de uno o varios servicios críticos. Incluye la notificación, evaluación y ejecución del plan. Ilustración 7 Etapa de alerta
Colaborador
•Reporta inmediatamente al líder de la operación una situación de contingencia: fuego, inundación, virus, falla en algún sistema o red eléctrica, avería en estructura física del CD o estantería, hurto, evento de orden público o desastre natural en cercanías, etc.
Líder de operación
•Verifica la magnitud de la situación reportada, recoge la mayor cantidad de información, incluyendo fotos o videos que se remitirán a la mayor brevedad a cualquiera de los miembros del comité de riesgo y a los equipos de emergencia si procede.
Comité de Riesgo / Crisis
•El miembro del comité enterado convoca al Comité de Crisis de caracter urgente que podrá reunirse virtualmente, o en caso de no exixtir medio de comunicación se reunirán presencialmente en la Sala de Juntas de la oficina de VPS en el Parque Industial San Diego.
Comité de Riesgo / Crisis
•Evalua la situación y determina la necesidad de activar o no el plan de continuidad. Activa la cascada telefónica indicando estado de la situación y plan a seguir. En caso de no haber servicio telefónico se realizará la comunicación de manera personal.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 18 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
3.2.2 Transición Incluye los pasos necesarios para iniciar el proceso de recuperación e incluye la coordinación de los recursos para iniciar lo más pronto posible con la siguiente etapa. Ilustración 8 Paso a paso de la etapa de transición
Líder Administrativo/Recuperación
•De acuerdo con el tipo de emergencia y la definición de acciones a tomar definidas por el Comité de Crisis coordina los recursos para asegurar la ejecución las estrategias de lugar alterno, personal y/o TI
• Activa la estrategia sitio alterno. Ver Ilustración 9. Comité de Riesgo / Crisis
•Activa la estrategia de personal. Ver Ilustración 10. Comité de Riesgo / Crisis
•Activa la estrategia de TI. Ver Ilustración 11 Comité de Riesgo / Crisis
3.2.3 Recuperación Una vez activada la estrategia o estrategias requeridas se procede con los pasos necesarios para reiniciar la operación en etapa de contingencia. El objetivo es poder contar con el recurso necesario, en la ubicación adecuada y con las herramientas de TI mínimas para continuar la operación lo más cercanamente posible a la operación normal hasta que las condiciones que activaron la contingencia sean solucionadas y se pueda volver a la normalidad. Si la emergencia dura varios días, diariamente el Líder de Recuperación debe enviar un informe al Comité de Crisis con el avance, inconvenientes presentados y soluciones adoptadas en cada área.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 19 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 9 Paso a paso estrategia sitio alterno
Comité de Crisis
•Activa la contingencia de sitio alterno e informa al Comité de Crisis
Líder Administrativo / de Recuperación
•Activa la cascada telefónica (Anexo 2) e informa a los coordinadores de recuperación sobre el incidente y las instrucciones de activación de la contingencia de lugar
Líder Administrativo / de Recuperación
• Coordina con los proveedores el cambio de ubicación para la prestación del servicio requerido e informa al cliente os cambios.
Coordinadores de Recuperación
•Convocan al personal requerido y disponible para el nuevo sitio de operación.
Cordinador de Recuperación
Coordinador de Oriflame
Coordinador de Recuperación
Director de Continuidad
Líder Administrativo / de Recuperación
Director de Continuidad
Líder Administrativo / de Recuperación
Coordinadores de Recuperación
•Abre la nueva instalación, valida recursos y asigna las actividades. Si ha lugar, coordina el trasladodel personal y mercancía al sitio alterno. •Redireccionará la mercancía en tránsito al sitio alterno
•Informa al Director de Continuidad la operatividad del sitio alterno y el inicio de actividades •Informa diariamente al comité el estado de la contingencia y validan la continuidad de la emergencia. •Valida la disponibilidad del Centro de Distribución para volver a operar. •Informa del fin de la contingencia y retorno a la normalidad.
•Informa a los Coordinadores el fin de la contingencia y coordina los recursos para el retorno al Centro de Distribución
•Coordinar el regreso al CD con el mismo protocolo de cambio al sitio alterno.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 20 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 10 Paso a paso estrategia de personal
Coordinador de recuperación
Líder de recuperación
Líder de recuperación
Coordinador de recuperación
Líder de Tecnología
Coordinadores de recuperación
•Valida con el equipo de trabajo, uno a uno, y el proveedor de acondicionamiento el personal disponible. En caso de requerir personal adicional informa al Líder de Recuperación
•Valida con todas las operaciones la posibilidad de reubicar personal de VVPS, personal de cuadrilla, proveedores o peronal de empresas del Grupo y coordina los desplazamientos que sean requeridos.
•Mantiene informado al Líder de continuidad del avance de la contingencia y alerta al líder de tecnología.
•De acuerdo con los cambios de personal solicita la creación de usuarios o cambios de perfiles al Líder de Tecnología
•Coordina la creación de usuarios temporales y los cambios de perfiles
•Informan a los líderes de recuperación y tecnología cuando la necesidad de personal es superada, devolviendo el recurso adicional requerido ysolicitando el retorno a perfiles usuales
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 21 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 11 Paso a paso estrategia IT
Colaborador
•Reporta falla de Hardware, software o telecomunicacione al área de tecnología y a su líder de operación
Líder de operación
•Verifica si el problema es generalizado o puntual. Si es generalizado o el inconveniente por más de 30 minutos de un aplicativo crítico sin respuesta se comunica directamente con el Líder de tecnología
Líder de Tecnología
•Da respuesta sobre la gravedad del evento y tiempo de recuperación. Si el daño es importante, activa el plan de contingencia de tecnología afectado (Ver Ilustraciones 12,13, 14 y 15) e informa al Director de Continuidad o otro miembro de comité de crisis.
Director de Continuidad
Líder de Tecnología
Director de continuidad
Coordinador de recuperación
Plan de contingencia de base de datos
Responsable Líder de Tecnología
•Si el tiempo de solución supera el RTO, activa la operación manual. (Ver Ilustración 16 y 17)
•Informa al Director de continuidad el resultado de la activación del plan de contingencia.
•Una vez solucionado el incidente levanta la contingencia y solicita el retorno a la normalidad.
•Asegura el retorno a la normalidad e informa al Director de Continuidad una vez se haya finalizado. Documenta el proceso (Anexo 3). Recurso disponible Servidor de contingencia o contrato que lo provea.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 22 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 12 Plan de contingencia de Base de datos
Identifica la falla y da un diagnóstico interno de la base de datos. En caso de requerir apoyo de un proveedor, lo solicita. Ver Anexo 2 lista de contactos externos.
Si se puede restaura en la misma máquina realiza el proceso
Si no se puede restaurar en la misma máquina crea la base de datos en el servidor de contingencia
Verifica que la base de datos opere adecuadamente
Restaura la última copia disponible en la base de datos creada
Informa a los usuarios el reestablecimiento del servicio
Define los usuarios del sistema en el nuevo servidor
Informa al Director de Continuidad el reestablecimiento del servicio y documenta el proceso efectuado
Verifica que la base de datos opere adecuadamente
Informa a los usuarios el reestablecimiento del servicio Informa al Director de Continuidad el reestablecimiento del servicio y documenta el proceso efectuado Plan de contingencia Red WAN
Responsable Líder de Tecnología
Recurso disponible Canal de contingencia o contrato que lo provea.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 23 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 13 Plan de contingencia Red WAN
Líder de Tecnología dentifica la falla y da un diagnóstico del estado del enlace. En caso de requerir apoyo de un proveedor, lo solicita. Ver Anexo 2 lista de contactos externos.
Verifica que no corresponda a una falla local
Recupera el servicio utilizando el canal de contingencia
Valida que el enlace opere correctamente
Informa a los usuarios el reestablecimiento del servicio
Informa al Director de Continuidad el reestablecimiento del servicio y documenta el proceso efectuado
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 24 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Plan de contingencia Red LAN
Responsable Líder de Tecnología
Recurso disponible Switch de contingencia o contrato que lo provea.
Ilustración 14 Plan de contingencia Red LAN
Líder de Tecnología dentifica la falla y da un diagnóstico del estado del switch. En caso de requerir apoyo de un proveedor, lo solicita. Ver Anexo 2 lista de contactos externos.
Verifica daño en switch
Cambia el switch
Resetea y configura el switch
Verifica que el switch opere adecuadamente
Informa a los usuarios el reestablecimiento del servicio
Informa al Director de Continuidad el reestablecimiento del servicio y documenta el proceso efectuado
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 25 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Plan de contingencia de sistema operativo
Responsable Líder de Tecnología
Recurso disponible Servidor de contingencia o contrato que lo provea.
Ilustración 15 Plan de contingencia Sistema Operativo
Identifica la falla y da un diagnóstico del estado del software base. En caso de requerir apoyo de un proveedor, lo solicita. Ver Anexo 2 lista de contactos externos.
Si se puede recuperar el servicio en la misma máquina realiza el proceso
Verifica que que el servidor la aplicación, el servidor web o servidor de aplicaciones opera adecuadamente
Informa a los usuarios el reestablecimiento del servicio
Informa al Director de Continuidad el reestablecimiento del servicio y documenta el proceso efectuado
Si no se puede recuperar el servicio en la misma máquina configura los servicios en el servidor de contingencia
Define los usuarios del sistema en el nuevo servidor
Verifica que que el servidor la aplicación, el servidor web o servidor de aplicaciones opera adecuadamente
Informa a los usuarios el reestablecimiento del servicio
Informa al Director de Continuidad el reestablecimiento del servicio y documenta el proceso efectuado
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 26 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 16 Plan de contingencia por un corte de luz 1.
Especificaciones Técnicas:
2.
1.
2.
3.
4.
5.
Especificación de la planta: mínimo 60 KVA Cobertura planta de 60 KVA Cubre 100 % de la bodega
Descripción De Actividades:
ACTIVIDAD Reporte de contingencia y evaluación de criticidad: Se exigirá respuesta de causal del apagón y tiempo estimado de falla eléctrica, si la falla eléctrica supera el tiempo de 2 horas se activara Protocolo de Evento de Planta
RESPONSABLE DIRECTOR DE CEDI COORDINADOR DE CEDI ASISTENTE DE COMPRAS
Activación de Protocolo: Identificando que el apagón supera el tiempo definido se genera autorizaciones para alquiler de Planta y se informa al área de Mantenimiento quien acompañará el proceso y al CEDI para que comunique al cliente y gestione el contacto con el eléctrico que realizará la instalación. Reporte a Seguridad: Se informará al área de seguridad quien a su vez garantizará que se cumplan las políticas de control de Acceso y de Seguridad en General
JEFE DE MANTENIMIENTO ASISTENTE DE COMPRAS
Respuesta del proveedor : Se tiene definido por lo menos dos proveedores de Servicio de Planta eléctricos que garantice la llegada al CEDI en tiempo pre acordado y según especificaciones requeridas para la atención de contingencia, adicionales con el mismo proveedor o el designado según evaluación técnica; se requiere asistencia de Eléctrico que garantice instalación rápida y adecuada. Activación y Desactivación de Planta Electrica: El área de Mantenimiento Realiza el acompañamiento a los proveedores de Servicio garantizando la puesta en marcha de la Planta asegurando la minimización de riesgos por entrada de planta y fluido eléctrico al mismo Tiempo y o daños de equipos (UPS Cliente) por instalación. Restablecimiento de Servicio: cerrada la contingencia se informa a las áreas involucradas el cierre del protocolo.
DIRECTOR DE CEDI COORDINADOR DE CEDI
ASISTENTE DE COMPRAS COORDINADOR DE SEGURIDAD
COORDINADOR DE SEGURIDAD
ASISTENTE DE COMPRAS COORDINADOR DE SEGURIDAD DIRECTOR DE CEDI JEFE DE MANTENIMIENTO
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 27 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
ACTIVIDAD 6.
RESPONSABLE
En caso de presentarse falla eléctrica en días festivos o ausencia de responsable del CEDI, el personal presente debe informar telefónicamente al Director del CEDI y al Asistente de Compras los tiempos de asistencia en festivos deberán ser los mismos que entre semana.
DIRECTOR DE CEDI COORDINADOR DE CEDI ASISTENTE DE COMPRAS
3. Escalamiento de Solicitudes y Canales de Comunicación Canal de Comunicación 1.
1.
Director Cedi O Coordinador Cedi
2. 3.
Asistente de Compras Director de Tecnología
4.
Coordinador de Seguridad
Teléfonos 3168765521 – Catalina Echavarría Vega 3016613096 – Jairo Sierra 3007577933- Monica Rodriguez 3138161450 – Soporte Tecnología 3165284095 – Pedro Barrera 3162713691- Luis Velez
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 28 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 17 Operación manual recibos
Operario recibo
Proveedor acondicionamiento
Operario recibo
Operador de montacargas
Digitador de recibos
Coordinador de recuperación
•Al decargar la mercancía registra en formato Informe Auxiliar los datos del vehículo, referencia, cantidad de unidades, cantidad de estibas. Registra su nombre al finalizar.
•Realiza la verificación del producto , separación de no conformes y marcación de estibas con cantidad y sello de revisado
•Registra el Formato de Loteo el registro de la cantidad final por pallet ya verificado y con stretch indicando para cada Pallet la referencia, No. de cajas con el Shipping code, la cantidad y la fecha de vencimiento . Firma cada formato.
•Registra en el Formato de Loteo la ubicación en la que se deja cada estiba
•Registra en Excel los ingresos en un archivo creado, donde registra en cada hoja las transacciones de cada referencia, registrando Cantidad, lote, fecha de vencimiento y ubicación.
•Verifica que el proceso se realce correctamente, valida las capturas y mantiene un archivo de los Informes Auxiliares
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 29 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Ilustración 18 Operación manual entregas
•Entrega archivo o listado de mercancía a retirar. Coordinador Oriflame
Digitador entregas
•Verifica en el archivo Excel, referencia por referencia los lotes con fecha de vencimiento más próximos y genera un Listado Para Alistamiento. El listado debe indicar referencia, shipping code, cantidad y ubicación.
Operario entregas
•Realiza la recolección del producto señalando que ha sido recolectado. Si toma otro Shipping code, debe registrarlo. Una vez finalice cada hoja del listado realiza la entrega al cliente, el cual debe firmar en señal de aceptación
Digitador entregas
Coordinador de recuperación
3.2.4
•Rgistra el el archivo de Excel la entrega de las mercancías
•Verifica que el proceso se realce correctamente, valida las capturas y mantiene un archivo de los Listados para Alistamiento
Vuelta a la normalidad
El retorno a la normalidad implica:
Asegurar que las condiciones que generaron la emergencia fueron superadas: se cuenta con el personal requerido, las instalaciones e infraestructura están aptas para operar, los equipos e infraestructura tecnológica están operando correctamente y se cuentan con las condiciones de seguridad para retornar la operación a condiciones normales. Se realiza la planificación del regreso, definiendo fecha, actividades y responsables. Deben incluirse controles y procesos similares al traslado, liderados por el Comité de Crisis.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 30 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
ANEXO 1 Matriz de Riesgo Operativo
MATRIZ DE RIESGOS No.
Riesgo
Subproceso
Posibilidad de ocurrencia
Fecha: Magnitud del evento
Error en verificación mercancía
Diario
$101-500 millones
2
Daño de mercancía
Semestral
menos $1 millon
3
No registro correcto en el sistema
Mensual
4
Demora en recibo superior al acordado por el cliente
Mensual
Incumplimiento del tiempo de cuarentena
Diario
1
Recibo mercancía
5
Recibir mercancía que no fue nacionalizada Recir material no conforme
6 7 8
Recibo de excesos
N/A Mensual
Control actual Registro de ingreso de Mercancia Reporte de llegada de mercancia acorde de lista de empaque
7 de septiembre 2017
Documentad Es o? efectivo?
Frecuencia ajustado
Magnitud ajustada
Plan de contingencia: Qué se hace si sucede
Parcialmente menos 60%
SI
Semestral
menos $1 millon
Informar a las partes de la ocurrencia del evento, para toma de desición.
SI
Anual
menos $1 millon
Informar a las partes de la ocurrencia del evento, para toma de desición.
SI
Semestral
menos $1 millon
informar a las partes de la ocurrencia del evento, y reempaque si aplica.
SI
Semestral
menos $1 millon
Asignar recurso que permita cumplir con la promesa de servicio requerido y no pasarnos del tiempo.
SI
Anual
menos $1 millon
Procesar la mercancia.
Parcialmente Capacitación del manejo de la carga menos 60% Generación de reporte, de calidad que menos $1 debe ser entregado en menos de 8 días Parcialmente millon desde la recepción; ermitiendo menos 60% identificar registros errados. Validación de la productividad díaria, $11-50 Parcialmente que nos garantice el cierre de la millones menos 60% importacíon en los 8 días requeridos. Se maneja en el sistema estados de $1-10 millones calidad que deben ser asignados en los NO casos de bloqueo de mercancia. N/A
N/A
N/A
N/A
N/A
menos $1 millon menos $1 millon
Revisión inventariada de la mercancia recepcionada.
NO
SI
Anual
Reporte de Acondicionamiento
SI
SI
Anual
SI
Semestral
si
Anual
N/A menos $1 millon menos $1 millon menos $1 millon menos $1 millon
N/A Se retorna la mercancia no conforme.
Daño de mercancía
Diario
9
Error en el etiquetado
Semestral
$1-10 millones
10
Demora en el etiquetado
Diario
$11-50 millones
11
Incumplimiento del Proveedor de maquilado
Diario
$1-10 millones
Aplicación de clausulas de incumplimiento del contrato
SI
SI
Anual
menos $1 millon
12
Sanciones relacionadas a faltas contra la certificación Invima
Semestral
$501-1.000 millones
Aplicación de clausulas de incumplimiento del contrato
SI
SI
Varios años
$501-1.000 millones
Envio de mercancia a un área certificada (CELTA)
Semestral
$11-50 millones
Reparación inmmediata y reubicación de la mercancía,
Maquila
Controles en Proceso de SI Acondicionamiento Status de acondicionamiento y reporte Parcialmente de SRV menos 60%
informar a las partes de la ocurrencia del evento. Reprocesar la Mercancia Asignar recurso que permita cumplir con la promesa de servicio requerido y no pasarnos del tiempo. Se requiere el cumplimiento inmediato al proveedor y de continuar con incumplimiento se realiza el proceso por parte de la operación.
Daños por lluvias
Semestral
$11-50 millones
Registro de inspección y Mantenimientos Mensuales aplicación de Poliza de seguro
SI
Parcialme nte menos 60%
14
Daños por temperatura elevada
Anual
$1-10 millones
Reubicación de mercancia suceptible a daño, a primeros niveles Recubrimiento de tejas, para disminución de temperatura registro de temperaturas.
NO
Parcialme nte menos 60%
Anual
$1-10 millones
Informar a las partes Apertura de muelles para ventilzación
15
Contaminación de productos de consumo humano
Diario
$1-10 millones
Sectorización del almacen
NO
SI
Anual
$1-10 millones
Validación de lay out vs controles del sistema.
SI
SI
Semestral
$11-50 millones
Informar a las partes
NO
SI
Semestral
menos $1 millon
Informar a las partes cambio del embalaje en compañía del cliente
Parcialmente menos 60%
SI
Semestral
$51-100 millones
Informar a las partes
Parcialmente menos 60%
SI
Varios años
$51-100 millones
Informar a las partes Reportar a las autoridades Competentes aplicar poliza
SI
SI
Anual
$11-50 millones
Se Reporta a las partes
SI
SI
Anual
menos $1 millon
Se valida conjuntamente los inventarios y de presentarse la situación se corrige conjuntamente.
13
Almacenamiento
Informe de vencimientos mensual la aplicación de los controles del Sistema. Cuando se realizan Ciclicos y las cajas tienen demasiado deterioro se solicita al cliente el suministro de material de empaque y cambio de las mismas
16
Incorrecto manejo FEFO
Diario
$11-50 millones
17
Deterioro normal del producto por falta de rotación
Diario
menos $1 millon
18
Accidentes por mal manejo de productos peligrosos: inflamables, aerosoles
Diario
$51-100 millones
19
Hurto por atraco
Anual
$101-500 millones
20
Robo continuado
Diario
$51-100 millones
Entrega de cantidades diferentes a las solicitadas
Diario
menos $1 millon
22
No registro correcto en el sistema
Diario
menos $1 millon
Validación diaria de ejecución de tareas por parte del área operativa.
NO
SI
Anual
menos $1 millon
Validación de novedad, junto con inventarios para proceder con un ajuste si aplica, adiconal se debe validar con el cliente y cruzar saldos, para identificar que la novedad es real.
23
Demora en entrega superior al acordado por el cliente
Diario
menos $1 millon
Se verifica que los pedidos no superen un dia de retrazo
NO
SI
Anual
menos $1 millon
Asignar recurso que permita cumplir con la promesa de servicio requerido y no pasarnos del tiempo.
NO
SI
Varios años
$11-50 millones
Se realiza cambio de clave a los usuarios y se notifica a las partes de la irregularidad.
NO
SI
Semestral
menos $1 millon
Se informa a las partes y se valoriza los daños. Se aplica la poliza si el valor afectado supera el monto minimo. Se asume el daño por parte del funcionario que genere el daño.
NO
SI
Anual
menos $1 millon
Se debe generar documento para firma de recibido de la mercancia, o justificación de que no se ejecute.
SI
SI
Anual
menos $1 millon
Se debe valida La novedad conjuntamente y se realiza el cambio de la mercancia, asumiendo el valor de la misma. Si es reprocesable se procede.
21
Entrega de mercancías
Capacitación del manejo de la carga Controles de Seguridad Monitoreo. Póliza des eguros Requisas de personal Inspección de locker Póliza de seguros Conteo de cajas en el proceso de despacho inventarios ciclicos por posiciones Cruces de saldos
24
Registro de persona no autorizada en el sistema.
Anual
$11-50 millones
Se asigna usuario por persona, por lo que es responsabilidad de la persona de usar y transaccionar con el mismo
25
Daño de mercancía
Semestral
$1-10 millones
Capacitación del manejo de la carga y almacenamiento, ademas del suministro de insumos(vinipel) que garantice el correscto almacenamiento.
26
No confirmar en el sistema la s entregas de mercancía
Mensual
menos $1 millon
27
Entregar producto NO conforme.
Mensual
menos $1 millon
Se realiza cierre de transacciones Mes Se establece que el documento de entrega al cliente, debe ser la Entrega que es la que genera LAB En el momento de las entregas se valida el estado general de la mercancia
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 31 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
MATRIZ DE RIESGOS No.
Subproceso
Riesgo
Posibilidad de ocurrencia
Ajuste erroneo de inventario
Anual
No pago por parte de la compañía de seguros en caso de siniestro
Anual
30
Ausencia de personal que afecte la operación
Diario
31
Accidente de trabajo empleados
Diario
28
Inventarios
29 Generales
Accidente de trabajo visitantes Daños por deterioro de infraestructura física: paredes, pisos, techos, estantería
32
33
Diario
Fecha: Magnitud del evento
Control actual
Se validan las diferencias de inventario, $11-50 tanto transaccionalmente como fisicas, millones antes de generar ajustes. Conocimiento de los Requerimientos Más de $1.000 minimos del seguro para garantizar el millones cumplimiento Se programan capacitaciones que menos $1 permitan que cada proceso tenga un millon back up Se tienen identificados los riesgos y las capacitaciones al personal en $1-10 millones autocuidado y manejo de equipos y cargas. Dar a conocer normas de Seguridad del $1-10 millones CEDI
7 de septiembre 2017
Documentad Es o? efectivo?
Frecuencia ajustado
Magnitud ajustada
Plan de contingencia: Qué se hace si sucede Se realiza validación con las partes, inventario y se realiza ajuste seg´´un resultado del fisico.
si
si
Anual
menos $1 millon
NO
SI
Varios años
Más de $1.000 millones
Se informa a las partes y se valoriza los daños. Y responsabilidad
NO
SI
Semestral
menos $1 millon
Se suplen las funciones de la persona que falta con un back up, o persona capacitada en la actividad.
SI
SI
Anual
menos $1 millon
Se reporta el accidente a la ARL y al personal responsable HSQ Y Jefatura de Operaciones
SI
SI
Anual
menos $1 millon
Se reporta el accidente a la ARL y al personal responsable de HSQ Jefatura de Operaciones Se realiza la programación y atención de mantenimientos correctivos.
Diario
menos $1 millon
Inspecciones de las instalaciones que garantice las condicciones y reparación de los daños detectados
SI
SI
Anual
menos $1 millon
menos $1 millon
Requisas del personal
SI
SI
Anual
menos $1 millon
No se tiene presupuestado
no
NO
Anual
$101-500 millones
SI
NO
Anual
$101-500 millones
Aplicar las polizas
SI
NO
Varios años
$101-500 millones
Aplicar las polizas
SI
SI
Varios años
$101-500 millones
34
Sustracción mercancía visitantes
Diario
35
No poder acceder al centro de distribución
Anual
$101-500 millones
Póliza de seguros Conocimiento de los planes minimos de emergencia Póliza de seguros Conocimiento de los planes minimos de emergencia Póliza de seguros Conocimiento de los planes minimos de emergencia
Al existir diferencia de inventario se reporta a las partes y se debe pagar la diferencia de inventario o aplicar la poliza seguro según el monto Se aplica la poliza por indenmizaciones asociadas a incumplimiento por fuerza mayor
36
Incendio
Anual
$501-1.000 millones
37
Terremoto
Varios años
$501-1.000 millones
38
Acto terrorista
Varios años
$501-1.000 millones
39
Perdida de la certificación INVIMA
Semestral
$501-1.000 millones
Garantizar las condiciones según normatividad
SI
SI
Varios años
$501-1.000 millones
Incumplimiento contrato
Mensual
$51-100 millones
Reuniones frecuentes conjuntas que permitan evaluar el servicio
SI
SI
Anual
$11-50 millones
Lentitud del sistema
Diario
menos $1 millon
Revisión de estado de red
NO
SI
Semestral
menos $1 millon
Semestral
$51-100 millones
Se deben reprocesar las transacciones desde el lapso que no quede en back up, o respaldo del equipo.
Semestral
menos $1 millon
Acceso remoto al email via web, mientras se soliciona el fallo
menos $1 millon menos $1 millon
Se hacen los correctivos necesarios para dejar el equipo Operando. Se define responsabilidad del funcionario y el pago del mismo del equipo dañado
40 41
Comercial Sistemas
42
Falta total del WMS
Semestral
$51-100 millones
Back up diario de l sistema
SI
43
Falta total del Correo electrónico
Semestral
menos $1 millon
Back up diario de l sistema
SI
44
Daños en Computadores
Semestral
menos $1 millon
45
Daños en terminles portátiles
Semestral
$1-10 millones
46
No acceso a la base de datos
Semestral
$51-100 millones
47
Fallas de energía
Diario
$51-100 millones
48
Acceso de personal no autorizado al sistema
Anual
menos $1 millon
49 50
Proveedores
Falta de comunicación telefónica No suministro del personal de maquila
Semestral Diario
51
Daño de montacargas
Diario
52
Averías en estantería
Mensual
Deficiencias en soporte de proveedor de WMS Contratación con personas o compañías al margen de la ley Contratación con personas o compañías sin capacidad de servicio
53 54
55
56
Diario Diario
$51-100 millones
Diario
$51-100 millones
Inundación
Varios años
$501-1.000 millones
Caida de aeronaves
Varios años
$501-1.000 millones
Otros 57
menos $1 millon $51-100 millones $51-100 millones $51-100 millones menos $1 millon
Programa de mantenimiento de equipos Programa de mantenimiento de equipos Back up diario de l sistema Mantenimientos periodicos a los tableros y totalizadores Se asigna usuario por persona, por lo que es responsabilidad de la persona de usar y transaccionar con el mismo Programa de mantenimiento de equipos Suplir necesidad con personal propio (otras Operaciones) Programa de mantenimiento de equipos Programa de mantenimiento de Instalaciones
SI
Parcialme nte menos 60% Parcialme nte menos 60%
Aplicar las polizas Se debe mover los recursos necesarios para cumplir los requerimientos y corregir hallazgos que pongan en riesgo la certificación. Mover los recursos necesarios para cumplir lo requerido por el cliente Se procesan las transacciones a la velocidad del sistema. Se eliminan restricciones de la red se Validan los AP que iradian la bodega
SI
Anual
SI
SI
Semestral
SI
Parcialme nte menos 60%
Semestral
$51-100 millones
Se deben reprocesar las transacciones desde el lapso que no quede en back up, o respaldo del equipo.
si
SI
Mensual
$51-100 millones
se trae la planta que permita irradiar las banda y/o equipos que hacen funcionar
NO
SI
Anual
menos $1 millon
Se realiza cambio de clave a los usuarios y se notifica a las partes de la irregularidad.
menos $1 millon menos $1 millon menos $1 millon $51-100 millones menos $1 millon
Se hacen los correctivos necesarios para dejar el equipo Operando. Se tienen varios Proveedores que nos permite cumplir con personal y en procesos según se requiera. Se hacen los correctivos necesarios para dejar el equipo Operando. Se hacen los correctivos necesarios para dejar el equipo Operando. Se requiere el cumplimiento inmediato al proveedor, gerencial mente (de Geente a gerente)
SI
SI
Anual
SI
SI
Semestral
SI
SI
Semestral
SI
SI
Semestral
No se tiene presupuestado
NO
NO
Semestral
Validación de referencias laboraales
si
NO
Semestral
$51-100 millones
Se hace retiro del personal de la nomina de trabajo
Se utilizan proveedores certificados
Se tiene proveedores alternativos Póliza de seguros Conocimiento de los planes minimos de emergencia Póliza de seguros Conocimiento de los planes minimos de emergencia
SI
NO
Semestral
$51-100 millones
SI
NO
Varios años
$101-500 millones
Aplicar las polizas
SI
NO
Varios años
$101-500 millones
Aplicar las polizas
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 32 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
MATRIZ DE RIESGOS TI
No.
Fecha:
Posibilid ad de ocurrenc Magnitud ia del evento Control actual
Categoría
Riesgo
IT1
Red eléctrica
Fallas en el fluido eléctrico red normal (no regulada)
IT2
Red datos, internet, seguridad
Falla de los servicios de TI por problemas en la comunicación.
Diario
$11-50 millones
UPS / Planta, en Data Center Principal y UPS y área administrativa Monitoreo Permanente a nivel de estado de la comunicación mediante ping permanente trazado desde la jefatura de Tecnología y soporte
IT3
Virus, spam, hacking, pérdida de datos, entre otros.
Diario
$1-10 millones
Firewall Antivirus en los endpoint
IT4
Falla de los elementos de seguridad de TI (firewall)
Diario
IT5
Acceso de personal no autorizado al sistema
IT6
Acceso de personal a sitios web no deseados: navegación ociosa
IT7
Problemas de la cobertura de red dentro del centro de distribución
IT8
Diario
$101-500 millones
Documentado?
11/09/2017
Es efectivo?
Parcialmente más de 60% SI
Frecuencia ajustado Magnitud ajustada Plan de contingencia: Qué se hace si sucede * Actualmente el datacenter (3A)cuenta con UPS de 10 KVA la cual da una autonomía aproximada de 50 Minutos a todos los dispositivos y servidores, tiempo en el cual si no regresa la energía eléctrica se alimenta el rack mediante la planta eléctrica. * En el caso del Rack de comunicaciones del área administrativa, la UPS tiene una autonomía de 40 minutos una ves la energía se agota se alimenta este rack con energía de la planta mediante extensión desde la bodega Mensual $11-50 millones 3A a la bodega 2A
SI
SI
Anual
SI
Anual
Diario
$1-10 millones
Firewall SI Monitoreo Permanente a nivel de estado de la comunicación mediante ping permanente trazado desde la jefatura de Tecnología y soporte SI
Según el evento que se genere se analiza el punto de origen de fallo, descartando problemas eléctricos o indisponibilidad del $51-100 servicio, o truncamiento en alguno de los millones dispositivos de comunicaciones Se aísla completamente la maquina afectada de la red corporativa, a fin de evitar propagación de la amenaza dentro de la misma, se procede a analizar y a solucionar mediante herramientas especializadas para $1-10 millones contener este tipo de amenazar Detección de la IP/Host/ Dominio/URL u otros, atacante a fin de matricularla en listas negras, en caso de daño del dispositivo este cuenta con un contrato de servicios que permite un reemplazo rápido del mismo, Respaldo permanente de las configuraciones del FW que permite restaurar el servicio de manera $1-10 millones oportuna. Control permanente sobre cada uno de los usuarios de los servicios de TI, dentro de los cuales se inactivan los perfiles y/o usuarios que ya no laboren en la compañía en todas y $11-50 millones cada una de ellas Control ejecutado sobre la administración del FW monitoreado permanentemente para el menos $1 control de uso del ancho de banda del enlace millon de internet
SI
Anual
menos $1 millon
Fallas en la conexión de última milla por ausencia en la comunicación. Diario
$1-10 millones
Contrato con proveedor
SI
Anual
menos $1 millon
Parcialmente más de 60% SI
Anual
Parcialmente más de 60% SI
Anual
$11-50 millones
Monitoreo Permanente en la consola del FW, contrato de Parcialmente más soporte Fabricante de 60% SI
Anual
Diario
$51-100 millones
Firewall
Diario
$1-10 millones
SI
Monitoreo y acompañamiento en los casos que se ah presentado el inconveniente con el personal de las operaciones a los cuales se les presenta, soporte permanente El proveedor cuenta con un sistema de monitoreo permanente 7/24, el cual alerta cualquier perdida en la comunicación ya sea por tema de ultima milla, falla en el nodo u falla eléctrica.
IT9
Robo de información
Diario
Más de $1.000 millones
Aplicación control del FW
Parcialmente más de 60% SI
Anual
$101-500 millones
IT10
Falla en el proceso de backup
Diario
$51-100 millones
Manual
Parcialmente más de 60% SI
Anual
$51-100 millones
Este procedimiento se debe fortalecer debido a que no se ah establecido una política de uso de medios extraíbles como DVD o USB, a nivel de aplicaciones se tiene restringido el uso de aplicaciones para compartir archivos o publicación mediante otros medios . Esta actividad por ser de tipo Semi manual se tiene un control y revisión todos los días, a penas se evidencia que el mismo no fue ejecutado se corre el proceso de manera inmediata
$101-500 millones
Se tienen medidas de contención básicas en la solución de este tipo de inconvenientes, en la actualidad ninguno de los servidores equipos de comunicaciones cuentan con algún tipo de garantía y /o soporte por parte del fabricante
$101-500 millones
Se tienen medidas de contención básicas en la solución de este tipo de inconvenientes, en la actualidad ninguno de los servidores equipos de comunicaciones cuentan con algún tipo de garantía y /o soporte por parte del fabricante
IT11
IT12
Hardware
Falla total o parcial de Hardware de Servidores
Problemas en sistema Almacenamiento de información
Diario
$501-1.000 millones manual
Diario
Más de $1.000 millones
Backup
Parcialmente más de 60% SI
Parcialmente más de 60% SI
Anual
Anual
IT13
Daños en PC/ portátiles
Diario
$11-50 millones
Backup de usuarios críticos
Parcialmente más de 60% SI
Anual
IT14
Daños en terminales portátiles
Diario
$51-100 millones
Mantenimiento
Parcialmente más de 60% SI
Anual
Contención de tipo básico los equipos son de línea de consumo y actualmente no tienen ningún tipo de soporte por parte del fabricante, se esta estructurando un plan de $1-10 millones renovación por líneas corporativas de equipos. Se cuenta con un stock de terminales PDA las cuales pueden ser reemplazadas mientras se ejecuta la reparación y/o ajustes de las menos $1 mismas a fin de volverlas a poner en millon operación
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 33 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017 MATRIZ DE RIESGOS TI
Fecha:
Posibilid ad de ocurrenc Magnitud ia del evento Control actual
No.
Categoría
IT16
Riesgo degradación del servicio prestado en el sistema de información afectado por problemas en las aplicaciones. Diario Falla o degradación de las aplicaciones soportadas por las herramientas y motores de Base de Datos, Diario
IT15
Aplicaciones
IT17
Falla total del WMS
IT18
Falta total del Correo electrónico
Parcialmente más de 60% SI
Anual
menos $1 millon
Se tiene buen esquema de soporte por parte del proveedor en este tipo de eventos
$1-10 millones
Mantenimiento
Parcialmente más de 60% SI
Anual
menos $1 millon
Diario
$11-50 millones
Mantenimiento
Parcialmente más de 60% SI
Anual
$1-10 millones
Diario
$1-10 millones
Mantenimiento
Parcialmente más de 60% SI
Anual
$1-10 millones
Control de licenciamiento
SI
SI
Anual
$11-50 millones
Mantenimiento
Parcialmente más de 60% SI
Anual
menos $1 millon
Se tiene buen esquema de soporte por parte del proveedor en este tipo de eventos Como contingencia se tiene la posibilidad de operar en la infraestructura del proveedor en caso de un daño critico de nuestra infraestructura El Proveedor del Hosting tiene unos adecuados SLA dentro de los cuales tiene mitigado este tipo de eventos El software con el que cuenta VPS esta estandarizado y licenciado acorde con las normas referentes al uso y propiedad del mismo con Microsoft No se tienen inconvenientes todos los desarrollos que se solicitan el proveedor los prueba en un ambiente controlado y no en la parte productiva del mismo A nivel de recursos se cuenta con un practicante el cual hay que preparar para las necesidades de las operaciones propias de VPS cada 6 meses, teniendo una curva de aprendizaje que en promedio dura hasta dos meses
Uso de software no licenciado
Diario
IT20
Falla en la aplicación por desarrollo no adecuado de parte de terceros
Diario
$11-50 millones
Ausencia del personal de TI
Frecuencia ajustado Magnitud ajustada Plan de contingencia: Qué se hace si sucede
Mantenimiento
IT19
Recursos humanos
Es efectivo?
$11-50 millones
Más de $1.000 millones
IT21
Documentado?
11/09/2017
Semestr $11-50 al millones
Soporte
Parcialmente más de 60% NO
Anual
$11-50 millones
Control adicional sugerido
Seria importante tener un recurso contratado con la empresa al cual se le pudieren delegar otras actividades de administración de TI.
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 34 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
ANEXO 2 Cascada telefónica
Director de continuidad
Director alterno de continuidad
Líder de administración/recup eración
Coordinador de recuperación
Equipo de trabajo Vigía Plus
Coordinador de recuperación Oriflame
Proveedor MAquila
Líder de recuperación tecnológica
Proveedor montacargas
Proveedores insumos
Proveedores IT
Equipo de trabajo Oriflame
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 35 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Contactos Internos Vigía Plus Oriflame Fecha de actualización: ________________________
Rol
Nombre
Cargo
Teléfono interno
Correo electrónico personal
Teléfono personal
Brigadista?
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 36 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Contactos Externos Fecha de actualización: 15 septiembre de 2017 Servicio 1: Proveedor 1
Dirección
Proveedor 2
Dirección
Servicio 2: Proveedor 1
Dirección
Proveedor 2
Dirección
Servicio 3: Proveedor 1
Dirección
Proveedor 2
Dirección
Contactos Contacto Correo electrónico Tel celular Contactos Contacto Correo electrónico Tel celular
Contacto 1
Contacto 2
Contacto 3
Contacto 1
Contacto 2
Contacto 3
Contactos Contacto Correo electrónico Tel celular Contactos Contacto Correo electrónico Tel celular
Contacto 1
Contacto 2
Contacto 3
Contacto 1
Contacto 2
Contacto 3
Contactos Contacto Correo electrónico Tel celular Contactos Contacto Correo electrónico Tel celular
Contacto 1
Contacto 2
Contacto 3
Contacto 1
Contacto 2
Contacto 3
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 37 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
ANEXO 3 Documentación de incidentes de contingencia Fecha y hora: Descripción del incidente: Procesos afectados: Causas:
Medidas de contingencia adoptadas
Duración (hrs)
Resultado de las medidas de contingencia
Lecciones aprendidas:
Elaborado por:
Cargo:
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 38 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
ANEXO 4 Modelos de documentos de la etapa de pruebas Plan de pruebas Operativas / de tecnología Fecha
Servicio/aplicativo
Objetivo
Recursos necesarios
Responsable:
Detalle de las pruebas: Prueba______________________ Hora
Responsable
Fecha:________________ Actividad
Modelo evaluación de las pruebas: Prueba______________________
Fecha:________________
Objetivo
Cumplido?
Observaciones
Aspectos a destacar de las pruebas
¿Qué no funcionó correctamente? ¿Por qué?
¿Se requiere cambio en el plan? ¿Cual?
Responsable:
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 39 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 40 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
ANEXO 5 Formatos para operación manual Informe Auxiliar CD______________________
Fecha:________________ Factura: _____________________
Placas:____________ Nombre Conductor___________________________ CC________________ Referencia
Unidades
Cajas
Estibas
Observaciones: ___________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ Nombre Operario
Firma Conductor
____________________ ________________________
Nombre digitador
_____________________-
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 41 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Formato de Loteo CD______________________
Fecha: ________________ Factura: _____________________
Pallet :____________ Referencia: ____________________________ Estatus: ________________ Serial Shipping Container Code (SSCC)
Cantidad
Fecha de vencimiento
Ubicación
Nombre Operario
___________________________
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 42 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
Listado Para Alistamiento
CD______________________
Referencia
Fecha:________________ Pedido: _____________________
Serial Shipping Container Code (SSCC)
Cantidad
OK
Ubicación
Ok
Serial Shipping Container Code (SSCC) alterno
Observaciones: ______________________________________________________________________________________________________ ___________________________________________________________________________________________________________________ ___________________________________________________________________________________________________________________ Nombre Operario VPS
___________________________
Nombre y firma funcionario Oriflame
_________________________________
Nombre digitador
_________________________
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 43 de 44
PCN - PLAN DE CONTINUIDAD DE NEGOCIO
SGI-DO-VO1-001
10/2017
4. CONTROL DE CAMBIOS. Fecha
Descripción del Cambio
Versión
Octubre del 2017
Emisión del Documento
0.0
Sistema de Gestión VPS - Este documento es para uso exclusivo de la compañía; Está prohibida su reproducción parcial o total. Página 44 de 44