Ttulo Plan de continuidad de negocio aplicado al

• Título: “Plan de continuidad de negocio aplicado al centro de datos de la fiscalización del proyecto hidroeléctrico coca codo Sinclair” Sinclair Autor: Jherry Fernando Cevallos Amaguay Tutor: Rubén Arroyo. , Ing, MSc

TEMARIO • • • CAP I. INTRODUCCIÓN CAP II. MARCO TEÓRICO CAP III. METODOLOGÍA CAP IV. DIAGNÓSTICO SITUACIONAL CAP V. PLAN DE CONTINUIDAD DEL NEGOCIO. CAP VI. CONCLUSIONES Y RECOMENDACIONES 2

CONTINUIDAD DE NEGOCIOS ESPECIFICOS Problema Antecedentes GENERAL OBJETIVOS Elaborar un Plan de Continuidad de Negocio aplicada al Centro de Datos de la fiscalización del proyecto hidroeléctrico Coca Codo Sinclair. Justificación 26/10/2021 Importancia --CULTURA EMPRESARIAL-ISC 7 B Ø Investigar y desarrollar el marco teórico, en base a la normativa mundial existente Ø Desarrollar la metodología de investigación aplicar • Determinar el diagnóstico situacional de la organización encargada de la fiscalización de un proyecto hidroeléctrico. • Desarrollar de un plan de continuidad de negocios y procedimientos de recuperación de desastres. • Conclusiones y 3 recomendaciones

MARCO TEORICO Plan de continuidad de negocios 26/10/2021 • Marco de trabajo para construir una organización mas resistente amenazas potenciales y posibles impactos. --CULTURA EMPRESARIAL-ISC 7 B 4

NORMA ISO 22301 Cláusula 4 Contexto de la organización Cláusula 5 Liderazgo Cláusula 6 Planificación Cláusula 7 Apoyo Cláusula 8 Funcionamiento Cláusula 9 Evaluación y rendimiento Cláusula 10 Mejora continua 5

Qué hacer con los riesgos 26/10/2021 --CULTURA EMPRESARIAL-ISC 7 B 6

Fases y actividades del plan de continuidad de negocios Notificación Lanzamiento del plan Análisis de Impacto Procedimiento de vuelta a la Normalidad Procedimiento de restauración Procedimiento de soporte de gestión 26/10/2021 FASE DE VUELTA A LA NORMALIDA D FASE DE ALERTA FASE DE RECUPERACIÓN TRANSICIÓN Puesta en marcha de equipos implicados Concentración de equipos: Traslado y puesta en marcha del centro de recuperación 7

Marco Metodológico METODOS Inductivo – Deductivo Método de Muestreo – no probabilístico TECNICAS DE INVETIGACIÓN Entrevista Encuesta Observación investigación proyectiva , la cual permite solucionar necesidades de una empresa y proponer alternativas de cambio. Técnicas de procesamiento y análisis de datos Metodología para el plan de continuidad del negocio

Diagnóstico situacional. 1 Situación actual y análisis de resultados respecto a la seguridad de los datos del área de sistemas de la Asociación Ø Centra su trabajos en el campamento la Loma. Ø software de control de proyectos, de cronograma de proyecto, aplicaciones internas y unidades de red compartidas. Ø Almacena información de los frentes de la obra. 26/10/2021 La Entrevista se la realizó al jefe del área de sistemas y tuvo una duración de 45 minutos. La Encuesta se la realizó a 9 funcionarios del área de sistemas y control de software del proyecto 9

Diagnóstico situacional. RESULTADOS DE LAS TECNICAS DE RECOLECCIÓN ENTREVISTA Ø Existe preocupación por parte de los lideres conociendo los riesgos existentes. Ø No cuenta con una planificación estratégica definida para continuidad. Ø No hay capacitación para el personal de como actuar ante una emergencia. Ø Es necesario contar con un plan de continuidad de negocios. Ø Desconoce la existencia de la norma ISO 22301 26/10/2021 ENCUESTA SI NO 11, 11% 88, 89% 22. 22% 77. 78% La Asociación tiene una ubicación alternativa para la recuperación del centro de datos 0% 100% Los líderes de la Asociación han demostrado su compromiso y han garantizado la seguridad de la información 33. 33% 66. 66% 0% 100% 0%10 PREGUNTAS Si se produce un desastre o una interrupción significativa, ¿La Asociación tiene un plan documentado para la continuidad de negocio y recuperación de desastres Se cuenta con un proceso documentado de comunicación de crisis la Asociación? Considera usted que la Asociación está preparada para enfrentar un incidente o posible interrupción a causa de un desastre natural Conoce usted los riesgos naturales que rodean a la Asociación

Diagnóstico situacional. 2 Análisis y evaluación de criterios; liderazgo, planificación y apoyo, funcionamiento y planeación estratégica OBJETIVO VARIABLES INDICADORES TECNICAS FUENTE DE INFORMACION Liderazgo y compromiso Gestión Compromiso Política impartidas EMPLEADOS: Evaluar criterios Roles de la organización, las de continuidad responsabilidades y Jefe de Fiscalización de negocios, autoridades de Campo. para determinar Acciones para abordar los Departamento de riesgos y oportunidades. control y seguimiento. período de Recursos conciencia y Departamento de recuperación comunicación software del proyecto. que puedan Control de información ocasionar los documentada siniestros. Planificación y control el impacto y el Planificación y apoyo Funcionamiento operacional. Planeación estratégica Desarrollo de Objetivos, Encuesta Entrevista Expertos Políticas y Estrategias. 26/10/2021 --CULTURAProcedimientos EMPRESARIAL-de ISC 7 B continuidad de negocios. 11

Diagnóstico situacional. Conclusiones de la fase de evaluación De la evaluación de Liderazgo. En la actualidad la alta dirección de la Asociación no ha contemplado dentro de sus objetivos y organización interna el Sistema de Gestión de Continuidad de Negocio por lo que no han proporcionado los recursos necesarios, tampoco se ha establecido la política y las personas que implementen y mantengan la continuidad de negocio. De la evaluación de Funcionamiento, Planeación estratégica. - La Asociación cuenta con De la evaluación de Planificación y apoyo. - Luego de efectuado la evaluación se concluye que existe debilidad en las seguridad de la información, de producirse algún incidente a causa de un riesgo latente se puede paralizar el funcionamiento de las actividades normales de la Asociación, debido a la falta de planificación para abordar los riesgos, prevenir y reducir el impactos. una planeación estratégica desactualizada y la misma no contempla objetivos, políticas ni estrategias de continuidad, además en su estructura orgánica funcional no se incluye personal responsable de gestionar un incidente y comunicar los --CULTURA diferentes EMPRESARIAL-26/10/2021 procesos para etapas de prevención y. ISC 7 B control. 12

Riesgos existentes Desastres naturales Erupción del Volcán Reventador Inundación por crecida del río Coca 26/10/2021 --CULTURA EMPRESARIAL-ISC 7 B 13

Riesgos existentes Deslizamiento de Maza Derrames de Petróleo Asentamientos y deforestación 26/10/2021 --CULTURA EMPRESARIAL-ISC 7 B 14

Plan de continuidad salvaguardar la información que contiene el centro de datos de la Asociación Fiscalizadora del Proyecto Coca Codo Sinclair. Alcance Información obtenida por el jefe de sistemas y software de control de proyectos. Contexto Descripción de centro de datos Sistemas Informáticos 26/10/2021 Misión Estructura Servicios orgánica --CULTURA EMPRESARIAL-funcional ISC 7 B 15

Plan de continuidad Liderazgo Asegurarse que las políticas y objetivos son establecidos Asegurar la integración del Plan con los procesos del negocio. Asegurar que los recursos necesarios para el plan estén disponibles Comunicar la importancia del plan Asegurar que se logre el resultado esperado. obligaciones y compromisos que adoptará la Dirección para al implementación de este plan Nombrar las personas competentes para ser responsables de la implementación del Plan. 26/10/2021 Promover la mejora continua. 16

Plan de continuidad Alcance Objetivo Evitar interrupciones a los procesos críticos del negocio como consecuencia de fallas o desastres Violación a la política será responsabilidad de la alta dirección no faltar a este 26/10/2021 compromiso aplicará para todo el personal que labore dentro del área de software y control del proyecto Política de continuidad de negocios Esta Política de Continuidad establece un marco apropiado a las características de La Asociación que repercute directamente en el entorno operativo, centros de trabajo y cultura de empresa con el que identificar, desarrollar, implantar, operar, mantener, revisar y probar las medidas necesarias para garantizar el correcto funcionamiento del plan ante un incidente. • Protección y seguridad del personal. • Garantizar que el personal este informado. --CULTURA EMPRESARIAL- • Recuperación e procesos críticos ISC 7 B Roles y responsabilidades debe ser aprobada por los directivos de la Asociación, luego de un estudio previo y detallado de sus posibles consecuencias Revisión se debe realizar su revisión anualmente, o 17 cuando se requiera.

Plan de continuidad Ø Grupo de Planificación Ø Metas del Proyecto Ø Plan de Trabajo Planificación del Proyecto Evaluación y Análisis de Riesgos (AR) Ø Identificar Amenazas Ø Analizar Probabilidades Ø Proponer Controles Análisis de Impactos al Negocio (BIA) Mantenimiento y Actualización Ø Procesos Críticos Ø Prioridades de Recuperación Ø RTO’s y RPO’s Ø Recursos Necesarios Desarrollo de Estrategias Ø Procedimientos Manuales Ø Operación Provisional Ø Procesos Alternos Ø Sitio Alterno Desarrollo del Plan Ø Documentación del Plan ØPlan de Evacuación ØPlan de recuperación. ØPlan de Vuelta a la normalidad Ø Capacitación a Responsables Ø Concientización al Personal Concientización y Capacitación Pruebas y Ejercicios El plan Ø Revisiones al Plan Ø Mediciones de Efectividad del Plan 18

Plan de continuidad Estrategia de continuidad Recursos Adecuar un centro de datos en la oficinas centrales de la Asociación Quito como alternativa en caso de incidencia grave Para ello se requiere Ø Espacio físico para 3 servidores, los mismos se ubicaran dentro de un rack, adicional a esto instalaciones de energía, puntos de red, detector de humo y demás señales de seguridad. Ø Licencias de sistemas operativos de acorde a la necesidad de cada servidor. Adicional es necesario que: Ø Los respaldos que se generen sean más periódicos. Ø Que los discos duros sean transportados a las oficinas de la ciudad de Quito en el departamento de TI, para su alojamiento y resguardo físico 26/10/2021 Personas Financiero 19

Plan de continuidad Ø Notificar al comité de crisis Comunicación en Crisis Ø Evaluar la situación Ø Poner en marcha el plan. PLAN DE CONTINUIDAD Ø concentración y traslado de material y personas Ø puesta en marcha del centro de recuperación Plan de Evacuación Plan Recuperación ante Desastres (DRP) Evaluación de rendimiento Plan de Vuelta a la normalidad Ø Procedimientos de Restauración. Ø Procedimientos de soporte y gestión Ø Análisis del impacto • • Procedimientos de vuelta a la normalidad Mejora continua

El estándar utilizado ISO 22301 – 2012, se ajusta a las necesidades de la Asociación, por su flexibilidad de adaptación a cualquier organización, sin importar su tipo, tamaño y naturaleza, lo cual permitió realizar con éxito el plan de continuidad. El diseño del plan de continuidad realizado, comprende todos los aspectos que considera la norma ISO 22301, abarcando los resultados de los análisis de la Asociación, por lo que se considera una modelo adaptable y que puede ser implementado en cualquier momento Con la aplicación del plan de continuidad de negocios propuesto la Asociación estará preparada para enfrentar los riesgos y minimizar los impactos, garantizando su pronta recuperación de las actividades normales y fundamentalmente preservando la seguridad de la información. Para la implementación del BCP se requiere del apoyo y compromiso de la Alta dirección y el personal encargado de ejecutarlo, para aprobarse, actualizarse y documentarse en forma completa en los procesos críticos y operativos. La metodología propuesta en el presente trabajo, puede servir para implementar un programa de continuidad de negocios para grandes. EMPRESARIAL-empresas hidroeléctricas a nivel nacional 21 e 26/10/2021 --CULTURA internacional ISC 7 B

Recomendaciones Sugerir a la Asociación tome en consideración la propuesta del plan de continuidad desarrollado para el centro de datos, a fin de proteger la información y garantizar la continuidad de los procesos de servicios que presta este departamento que son la base sustentable para llevar acabo su principales actividades. Socializar el presente plan de continuidad a todo el personal de la Asociación, para concientizar las acciones y medidas correctivas, que se puedan tomar sin haberse implementado el plan, además de brindar una idea clara y de prevención ante desastres o incidentes que se puedan presentar. Capacitar al personal para que ayude adquirir habilidades básicas para la integración dentro del plan. 26/10/2021 Adoptar la norma ISO 22301, para las demás áreas de la Asociación, para asegurar la continuidad mediante un completo sistema de gestión de continuidad de negocios. --CULTURA EMPRESARIAL-ISC 7 B Contar con la certificación ISO 22301. 22

Muchas Gracias 26/10/2021 --CULTURA EMPRESARIAL-ISC 7 B 23

Preguntas? 26/10/2021 --CULTURA EMPRESARIAL-ISC 7 B 24