Auditoria Interna Al Plan Continuidad Del Negocio Kpmg Colombia
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Auditoria Interna Al Plan Continuidad Del Negocio Kpmg Colombia as PDF for free.
More details
- Words: 15,182
- Pages: 94
Loading documents preview...
AUDITORA INTERNA AL PLAN DE CONTINUIDAD DEL NEGOCIO EN KPMG COLOMBIA
Ilustración 1 Fuente: KPMG
AUDITORA INTERNA AL PLAN DE CONTINUIDAD DEL NEGOCIO EN KPMG COLOMBIA
TALLER
AUTOR DANY ALONSO URREGO
DOCENTE RUBIELA CAMACHO VARGAS
BOGOTÁ D.C SEPTEIMBRE 03 DE 2017
3
TABLA DE CONTENIDO TABLA DE MUESTRAS ................................................................................................................................ 6 1 INTRODUCCIÓN ........................................................................................................................................ 8 2 OBJETIVO ................................................................................................................................................... 9 2.1 OBJETIVO GENERAL ..................................................................................................................................9 2.2 OBJETIVOS ESPECÍFICOS ..........................................................................................................................9 3 ALCANCE .................................................................................................................................................. 10 4. EQUIPO DE TRABAJO ........................................................................................................................... 11 5. LA ORGANIZACIÓN ............................................................................................................................... 13 5.1 DESCRIPCIÓN DE LA FIRMA ............................................................................................................................13 5.2 MISIÓN, VISIÓN KPMG .................................................................................................................................13 5.2.1 VISIÓN DE KPMG .......................................................................................................................................13 5.2.2 MISIÓN KPMG ...........................................................................................................................................13 5.2.2.1 Dirección Web KPMG ........................................................................................................................13 5.3 VALORES KPMG ...........................................................................................................................................13 5.4 KPMG NUESTRO CONOCIMIENTO AL SERVICIO DE LA COMUNIDAD ..............................................................14 5.5 KPMG BRINDAMOS CONOCIMIENTO .............................................................................................................15 5.6 KPMG EN COLOMBIA ...................................................................................................................................15 5.7 CERTIFICACIONES ..........................................................................................................................................16 5.8 ENFOQUE HACIA EL MERCADO .......................................................................................................................19 5.9 PORTAFOLIO DE SERVICIOS DE KPMG EN COLOMBIA ...................................................................................19 6. CRONOGRAMA ....................................................................................................................................... 22 7. DESARROLLO GENERAL AUDITORIA INTERNA ............................................................................ 23 7.1 ESTRUCTURA JERÁRQUICA DE LOS GRUPOS DE RESPUESTA, ROLES Y RESPONSABILIDADES ........................24 7.1.1 Líder Comité Ejecutivo (Presidente) .....................................................................................................24 7.1.2 Comité Ejecutivo – Grupo Estratégico ..................................................................................................25 7.1.3 Líderes de recuperación - Grupo Táctico ..............................................................................................26 7.1.4 Equipos de recuperación - Grupo Operativo ........................................................................................27 7.1.5 Líder de Continuidad del Negocio - Gestión .........................................................................................27 7.2 LÍNEA DE SUCESIÓN DEL PLAN GENERAL ......................................................................................................28 7.3 COMUNICACIONES .........................................................................................................................................29 7.3.1 Objetivo .................................................................................................................................................30 7.3.2 Flujo grama de Actividades ...................................................................................................................31 7.3.3 Procedimiento ........................................................................................................................................32 7.3.4 Anexos Comunicaciones ........................................................................................................................33 7.3.4.1 Anexo 1. Matriz de Comunicaciones ............................................................................................................... 33 7.3.4.2 Anexo 2. Comunicado inicial para empleados ................................................................................................. 34 7.3.4.3 Anexo 3. Comunicado final para empleados .................................................................................................... 35 7.3.4.4 Anexo 4. Comunicado inicial para proveedores ............................................................................................... 36 7.3.4.5 Anexo 5. Comunicado final para proveedores................................................................................................. 37
8. CRITERIOS DE ACTIVACIÓN .............................................................................................................. 38
4 8.1 ROLES Y RESPONSABILIDADES ......................................................................................................................38 8.1.1 Líderes y/o representantes de procesos .................................................................................................39 8.1.2 Líder de Comunicaciones con Medios (Coordinador de Mercadeo). ....................................................39 8.1.3 ITLP: Information Technology Liaison Partner ....................................................................................40 8.1.4 Gerente de Sistemas ...............................................................................................................................40 8.1.5 Grupo de Soporte de Tecnología de Información ..................................................................................41 8.1.6 Directora de Gestión Humana ...............................................................................................................41 8.1.7 Directora Financiera y Administrativa .................................................................................................41 8.1.8 Líder de Administración y Seguridad Física .........................................................................................42 8.1.9 Grupo de Reacción a Eventos de Emergencias .....................................................................................42 8.1.10 Líder de la Brigada de Emergencias y Coordinador de Evacuación ..................................................43 8.2 LÍNEA DE SUCESIÓN ......................................................................................................................................43 8.3 PROCEDIMIENTO ............................................................................................................................................44 8.3.1 Procedimiento de Respuesta ..................................................................................................................44 8.3.2 Procedimiento ITS .................................................................................................................................47 8.4 ANEXOS COOP .............................................................................................................................................49 8.4.1 Anexo 1- Distribución de Personal ........................................................................................................49 8.4.2 Anexo 2- Recursos mínimos necesarios .................................................................................................50 8.4.3 Anexo 3. Lista General de Contactos Internos ......................................................................................53 9. ANÁLISIS DE IMPACTO BIA................................................................................................................. 54 9.1 RECOVERY TIME OBJECTIVE (RTO) ..............................................................................................................54 9.2 RECOVERY POINT OBJECTIVE (RPO).............................................................................................................57 9.3 ROLES Y RESPONSABILIDADES ......................................................................................................................58 9.3.1 ITLP: Information Technology Liaison Partner ....................................................................................58 9.3.2 Gerente de Sistemas ...............................................................................................................................58 9.3.3 Grupo de Recuperación Tecnológica ....................................................................................................59 9.3.3.1 Help Desk......................................................................................................................................................... 59 9.3.3.2 Equipo Especialistas de Aplicaciones e Infraestructura ................................................................................... 59 9.3.3.3 Proveedores ...................................................................................................................................................... 61
9.4 LÍNEA DE SUCESIÓN ......................................................................................................................................61 10. ACTIVACIÓN DE RECUPERACIÓN TECNOLÓGICA .................................................................... 62 11. CRITERIOS DE ACTIVACIÓN ............................................................................................................ 64 11.1 ACTIVACIÓN DEL PLAN DE RECUPERACIÓN (DRP) ......................................................................................64 11.2 PROCEDIMIENTO “VALIDAR CONECTIVIDAD SEDES KPMG DESDE CALLE 76 - CLO” ..............................65 11.3 PROCEDIMIENTO “VALIDAR SERVICIOS KNET Y SERVICIOS GLOBALES” ...................................................67 11.4 PROCEDIMIENTO “VALIDAR CONECTIVIDAD INTERNET CALI” ....................................................................70 11.5 PROCEDIMIENTO “VERIFICACIÓN COMPONENTES EN SITIO ALTERNO” ........................................................72 11.6 PROCEDIMIENTO “RECUPERAR SERVICIO DE SEVEN” ..................................................................................75 11.7 PROCEDIMIENTO “RECUPERAR SERVICIO DE EAUDIT” ................................................................................77 11.8 PROCEDIMIENTO “RECUPERAR SERVICIO DE KACTUS”...............................................................................79 11.9 PROCEDIMIENTO “RECUPERAR SERVICIO DE VPN LOCAL” .........................................................................81 11.10 PROCEDIMIENTO “RECUPERAR SERVICIO DE FILE SERVER” ......................................................................82 12. ANEXOS DRP ......................................................................................................................................... 83 12.1 ANEXO 1. LISTA GENERAL DE CONTACTOS INTERNOS ................................................................................83 12.2 ANEXO 2. LISTA GENERAL DE CONTACTOS EXTERNOS ..............................................................................84
5 13. OPINIÓN PROFESIONAL DE LA REVISIÓN DE AUDITORIA INTERNA PLAN DE CONTINUIDAD DE NEGOCIO (BCP) DE KPMG EN COLOMBIA........................................................ 85 14 RECOMENDACIONES ........................................................................................................................... 89 14.1 REVISIÓN DOCUMENTAL .............................................................................................................................90 15 PRUEBAS DEL PLAN ............................................................................................................................. 91 15.1 Pruebas de escritorio ..............................................................................................................................91 15.2 Pruebas de componentes ........................................................................................................................91 15.3 Pruebas integradas .................................................................................................................................91 16 CONTROL DE CAMBIOS ...................................................................................................................... 92 CONCLUSIONES ......................................................................................................................................... 93
6
TABLA DE MUESTRAS Muestra 1. Grupos de Respuesta del Plan General (Fuente KPMG)…………………………………....24 Muestra 2. Línea de Sucesión Comité de Ejecutivo (Fuente KPMG)……………………………………29 Muestra 3. Flujo grama de actividades comunicaciones (Fuente KPMG………………………………..31 Muestra 4. Procedimiento de comunicaciones (Fuente KPMG)………………………………………..32 Muestra 5. Matriz de Comunicaciones (Fuente KPMG)…………………………………..……………33 Muestra 6. Criterios de Activación (Fuente KPMG)…………………………………..……………….38 Muestra 7. Grupo de Soporte de Tecnología de Información (Fuente KPMG) ……………… ……………41 Muestra 8. Grupo de Reacción a Eventos de Emergencias (Fuente KPMG)………………………….......42 Muestra 9. Línea de Sucesión del Plan (Fuente KPMG)……………………………………………….43 Muestra 10. Procedimiento Respuesta (Fuente ITS)………………………………………………….47 Muestra 11. Procedimiento ITS (Fuente KPMG)…………………………………..…………………..48 Muestra 12. Mapa de Centro Alterno de Operaciones (Fuente KPMG) ………………………………...49 Muestra 13. Recursos mínimos necesarios (Fuente KPMG)…………………………………………...50 Muestra 14. Lista General de Contactos Internos (Fuente KPMG) …………………………………….53 Muestra 15: Orden de recuperación aplicativos (Fuente KPMG)………………………………………55 Muestra 16. Aplicativos globales usados en la Firma (Fuente KPMG) ……………………………….....56 Muestra 17. Servicio de Internet (Fuente KPMG) ……………………………………………………57 Muestra 18. Orden de prioridad en respaldo de información (Fuente KPMG) ……………………….....58 Muestra 19. Línea de Sucesión (Fuente KPMG)……………………………………………………...62 Muestra 20. Procedimiento de Activación de Recuperación de Tecnológica (Fuente KPMG)……………..63 Muestra 21. Criterios de Activación (Fuente KPMG)…………………………………………………64 Muestra 22. Procedimiento “Validar Conectividad Sedes KPMG desde CALLE 76 - CLO” (Fuente KPMG)…………………………………..…………………………………..…………………….67 Muestra 23. Procedimiento “Validar Servicios KNET y Servicios Globales” (Fuente KPMG) …………..69 Muestra 24. Procedimiento “Validar Conectividad Internet Cali” (Fuente KPMG)……………………..71 Muestra 25. Procedimiento “Verificar los componentes en Sitio Alterno” (Fuente KPMG)…….………...73 Muestra 26 Procedimiento “Recuperar Servicio de Seven” (Fuente KPMG)……………………………76 Muestra 27 Procedimiento “Recuperar Servicio de eAudit” (Fuente KPMG.)…………………………..77
7 Muestra 28. Procedimiento “Recuperar Servicio de Kactus” (Fuente KPMG) ………………………….79 Muestra 29. Procedimiento “Recuperar Servicio de VPN Local” (Fuente KPMG)………………………81 Muestra 30. Procedimiento “Recuperar Servicio de File Server” (Fuente KPMG)………………………82 Muestra 31. Lista General de Contactos Internos (Fuente KPMG) ……………………………………...83 Muestra 32. Lista General de Contactos Externos (Fuente KPMG) …………………………………...84 Muestra 33. Pruebas de escritorio (Fuente KPMG) ……………………………………………………90 Muestra 34. Pruebas de componentes (Fuente KPMG) …………………………………………….......90 Muestra 35. Pruebas integradas (Fuente KPMG)……………………………………………………...91
8
1 Introducción El plan de continuidad no es una mera adición de algo que se debe hacer sino que es una parte integral de toda la organización. Es importante hacer comprender a los responsables de la organización acerca de la necesidad de un plan adecuado y que no es “algo más” que hay que hacer sino que es igual de importante o más que las otras partes del proyecto. Es reconocida como una buena práctica profesional y es parte integral del buen gobierno de las organizaciones, de esta forma toma una dimensión estratégica y no debería ser considerado una mera herramienta operativa. En muchas ocasiones vemos que la Dirección no conoce el alto riesgo que supone la no presencia de planes de contingencia en sus organizaciones o la debilidad de éstos. De ahí la importancia de la auditoría SI no solo en los planes de seguridad sino de los planes de contingencia en particular, que dan una clara y seria advertencia de los riesgos de dejar los planes de contingencia como algo secundario y sin importancia. De ahí que se haga imprescindible la realización de una auditoría de Interna al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia para el análisis de los requisitos mínimamente exigibles para que el plan sea adecuado a las necesidades de continuidad del negocio, la auditoría señalaría y determinaría las debilidades y propondría soluciones, evaluaría la adecuación del plan al proyecto y su desarrollado por la organización. En definitiva con la auditoría se busca que el plan de continuidad contribuya a la consecución de los objetivos del negocio y que, llegado el momento, funcionará como está previsto. Por lo tanto se busca que no sea un plan deficiente, que sea adecuado y no incurra en
9
errores graves que producirían pérdidas igual o mayores que de no tener un plan, pues no hay peor situación que creerse salvaguardado por un plan que en realidad no funciona. 2 Objetivo 2.1 OBJETIVO GENERAL
Verificar la existencia del Plan de Continuidad de Negocio (BCP) de KPMG en Colombia, que contempla un conjunto de procedimientos de actuación y de recursos necesarios para la restauración progresiva de los servicios en el caso de paralización de las actividades; en los que están involucradas todas las áreas, departamentos y servicios de la organización y que se mantienen debidamente actualizados, realizándose pruebas periódicas para su eficacia.
2.2 OBJETIVOS ESPECÍFICOS
Asegurar que el plan de Continuidad de Negocio (BCP) de KPMG en Colombia contribuye a la consecución de los objetivos del negocio y que, llegado el momento, funcionará como está previsto.
Identificar las condiciones que facilitan la interrupción de los servicios como consecuencia de tener un plan inadecuado.
Identificar debilidades en el plan y proponer soluciones.
Comprobar los aspectos estructurales y formales que se momento,
los
programas
pertinentes dentro del plan.
han
ejecutado
en
su
de entrenamiento, mantenimiento y pruebas que son
10
3 Alcance Teniendo en cuenta el Alcance dimensional de proyecto “Plan de Continuidad de Negocio (BCP) de KPMG en Colombia”, su direccionamiento, objetivos, roles y políticas de seguridad, se hace necesario contar con un cronograma de actividades proyectados en tiempos estipulados para aplicar cada una de las fases de la Auditoria Interna, determinar resultados a través de simulacros, emitir opiniones a la Alta gerencia y concluir con un control y seguimiento. Debido al poco tiempo para proponer un amplio Plan de Auditoría Interna, nos limitamos a lo siguiente: El alcance del Plan de Auditoria Interna aplicado al proyecto” Plan de Continuidad de Negocio (BCP) de KPMG en Colombia” comprobará que los objetivos y las medidas de recuperación se establecen para las Aplicaciones o Servicios Críticos aprobados por la Dirección, se enmarcara los análisis dentro de las solicitudes de información referente al proyecto, muestras y pruebas en sitio y recomendaciones a la Gerencia.
se emitirá una opinión profesional y unas
11
4. Equipo de trabajo Líder Auditor
12
Auditor Acompañante
13
5. La Organización 5.1 Descripción de la Firma KPMG es una red global de firmas profesionales que proveen servicios de auditoría, impuestos y asesoría. Operamos en 152 países y tenemos 145.000 profesionales que trabajan en las firmas miembros alrededor del mundo. Las firmas miembro independientes de la red de KPMG están afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Cada firma miembro de KPMG es una entidad legal separada e independiente y cada una se describe a sí misma como tal. 5.2 Misión, Visión KPMG 5.2.1 Visión de KPMG Construiremos y mantendremos nuestra reputación como la mejor Firma para trabajar, asegurándonos de que nuestra gente, nuestros clientes y nuestras comunidades logren su potencial pleno. 5.2.2 Misión KPMG Transformamos el conocimiento en valor, en beneficio de nuestros Clientes, Asociados y los mercados de capital.
5.2.2.1 Dirección Web KPMG http://www.kpmg.com/co/es/paginas/default.aspx 5.3 Valores KPMG
Lideramos con el ejemplo en todos los niveles actuando de manera que ejemplifique lo que queremos de cada uno de nosotros.
14
Trabajamos en equipo tomando lo mejor de cada uno y creando relaciones fuertes y duraderas.
Respetamos a los individuos respetando a las personas por lo que son y por su conocimiento, habilidades y experiencia como miembros individuales de un grupo.
Investigamos los hechos y transmitimos conocimientos verificando los hechos y fortaleciendo nuestra reputación como asesores de negocios con credibilidad y objetividad.
Nos comunicamos de forma abierta y honesta compartiendo información, conocimiento manejando situaciones difíciles con coraje y creatividad.
Comprometidos con la Sociedad comportándonos como ciudadanos responsables y ampliando nuestras habilidades, experiencia y perspectiva de nuestras comunidades.
Por encima de todo nos comportamos con integridad manteniendo elevados estándares profesionales en todo momento, proveyendo asesoría útil y conservando nuestra independencia con rigor.
5.4 KPMG Nuestro conocimiento al servicio de la comunidad Por medio del conocimiento que usamos todos los días en nuestro trabajo y aplicándolo a las comunidades al rededor del mundo podemos ayudar a hacer cambios positivos local y globalmente. Las Firmas miembro están trabajando con organizaciones no gubernamentales, compañías y gobiernos en temas apremiantes que enfrentan nuestras comunidades. Globalmente estamos combinando el "expertise" de KPMG con las agencias de desarrollo internacional para afrontar temas globales
15
5.5 KPMG brindamos conocimiento KPMG explora temas de interés especial para nuestros clientes y amigos. Cada una de las secciones o publicaciones que se verán a continuación tiene investigación, opinión y el liderazgo de KPMG en conocimiento. 1. Audit Committee Institute Creado en 1999, KPMG Audit Committee Institute brinda información, fuentes y oportunidades de compartir conocimiento por diferentes medios, encuestas, investigaciones y publicaciones. 2. IFRS Now - the jargon free guide to IFRS adoption Esta es la edición On-Line de IFRS Now, la revista temática de KPMG que da una mirada fresca a los retos que enfrentan las personas que practican IFRS, sin perderse en los detalles técnico 3. KPMG’s Global IFRS Institute Brinda información y recursos para ayudar a las Juntas Directivas, Comités de Auditoría, Directores y Accionistas a tener conocimiento y acceso a información valiosa sobre los reportes financieros globales. 5.6 KPMG en Colombia KPMG comenzó operaciones en Colombia en 1952, prestando los servicios de Auditoría, Impuestos y Asesoría. En la actualidad KPMG es una de las más reconocidas Firmas de Auditoría y Asesoría del país, prueba de esto es el importante portafolio de clientes nacionales y multinacionales.
16
En Colombia la Firma cuenta con 3 oficinas, donde laboran más de 800 profesionales: Contadores, Administradores de Empresa, Economistas, Abogados, Ingenieros Industriales, Ingenieros de Sistemas, seleccionados cuidadosamente
5.7 Certificaciones
Calidad ISO 9001:2008, de la casa certificadora internacional Bureau Veritas Certification, para las prácticas de Auditoría, Asesoría Gerencial e Impuestos y
17
Servicios Legales. Este es un reconocimiento al mejoramiento continuo de nuestros procesos de servicio y administración.
KPMG Advisory Services Ltda. Participó en la implementación del programa Rumbo Empresas Íntegras y Transparentes en octubre de 2009.
PCAOB (Public Companies Accounting Oversight Board), entidad que vigila el desempeño de las Firmas que auditan los estados financieros de las compañías registradas en la SEC (Securities & Exchange Comission).
18
KPMG en Colombia recibió en Octubre de 2010 el premio a la Firma del año en Servicios de Impuestos entregado por la revista norteamericana International TaxReview, una de las publicaciones más importantes a nivel mundial en materia de impuestos. Esta distinción es un reconocimiento a la calidad del trabajo y al compromiso de nuestros profesionales.
19
5.8 Enfoque hacia el mercado
Enfoque hacia el mercado (fuente: KPMG) 5.9 Portafolio de servicios de KPMG en Colombia
Portafolio de servicios de KPMG en Colombia (fuente: KPMG)
20
Portafolio de servicios de KPMG Tax & Legal Services (fuente: KPMG)
Portafolio de servicios de KPMG Audit Services (fuente: KPMG)
21
Portafolio de servicios de KPMG Advisory Services (fuente: KPMG)
22
6. Cronograma 19 Oct - 23 Oct
Actividades Primera Visita al sitio Alterno Visita al sitio Alterno para conocer todos los proceso y actividades de la misma Notificación del inicio de la auditoría Interna Reunión con el Representante de la Firma para coordinar detalles. Arranque de la auditoría Interna Recolección de datos de la Firma, entrega de formularios al representante. Revisión y verificación de los datos, formularios, documentos y registros. Análisis de emisiones de todos los procesos. Revisión de los procedimientos inconformes o no detallados en la documentación. Análisis de las medidas de mitigación y aspectos de mejora de cada proceso. Análisis de los procesos preventivos y correctivos de estos. Elaboración del informe Final Realización de las actividades de seguimiento de una auditoría. “ciclo de mejora Continua” (PHVA)
L
M M J
26 Oct- 30 Oct
V L M M J
2 Nov - 6 Nov
V L M M J
9 Nov - 13 Nov
V L M M J
V
16 Nov - 18 Nov
L
M
M
23
7. Desarrollo General AUDITORIA INTERNA De acuerdo a la ejecución del desarrollo General AUDITORIA INTERNA al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia se procede a analizar los criterios que definen las necesidades
del
negocio,
los
objetivos
de
la
planificación
de
la
recuperación, y el establecimiento de criterios base para definir las opciones que nos permitan comprobar su viabilidad, revisar umbrales de tiempo, comunicación, localización, personal, componentes tecnológicos de la recuperación para cada servicio de soporte, componentes no tecnológicos de la recuperación, analizar estrategias alternativas viables y ver si con el tiempo pueden ser mejores para el planteamiento organizacional, verificar si el riesgo asociado a la estrategia elegida se ha evaluado correctamente. Se solicita
a la organización KPMG SAS la información pertinente, muestras,
documentación y pruebas en sitio con respecto al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia.
24
7.1 Estructura Jerárquica de los Grupos de Respuesta, Roles y Responsabilidades A continuación se incluye un esquema jerárquico organizacional de cómo se organizará KPMG en situaciones donde las actividades del negocio y/o los activos de la compañía se puedan ver comprometidos. Esta estructura define roles que más adelante serán descritos en este mismo capítulo. Los puntos de contacto indican la relación y el flujo de información para el reporte de actividades entre uno u otro rol o grupo que es conformado.
Muestra 1. Grupos de Respuesta del Plan General (Fuente KPMG)
7.1.1 Líder Comité Ejecutivo (Presidente) Líder de más alto rango al interior de la Firma. Ante un evento de interrupción que afecte la operación de la Firma es quien tiene la autoridad para convocar al Comité Ejecutivo y con ello iniciar las labores de nivel estratégico que dirigirán el rumbo de la situación. Las principales funciones del Líder del Comité Ejecutivo son:
Declara la activación de los diferentes planes.
25
Definir la posición de la Firma y la responsabilidad a asumir durante y posterior a una contingencia.
Convoca vía telefónica o escrita al Líder de Comunicaciones con Medios (Coordinador de Mercadeo).
Decide si se aprueba el mensaje y la propuesta elaborada por el Líder de Comunicaciones con Medios (Coordinador de Mercadeo).
Adicionar comentarios al mensaje.
7.1.2 Comité Ejecutivo – Grupo Estratégico Es un comité de nivel estratégico del plan al cual llega toda la información disponible y relevante sobre la interrupción para analizarla. Se crean escenarios y se plantean alternativas de acción. Es un ente asesor de alto nivel. En este comité pueden participar tantas personas como sean necesarias y puede tener miembros permanentes o invitados ocasionales, si la situación lo requiere. Mejor si es interdisciplinario a nivel de funcionarios de varias áreas de la compañía: administrativa, financiera, del negocio, etc. Debe tener un coordinador que convoca y realiza tareas específicas que le son asignadas. En este comité se redactan los borradores de comunicados, declaraciones, discursos, etc. Se preparan todos los documentos y materiales relevantes para el manejo de la interrupción. En este comité se recibe y analiza información, y se sugiere el curso de acción. Las funciones generales del Comité incluyen:
Desarrollar una estrategia frente a la interrupción buscando preservar el negocio, y la buena imagen y reputación de la Firma.
Visualizar macro escenarios de evolución de la interrupción.
26
Valorar el impacto de la interrupción sobre los diferentes grupos de interés de la Firma.
Establecer estrategias para controlar la emergencia y neutralizar las consecuencias.
Establecer un plan de acción con asignación de autoridad y responsabilidad.
Destinar recursos.
Analizar y tomar decisiones formales con relación a las peticiones de terceros afectados por daños personales o materiales, durante y posterior a las emergencias.
Participar en las decisiones y patrocinio de las actividades de retorno.
7.1.3 Líderes de recuperación - Grupo Táctico Los líderes de recuperación son personas encargadas de liderar la recuperación del negocio, procesos y tecnología soporte, basados en las estrategias de continuidad implementadas. Serán el contacto directo entre los procesos de negocio, el área tecnológica y el comité de ejecutivo. Las funciones generales de los líderes de recuperación son:
Informar al Comité Ejecutivo los niveles de impacto del evento y una estimación de su duración, para así sugerir en Comité en la decisión de activación de los planes
Liderar las reuniones del Equipo de Recuperación, para diagnosticar y evaluar las interrupciones que están afectando la prestación del servicio.
Liderar la puesta en funcionamiento de los servicios en los centros alternos de operación y tecnología.
Liderar los procedimientos de activación y restauración a la normalidad con el apoyo del Equipo de Recuperación.
27
7.1.4 Equipos de recuperación - Grupo Operativo Estos equipos componen el nivel operativo del plan de continuidad, están encargados de la ejecución de los procedimientos y actividades necesarias para salvaguardar la vida de las personas, los activos de la firma, recuperar las operaciones de procesos críticos de negocio y la tecnología.
7.1.5 Líder de Continuidad del Negocio - Gestión El rol del Líder de Continuidad está dado principalmente por las actividades previas a un evento. Es el encargado de dirigir y liderar todas las actividades relacionadas con la planificación, dimensionamiento, aseguramiento, gestión y mantenimiento de los planes. Actividades tales como:
Establecer el cronograma anual de revisión del plan.
Establecer los responsables de actualizar y mantener los indicadores, y revisar los indicadores para medir el cumplimiento de los planes.
Identificar posibles desviaciones respecto de los objetivos y el alcance de continuidad.
Identificar y levantar alertas tempranas relacionadas con las desviaciones encontradas.
Establecer planes de mejora a desarrollar conjuntamente con el área responsable, que conduzcan a cerrar posibles brechas identificadas.
Convocar a los líderes de los procesos para presentarles los planes de acción relacionados con las actividades de mantenimiento rutinarias y esporádicas.
Llevar a cabo sesiones de seguimiento periódicas con el área responsable de la ejecución del plan de acción para revisar el avance del mismo y establecer acciones para las desviaciones.
28
Durante un hecho su rol cambia a brindar asesoría y servir de guía a los equipos de respuesta y recuperación que eventualmente se conforman. 7.2 Línea de Sucesión del Plan General La línea de sucesión identifica los responsables asignados a los diferentes roles del Plan de Continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este plan. La línea de sucesión se describe a continuación:
29
Comité Ejecutivo Rol
Responsable Principal
Presidencia
Jorge Humberto Ríos
Socio Líder Audit
Gerardo Buendía
María Ligia Cifuentes
Socio Líder Advisory
Camilo González
Fabián Echeverría
Socio Líder Tax
Vicente Javier Torres
Myriam Stella Gutiérrez
Socio Riesgos
Elvia Maria Bolívar
Gerardo Buendía
Legal
Patricia Lozano
Dirección Financiera Administrativa
y
Myriam Fonseca
Responsable Alterno
Diana Arévalo
Muestra 2. Línea de Sucesión Comité de Ejecutivo (Fuente KPMG) Nota: La línea de sucesión de los demás grupos de respuestas indicados en la estructura jerárquica están incluidos en los Capítulos “8. Plan de Continuidad de Operaciones (COOP)” y “9 Plan de Recuperación Tecnológica (DRP)” 7.3 Comunicaciones Un evento se puede presentar en cualquier momento, por esta razón, desde la Comunicación Corporativa se le presta especial atención toda vez que afecta la empresa y su imagen. Por tanto, debe estar prevista al menos en sus efectos iníciales y los recursos que serán necesarios para su gestión. Este documento permite maximizar la efectividad de las comunicaciones de contingencia, al facilitar las operaciones, a través de un plan establecido, y la asignación de roles y responsabilidades en el momento de la activación del plan de continuidad de operaciones (COOP)
30
7.3.1 Objetivo Proporcionar procedimientos documentados para efectuar una comunicación interna o externa sobre los hechos de importancia durante la ocurrencia de un evento que afecte la línea de continuidad. Adicionalmente, se incluyen los siguientes objetivos:
Definir responsabilidades comunicacionales tanto de los miembros del equipo del Plan de Continuidad como de los empleados.
Desarrollar diferentes estrategias desde la comunicación que permitan orientar a todas las audiencias, según su naturaleza, en un momento de crisis.
Definir medios de comunicación que apoyen la gestión.
Brindar una guía de la naturaleza de los mensajes según la situación.
Reducir la ansiedad de los involucrados.
31
7.3.2 Flujo grama de Actividades
Muestra 3. Flujo grama de actividades comunicaciones (Fuente KPMG)
32
7.3.3 Procedimiento Código
Actividad
Responsable
2
Validar las causas, para entender mejor cuales son los efectos y los tiempos que se permanecerá en Comité Ejecutivo contingencia, si existen afectación de personas, entre otra información. Identificar grupo interés de acuerdo al tipo de evento Comité Ejecutivo
3
Diseñar Comunicado de acuerdo a la audiencia, medios Comunicaciones con Medios a contactar y seleccionar Portavoz.
4
Validar comunicación con comité de ejecutivo para Comunicaciones con Medios asegurar que el comunicado sea el más pertinente
5
Emitir el comunicado
6
Si el evento no se ha solucionado volver a la actividad Comunicaciones con Medios n°1 Muestra 4. Procedimiento de comunicaciones (Fuente KPMG)
1
Comunicaciones con Medios
33
7.3.4 Anexos Comunicaciones 7.3.4.1 Anexo 1. Matriz de Comunicaciones DIRIGIDAS A
Internos
Externos
COOP
DRP
Voceros
Comunicado
Comunicado Comunicado Comunicado Presidencia
Inicial
Final
Inicial
Final
X
X
X
X
KPMG International
X
X
Clientes
X
X
Empleados
Reguladores
X
X
X
X
Medios (TV,Periodico,etc) X
X
X
X
Proveedores
X
X
X
X
Muestra 5. Matriz de Comunicaciones (Fuente KPMG)
Responsable del Proveedor
34
7.3.4.2 Anexo 2. Comunicado inicial para empleados Interrupción de actividades en las oficinas de la ciudad de Bogotá – Calle 90
Bogotá,
de 2017
Estimados asociados,
Les informamos que (esta mañana, tarde, ayer) se produjo un evento que afecta el funcionamiento de la oficina de la calle 90, lo que ocasionará el traslado de las funciones administrativas a las oficinas de la Calle 76. Estamos coordinando las acciones tendientes a la normalización de las actividades, pero por el momento los empleados cuya sede principal y permanente sea la Calle 90, deberán llevar a cabo su trabajo desde su casa o empresa asignada. Solo deberán presentarse a las oficinas de la calle 76 los empleados que sean notificados a través de una llamada o correo electrónico. Una vez se normalicen los accesos les comunicaremos por este medio.
XXXX Presidente KPMG en Colombia
35
7.3.4.3 Anexo 3. Comunicado final para empleados Normalización de funciones en las oficinas de la ciudad de Bogotá – Calle 90
Bogotá,
de 2017
Estimados asociados,
Les informamos que la oficina de la calle 90 ha vuelto a su funcionamiento habitual. Los asociados que estaban temporalmente en la oficina de la calle 76 o que se encontraban trabajando desde su casa o empresa asignada, podrán hacer uso de la oficina de la calle 90 a partir de la fecha.
Gracias por su comprensión y colaboración.
XXXX Presidente KPMG en Colombia
36
7.3.4.4 Anexo 4. Comunicado inicial para proveedores KPMG - Interrupción de actividades en las oficinas de la calle 90 Bogotá,
de 2017
Estimados proveedores:
KPMG en Colombia comunica que debido a evento el acceso al edificio de la calle 90 está temporalmente restringido. Las operaciones administrativas se están llevando a cabo en las oficinas de la calle 76 (Calle 76 # 11 – 17 piso 6).
Agradecemos enviar cualquier correspondencia o factura a dicha dirección hasta nuevo aviso.
Un saludo,
XXX Gerente Administrativa
37
7.3.4.5 Anexo 5. Comunicado final para proveedores KPMG - Normalización de funciones en las oficinas de la calle 90
Bogotá,
de 2017
Estimados proveedores:
KPMG en Colombia informa que la oficina de la calle 90 ha vuelto a su funcionamiento habitual. Agradecemos normalizar los envíos de correspondencia o facturación a la Calle 90 # 19C – 74.
Un saludo,
XXX Gerente Administrativa
38
8. Criterios de Activación Los criterios de activación del procedimiento son una herramienta útil para la toma “oportuna” de decisiones en un evento real. El planteamiento aquí definido puede tomarse como base para activar el plan según sea el caso, pero se debe tener presente que los criterios aquí descritos son un punto de partida o una referencia inicial que puede ser reevaluada por los resultados de las actividades de prueba o por las condiciones propias del hecho. Los tiempos y criterios de decisión están soportados por los resultados de los análisis de impacto vigentes. Escenario
Duración
Evento que inhabilita la operación en el edificio Blue Tower (Calle 90 # 19 c-74) en horario laboral.
Decisión
Responsable
Notificar al Comité Ejecutivo y El tiempo de solución del sugerir activar el Plan de evento es incierto, o se Continuidad de Operaciones Grupo de estima que durará más de 6 Reacción a (COOP). horas. Eventos de Emergencias Se estima que el tiempo de Realizar seguimiento de la solución del evento no es evolución del evento. superior a las 6 horas. Muestra 6. Criterios de Activación (Fuente KPMG)
8.1 Roles y Responsabilidades Cada uno de los integrantes del grupo de respuesta tiene asignado un rol y con ello una serie de responsabilidades antes, durante y después de un evento de interrupción real. A continuación se listan uno a uno los roles identificados y las responsabilidades asignadas a cada uno de ellos.
39
8.1.1 Líderes y/o representantes de procesos El rol de los líderes de los procesos consiste en que durante un evento que afecte la disponibilidad de los procesos críticos que operan en el edificio de KPMG Bogotá es el de activar el plan y coordinar las actividades de reanudación del servicio en la Firma.
8.1.2 Líder de Comunicaciones con Medios (Coordinador de Mercadeo). Tiene la responsabilidad de asesorar en la comunicación del evento de interrupción a nivel interno (clientes y funcionarios) y a nivel externo (proveedores, organismos de control, entre otros) de acuerdo al Plan de Comunicación disponible, este rol hace parte de los líderes y/o representantes de procesos. A continuación se menciona las funciones generales:
Diseñar estrategias y tácticas de solución a la interrupción, desde su competencia.
Revisar los comunicados para clientes, preparados por el de mercadeo con el apoyo del área Legal.
Mantener Comunicación con todos los clientes.
Preparar y enviar los comunicados internos, preparados por el área de Gestión Humana, previa revisión del área Jurídica.
Contactar terceros comunicadores creíbles o voceros, previamente definidos o que surjan durante la urgencia, para la emisión de declaraciones o interlocuciones en favor de KPMG.
Tomar las medidas necesarias para evitar inconsistencias.
Supervisar las respuestas o aclaraciones a los medios de comunicación relacionadas con los juicios y transacciones originadas por la interrupción.
40
Hacer seguimiento hasta el punto en que se cumplan los compromisos adquiridos, en caso de que KPMG haya asumido la responsabilidad de la emergencia.
Planificar la relación con los medios.
8.1.3 ITLP: Information Technology Liaison Partner Es el responsable por la estrategia de tecnología de la firma, supervisa el manejo de tecnología localmente y toma las decisiones con respecto del área, adicionalmente es el encargado de comunicar las oportunidades o retos a los servicios de TI y tomar las acciones respectivas. Este rol indica al Gerente de Sistemas en que momento fue activado el Plan de Continuidad de Operaciones (COOP) y supervisar las actividades de avance del mismo para reportar al Grupo de Reacción.
8.1.4 Gerente de Sistemas Es el encargado de gestionar y dirigir los procesos, actividades del Grupo de Soporte de Tecnología de Información con el objetivo de asegurar una adecuada operación, soporte y mantenimiento de la Infraestructura de Equipos, Telecomunicaciones y Sistemas instalados en el Centro Alterno de Operaciones (CAO).
41
8.1.5 Grupo de Soporte de Tecnología de Información Este grupo es el encargado de velar por la disponibilidad y la funcionalidad de los equipos de cómputo necesarios en el momento que se active el Plan de Continuidad de Operaciones (COOP), adicionalmente, deben garantizar la conexión y el correcto funcionamiento de cada uno de los equipos y prestar cualquier tipo de soporte en sitio mientras dure activado el procedimiento. El grupo está conformado por: Rol
Cargo
Suplente
Help Desk
Diego Pinillos
Dany Urrego
Muestra 7. Grupo de Soporte de Tecnología de Información (Fuente KPMG)
8.1.6 Directora de Gestión Humana Es el encargado de la administración y gestión del recurso humano de la compañía. Ante un evento, la Directora velará por establecer las novedades de personal que se puedan llegar a presentar, y establecer los planes de acción requeridos para atender las necesidades de los funcionarios y/o sus familias.
8.1.7 Directora Financiera y Administrativa Es la encargada de coordinar y liderar el área financiera y administrativa de la firma, haciendo seguimiento a la gestión financiera, contable y de tesorería, adicionalmente es la encargada consecución de recursos y manejos de los mismos, análisis de los estados financieros y la solvencia económica de la compañía y control de endeudamiento. En el momento de presentarse algún evento es la encargada de definir la visión de finanzas y asume la responsabilidad absoluta de la estrategia de finanzas.
42
8.1.8 Líder de Administración y Seguridad Física Es la encargada de la administración de las instalaciones físicas de la compañía , de los recursos y activos físicos que estas requieren para operar en caso de un evento, igualmente es el encargado de coordinar, organizar y supervisar operativa y administrativamente las actividades encaminadas a prestar soporte a la Seguridad Urbana del Centro Alterno de Operación y personal critico de los procesos, cumpliendo con las políticas y normas de seguridad aprobadas por la corporación, con el fin de optimizar los recursos dispuestos y comprometidos en la compañía . Para el procedimiento el líder de administración coordina las actividades del Grupo de Coordinación y Logística del Centro Alterno, así como la disponibilidad y recursos necesarios del sitio físico a utilizar
8.1.9 Grupo de Reacción a Eventos de Emergencias Este grupo está encargado de hacer la evaluación del evento y de acuerdo a ello informa y asesora al Comité Ejecutivo sobre el estado actual de la interrupción para que este último tome la decisión de si se activa o no el plan de continuidad de operaciones. El grupo está conformado por: Rol Líder de Administración Seguridad Física Directora de Gestión Humana
Cargo y Gerente Administrativa
Suplente Asistente Administrativa
Directora de Gestión Jefe de Personal Humana Directora Financiera y Directora Financiera y Gerente Senior Administrativa Administrativa Contabilidad MUESTRA 8. Grupo de Reacción a Eventos de Emergencias (Fuente KPMG)
de
43
8.1.10 Líder de la Brigada de Emergencias y Coordinador de Evacuación Es el que decidirá de acuerdo a la magnitud del evento si se debe generar una evacuación parcial o total de las oficinas, adicionalmente debe verificar la evacuación parcial o total del personal, comunicar de las acciones ejecutadas, y dar solución al evento y brinda una retroalimentación del evento, sus consecuencias y evolución a los integrantes del Grupo de Activación. Es el que desarrolla las primeras actividades de respuesta orientadas a contener el evento. 8.2 Línea de Sucesión La línea de sucesión identifica los responsables asignados a los diferentes roles del Plan y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este plan. La línea de sucesión se describe a continuación:
Rol
Responsable Principal
Líder de Administración y Yolanda Gómez Seguridad Física Directora de Gestión Humana Mónica Haupt Directora Financiera y Administrativa Líder de comunicaciones en medios ITLP: Information Technology Liaison Partner Gerente de Sistemas Líder de la Emergencias
Brigada
Responsable Alterno Diana Mogollón Mirialba Toro
Myriam Fonseca
Luis Alejandro Sanchez
Felipe Rebellón
Ángela Riveros
Alain Almeida
Jairo Jerez
Jairo Jerez
Diego Pinillos
de Carolina Bahamon
Zivanna Navarro
MUESTRA 9. Línea de Sucesión del Plan (Fuente KPMG)
44
8.3 Procedimiento
8.3.1 Procedimiento de Respuesta El procedimiento descrito a continuación define la secuencia general de actividades que se realizarán en el momento en el que el Plan de Continuidad de Operaciones (COOP) sea activado. La tabla lista actividad por actividad definiendo el responsable y el tiempo previsto para su ejecución. El tiempo previsto es una estimación que puede variar en un evento real conforme las características propias resultado de la evolución del suceso.
45
Código Actividad
1 2
3
4
5.
6.
Responsable
Compañía de El evento es detectado y notificado a seguridad Seguridad/ física Asociado/Visitante Se establece el origen del evento y se escala a la Compañía de Seguridad autoridad interna competente El Líder de Administración y Seguridad Física informa de la situación al Grupo de Reacción a Eventos de Emergencias. A partir del evento Líder Administración y ocurrido, se realiza una evaluación del impacto Seguridad física por el personal competente sobre la infraestructura afectada Conforme al resultado del impacto del evento, la evaluación del personal afectado, así como el horario y actividades críticas para el negocio se opta por: • Esperar la solución del evento y no desplazarse al Centro Alterno de Operaciones. • Suspender todas las actividades por un tiempo Comité Ejecutivo prudente y con ello se debe definir la fecha y el lugar para convocar y reanudar actividades en el centro alterno de operaciones, una vez se desplace se consideran las prioridades de los procesos que tenga actividades que establezcan condiciones especiales para un tiempo de respuesta determinado. A partir de la decisión de la activación del plan, el Comité Ejecutivo le informa al Grupo de Reacción de Emergencias la fecha y el lugar para Comité Ejecutivo convocar y reanudar actividades en el centro alterno de operaciones. El Líder de Administración y Seguridad Fisca convoca al personal respectivo, cuyos integrantes se desplazarán al sitio designado para su alistamiento y revisan la adecuación física del centro alterno de operación, hace preparativos básicos iniciales en cuanto a limpieza, Líder Administración y acomodación y adecuación, considerando la fecha Seguridad física y la hora en la que se presume que llegará el personal convocado. Esta actividad incluye la identificación de recursos faltantes para rápidamente ser solicitados a proveedores previamente identificados.
Tiempo Previsto 15 Minutos 15 Minutos
15 Minutos
15 Minutos
15 Minutos
1 Hora
46
7
8
9
10
11
12
El Gerente de Sistema anuncia al Grupo de Soporte de Sistemas que el centro alterno de operación ha sido habilitado y el personal ha sido convocado para que realicen la verificación de la funcionalidad de todos los recursos técnicos necesarios previstos en el lugar (Conectividad de red, telefónica, acceso a internet, entre otros), y el equipo de soporte se desplace al centro alterno. El Gerente de Sistemas solicita al Grupo de Soporte de Sistemas el alistamiento de los equipos de cómputo de usuarios final con las condiciones técnicas solicitadas que se requerirán en el centro alterno de operación. La Directora de Gestión Humana o su designado anuncia a los líderes de los procesos críticos que se encuentran en el anexo 2. Recursos Mínimos Necesarios Al mismo tiempo comunica la necesidad de que estos informen al total de los funcionarios las actividades a realizar en el corto plazo, es decir, para aquellos que son críticos el desplazamiento al sitio alterno, la designación de actividades logísticas o la suspensión de toda actividad hasta nueva orden. El líder de comunicación con medios se encarga de realizar la notificación o anuncios a los empleadnos, proveedores y clientes de acuerdo de acuerdo a los anexos 7.6.4 Anexos Comunicaciones Cada uno de los líderes de los procesos críticos o su designado establece la prioridad y la relevancia de las actividades a realizar conforme a la coyuntura de tiempo que se va dando de acuerdo a los compromisos o requerimientos propios del área o del negocio. Esto le permitirá ir definiendo el personal que debe responder a medida que pasa el tiempo convocando en el sitio alterno de operación e identificando recursos y registros vitales. Ver Anexo 01. Distribución de Personal A medida que cada líder identifica las actividades prioritarias los funcionarios de la compañía acuden y acceden al centro alterno de operación.
Gerente de Sistemas Grupo de Soporte de Tecnología
1 Hora
Gerente de Sistemas Grupo de Soporte de Tecnología
1 Hora
Directora de Gestión 1 Hora Humana
El líder comunicación medios
de con 1 Hora
Líderes de los Procesos
Líderes de los Procesos
47
Cada proceso crítico iniciara actividades dando prioridad aquellas que tienen mayor relevancia de acuerdo a la prestación de servicios, compromisos Líderes de los Procesos con entes externos, compromisos financieros, y generación de información y/o reporte.
13
Muestra 10. Procedimiento Respuesta (Fuente ITS)
8.3.2 Procedimiento ITS El procedimiento descrito a continuación define la secuencia general de actividades que se realizarán por parte de ITS en el momento en el que el Plan de Continuidad de Operaciones (COOP) sea activado. La tabla lista actividad por actividad definiendo el responsable y el tiempo previsto para su ejecución. El tiempo previsto es una estimación que puede variar en un evento real conforme las características propias resultado de la evolución del suceso. Para la ejecución del procedimiento se debe tener previamente los siguientes prerrequisitos:
Lista de distribución de teléfono
Lista de distribución de computadores
Computadores de contingencia pre configurados con las impresoras de Bogotá-calle 76 y con los aplicativos que va operar cada usuario.
48
Procedimiento:
Código Actividad 1
2
3
4
5
6
Responsable
Reasignar los teléfonos que están en los puestos de trabajo Soporte de la oficina de Bogotá-calle 76 y colocarlos en las salas calle 76 designadas para la operación en contingencia. Los computadores destinados para contingencia están en Soporte la Bodega de Bogotá-calle 76 y las llaves están en custodia calle 76 en la recepción de dicha oficina. Distribuir los computadores destinados para contingencia Soporte en los puestos de trabajo designado con su respectivo calle 76 punto de red conectado. Verificar la conectividad entre los equipos distribuidos en los puestos de trabajo y los servidores de aplicación a Soporte través de comando ping con una cuenta de usuario de Help calle 76 Desk. Notificar al Gerente de Sistemas que esta adecuado el Soporte COOP para recibir a los usuarios y que estos puedan calle 76 operar. El gerente de sistemas notifica al resto del Grupo táctico Gerente que esta adecuado el COOP para recibir a los usuarios y sistemas que estos puedan operar. Muestra 11. Procedimiento ITS (Fuente KPMG)
ITS
Tiempo Previsto en
ITS
en
ITS
en
ITS
en
ITS
en
de
49
8.4 Anexos COOP
8.4.1 Anexo 1- Distribución de Personal
Muestra 12. Mapa de Centro Alterno de Operaciones (Fuente KPMG)
50
8.4.2 Anexo 2- Recursos mínimos necesarios Área
Proceso
Personal Funcionario Mínimo
Oficial de Oficial de 1 Seguridad Seguridad
NITSO
PC con conexión aplicativos de negocio
Puesto básico de trabajo
Teléfono Fijo
ITS Teléfono BCP Celular SALAS
1
1
1
1
Pool De Procesami ento De Datos
Pool De Procesami 14 ento De Datos
Toda el Área en temporada 14 alta
14
3
4
SALA 1 16 Personas
Audit
Audit 1 Financiero
Secretaria
1
1
1
1
SALA 1 16 Personas
Comunicacio nes
1
1
1
0
SALA 1 16 Personas
1 1 1
1 1 1
1 0 1
1 1 1
1
1
1
0
Comunica Ventas y ciones con 1 Mercadeo Medios ITA 1 Advisory
AAS
2
Forencic
2
Secretaria Socio Asistente ejecutiva Secretaria
SALA 2 10 Personas
ITS - BCP DISTRIBUCI ON
Total Personas 14 Mesas contra Pared Costado Oriente: 4 Costado Sur: 5 Costado Occidente:5 Total Personas 1 Mesas contra Pared Costado Norte: 1 Total Personas 1 Mesas contra Pared Costado Norte: 1 Total Personas: 6 Mesa de Centro(actual)
ITS BCP ITS - BCP TELEFONOS PC' S
Impresora
Fax
1
0
2 1613 1611
6
2
0
1 1614
1
1
0
1 1606
1
1
0
3
0 0 0
0 0 0
0
0
2 1608 1626
Área
Personal
Proceso
Mínimo
Transanction & 1 Restructuring
Tax & Legal
Gestión de Admini stración y Financi era
Tax & Legal
4
Cumplimiento obligaciones tributarias 3 Disponibilidad del Dinero
Funcionario
PC CON conexión aplicativos de negocio
Puesto básico de trabajo
Teléfono Fijo
Teléfono Celular
Línea Ética
1
1
1
1
Director
1
1
1
1
Socio Tax Secretarias
1 2
1 2
1 2
1 2
Persona para solicitar sentinel
1
1
0
1
Directora Financiera Y Administrativa Gerente Senior Departamento Contabilidad Gerente Administrativa
3
3
Jefe de personal 1
1
ITS BCP SALA S
ITS - BCP DISTRIBUCI ON
ITS - BCP TELEFON OS
ITS - BCP PC' S
Costado Norte: 0 Costado Oriente: 1 Costado Sur:5
51 Impresora
Fax
0
0
1
0
SALA 2 10 Personas
Total Personas: 4 Mesa de Centro (actual) Costado Norte: 4 Costado Oriente: 0 Costado Sur: 0
2 1605 1609
3
1
1
Total Personas: 3 Mesa de Centro (actual) Costado Norte: 3
1 1616
1
0
0
1 1625
1
1
0
2 1602 1615
3
1
0
1
1
SALA 3 6 Personas
1
1
SALA 3 6 Personas
Total Personas: 3 Mesa de Centro (actual) Costado Sur: 3
SALA 4 4 Personas
Total Personas: 4 Mesa de Centro (actual)
Reclutamiento y Selección Gestión Contratación y de Nomina RRHH
3
Seguridad y Salud en el trabajo Encargado recuperación Gestión de TECNO LOGIA
Senior personal 1
1
Asistente de administración de personal
1
de
Contratación
CIO 3
Encargado de Recuperación
1
52
Área
Proceso
Salud Ocupacional Nomina TOTAL DE RECURSOS REQUIDOS EN CONTINGENCIA
Personal
Mínimo
Funcionario
PC CON conexión aplicativos de negocio
Puesto básico de trabajo
Teléfono Fijo
Teléfono Celular
ITS BCP SALAS
ITS - BCP DISTRIBUCI ON
ITS ITS - BCP BCP TELEFONOS PC' S
Impresora
Fax
1
0
Costado Norte: 2 Costado Sur: 2
HelpDesk1 HelpDesk2 36
33
33
16
17
4 SALAS
36 PERSONAS
0
19
Muestra 13. Recursos mínimos necesarios (Fuente KPMG) (*) Se especifica esta cantidad en total requerida por los procesos, sin embargo en el centro alterno de operaciones (CAO) estos recursos son compartidos.
53
8.4.3 Anexo 3. Lista General de Contactos Internos Rol Líder de Administración y Seguridad Física Directora de Gestión Humana Directora Financiera y Administrativa
P:Principal Nombre A: Alterno Yolanda P Gómez Diana A Mogollón P Mónica Haupt A Mirialba Toro P Myriam Fonseca A Yolanda Gómez P Alain Almeida
ITLP: Information Technology Liaison Partner A
Jairo Jerez
P
Jairo Jerez
A
Miguel Ortiz
Gerente de Sistemas
Líder de la Brigada P de Emergencias A
Ext – Teléfono
Celular
1212 - 1248
3188430082 [email protected]
1248
3164730981 [email protected]
1386 1259 1236 - 1397
3153380540 [email protected] 3153380360 [email protected] 3158739327 [email protected]
1212 - 1248
3188430082 [email protected]
Correo
4111 - 4142 [email protected] 1230 3163358955 1398 [email protected] 3163049366 1398 [email protected] 3163049366 1398 [email protected] 3185698732 1390 [email protected]
Carolina Bahamon Zivanna 1447 - 1130 [email protected] Navarro Muestra 14. Lista General de Contactos Internos (Fuente KPMG)
54
9. Análisis de impacto BIA Para el diseño y la documentación del presente Plan de Recuperación de Desastres (DRP) se tuvo en cuenta el Informe de Análisis de Impacto (BIA) realizado en Diciembre de 2013, así como las sesiones de trabajo realizadas con los responsables del Plan de Continuidad del Negocio y el equipo de ITS, entre otros. Conforme lo establece el informe, el análisis de impacto al negocio (BIA) tuvo como objetivo la identificación de los elementos (información) relevante que permita el diseño de las estrategias de continuidad acordes a la medida de la Firma, sus principales resultados fueron considerados y aprobados por el comité de presidencia y a continuación se incluye una breve reseña de los insumos más relevantes para el Plan de Recuperación. 9.1 Recovery Time Objective (RTO) Como conclusión del Análisis de Impacto al Negocio realizado, se establece que el centro de cómputo alterno (CCA) y el Centro de Operaciones (COOP) deben ser activados en un tiempo de 6 horas.
55
La siguiente tabla muestra el orden de recuperación de los aplicativos que requieren operar desde el CCA y que estén disponibles para el usuario en el COOP, con sus respectivos tiempos de recuperación. Aplicación
eAudIT
Área / Proceso Crítico Gestión de Administración y Financiera Audit
Kactus
Gestión de RRHH
Seven
RTO 6H
1 Día (24H)
File Server (Carpetas Todas las áreas de KPMG de red) Muestra 15: Orden de recuperación aplicativos (Fuente KPMG)
56
Los aplicativos globales los cuales se acceden por KNET son requeridos por varias áreas como lo muestra la siguiente tabla: Aplicación
Correo Electrónico
Área / Proceso Critico Gestión de Administración y Financiera Gestión de RRHH (1 día)
RTO
Advisory (1 día)
1 Día (24H)
Sentinel CEAC
CRM QBUS
1 Día (24H) 2 Días (48H)
Tax & Legal
Interpreter GCC
6H
2 Días (48H) 2 Días (48H)
Advisory – BPS Gestión de Mercadeo y Comunicaciones Oficial de Seguridad
2 Días (48H) 1 Semana o más 1 Semana o más
Administración de Calidad y 1 Semana o más Riesgos Quick Scan 1 Semana o más Advisory – AAS People Meetis 1 Semana o más Muestra 16. Aplicativos globales usados en la Firma (Fuente KPMG) KICS
Según la tabla anterior la conexión con Global a través de KNET se necesita con conectividad desde el CCA y prestando servicio a los usuarios desde el COOP en 6 horas, máximo en un día. Internet lo requieren la mayoría de los procesos para conexión con aplicativos de proveedores, acceso a cuentas bancaria y como fuente de Knowledge. La siguiente tabla muestra las áreas que requieren Internet en su operación en contingencia.
57
Servicio de Área / Proceso INTERNET Gestión de Administración y Portales Bancarios Financiera Sigma y Performe Gestión de RRHH El Empleo
RTO
SPAMS
Advisory - BPS
2 Días (48H)
Data Rooms
Advisory - Transanction & Restructuring
2 Días (48H)
Últimas tendencias
Advisory - Climate Change & Sustainability
6H 1 Día (24H) 1 Día (24H)
1 Semana o más
Estudios en rede 1 Semana o más sociales Muestra 17. Servicio de Internet (Fuente KPMG) Según la tabla estas áreas necesitan el recurso de Internet para la operación de sus procesos, por lo tanto se necesita el servicio de Internet operando desde el CCA y prestando servicio a los usuarios desde el COOP en un tiempo de 6 horas. 9.2 Recovery Point Objective (RPO) Como conclusión del Análisis de Impacto al Negocio realizado, el respaldo de la información que se genera en operación normal (producción) debe ser respaldada en el CCA cada 4 horas como en el caso de eAudIT y el resto de aplicaciones críticas pedidas por el negocio debe tener respaldo de información de 1 día, tal como lo muestra la siguiente tabla:
58
Aplicación
Área / Proceso
RPO
eAudIT
Audit
4H
SEVEN
Gestión de Administración y Financiera
6H
Kactus
Gestión de RRHH
1 Día (24H)
File Server Todas las áreas de KPMG 1 Día (24H) (Carpetas de red) Muestra 18. Orden de prioridad en respaldo de información (Fuente KPMG) 9.3 Roles y Responsabilidades Los grupos de trabajo están conformados por funcionarios especializados que realizarán actividades en común durante la puesta en marcha del plan. Los roles aquí descritos tendrán una interacción conforme se describe en el Plan de Continuidad en el Capítulo 7.4 Estructura Jerárquica de los Grupos de Respuesta, Roles y Responsabilidades. A continuación se presentan los grupos de trabajo planteados para el presente plan:
9.3.1 ITLP: Information Technology Liaison Partner Es el Líder del Plan de Recuperación Tecnológica – DRP, será responsable de los procedimientos de diagnóstico y recuperación desarrollados para los sistemas de información de la Firma. Tendrá el rol de decidir cuándo un evento amerita activar los procedimientos del Plan de Recuperación Tecnológica (DRP) y supervisar las actividades de avance del mismo para reportar al comité ejecutivo en caso de que este se conforme.
9.3.2 Gerente de Sistemas Es el encargado de gestionar y dirigir los procesos, actividades del Grupo de Recuperación Tecnología con el objetivo de asegurar una adecuada activación del CCA, su operación en contingencia y del retorno a la normalidad.
59
9.3.3 Grupo de Recuperación Tecnológica Grupo conformado por especialistas técnicos. Su principal función está dada por diagnosticar y establecer el origen inicial de una falla. Eventualmente este grupo escalará el evento cuando no obtenga solución del mismo. Este grupo está conformado por: 9.3.3.1 Help Desk
Grupo conformado por especialistas técnicos encargados de atender los requerimientos de los usuarios finales. Su principal función está dada por diagnosticar y establecer el origen inicial de una falla. Eventualmente este grupo escalará el evento cuando no obtenga solución del mismo. 9.3.3.2 Equipo Especialistas de Aplicaciones e Infraestructura
Los administradores de los aplicativos de la Firma son los encargados de administrar los requerimientos propios de las aplicaciones, de establecer y mantener su parametrización para que los procesos de negocio obtengan beneficio de la herramienta. En un evento de interrupción tendrá la responsabilidad de realizar un diagnóstico técnico sobre la aplicación y escalar a un tercer nivel en caso de que no obtenga solución. Los administradores de los elementos de la infraestructura, son los encargados de dar soporte técnico a toda la plataforma en sus diferentes niveles de comunicación y procesamiento. El líder del tercer nivel tendrá contacto con proveedores y fabricantes para que a través de contratos de mantenimiento y soporte pueda escalar y obtener soluciones fuera de su alcance. Este equipo tendrá las siguientes responsabilidades antes, durante y después de una contingencia:
Validar el resultado del proceso de replicación de información entre el Centro de Cómputo Principal y el Centro de Cómputo Alterno.
60
Verificar con los usuarios finales la disponibilidad y la integridad de los datos del sistema de información.
Brindar soporte al aplicativo incluyendo sus siguientes componentes: sistema operativo, bases de datos, almacenamiento, entre otros.
Verificar la instalación del Hardware requerido por la aplicación en el Centro de Cómputo Alterno, en caso de que esto sea necesario.
Monitorear las variables de desempeño de la infraestructura de cómputo del Centro de Cómputo Principal y Alterno.
Asegurar la disponibilidad de los medios de respaldo requeridos en el Centro de Cómputo Alterno.
Coordinar la disponibilidad de recursos adicionales de infraestructura de cómputo con proveedores de servicio previamente identificados.
Monitorear las condiciones ambientales de trabajo al interior de los Centro de Cómputo Principal y Alterno.
Brindar soporte a la infraestructura de cómputo de los Centro de Cómputo Principal y Alterno.
Establecer y supervisar las medidas de seguridad de orden físico y lógico en la solución de los Centro de Cómputo Principal y Alterno, incluyendo los sistemas de cómputo, las aplicaciones y la adecuación física de estas localidades.
Desarrollar las actividades de recuperación de los componentes de seguridad perimetral dispersos en la topología de la estrategia del Plan de Continuidad de TI.
Coordinar las medidas de acceso de los Centro de Cómputo Principal y Alterno.
61
Garantizar la disponibilidad y operación efectiva de los elementos de la red de telecomunicaciones dispersos en la topología de la estrategia del Plan de Continuidad de TI.
Monitorear y gestionar los enlaces de comunicación y con ello garantizar su óptimo desempeño.
Coordinar con los proveedores de servicio que brinden equipos y/o enlaces de comunicaciones para las actividades de soporte que puedan llegar a ser requeridas.
Brindar soporte a la infraestructura de telecomunicaciones de los Centro de Cómputo Principal y Alterno, así como al Centro Alterno de Operación (COOP) de Bogotá Calle 76.
9.3.3.3 Proveedores
Son proveedores de hardware y software de ITS. Estos son requeridos por el equipo de especialistas de aplicaciones e infraestructura, en caso de requerir un apoyo. 9.4 Línea de Sucesión La línea de sucesión identifica los responsables asignados a los diferentes roles del DRP y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este plan. La línea de sucesión se describe a continuación por equipos y roles:
62
Rol
Principal
Alterno
ITLP
Alain Almeida
Jairo Jerez
Gerente de Sistemas
Jairo Jerez
Diego Pinillos
Equipo Infraestructura
Carlos A. Miguel Ortiz
Equipo Aplicaciones
Nancy Rodríguez
Iván Torres
Help Desk
Diego Pinillos
Dany Urrego
Chávez
Daniel E. Ibarra
Muestra 19. Línea de Sucesión (Fuente KPMG) 10. Activación de Recuperación de Tecnológica
Cod. Actividad
1
2
3
4
Detección del evento. El usuario final identifica una falla de cualquier índole en los sistemas críticos de la Firma y se la comunica con el Help Desk. Diagnóstico de Primer Nivel. Tras la detección del evento, el equipo de primer nivel realiza un diagnóstico para identificar la causa del mismo. En caso que este equipo de trabajo pueda solucionar el evento identificado, debe gestionarlo y resolverlo. Diagnóstico de Segundo Nivel (Equipo de especialistas de aplicaciones e Infraestructura). En caso que el equipo de primer nivel no logre resolver el evento identificado, el equipo de especialistas realiza un diagnóstico para identificar la causa del mismo y en caso que lo pueda resolver debe gestionarlo y resolverlo. Diagnóstico de Segundo Nivel (Proveedores). Si el equipo de especialistas no resuelve el evento, es necesario realizar un diagnóstico, si este lo logran resolver deben gestionarlo y resolverlo.
Responsable
Tiempo Previsto
Usuario Final
5 min
Help Desk
5 min
Equipo de especialistas de aplicaciones e infraestructura
10 min
Proveedores
15 min
63 Se requiere activar el Plan Recuperación Tecnológica?. De acuerdo con los diagnósticos realizados anteriormente, el gerente de sistemas junto con el ITLP debe analizar la situación y decidir si el evento amerita sugerir al Comité Ejecutivo la activación del plan de Recuperación Tecnológica. Para la toma de la decisión remítase al “Capítulo 9.10 Criterios de Activación” de este documento. Activar el Plan de Recuperación Tecnológica. El ITLP se debe encargar de comunicar al Grupo de Recuperación Tecnología la activación del Plan de Recuperación Tecnológica. Desarrollar los Procedimientos de activación del Plan. Se deben ejecutar las actividades para habilitar y entregar el servicio desde el Data Center Alterno. Para mayor detalle remítase al “Capítulo 9.11 Guiones de recuperación (Procedimientos de activación)”
Gerente de Sistemas e ITLP
10 min
ITLP
15 min
Equipo de especialistas de aplicaciones e infraestructura
6 Horas
8
Reanudar los Servicios de Tecnología. Para retomar el servicio desde el Data Center principal se deben realizar las actividades correspondientes. Para mayor detalle remítase al “Capítulo 9.12 Retorno a la normalidad”
Equipo de especialistas de aplicaciones e infraestructura
S/I
9
Gestión de Incidentes y/o Solución de Problemas. El Equipo especialistas de escalamiento debe realizar las actividades técnicas en cuanto a la gestión de incidentes y/o solución de problemas para corregir la falla que originó el evento identificado.
Equipo de especialistas de aplicaciones e infraestructura
1h
10
Se obtuvo solución? Si se solucionó el evento identificado, se procede a dar cierre al mismo. Si no se obtuvo solución es necesario que el equipo de especialistas vuelva a realizar un diagnóstico.
Equipo de especialistas de aplicaciones e infraestructura
5 min
5
6
7
Muestra 20. Procedimiento de Activación de Recuperación de Tecnológica (Fuente KPMG)
64
11. Criterios de Activación Los criterios de activación de cada uno de los planes son una herramienta útil para la toma “oportuna” decisiones en un evento real. El planteamiento aquí definido puede tomarse como base para activar uno u otro plan según sea el caso, pero se debe tener presente que los criterios aquí descritos son un punto de partida o una referencia inicial que puede ser completada o reevaluada por los resultados de las actividades de prueba o por las condiciones propias del hecho. Impacto
Duración
Decisión
Responsable
Interrupción de todos los El tiempo de solución Notificar al Comité servicios críticos de Tecnología del evento es incierto, Ejecutivo y sugerir activar de Información: o se estima que durará el Plan de Recuperación más de 6 horas. Tecnológica (DRP). • SEVEN ITLP • eAudIT Se estima que el • Kactus tiempo de solución Realizar procedimientos de • KNET (Correo del evento no es gestión de incidentes y/o Electronico) superior a las 6 horas. solución de problemas. • Internet Muestra 21. Criterios de Activación (Fuente KPMG) 11.1 Activación del Plan de Recuperación (DRP) A continuación se detallará la secuencia de actividades para cada uno de los procedimientos indicados en la gráfica anterior. Las tablas de los procedimientos listan actividad por actividad definiendo el responsable, el tiempo previsto para su ejecución, y el recurso requerido para ejecutarla. El tiempo previsto es una estimación que puede variar en un evento real conforme las características propias resultado de la evolución del suceso.
65
11.2 Procedimiento “Validar Conectividad Sedes KPMG desde CALLE 76 - CLO” Este procedimiento describe las actividades secuenciales que se deben realizar para establecer la conectividad de los administradores de las plataformas en Bogotá-calle 76 (COOP) y Cali. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Lista de Contactos de Proveedores (Instructivos) 2. Puestos de trabajo: a) Calle 76: Sala de reuniones 1, punto de Red 43 (azul) b) Cali: Oficina Daniel Ibarra, punto de red 12 (azul) 3. Equipos: a) Calle 76: Equipo de Bodega numerado como 99 con (VsPhere Client, Putty, Enterprise Manager Client) b) Cali: Equipo asignado a Daniel Ibarra con (VsPhere Client, Putty, Enterprise Manager Client) 4. Reserva de interfaces: a) Calle 76: De Patch Panel 1 puerto 15 conectar Switch 2 Puerto 30 (Puesto de trabajo) b) Cali: De Patch Panel 1 puerto 12 conectar a Switch 1 Puerto 30 (Puesto de trabajo) 5. Conector de consola hacia el switch. 6. Instructivo o guía básica para switch core. (Instructivos) 7. Contar con la token RSA 8. Putty Instalado en los Equipos de Recuperación. 9. Acceso a centro de cómputo para el equipo de recuperación de infraestructura
66
No. Act Descripción de la Actividad
1
2
3
4
5
Conectar las interfaces reservadas en los Switches del CC a los puertos del Patch Panel de los puestos de trabajo. (Actividad que se realiza en el CC calle76 y/o Cali) Administrador y Pc de recuperación en los puestos de trabajo de calle 76 – Sede Cali. (Ver plano de Localización - Instructivos)
Responsable
Tiempo previsto
Recursos requeridos ubicación
y
Equipo de recuperación Infraestructura Equipo de Desplazamient Calle 76 recuperación o de calle 90 a Disponibilidad Infraestructura calle 36 de puertos (3)
Validar direccionamiento IP en las máquinas que estén dentro del siguiente rango de red mediante comando Equipo de “ipconfig”: recuperación 5 minutos Infraestructura 10.193.240.24/29 – Sede Calle76. 10.193.193.32/27 - Sede Cali. Validar conectividad a cada uno de los Equipo de recuperación 5 minutos switch core de las ciudades: Infraestructura Mediante ping desde equipo y/o Switch Core. Calle 76: 10.193.240.17 Cali: 10.193.193.1 Medellín: 10.193.161.1 Barranquilla: 10.193.224.81 Cali CCA: 10.193.193.5 Validar DNS (ping, tracert) A través de un comando ping y traza a las direcciónes: - Equipo de *codrsdc12.co.kworld.kpmg.com recuperación 5 minutos *10.196.2.160 Infraestructura (Desde PC’s de operadores en Cali o Calle 76)
Computador Adaptador de energía. Cable de red
Putty Cmd
67
6
Validar Resolución de Nombres A través de un comando “nslookup” y haciendo consulta a: Equipo de Codrsgc12 recuperación 5 minutos 10.193.220.45 Infraestructura (Desde PC’s de operadores en Cali o Calle 76)
7
Validar acceso y funcionamiento de RSA de Cali: Acceso: Mediante ping al servidor Equipo de codrsapp53.co.kworld,kpmg.com recuperación 5 minutos Funcionamiento: Acceder a la dirección Infraestructura https://codrsapp53.co.kworld.kpmg.com:7 0 04/IMS-AA-IDP/InitialLogonDispatch.do
Documento: Guía básica de validaciones
8
Equipo de Validar con el comando PING servicio NPS recuperación 5 minutos al servidor CODRSSRV32. Infraestructura
Consola NPS de Windows.
Muestra 22. Procedimiento “Validar Conectividad Sedes KPMG desde CALLE 76 CLO” (Fuente KPMG) 11.3 Procedimiento “Validar Servicios KNET y Servicios Globales” Este procedimiento describe las actividades secuenciales que se deben realizar para alistar los Servicios de KNET y los Servicios Globales. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Equipos de Orange disponibles en el CCA 2. Contrato
de
soporte
con
Level
correo:[email protected]) 3. Manos remotas en cada una de las sedes
3
vigente
(Contacto
tel:
6391200
68
4. Haber ejecutado el procedimiento (Validar Conectividad Sedes KPMG desde CALLE 76 – CLO) 5. Usuario y contraseña para el ingreso a los switches
No. Act
1
2
3
4
Tiemp o Descripción de la Actividad Responsable Recursos requeridos y ubicación previst o Putty Ingresar al switch Core de Cali Documento: (10.193.193.1) Columbia_Bogota_Cali Desde Cali o desde Calle 76 mediante MCS setup V0 3 putty SSH Ubicación: Impreso en archivos de 15 Encargado de calle 76 y calle 90 minuto Validar protocolo EBGP en el switch Recuperación (Instructivos) s core de Cali (10.193.193.1) Documento: Guía básica de Según documento BasicNetworking troubleshooting el comando es: show ip bgp admin Ubicación: Impreso en archivos de status=enabled calle 76 y calle 90 Estando en el switch core de Cali, validar conectividad a KNET, a través de un comando ping y traza a la dirección 10.196.2.160 (desde Cali o desde Calle 76) Ingresar al switch de Calle 76, Medellín y Barranquilla y validar conectividad a servicios de KNET, a través de un comando ping y traza a la dirección 10.196.2.160 (desde Cali o desde Calle 76). Validar acceso a la página KWorld (http://portal.kworld.kpmg.com/Pages/H om e.aspx) (Desde PC’s de operadores en Cali o Calle 76)
15 Encargado de minuto Putty Recuperación s
15 Encargado de minuto Putty Recuperación s
5 Encargado de minuto Recuperación s
69
5
6
7
Validar funcionamiento del Correo – Hacer auto-envío de un correo para validar envió y recepción de correos 5 dentro de correos de la firma. (Desde Encargado de minuto Recuperación PC’s de operadores en Cali o Calle 76) s
Validar envió y recepción de correos a 5 Encargado de SMTP externo. (Desde PC’s de Minuto Recuperación operadores en Cali o Calle 76) s Validar acceso a TPAM – Acceder a la siguiente URL: https://tpam1.kworld.kpmg.com/commo n/L 5 Documento: Guía básica de ogin.asp?REFR=https%3A//tpam1.kwor Encargado de Minuto validaciones Recuperación ld. kpmg.com/tpam/main.asp%3F s y realizar solicitud de recuperación de password del administrador. (Desde PC’s de operadores en Cali o Calle 76)
70
Muestra 23. Procedimiento “Validar Servicios KNET y Servicios Globales” (Fuente KPMG) 11.4 Procedimiento “Validar Conectividad Internet Cali” Este procedimiento describe las actividades secuenciales que se deben realizar para Validar la conectividad del Internet en Cali. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Cumplimiento de las actividades anteriores. Procedimientos: a) Validar Conectividad Sedes KPMG desde CALLE 76 – CLO b) Validar Servicios KNET y Servicios Globales 2. Acceso al Host y al TMG No. Act
Descripción de la Actividad
Responsable
Tiempo previsto
Recursos requeridos y ubicación
1
Validar conectividad con el host DMZ(colocar el nombre del servidor) en el sitio alterno en Cali. Mediante ping a la dirección IP: 10.193.214.239 (Desde PC’s de operadores en Cali o Calle 76)
Equipo de recuperación 5 minutos Cmd infraestructur a
Validar conectividad con el servidor TMG proxy del sitio alterno. 2
Mediante ping a la dirección IP: IP: 10.193.221.226 (Desde PC’s de operadores en Cali o Calle 76)
Equipo de recuperación 5 minutos Cmd infraestructur a
71
Validar conectividad con el firewall perimetral CISCO ASA.
3
4
5
Equipo de Mediante ingreso desde el navegador a: recuperación https://10.193.223.18:8443 5 minutos Cmd infraestructur a (Desde PC’s de operadores en Cali o Calle 76) Validar disponibilidad del dominio kpmgproxy.com Mediante el Internet Explorer acceder a la dirección: http://kpmgproxy.com/kpmgproxy.pa c y descargar en el desktop el archivo solicitado (cambiar manualmente el alias del kpmgproxy.com) Paso a paso del archivo .pac (Desde PC’s de operadores en Cali o Calle 76) Validar acceso a página en Internet Mediante el Internet Explorer ingresar http://www.google.com http://www.bancolombia.com http://www.colpatria.com
5 minutos
Instructivo - cambiar .pac
5 minutos
(Desde PC’s de operadores en Cali o Calle 76) Validar envió y recepción de correos externo
6
Acceder a un correo externo (google o yahoo o hotmail) y enviar correo hacia y desde la cuenta de KPMG
5 minutos
(Desde PC’s de operadores en Cali o Calle 76) Muestra 24. Procedimiento “Validar Conectividad Internet Cali” (Fuente KPMG)
72
11.5 Procedimiento “Verificación componentes en Sitio Alterno” Este procedimiento describe las actividades secuenciales que se deben realizar para verificar los componentes en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1.
Haber ejecutado el procedimiento “Validar Conectividad Internet Cali”
2.
Instalación en los equipos Vsphere Client – Entreprise Manager – Putty.
3.
Documento de diseño del CCA impreso en el archivo de calle 76 y calle 90
4.
Línea Base de la solución del CCA impreso en el archivo de calle 76 y calle 90
73
No.
Descripción
Act
Actividad
de
la
Tiempo
Recursos
previsto
ubicación
requeridos
y
Responsable
1
2
3
4
5
6
7
8
Validar conectividad con Equipo de switch del CCA, realizando recuperación 5 minutos ping a la IP 10.193.193.5 infraestructura Validar conectividad con el Equipo de switch de fibra realizando el recuperación 5 minutos ping a la IP 10.193.220.4 infraestructura Validar conectividad con los host-Vcenter, Equipo de realizando ping a las IP’s recuperación 5 minutos Host 1: 10.193.220.10 infraestructura Host 2: 10.193.220.11 Vcenter: 10.193.220.12 Acceder al Vcenter, ingresando al Vpshere se Equipo de direcciona a la IP recuperación 5 minutos 10.193.220.12. infraestructura Vía Web o vSphere Client.
Cmd
Cmd
Cmd
Vpshere Client Documento: Línea Base de la solución del CCA Ubicación: impreso en el archivo de calle 76 y calle 90
Validar conectividad con la Equipo de Putty SAN del CCA, ping a la IP recuperación 5 minutos cmd 10.193.220.20 infraestructura Acceder a la SAN del CCA, vía Web a la IP Documento: Línea Base de 10.193.220.20 y validar el Equipo de la solución del CCA estado de los volúmenes y recuperación 10 minutos Ubicación: impreso en el mapping de los mismos. infraestructura archivo de calle 76 y calle 90 Vincular actividades con el instructivo. Validar conectividad mediante ping a los servidores de Enterprise Equipo de Putty Manager CODRPSRV06 recuperación 10 minutos cmd (10.193.220.42) y base de infraestructura datos CODRPDB01 (10.193.220.70). Cliente Enterprise manager Acceder al Enterprise Equipo de Documento: Línea Base de Manager para validar la recuperación 15 minutos la solución del CCA replicación de los infraestructura volúmenes.
74
Ubicación: impreso en el archivo de calle 76 y calle 90
9
10
11
12
13
Equipo de Vpshere Client Acceder al Vcenter y al recuperación 15 minutos Línea Base de la solución del plugin de SRM. CCA infraestructura Ubicación: impreso en el archivo de calle 76 y calle 90 Validar el correcto Equipo de funcionamiento de los recuperación 15 minutos Vpshere Client recovery Plan. infraestructura Validar conectividad y servicios del Dominio del CCA: Nombre Servidor: CODRSDC12 Equipo de IP: 10.193.220.35 recuperación 15 minutos Acceso por RDP Nombre Servidor: infraestructura CODRSGC12 IP: 10.193.220.45 Servicios: DNS Wins Equipo de Validar Winmagic recuperación infraestructura Ejecutar opción LiveUpdate Validar servicio de antivirus del antivirus para descarga y Administrador 30 minutos CODRSSRV13. actualización de las definiciones de virus. Muestra 25. Procedimiento “Verificar los componentes en Sitio Alterno” (Fuente KPMG)
75
11.6 Procedimiento “Recuperar Servicio de Seven” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de Seven en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Componentes del CCA estén arriba: a) VCenter b) Storage c) Switch de fibra d) Switch de LAN e) SRM. f) Instructivo de recuperar servicios de SRM 2. Haber ejecutado los procedimientos anteriores No. Act 1
2
Descripción Actividad
de
la
Responsable
Tiempo previsto
Ingresar al SRM Equipo de mediante el VCenter. IP: recuperación 5 Minutos 10.193.20.12 Infraestructura Equipo de Recuperar servicio de recuperación 5 Minutos Seven mediante SRM. Infraestructura
Recursos requeridos ubicación
y
Vsphere client Instructivo de recuperar servicios de SRM
76
3
4
5
6
7
8
Entrar al VCenter y validar a nivel de Sistema Operativo que las siguientes Virtual Machine inicialicen correctamente: COBOGAPP51 IP: 10.193.220.51/28 COBOGAPP52 IP: 10.193.220.52/28 COBOGDB25 IP: 10.193.220.66/28 COBOGAPP20 IP: 10.193.220.50/28 En caso de no funcionar el punto anterior, realizar diagnostico a nivel de S.O. Validar conectividad y acceso a los siguientes servidores desde calle 76 y ciudades: COBOGAPP51 IP: 10.193.220.51/28 COBOGAPP52 IP: 10.193.220.52/28 COBOGDB25 IP: 10.193.220.66/28 COBOGAPP20 IP: 10.193.220.50/28 Inicialmente por nombre y luego por IP. En caso de no funcionar el punto anterior, Se debe ingresar a VCenter y realizar Troubleshooting a nivel de Networking. Validar el ingreso al aplicativo Seven. https:\\cobogapp51\seven Revisión de integridad de datos del aplicativo y funcionalidades.
Equipo de recuperación 5 Minutos Infraestructura
Equipo de recuperación Indefinido Infraestructura
Medios de Instalación Sistema Operativo, Seven.
Equipo de recuperación 30 Minutos Infraestructura
Vsphere client RDP CMD
Administrador Indefinido
Líder funcional del aplicativo 5 Minutos Líder funcional del aplicativo 5 Minutos
Instructivo de Troubleshooting de Networking (Instructivos Direccionamiento)
77
9
Revisión de integridad de Usuarios datos por parte del 5 Minutos funcionales usuario funcional. Muestra 26 Procedimiento “Recuperar Servicio de Seven” (Fuente KPMG) 11.7 Procedimiento “Recuperar Servicio de eAudit” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de eAudit en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Componentes del CCA estén arriba: a) VCenter b) Storage c) Switch de fibra d) Switch de LAN e) SRM. 2. Instructivo de recuperar servicios de SRM
No. Act 1
2
Descripción de la Actividad
Responsable
Tiempo previsto
Ingresar al SRM mediante el Equipo VCenter. IP: 10.193.20.12 recuperación 5 Minutos infraestructura Recuperar servicio de eAudIT Equipo mediante SRM. recuperación 5 Minutos infraestructura
Recursos requeridos y ubicación Vsphere client Instructivo de recuperar servicios de SRM
78
3
4
5
6
7
8
9 10
Entrar al VCenter y validar a nivel de Sistema Operativo que las siguientes Virtual Machine inicialicen correctamente: COBOGWEB11 IP: 10.193.220.53/28 COBOGDB11 IP: 10.193.220.67/28 COBOGSRV19 IP: 10.193.220.38/28 En caso de no funcionar el punto anterior, realizar diagnostico a nivel de S.O. Validar conectividad y acceso a los siguientes servidores desde calle 76 y ciudades: COBOGWEB11 IP: 10.193.220.53/28 COBOGDB11 IP: 10.193.220.67/28 COBOGSRV19 IP: 10.193.220.38/28 Inicialmente por nombre y luego por IP. En caso de no funcionar el punto anterior, Se debe ingresar a VCenter y realizar Troubleshooting a nivel de Networking.
Equipo recuperación 5 Minutos infraestructura
Equipo recuperación Indefinido infraestructura
Medios de Instalación Sistema Operativo y eAudIT.
Equipo Vsphere client recuperación 30 Minutos RDP infraestructura CMD
Equipo recuperación Indefinido infraestructura
Instructivo Troubleshooting Networking
Equipo Instructivo Validar servicios de SQL y eAudIT. recuperación 30 Minutos servicios eAudIT infraestructura Validar el ingreso al aplicativo Líder eAudIT. funcional del 5 Minutos cobogweb11.co.kworld.kpmg.com aplicativo Revisión de integridad de datos del Líder aplicativo y funcionalidades. funcional del 5 Minutos aplicativo Revisión de integridad de datos por Usuarios 5 Minutos parte del usuario funcional. funcionales Muestra 27 Procedimiento “Recuperar Servicio de eAudit” (Fuente KPMG)
de de
de
79
11.8 Procedimiento “Recuperar Servicio de Kactus” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de Kactus en CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1.
2.
Componentes del CCA estén arriba: a.
VCenter
b.
Storage
c.
Switch de fibra
d.
Switch de LAN
e.
SRM.
Instructivo de recuperar servicios de SRM
No. Act
Descripción Actividad
1
Ingresar al SRM mediante el VCenter. IP: 10.193.220.12
2
de
la
Responsable
Equipo Recuperación Infraestructura Recuperar servicio de Kactus Equipo COBOGAPP01) mediante Recuperación SRM. Infraestructura
3
Entrar al VCenter y validar a nivel de Sistema Operativo que las siguientes Equipo Virtual Machine inicialicen Recuperación correctamente: Infraestructura COBOGAPP01 IP: 10.193.220.54/28 COBOGDB25 IP: 10.193.220.66/28
4
En caso de no funcionar el Equipo punto anterior, realizar Recuperación diagnostico a nivel de S.O. Infraestructura
Tiempo previsto
Recursos ubicación
5 Minutos
Vsphere client
requeridos
y
Instructivo de recuperar servicios 20 Minutos de SRM
5 Minutos
Medios de Instalación Sistema Indefinido Operativo, Kactus.
80
5
6
7
8
9 10
11
Validar conectividad y acceso a los siguientes servidores desde calle 76 y ciudades: COBOGAPP51 IP: 10.193.220.51/28 Equipo COBOGAPP52 Recuperación IP: 10.193.220.52/28 Infraestructura COBOGDB25 IP: 10.193.220.66/28 COBOGAPP20 IP: 10.193.220.50/28 Inicialmente por nombre y luego por IP.
30 Minutos
Vsphere client RDP CMD
En caso de no funcionar el Instructivo de Troubleshooting punto anterior, Se debe de Equipo ingresar a VCenter y Networking (Instructivos Recuperación Indefinido Direccionamiento) realizar Infraestructura Troubleshooting a nivel de Networking. Validar servicios de Oracle, Equipo 30 Kactus, Instancia Recuperación Instructivo de servicios Kactus Minutos Coboggdb. Infraestructura Validar en servidores DNS que el PTR y host que los servidores descritos Equipo 15 Acceso al Dominio de CCA anteriormente Recuperación Minutos RDP correspondan a la IP Infraestructura también descrita anteriormente. Validar el ingreso al Líder funcional 5 Minutos del aplicativo aplicativo Kactus. Revisión de integridad de Líder funcional datos del aplicativo y del aplicativo 5 Minutos funcionalidades. Revisión de integridad de Usuarios datos por parte del usuario 5 Minutos funcionales funcional. Muestra 28. Procedimiento “Recuperar Servicio de Kactus” (Fuente KPMG)
81
11.9 Procedimiento “Recuperar Servicio de VPN Local” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de VPN Local en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Firewall perimetral activo 2. Servidor del RSA activo en sitio alterno 3. Validar Round-Robin de los host de perfiles de VPN 4. Instructivo Troubleshooting VPN Local No. Act
1
2
3
4
5
Descripción de la Actividad Responsable Validar que el host vpn3co.kpmg.com.co responda en Internet con la siguiente IP publica: 190.216.199.226 En caso de que no funciones el punto anterior, se debe escalar un ticket a Global por medio de Remedy y solicitar este servicio. Acceder al servicio de VPN local por medio de CISCO Client
Tiempo Recursos previsto ubicación
requeridos
y
Equipo Recuperación 5 Infraestructur Minutos a Equipo Recuperación 5 Infraestructur Minutos a Equipo Recuperación 5 Token Infraestructur Minutos a Instructivo Troubleshooting Equipo VPN Local Recuperación 2 Horas ASDM de Cisco ASA. Infraestructur a
Si el paso anterior no funciona, realizar Troubleshooting en el concentrado VPN sobre los perfiles locales. Acceder al servicio de VPN Equipo 5 local por medio de CISCO Recuperación Token Minutos Client
82
Infraestructur a Validar que los servicios Equipo corporativos como correo, Recuperación 5 6 Lync, eAudIT. Infraestructur Minutos a Muestra 29. Procedimiento “Recuperar Servicio de VPN Local” (Fuente KPMG) 11.10 Procedimiento “Recuperar Servicio de File Server” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de File Server en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Validar que el volumen del File Shared este replicado 100% en el storage de Cali (instructivo - File_Server) 2. Instructivo de configuración de DFS y Sharing (Construir e imprimir) 3. Instructivo de como presentar un volumen a una virtual machine o un servidor físico. No. Act
1
2
3
4
Descripción de la Actividad Responsable Ingresar al storage SC4020 mediante la Equipo Recuperación IP: 10.193.220.20 mediante el Infraestructura Navegador IE Validar volumen Equipo Recuperación COBOGFSR99_1_E y Infraestructura realizar mapping al cluster de VMWare Validar volumen Equipo Recuperación COBOGFSR99_1_E y Infraestructura realizar mapping al NAS appliance Ingresa al Servidor virtual Equipo Recuperación (CODRSFSR01) o a la NAS Infraestructura
Tiempo previsto
5 Minutos
5 Minutos
5 Minutos
5 Minutos
Recursos requeridos ubicación
y
83
Adicionar volumen COBOGFSR99_1_E al Equipo Recuperación servidor virtual Infraestructura (CODRSFSR01) o a la NAS Equipo Recuperación Validar estructuras y ACL’s. Infraestructura Aplicar Sharing para publicar Equipo Recuperación las carpetas de File Shared a Infraestructura la Firma. Equipo Recuperación Implementar DFS según el Infraestructura instructivo
5
6 7
8
15 Minutos
15 Minutos 15 Minutos
15 Minutos
Instructivo configuración DFS y Sharing Instructivo configuración DFS y Sharing
de de de de
Validar la información en File Shared por cada uno de los lideres funcionales (Audit, Líderes Funcionales 30 Minutos Advisory, TAX y administración) Muestra 30. Procedimiento “Recuperar Servicio de File Server” (Fuente KPMG)
9
12. Anexos DRP 12.1 Anexo 1. Lista General de Contactos Internos
Rol
ITLP
P: Principal Cargo A: Alterno P
ITLP (Gerente A Sistemas) P P Equipo Especialistas P de Aplicaciones e Infraestructura P A
ITLP CIO
Nombre
Alain Almeida
Jairo Jerez Administrador Miguel redes Ortiz Administrador Carlos Servidores Chavez Administrador Daniel Servidores Ibarra Cali Líder de Nancy aplicaciones Rodríguez Líder de Iván aplicaciones Torres
Ext – Teléfono
4111 4142 1230 1398
-
Celular
3163358955
Correo
[email protected] [email protected]
3163049366 1392
[email protected] 3185698732
1234 2233
[email protected] 3176563200 [email protected]
1295 1288
3178933375 [email protected] [email protected] 3178933431
84
P
Help Desk
Líder Soporte Diego 1315 [email protected] Pinillos 3153960056 A Líder Soporte Dany [email protected] Urrego 1925 3152116535 Muestra 31. Lista General de Contactos Internos (Fuente KPMG)
12.2 Anexo 2. Lista General de Contactos Externos Compañía:
DELL
Dirección: Ciudad: Teléfonos/Correos:
Bogotá Teléfono Tel. Alterno: Fax: Correo:
Contacto: Servicio o producto asociado:
Infraestructura
Compañía:
GLOBAL
Dirección: Ciudad: Teléfonos/Correos:
Atlanta (USA) Teléfono Tel. Alterno: Fax: Correo:
Contacto: Servicio o producto asociado:
KNET
Compañía:
ORANGE
Dirección: Ciudad: Teléfonos/Correos:
Teléfono Tel. Alterno: Fax: Correo:
85
Contacto: Servicio o producto asociado:
Canales KNET
Compañía:
Level 3
Dirección: Ciudad: Teléfonos/Correos:
Bogotá Teléfono
6391200
Tel. Alterno: Fax: Correo:
[email protected]
Contacto: Servicio o producto asociado:
Red MPLS e Internet
Compañía:
ETB
Dirección: Ciudad: Teléfonos/Correos:
Bogotá Teléfono Tel. Alterno: Fax: Correo:
Contacto: Servicio o producto asociado: Internet Bogotá – Calle 90 Muestra 32. Lista General de Contactos Externos (Fuente KPMG) 13. Opinión Profesional de la Revisión De Auditoria Interna Al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia De acuerdo a las revisiones pertinentes basadas en la solicitud de informaciones referentes al Plan de Continuidad de Negocio, las pruebas en sitio realizadas y lo dictaminado en todo este proceso, se indica lo siguiente:
86
Los recursos mínimos para la ejecución de los procedimientos previstos se han adquirido y están disponibles.
Se encuentra disponible el recurso humano calificado para el desarrollo de las actividades previstas y se garantiza la disponibilidad de personal de reemplazo.
El recurso humano asignado al desarrollo de las actividades de los procedimientos descritos tienen la habilidad personal y/o el perfil profesional para su ejecución.
El recurso humano asignado a la ejecución de actividades descritas en los procedimientos del plan ha sido entrenado y ha realizado actividades de prueba que lo preparan para actuar con oportunidad y eficacia.
Se ha estado cumpliendo con las actividades rutinarias y recurrentes de mantenimiento del plan, asegurando que este se encuentra actualizado y vigente. Las actividades de mantenimiento incluyen y no se limitan a la ejecución de pruebas, a la revisión e identificación de nuevos riesgos, a la revisión de impactos y planes, y a la ejecución de auditorías internas sobre el proceso.
Los sitios alternos previstos se encuentran disponibles y su dimensionamiento en cuanto a recursos y facilidades ha sido revisado y debidamente gestionado en el transcurso el tiempo.
El respaldo de la información crítica en medio físico o digital se está realizando de forma adecuada y recurrente conforme los tiempos de retención y respaldo identificados por la Firma y/o por las actividades de análisis de impacto desarrolladas por el proceso de continuidad del negocio.
87
Estrategias de continuidad implementadas, probadas y disponibles; estrategias tales como el CCA (Centro de cómputo Alterno) en las oficinas de KPMG en Cali y el Centro Alterno de Operaciones (CAO) en las oficinas de KPMG de Bogotá en la calle76.
La infraestructura tecnológica en el CAO, tales como Computadores, impresoras, teléfonos, acceso a Internet, entre otros recursos, se encuentran disponibles en este sitio para recibir la operación de los procesos críticos de la Firma.
Se encuentren disponibles los recursos de cómputo de usuario final definidos en el análisis de impacto.
El recurso humano está disponible para ejecutar las actividades que han sido previstas en los procedimientos.
El recurso humano asignado a roles específicos dentro del plan tienen el perfil para ejecutar las diferentes actividades que han sido previstas.
El personal ha sido capacitado en los procedimientos del Plan y se encuentra comprometido en su desarrollo.
Los proveedores que son requeridos se encuentran operando y entregando sus productos y/o servicios según lo solicitado por la empresa.
Se han establecido sitios alternos, y los mismos están disponibles para recuperar las operaciones de los procesos y el procesamiento de información de la compañía.
El respaldo de la información crítica en medio físico (documentos impresos) y/o electrónica (CD’s, cintas de respaldo, file server, entre otros), se está realizando de forma adecuada en un lugar fuera de las instalaciones de la compañía y con las prácticas de seguridad adecuadas en el transporte de los mismos.
El personal crítico (ITS) se encuentra disponible.
88
La estrategia de recuperación tecnológica se implementó y desarrolló de acuerdo a los parámetros definidos.
El personal crítico (ITS) ha sido entrenado, tienen el conocimiento de la plataforma tecnológica de la Firma y conoce las actividades que tiene que realizar para activar y ejecutar el plan de recuperación de tecnología.
Se cuenta con un centro alterno de operación disponible (calle 76), para que puedan operar remotamente los administradores de la infraestructura del CCA.
Se tienen contratos de soporte y mantenimiento disponible para la plataforma DELL, y los canales de comunicaciones de Orange y Level 3.
El árbol de llamadas se encuentra actualizado.
Los datos de las bases de datos de los sistemas de información críticos han sido debidamente replicados conforme los puntos de recuperación identificados en el análisis de impacto.
Se cuenta con enlaces de internet disponibles previstos en la estrategia, tanto en calle 76 como en Cali.
Este plan ha sido probado periódicamente y con ello se garantiza su viabilidad y efectividad.
Tener disponibles, documentados y actualizados los procedimientos de mantenimiento y operación del CCA en operación normal (fuera de contingencia operando desde el CCP).
89
14 Recomendaciones A medida que son sistemática y periódicamente ejecutadas las actividades de mantenimiento, el Plan y su contenido se vuelven cada vez más viables y ejecutables frente a un evento real. Eventualmente se requerirán efectuar revisiones a los planes por diferentes motivos como:
Nuevas herramientas y/o aplicaciones que apalanquen los procesos de negocio críticos.
Cambios evidenciados en los resultados de las pruebas de los Planes.
Aumento en la complejidad o capacidad de las aplicaciones y/o de la infraestructura tecnológica que soporta los servicios y procesos de negocio clasificados como críticos.
Adquisición de nuevos equipos o infraestructura.
Nuevos formatos o cambios en los recursos críticos identificados.
Procesos y proyectos de reingeniería que impliquen cambios en los procesos de negocio.
Movimiento o traslado permanente del Recurso Humano.
Fusiones o adquisiciones de compañías.
Cambios de proveedores.
Resultados de los análisis de riesgos.
Resultados de los análisis de impactos.
Nota: En el momento que no se llegue a dar ninguno de los criterios anteriormente mencionados se recomienda efectuar una revisión anual al contenido del plan.
90
14.1 Revisión Documental La revisión documental del plan y sus componentes se debe apoyar en el análisis de los siguientes registros que hacen parte de la ejecución de actividades de mantenimiento del proceso de Continuidad Organizacional. La revisión busca identificar posibles requerimientos de cambios o mejoras al plan y/o al proceso. En general se deberá tener en cuenta:
Los resultados de las auditorías y revisiones, incluyendo la retroalimentación de las partes interesadas, la observación de entes independientes, y eventualmente la retroalimentación de los principales clientes, proveedores y subcontratistas.
Las acciones preventivas y correctivas del proceso.
El resultado de los Análisis de Riesgos e Impacto.
Las vulnerabilidades o amenazas no manejadas adecuadamente en la anterior evaluación del riesgo.
Las acciones de seguimiento de las anteriores revisiones por la dirección.
Cualquier cambio interno o externo que pudiera afectar la funcionalidad y efectividad del plan de continuidad.
Los resultados de las actividades de prueba recurrentemente realizadas.
Nuevas tendencia, técnicas, productos o procedimientos que podrían usarse en la organización para mejorar el desempeño y la efectividad del plan de continuidad. Durante cada revisión se debe identificar y tabular todos los documentos que se
encuentren desactualizados para definir un plan de acción a desarrollar en el transcurso del tiempo.
91
15 Pruebas del Plan 15.1 Pruebas de escritorio Nombre de la Prueba de Escritorio del Plan de Continuidad. Prueba Descripción de Consiste en la ejecución en papel del Plan de Continuidad. la Prueba • Revisar el contenido del Plan de Continuidad en papel. • Evaluar la claridad en la definición de los procedimientos, roles y responsabilidades del Plan. Objetivos • Identificar necesidades de actualización de la información relacionada con el plan. • Revisar procedimientos de activación. Líder de Continuidad del Negocio Responsable Trimestral Periodicidad Muestra 33. Pruebas de escritorio (Fuente KPMG) 15.2 Pruebas de componentes Nombre de la Prueba por Componentes del Plan de Continuidad. Prueba Descripción de Consiste en la ejecución de un componente del Plan de Continuidad. la Prueba • Probar la funcionalidad de alguno de los procedimientos de activación del DRP. Probar la activación Objetivos del DRP. • Probar la activación del COOP. Líder de Continuidad del Negocio Responsable Semestral Periodicidad Muestra 34. Pruebas de componentes (Fuente KPMG) 15.3 Pruebas integradas Nombre de la Prueba Integral del Plan de Continuidad Prueba Descripción de Consiste en la ejecución en vivo del Plan de Continuidad. la Prueba Probar la funcionalidad de la estrategia de recuperación de los procesos críticos operando desde el Centro Alterno de Operaciones (CAO) de calle 76 y con servicio de tecnológico Objetivos soportado desde el Centro de Cómputo Alterno (CCA) en KPMG Cali.
92
Responsable Periodicidad
Líder de Continuidad del Negocio Anual Muestra 35. Pruebas integradas (Fuente KPMG) 16 Control de Cambios
VER FECHA DDMMMAAAA 1.0 22-Julio2017
DESCRIPCIÓN
Auditores
Versión inicial del “Plan de Continuidad Auditor Líder Dany Alonso de Negocio (BCP) de KPMG en Urrego Colombia” Auditor Acompañante: ELABORÓ REVISÓ (LÌDER) APROBÓ Francisco de Paula Ossa (DUEÑO) Pérez Andrés Felipe Jorge Jaramillo (Senior) Corchuelo Luis Alberto Paez Bibiana Alejandra (National IT (Supervisor Senior) Cogollo (Senior) Security KPMG Advisory Officer) KPMG Advisory Services S.AS. Services S.AS. KPMG SAS.
93
Conclusiones Al verificar el Plan de Continuidad de Negocio (BCP) de KPMG en Colombia, se encontró que la organización tiene identificado, documentado y que mediante pruebas opera con respecto al Plan bajo los criterios de continuidad de operaciones (COOP) y la recuperación ante desastres (DRP). Al verificar el plan de Continuidad de Negocio (BCP) de KPMG en Colombia se encuentra que está alineado con los objetivos del negocio. Al Comprobar los aspectos estructurales y formales que viene ejecutando la organización evidenciamos que maneja unas series de actividades y programas de entrenamiento para la aplicabilidad del Plan de Continuidad de Negocio (BCP), para que este sea transparente para los usuarios. Conclusiones de Aprendizaje
La auditoría Interna es una herramienta que se aplica en cualquier tipo de entidad, que ayuda a la administración a evaluar un sistema, un proceso o subproceso obteniendo resultados que promuevan la reducción de costos y la simplificación de tareas innecesarias u obsoletas. Los indicadores de gestión son instrumentos que reflejan los resultados de una actuación pasada, el cumplimiento de metas y objetivos, los mismos que permiten implementar estrategias o correctivas de mejora. Los indicadores de calidad y productividad permiten determinar los tiempos improductivos y evaluar la calidad en el servicio cuyos resultados servirán para desarrollar planes y programas para elevar o disminuir los resultados de los indicadores según sea el caso. Los costos de no calidad o costos improductivos son aquellos que se generan por el mal uso del tiempo laboral,
94
los cuales repercuten en los resultados de indicadores y que se traducen a pérdidas económicas. La auditoría Interna muestra que los procesos se presentan razonablemente, en todos los aspectos importantes, el servicio al cliente y los procesos de control interno y los resultados operacionales son conformes, sin embargo se observan que existen desperdicios de tiempo dentro del personal de las agencias. La evaluación de la satisfacción del cliente es realizada únicamente hasta que termina el proceso.
Ilustración 1 Fuente: KPMG
AUDITORA INTERNA AL PLAN DE CONTINUIDAD DEL NEGOCIO EN KPMG COLOMBIA
TALLER
AUTOR DANY ALONSO URREGO
DOCENTE RUBIELA CAMACHO VARGAS
BOGOTÁ D.C SEPTEIMBRE 03 DE 2017
3
TABLA DE CONTENIDO TABLA DE MUESTRAS ................................................................................................................................ 6 1 INTRODUCCIÓN ........................................................................................................................................ 8 2 OBJETIVO ................................................................................................................................................... 9 2.1 OBJETIVO GENERAL ..................................................................................................................................9 2.2 OBJETIVOS ESPECÍFICOS ..........................................................................................................................9 3 ALCANCE .................................................................................................................................................. 10 4. EQUIPO DE TRABAJO ........................................................................................................................... 11 5. LA ORGANIZACIÓN ............................................................................................................................... 13 5.1 DESCRIPCIÓN DE LA FIRMA ............................................................................................................................13 5.2 MISIÓN, VISIÓN KPMG .................................................................................................................................13 5.2.1 VISIÓN DE KPMG .......................................................................................................................................13 5.2.2 MISIÓN KPMG ...........................................................................................................................................13 5.2.2.1 Dirección Web KPMG ........................................................................................................................13 5.3 VALORES KPMG ...........................................................................................................................................13 5.4 KPMG NUESTRO CONOCIMIENTO AL SERVICIO DE LA COMUNIDAD ..............................................................14 5.5 KPMG BRINDAMOS CONOCIMIENTO .............................................................................................................15 5.6 KPMG EN COLOMBIA ...................................................................................................................................15 5.7 CERTIFICACIONES ..........................................................................................................................................16 5.8 ENFOQUE HACIA EL MERCADO .......................................................................................................................19 5.9 PORTAFOLIO DE SERVICIOS DE KPMG EN COLOMBIA ...................................................................................19 6. CRONOGRAMA ....................................................................................................................................... 22 7. DESARROLLO GENERAL AUDITORIA INTERNA ............................................................................ 23 7.1 ESTRUCTURA JERÁRQUICA DE LOS GRUPOS DE RESPUESTA, ROLES Y RESPONSABILIDADES ........................24 7.1.1 Líder Comité Ejecutivo (Presidente) .....................................................................................................24 7.1.2 Comité Ejecutivo – Grupo Estratégico ..................................................................................................25 7.1.3 Líderes de recuperación - Grupo Táctico ..............................................................................................26 7.1.4 Equipos de recuperación - Grupo Operativo ........................................................................................27 7.1.5 Líder de Continuidad del Negocio - Gestión .........................................................................................27 7.2 LÍNEA DE SUCESIÓN DEL PLAN GENERAL ......................................................................................................28 7.3 COMUNICACIONES .........................................................................................................................................29 7.3.1 Objetivo .................................................................................................................................................30 7.3.2 Flujo grama de Actividades ...................................................................................................................31 7.3.3 Procedimiento ........................................................................................................................................32 7.3.4 Anexos Comunicaciones ........................................................................................................................33 7.3.4.1 Anexo 1. Matriz de Comunicaciones ............................................................................................................... 33 7.3.4.2 Anexo 2. Comunicado inicial para empleados ................................................................................................. 34 7.3.4.3 Anexo 3. Comunicado final para empleados .................................................................................................... 35 7.3.4.4 Anexo 4. Comunicado inicial para proveedores ............................................................................................... 36 7.3.4.5 Anexo 5. Comunicado final para proveedores................................................................................................. 37
8. CRITERIOS DE ACTIVACIÓN .............................................................................................................. 38
4 8.1 ROLES Y RESPONSABILIDADES ......................................................................................................................38 8.1.1 Líderes y/o representantes de procesos .................................................................................................39 8.1.2 Líder de Comunicaciones con Medios (Coordinador de Mercadeo). ....................................................39 8.1.3 ITLP: Information Technology Liaison Partner ....................................................................................40 8.1.4 Gerente de Sistemas ...............................................................................................................................40 8.1.5 Grupo de Soporte de Tecnología de Información ..................................................................................41 8.1.6 Directora de Gestión Humana ...............................................................................................................41 8.1.7 Directora Financiera y Administrativa .................................................................................................41 8.1.8 Líder de Administración y Seguridad Física .........................................................................................42 8.1.9 Grupo de Reacción a Eventos de Emergencias .....................................................................................42 8.1.10 Líder de la Brigada de Emergencias y Coordinador de Evacuación ..................................................43 8.2 LÍNEA DE SUCESIÓN ......................................................................................................................................43 8.3 PROCEDIMIENTO ............................................................................................................................................44 8.3.1 Procedimiento de Respuesta ..................................................................................................................44 8.3.2 Procedimiento ITS .................................................................................................................................47 8.4 ANEXOS COOP .............................................................................................................................................49 8.4.1 Anexo 1- Distribución de Personal ........................................................................................................49 8.4.2 Anexo 2- Recursos mínimos necesarios .................................................................................................50 8.4.3 Anexo 3. Lista General de Contactos Internos ......................................................................................53 9. ANÁLISIS DE IMPACTO BIA................................................................................................................. 54 9.1 RECOVERY TIME OBJECTIVE (RTO) ..............................................................................................................54 9.2 RECOVERY POINT OBJECTIVE (RPO).............................................................................................................57 9.3 ROLES Y RESPONSABILIDADES ......................................................................................................................58 9.3.1 ITLP: Information Technology Liaison Partner ....................................................................................58 9.3.2 Gerente de Sistemas ...............................................................................................................................58 9.3.3 Grupo de Recuperación Tecnológica ....................................................................................................59 9.3.3.1 Help Desk......................................................................................................................................................... 59 9.3.3.2 Equipo Especialistas de Aplicaciones e Infraestructura ................................................................................... 59 9.3.3.3 Proveedores ...................................................................................................................................................... 61
9.4 LÍNEA DE SUCESIÓN ......................................................................................................................................61 10. ACTIVACIÓN DE RECUPERACIÓN TECNOLÓGICA .................................................................... 62 11. CRITERIOS DE ACTIVACIÓN ............................................................................................................ 64 11.1 ACTIVACIÓN DEL PLAN DE RECUPERACIÓN (DRP) ......................................................................................64 11.2 PROCEDIMIENTO “VALIDAR CONECTIVIDAD SEDES KPMG DESDE CALLE 76 - CLO” ..............................65 11.3 PROCEDIMIENTO “VALIDAR SERVICIOS KNET Y SERVICIOS GLOBALES” ...................................................67 11.4 PROCEDIMIENTO “VALIDAR CONECTIVIDAD INTERNET CALI” ....................................................................70 11.5 PROCEDIMIENTO “VERIFICACIÓN COMPONENTES EN SITIO ALTERNO” ........................................................72 11.6 PROCEDIMIENTO “RECUPERAR SERVICIO DE SEVEN” ..................................................................................75 11.7 PROCEDIMIENTO “RECUPERAR SERVICIO DE EAUDIT” ................................................................................77 11.8 PROCEDIMIENTO “RECUPERAR SERVICIO DE KACTUS”...............................................................................79 11.9 PROCEDIMIENTO “RECUPERAR SERVICIO DE VPN LOCAL” .........................................................................81 11.10 PROCEDIMIENTO “RECUPERAR SERVICIO DE FILE SERVER” ......................................................................82 12. ANEXOS DRP ......................................................................................................................................... 83 12.1 ANEXO 1. LISTA GENERAL DE CONTACTOS INTERNOS ................................................................................83 12.2 ANEXO 2. LISTA GENERAL DE CONTACTOS EXTERNOS ..............................................................................84
5 13. OPINIÓN PROFESIONAL DE LA REVISIÓN DE AUDITORIA INTERNA PLAN DE CONTINUIDAD DE NEGOCIO (BCP) DE KPMG EN COLOMBIA........................................................ 85 14 RECOMENDACIONES ........................................................................................................................... 89 14.1 REVISIÓN DOCUMENTAL .............................................................................................................................90 15 PRUEBAS DEL PLAN ............................................................................................................................. 91 15.1 Pruebas de escritorio ..............................................................................................................................91 15.2 Pruebas de componentes ........................................................................................................................91 15.3 Pruebas integradas .................................................................................................................................91 16 CONTROL DE CAMBIOS ...................................................................................................................... 92 CONCLUSIONES ......................................................................................................................................... 93
6
TABLA DE MUESTRAS Muestra 1. Grupos de Respuesta del Plan General (Fuente KPMG)…………………………………....24 Muestra 2. Línea de Sucesión Comité de Ejecutivo (Fuente KPMG)……………………………………29 Muestra 3. Flujo grama de actividades comunicaciones (Fuente KPMG………………………………..31 Muestra 4. Procedimiento de comunicaciones (Fuente KPMG)………………………………………..32 Muestra 5. Matriz de Comunicaciones (Fuente KPMG)…………………………………..……………33 Muestra 6. Criterios de Activación (Fuente KPMG)…………………………………..……………….38 Muestra 7. Grupo de Soporte de Tecnología de Información (Fuente KPMG) ……………… ……………41 Muestra 8. Grupo de Reacción a Eventos de Emergencias (Fuente KPMG)………………………….......42 Muestra 9. Línea de Sucesión del Plan (Fuente KPMG)……………………………………………….43 Muestra 10. Procedimiento Respuesta (Fuente ITS)………………………………………………….47 Muestra 11. Procedimiento ITS (Fuente KPMG)…………………………………..…………………..48 Muestra 12. Mapa de Centro Alterno de Operaciones (Fuente KPMG) ………………………………...49 Muestra 13. Recursos mínimos necesarios (Fuente KPMG)…………………………………………...50 Muestra 14. Lista General de Contactos Internos (Fuente KPMG) …………………………………….53 Muestra 15: Orden de recuperación aplicativos (Fuente KPMG)………………………………………55 Muestra 16. Aplicativos globales usados en la Firma (Fuente KPMG) ……………………………….....56 Muestra 17. Servicio de Internet (Fuente KPMG) ……………………………………………………57 Muestra 18. Orden de prioridad en respaldo de información (Fuente KPMG) ……………………….....58 Muestra 19. Línea de Sucesión (Fuente KPMG)……………………………………………………...62 Muestra 20. Procedimiento de Activación de Recuperación de Tecnológica (Fuente KPMG)……………..63 Muestra 21. Criterios de Activación (Fuente KPMG)…………………………………………………64 Muestra 22. Procedimiento “Validar Conectividad Sedes KPMG desde CALLE 76 - CLO” (Fuente KPMG)…………………………………..…………………………………..…………………….67 Muestra 23. Procedimiento “Validar Servicios KNET y Servicios Globales” (Fuente KPMG) …………..69 Muestra 24. Procedimiento “Validar Conectividad Internet Cali” (Fuente KPMG)……………………..71 Muestra 25. Procedimiento “Verificar los componentes en Sitio Alterno” (Fuente KPMG)…….………...73 Muestra 26 Procedimiento “Recuperar Servicio de Seven” (Fuente KPMG)……………………………76 Muestra 27 Procedimiento “Recuperar Servicio de eAudit” (Fuente KPMG.)…………………………..77
7 Muestra 28. Procedimiento “Recuperar Servicio de Kactus” (Fuente KPMG) ………………………….79 Muestra 29. Procedimiento “Recuperar Servicio de VPN Local” (Fuente KPMG)………………………81 Muestra 30. Procedimiento “Recuperar Servicio de File Server” (Fuente KPMG)………………………82 Muestra 31. Lista General de Contactos Internos (Fuente KPMG) ……………………………………...83 Muestra 32. Lista General de Contactos Externos (Fuente KPMG) …………………………………...84 Muestra 33. Pruebas de escritorio (Fuente KPMG) ……………………………………………………90 Muestra 34. Pruebas de componentes (Fuente KPMG) …………………………………………….......90 Muestra 35. Pruebas integradas (Fuente KPMG)……………………………………………………...91
8
1 Introducción El plan de continuidad no es una mera adición de algo que se debe hacer sino que es una parte integral de toda la organización. Es importante hacer comprender a los responsables de la organización acerca de la necesidad de un plan adecuado y que no es “algo más” que hay que hacer sino que es igual de importante o más que las otras partes del proyecto. Es reconocida como una buena práctica profesional y es parte integral del buen gobierno de las organizaciones, de esta forma toma una dimensión estratégica y no debería ser considerado una mera herramienta operativa. En muchas ocasiones vemos que la Dirección no conoce el alto riesgo que supone la no presencia de planes de contingencia en sus organizaciones o la debilidad de éstos. De ahí la importancia de la auditoría SI no solo en los planes de seguridad sino de los planes de contingencia en particular, que dan una clara y seria advertencia de los riesgos de dejar los planes de contingencia como algo secundario y sin importancia. De ahí que se haga imprescindible la realización de una auditoría de Interna al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia para el análisis de los requisitos mínimamente exigibles para que el plan sea adecuado a las necesidades de continuidad del negocio, la auditoría señalaría y determinaría las debilidades y propondría soluciones, evaluaría la adecuación del plan al proyecto y su desarrollado por la organización. En definitiva con la auditoría se busca que el plan de continuidad contribuya a la consecución de los objetivos del negocio y que, llegado el momento, funcionará como está previsto. Por lo tanto se busca que no sea un plan deficiente, que sea adecuado y no incurra en
9
errores graves que producirían pérdidas igual o mayores que de no tener un plan, pues no hay peor situación que creerse salvaguardado por un plan que en realidad no funciona. 2 Objetivo 2.1 OBJETIVO GENERAL
Verificar la existencia del Plan de Continuidad de Negocio (BCP) de KPMG en Colombia, que contempla un conjunto de procedimientos de actuación y de recursos necesarios para la restauración progresiva de los servicios en el caso de paralización de las actividades; en los que están involucradas todas las áreas, departamentos y servicios de la organización y que se mantienen debidamente actualizados, realizándose pruebas periódicas para su eficacia.
2.2 OBJETIVOS ESPECÍFICOS
Asegurar que el plan de Continuidad de Negocio (BCP) de KPMG en Colombia contribuye a la consecución de los objetivos del negocio y que, llegado el momento, funcionará como está previsto.
Identificar las condiciones que facilitan la interrupción de los servicios como consecuencia de tener un plan inadecuado.
Identificar debilidades en el plan y proponer soluciones.
Comprobar los aspectos estructurales y formales que se momento,
los
programas
pertinentes dentro del plan.
han
ejecutado
en
su
de entrenamiento, mantenimiento y pruebas que son
10
3 Alcance Teniendo en cuenta el Alcance dimensional de proyecto “Plan de Continuidad de Negocio (BCP) de KPMG en Colombia”, su direccionamiento, objetivos, roles y políticas de seguridad, se hace necesario contar con un cronograma de actividades proyectados en tiempos estipulados para aplicar cada una de las fases de la Auditoria Interna, determinar resultados a través de simulacros, emitir opiniones a la Alta gerencia y concluir con un control y seguimiento. Debido al poco tiempo para proponer un amplio Plan de Auditoría Interna, nos limitamos a lo siguiente: El alcance del Plan de Auditoria Interna aplicado al proyecto” Plan de Continuidad de Negocio (BCP) de KPMG en Colombia” comprobará que los objetivos y las medidas de recuperación se establecen para las Aplicaciones o Servicios Críticos aprobados por la Dirección, se enmarcara los análisis dentro de las solicitudes de información referente al proyecto, muestras y pruebas en sitio y recomendaciones a la Gerencia.
se emitirá una opinión profesional y unas
11
4. Equipo de trabajo Líder Auditor
12
Auditor Acompañante
13
5. La Organización 5.1 Descripción de la Firma KPMG es una red global de firmas profesionales que proveen servicios de auditoría, impuestos y asesoría. Operamos en 152 países y tenemos 145.000 profesionales que trabajan en las firmas miembros alrededor del mundo. Las firmas miembro independientes de la red de KPMG están afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Cada firma miembro de KPMG es una entidad legal separada e independiente y cada una se describe a sí misma como tal. 5.2 Misión, Visión KPMG 5.2.1 Visión de KPMG Construiremos y mantendremos nuestra reputación como la mejor Firma para trabajar, asegurándonos de que nuestra gente, nuestros clientes y nuestras comunidades logren su potencial pleno. 5.2.2 Misión KPMG Transformamos el conocimiento en valor, en beneficio de nuestros Clientes, Asociados y los mercados de capital.
5.2.2.1 Dirección Web KPMG http://www.kpmg.com/co/es/paginas/default.aspx 5.3 Valores KPMG
Lideramos con el ejemplo en todos los niveles actuando de manera que ejemplifique lo que queremos de cada uno de nosotros.
14
Trabajamos en equipo tomando lo mejor de cada uno y creando relaciones fuertes y duraderas.
Respetamos a los individuos respetando a las personas por lo que son y por su conocimiento, habilidades y experiencia como miembros individuales de un grupo.
Investigamos los hechos y transmitimos conocimientos verificando los hechos y fortaleciendo nuestra reputación como asesores de negocios con credibilidad y objetividad.
Nos comunicamos de forma abierta y honesta compartiendo información, conocimiento manejando situaciones difíciles con coraje y creatividad.
Comprometidos con la Sociedad comportándonos como ciudadanos responsables y ampliando nuestras habilidades, experiencia y perspectiva de nuestras comunidades.
Por encima de todo nos comportamos con integridad manteniendo elevados estándares profesionales en todo momento, proveyendo asesoría útil y conservando nuestra independencia con rigor.
5.4 KPMG Nuestro conocimiento al servicio de la comunidad Por medio del conocimiento que usamos todos los días en nuestro trabajo y aplicándolo a las comunidades al rededor del mundo podemos ayudar a hacer cambios positivos local y globalmente. Las Firmas miembro están trabajando con organizaciones no gubernamentales, compañías y gobiernos en temas apremiantes que enfrentan nuestras comunidades. Globalmente estamos combinando el "expertise" de KPMG con las agencias de desarrollo internacional para afrontar temas globales
15
5.5 KPMG brindamos conocimiento KPMG explora temas de interés especial para nuestros clientes y amigos. Cada una de las secciones o publicaciones que se verán a continuación tiene investigación, opinión y el liderazgo de KPMG en conocimiento. 1. Audit Committee Institute Creado en 1999, KPMG Audit Committee Institute brinda información, fuentes y oportunidades de compartir conocimiento por diferentes medios, encuestas, investigaciones y publicaciones. 2. IFRS Now - the jargon free guide to IFRS adoption Esta es la edición On-Line de IFRS Now, la revista temática de KPMG que da una mirada fresca a los retos que enfrentan las personas que practican IFRS, sin perderse en los detalles técnico 3. KPMG’s Global IFRS Institute Brinda información y recursos para ayudar a las Juntas Directivas, Comités de Auditoría, Directores y Accionistas a tener conocimiento y acceso a información valiosa sobre los reportes financieros globales. 5.6 KPMG en Colombia KPMG comenzó operaciones en Colombia en 1952, prestando los servicios de Auditoría, Impuestos y Asesoría. En la actualidad KPMG es una de las más reconocidas Firmas de Auditoría y Asesoría del país, prueba de esto es el importante portafolio de clientes nacionales y multinacionales.
16
En Colombia la Firma cuenta con 3 oficinas, donde laboran más de 800 profesionales: Contadores, Administradores de Empresa, Economistas, Abogados, Ingenieros Industriales, Ingenieros de Sistemas, seleccionados cuidadosamente
5.7 Certificaciones
Calidad ISO 9001:2008, de la casa certificadora internacional Bureau Veritas Certification, para las prácticas de Auditoría, Asesoría Gerencial e Impuestos y
17
Servicios Legales. Este es un reconocimiento al mejoramiento continuo de nuestros procesos de servicio y administración.
KPMG Advisory Services Ltda. Participó en la implementación del programa Rumbo Empresas Íntegras y Transparentes en octubre de 2009.
PCAOB (Public Companies Accounting Oversight Board), entidad que vigila el desempeño de las Firmas que auditan los estados financieros de las compañías registradas en la SEC (Securities & Exchange Comission).
18
KPMG en Colombia recibió en Octubre de 2010 el premio a la Firma del año en Servicios de Impuestos entregado por la revista norteamericana International TaxReview, una de las publicaciones más importantes a nivel mundial en materia de impuestos. Esta distinción es un reconocimiento a la calidad del trabajo y al compromiso de nuestros profesionales.
19
5.8 Enfoque hacia el mercado
Enfoque hacia el mercado (fuente: KPMG) 5.9 Portafolio de servicios de KPMG en Colombia
Portafolio de servicios de KPMG en Colombia (fuente: KPMG)
20
Portafolio de servicios de KPMG Tax & Legal Services (fuente: KPMG)
Portafolio de servicios de KPMG Audit Services (fuente: KPMG)
21
Portafolio de servicios de KPMG Advisory Services (fuente: KPMG)
22
6. Cronograma 19 Oct - 23 Oct
Actividades Primera Visita al sitio Alterno Visita al sitio Alterno para conocer todos los proceso y actividades de la misma Notificación del inicio de la auditoría Interna Reunión con el Representante de la Firma para coordinar detalles. Arranque de la auditoría Interna Recolección de datos de la Firma, entrega de formularios al representante. Revisión y verificación de los datos, formularios, documentos y registros. Análisis de emisiones de todos los procesos. Revisión de los procedimientos inconformes o no detallados en la documentación. Análisis de las medidas de mitigación y aspectos de mejora de cada proceso. Análisis de los procesos preventivos y correctivos de estos. Elaboración del informe Final Realización de las actividades de seguimiento de una auditoría. “ciclo de mejora Continua” (PHVA)
L
M M J
26 Oct- 30 Oct
V L M M J
2 Nov - 6 Nov
V L M M J
9 Nov - 13 Nov
V L M M J
V
16 Nov - 18 Nov
L
M
M
23
7. Desarrollo General AUDITORIA INTERNA De acuerdo a la ejecución del desarrollo General AUDITORIA INTERNA al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia se procede a analizar los criterios que definen las necesidades
del
negocio,
los
objetivos
de
la
planificación
de
la
recuperación, y el establecimiento de criterios base para definir las opciones que nos permitan comprobar su viabilidad, revisar umbrales de tiempo, comunicación, localización, personal, componentes tecnológicos de la recuperación para cada servicio de soporte, componentes no tecnológicos de la recuperación, analizar estrategias alternativas viables y ver si con el tiempo pueden ser mejores para el planteamiento organizacional, verificar si el riesgo asociado a la estrategia elegida se ha evaluado correctamente. Se solicita
a la organización KPMG SAS la información pertinente, muestras,
documentación y pruebas en sitio con respecto al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia.
24
7.1 Estructura Jerárquica de los Grupos de Respuesta, Roles y Responsabilidades A continuación se incluye un esquema jerárquico organizacional de cómo se organizará KPMG en situaciones donde las actividades del negocio y/o los activos de la compañía se puedan ver comprometidos. Esta estructura define roles que más adelante serán descritos en este mismo capítulo. Los puntos de contacto indican la relación y el flujo de información para el reporte de actividades entre uno u otro rol o grupo que es conformado.
Muestra 1. Grupos de Respuesta del Plan General (Fuente KPMG)
7.1.1 Líder Comité Ejecutivo (Presidente) Líder de más alto rango al interior de la Firma. Ante un evento de interrupción que afecte la operación de la Firma es quien tiene la autoridad para convocar al Comité Ejecutivo y con ello iniciar las labores de nivel estratégico que dirigirán el rumbo de la situación. Las principales funciones del Líder del Comité Ejecutivo son:
Declara la activación de los diferentes planes.
25
Definir la posición de la Firma y la responsabilidad a asumir durante y posterior a una contingencia.
Convoca vía telefónica o escrita al Líder de Comunicaciones con Medios (Coordinador de Mercadeo).
Decide si se aprueba el mensaje y la propuesta elaborada por el Líder de Comunicaciones con Medios (Coordinador de Mercadeo).
Adicionar comentarios al mensaje.
7.1.2 Comité Ejecutivo – Grupo Estratégico Es un comité de nivel estratégico del plan al cual llega toda la información disponible y relevante sobre la interrupción para analizarla. Se crean escenarios y se plantean alternativas de acción. Es un ente asesor de alto nivel. En este comité pueden participar tantas personas como sean necesarias y puede tener miembros permanentes o invitados ocasionales, si la situación lo requiere. Mejor si es interdisciplinario a nivel de funcionarios de varias áreas de la compañía: administrativa, financiera, del negocio, etc. Debe tener un coordinador que convoca y realiza tareas específicas que le son asignadas. En este comité se redactan los borradores de comunicados, declaraciones, discursos, etc. Se preparan todos los documentos y materiales relevantes para el manejo de la interrupción. En este comité se recibe y analiza información, y se sugiere el curso de acción. Las funciones generales del Comité incluyen:
Desarrollar una estrategia frente a la interrupción buscando preservar el negocio, y la buena imagen y reputación de la Firma.
Visualizar macro escenarios de evolución de la interrupción.
26
Valorar el impacto de la interrupción sobre los diferentes grupos de interés de la Firma.
Establecer estrategias para controlar la emergencia y neutralizar las consecuencias.
Establecer un plan de acción con asignación de autoridad y responsabilidad.
Destinar recursos.
Analizar y tomar decisiones formales con relación a las peticiones de terceros afectados por daños personales o materiales, durante y posterior a las emergencias.
Participar en las decisiones y patrocinio de las actividades de retorno.
7.1.3 Líderes de recuperación - Grupo Táctico Los líderes de recuperación son personas encargadas de liderar la recuperación del negocio, procesos y tecnología soporte, basados en las estrategias de continuidad implementadas. Serán el contacto directo entre los procesos de negocio, el área tecnológica y el comité de ejecutivo. Las funciones generales de los líderes de recuperación son:
Informar al Comité Ejecutivo los niveles de impacto del evento y una estimación de su duración, para así sugerir en Comité en la decisión de activación de los planes
Liderar las reuniones del Equipo de Recuperación, para diagnosticar y evaluar las interrupciones que están afectando la prestación del servicio.
Liderar la puesta en funcionamiento de los servicios en los centros alternos de operación y tecnología.
Liderar los procedimientos de activación y restauración a la normalidad con el apoyo del Equipo de Recuperación.
27
7.1.4 Equipos de recuperación - Grupo Operativo Estos equipos componen el nivel operativo del plan de continuidad, están encargados de la ejecución de los procedimientos y actividades necesarias para salvaguardar la vida de las personas, los activos de la firma, recuperar las operaciones de procesos críticos de negocio y la tecnología.
7.1.5 Líder de Continuidad del Negocio - Gestión El rol del Líder de Continuidad está dado principalmente por las actividades previas a un evento. Es el encargado de dirigir y liderar todas las actividades relacionadas con la planificación, dimensionamiento, aseguramiento, gestión y mantenimiento de los planes. Actividades tales como:
Establecer el cronograma anual de revisión del plan.
Establecer los responsables de actualizar y mantener los indicadores, y revisar los indicadores para medir el cumplimiento de los planes.
Identificar posibles desviaciones respecto de los objetivos y el alcance de continuidad.
Identificar y levantar alertas tempranas relacionadas con las desviaciones encontradas.
Establecer planes de mejora a desarrollar conjuntamente con el área responsable, que conduzcan a cerrar posibles brechas identificadas.
Convocar a los líderes de los procesos para presentarles los planes de acción relacionados con las actividades de mantenimiento rutinarias y esporádicas.
Llevar a cabo sesiones de seguimiento periódicas con el área responsable de la ejecución del plan de acción para revisar el avance del mismo y establecer acciones para las desviaciones.
28
Durante un hecho su rol cambia a brindar asesoría y servir de guía a los equipos de respuesta y recuperación que eventualmente se conforman. 7.2 Línea de Sucesión del Plan General La línea de sucesión identifica los responsables asignados a los diferentes roles del Plan de Continuidad y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este plan. La línea de sucesión se describe a continuación:
29
Comité Ejecutivo Rol
Responsable Principal
Presidencia
Jorge Humberto Ríos
Socio Líder Audit
Gerardo Buendía
María Ligia Cifuentes
Socio Líder Advisory
Camilo González
Fabián Echeverría
Socio Líder Tax
Vicente Javier Torres
Myriam Stella Gutiérrez
Socio Riesgos
Elvia Maria Bolívar
Gerardo Buendía
Legal
Patricia Lozano
Dirección Financiera Administrativa
y
Myriam Fonseca
Responsable Alterno
Diana Arévalo
Muestra 2. Línea de Sucesión Comité de Ejecutivo (Fuente KPMG) Nota: La línea de sucesión de los demás grupos de respuestas indicados en la estructura jerárquica están incluidos en los Capítulos “8. Plan de Continuidad de Operaciones (COOP)” y “9 Plan de Recuperación Tecnológica (DRP)” 7.3 Comunicaciones Un evento se puede presentar en cualquier momento, por esta razón, desde la Comunicación Corporativa se le presta especial atención toda vez que afecta la empresa y su imagen. Por tanto, debe estar prevista al menos en sus efectos iníciales y los recursos que serán necesarios para su gestión. Este documento permite maximizar la efectividad de las comunicaciones de contingencia, al facilitar las operaciones, a través de un plan establecido, y la asignación de roles y responsabilidades en el momento de la activación del plan de continuidad de operaciones (COOP)
30
7.3.1 Objetivo Proporcionar procedimientos documentados para efectuar una comunicación interna o externa sobre los hechos de importancia durante la ocurrencia de un evento que afecte la línea de continuidad. Adicionalmente, se incluyen los siguientes objetivos:
Definir responsabilidades comunicacionales tanto de los miembros del equipo del Plan de Continuidad como de los empleados.
Desarrollar diferentes estrategias desde la comunicación que permitan orientar a todas las audiencias, según su naturaleza, en un momento de crisis.
Definir medios de comunicación que apoyen la gestión.
Brindar una guía de la naturaleza de los mensajes según la situación.
Reducir la ansiedad de los involucrados.
31
7.3.2 Flujo grama de Actividades
Muestra 3. Flujo grama de actividades comunicaciones (Fuente KPMG)
32
7.3.3 Procedimiento Código
Actividad
Responsable
2
Validar las causas, para entender mejor cuales son los efectos y los tiempos que se permanecerá en Comité Ejecutivo contingencia, si existen afectación de personas, entre otra información. Identificar grupo interés de acuerdo al tipo de evento Comité Ejecutivo
3
Diseñar Comunicado de acuerdo a la audiencia, medios Comunicaciones con Medios a contactar y seleccionar Portavoz.
4
Validar comunicación con comité de ejecutivo para Comunicaciones con Medios asegurar que el comunicado sea el más pertinente
5
Emitir el comunicado
6
Si el evento no se ha solucionado volver a la actividad Comunicaciones con Medios n°1 Muestra 4. Procedimiento de comunicaciones (Fuente KPMG)
1
Comunicaciones con Medios
33
7.3.4 Anexos Comunicaciones 7.3.4.1 Anexo 1. Matriz de Comunicaciones DIRIGIDAS A
Internos
Externos
COOP
DRP
Voceros
Comunicado
Comunicado Comunicado Comunicado Presidencia
Inicial
Final
Inicial
Final
X
X
X
X
KPMG International
X
X
Clientes
X
X
Empleados
Reguladores
X
X
X
X
Medios (TV,Periodico,etc) X
X
X
X
Proveedores
X
X
X
X
Muestra 5. Matriz de Comunicaciones (Fuente KPMG)
Responsable del Proveedor
34
7.3.4.2 Anexo 2. Comunicado inicial para empleados Interrupción de actividades en las oficinas de la ciudad de Bogotá – Calle 90
Bogotá,
de 2017
Estimados asociados,
Les informamos que (esta mañana, tarde, ayer) se produjo un evento que afecta el funcionamiento de la oficina de la calle 90, lo que ocasionará el traslado de las funciones administrativas a las oficinas de la Calle 76. Estamos coordinando las acciones tendientes a la normalización de las actividades, pero por el momento los empleados cuya sede principal y permanente sea la Calle 90, deberán llevar a cabo su trabajo desde su casa o empresa asignada. Solo deberán presentarse a las oficinas de la calle 76 los empleados que sean notificados a través de una llamada o correo electrónico. Una vez se normalicen los accesos les comunicaremos por este medio.
XXXX Presidente KPMG en Colombia
35
7.3.4.3 Anexo 3. Comunicado final para empleados Normalización de funciones en las oficinas de la ciudad de Bogotá – Calle 90
Bogotá,
de 2017
Estimados asociados,
Les informamos que la oficina de la calle 90 ha vuelto a su funcionamiento habitual. Los asociados que estaban temporalmente en la oficina de la calle 76 o que se encontraban trabajando desde su casa o empresa asignada, podrán hacer uso de la oficina de la calle 90 a partir de la fecha.
Gracias por su comprensión y colaboración.
XXXX Presidente KPMG en Colombia
36
7.3.4.4 Anexo 4. Comunicado inicial para proveedores KPMG - Interrupción de actividades en las oficinas de la calle 90 Bogotá,
de 2017
Estimados proveedores:
KPMG en Colombia comunica que debido a evento el acceso al edificio de la calle 90 está temporalmente restringido. Las operaciones administrativas se están llevando a cabo en las oficinas de la calle 76 (Calle 76 # 11 – 17 piso 6).
Agradecemos enviar cualquier correspondencia o factura a dicha dirección hasta nuevo aviso.
Un saludo,
XXX Gerente Administrativa
37
7.3.4.5 Anexo 5. Comunicado final para proveedores KPMG - Normalización de funciones en las oficinas de la calle 90
Bogotá,
de 2017
Estimados proveedores:
KPMG en Colombia informa que la oficina de la calle 90 ha vuelto a su funcionamiento habitual. Agradecemos normalizar los envíos de correspondencia o facturación a la Calle 90 # 19C – 74.
Un saludo,
XXX Gerente Administrativa
38
8. Criterios de Activación Los criterios de activación del procedimiento son una herramienta útil para la toma “oportuna” de decisiones en un evento real. El planteamiento aquí definido puede tomarse como base para activar el plan según sea el caso, pero se debe tener presente que los criterios aquí descritos son un punto de partida o una referencia inicial que puede ser reevaluada por los resultados de las actividades de prueba o por las condiciones propias del hecho. Los tiempos y criterios de decisión están soportados por los resultados de los análisis de impacto vigentes. Escenario
Duración
Evento que inhabilita la operación en el edificio Blue Tower (Calle 90 # 19 c-74) en horario laboral.
Decisión
Responsable
Notificar al Comité Ejecutivo y El tiempo de solución del sugerir activar el Plan de evento es incierto, o se Continuidad de Operaciones Grupo de estima que durará más de 6 Reacción a (COOP). horas. Eventos de Emergencias Se estima que el tiempo de Realizar seguimiento de la solución del evento no es evolución del evento. superior a las 6 horas. Muestra 6. Criterios de Activación (Fuente KPMG)
8.1 Roles y Responsabilidades Cada uno de los integrantes del grupo de respuesta tiene asignado un rol y con ello una serie de responsabilidades antes, durante y después de un evento de interrupción real. A continuación se listan uno a uno los roles identificados y las responsabilidades asignadas a cada uno de ellos.
39
8.1.1 Líderes y/o representantes de procesos El rol de los líderes de los procesos consiste en que durante un evento que afecte la disponibilidad de los procesos críticos que operan en el edificio de KPMG Bogotá es el de activar el plan y coordinar las actividades de reanudación del servicio en la Firma.
8.1.2 Líder de Comunicaciones con Medios (Coordinador de Mercadeo). Tiene la responsabilidad de asesorar en la comunicación del evento de interrupción a nivel interno (clientes y funcionarios) y a nivel externo (proveedores, organismos de control, entre otros) de acuerdo al Plan de Comunicación disponible, este rol hace parte de los líderes y/o representantes de procesos. A continuación se menciona las funciones generales:
Diseñar estrategias y tácticas de solución a la interrupción, desde su competencia.
Revisar los comunicados para clientes, preparados por el de mercadeo con el apoyo del área Legal.
Mantener Comunicación con todos los clientes.
Preparar y enviar los comunicados internos, preparados por el área de Gestión Humana, previa revisión del área Jurídica.
Contactar terceros comunicadores creíbles o voceros, previamente definidos o que surjan durante la urgencia, para la emisión de declaraciones o interlocuciones en favor de KPMG.
Tomar las medidas necesarias para evitar inconsistencias.
Supervisar las respuestas o aclaraciones a los medios de comunicación relacionadas con los juicios y transacciones originadas por la interrupción.
40
Hacer seguimiento hasta el punto en que se cumplan los compromisos adquiridos, en caso de que KPMG haya asumido la responsabilidad de la emergencia.
Planificar la relación con los medios.
8.1.3 ITLP: Information Technology Liaison Partner Es el responsable por la estrategia de tecnología de la firma, supervisa el manejo de tecnología localmente y toma las decisiones con respecto del área, adicionalmente es el encargado de comunicar las oportunidades o retos a los servicios de TI y tomar las acciones respectivas. Este rol indica al Gerente de Sistemas en que momento fue activado el Plan de Continuidad de Operaciones (COOP) y supervisar las actividades de avance del mismo para reportar al Grupo de Reacción.
8.1.4 Gerente de Sistemas Es el encargado de gestionar y dirigir los procesos, actividades del Grupo de Soporte de Tecnología de Información con el objetivo de asegurar una adecuada operación, soporte y mantenimiento de la Infraestructura de Equipos, Telecomunicaciones y Sistemas instalados en el Centro Alterno de Operaciones (CAO).
41
8.1.5 Grupo de Soporte de Tecnología de Información Este grupo es el encargado de velar por la disponibilidad y la funcionalidad de los equipos de cómputo necesarios en el momento que se active el Plan de Continuidad de Operaciones (COOP), adicionalmente, deben garantizar la conexión y el correcto funcionamiento de cada uno de los equipos y prestar cualquier tipo de soporte en sitio mientras dure activado el procedimiento. El grupo está conformado por: Rol
Cargo
Suplente
Help Desk
Diego Pinillos
Dany Urrego
Muestra 7. Grupo de Soporte de Tecnología de Información (Fuente KPMG)
8.1.6 Directora de Gestión Humana Es el encargado de la administración y gestión del recurso humano de la compañía. Ante un evento, la Directora velará por establecer las novedades de personal que se puedan llegar a presentar, y establecer los planes de acción requeridos para atender las necesidades de los funcionarios y/o sus familias.
8.1.7 Directora Financiera y Administrativa Es la encargada de coordinar y liderar el área financiera y administrativa de la firma, haciendo seguimiento a la gestión financiera, contable y de tesorería, adicionalmente es la encargada consecución de recursos y manejos de los mismos, análisis de los estados financieros y la solvencia económica de la compañía y control de endeudamiento. En el momento de presentarse algún evento es la encargada de definir la visión de finanzas y asume la responsabilidad absoluta de la estrategia de finanzas.
42
8.1.8 Líder de Administración y Seguridad Física Es la encargada de la administración de las instalaciones físicas de la compañía , de los recursos y activos físicos que estas requieren para operar en caso de un evento, igualmente es el encargado de coordinar, organizar y supervisar operativa y administrativamente las actividades encaminadas a prestar soporte a la Seguridad Urbana del Centro Alterno de Operación y personal critico de los procesos, cumpliendo con las políticas y normas de seguridad aprobadas por la corporación, con el fin de optimizar los recursos dispuestos y comprometidos en la compañía . Para el procedimiento el líder de administración coordina las actividades del Grupo de Coordinación y Logística del Centro Alterno, así como la disponibilidad y recursos necesarios del sitio físico a utilizar
8.1.9 Grupo de Reacción a Eventos de Emergencias Este grupo está encargado de hacer la evaluación del evento y de acuerdo a ello informa y asesora al Comité Ejecutivo sobre el estado actual de la interrupción para que este último tome la decisión de si se activa o no el plan de continuidad de operaciones. El grupo está conformado por: Rol Líder de Administración Seguridad Física Directora de Gestión Humana
Cargo y Gerente Administrativa
Suplente Asistente Administrativa
Directora de Gestión Jefe de Personal Humana Directora Financiera y Directora Financiera y Gerente Senior Administrativa Administrativa Contabilidad MUESTRA 8. Grupo de Reacción a Eventos de Emergencias (Fuente KPMG)
de
43
8.1.10 Líder de la Brigada de Emergencias y Coordinador de Evacuación Es el que decidirá de acuerdo a la magnitud del evento si se debe generar una evacuación parcial o total de las oficinas, adicionalmente debe verificar la evacuación parcial o total del personal, comunicar de las acciones ejecutadas, y dar solución al evento y brinda una retroalimentación del evento, sus consecuencias y evolución a los integrantes del Grupo de Activación. Es el que desarrolla las primeras actividades de respuesta orientadas a contener el evento. 8.2 Línea de Sucesión La línea de sucesión identifica los responsables asignados a los diferentes roles del Plan y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este plan. La línea de sucesión se describe a continuación:
Rol
Responsable Principal
Líder de Administración y Yolanda Gómez Seguridad Física Directora de Gestión Humana Mónica Haupt Directora Financiera y Administrativa Líder de comunicaciones en medios ITLP: Information Technology Liaison Partner Gerente de Sistemas Líder de la Emergencias
Brigada
Responsable Alterno Diana Mogollón Mirialba Toro
Myriam Fonseca
Luis Alejandro Sanchez
Felipe Rebellón
Ángela Riveros
Alain Almeida
Jairo Jerez
Jairo Jerez
Diego Pinillos
de Carolina Bahamon
Zivanna Navarro
MUESTRA 9. Línea de Sucesión del Plan (Fuente KPMG)
44
8.3 Procedimiento
8.3.1 Procedimiento de Respuesta El procedimiento descrito a continuación define la secuencia general de actividades que se realizarán en el momento en el que el Plan de Continuidad de Operaciones (COOP) sea activado. La tabla lista actividad por actividad definiendo el responsable y el tiempo previsto para su ejecución. El tiempo previsto es una estimación que puede variar en un evento real conforme las características propias resultado de la evolución del suceso.
45
Código Actividad
1 2
3
4
5.
6.
Responsable
Compañía de El evento es detectado y notificado a seguridad Seguridad/ física Asociado/Visitante Se establece el origen del evento y se escala a la Compañía de Seguridad autoridad interna competente El Líder de Administración y Seguridad Física informa de la situación al Grupo de Reacción a Eventos de Emergencias. A partir del evento Líder Administración y ocurrido, se realiza una evaluación del impacto Seguridad física por el personal competente sobre la infraestructura afectada Conforme al resultado del impacto del evento, la evaluación del personal afectado, así como el horario y actividades críticas para el negocio se opta por: • Esperar la solución del evento y no desplazarse al Centro Alterno de Operaciones. • Suspender todas las actividades por un tiempo Comité Ejecutivo prudente y con ello se debe definir la fecha y el lugar para convocar y reanudar actividades en el centro alterno de operaciones, una vez se desplace se consideran las prioridades de los procesos que tenga actividades que establezcan condiciones especiales para un tiempo de respuesta determinado. A partir de la decisión de la activación del plan, el Comité Ejecutivo le informa al Grupo de Reacción de Emergencias la fecha y el lugar para Comité Ejecutivo convocar y reanudar actividades en el centro alterno de operaciones. El Líder de Administración y Seguridad Fisca convoca al personal respectivo, cuyos integrantes se desplazarán al sitio designado para su alistamiento y revisan la adecuación física del centro alterno de operación, hace preparativos básicos iniciales en cuanto a limpieza, Líder Administración y acomodación y adecuación, considerando la fecha Seguridad física y la hora en la que se presume que llegará el personal convocado. Esta actividad incluye la identificación de recursos faltantes para rápidamente ser solicitados a proveedores previamente identificados.
Tiempo Previsto 15 Minutos 15 Minutos
15 Minutos
15 Minutos
15 Minutos
1 Hora
46
7
8
9
10
11
12
El Gerente de Sistema anuncia al Grupo de Soporte de Sistemas que el centro alterno de operación ha sido habilitado y el personal ha sido convocado para que realicen la verificación de la funcionalidad de todos los recursos técnicos necesarios previstos en el lugar (Conectividad de red, telefónica, acceso a internet, entre otros), y el equipo de soporte se desplace al centro alterno. El Gerente de Sistemas solicita al Grupo de Soporte de Sistemas el alistamiento de los equipos de cómputo de usuarios final con las condiciones técnicas solicitadas que se requerirán en el centro alterno de operación. La Directora de Gestión Humana o su designado anuncia a los líderes de los procesos críticos que se encuentran en el anexo 2. Recursos Mínimos Necesarios Al mismo tiempo comunica la necesidad de que estos informen al total de los funcionarios las actividades a realizar en el corto plazo, es decir, para aquellos que son críticos el desplazamiento al sitio alterno, la designación de actividades logísticas o la suspensión de toda actividad hasta nueva orden. El líder de comunicación con medios se encarga de realizar la notificación o anuncios a los empleadnos, proveedores y clientes de acuerdo de acuerdo a los anexos 7.6.4 Anexos Comunicaciones Cada uno de los líderes de los procesos críticos o su designado establece la prioridad y la relevancia de las actividades a realizar conforme a la coyuntura de tiempo que se va dando de acuerdo a los compromisos o requerimientos propios del área o del negocio. Esto le permitirá ir definiendo el personal que debe responder a medida que pasa el tiempo convocando en el sitio alterno de operación e identificando recursos y registros vitales. Ver Anexo 01. Distribución de Personal A medida que cada líder identifica las actividades prioritarias los funcionarios de la compañía acuden y acceden al centro alterno de operación.
Gerente de Sistemas Grupo de Soporte de Tecnología
1 Hora
Gerente de Sistemas Grupo de Soporte de Tecnología
1 Hora
Directora de Gestión 1 Hora Humana
El líder comunicación medios
de con 1 Hora
Líderes de los Procesos
Líderes de los Procesos
47
Cada proceso crítico iniciara actividades dando prioridad aquellas que tienen mayor relevancia de acuerdo a la prestación de servicios, compromisos Líderes de los Procesos con entes externos, compromisos financieros, y generación de información y/o reporte.
13
Muestra 10. Procedimiento Respuesta (Fuente ITS)
8.3.2 Procedimiento ITS El procedimiento descrito a continuación define la secuencia general de actividades que se realizarán por parte de ITS en el momento en el que el Plan de Continuidad de Operaciones (COOP) sea activado. La tabla lista actividad por actividad definiendo el responsable y el tiempo previsto para su ejecución. El tiempo previsto es una estimación que puede variar en un evento real conforme las características propias resultado de la evolución del suceso. Para la ejecución del procedimiento se debe tener previamente los siguientes prerrequisitos:
Lista de distribución de teléfono
Lista de distribución de computadores
Computadores de contingencia pre configurados con las impresoras de Bogotá-calle 76 y con los aplicativos que va operar cada usuario.
48
Procedimiento:
Código Actividad 1
2
3
4
5
6
Responsable
Reasignar los teléfonos que están en los puestos de trabajo Soporte de la oficina de Bogotá-calle 76 y colocarlos en las salas calle 76 designadas para la operación en contingencia. Los computadores destinados para contingencia están en Soporte la Bodega de Bogotá-calle 76 y las llaves están en custodia calle 76 en la recepción de dicha oficina. Distribuir los computadores destinados para contingencia Soporte en los puestos de trabajo designado con su respectivo calle 76 punto de red conectado. Verificar la conectividad entre los equipos distribuidos en los puestos de trabajo y los servidores de aplicación a Soporte través de comando ping con una cuenta de usuario de Help calle 76 Desk. Notificar al Gerente de Sistemas que esta adecuado el Soporte COOP para recibir a los usuarios y que estos puedan calle 76 operar. El gerente de sistemas notifica al resto del Grupo táctico Gerente que esta adecuado el COOP para recibir a los usuarios y sistemas que estos puedan operar. Muestra 11. Procedimiento ITS (Fuente KPMG)
ITS
Tiempo Previsto en
ITS
en
ITS
en
ITS
en
ITS
en
de
49
8.4 Anexos COOP
8.4.1 Anexo 1- Distribución de Personal
Muestra 12. Mapa de Centro Alterno de Operaciones (Fuente KPMG)
50
8.4.2 Anexo 2- Recursos mínimos necesarios Área
Proceso
Personal Funcionario Mínimo
Oficial de Oficial de 1 Seguridad Seguridad
NITSO
PC con conexión aplicativos de negocio
Puesto básico de trabajo
Teléfono Fijo
ITS Teléfono BCP Celular SALAS
1
1
1
1
Pool De Procesami ento De Datos
Pool De Procesami 14 ento De Datos
Toda el Área en temporada 14 alta
14
3
4
SALA 1 16 Personas
Audit
Audit 1 Financiero
Secretaria
1
1
1
1
SALA 1 16 Personas
Comunicacio nes
1
1
1
0
SALA 1 16 Personas
1 1 1
1 1 1
1 0 1
1 1 1
1
1
1
0
Comunica Ventas y ciones con 1 Mercadeo Medios ITA 1 Advisory
AAS
2
Forencic
2
Secretaria Socio Asistente ejecutiva Secretaria
SALA 2 10 Personas
ITS - BCP DISTRIBUCI ON
Total Personas 14 Mesas contra Pared Costado Oriente: 4 Costado Sur: 5 Costado Occidente:5 Total Personas 1 Mesas contra Pared Costado Norte: 1 Total Personas 1 Mesas contra Pared Costado Norte: 1 Total Personas: 6 Mesa de Centro(actual)
ITS BCP ITS - BCP TELEFONOS PC' S
Impresora
Fax
1
0
2 1613 1611
6
2
0
1 1614
1
1
0
1 1606
1
1
0
3
0 0 0
0 0 0
0
0
2 1608 1626
Área
Personal
Proceso
Mínimo
Transanction & 1 Restructuring
Tax & Legal
Gestión de Admini stración y Financi era
Tax & Legal
4
Cumplimiento obligaciones tributarias 3 Disponibilidad del Dinero
Funcionario
PC CON conexión aplicativos de negocio
Puesto básico de trabajo
Teléfono Fijo
Teléfono Celular
Línea Ética
1
1
1
1
Director
1
1
1
1
Socio Tax Secretarias
1 2
1 2
1 2
1 2
Persona para solicitar sentinel
1
1
0
1
Directora Financiera Y Administrativa Gerente Senior Departamento Contabilidad Gerente Administrativa
3
3
Jefe de personal 1
1
ITS BCP SALA S
ITS - BCP DISTRIBUCI ON
ITS - BCP TELEFON OS
ITS - BCP PC' S
Costado Norte: 0 Costado Oriente: 1 Costado Sur:5
51 Impresora
Fax
0
0
1
0
SALA 2 10 Personas
Total Personas: 4 Mesa de Centro (actual) Costado Norte: 4 Costado Oriente: 0 Costado Sur: 0
2 1605 1609
3
1
1
Total Personas: 3 Mesa de Centro (actual) Costado Norte: 3
1 1616
1
0
0
1 1625
1
1
0
2 1602 1615
3
1
0
1
1
SALA 3 6 Personas
1
1
SALA 3 6 Personas
Total Personas: 3 Mesa de Centro (actual) Costado Sur: 3
SALA 4 4 Personas
Total Personas: 4 Mesa de Centro (actual)
Reclutamiento y Selección Gestión Contratación y de Nomina RRHH
3
Seguridad y Salud en el trabajo Encargado recuperación Gestión de TECNO LOGIA
Senior personal 1
1
Asistente de administración de personal
1
de
Contratación
CIO 3
Encargado de Recuperación
1
52
Área
Proceso
Salud Ocupacional Nomina TOTAL DE RECURSOS REQUIDOS EN CONTINGENCIA
Personal
Mínimo
Funcionario
PC CON conexión aplicativos de negocio
Puesto básico de trabajo
Teléfono Fijo
Teléfono Celular
ITS BCP SALAS
ITS - BCP DISTRIBUCI ON
ITS ITS - BCP BCP TELEFONOS PC' S
Impresora
Fax
1
0
Costado Norte: 2 Costado Sur: 2
HelpDesk1 HelpDesk2 36
33
33
16
17
4 SALAS
36 PERSONAS
0
19
Muestra 13. Recursos mínimos necesarios (Fuente KPMG) (*) Se especifica esta cantidad en total requerida por los procesos, sin embargo en el centro alterno de operaciones (CAO) estos recursos son compartidos.
53
8.4.3 Anexo 3. Lista General de Contactos Internos Rol Líder de Administración y Seguridad Física Directora de Gestión Humana Directora Financiera y Administrativa
P:Principal Nombre A: Alterno Yolanda P Gómez Diana A Mogollón P Mónica Haupt A Mirialba Toro P Myriam Fonseca A Yolanda Gómez P Alain Almeida
ITLP: Information Technology Liaison Partner A
Jairo Jerez
P
Jairo Jerez
A
Miguel Ortiz
Gerente de Sistemas
Líder de la Brigada P de Emergencias A
Ext – Teléfono
Celular
1212 - 1248
3188430082 [email protected]
1248
3164730981 [email protected]
1386 1259 1236 - 1397
3153380540 [email protected] 3153380360 [email protected] 3158739327 [email protected]
1212 - 1248
3188430082 [email protected]
Correo
4111 - 4142 [email protected] 1230 3163358955 1398 [email protected] 3163049366 1398 [email protected] 3163049366 1398 [email protected] 3185698732 1390 [email protected]
Carolina Bahamon Zivanna 1447 - 1130 [email protected] Navarro Muestra 14. Lista General de Contactos Internos (Fuente KPMG)
54
9. Análisis de impacto BIA Para el diseño y la documentación del presente Plan de Recuperación de Desastres (DRP) se tuvo en cuenta el Informe de Análisis de Impacto (BIA) realizado en Diciembre de 2013, así como las sesiones de trabajo realizadas con los responsables del Plan de Continuidad del Negocio y el equipo de ITS, entre otros. Conforme lo establece el informe, el análisis de impacto al negocio (BIA) tuvo como objetivo la identificación de los elementos (información) relevante que permita el diseño de las estrategias de continuidad acordes a la medida de la Firma, sus principales resultados fueron considerados y aprobados por el comité de presidencia y a continuación se incluye una breve reseña de los insumos más relevantes para el Plan de Recuperación. 9.1 Recovery Time Objective (RTO) Como conclusión del Análisis de Impacto al Negocio realizado, se establece que el centro de cómputo alterno (CCA) y el Centro de Operaciones (COOP) deben ser activados en un tiempo de 6 horas.
55
La siguiente tabla muestra el orden de recuperación de los aplicativos que requieren operar desde el CCA y que estén disponibles para el usuario en el COOP, con sus respectivos tiempos de recuperación. Aplicación
eAudIT
Área / Proceso Crítico Gestión de Administración y Financiera Audit
Kactus
Gestión de RRHH
Seven
RTO 6H
1 Día (24H)
File Server (Carpetas Todas las áreas de KPMG de red) Muestra 15: Orden de recuperación aplicativos (Fuente KPMG)
56
Los aplicativos globales los cuales se acceden por KNET son requeridos por varias áreas como lo muestra la siguiente tabla: Aplicación
Correo Electrónico
Área / Proceso Critico Gestión de Administración y Financiera Gestión de RRHH (1 día)
RTO
Advisory (1 día)
1 Día (24H)
Sentinel CEAC
CRM QBUS
1 Día (24H) 2 Días (48H)
Tax & Legal
Interpreter GCC
6H
2 Días (48H) 2 Días (48H)
Advisory – BPS Gestión de Mercadeo y Comunicaciones Oficial de Seguridad
2 Días (48H) 1 Semana o más 1 Semana o más
Administración de Calidad y 1 Semana o más Riesgos Quick Scan 1 Semana o más Advisory – AAS People Meetis 1 Semana o más Muestra 16. Aplicativos globales usados en la Firma (Fuente KPMG) KICS
Según la tabla anterior la conexión con Global a través de KNET se necesita con conectividad desde el CCA y prestando servicio a los usuarios desde el COOP en 6 horas, máximo en un día. Internet lo requieren la mayoría de los procesos para conexión con aplicativos de proveedores, acceso a cuentas bancaria y como fuente de Knowledge. La siguiente tabla muestra las áreas que requieren Internet en su operación en contingencia.
57
Servicio de Área / Proceso INTERNET Gestión de Administración y Portales Bancarios Financiera Sigma y Performe Gestión de RRHH El Empleo
RTO
SPAMS
Advisory - BPS
2 Días (48H)
Data Rooms
Advisory - Transanction & Restructuring
2 Días (48H)
Últimas tendencias
Advisory - Climate Change & Sustainability
6H 1 Día (24H) 1 Día (24H)
1 Semana o más
Estudios en rede 1 Semana o más sociales Muestra 17. Servicio de Internet (Fuente KPMG) Según la tabla estas áreas necesitan el recurso de Internet para la operación de sus procesos, por lo tanto se necesita el servicio de Internet operando desde el CCA y prestando servicio a los usuarios desde el COOP en un tiempo de 6 horas. 9.2 Recovery Point Objective (RPO) Como conclusión del Análisis de Impacto al Negocio realizado, el respaldo de la información que se genera en operación normal (producción) debe ser respaldada en el CCA cada 4 horas como en el caso de eAudIT y el resto de aplicaciones críticas pedidas por el negocio debe tener respaldo de información de 1 día, tal como lo muestra la siguiente tabla:
58
Aplicación
Área / Proceso
RPO
eAudIT
Audit
4H
SEVEN
Gestión de Administración y Financiera
6H
Kactus
Gestión de RRHH
1 Día (24H)
File Server Todas las áreas de KPMG 1 Día (24H) (Carpetas de red) Muestra 18. Orden de prioridad en respaldo de información (Fuente KPMG) 9.3 Roles y Responsabilidades Los grupos de trabajo están conformados por funcionarios especializados que realizarán actividades en común durante la puesta en marcha del plan. Los roles aquí descritos tendrán una interacción conforme se describe en el Plan de Continuidad en el Capítulo 7.4 Estructura Jerárquica de los Grupos de Respuesta, Roles y Responsabilidades. A continuación se presentan los grupos de trabajo planteados para el presente plan:
9.3.1 ITLP: Information Technology Liaison Partner Es el Líder del Plan de Recuperación Tecnológica – DRP, será responsable de los procedimientos de diagnóstico y recuperación desarrollados para los sistemas de información de la Firma. Tendrá el rol de decidir cuándo un evento amerita activar los procedimientos del Plan de Recuperación Tecnológica (DRP) y supervisar las actividades de avance del mismo para reportar al comité ejecutivo en caso de que este se conforme.
9.3.2 Gerente de Sistemas Es el encargado de gestionar y dirigir los procesos, actividades del Grupo de Recuperación Tecnología con el objetivo de asegurar una adecuada activación del CCA, su operación en contingencia y del retorno a la normalidad.
59
9.3.3 Grupo de Recuperación Tecnológica Grupo conformado por especialistas técnicos. Su principal función está dada por diagnosticar y establecer el origen inicial de una falla. Eventualmente este grupo escalará el evento cuando no obtenga solución del mismo. Este grupo está conformado por: 9.3.3.1 Help Desk
Grupo conformado por especialistas técnicos encargados de atender los requerimientos de los usuarios finales. Su principal función está dada por diagnosticar y establecer el origen inicial de una falla. Eventualmente este grupo escalará el evento cuando no obtenga solución del mismo. 9.3.3.2 Equipo Especialistas de Aplicaciones e Infraestructura
Los administradores de los aplicativos de la Firma son los encargados de administrar los requerimientos propios de las aplicaciones, de establecer y mantener su parametrización para que los procesos de negocio obtengan beneficio de la herramienta. En un evento de interrupción tendrá la responsabilidad de realizar un diagnóstico técnico sobre la aplicación y escalar a un tercer nivel en caso de que no obtenga solución. Los administradores de los elementos de la infraestructura, son los encargados de dar soporte técnico a toda la plataforma en sus diferentes niveles de comunicación y procesamiento. El líder del tercer nivel tendrá contacto con proveedores y fabricantes para que a través de contratos de mantenimiento y soporte pueda escalar y obtener soluciones fuera de su alcance. Este equipo tendrá las siguientes responsabilidades antes, durante y después de una contingencia:
Validar el resultado del proceso de replicación de información entre el Centro de Cómputo Principal y el Centro de Cómputo Alterno.
60
Verificar con los usuarios finales la disponibilidad y la integridad de los datos del sistema de información.
Brindar soporte al aplicativo incluyendo sus siguientes componentes: sistema operativo, bases de datos, almacenamiento, entre otros.
Verificar la instalación del Hardware requerido por la aplicación en el Centro de Cómputo Alterno, en caso de que esto sea necesario.
Monitorear las variables de desempeño de la infraestructura de cómputo del Centro de Cómputo Principal y Alterno.
Asegurar la disponibilidad de los medios de respaldo requeridos en el Centro de Cómputo Alterno.
Coordinar la disponibilidad de recursos adicionales de infraestructura de cómputo con proveedores de servicio previamente identificados.
Monitorear las condiciones ambientales de trabajo al interior de los Centro de Cómputo Principal y Alterno.
Brindar soporte a la infraestructura de cómputo de los Centro de Cómputo Principal y Alterno.
Establecer y supervisar las medidas de seguridad de orden físico y lógico en la solución de los Centro de Cómputo Principal y Alterno, incluyendo los sistemas de cómputo, las aplicaciones y la adecuación física de estas localidades.
Desarrollar las actividades de recuperación de los componentes de seguridad perimetral dispersos en la topología de la estrategia del Plan de Continuidad de TI.
Coordinar las medidas de acceso de los Centro de Cómputo Principal y Alterno.
61
Garantizar la disponibilidad y operación efectiva de los elementos de la red de telecomunicaciones dispersos en la topología de la estrategia del Plan de Continuidad de TI.
Monitorear y gestionar los enlaces de comunicación y con ello garantizar su óptimo desempeño.
Coordinar con los proveedores de servicio que brinden equipos y/o enlaces de comunicaciones para las actividades de soporte que puedan llegar a ser requeridas.
Brindar soporte a la infraestructura de telecomunicaciones de los Centro de Cómputo Principal y Alterno, así como al Centro Alterno de Operación (COOP) de Bogotá Calle 76.
9.3.3.3 Proveedores
Son proveedores de hardware y software de ITS. Estos son requeridos por el equipo de especialistas de aplicaciones e infraestructura, en caso de requerir un apoyo. 9.4 Línea de Sucesión La línea de sucesión identifica los responsables asignados a los diferentes roles del DRP y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este plan. La línea de sucesión se describe a continuación por equipos y roles:
62
Rol
Principal
Alterno
ITLP
Alain Almeida
Jairo Jerez
Gerente de Sistemas
Jairo Jerez
Diego Pinillos
Equipo Infraestructura
Carlos A. Miguel Ortiz
Equipo Aplicaciones
Nancy Rodríguez
Iván Torres
Help Desk
Diego Pinillos
Dany Urrego
Chávez
Daniel E. Ibarra
Muestra 19. Línea de Sucesión (Fuente KPMG) 10. Activación de Recuperación de Tecnológica
Cod. Actividad
1
2
3
4
Detección del evento. El usuario final identifica una falla de cualquier índole en los sistemas críticos de la Firma y se la comunica con el Help Desk. Diagnóstico de Primer Nivel. Tras la detección del evento, el equipo de primer nivel realiza un diagnóstico para identificar la causa del mismo. En caso que este equipo de trabajo pueda solucionar el evento identificado, debe gestionarlo y resolverlo. Diagnóstico de Segundo Nivel (Equipo de especialistas de aplicaciones e Infraestructura). En caso que el equipo de primer nivel no logre resolver el evento identificado, el equipo de especialistas realiza un diagnóstico para identificar la causa del mismo y en caso que lo pueda resolver debe gestionarlo y resolverlo. Diagnóstico de Segundo Nivel (Proveedores). Si el equipo de especialistas no resuelve el evento, es necesario realizar un diagnóstico, si este lo logran resolver deben gestionarlo y resolverlo.
Responsable
Tiempo Previsto
Usuario Final
5 min
Help Desk
5 min
Equipo de especialistas de aplicaciones e infraestructura
10 min
Proveedores
15 min
63 Se requiere activar el Plan Recuperación Tecnológica?. De acuerdo con los diagnósticos realizados anteriormente, el gerente de sistemas junto con el ITLP debe analizar la situación y decidir si el evento amerita sugerir al Comité Ejecutivo la activación del plan de Recuperación Tecnológica. Para la toma de la decisión remítase al “Capítulo 9.10 Criterios de Activación” de este documento. Activar el Plan de Recuperación Tecnológica. El ITLP se debe encargar de comunicar al Grupo de Recuperación Tecnología la activación del Plan de Recuperación Tecnológica. Desarrollar los Procedimientos de activación del Plan. Se deben ejecutar las actividades para habilitar y entregar el servicio desde el Data Center Alterno. Para mayor detalle remítase al “Capítulo 9.11 Guiones de recuperación (Procedimientos de activación)”
Gerente de Sistemas e ITLP
10 min
ITLP
15 min
Equipo de especialistas de aplicaciones e infraestructura
6 Horas
8
Reanudar los Servicios de Tecnología. Para retomar el servicio desde el Data Center principal se deben realizar las actividades correspondientes. Para mayor detalle remítase al “Capítulo 9.12 Retorno a la normalidad”
Equipo de especialistas de aplicaciones e infraestructura
S/I
9
Gestión de Incidentes y/o Solución de Problemas. El Equipo especialistas de escalamiento debe realizar las actividades técnicas en cuanto a la gestión de incidentes y/o solución de problemas para corregir la falla que originó el evento identificado.
Equipo de especialistas de aplicaciones e infraestructura
1h
10
Se obtuvo solución? Si se solucionó el evento identificado, se procede a dar cierre al mismo. Si no se obtuvo solución es necesario que el equipo de especialistas vuelva a realizar un diagnóstico.
Equipo de especialistas de aplicaciones e infraestructura
5 min
5
6
7
Muestra 20. Procedimiento de Activación de Recuperación de Tecnológica (Fuente KPMG)
64
11. Criterios de Activación Los criterios de activación de cada uno de los planes son una herramienta útil para la toma “oportuna” decisiones en un evento real. El planteamiento aquí definido puede tomarse como base para activar uno u otro plan según sea el caso, pero se debe tener presente que los criterios aquí descritos son un punto de partida o una referencia inicial que puede ser completada o reevaluada por los resultados de las actividades de prueba o por las condiciones propias del hecho. Impacto
Duración
Decisión
Responsable
Interrupción de todos los El tiempo de solución Notificar al Comité servicios críticos de Tecnología del evento es incierto, Ejecutivo y sugerir activar de Información: o se estima que durará el Plan de Recuperación más de 6 horas. Tecnológica (DRP). • SEVEN ITLP • eAudIT Se estima que el • Kactus tiempo de solución Realizar procedimientos de • KNET (Correo del evento no es gestión de incidentes y/o Electronico) superior a las 6 horas. solución de problemas. • Internet Muestra 21. Criterios de Activación (Fuente KPMG) 11.1 Activación del Plan de Recuperación (DRP) A continuación se detallará la secuencia de actividades para cada uno de los procedimientos indicados en la gráfica anterior. Las tablas de los procedimientos listan actividad por actividad definiendo el responsable, el tiempo previsto para su ejecución, y el recurso requerido para ejecutarla. El tiempo previsto es una estimación que puede variar en un evento real conforme las características propias resultado de la evolución del suceso.
65
11.2 Procedimiento “Validar Conectividad Sedes KPMG desde CALLE 76 - CLO” Este procedimiento describe las actividades secuenciales que se deben realizar para establecer la conectividad de los administradores de las plataformas en Bogotá-calle 76 (COOP) y Cali. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Lista de Contactos de Proveedores (Instructivos) 2. Puestos de trabajo: a) Calle 76: Sala de reuniones 1, punto de Red 43 (azul) b) Cali: Oficina Daniel Ibarra, punto de red 12 (azul) 3. Equipos: a) Calle 76: Equipo de Bodega numerado como 99 con (VsPhere Client, Putty, Enterprise Manager Client) b) Cali: Equipo asignado a Daniel Ibarra con (VsPhere Client, Putty, Enterprise Manager Client) 4. Reserva de interfaces: a) Calle 76: De Patch Panel 1 puerto 15 conectar Switch 2 Puerto 30 (Puesto de trabajo) b) Cali: De Patch Panel 1 puerto 12 conectar a Switch 1 Puerto 30 (Puesto de trabajo) 5. Conector de consola hacia el switch. 6. Instructivo o guía básica para switch core. (Instructivos) 7. Contar con la token RSA 8. Putty Instalado en los Equipos de Recuperación. 9. Acceso a centro de cómputo para el equipo de recuperación de infraestructura
66
No. Act Descripción de la Actividad
1
2
3
4
5
Conectar las interfaces reservadas en los Switches del CC a los puertos del Patch Panel de los puestos de trabajo. (Actividad que se realiza en el CC calle76 y/o Cali) Administrador y Pc de recuperación en los puestos de trabajo de calle 76 – Sede Cali. (Ver plano de Localización - Instructivos)
Responsable
Tiempo previsto
Recursos requeridos ubicación
y
Equipo de recuperación Infraestructura Equipo de Desplazamient Calle 76 recuperación o de calle 90 a Disponibilidad Infraestructura calle 36 de puertos (3)
Validar direccionamiento IP en las máquinas que estén dentro del siguiente rango de red mediante comando Equipo de “ipconfig”: recuperación 5 minutos Infraestructura 10.193.240.24/29 – Sede Calle76. 10.193.193.32/27 - Sede Cali. Validar conectividad a cada uno de los Equipo de recuperación 5 minutos switch core de las ciudades: Infraestructura Mediante ping desde equipo y/o Switch Core. Calle 76: 10.193.240.17 Cali: 10.193.193.1 Medellín: 10.193.161.1 Barranquilla: 10.193.224.81 Cali CCA: 10.193.193.5 Validar DNS (ping, tracert) A través de un comando ping y traza a las direcciónes: - Equipo de *codrsdc12.co.kworld.kpmg.com recuperación 5 minutos *10.196.2.160 Infraestructura (Desde PC’s de operadores en Cali o Calle 76)
Computador Adaptador de energía. Cable de red
Putty Cmd
67
6
Validar Resolución de Nombres A través de un comando “nslookup” y haciendo consulta a: Equipo de Codrsgc12 recuperación 5 minutos 10.193.220.45 Infraestructura (Desde PC’s de operadores en Cali o Calle 76)
7
Validar acceso y funcionamiento de RSA de Cali: Acceso: Mediante ping al servidor Equipo de codrsapp53.co.kworld,kpmg.com recuperación 5 minutos Funcionamiento: Acceder a la dirección Infraestructura https://codrsapp53.co.kworld.kpmg.com:7 0 04/IMS-AA-IDP/InitialLogonDispatch.do
Documento: Guía básica de validaciones
8
Equipo de Validar con el comando PING servicio NPS recuperación 5 minutos al servidor CODRSSRV32. Infraestructura
Consola NPS de Windows.
Muestra 22. Procedimiento “Validar Conectividad Sedes KPMG desde CALLE 76 CLO” (Fuente KPMG) 11.3 Procedimiento “Validar Servicios KNET y Servicios Globales” Este procedimiento describe las actividades secuenciales que se deben realizar para alistar los Servicios de KNET y los Servicios Globales. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Equipos de Orange disponibles en el CCA 2. Contrato
de
soporte
con
Level
correo:[email protected]) 3. Manos remotas en cada una de las sedes
3
vigente
(Contacto
tel:
6391200
68
4. Haber ejecutado el procedimiento (Validar Conectividad Sedes KPMG desde CALLE 76 – CLO) 5. Usuario y contraseña para el ingreso a los switches
No. Act
1
2
3
4
Tiemp o Descripción de la Actividad Responsable Recursos requeridos y ubicación previst o Putty Ingresar al switch Core de Cali Documento: (10.193.193.1) Columbia_Bogota_Cali Desde Cali o desde Calle 76 mediante MCS setup V0 3 putty SSH Ubicación: Impreso en archivos de 15 Encargado de calle 76 y calle 90 minuto Validar protocolo EBGP en el switch Recuperación (Instructivos) s core de Cali (10.193.193.1) Documento: Guía básica de Según documento BasicNetworking troubleshooting el comando es: show ip bgp admin Ubicación: Impreso en archivos de status=enabled calle 76 y calle 90 Estando en el switch core de Cali, validar conectividad a KNET, a través de un comando ping y traza a la dirección 10.196.2.160 (desde Cali o desde Calle 76) Ingresar al switch de Calle 76, Medellín y Barranquilla y validar conectividad a servicios de KNET, a través de un comando ping y traza a la dirección 10.196.2.160 (desde Cali o desde Calle 76). Validar acceso a la página KWorld (http://portal.kworld.kpmg.com/Pages/H om e.aspx) (Desde PC’s de operadores en Cali o Calle 76)
15 Encargado de minuto Putty Recuperación s
15 Encargado de minuto Putty Recuperación s
5 Encargado de minuto Recuperación s
69
5
6
7
Validar funcionamiento del Correo – Hacer auto-envío de un correo para validar envió y recepción de correos 5 dentro de correos de la firma. (Desde Encargado de minuto Recuperación PC’s de operadores en Cali o Calle 76) s
Validar envió y recepción de correos a 5 Encargado de SMTP externo. (Desde PC’s de Minuto Recuperación operadores en Cali o Calle 76) s Validar acceso a TPAM – Acceder a la siguiente URL: https://tpam1.kworld.kpmg.com/commo n/L 5 Documento: Guía básica de ogin.asp?REFR=https%3A//tpam1.kwor Encargado de Minuto validaciones Recuperación ld. kpmg.com/tpam/main.asp%3F s y realizar solicitud de recuperación de password del administrador. (Desde PC’s de operadores en Cali o Calle 76)
70
Muestra 23. Procedimiento “Validar Servicios KNET y Servicios Globales” (Fuente KPMG) 11.4 Procedimiento “Validar Conectividad Internet Cali” Este procedimiento describe las actividades secuenciales que se deben realizar para Validar la conectividad del Internet en Cali. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Cumplimiento de las actividades anteriores. Procedimientos: a) Validar Conectividad Sedes KPMG desde CALLE 76 – CLO b) Validar Servicios KNET y Servicios Globales 2. Acceso al Host y al TMG No. Act
Descripción de la Actividad
Responsable
Tiempo previsto
Recursos requeridos y ubicación
1
Validar conectividad con el host DMZ(colocar el nombre del servidor) en el sitio alterno en Cali. Mediante ping a la dirección IP: 10.193.214.239 (Desde PC’s de operadores en Cali o Calle 76)
Equipo de recuperación 5 minutos Cmd infraestructur a
Validar conectividad con el servidor TMG proxy del sitio alterno. 2
Mediante ping a la dirección IP: IP: 10.193.221.226 (Desde PC’s de operadores en Cali o Calle 76)
Equipo de recuperación 5 minutos Cmd infraestructur a
71
Validar conectividad con el firewall perimetral CISCO ASA.
3
4
5
Equipo de Mediante ingreso desde el navegador a: recuperación https://10.193.223.18:8443 5 minutos Cmd infraestructur a (Desde PC’s de operadores en Cali o Calle 76) Validar disponibilidad del dominio kpmgproxy.com Mediante el Internet Explorer acceder a la dirección: http://kpmgproxy.com/kpmgproxy.pa c y descargar en el desktop el archivo solicitado (cambiar manualmente el alias del kpmgproxy.com) Paso a paso del archivo .pac (Desde PC’s de operadores en Cali o Calle 76) Validar acceso a página en Internet Mediante el Internet Explorer ingresar http://www.google.com http://www.bancolombia.com http://www.colpatria.com
5 minutos
Instructivo - cambiar .pac
5 minutos
(Desde PC’s de operadores en Cali o Calle 76) Validar envió y recepción de correos externo
6
Acceder a un correo externo (google o yahoo o hotmail) y enviar correo hacia y desde la cuenta de KPMG
5 minutos
(Desde PC’s de operadores en Cali o Calle 76) Muestra 24. Procedimiento “Validar Conectividad Internet Cali” (Fuente KPMG)
72
11.5 Procedimiento “Verificación componentes en Sitio Alterno” Este procedimiento describe las actividades secuenciales que se deben realizar para verificar los componentes en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1.
Haber ejecutado el procedimiento “Validar Conectividad Internet Cali”
2.
Instalación en los equipos Vsphere Client – Entreprise Manager – Putty.
3.
Documento de diseño del CCA impreso en el archivo de calle 76 y calle 90
4.
Línea Base de la solución del CCA impreso en el archivo de calle 76 y calle 90
73
No.
Descripción
Act
Actividad
de
la
Tiempo
Recursos
previsto
ubicación
requeridos
y
Responsable
1
2
3
4
5
6
7
8
Validar conectividad con Equipo de switch del CCA, realizando recuperación 5 minutos ping a la IP 10.193.193.5 infraestructura Validar conectividad con el Equipo de switch de fibra realizando el recuperación 5 minutos ping a la IP 10.193.220.4 infraestructura Validar conectividad con los host-Vcenter, Equipo de realizando ping a las IP’s recuperación 5 minutos Host 1: 10.193.220.10 infraestructura Host 2: 10.193.220.11 Vcenter: 10.193.220.12 Acceder al Vcenter, ingresando al Vpshere se Equipo de direcciona a la IP recuperación 5 minutos 10.193.220.12. infraestructura Vía Web o vSphere Client.
Cmd
Cmd
Cmd
Vpshere Client Documento: Línea Base de la solución del CCA Ubicación: impreso en el archivo de calle 76 y calle 90
Validar conectividad con la Equipo de Putty SAN del CCA, ping a la IP recuperación 5 minutos cmd 10.193.220.20 infraestructura Acceder a la SAN del CCA, vía Web a la IP Documento: Línea Base de 10.193.220.20 y validar el Equipo de la solución del CCA estado de los volúmenes y recuperación 10 minutos Ubicación: impreso en el mapping de los mismos. infraestructura archivo de calle 76 y calle 90 Vincular actividades con el instructivo. Validar conectividad mediante ping a los servidores de Enterprise Equipo de Putty Manager CODRPSRV06 recuperación 10 minutos cmd (10.193.220.42) y base de infraestructura datos CODRPDB01 (10.193.220.70). Cliente Enterprise manager Acceder al Enterprise Equipo de Documento: Línea Base de Manager para validar la recuperación 15 minutos la solución del CCA replicación de los infraestructura volúmenes.
74
Ubicación: impreso en el archivo de calle 76 y calle 90
9
10
11
12
13
Equipo de Vpshere Client Acceder al Vcenter y al recuperación 15 minutos Línea Base de la solución del plugin de SRM. CCA infraestructura Ubicación: impreso en el archivo de calle 76 y calle 90 Validar el correcto Equipo de funcionamiento de los recuperación 15 minutos Vpshere Client recovery Plan. infraestructura Validar conectividad y servicios del Dominio del CCA: Nombre Servidor: CODRSDC12 Equipo de IP: 10.193.220.35 recuperación 15 minutos Acceso por RDP Nombre Servidor: infraestructura CODRSGC12 IP: 10.193.220.45 Servicios: DNS Wins Equipo de Validar Winmagic recuperación infraestructura Ejecutar opción LiveUpdate Validar servicio de antivirus del antivirus para descarga y Administrador 30 minutos CODRSSRV13. actualización de las definiciones de virus. Muestra 25. Procedimiento “Verificar los componentes en Sitio Alterno” (Fuente KPMG)
75
11.6 Procedimiento “Recuperar Servicio de Seven” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de Seven en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Componentes del CCA estén arriba: a) VCenter b) Storage c) Switch de fibra d) Switch de LAN e) SRM. f) Instructivo de recuperar servicios de SRM 2. Haber ejecutado los procedimientos anteriores No. Act 1
2
Descripción Actividad
de
la
Responsable
Tiempo previsto
Ingresar al SRM Equipo de mediante el VCenter. IP: recuperación 5 Minutos 10.193.20.12 Infraestructura Equipo de Recuperar servicio de recuperación 5 Minutos Seven mediante SRM. Infraestructura
Recursos requeridos ubicación
y
Vsphere client Instructivo de recuperar servicios de SRM
76
3
4
5
6
7
8
Entrar al VCenter y validar a nivel de Sistema Operativo que las siguientes Virtual Machine inicialicen correctamente: COBOGAPP51 IP: 10.193.220.51/28 COBOGAPP52 IP: 10.193.220.52/28 COBOGDB25 IP: 10.193.220.66/28 COBOGAPP20 IP: 10.193.220.50/28 En caso de no funcionar el punto anterior, realizar diagnostico a nivel de S.O. Validar conectividad y acceso a los siguientes servidores desde calle 76 y ciudades: COBOGAPP51 IP: 10.193.220.51/28 COBOGAPP52 IP: 10.193.220.52/28 COBOGDB25 IP: 10.193.220.66/28 COBOGAPP20 IP: 10.193.220.50/28 Inicialmente por nombre y luego por IP. En caso de no funcionar el punto anterior, Se debe ingresar a VCenter y realizar Troubleshooting a nivel de Networking. Validar el ingreso al aplicativo Seven. https:\\cobogapp51\seven Revisión de integridad de datos del aplicativo y funcionalidades.
Equipo de recuperación 5 Minutos Infraestructura
Equipo de recuperación Indefinido Infraestructura
Medios de Instalación Sistema Operativo, Seven.
Equipo de recuperación 30 Minutos Infraestructura
Vsphere client RDP CMD
Administrador Indefinido
Líder funcional del aplicativo 5 Minutos Líder funcional del aplicativo 5 Minutos
Instructivo de Troubleshooting de Networking (Instructivos Direccionamiento)
77
9
Revisión de integridad de Usuarios datos por parte del 5 Minutos funcionales usuario funcional. Muestra 26 Procedimiento “Recuperar Servicio de Seven” (Fuente KPMG) 11.7 Procedimiento “Recuperar Servicio de eAudit” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de eAudit en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Componentes del CCA estén arriba: a) VCenter b) Storage c) Switch de fibra d) Switch de LAN e) SRM. 2. Instructivo de recuperar servicios de SRM
No. Act 1
2
Descripción de la Actividad
Responsable
Tiempo previsto
Ingresar al SRM mediante el Equipo VCenter. IP: 10.193.20.12 recuperación 5 Minutos infraestructura Recuperar servicio de eAudIT Equipo mediante SRM. recuperación 5 Minutos infraestructura
Recursos requeridos y ubicación Vsphere client Instructivo de recuperar servicios de SRM
78
3
4
5
6
7
8
9 10
Entrar al VCenter y validar a nivel de Sistema Operativo que las siguientes Virtual Machine inicialicen correctamente: COBOGWEB11 IP: 10.193.220.53/28 COBOGDB11 IP: 10.193.220.67/28 COBOGSRV19 IP: 10.193.220.38/28 En caso de no funcionar el punto anterior, realizar diagnostico a nivel de S.O. Validar conectividad y acceso a los siguientes servidores desde calle 76 y ciudades: COBOGWEB11 IP: 10.193.220.53/28 COBOGDB11 IP: 10.193.220.67/28 COBOGSRV19 IP: 10.193.220.38/28 Inicialmente por nombre y luego por IP. En caso de no funcionar el punto anterior, Se debe ingresar a VCenter y realizar Troubleshooting a nivel de Networking.
Equipo recuperación 5 Minutos infraestructura
Equipo recuperación Indefinido infraestructura
Medios de Instalación Sistema Operativo y eAudIT.
Equipo Vsphere client recuperación 30 Minutos RDP infraestructura CMD
Equipo recuperación Indefinido infraestructura
Instructivo Troubleshooting Networking
Equipo Instructivo Validar servicios de SQL y eAudIT. recuperación 30 Minutos servicios eAudIT infraestructura Validar el ingreso al aplicativo Líder eAudIT. funcional del 5 Minutos cobogweb11.co.kworld.kpmg.com aplicativo Revisión de integridad de datos del Líder aplicativo y funcionalidades. funcional del 5 Minutos aplicativo Revisión de integridad de datos por Usuarios 5 Minutos parte del usuario funcional. funcionales Muestra 27 Procedimiento “Recuperar Servicio de eAudit” (Fuente KPMG)
de de
de
79
11.8 Procedimiento “Recuperar Servicio de Kactus” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de Kactus en CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1.
2.
Componentes del CCA estén arriba: a.
VCenter
b.
Storage
c.
Switch de fibra
d.
Switch de LAN
e.
SRM.
Instructivo de recuperar servicios de SRM
No. Act
Descripción Actividad
1
Ingresar al SRM mediante el VCenter. IP: 10.193.220.12
2
de
la
Responsable
Equipo Recuperación Infraestructura Recuperar servicio de Kactus Equipo COBOGAPP01) mediante Recuperación SRM. Infraestructura
3
Entrar al VCenter y validar a nivel de Sistema Operativo que las siguientes Equipo Virtual Machine inicialicen Recuperación correctamente: Infraestructura COBOGAPP01 IP: 10.193.220.54/28 COBOGDB25 IP: 10.193.220.66/28
4
En caso de no funcionar el Equipo punto anterior, realizar Recuperación diagnostico a nivel de S.O. Infraestructura
Tiempo previsto
Recursos ubicación
5 Minutos
Vsphere client
requeridos
y
Instructivo de recuperar servicios 20 Minutos de SRM
5 Minutos
Medios de Instalación Sistema Indefinido Operativo, Kactus.
80
5
6
7
8
9 10
11
Validar conectividad y acceso a los siguientes servidores desde calle 76 y ciudades: COBOGAPP51 IP: 10.193.220.51/28 Equipo COBOGAPP52 Recuperación IP: 10.193.220.52/28 Infraestructura COBOGDB25 IP: 10.193.220.66/28 COBOGAPP20 IP: 10.193.220.50/28 Inicialmente por nombre y luego por IP.
30 Minutos
Vsphere client RDP CMD
En caso de no funcionar el Instructivo de Troubleshooting punto anterior, Se debe de Equipo ingresar a VCenter y Networking (Instructivos Recuperación Indefinido Direccionamiento) realizar Infraestructura Troubleshooting a nivel de Networking. Validar servicios de Oracle, Equipo 30 Kactus, Instancia Recuperación Instructivo de servicios Kactus Minutos Coboggdb. Infraestructura Validar en servidores DNS que el PTR y host que los servidores descritos Equipo 15 Acceso al Dominio de CCA anteriormente Recuperación Minutos RDP correspondan a la IP Infraestructura también descrita anteriormente. Validar el ingreso al Líder funcional 5 Minutos del aplicativo aplicativo Kactus. Revisión de integridad de Líder funcional datos del aplicativo y del aplicativo 5 Minutos funcionalidades. Revisión de integridad de Usuarios datos por parte del usuario 5 Minutos funcionales funcional. Muestra 28. Procedimiento “Recuperar Servicio de Kactus” (Fuente KPMG)
81
11.9 Procedimiento “Recuperar Servicio de VPN Local” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de VPN Local en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Firewall perimetral activo 2. Servidor del RSA activo en sitio alterno 3. Validar Round-Robin de los host de perfiles de VPN 4. Instructivo Troubleshooting VPN Local No. Act
1
2
3
4
5
Descripción de la Actividad Responsable Validar que el host vpn3co.kpmg.com.co responda en Internet con la siguiente IP publica: 190.216.199.226 En caso de que no funciones el punto anterior, se debe escalar un ticket a Global por medio de Remedy y solicitar este servicio. Acceder al servicio de VPN local por medio de CISCO Client
Tiempo Recursos previsto ubicación
requeridos
y
Equipo Recuperación 5 Infraestructur Minutos a Equipo Recuperación 5 Infraestructur Minutos a Equipo Recuperación 5 Token Infraestructur Minutos a Instructivo Troubleshooting Equipo VPN Local Recuperación 2 Horas ASDM de Cisco ASA. Infraestructur a
Si el paso anterior no funciona, realizar Troubleshooting en el concentrado VPN sobre los perfiles locales. Acceder al servicio de VPN Equipo 5 local por medio de CISCO Recuperación Token Minutos Client
82
Infraestructur a Validar que los servicios Equipo corporativos como correo, Recuperación 5 6 Lync, eAudIT. Infraestructur Minutos a Muestra 29. Procedimiento “Recuperar Servicio de VPN Local” (Fuente KPMG) 11.10 Procedimiento “Recuperar Servicio de File Server” Este procedimiento describe las actividades secuenciales que se deben realizar para recuperar el servicio de File Server en el CCA. Para que el procedimiento aquí descrito sea efectivo durante un evento real, se deben cumplir los siguientes requisitos: 1. Validar que el volumen del File Shared este replicado 100% en el storage de Cali (instructivo - File_Server) 2. Instructivo de configuración de DFS y Sharing (Construir e imprimir) 3. Instructivo de como presentar un volumen a una virtual machine o un servidor físico. No. Act
1
2
3
4
Descripción de la Actividad Responsable Ingresar al storage SC4020 mediante la Equipo Recuperación IP: 10.193.220.20 mediante el Infraestructura Navegador IE Validar volumen Equipo Recuperación COBOGFSR99_1_E y Infraestructura realizar mapping al cluster de VMWare Validar volumen Equipo Recuperación COBOGFSR99_1_E y Infraestructura realizar mapping al NAS appliance Ingresa al Servidor virtual Equipo Recuperación (CODRSFSR01) o a la NAS Infraestructura
Tiempo previsto
5 Minutos
5 Minutos
5 Minutos
5 Minutos
Recursos requeridos ubicación
y
83
Adicionar volumen COBOGFSR99_1_E al Equipo Recuperación servidor virtual Infraestructura (CODRSFSR01) o a la NAS Equipo Recuperación Validar estructuras y ACL’s. Infraestructura Aplicar Sharing para publicar Equipo Recuperación las carpetas de File Shared a Infraestructura la Firma. Equipo Recuperación Implementar DFS según el Infraestructura instructivo
5
6 7
8
15 Minutos
15 Minutos 15 Minutos
15 Minutos
Instructivo configuración DFS y Sharing Instructivo configuración DFS y Sharing
de de de de
Validar la información en File Shared por cada uno de los lideres funcionales (Audit, Líderes Funcionales 30 Minutos Advisory, TAX y administración) Muestra 30. Procedimiento “Recuperar Servicio de File Server” (Fuente KPMG)
9
12. Anexos DRP 12.1 Anexo 1. Lista General de Contactos Internos
Rol
ITLP
P: Principal Cargo A: Alterno P
ITLP (Gerente A Sistemas) P P Equipo Especialistas P de Aplicaciones e Infraestructura P A
ITLP CIO
Nombre
Alain Almeida
Jairo Jerez Administrador Miguel redes Ortiz Administrador Carlos Servidores Chavez Administrador Daniel Servidores Ibarra Cali Líder de Nancy aplicaciones Rodríguez Líder de Iván aplicaciones Torres
Ext – Teléfono
4111 4142 1230 1398
-
Celular
3163358955
Correo
[email protected] [email protected]
3163049366 1392
[email protected] 3185698732
1234 2233
[email protected] 3176563200 [email protected]
1295 1288
3178933375 [email protected] [email protected] 3178933431
84
P
Help Desk
Líder Soporte Diego 1315 [email protected] Pinillos 3153960056 A Líder Soporte Dany [email protected] Urrego 1925 3152116535 Muestra 31. Lista General de Contactos Internos (Fuente KPMG)
12.2 Anexo 2. Lista General de Contactos Externos Compañía:
DELL
Dirección: Ciudad: Teléfonos/Correos:
Bogotá Teléfono Tel. Alterno: Fax: Correo:
Contacto: Servicio o producto asociado:
Infraestructura
Compañía:
GLOBAL
Dirección: Ciudad: Teléfonos/Correos:
Atlanta (USA) Teléfono Tel. Alterno: Fax: Correo:
Contacto: Servicio o producto asociado:
KNET
Compañía:
ORANGE
Dirección: Ciudad: Teléfonos/Correos:
Teléfono Tel. Alterno: Fax: Correo:
85
Contacto: Servicio o producto asociado:
Canales KNET
Compañía:
Level 3
Dirección: Ciudad: Teléfonos/Correos:
Bogotá Teléfono
6391200
Tel. Alterno: Fax: Correo:
[email protected]
Contacto: Servicio o producto asociado:
Red MPLS e Internet
Compañía:
ETB
Dirección: Ciudad: Teléfonos/Correos:
Bogotá Teléfono Tel. Alterno: Fax: Correo:
Contacto: Servicio o producto asociado: Internet Bogotá – Calle 90 Muestra 32. Lista General de Contactos Externos (Fuente KPMG) 13. Opinión Profesional de la Revisión De Auditoria Interna Al Plan de Continuidad de Negocio (BCP) de KPMG en Colombia De acuerdo a las revisiones pertinentes basadas en la solicitud de informaciones referentes al Plan de Continuidad de Negocio, las pruebas en sitio realizadas y lo dictaminado en todo este proceso, se indica lo siguiente:
86
Los recursos mínimos para la ejecución de los procedimientos previstos se han adquirido y están disponibles.
Se encuentra disponible el recurso humano calificado para el desarrollo de las actividades previstas y se garantiza la disponibilidad de personal de reemplazo.
El recurso humano asignado al desarrollo de las actividades de los procedimientos descritos tienen la habilidad personal y/o el perfil profesional para su ejecución.
El recurso humano asignado a la ejecución de actividades descritas en los procedimientos del plan ha sido entrenado y ha realizado actividades de prueba que lo preparan para actuar con oportunidad y eficacia.
Se ha estado cumpliendo con las actividades rutinarias y recurrentes de mantenimiento del plan, asegurando que este se encuentra actualizado y vigente. Las actividades de mantenimiento incluyen y no se limitan a la ejecución de pruebas, a la revisión e identificación de nuevos riesgos, a la revisión de impactos y planes, y a la ejecución de auditorías internas sobre el proceso.
Los sitios alternos previstos se encuentran disponibles y su dimensionamiento en cuanto a recursos y facilidades ha sido revisado y debidamente gestionado en el transcurso el tiempo.
El respaldo de la información crítica en medio físico o digital se está realizando de forma adecuada y recurrente conforme los tiempos de retención y respaldo identificados por la Firma y/o por las actividades de análisis de impacto desarrolladas por el proceso de continuidad del negocio.
87
Estrategias de continuidad implementadas, probadas y disponibles; estrategias tales como el CCA (Centro de cómputo Alterno) en las oficinas de KPMG en Cali y el Centro Alterno de Operaciones (CAO) en las oficinas de KPMG de Bogotá en la calle76.
La infraestructura tecnológica en el CAO, tales como Computadores, impresoras, teléfonos, acceso a Internet, entre otros recursos, se encuentran disponibles en este sitio para recibir la operación de los procesos críticos de la Firma.
Se encuentren disponibles los recursos de cómputo de usuario final definidos en el análisis de impacto.
El recurso humano está disponible para ejecutar las actividades que han sido previstas en los procedimientos.
El recurso humano asignado a roles específicos dentro del plan tienen el perfil para ejecutar las diferentes actividades que han sido previstas.
El personal ha sido capacitado en los procedimientos del Plan y se encuentra comprometido en su desarrollo.
Los proveedores que son requeridos se encuentran operando y entregando sus productos y/o servicios según lo solicitado por la empresa.
Se han establecido sitios alternos, y los mismos están disponibles para recuperar las operaciones de los procesos y el procesamiento de información de la compañía.
El respaldo de la información crítica en medio físico (documentos impresos) y/o electrónica (CD’s, cintas de respaldo, file server, entre otros), se está realizando de forma adecuada en un lugar fuera de las instalaciones de la compañía y con las prácticas de seguridad adecuadas en el transporte de los mismos.
El personal crítico (ITS) se encuentra disponible.
88
La estrategia de recuperación tecnológica se implementó y desarrolló de acuerdo a los parámetros definidos.
El personal crítico (ITS) ha sido entrenado, tienen el conocimiento de la plataforma tecnológica de la Firma y conoce las actividades que tiene que realizar para activar y ejecutar el plan de recuperación de tecnología.
Se cuenta con un centro alterno de operación disponible (calle 76), para que puedan operar remotamente los administradores de la infraestructura del CCA.
Se tienen contratos de soporte y mantenimiento disponible para la plataforma DELL, y los canales de comunicaciones de Orange y Level 3.
El árbol de llamadas se encuentra actualizado.
Los datos de las bases de datos de los sistemas de información críticos han sido debidamente replicados conforme los puntos de recuperación identificados en el análisis de impacto.
Se cuenta con enlaces de internet disponibles previstos en la estrategia, tanto en calle 76 como en Cali.
Este plan ha sido probado periódicamente y con ello se garantiza su viabilidad y efectividad.
Tener disponibles, documentados y actualizados los procedimientos de mantenimiento y operación del CCA en operación normal (fuera de contingencia operando desde el CCP).
89
14 Recomendaciones A medida que son sistemática y periódicamente ejecutadas las actividades de mantenimiento, el Plan y su contenido se vuelven cada vez más viables y ejecutables frente a un evento real. Eventualmente se requerirán efectuar revisiones a los planes por diferentes motivos como:
Nuevas herramientas y/o aplicaciones que apalanquen los procesos de negocio críticos.
Cambios evidenciados en los resultados de las pruebas de los Planes.
Aumento en la complejidad o capacidad de las aplicaciones y/o de la infraestructura tecnológica que soporta los servicios y procesos de negocio clasificados como críticos.
Adquisición de nuevos equipos o infraestructura.
Nuevos formatos o cambios en los recursos críticos identificados.
Procesos y proyectos de reingeniería que impliquen cambios en los procesos de negocio.
Movimiento o traslado permanente del Recurso Humano.
Fusiones o adquisiciones de compañías.
Cambios de proveedores.
Resultados de los análisis de riesgos.
Resultados de los análisis de impactos.
Nota: En el momento que no se llegue a dar ninguno de los criterios anteriormente mencionados se recomienda efectuar una revisión anual al contenido del plan.
90
14.1 Revisión Documental La revisión documental del plan y sus componentes se debe apoyar en el análisis de los siguientes registros que hacen parte de la ejecución de actividades de mantenimiento del proceso de Continuidad Organizacional. La revisión busca identificar posibles requerimientos de cambios o mejoras al plan y/o al proceso. En general se deberá tener en cuenta:
Los resultados de las auditorías y revisiones, incluyendo la retroalimentación de las partes interesadas, la observación de entes independientes, y eventualmente la retroalimentación de los principales clientes, proveedores y subcontratistas.
Las acciones preventivas y correctivas del proceso.
El resultado de los Análisis de Riesgos e Impacto.
Las vulnerabilidades o amenazas no manejadas adecuadamente en la anterior evaluación del riesgo.
Las acciones de seguimiento de las anteriores revisiones por la dirección.
Cualquier cambio interno o externo que pudiera afectar la funcionalidad y efectividad del plan de continuidad.
Los resultados de las actividades de prueba recurrentemente realizadas.
Nuevas tendencia, técnicas, productos o procedimientos que podrían usarse en la organización para mejorar el desempeño y la efectividad del plan de continuidad. Durante cada revisión se debe identificar y tabular todos los documentos que se
encuentren desactualizados para definir un plan de acción a desarrollar en el transcurso del tiempo.
91
15 Pruebas del Plan 15.1 Pruebas de escritorio Nombre de la Prueba de Escritorio del Plan de Continuidad. Prueba Descripción de Consiste en la ejecución en papel del Plan de Continuidad. la Prueba • Revisar el contenido del Plan de Continuidad en papel. • Evaluar la claridad en la definición de los procedimientos, roles y responsabilidades del Plan. Objetivos • Identificar necesidades de actualización de la información relacionada con el plan. • Revisar procedimientos de activación. Líder de Continuidad del Negocio Responsable Trimestral Periodicidad Muestra 33. Pruebas de escritorio (Fuente KPMG) 15.2 Pruebas de componentes Nombre de la Prueba por Componentes del Plan de Continuidad. Prueba Descripción de Consiste en la ejecución de un componente del Plan de Continuidad. la Prueba • Probar la funcionalidad de alguno de los procedimientos de activación del DRP. Probar la activación Objetivos del DRP. • Probar la activación del COOP. Líder de Continuidad del Negocio Responsable Semestral Periodicidad Muestra 34. Pruebas de componentes (Fuente KPMG) 15.3 Pruebas integradas Nombre de la Prueba Integral del Plan de Continuidad Prueba Descripción de Consiste en la ejecución en vivo del Plan de Continuidad. la Prueba Probar la funcionalidad de la estrategia de recuperación de los procesos críticos operando desde el Centro Alterno de Operaciones (CAO) de calle 76 y con servicio de tecnológico Objetivos soportado desde el Centro de Cómputo Alterno (CCA) en KPMG Cali.
92
Responsable Periodicidad
Líder de Continuidad del Negocio Anual Muestra 35. Pruebas integradas (Fuente KPMG) 16 Control de Cambios
VER FECHA DDMMMAAAA 1.0 22-Julio2017
DESCRIPCIÓN
Auditores
Versión inicial del “Plan de Continuidad Auditor Líder Dany Alonso de Negocio (BCP) de KPMG en Urrego Colombia” Auditor Acompañante: ELABORÓ REVISÓ (LÌDER) APROBÓ Francisco de Paula Ossa (DUEÑO) Pérez Andrés Felipe Jorge Jaramillo (Senior) Corchuelo Luis Alberto Paez Bibiana Alejandra (National IT (Supervisor Senior) Cogollo (Senior) Security KPMG Advisory Officer) KPMG Advisory Services S.AS. Services S.AS. KPMG SAS.
93
Conclusiones Al verificar el Plan de Continuidad de Negocio (BCP) de KPMG en Colombia, se encontró que la organización tiene identificado, documentado y que mediante pruebas opera con respecto al Plan bajo los criterios de continuidad de operaciones (COOP) y la recuperación ante desastres (DRP). Al verificar el plan de Continuidad de Negocio (BCP) de KPMG en Colombia se encuentra que está alineado con los objetivos del negocio. Al Comprobar los aspectos estructurales y formales que viene ejecutando la organización evidenciamos que maneja unas series de actividades y programas de entrenamiento para la aplicabilidad del Plan de Continuidad de Negocio (BCP), para que este sea transparente para los usuarios. Conclusiones de Aprendizaje
La auditoría Interna es una herramienta que se aplica en cualquier tipo de entidad, que ayuda a la administración a evaluar un sistema, un proceso o subproceso obteniendo resultados que promuevan la reducción de costos y la simplificación de tareas innecesarias u obsoletas. Los indicadores de gestión son instrumentos que reflejan los resultados de una actuación pasada, el cumplimiento de metas y objetivos, los mismos que permiten implementar estrategias o correctivas de mejora. Los indicadores de calidad y productividad permiten determinar los tiempos improductivos y evaluar la calidad en el servicio cuyos resultados servirán para desarrollar planes y programas para elevar o disminuir los resultados de los indicadores según sea el caso. Los costos de no calidad o costos improductivos son aquellos que se generan por el mal uso del tiempo laboral,
94
los cuales repercuten en los resultados de indicadores y que se traducen a pérdidas económicas. La auditoría Interna muestra que los procesos se presentan razonablemente, en todos los aspectos importantes, el servicio al cliente y los procesos de control interno y los resultados operacionales son conformes, sin embargo se observan que existen desperdicios de tiempo dentro del personal de las agencias. La evaluación de la satisfacción del cliente es realizada únicamente hasta que termina el proceso.
Related Documents
Auditoria Interna Al Plan Continuidad Del Negocio Kpmg Colombia
February 2021 0
Desarrollo Plan Continuidad De Negocio
February 2021 1
Continuidad Del Negocio
January 2021 1
Plan De Auditoria Interna
February 2021 1
Plan De Auditoria Interna Jr
February 2021 1
Plan De Auditoria Interna (3)
February 2021 2More Documents from "jeni beltran"
Auditoria Interna Al Plan Continuidad Del Negocio Kpmg Colombia
February 2021 0
Controles De Aplicacion En Mi Empresa - Bcp Kpmg Sas
February 2021 1
Etika Perusahaan Sebagai Pelaku Bisnis Terhadap Stakeholder
February 2021 1
Titulacion-conductimetrica
February 2021 3
