You are on page 1of 94

CONTROLES DE APLICACIN EN MI EMPRESA

Recuperado de
http://www.quantumsatisintegral.com/sites/default/files/styles/large/public/field/image/que-
es-consultoria-empresarial.jpg?itok=iMPs6BrX
2

CONTROLES Y SEGURIDAD INFORMATICA

INVESTIGACION

CONTROLES DE APLICACIN EN MI EMPRESA


PLAN CONTINUIDAD DEL NEGOCIO
KPMG SAS

AUTOR
DANY ALONSO URREGO

DOCENTE

FRANCISCO JAVIER BARRAGAN GUALTERO

BOGOT D.C
JULIO 23 DE 2017
3

TABLA DE CONTENIDO
TABLA DE MUESTRAS ......................................................................................................... 6
1 INTRODUCCIN ................................................................................................................. 8
2 OBJETIVO............................................................................................................................. 9
2.1 OBJETIVO GENERAL..................................................................................................... 9
2.2 OBJETIVOS ESPECFICOS .......................................................................................... 10
3 ALCANCE ........................................................................................................................... 10
4. EQUIPO DE TRABAJO .................................................................................................... 12
5. LA ORGANIZACIN ....................................................................................................... 13
5.1 DESCRIPCIN DE LA FIRMA ............................................................................................... 13
5.2 MISIN, VISIN KPMG .................................................................................................... 13
5.2.1 VISIN DE KPMG.......................................................................................................... 13
5.2.2 MISIN KPMG .............................................................................................................. 13
5.2.2.1 Direccin Web KPMG ........................................................................................... 13
5.3 VALORES KPMG .............................................................................................................. 13
5.4 KPMG NUESTRO CONOCIMIENTO AL SERVICIO DE LA COMUNIDAD ................................. 14
5.5 KPMG BRINDAMOS CONOCIMIENTO ................................................................................ 15
5.6 KPMG EN COLOMBIA ...................................................................................................... 15
5.7 CERTIFICACIONES ............................................................................................................. 16
5.8 ENFOQUE HACIA EL MERCADO .......................................................................................... 19
5.9 PORTAFOLIO DE SERVICIOS DE KPMG EN COLOMBIA ...................................................... 19
6. CRONOGRAMA ................................................................................................................ 22
7. DESARROLLO GENERAL AUDITORIA SI ................................................................ 23
7.1 ESTRUCTURA JERRQUICA DE LOS GRUPOS DE RESPUESTA, ROLES Y RESPONSABILIDADES
............................................................................................................................................... 24
7.1.1 Lder Comit Ejecutivo (Presidente)......................................................................... 24
7.1.2 Comit Ejecutivo Grupo Estratgico ..................................................................... 25
7.1.3 Lderes de recuperacin - Grupo Tctico ................................................................. 26
7.1.4 Equipos de recuperacin - Grupo Operativo ........................................................... 27
7.1.5 Lder de Continuidad del Negocio - Gestin ............................................................ 27
7.2 LNEA DE SUCESIN DEL PLAN GENERAL ......................................................................... 28
7.3 COMUNICACIONES ............................................................................................................ 29
7.3.1 Objetivo ..................................................................................................................... 30
7.3.2 Flujo grama de Actividades ...................................................................................... 31
4

7.3.3 Procedimiento ........................................................................................................... 32


7.3.4 Anexos Comunicaciones ........................................................................................... 33
7.3.4.1 Anexo 1. Matriz de Comunicaciones.................................................................. 33
7.3.4.2 Anexo 2. Comunicado inicial para empleados ................................................... 34
7.3.4.3 Anexo 3. Comunicado final para empleados ...................................................... 35
7.3.4.4 Anexo 4. Comunicado inicial para proveedores ................................................. 36
7.3.4.5 Anexo 5. Comunicado final para proveedores .................................................. 37
8. CRITERIOS DE ACTIVACIN ...................................................................................... 38
8.1 ROLES Y RESPONSABILIDADES ......................................................................................... 38
8.1.1 Lderes y/o representantes de procesos .................................................................... 39
8.1.2 Lder de Comunicaciones con Medios (Coordinador de Mercadeo). ...................... 39
8.1.3 ITLP: Information Technology Liaison Partner ....................................................... 40
8.1.4 Gerente de Sistemas .................................................................................................. 40
8.1.5 Grupo de Soporte de Tecnologa de Informacin ..................................................... 41
8.1.6 Directora de Gestin Humana .................................................................................. 41
8.1.7 Directora Financiera y Administrativa..................................................................... 41
8.1.8 Lder de Administracin y Seguridad Fsica ............................................................ 42
8.1.9 Grupo de Reaccin a Eventos de Emergencias ........................................................ 42
8.1.10 Lder de la Brigada de Emergencias y Coordinador de Evacuacin ..................... 43
8.2 LNEA DE SUCESIN ......................................................................................................... 43
8.3 PROCEDIMIENTO ............................................................................................................... 44
8.3.1 Procedimiento de Respuesta ..................................................................................... 44
8.3.2 Procedimiento ITS..................................................................................................... 47
8.4 ANEXOS COOP................................................................................................................ 49
8.4.1 Anexo 1- Distribucin de Personal ........................................................................... 49
8.4.2 Anexo 2- Recursos mnimos necesarios .................................................................... 50
8.4.3 Anexo 3. Lista General de Contactos Internos ......................................................... 53
9. ANLISIS DE IMPACTO BIA ........................................................................................ 54
9.1 RECOVERY TIME OBJECTIVE (RTO) ................................................................................. 54
9.2 RECOVERY POINT OBJECTIVE (RPO) ............................................................................... 57
9.3 ROLES Y RESPONSABILIDADES ......................................................................................... 58
9.3.1 ITLP: Information Technology Liaison Partner ....................................................... 58
9.3.2 Gerente de Sistemas .................................................................................................. 58
9.3.3 Grupo de Recuperacin Tecnolgica ....................................................................... 59
9.3.3.1 Help Desk ........................................................................................................... 59
9.3.3.2 Equipo Especialistas de Aplicaciones e Infraestructura ..................................... 59
9.3.3.3 Proveedores......................................................................................................... 61
9.4 LNEA DE SUCESIN ......................................................................................................... 61
10. ACTIVACIN DE RECUPERACIN DE TECNOLGICA .................................... 62
5

11. CRITERIOS DE ACTIVACIN .................................................................................... 64


11.1 ACTIVACIN DEL PLAN DE RECUPERACIN (DRP)......................................................... 64
11.2 PROCEDIMIENTO VALIDAR CONECTIVIDAD SEDES KPMG DESDE CALLE 76 - CLO . 65
11.3 PROCEDIMIENTO VALIDAR SERVICIOS KNET Y SERVICIOS GLOBALES ...................... 67
11.4 PROCEDIMIENTO VALIDAR CONECTIVIDAD INTERNET CALI ....................................... 70
11.5 PROCEDIMIENTO VERIFICACIN COMPONENTES EN SITIO ALTERNO ........................... 72
11.6 PROCEDIMIENTO RECUPERAR SERVICIO DE SEVEN ..................................................... 75
11.7 PROCEDIMIENTO RECUPERAR SERVICIO DE EAUDIT ................................................... 77
11.8 PROCEDIMIENTO RECUPERAR SERVICIO DE KACTUS.................................................. 79
11.9 PROCEDIMIENTO RECUPERAR SERVICIO DE VPN LOCAL ............................................ 81
11.10 PROCEDIMIENTO RECUPERAR SERVICIO DE FILE SERVER ......................................... 82
12. ANEXOS DRP .................................................................................................................. 83
12.1 ANEXO 1. LISTA GENERAL DE CONTACTOS INTERNOS ................................................... 83
12.2 ANEXO 2. LISTA GENERAL DE CONTACTOS EXTERNOS ................................................. 84
13. OPININ PROFESIONAL DE LA REVISIN DE AUDITORIA SI PLAN DE
CONTINUIDAD DE NEGOCIO (BCP) DE KPMG EN COLOMBIA ............................ 85
14 RECOMENDACIONES ................................................................................................... 89
14.1 REVISIN DOCUMENTAL ................................................................................................ 90
15 PRUEBAS DEL PLAN ..................................................................................................... 91
15.1 Pruebas de escritorio ................................................................................................. 91
15.2 Pruebas de componentes ............................................................................................ 91
15.3 Pruebas integradas .................................................................................................... 91
16 CONTROL DE CAMBIOS .............................................................................................. 92
CONCLUSIONES .................................................................................................................. 93
BIBLIOGRAFIA.93
6

TABLA DE MUESTRAS

Muestra 1. Grupos de Respuesta del Plan General (Fuente KPMG)....24

Muestra 2. Lnea de Sucesin Comit de Ejecutivo (Fuente KPMG)29

Muestra 3. Flujo grama de actividades comunicaciones (Fuente KPMG..31

Muestra 4. Procedimiento de comunicaciones (Fuente KPMG)..32

Muestra 5. Matriz de Comunicaciones (Fuente KPMG)..33

Muestra 6. Criterios de Activacin (Fuente KPMG)...38

Muestra 7. Grupo de Soporte de Tecnologa de Informacin (Fuente KPMG) 41

Muestra 8. Grupo de Reaccin a Eventos de Emergencias (Fuente KPMG).......42

Muestra 9. Lnea de Sucesin del Plan (Fuente KPMG).43

Muestra 10. Procedimiento Respuesta (Fuente ITS).47

Muestra 11. Procedimiento ITS (Fuente KPMG)....48

Muestra 12. Mapa de Centro Alterno de Operaciones (Fuente KPMG) ...49

Muestra 13. Recursos mnimos necesarios (Fuente KPMG)...50

Muestra 14. Lista General de Contactos Internos (Fuente KPMG) .53

Muestra 15: Orden de recuperacin aplicativos (Fuente KPMG)55

Muestra 16. Aplicativos globales usados en la Firma (Fuente KPMG) .....56

Muestra 17. Servicio de Internet (Fuente KPMG) 57

Muestra 18. Orden de prioridad en respaldo de informacin (Fuente KPMG) .....58

Muestra 19. Lnea de Sucesin (Fuente KPMG)...62

Muestra 20. Procedimiento de Activacin de Recuperacin de Tecnolgica (Fuente KPMG)..63

Muestra 21. Criterios de Activacin (Fuente KPMG)64


Muestra 22. Procedimiento Validar Conectividad Sedes KPMG desde CALLE 76 - CLO (Fuente
KPMG).....67

Muestra 23. Procedimiento Validar Servicios KNET y Servicios Globales (Fuente KPMG) ..69

Muestra 24. Procedimiento Validar Conectividad Internet Cali (Fuente KPMG)..71


7

Muestra 25. Procedimiento Verificar los componentes en Sitio Alterno (Fuente KPMG)....73

Muestra 26 Procedimiento Recuperar Servicio de Seven (Fuente KPMG)76

Muestra 27 Procedimiento Recuperar Servicio de eAudit (Fuente KPMG.)..77

Muestra 28. Procedimiento Recuperar Servicio de Kactus (Fuente KPMG) .79

Muestra 29. Procedimiento Recuperar Servicio de VPN Local (Fuente KPMG)81

Muestra 30. Procedimiento Recuperar Servicio de File Server (Fuente KPMG)82

Muestra 31. Lista General de Contactos Internos (Fuente KPMG) ...83

Muestra 32. Lista General de Contactos Externos (Fuente KPMG) ...84

Muestra 33. Pruebas de escritorio (Fuente KPMG) 90

Muestra 34. Pruebas de componentes (Fuente KPMG) .......90

Muestra 35. Pruebas integradas (Fuente KPMG)...91


8

1 Introduccin

Actualmente muchas de las empresas implementan, para su modelo de negocio, sistemas


o herramientas tecnolgicas para un manejo gil de la informacin y de sus transacciones.
Debido a esto, los auditores tienen la tarea de prestar especial atencin a estos sistemas por
medio del control de aplicacin y lograr as que la informacin y los procesos que all se
manejen sean exactos, completos y correctos. Eso con el fin de poder monitorear y mitigar los
riesgos que la implementacin de dichos sistemas conlleva a las empresas.
En un contexto en el cual las empresas cada vez ms dependen de los sistemas como
medio para alcanzar los objetivos definidos, el auditor interno cada vez ms debe interiorizarse
del funcionamiento de dichas aplicaciones, de los riegos que las mismas acarrean as como la
forma de monitorear y mitigar dichos riesgos.
De acuerdo a la investigacin realizada en mi Organizacin, enfoque los controles de
Aplicacin a la evaluacin de los riesgos considerados en el Plan De Continuidad del Negocio
en KPMG SAS.
El plan de continuidad no es una mera adicin de algo que se debe hacer sino que es

una parte integral de toda la organizacin. Es importante hacer comprender a los responsables

de la organizacin acerca de la necesidad de un plan adecuado y que no es algo ms que

hay que hacer sino que es igual de importante o ms que las otras partes del proyecto.

Es reconocida como una buena prctica profesional y es parte integral del buen gobierno de las

organizaciones, de esta forma toma una dimensin estratgica y no debera ser considerado una

mera herramienta operativa.

En muchas ocasiones vemos que la Direccin no conoce el alto riesgo que supone la no

presencia de planes de contingencia en sus organizaciones o la debilidad de stos. De ah la


9

importancia de la auditora SI no solo en los planes de seguridad sino de los planes de

contingencia en particular, que dan una clara y seria advertencia de los riesgos de dejar los

planes de contingencia como algo secundario y sin importancia.

De ah que se haga imprescindible la realizacin de una auditora de SI del Plan de

Continuidad de Negocio (BCP) de KPMG en Colombia para el anlisis de los requisitos

mnimamente exigibles para que el plan sea adecuado a las necesidades de continuidad del

negocio, la auditora sealara y determinara las debilidades y propondra soluciones, evaluara

la adecuacin del plan al proyecto y su desarrollado por la organizacin.

En definitiva con la auditora se busca que el plan de continuidad contribuya a la

consecucin de los objetivos del negocio y que, llegado el momento, funcionar como est

previsto. Por lo tanto se busca que no sea un plan deficiente, que sea adecuado y no incurra en

errores graves que produciran prdidas igual o mayores que de no tener un plan, pues no hay

peor situacin que creerse salvaguardado por un plan que en realidad no funciona.

2 Objetivo

2.1 OBJETIVO GENERAL

Verificar la existencia del Plan de Continuidad de Negocio (BCP) de KPMG en

Colombia, que contempla un conjunto de procedimientos de actuacin y de recursos

necesarios para la restauracin progresiva de los servicios en el caso de paralizacin de

las actividades; en los que estn involucradas todas las reas, departamentos y servicios

de la organizacin y que se mantienen debidamente actualizados, realizndose pruebas

peridicas para su eficacia.


10

2.2 OBJETIVOS ESPECFICOS

Asegurar que el plan de Continuidad de Negocio (BCP) de KPMG en Colombia

contribuye a la consecucin de los objetivos del negocio y que, llegado el momento,

funcionar como est previsto.

Identificar las condiciones que facilitan la interrupcin de los servicios como

consecuencia de tener un plan inadecuado.

Identificar debilidades en el plan y proponer soluciones.

Comprobar los aspectos estructurales y formales que se han ejecutado en su

momento, los programas de entrenamiento, mantenimiento y pruebas que son

pertinentes dentro del plan.

3 Alcance

Teniendo en cuenta el Alcance dimensional de proyecto Plan de Continuidad de

Negocio (BCP) de KPMG en Colombia, su direccionamiento, objetivos, roles y polticas

de seguridad, se hace necesario contar con un cronograma de actividades proyectados en

tiempos estipulados para aplicar cada una de las fases de la Auditoria SI, determinar

resultados a travs de simulacros, emitir opiniones a la Alta gerencia y concluir con un

control y seguimiento.

Debido al poco tiempo para proponer un amplio Plan de Auditora SI, nos limitamos a lo

siguiente:
11

El alcance del Plan de Auditoria SI aplicado al proyecto Plan de Continuidad de

Negocio (BCP) de KPMG en Colombia comprobar que los objetivos y las medidas de

recuperacin se establecen para las Aplicaciones o Servicios Crticos aprobados por la

Direccin, se enmarcara los anlisis dentro de las solicitudes de informacin referente al

proyecto, muestras y pruebas en sitio y se emitir una opinin profesional y unas

recomendaciones a la Gerencia.
12

4. Equipo de trabajo
13

5. La Organizacin

5.1 descripcin de la Firma

KPMG es una red global de firmas profesionales que proveen servicios de auditora,

impuestos y asesora. Operamos en 152 pases y tenemos 145.000 profesionales que trabajan

en las firmas miembros alrededor del mundo. Las firmas miembro independientes de la red de

KPMG estn afiliadas a KPMG International Cooperative (KPMG International), una entidad

suiza. Cada firma miembro de KPMG es una entidad legal separada e independiente y cada una

se describe a s misma como tal.

5.2 Misin, Visin KPMG

5.2.1 Visin de KPMG

Construiremos y mantendremos nuestra reputacin como la mejor Firma para trabajar,

asegurndonos de que nuestra gente, nuestros clientes y nuestras comunidades logren su

potencial pleno.

5.2.2 Misin KPMG

Transformamos el conocimiento en valor, en beneficio de nuestros Clientes, Asociados

y los mercados de capital.

5.2.2.1 Direccin Web KPMG

http://www.kpmg.com/co/es/paginas/default.aspx

5.3 Valores KPMG

Lideramos con el ejemplo en todos los niveles actuando de manera que ejemplifique

lo que queremos de cada uno de nosotros.


14

Trabajamos en equipo tomando lo mejor de cada uno y creando relaciones fuertes y

duraderas.

Respetamos a los individuos respetando a las personas por lo que son y por su

conocimiento, habilidades y experiencia como miembros individuales de un grupo.

Investigamos los hechos y transmitimos conocimientos verificando los hechos y

fortaleciendo nuestra reputacin como asesores de negocios con credibilidad y

objetividad.

Nos comunicamos de forma abierta y honesta compartiendo informacin,

conocimiento manejando situaciones difciles con coraje y creatividad.

Comprometidos con la Sociedad comportndonos como ciudadanos responsables y

ampliando nuestras habilidades, experiencia y perspectiva de nuestras comunidades.

Por encima de todo nos comportamos con integridad manteniendo elevados

estndares profesionales en todo momento, proveyendo asesora til y conservando

nuestra independencia con rigor.

5.4 KPMG Nuestro conocimiento al servicio de la comunidad

Por medio del conocimiento que usamos todos los das en nuestro trabajo y aplicndolo

a las comunidades al rededor del mundo podemos ayudar a hacer cambios positivos local y

globalmente. Las Firmas miembro estn trabajando con organizaciones no gubernamentales,

compaas y gobiernos en temas apremiantes que enfrentan nuestras comunidades.

Globalmente estamos combinando el "expertise" de KPMG con las agencias de desarrollo

internacional para afrontar temas globales


15

5.5 KPMG brindamos conocimiento

KPMG explora temas de inters especial para nuestros clientes y amigos. Cada una de

las secciones o publicaciones que se vern a continuacin tiene investigacin, opinin y el

liderazgo de KPMG en conocimiento.

1. Audit Committee Institute Creado en 1999, KPMG Audit Committee Institute

brinda informacin, fuentes y oportunidades de compartir conocimiento por

diferentes medios, encuestas, investigaciones y publicaciones.

2. IFRS Now - the jargon free guide to IFRS adoption Esta es la edicin On-Line de

IFRS Now, la revista temtica de KPMG que da una mirada fresca a los retos que

enfrentan las personas que practican IFRS, sin perderse en los detalles tcnico

3. KPMGs Global IFRS Institute Brinda informacin y recursos para ayudar a las

Juntas Directivas, Comits de Auditora, Directores y Accionistas a tener

conocimiento y acceso a informacin valiosa sobre los reportes financieros globales.

5.6 KPMG en Colombia

KPMG comenz operaciones en Colombia en 1952, prestando los servicios de

Auditora, Impuestos y Asesora. En la actualidad KPMG es una de las ms reconocidas Firmas

de Auditora y Asesora del pas, prueba de esto es el importante portafolio de clientes

nacionales y multinacionales.
16

En Colombia la Firma cuenta con 3 oficinas, donde laboran ms de 800 profesionales:

Contadores, Administradores de Empresa, Economistas, Abogados, Ingenieros Industriales,

Ingenieros de Sistemas, seleccionados cuidadosamente

5.7 Certificaciones

Calidad ISO 9001:2008, de la casa certificadora internacional Bureau Veritas

Certification, para las prcticas de Auditora, Asesora Gerencial e Impuestos y


17

Servicios Legales. Este es un reconocimiento al mejoramiento continuo de nuestros

procesos de servicio y administracin.

KPMG Advisory Services Ltda. Particip en la implementacin del programa Rumbo

Empresas ntegras y Transparentes en octubre de 2009.

PCAOB (Public Companies Accounting Oversight Board), entidad que vigila el

desempeo de las Firmas que auditan los estados financieros de las compaas

registradas en la SEC (Securities & Exchange Comission).


18

KPMG en Colombia recibi en Octubre de 2010 el premio a la Firma del ao en

Servicios de Impuestos entregado por la revista norteamericana International

TaxReview, una de las publicaciones ms importantes a nivel mundial en materia de

impuestos. Esta distincin es un reconocimiento a la calidad del trabajo y al

compromiso de nuestros profesionales.


19

5.8 Enfoque hacia el mercado

Enfoque hacia el mercado (fuente: KPMG)

5.9 Portafolio de servicios de KPMG en Colombia

Portafolio de servicios de KPMG en Colombia (fuente: KPMG)


20

Portafolio de servicios de KPMG Tax & Legal Services (fuente: KPMG)

Portafolio de servicios de KPMG Audit Services (fuente: KPMG)


21

Portafolio de servicios de KPMG Advisory Services (fuente: KPMG)


22

6. Cronograma

xxx xxx xxx xxx xxx

Actividades L M M J V L M M J V L M M J V L M M J V L M M

Primera Visita a la empresa

Visita a la empresa para conocer


todos los proceso y actividades
de la misma

Notificacin del inicio de la


auditora

Reunin con el Representante de


la Empresa para coordinar
detalles.

Arranque de la auditora
Recoleccin de datos de la
empresa, entrega de formularios
al representante.

Revisin y verificacin de los


datos, formularios, documentos y
registros.

Anlisis de emisiones de todos


los procesos.

Revisin de los procedimientos


inconformes o no detallados en la
documentacin.

Anlisis de las medidas de


mitigacin y aspectos de mejora
de cada proceso.

Anlisis de los procesos


preventivos y correctivos de
estos.

Elaboracin del informe Final


Realizacin de las actividades de
seguimiento de una auditora.
ciclo de mejora Continua
(PHVA)
23

7. Desarrollo General AUDITORIA SI

De acuerdo a la ejecucin del desarrollo General AUDITORIA SI al Plan de

Continuidad de Negocio (BCP) de KPMG en Colombia se procede a analizar los criterios que

definen las necesidades del negocio, los objetivos de la planificacin de la

recuperacin, y el establecimiento de criterios base para definir las opciones que nos

permitan comprobar su viabilidad, revisar umbrales de tiempo, comunicacin, localizacin,

personal, componentes tecnolgicos de la recuperacin para cada servicio de soporte,

componentes no tecnolgicos de la recuperacin, analizar estrategias alternativas viables y ver

si con el tiempo pueden ser mejores para el planteamiento organizacional, verificar si el riesgo

asociado a la estrategia elegida se ha evaluado correctamente.

Se solicita a la organizacin KPMG Ltda la informacin pertinente, muestras,

documentacin y pruebas en sitio con respecto al Plan de Continuidad de Negocio (BCP) de

KPMG en Colombia.
24

7.1 Estructura Jerrquica de los Grupos de Respuesta, Roles y Responsabilidades

A continuacin se incluye un esquema jerrquico organizacional de cmo se

organizar KPMG en situaciones donde las actividades del negocio y/o los activos de la

compaa se puedan ver comprometidos. Esta estructura define roles que ms adelante sern

descritos en este mismo captulo. Los puntos de contacto indican la relacin y el flujo de

informacin para el reporte de actividades entre uno u otro rol o grupo que es conformado.

Muestra 1. Grupos de Respuesta del Plan General (Fuente KPMG)

7.1.1 Lder Comit Ejecutivo (Presidente)

Lder de ms alto rango al interior de la Firma. Ante un evento de interrupcin que

afecte la operacin de la Firma es quien tiene la autoridad para convocar al Comit Ejecutivo

y con ello iniciar las labores de nivel estratgico que dirigirn el rumbo de la situacin. Las

principales funciones del Lder del Comit Ejecutivo son:


25

Declara la activacin de los diferentes planes.

Definir la posicin de la Firma y la responsabilidad a asumir durante y posterior a una

contingencia.

Convoca va telefnica o escrita al Lder de Comunicaciones con Medios (Coordinador

de Mercadeo).

Decide si se aprueba el mensaje y la propuesta elaborada por el Lder de

Comunicaciones con Medios (Coordinador de Mercadeo).

Adicionar comentarios al mensaje.

7.1.2 Comit Ejecutivo Grupo Estratgico

Es un comit de nivel estratgico del plan al cual llega toda la informacin disponible

y relevante sobre la interrupcin para analizarla. Se crean escenarios y se plantean

alternativas de accin. Es un ente asesor de alto nivel. En este comit pueden participar

tantas personas como sean necesarias y puede tener miembros permanentes o invitados

ocasionales, si la situacin lo requiere. Mejor si es interdisciplinario a nivel de funcionarios

de varias reas de la compaa: administrativa, financiera, del negocio, etc. Debe tener un

coordinador que convoca y realiza tareas especficas que le son asignadas. En este comit se

redactan los borradores de comunicados, declaraciones, discursos, etc. Se preparan todos los

documentos y materiales relevantes para el manejo de la interrupcin. En este comit se

recibe y analiza informacin, y se sugiere el curso de accin. Las funciones generales del

Comit incluyen:
26

Desarrollar una estrategia frente a la interrupcin buscando preservar el negocio, y la

buena imagen y reputacin de la Firma.

Visualizar macro escenarios de evolucin de la interrupcin.

Valorar el impacto de la interrupcin sobre los diferentes grupos de inters de la Firma.

Establecer estrategias para controlar la emergencia y neutralizar las consecuencias.

Establecer un plan de accin con asignacin de autoridad y responsabilidad.

Destinar recursos.

Analizar y tomar decisiones formales con relacin a las peticiones de terceros

afectados por daos personales o materiales, durante y posterior a las emergencias.

Participar en las decisiones y patrocinio de las actividades de retorno.

7.1.3 Lderes de recuperacin - Grupo Tctico

Los lderes de recuperacin son personas encargadas de liderar la recuperacin del

negocio, procesos y tecnologa soporte, basados en las estrategias de continuidad

implementadas. Sern el contacto directo entre los procesos de negocio, el rea tecnolgica y el

comit de ejecutivo. Las funciones generales de los lderes de recuperacin son:

Informar al Comit Ejecutivo los niveles de impacto del evento y una estimacin de

su duracin, para as sugerir en Comit en la decisin de activacin de los planes

Liderar las reuniones del Equipo de Recuperacin, para diagnosticar y evaluar las

interrupciones que estn afectando la prestacin del servicio.

Liderar la puesta en funcionamiento de los servicios en los centros alternos de

operacin y tecnologa.
27

Liderar los procedimientos de activacin y restauracin a la normalidad con el apoyo

del Equipo de Recuperacin.

7.1.4 Equipos de recuperacin - Grupo Operativo

Estos equipos componen el nivel operativo del plan de continuidad, estn encargados

de la ejecucin de los procedimientos y actividades necesarias para salvaguardar la vida de

las personas, los activos de la firma, recuperar las operaciones de procesos crticos de

negocio y la tecnologa.

7.1.5 Lder de Continuidad del Negocio - Gestin

El rol del Lder de Continuidad est dado principalmente por las actividades previas

a un evento. Es el encargado de dirigir y liderar todas las actividades relacionadas con la

planificacin, dimensionamiento, aseguramiento, gestin y mantenimiento de los planes.

Actividades tales como:

Establecer el cronograma anual de revisin del plan.

Establecer los responsables de actualizar y mantener los indicadores, y revisar los

indicadores para medir el cumplimiento de los planes.

Identificar posibles desviaciones respecto de los objetivos y el alcance de continuidad.

Identificar y levantar alertas tempranas relacionadas con las desviaciones encontradas.

Establecer planes de mejora a desarrollar conjuntamente con el rea responsable, que

conduzcan a cerrar posibles brechas identificadas.

Convocar a los lderes de los procesos para presentarles los planes de accin

relacionados con las actividades de mantenimiento rutinarias y espordicas.


28

Llevar a cabo sesiones de seguimiento peridicas con el rea responsable de la

ejecucin del plan de accin para revisar el avance del mismo y establecer acciones

para las desviaciones.

Durante un hecho su rol cambia a brindar asesora y servir de gua a los equipos de

respuesta y recuperacin que eventualmente se conforman.

7.2 Lnea de Sucesin del Plan General

La lnea de sucesin identifica los responsables asignados a los diferentes roles del

Plan de Continuidad y sus alternos en caso de que estos no puedan asumir las actividades

y/o tareas. Estas personas deben ser asignadas de acuerdo a los roles y responsabilidades

definidas para este plan. La lnea de sucesin se describe a continuacin:


29

Comit Ejecutivo

Rol Responsable Principal Responsable Alterno

Presidencia Jorge Humberto Ros

Socio Lder Audit Gerardo Buenda Mara Ligia Cifuentes

Socio Lder Advisory Camilo Gonzlez Fabin Echeverra

Socio Lder Tax Vicente Javier Torres Myriam Stella Gutirrez

Socio Riesgos Elvia Maria Bolvar Gerardo Buenda

Legal Patricia Lozano


Direccin Financiera y
Myriam Fonseca Diana Arvalo
Administrativa
Muestra 2. Lnea de Sucesin Comit de Ejecutivo (Fuente KPMG)

Nota: La lnea de sucesin de los dems grupos de respuestas indicados en la estructura

jerrquica estn incluidos en los Captulos 8. Plan de Continuidad de Operaciones (COOP)

y 9 Plan de Recuperacin Tecnolgica (DRP)

7.3 Comunicaciones

Un evento se puede presentar en cualquier momento, por esta razn, desde la

Comunicacin Corporativa se le presta especial atencin toda vez que afecta la empresa y

su imagen. Por tanto, debe estar prevista al menos en sus efectos inciales y los recursos que

sern necesarios para su gestin.

Este documento permite maximizar la efectividad de las comunicaciones de

contingencia, al facilitar las operaciones, a travs de un plan establecido, y la asignacin de

roles y responsabilidades en el momento de la activacin del plan de continuidad de

operaciones (COOP)
30

7.3.1 Objetivo

Proporcionar procedimientos documentados para efectuar una comunicacin interna o

externa sobre los hechos de importancia durante la ocurrencia de un evento que afecte la lnea

de continuidad.

Adicionalmente, se incluyen los siguientes objetivos:

Definir responsabilidades comunicacionales tanto de los miembros del equipo del

Plan de Continuidad como de los empleados.

Desarrollar diferentes estrategias desde la comunicacin que permitan orientar a

todas las audiencias, segn su naturaleza, en un momento de crisis.

Definir medios de comunicacin que apoyen la gestin.

Brindar una gua de la naturaleza de los mensajes segn la situacin.

Reducir la ansiedad de los involucrados.


31

7.3.2 Flujo grama de Actividades

Muestra 3. Flujo grama de actividades comunicaciones (Fuente KPMG)


32

7.3.3 Procedimiento

Cdigo Actividad Responsable

Validar las causas, para entender mejor cuales son los


1 efectos y los tiempos que se permanecer en
Comit Ejecutivo
contingencia, si existen afectacin de personas, entre
otra informacin.
2 Identificar grupo inters de acuerdo al tipo de evento Comit Ejecutivo
Disear Comunicado de acuerdo a la audiencia, medios
3 a contactar y seleccionar Portavoz. Comunicaciones con Medios

Validar comunicacin con comit de ejecutivo para


4 asegurar que el comunicado sea el ms pertinente Comunicaciones con Medios

5 Emitir el comunicado Comunicaciones con Medios


6 Si el evento no se ha solucionado volver a la actividad Comunicaciones con Medios
n1
Muestra 4. Procedimiento de comunicaciones (Fuente KPMG)
33

7.3.4 Anexos Comunicaciones

7.3.4.1 Anexo 1. Matriz de Comunicaciones

DIRIGIDAS A COOP DRP Voceros

Comunicado Comunicado Comunicado Comunicado Presidencia

Inicial Final Inicial Final

Internos Empleados X X X X

KPMG International X X

Externos Clientes X X

Reguladores X X X X

Medios (TV,Periodico,etc) X X X X

Proveedores X X X X Responsable del Proveedor

Muestra 5. Matriz de Comunicaciones (Fuente KPMG)


34
7.3.4.2 Anexo 2. Comunicado inicial para empleados

Interrupcin de actividades en las oficinas de la ciudad de Bogot Calle 90

Bogot, de 2015

Estimados asociados,

Les informamos que (esta maana, tarde, ayer) se produjo un evento que afecta el

funcionamiento de la oficina de la calle 90, lo que ocasionar el traslado de las funciones

administrativas a las oficinas de la Calle 76.

Estamos coordinando las acciones tendientes a la normalizacin de las actividades, pero por el

momento los empleados cuya sede principal y permanente sea la Calle 90, debern llevar a

cabo su trabajo desde su casa o empresa asignada. Solo debern presentarse a las oficinas de la

calle 76 los empleados que sean notificados a travs de una llamada o correo electrnico.

Una vez se normalicen los accesos les comunicaremos por este medio.

XXXX

Presidente

KPMG en Colombia
35
7.3.4.3 Anexo 3. Comunicado final para empleados

Normalizacin de funciones en las oficinas de la ciudad de Bogot Calle 90

Bogot, de 2015

Estimados asociados,

Les informamos que la oficina de la calle 90 ha vuelto a su funcionamiento habitual. Los

asociados que estaban temporalmente en la oficina de la calle 76 o que se encontraban

trabajando desde su casa o empresa asignada, podrn hacer uso de la oficina de la calle 90 a

partir de la fecha.

Gracias por su comprensin y colaboracin.

XXXX

Presidente

KPMG en Colombia
36
7.3.4.4 Anexo 4. Comunicado inicial para proveedores

KPMG - Interrupcin de actividades en las oficinas de la calle 90

Bogot, de 2015

Estimados proveedores:

KPMG en Colombia comunica que debido a evento el acceso al edificio de la calle 90 est

temporalmente restringido. Las operaciones administrativas se estn llevando a cabo en las

oficinas de la calle 76 (Calle 76 # 11 17 piso 6).

Agradecemos enviar cualquier correspondencia o factura a dicha direccin hasta nuevo aviso.

Un saludo,

XXX

Gerente Administrativa
37
7.3.4.5 Anexo 5. Comunicado final para proveedores

KPMG - Normalizacin de funciones en las oficinas de la calle 90

Bogot, de 2015

Estimados proveedores:

KPMG en Colombia informa que la oficina de la calle 90 ha vuelto a su funcionamiento

habitual.

Agradecemos normalizar los envos de correspondencia o facturacin a la Calle 90 # 19C 74.

Un saludo,

XXX

Gerente Administrativa
38
8. Criterios de Activacin

Los criterios de activacin del procedimiento son una herramienta til para la toma

oportuna de decisiones en un evento real. El planteamiento aqu definido puede tomarse

como base para activar el plan segn sea el caso, pero se debe tener presente que los criterios

aqu descritos son un punto de partida o una referencia inicial que puede ser reevaluada por

los resultados de las actividades de prueba o por las condiciones propias del hecho. Los

tiempos y criterios de decisin estn soportados por los resultados de los anlisis de impacto

vigentes.

Escenario Duracin Decisin Responsable

Notificar al Comit Ejecutivo y


Evento que El tiempo de solucin del
sugerir activar el Plan de
inhabilita la evento es incierto, o se
Continuidad de Operaciones Grupo de
operacin en el estima que durar ms de 6 Reaccin a
(COOP).
edificio horas. Eventos de
Blue Tower (Calle Emergencias
90 # 19 c-74) en Se estima que el tiempo de
Realizar seguimiento de la
horario laboral. solucin del evento no es
evolucin del evento.
superior a las 6 horas.
Muestra 6. Criterios de Activacin (Fuente KPMG)

8.1 Roles y Responsabilidades

Cada uno de los integrantes del grupo de respuesta tiene asignado un rol y con ello una

serie de responsabilidades antes, durante y despus de un evento de interrupcin real. A

continuacin se listan uno a uno los roles identificados y las responsabilidades asignadas a

cada uno de ellos.


39
8.1.1 Lderes y/o representantes de procesos

El rol de los lderes de los procesos consiste en que durante un evento que afecte la

disponibilidad de los procesos crticos que operan en el edificio de KPMG Bogot es el de

activar el plan y coordinar las actividades de reanudacin del servicio en la Firma.

8.1.2 Lder de Comunicaciones con Medios (Coordinador de Mercadeo).

Tiene la responsabilidad de asesorar en la comunicacin del evento de interrupcin a

nivel interno (clientes y funcionarios) y a nivel externo (proveedores, organismos de control,

entre otros) de acuerdo al Plan de Comunicacin disponible, este rol hace parte de los lderes

y/o representantes de procesos. A continuacin se menciona las funciones generales:

Disear estrategias y tcticas de solucin a la interrupcin, desde su competencia.

Revisar los comunicados para clientes, preparados por el de mercadeo con el apoyo

del rea Legal.

Mantener Comunicacin con todos los clientes.

Preparar y enviar los comunicados internos, preparados por el rea de Gestin

Humana, previa revisin del rea Jurdica.

Contactar terceros comunicadores crebles o voceros, previamente definidos o que

surjan durante la urgencia, para la emisin de declaraciones o interlocuciones en favor

de KPMG.

Tomar las medidas necesarias para evitar inconsistencias.

Supervisar las respuestas o aclaraciones a los medios de comunicacin relacionadas

con los juicios y transacciones originadas por la interrupcin.


40

Hacer seguimiento hasta el punto en que se cumplan los compromisos adquiridos, en

caso de que KPMG haya asumido la responsabilidad de la emergencia.

Planificar la relacin con los medios.

8.1.3 ITLP: Information Technology Liaison Partner

Es el responsable por la estrategia de tecnologa de la firma, supervisa el manejo

de tecnologa localmente y toma las decisiones con respecto del rea, adicionalmente es el

encargado de comunicar las oportunidades o retos a los servicios de TI y tomar las acciones

respectivas. Este rol indica al Gerente de Sistemas en que momento fue activado el Plan de

Continuidad de Operaciones (COOP) y supervisar las actividades de avance del mismo para

reportar al Grupo de Reaccin.

8.1.4 Gerente de Sistemas

Es el encargado de gestionar y dirigir los procesos, actividades del Grupo de Soporte

de Tecnologa de Informacin con el objetivo de asegurar una adecuada operacin, soporte y

mantenimiento de la Infraestructura de Equipos, Telecomunicaciones y Sistemas instalados

en el Centro Alterno de Operaciones (CAO).


41

8.1.5 Grupo de Soporte de Tecnologa de Informacin

Este grupo es el encargado de velar por la disponibilidad y la funcionalidad de los

equipos de cmputo necesarios en el momento que se active el Plan de Continuidad de

Operaciones (COOP), adicionalmente, deben garantizar la conexin y el correcto

funcionamiento de cada uno de los equipos y prestar cualquier tipo de soporte en sitio mientras

dure activado el procedimiento. El grupo est conformado por:

Rol Cargo Suplente

Help Desk Diego Pinillos Dany Urrego

Muestra 7. Grupo de Soporte de Tecnologa de Informacin (Fuente KPMG)

8.1.6 Directora de Gestin Humana

Es el encargado de la administracin y gestin del recurso humano de la compaa.

Ante un evento, la Directora velar por establecer las novedades de personal que se puedan

llegar a presentar, y establecer los planes de accin requeridos para atender las necesidades de

los funcionarios y/o sus familias.

8.1.7 Directora Financiera y Administrativa

Es la encargada de coordinar y liderar el rea financiera y administrativa de la firma,

haciendo seguimiento a la gestin financiera, contable y de tesorera, adicionalmente es la

encargada consecucin de recursos y manejos de los mismos, anlisis de los estados

financieros y la solvencia econmica de la compaa y control de endeudamiento. En el

momento de presentarse algn evento es la encargada de definir la visin de finanzas y asume

la responsabilidad absoluta de la estrategia de finanzas.


42

8.1.8 Lder de Administracin y Seguridad Fsica

Es la encargada de la administracin de las instalaciones fsicas de la compaa , de

los recursos y activos fsicos que estas requieren para operar en caso de un evento, igualmente

es el encargado de coordinar, organizar y supervisar operativa y administrativamente las

actividades encaminadas a prestar soporte a la Seguridad Urbana del Centro Alterno de

Operacin y personal critico de los procesos, cumpliendo con las polticas y normas de

seguridad aprobadas por la corporacin, con el fin de optimizar los recursos dispuestos y

comprometidos en la compaa . Para el procedimiento el lder de administracin coordina las

actividades del Grupo de Coordinacin y Logstica del Centro Alterno, as como la

disponibilidad y recursos necesarios del sitio fsico a utilizar

8.1.9 Grupo de Reaccin a Eventos de Emergencias

Este grupo est encargado de hacer la evaluacin del evento y de acuerdo a ello informa

y asesora al Comit Ejecutivo sobre el estado actual de la interrupcin para que este ltimo

tome la decisin de si se activa o no el plan de continuidad de operaciones. El grupo est

conformado por:

Rol Cargo Suplente


Lder de Administracin y Gerente Administrativa Asistente Administrativa
Seguridad Fsica
Directora de Gestin Humana Directora de Gestin Jefe de Personal
Humana
Directora Financiera y Directora Financiera y Gerente Senior de
Administrativa Administrativa Contabilidad
MUESTRA 8. Grupo de Reaccin a Eventos de Emergencias (Fuente KPMG)
43

8.1.10 Lder de la Brigada de Emergencias y Coordinador de Evacuacin

Es el que decidir de acuerdo a la magnitud del evento si se debe generar una

evacuacin parcial o total de las oficinas, adicionalmente debe verificar la evacuacin parcial

o total del personal, comunicar de las acciones ejecutadas, y dar solucin al evento y brinda

una retroalimentacin del evento, sus consecuencias y evolucin a los integrantes del Grupo

de Activacin. Es el que desarrolla las primeras actividades de respuesta orientadas a contener

el evento.

8.2 Lnea de Sucesin

La lnea de sucesin identifica los responsables asignados a los diferentes roles del

Plan y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas

personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este

plan. La lnea de sucesin se describe a continuacin:

Rol Responsable Principal Responsable Alterno

Lder de Administracin y
Yolanda Gmez Diana Mogolln
Seguridad Fsica
Directora de Gestin Humana Mnica Haupt Mirialba Toro
Directora Financiera y
Myriam Fonseca Luis Alejandro Sanchez
Administrativa
Lder de comunicaciones en Felipe Rebelln ngela Riveros
medios
ITLP: Information
Alain Almeida Jairo Jerez
Technology Liaison Partner
Gerente de Sistemas Jairo Jerez Diego Pinillos
Lder de la Brigada de Carolina Bahamon Zivanna Navarro
Emergencias
MUESTRA 9. Lnea de Sucesin del Plan (Fuente KPMG)
44
8.3 Procedimiento

8.3.1 Procedimiento de Respuesta

El procedimiento descrito a continuacin define la secuencia general de actividades

que se realizarn en el momento en el que el Plan de Continuidad de Operaciones (COOP) sea

activado. La tabla lista actividad por actividad definiendo el responsable y el tiempo previsto

para su ejecucin. El tiempo previsto es una estimacin que puede variar en un evento real

conforme las caractersticas propias resultado de la evolucin del suceso.


45
Cdigo Actividad Responsable Tiempo
Previsto
Compaa de
El evento es detectado y notificado a seguridad
1 Seguridad/ 15 Minutos
fsica
Asociado/Visitante
Se establece el origen del evento y se escala a la
2 Compaa de Seguridad 15 Minutos
autoridad interna competente
El Lder de Administracin y Seguridad Fsica
informa de la situacin al Grupo de Reaccin a
Eventos de Emergencias. A partir del evento Lder Administracin y
3 15 Minutos
ocurrido, se realiza una evaluacin del impacto Seguridad fsica
por el personal competente sobre la
infraestructura afectada
Conforme al resultado del impacto del evento, la
evaluacin del personal afectado, as como el
horario y actividades crticas para el negocio se
opta por:
Esperar la solucin del evento y no
desplazarse al Centro Alterno de Operaciones.
Suspender todas las actividades por un tiempo
4 Comit Ejecutivo 15 Minutos
prudente y con ello se debe definir la fecha y
el lugar para convocar y reanudar actividades
en el centro alterno de operaciones, una vez se
desplace se consideran las prioridades de los
procesos que tenga actividades que
establezcan condiciones especiales para un
tiempo de respuesta determinado.
A partir de la decisin de la activacin del plan,
el Comit Ejecutivo le informa al Grupo de
5. Reaccin de Emergencias la fecha y el lugar para Comit Ejecutivo 15 Minutos
convocar y reanudar actividades en el centro
alterno de operaciones.
El Lder de Administracin y Seguridad Fisca
convoca al personal respectivo, cuyos integrantes
se desplazarn al sitio designado para su
alistamiento y revisan la adecuacin fsica del
centro alterno de operacin, hace preparativos
6. bsicos iniciales en cuanto a limpieza, Lder Administracin y
1 Hora
acomodacin y adecuacin, considerando la fecha Seguridad fsica
y la hora en la que se presume que llegar el
personal convocado. Esta actividad incluye la
identificacin de recursos faltantes para
rpidamente ser solicitados a proveedores
previamente identificados.
46

El Gerente de Sistema anuncia al Grupo de


Soporte de Sistemas que el centro alterno de
operacin ha sido habilitado y el personal ha sido
Gerente de Sistemas
7 convocado para que realicen la verificacin de la
Grupo de Soporte de 1 Hora
funcionalidad de todos los recursos tcnicos
Tecnologa
necesarios previstos en el lugar (Conectividad de
red, telefnica, acceso a internet, entre otros), y el
equipo de soporte se desplace al centro alterno.
El Gerente de Sistemas solicita al Grupo de
Soporte de Sistemas el alistamiento de los equipos Gerente de Sistemas
8
de cmputo de usuarios final con las condiciones Grupo de Soporte de 1 Hora
tcnicas solicitadas que se requerirn en el centro Tecnologa
alterno de operacin.
La Directora de Gestin Humana o su designado
anuncia a los lderes de los procesos crticos que
se encuentran en el anexo 2. Recursos Mnimos
Necesarios
Al mismo tiempo comunica la necesidad de que
9 Directora de Gestin
estos informen al total de los funcionarios las 1 Hora
Humana
actividades a realizar en el corto plazo, es decir,
para aquellos que son crticos el desplazamiento
al sitio alterno, la designacin de actividades
logsticas o la suspensin de toda actividad hasta
nueva orden.
El lder de comunicacin con medios se encarga
de realizar la notificacin o anuncios a los El lder de
10
empleadnos, proveedores y clientes de acuerdo de comunicacin con 1 Hora
acuerdo a los anexos 7.6.4 Anexos medios
Comunicaciones
Cada uno de los lderes de los procesos crticos o
su designado establece la prioridad y la relevancia
de las actividades a realizar conforme a la
coyuntura de tiempo que se va dando de acuerdo
a los compromisos o requerimientos propios del
11
rea o del negocio. Esto le permitir ir definiendo Lderes de los Procesos
el personal que debe responder a medida que pasa
el tiempo convocando en el sitio alterno de
operacin e identificando recursos y registros
vitales. Ver Anexo 01.
Distribucin de Personal
A medida que cada lder identifica las actividades
12
prioritarias los funcionarios de la compaa Lderes de los Procesos
acuden y acceden al centro alterno de operacin.
47

Cada proceso crtico iniciara actividades dando


prioridad aquellas que tienen mayor relevancia de
13
acuerdo a la prestacin de servicios, compromisos Lderes de los Procesos
con entes externos, compromisos financieros, y
generacin de informacin y/o reporte.

Muestra 10. Procedimiento Respuesta (Fuente ITS)

8.3.2 Procedimiento ITS

El procedimiento descrito a continuacin define la secuencia general de actividades

que se realizarn por parte de ITS en el momento en el que el Plan de Continuidad de

Operaciones (COOP) sea activado. La tabla lista actividad por actividad definiendo el

responsable y el tiempo previsto para su ejecucin. El tiempo previsto es una estimacin que

puede variar en un evento real conforme las caractersticas propias resultado de la evolucin

del suceso. Para la ejecucin del procedimiento se debe tener previamente los siguientes

prerrequisitos:

Lista de distribucin de telfono

Lista de distribucin de computadores

Computadores de contingencia pre configurados con las impresoras de Bogot-calle

76 y con los aplicativos que va operar cada usuario.


48
Procedimiento:

Cdigo Actividad Responsable Tiempo


Previsto
Reasignar los telfonos que estn en los puestos de trabajo
1 Soporte ITS en
de la oficina de Bogot-calle 76 y colocarlos en las salas
calle 76
designadas para la operacin en contingencia.
Los computadores destinados para contingencia estn en
2 Soporte ITS en
la Bodega de Bogot-calle 76 y las llaves estn en custodia
calle 76
en la recepcin de dicha oficina.
Distribuir los computadores destinados para contingencia
3 Soporte ITS en
en los puestos de trabajo designado con su respectivo
calle 76
punto de red conectado.
Verificar la conectividad entre los equipos distribuidos en
4 los puestos de trabajo y los servidores de aplicacin a Soporte ITS en
travs de comando ping con una cuenta de usuario de Help calle 76
Desk.
Notificar al Gerente de Sistemas que esta adecuado el
5 Soporte ITS en
COOP para recibir a los usuarios y que estos puedan
calle 76
operar.
El gerente de sistemas notifica al resto del Grupo tctico
6 Gerente de
que esta adecuado el COOP para recibir a los usuarios y
sistemas
que estos puedan operar.
Muestra 11. Procedimiento ITS (Fuente KPMG)
49
8.4 Anexos COOP

8.4.1 Anexo 1- Distribucin de Personal

Muestra 12. Mapa de Centro Alterno de Operaciones (Fuente KPMG)


50

8.4.2 Anexo 2- Recursos mnimos necesarios


ITS
PC con -
Puesto ITS - BCP
Personal conexin Telfono Telfono ITS - BCP ITS - BCP
rea Proceso Funcionario bsico de BCP Impresora Fax
Mnimo aplicativos de Fijo Celular DISTRIBUCI ON TELEFONOS PC' S
trabajo SALAS
negocio

Oficial de Oficial de
1 NITSO 1 1 1 1 1 0
Seguridad Seguridad
Total Personas 14
Pool De Pool De Mesas contra Pared
Toda el rea 2
Procesami Procesami SALA 1 Costado Oriente: 4
14 en temporada 14 14 3 4 1613 6 2 0
ento ento De 16 Personas Costado Sur: 5
alta 1611
De Datos Datos Costado
Occidente:5
Total Personas 1
Audit SALA 1 1
Audit 1 Secretaria 1 1 1 1 Mesas contra Pared 1 1 0
Financiero 16 Personas 1614
Costado Norte: 1
Comunica Total Personas 1
Ventas y Comunicacio SALA 1 1
ciones con 1 1 1 1 0 Mesas contra Pared 1 1 0
Mercadeo nes 16 Personas 1606
Medios Costado Norte: 1
ITA 1 Secretaria 1 1 1 1 Total Personas: 6 0 0
Socio 1 1 0 1 Mesa de 2 0 0
SALA 2 Centro(actual)
Advisory AAS 2 Asistente 1 1 1 1 1608 3 0 0
10 Personas
ejecutiva 1626
Forencic 2 Secretaria 1 1 1 0 0 0
51
ITS
PC CON ITS - - BCP
Puesto ITS - BCP
Personal conexin Telfono Telfono BCP ITS - BCP PC' S
rea Proceso Funcionario bsico de TELEFON Impresora Fax
Mnimo aplicativos de Fijo Celular SALA DISTRIBUCI ON
trabajo OS
negocio S

Lnea tica 1 1 1 1 Costado Norte: 0 0 0


Costado Oriente: 1
Transanction & Costado Sur:5
1 Director 1 1 1 1 1 0
Restructuring
Socio Tax 1 1 1 1 Total Personas: 4
Secretarias 2 2 2 2 Mesa de Centro
2
Tax & SALA 2 (actual)
Tax & Legal 4 Persona para 1605 3 1 1
Legal 10 Personas Costado Norte: 4
solicitar 1 1 0 1 1609
Costado Oriente: 0
sentinel Costado Sur: 0
Cumplimiento Directora
Gestin obligaciones Financiera Y
de tributarias Administrativa Total Personas: 3
Admini
Gerente Senior SALA 3 Mesa de Centro 1
stracin 3 3 3 1 1 1 0 0
Departamento 6 Personas (actual) 1616
y Disponibilidad
Contabilidad Costado Norte: 3
Financi del Dinero
era Gerente
Administrativa
Reclutamiento
y Seleccin
Jefe de personal 1 1
Total Personas: 3
Gestin Contratacin y
SALA 3 Mesa de Centro 1
de Nomina 3 1 1 1 1 0
6 Personas (actual) 1625
RRHH Senior personal 1 1 Costado Sur: 3
Seguridad y Asistente de
Salud en el administracin 1 1
trabajo de personal
Encargado de SALA 4 Total Personas: 4
recuperacin CIO 4 Personas Mesa de Centro (actual)
Gestin
2
de
Contratacin 3 Encargado de 1602 3 1 0
TECNO
1615
LOGIA Recuperacin
52

ITS
PC CON -
Puesto ITS -
Personal conexin Telfono Telfono ITS - BCP ITS - BCP BCP
rea Proceso Funcionario bsico de BCP Impresora Fax
Mnimo aplicativos de Fijo Celular DISTRIBUCI ON TELEFONOS PC' S
trabajo SALAS
negocio

Salud Costado Norte: 2


HelpDesk1
Ocupacional Costado Sur: 2
Nomina HelpDesk2
TOTAL DE
RECURSOS
36 33 33 16 17 4 SALAS 36 PERSONAS 0 19 1 0
REQUIDOS EN
CONTINGENCIA
Muestra 13. Recursos mnimos necesarios (Fuente KPMG)

(*) Se especifica esta cantidad en total requerida por los procesos, sin embargo en el centro alterno de operaciones (CAO) estos

recursos son compartidos.


53

8.4.3 Anexo 3. Lista General de Contactos Internos


P:Principal Ext
Rol Nombre Celular Correo
A: Alterno Telfono
Yolanda
Lder de P 1212 - 1248 3188430082 ygomez@kpmg.com
Gmez
Administracin y
Seguridad Fsica Diana
A 1248 3164730981 dmogollon@kpmg.com
Mogolln
Directora de P Mnica Haupt 1386 3153380540 mhaupt@kpmg.com
Gestin Humana A Mirialba Toro 1259 3153380360 mtoro@kpmg.com
Directora P Myriam 1236 - 1397 3158739327 mrfonseca@kpmg.com
Financiera y Fonseca
Administrativa A Yolanda 1212 - 1248 3188430082 ygomez@kpmg.com
Gmez
ITLP: Information P Alain Almeida 4111 - 4142 - abalmeida@kpmg.com
Technology Liaison 1230 3163358955
Partner A Jairo Jerez 1398 jajerez@kpmg.com
3163049366
P Jairo Jerez 1398 jajerez@kpmg.com
3163049366
Gerente de Sistemas
A Miguel Ortiz 1398 mlortiz@kpmg.com
3185698732
Lder de la Brigada P Carolina 1390 lbahamon@kpmg.com
de Emergencias Bahamon
A Zivanna 1447 - 1130 znavarro@kpmg.com
Navarro
Muestra 14. Lista General de Contactos Internos (Fuente KPMG)
54

9. Anlisis de impacto BIA

Para el diseo y la documentacin del presente Plan de Recuperacin de Desastres

(DRP) se tuvo en cuenta el Informe de Anlisis de Impacto (BIA) realizado en Diciembre de

2016, as como las sesiones de trabajo realizadas con los responsables del Plan de

Continuidad del Negocio y el equipo de ITS, entre otros. Conforme lo establece el informe,

el anlisis de impacto al negocio (BIA) tuvo como objetivo la identificacin de los elementos

(informacin) relevante que permita el diseo de las estrategias de continuidad acordes a la

medida de la Firma, sus principales resultados fueron considerados y aprobados por el comit

de presidencia y a continuacin se incluye una breve resea de los insumos ms relevantes

para el Plan de Recuperacin.

9.1 Recovery Time Objective (RTO)

Como conclusin del Anlisis de Impacto al Negocio realizado, se establece que el

centro de cmputo alterno (CCA) y el Centro de Operaciones (COOP) deben ser activados en

un tiempo de 6 horas.
55

La siguiente tabla muestra el orden de recuperacin de los aplicativos que requieren

operar desde el CCA y que estn disponibles para el usuario en el COOP, con sus respectivos

tiempos de recuperacin.

Aplicacin rea / Proceso RTO


Crtico
Gestin de Administracin y
Seven 6H
Financiera
eAudIT Audit
Kactus Gestin de RRHH
1 Da (24H)
File Server (Carpetas
Todas las reas de KPMG
de red)
Muestra 15: Orden de recuperacin aplicativos (Fuente KPMG)
56

Los aplicativos globales los cuales se acceden por KNET son requeridos por varias

reas como lo muestra la siguiente tabla:

Aplicacin rea / Proceso RTO


Critico
Gestin de Administracin y
6H
Financiera
Correo Electrnico Gestin de RRHH (1 da) 1 Da (24H)
Advisory (1 da) 1 Da (24H)
Sentinel 2 Das (48H)
CEAC Tax & Legal 2 Das (48H)
Interpreter 2 Das (48H)
GCC Advisory BPS 2 Das (48H)
Gestin de Mercadeo y
CRM 1 Semana o ms
Comunicaciones
QBUS Oficial de Seguridad 1 Semana o ms
Administracin de Calidad y
KICS 1 Semana o ms
Riesgos
Quick Scan 1 Semana o ms
Advisory AAS
People Meetis 1 Semana o ms
Muestra 16. Aplicativos globales usados en la Firma (Fuente KPMG)

Segn la tabla anterior la conexin con Global a travs de KNET se necesita con

conectividad desde el CCA y prestando servicio a los usuarios desde el COOP en 6 horas,

mximo en un da.

Internet lo requieren la mayora de los procesos para conexin con aplicativos de

proveedores, acceso a cuentas bancaria y como fuente de Knowledge. La siguiente tabla

muestra las reas que requieren Internet en su operacin en contingencia.


57

Servicio de RTO
rea / Proceso
INTERNET
Gestin de Administracin y 6H
Portales Bancarios
Financiera
Sigma y Performe 1 Da (24H)
Gestin de RRHH
El Empleo 1 Da (24H)
SPAMS Advisory - BPS 2 Das (48H)
Advisory - Transanction & 2 Das (48H)
Data Rooms
Restructuring
ltimas tendencias 1 Semana o ms
Advisory - Climate Change
Estudios en rede & Sustainability 1 Semana o ms
sociales
Muestra 17. Servicio de Internet (Fuente KPMG)

Segn la tabla estas reas necesitan el recurso de Internet para la operacin de sus

procesos, por lo tanto se necesita el servicio de Internet operando desde el CCA y prestando

servicio a los usuarios desde el COOP en un tiempo de 6 horas.

9.2 Recovery Point Objective (RPO)

Como conclusin del Anlisis de Impacto al Negocio realizado, el respaldo de la

informacin que se genera en operacin normal (produccin) debe ser respaldada en el CCA

cada 4 horas como en el caso de eAudIT y el resto de aplicaciones crticas pedidas por el

negocio debe tener respaldo de informacin de 1 da, tal como lo muestra la siguiente tabla:
58

Aplicacin rea / Proceso RPO

eAudIT Audit 4H

Gestin de Administracin y
SEVEN 6H
Financiera
Kactus Gestin de RRHH 1 Da (24H)
File Server
Todas las reas de KPMG 1 Da (24H)
(Carpetas de red)
Muestra 18. Orden de prioridad en respaldo de informacin (Fuente KPMG)

9.3 Roles y Responsabilidades

Los grupos de trabajo estn conformados por funcionarios especializados que

realizarn actividades en comn durante la puesta en marcha del plan. Los roles aqu

descritos tendrn una interaccin conforme se describe en el Plan de Continuidad en el

Captulo 7.4 Estructura Jerrquica de los Grupos de Respuesta, Roles y Responsabilidades.

A continuacin se presentan los grupos de trabajo planteados para el presente plan:

9.3.1 ITLP: Information Technology Liaison Partner

Es el Lder del Plan de Recuperacin Tecnolgica DRP, ser responsable de los

procedimientos de diagnstico y recuperacin desarrollados para los sistemas de informacin

de la Firma. Tendr el rol de decidir cundo un evento amerita activar los procedimientos del

Plan de Recuperacin Tecnolgica (DRP) y supervisar las actividades de avance del mismo

para reportar al comit ejecutivo en caso de que este se conforme.

9.3.2 Gerente de Sistemas

Es el encargado de gestionar y dirigir los procesos, actividades del Grupo de

Recuperacin Tecnologa con el objetivo de asegurar una adecuada activacin del CCA, su

operacin en contingencia y del retorno a la normalidad.


59

9.3.3 Grupo de Recuperacin Tecnolgica

Grupo conformado por especialistas tcnicos. Su principal funcin est dada por

diagnosticar y establecer el origen inicial de una falla. Eventualmente este grupo escalar el

evento cuando no obtenga solucin del mismo. Este grupo est conformado por:

9.3.3.1 Help Desk

Grupo conformado por especialistas tcnicos encargados de atender los

requerimientos de los usuarios finales. Su principal funcin est dada por diagnosticar y

establecer el origen inicial de una falla. Eventualmente este grupo escalar el evento cuando

no obtenga solucin del mismo.

9.3.3.2 Equipo Especialistas de Aplicaciones e Infraestructura

Los administradores de los aplicativos de la Firma son los encargados de administrar

los requerimientos propios de las aplicaciones, de establecer y mantener su parametrizacin

para que los procesos de negocio obtengan beneficio de la herramienta. En un evento de

interrupcin tendr la responsabilidad de realizar un diagnstico tcnico sobre la aplicacin

y escalar a un tercer nivel en caso de que no obtenga solucin.

Los administradores de los elementos de la infraestructura, son los encargados de dar

soporte tcnico a toda la plataforma en sus diferentes niveles de comunicacin y

procesamiento. El lder del tercer nivel tendr contacto con proveedores y fabricantes para

que a travs de contratos de mantenimiento y soporte pueda escalar y obtener soluciones

fuera de su alcance. Este equipo tendr las siguientes responsabilidades antes, durante y

despus de una contingencia:

Validar el resultado del proceso de replicacin de informacin entre el Centro de

Cmputo Principal y el Centro de Cmputo Alterno.


60

Verificar con los usuarios finales la disponibilidad y la integridad de los datos del

sistema de informacin.

Brindar soporte al aplicativo incluyendo sus siguientes componentes: sistema

operativo, bases de datos, almacenamiento, entre otros.

Verificar la instalacin del Hardware requerido por la aplicacin en el Centro de

Cmputo Alterno, en caso de que esto sea necesario.

Monitorear las variables de desempeo de la infraestructura de cmputo del Centro de

Cmputo Principal y Alterno.

Asegurar la disponibilidad de los medios de respaldo requeridos en el Centro de

Cmputo Alterno.

Coordinar la disponibilidad de recursos adicionales de infraestructura de cmputo con

proveedores de servicio previamente identificados.

Monitorear las condiciones ambientales de trabajo al interior de los Centro de

Cmputo Principal y Alterno.

Brindar soporte a la infraestructura de cmputo de los Centro de Cmputo Principal

y Alterno.

Establecer y supervisar las medidas de seguridad de orden fsico y lgico en la solucin

de los Centro de Cmputo Principal y Alterno, incluyendo los sistemas de cmputo,

las aplicaciones y la adecuacin fsica de estas localidades.

Desarrollar las actividades de recuperacin de los componentes de seguridad

perimetral dispersos en la topologa de la estrategia del Plan de Continuidad de TI.

Coordinar las medidas de acceso de los Centro de Cmputo Principal y Alterno.


61

Garantizar la disponibilidad y operacin efectiva de los elementos de la red de

telecomunicaciones dispersos en la topologa de la estrategia del Plan de Continuidad

de TI.

Monitorear y gestionar los enlaces de comunicacin y con ello garantizar su ptimo

desempeo.

Coordinar con los proveedores de servicio que brinden equipos y/o enlaces de

comunicaciones para las actividades de soporte que puedan llegar a ser requeridas.

Brindar soporte a la infraestructura de telecomunicaciones de los Centro de Cmputo

Principal y Alterno, as como al Centro Alterno de Operacin (COOP) de Bogot -

Calle 76.

9.3.3.3 Proveedores

Son proveedores de hardware y software de ITS. Estos son requeridos por el equipo

de especialistas de aplicaciones e infraestructura, en caso de requerir un apoyo.

9.4 Lnea de Sucesin

La lnea de sucesin identifica los responsables asignados a los diferentes roles del

DRP y sus alternos en caso de que estos no puedan asumir las actividades y/o tareas. Estas

personas deben ser asignadas de acuerdo a los roles y responsabilidades definidas para este

plan. La lnea de sucesin se describe a continuacin por equipos y roles:


62

Rol Principal Alterno

ITLP Alain Almeida Jairo Jerez


Gerente de Sistemas Jairo Jerez Diego Pinillos
Carlos A. Chvez
Equipo Infraestructura Daniel E. Ibarra
Miguel Ortiz
Equipo Aplicaciones Nancy Rodrguez Ivn Torres
Help Desk Diego Pinillos Dany Urrego
Muestra 19. Lnea de Sucesin (Fuente KPMG)

10. Activacin de Recuperacin de Tecnolgica

Tiempo
Cod. Actividad Responsable
Previsto
Deteccin del evento. El usuario final
identifica una falla de cualquier ndole en
1 Usuario Final 5 min
los sistemas crticos de la Firma y se la
comunica con el Help Desk.
Diagnstico de Primer Nivel. Tras la
deteccin del evento, el equipo de primer
nivel realiza un diagnstico para
2 identificar la causa del mismo. En caso Help Desk 5 min
que este equipo de trabajo pueda
solucionar el evento identificado, debe
gestionarlo y resolverlo.
Diagnstico de Segundo Nivel (Equipo de
especialistas de aplicaciones e
Infraestructura). En caso que el equipo de
primer nivel no logre resolver el evento Equipo de especialistas de
3 10 min
identificado, el equipo de especialistas aplicaciones e infraestructura
realiza un diagnstico para identificar la
causa del mismo y en caso que lo pueda
resolver debe gestionarlo y resolverlo.
Diagnstico de Segundo Nivel
(Proveedores). Si el equipo de especialistas
4 no resuelve el evento, es necesario realizar Proveedores 15 min
un diagnstico, si este lo logran resolver
deben gestionarlo y resolverlo.
63

Se requiere activar el Plan Recuperacin


Tecnolgica?. De acuerdo con los
diagnsticos realizados anteriormente, el
gerente de sistemas junto con el ITLP
debe analizar la situacin y decidir si el
5 evento amerita sugerir al Comit Gerente de Sistemas e ITLP 10 min
Ejecutivo la activacin del plan de
Recuperacin Tecnolgica. Para la toma
de la decisin remtase al Captulo 9.10
Criterios de Activacin de este
documento.
Activar el Plan de Recuperacin
Tecnolgica.
El ITLP se debe encargar de comunicar al
6 Grupo de Recuperacin Tecnologa la
ITLP 15 min
activacin del Plan de Recuperacin
Tecnolgica.
Desarrollar los Procedimientos de
activacin del Plan. Se deben ejecutar las
actividades para habilitar y entregar el
Equipo de especialistas de
7 servicio desde el Data Center Alterno. 6 Horas
aplicaciones e infraestructura
Para mayor detalle remtase al Captulo
9.11 Guiones de recuperacin
(Procedimientos de activacin)
Reanudar los Servicios de Tecnologa. Para
retomar el servicio desde el Data Center
principal se deben realizar las actividades
Equipo de especialistas de
8 S/I
correspondientes. Para mayor detalle remtase aplicaciones e infraestructura
al Captulo 9.12 Retorno a la normalidad
Gestin de Incidentes y/o Solucin de
Problemas. El Equipo especialistas de
escalamiento debe realizar las actividades Equipo de especialistas de
9
tcnicas en cuanto a la gestin de incidentes
1h
aplicaciones e infraestructura
y/o solucin de problemas para corregir la falla
que origin el evento identificado.
Se obtuvo solucin? Si se solucion el evento
identificado, se procede a dar cierre al mismo.
Equipo de especialistas de
10 Si no se obtuvo solucin es necesario que el 5 min
equipo de especialistas vuelva a realizar un aplicaciones e infraestructura
diagnstico.
Muestra 20. Procedimiento de Activacin de Recuperacin de Tecnolgica (Fuente

KPMG)
64

11. Criterios de Activacin

Los criterios de activacin de cada uno de los planes son una herramienta til para la

toma oportuna decisiones en un evento real. El planteamiento aqu definido puede tomarse

como base para activar uno u otro plan segn sea el caso, pero se debe tener presente que los

criterios aqu descritos son un punto de partida o una referencia inicial que puede ser

completada o reevaluada por los resultados de las actividades de prueba o por las condiciones

propias del hecho.

Impacto Duracin Decisin Responsable

Interrupcin de todos los El tiempo de solucin Notificar al Comit


servicios crticos de Tecnologa del evento es incierto, Ejecutivo y sugerir activar
de Informacin: o se estima que durar el Plan de Recuperacin
SEVEN ms de 6 horas. Tecnolgica (DRP).
eAudIT Se estima que el ITLP
Kactus tiempo de solucin Realizar procedimientos de
KNET (Correo del evento no es gestin de incidentes y/o
Electronico) superior a las 6 horas. solucin de problemas.
Internet
Muestra 21. Criterios de Activacin (Fuente KPMG)

11.1 Activacin del Plan de Recuperacin (DRP)

A continuacin se detallar la secuencia de actividades para cada uno de los

procedimientos indicados en la grfica anterior. Las tablas de los procedimientos listan

actividad por actividad definiendo el responsable, el tiempo previsto para su ejecucin, y el

recurso requerido para ejecutarla. El tiempo previsto es una estimacin que puede variar en

un evento real conforme las caractersticas propias resultado de la evolucin del suceso.
65

11.2 Procedimiento Validar Conectividad Sedes KPMG desde CALLE 76 - CLO

Este procedimiento describe las actividades secuenciales que se deben realizar para

establecer la conectividad de los administradores de las plataformas en Bogot-calle 76

(COOP) y Cali.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben

cumplir los siguientes requisitos:

1. Lista de Contactos de Proveedores (Instructivos)

2. Puestos de trabajo:

a) Calle 76: Sala de reuniones 1, punto de Red 43 (azul)

b) Cali: Oficina Daniel Ibarra, punto de red 12 (azul)

3. Equipos:

a) Calle 76: Equipo de Bodega numerado como 99 con (VsPhere Client, Putty,

Enterprise Manager Client)

b) Cali: Equipo asignado a Daniel Ibarra con (VsPhere Client, Putty, Enterprise

Manager Client)

4. Reserva de interfaces:

a) Calle 76: De Patch Panel 1 puerto 15 conectar Switch 2 Puerto 30 (Puesto de trabajo)

b) Cali: De Patch Panel 1 puerto 12 conectar a Switch 1 Puerto 30 (Puesto de trabajo)

5. Conector de consola hacia el switch.

6. Instructivo o gua bsica para switch core. (Instructivos)

7. Contar con la token RSA

8. Putty Instalado en los Equipos de Recuperacin.

9. Acceso a centro de cmputo para el equipo de recuperacin de infraestructura


66

No. Recursos
Tiempo
Act Descripcin de la Actividad Responsable requeridos y
previsto
ubicacin
Conectar las interfaces reservadas en los
Switches del CC a los puertos del Patch Equipo de
1 Panel de los puestos de trabajo. recuperacin
(Actividad que se realiza en el CC calle76 Infraestructura
y/o Cali)
Administrador y Pc de recuperacin en los
puestos de trabajo de calle 76 Sede Cali. Equipo de Desplazamient Calle 76
2 (Ver plano de Localizacin - Instructivos) recuperacin o de calle 90 a Disponibilidad
Infraestructura calle 36 de puertos (3)

Validar direccionamiento IP en las


mquinas que estn dentro del siguiente
Computador
rango de red mediante comando Equipo de
Adaptador de
3 ipconfig: recuperacin 5 minutos
energa.
Infraestructura
Cable de red
10.193.240.24/29 Sede Calle76.
10.193.193.32/27 - Sede Cali.
Validar conectividad a cada uno de los Equipo de
Putty
4 switch core de las ciudades: recuperacin 5 minutos
Cmd
Infraestructura
Mediante ping desde equipo y/o Switch
Core.

Calle 76: 10.193.240.17


Cali: 10.193.193.1
Medelln: 10.193.161.1
Barranquilla: 10.193.224.81
Cali CCA: 10.193.193.5
Validar DNS (ping, tracert)
A travs de un comando ping y traza a las
direccines: - - Equipo de
5 *codrsdc12.co.kworld.kpmg.com recuperacin 5 minutos
*10.196.2.160 Infraestructura
(Desde PCs de operadores en Cali o Calle
76)
67

Validar Resolucin de Nombres


A travs de un comando nslookup y
haciendo consulta a: Equipo de
6 - Codrsgc12 recuperacin 5 minutos
- 10.193.220.45 Infraestructura
(Desde PCs de operadores en Cali o Calle
76)
Validar acceso y funcionamiento de RSA
de Cali:
Acceso:
Mediante ping al servidor Equipo Documento:
de
codrsapp53.co.kworld,kpmg.com Gua bsica de
7 recuperacin 5 minutos
Funcionamiento: Acceder a la direccin validaciones
Infraestructura
https://codrsapp53.co.kworld.kpmg.com:7
0
04/IMS-AA-IDP/InitialLogonDispatch.do

Equipo de
Validar con el comando PING servicio NPS Consola NPS de
8 recuperacin 5 minutos
al servidor CODRSSRV32. Windows.
Infraestructura
Muestra 22. Procedimiento Validar Conectividad Sedes KPMG desde CALLE 76 -

CLO (Fuente KPMG)

11.3 Procedimiento Validar Servicios KNET y Servicios Globales

Este procedimiento describe las actividades secuenciales que se deben realizar para

alistar los Servicios de KNET y los Servicios Globales.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben cumplir

los siguientes requisitos:

1. Equipos de Orange disponibles en el CCA

2. Contrato de soporte con Level 3 vigente (Contacto tel: 6391200

correo:smc@level3.com)

3. Manos remotas en cada una de las sedes


68

4. Haber ejecutado el procedimiento (Validar Conectividad Sedes KPMG desde CALLE

76 CLO)

5. Usuario y contrasea para el ingreso a los switches

No. Tiemp
Act o
Descripcin de la Actividad Responsable Recursos requeridos y ubicacin
previst
o
Putty
Ingresar al switch Core de Cali Documento:
(10.193.193.1) Columbia_Bogota_Cali
Desde Cali o desde Calle 76 mediante MCS setup V0 3
putty SSH Ubicacin: Impreso en archivos de
15
Encargado de calle 76 y calle 90
1 minuto
Validar protocolo EBGP en el switch Recuperacin (Instructivos)
s
core de Cali (10.193.193.1) Documento: Gua bsica de
Segn documento BasicNetworking troubleshooting
el comando es: show ip bgp admin Ubicacin: Impreso en archivos de
status=enabled calle 76 y calle 90

Estando en el switch core de Cali, validar


conectividad a KNET, a travs de un 15
Encargado de
2 comando ping y traza a la direccin minuto Putty
Recuperacin
10.196.2.160 (desde Cali o desde Calle s
76)
Ingresar al switch de Calle 76, Medelln
y Barranquilla y validar conectividad a
15
servicios de KNET, a travs de un Encargado de
3 minuto Putty
comando ping y traza a la direccin Recuperacin
s
10.196.2.160 (desde Cali o desde Calle
76).
Validar acceso a la pgina KWorld
5
(http://portal.kworld.kpmg.com/Pages/H Encargado de
4 minuto
om e.aspx) (Desde PCs de operadores en Recuperacin
s
Cali o Calle 76)
69

Validar funcionamiento del Correo


Hacer auto-envo de un correo para
validar envi y recepcin de correos 5
5 dentro de correos de la firma. (Desde Encargado de minuto
Recuperacin
PCs de operadores en Cali o Calle 76) s

Validar envi y recepcin de correos a 5


Encargado de
6 SMTP externo. (Desde PCs de Minuto
Recuperacin
operadores en Cali o Calle 76) s
Validar acceso a TPAM
Acceder a la siguiente URL:
https://tpam1.kworld.kpmg.com/commo
n/L
5 Documento: Gua bsica de
ogin.asp?REFR=https%3A//tpam1.kwor Encargado de
7 Minuto validaciones
ld. kpmg.com/tpam/main.asp%3F Recuperacin
s
y realizar solicitud de recuperacin de
password del administrador.
(Desde PCs de operadores en Cali o
Calle 76)
70

Muestra 23. Procedimiento Validar Servicios KNET y Servicios Globales (Fuente

KPMG)

11.4 Procedimiento Validar Conectividad Internet Cali

Este procedimiento describe las actividades secuenciales que se deben realizar para

Validar la conectividad del Internet en Cali.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben

cumplir los siguientes requisitos:

1. Cumplimiento de las actividades anteriores. Procedimientos:

a) Validar Conectividad Sedes KPMG

desde CALLE 76 CLO

b) Validar Servicios KNET y Servicios

Globales

2. Acceso al Host y al TMG

No. Tiempo Recursos requeridos y


Descripcin de la Actividad Responsable
Act previsto ubicacin
Validar conectividad con el host
DMZ(colocar el nombre del servidor) en
el sitio alterno en Cali. Equipo de
Mediante ping a la direccin IP: recuperacin
1 5 minutos Cmd
10.193.214.239 infraestructur
(Desde PCs de operadores en Cali o a
Calle 76)
Validar conectividad con el servidor
TMG proxy del sitio alterno.
Equipo de
Mediante ping a la direccin IP: recuperacin
2 5 minutos Cmd
IP: 10.193.221.226 infraestructur
a
(Desde PCs de operadores en Cali o
Calle 76)
71

Validar conectividad con el firewall


perimetral CISCO ASA.
Equipo de
Mediante ingreso desde el navegador a:
recuperacin
3 https://10.193.223.18:8443 5 minutos Cmd
infraestructur
a
(Desde PCs de operadores en Cali o
Calle 76)
Validar disponibilidad del dominio
kpmgproxy.com
Mediante el Internet Explorer acceder a
la direccin:
http://kpmgproxy.com/kpmgproxy.pa
c y descargar en el desktop el archivo Instructivo - cambiar
4 5 minutos
solicitado (cambiar manualmente el .pac
alias
del kpmgproxy.com)
Paso a paso del archivo .pac
(Desde PCs de operadores en Cali o
Calle 76)
Validar acceso a pgina en Internet

Mediante el Internet Explorer ingresar


http://www.google.com
5 http://www.bancolombia.com 5 minutos
http://www.colpatria.com

(Desde PCs de operadores en Cali o


Calle 76)
Validar envi y recepcin de correos
externo

Acceder a un correo externo (google o


yahoo o hotmail) y enviar correo hacia y
6 5 minutos
desde la cuenta de KPMG

(Desde PCs de operadores en Cali o


Calle 76)

Muestra 24. Procedimiento Validar Conectividad Internet Cali (Fuente KPMG)


72

11.5 Procedimiento Verificacin componentes en Sitio Alterno

Este procedimiento describe las actividades secuenciales que se deben realizar para

verificar los componentes en el CCA.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben cumplir

los siguientes requisitos:

1. Haber ejecutado el procedimiento Validar Conectividad Internet Cali

2. Instalacin en los equipos Vsphere Client Entreprise Manager Putty.

3. Documento de diseo del CCA impreso en el archivo de calle 76 y calle 90

4. Lnea Base de la solucin del CCA impreso en el archivo de calle 76 y calle 90


73

No. Descripcin de la Tiempo Recursos requeridos y


Responsable
Act Actividad previsto ubicacin

Validar conectividad con Equipo de


1 switch del CCA, realizando recuperacin 5 minutos Cmd
ping a la IP 10.193.193.5 infraestructura
Validar conectividad con el Equipo de
2 switch de fibra realizando el recuperacin 5 minutos Cmd
ping a la IP 10.193.220.4 infraestructura
Validar conectividad con
los host-Vcenter,
Equipo de
realizando ping a las IPs
3 recuperacin 5 minutos Cmd
Host 1: 10.193.220.10
infraestructura
Host 2: 10.193.220.11
Vcenter: 10.193.220.12
Vpshere Client
Acceder al Vcenter,
Documento: Lnea Base de
ingresando al Vpshere se Equipo de
la solucin del CCA
4 direcciona a la IP recuperacin 5 minutos
Ubicacin: impreso en el
10.193.220.12. infraestructura
archivo de
Va Web o vSphere Client.
calle 76 y calle 90
Validar conectividad con la Equipo de
Putty
5 SAN del CCA, ping a la IP recuperacin 5 minutos
cmd
10.193.220.20 infraestructura
Acceder a la SAN del CCA,
va Web a la IP
Documento: Lnea Base de
10.193.220.20 y validar el Equipo de
la solucin del CCA
6 estado de los volmenes y recuperacin 10 minutos
Ubicacin: impreso en el
mapping de los mismos. infraestructura
archivo de calle 76 y calle 90
Vincular actividades con el
instructivo.
Validar conectividad
mediante ping a los
servidores de Enterprise Equipo de
Putty
7 Manager CODRPSRV06 recuperacin 10 minutos
cmd
(10.193.220.42) y base de infraestructura
datos CODRPDB01
(10.193.220.70).
Acceder al Enterprise Cliente Enterprise manager
Equipo de Documento: Lnea Base de
Manager para validar la
8 recuperacin 15 minutos la solucin del CCA
replicacin de los
infraestructura
volmenes.
74

Ubicacin: impreso en el
archivo de calle 76 y calle 90

Equipo de Vpshere Client


Acceder al Vcenter y al
9 recuperacin 15 minutos Lnea Base de la solucin del
plugin de SRM.
CCA
infraestructura Ubicacin: impreso en el
archivo de calle 76 y calle 90
Validar el correcto Equipo de
10 funcionamiento de los recuperacin 15 minutos Vpshere Client
recovery Plan. infraestructura
Validar conectividad y
servicios del Dominio del
CCA:
Nombre Servidor:
CODRSDC12
Equipo de
IP: 10.193.220.35
11 recuperacin 15 minutos Acceso por RDP
Nombre Servidor:
infraestructura
CODRSGC12
IP: 10.193.220.45
Servicios:
DNS
Wins
Equipo de
12 Validar Winmagic recuperacin
infraestructura
Ejecutar opcin LiveUpdate
Validar servicio de antivirus del antivirus para descarga y
13 Administrador 30 minutos
CODRSSRV13. actualizacin de las
definiciones de virus.
Muestra 25. Procedimiento Verificar los componentes en Sitio Alterno (Fuente

KPMG)
75

11.6 Procedimiento Recuperar Servicio de Seven

Este procedimiento describe las actividades secuenciales que se deben realizar para

recuperar el servicio de Seven en el CCA.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben

cumplir los siguientes requisitos:

1. Componentes del CCA estn arriba:

a) VCenter

b) Storage

c) Switch de fibra

d) Switch de LAN

e) SRM.

f) Instructivo de recuperar servicios de SRM 2. Haber ejecutado los procedimientos

anteriores

No. Descripcin de la Tiempo Recursos requeridos y


Responsable
Act Actividad previsto ubicacin
Ingresar al SRM Equipo de
1 mediante el VCenter. IP: recuperacin 5 Minutos Vsphere client
10.193.20.12 Infraestructura
Equipo de
Recuperar servicio de Instructivo de recuperar
2 recuperacin 5 Minutos
Seven mediante SRM. servicios de SRM
Infraestructura
76

Entrar al VCenter y
validar a nivel de
Sistema Operativo que
las siguientes Virtual
Machine inicialicen
correctamente:
Equipo de
COBOGAPP51
3 recuperacin 5 Minutos
IP: 10.193.220.51/28
Infraestructura
COBOGAPP52
IP: 10.193.220.52/28
COBOGDB25
IP: 10.193.220.66/28
COBOGAPP20
IP: 10.193.220.50/28
En caso de no funcionar Equipo de
el punto anterior, realizar recuperacin Medios de Instalacin
4 Indefinido
diagnostico a nivel de Infraestructura Sistema Operativo, Seven.
S.O.
Validar conectividad y
acceso a los siguientes
servidores desde calle 76
y ciudades:
COBOGAPP51
IP: 10.193.220.51/28
Equipo de Vsphere client
COBOGAPP52
5 recuperacin 30 Minutos RDP
IP: 10.193.220.52/28
Infraestructura CMD
COBOGDB25
IP: 10.193.220.66/28
COBOGAPP20
IP: 10.193.220.50/28
Inicialmente por nombre
y luego por IP.
En caso de no funcionar Instructivo de
6 Administrador Indefinido
el punto anterior, Troubleshooting de
Se debe ingresar a Networking (Instructivos -
VCenter y realizar Direccionamiento)
Troubleshooting a nivel
de Networking.
Validar el ingreso al Lder funcional
7 aplicativo Seven. del aplicativo 5 Minutos
https:\\cobogapp51\seven
Revisin de integridad de Lder funcional
8 datos del aplicativo y del aplicativo 5 Minutos
funcionalidades.
77

Revisin de integridad de
Usuarios
9 datos por parte del 5 Minutos
funcionales
usuario funcional.
Muestra 26 Procedimiento Recuperar Servicio de Seven (Fuente KPMG)

11.7 Procedimiento Recuperar Servicio de eAudit

Este procedimiento describe las actividades secuenciales que se deben realizar para

recuperar el servicio de eAudit en el CCA.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben

cumplir los siguientes requisitos:

1. Componentes del CCA estn arriba:

a) VCenter

b) Storage

c) Switch de fibra

d) Switch de LAN

e) SRM.

2. Instructivo de recuperar servicios de SRM

No. Tiempo Recursos requeridos


Descripcin de la Actividad Responsable
Act previsto y ubicacin
Ingresar al SRM mediante el Equipo
1 VCenter. IP: 10.193.20.12 recuperacin 5 Minutos Vsphere client
infraestructura
Recuperar servicio de eAudIT Equipo Instructivo de
2 mediante SRM. recuperacin 5 Minutos recuperar servicios de
infraestructura SRM
78

Entrar al VCenter y validar a nivel


de
Sistema Operativo que las
siguientes Virtual Machine
inicialicen correctamente: Equipo
3 COBOGWEB11 recuperacin 5 Minutos
IP: 10.193.220.53/28 infraestructura
COBOGDB11
IP: 10.193.220.67/28
COBOGSRV19
IP: 10.193.220.38/28
En caso de no funcionar el punto Equipo Medios de Instalacin
4 anterior, realizar diagnostico a nivel recuperacin Indefinido Sistema Operativo y
de S.O. infraestructura eAudIT.
Validar conectividad y acceso a los
siguientes servidores desde calle 76
y ciudades:
COBOGWEB11
IP: 10.193.220.53/28 Equipo Vsphere client
5 COBOGDB11 recuperacin 30 Minutos RDP
IP: 10.193.220.67/28 infraestructura CMD
COBOGSRV19
IP: 10.193.220.38/28
Inicialmente por nombre y luego
por IP.
En caso de no funcionar el punto
anterior, Se debe ingresar a Equipo Instructivo de
6 VCenter y realizar recuperacin Indefinido Troubleshooting de
Troubleshooting a nivel de infraestructura Networking
Networking.
Equipo
Instructivo de
7 Validar servicios de SQL y eAudIT. recuperacin 30 Minutos
servicios eAudIT
infraestructura
Validar el ingreso al aplicativo Lder
8 eAudIT. funcional del 5 Minutos
cobogweb11.co.kworld.kpmg.com aplicativo
Revisin de integridad de datos del Lder
9 aplicativo y funcionalidades. funcional del 5 Minutos
aplicativo
Revisin de integridad de datos por Usuarios
10 5 Minutos
parte del usuario funcional. funcionales
Muestra 27 Procedimiento Recuperar Servicio de eAudit (Fuente KPMG)
79

11.8 Procedimiento Recuperar Servicio de Kactus

Este procedimiento describe las actividades secuenciales que se deben realizar para

recuperar el servicio de Kactus en CCA.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben

cumplir los siguientes requisitos:

1. Componentes del CCA estn arriba:

a. VCenter

b. Storage

c. Switch de fibra

d. Switch de LAN

e. SRM.

2. Instructivo de recuperar servicios de SRM

No. Descripcin de la Tiempo Recursos requeridos y


Responsable
Act Actividad previsto ubicacin
Ingresar al SRM mediante el Equipo
1 VCenter. IP: 10.193.220.12 Recuperacin 5 Minutos Vsphere client
Infraestructura
Recuperar servicio de Kactus Equipo Instructivo de recuperar servicios
2 COBOGAPP01) mediante Recuperacin 20 Minutos de SRM
SRM. Infraestructura
Entrar al VCenter y validar a
nivel de
Sistema Operativo que las
siguientes
Equipo
Virtual Machine inicialicen
3 correctamente:
Recuperacin 5 Minutos
Infraestructura
COBOGAPP01
IP: 10.193.220.54/28
COBOGDB25
IP: 10.193.220.66/28
En caso de no funcionar el Equipo Medios de Instalacin Sistema
4 punto anterior, realizar Recuperacin Indefinido Operativo, Kactus.
diagnostico a nivel de S.O. Infraestructura
80

Validar conectividad y
acceso a los siguientes
servidores desde calle
76 y ciudades:
COBOGAPP51
IP: 10.193.220.51/28
Equipo Vsphere client
COBOGAPP52 30
5 Recuperacin
Minutos
RDP
IP: 10.193.220.52/28 Infraestructura CMD
COBOGDB25
IP: 10.193.220.66/28
COBOGAPP20
IP: 10.193.220.50/28
Inicialmente por
nombre y luego por IP.
En caso de no funcionar el Instructivo de Troubleshooting
punto anterior, Se debe de
Equipo
ingresar a VCenter y Networking (Instructivos -
6 Recuperacin Indefinido
realizar Direccionamiento)
Infraestructura
Troubleshooting a nivel de
Networking.
Validar servicios de Oracle, Equipo
30
7 Kactus, Instancia Recuperacin Instructivo de servicios Kactus
Minutos
Coboggdb. Infraestructura
Validar en servidores DNS
que el PTR y host que los
servidores descritos Equipo
15 Acceso al Dominio de CCA
8 anteriormente Recuperacin
Minutos RDP
correspondan a la IP Infraestructura
tambin descrita
anteriormente.
Validar el ingreso al Lder funcional
9 5 Minutos
aplicativo Kactus. del aplicativo
Revisin de integridad de Lder funcional
10 datos del aplicativo y del aplicativo 5 Minutos
funcionalidades.
Revisin de integridad de
Usuarios
11 datos por parte del usuario 5 Minutos
funcionales
funcional.
Muestra 28. Procedimiento Recuperar Servicio de Kactus (Fuente KPMG)
81

11.9 Procedimiento Recuperar Servicio de VPN Local

Este procedimiento describe las actividades secuenciales que se deben realizar para

recuperar el servicio de VPN Local en el CCA.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben cumplir

los siguientes requisitos:

1. Firewall perimetral activo

2. Servidor del RSA activo en sitio alterno

3. Validar Round-Robin de los host de perfiles de VPN

4. Instructivo Troubleshooting VPN Local

No. Tiempo Recursos requeridos y


Descripcin de la Actividad Responsable
Act previsto ubicacin
Validar que el host
Equipo
vpn3co.kpmg.com.co
Recuperacin 5
1 responda en Internet con la
Infraestructur Minutos
siguiente IP publica:
a
190.216.199.226
En caso de que no funciones
Equipo
el punto anterior, se debe
Recuperacin 5
2 escalar un ticket a Global por
Infraestructur Minutos
medio de Remedy y solicitar
a
este servicio.
Acceder al servicio de VPN Equipo
local por medio de CISCO Recuperacin 5
3 Token
Client Infraestructur Minutos
a
Si el paso anterior no Instructivo Troubleshooting
Equipo
funciona, realizar VPN Local
Recuperacin
4 Troubleshooting en el 2 Horas ASDM de Cisco ASA.
Infraestructur
concentrado VPN sobre los
a
perfiles locales.
Acceder al servicio de VPN Equipo
5
5 local por medio de CISCO Recuperacin Token
Minutos
Client
82

Infraestructur
a
Validar que los servicios Equipo
corporativos como correo, Recuperacin 5
6
Lync, eAudIT. Infraestructur Minutos
a
Muestra 29. Procedimiento Recuperar Servicio de VPN Local (Fuente KPMG)

11.10 Procedimiento Recuperar Servicio de File Server

Este procedimiento describe las actividades secuenciales que se deben realizar para

recuperar el servicio de File Server en el CCA.

Para que el procedimiento aqu descrito sea efectivo durante un evento real, se deben cumplir

los siguientes requisitos:

1. Validar que el volumen del File Shared este replicado 100% en el storage de Cali

(instructivo - File_Server)

2. Instructivo de configuracin de DFS y Sharing (Construir e imprimir)

3. Instructivo de como presentar un volumen a una virtual machine o un servidor fsico.

Recursos
No. Tiempo
Descripcin de la Actividad Responsable requeridos y
Act previsto
ubicacin
Ingresar al storage SC4020
mediante la Equipo Recuperacin
1 5 Minutos
IP: 10.193.220.20 mediante el Infraestructura
Navegador IE
Validar volumen Equipo Recuperacin
COBOGFSR99_1_E y Infraestructura
2 5 Minutos
realizar mapping al cluster de
VMWare
Validar volumen Equipo Recuperacin
COBOGFSR99_1_E y Infraestructura
3 5 Minutos
realizar mapping al NAS
appliance
Ingresa al Servidor virtual Equipo Recuperacin
4 5 Minutos
(CODRSFSR01) o a la NAS Infraestructura
83

Adicionar volumen
COBOGFSR99_1_E al Equipo Recuperacin
5 15 Minutos
servidor virtual Infraestructura
(CODRSFSR01) o a la NAS
Equipo Recuperacin
6 Validar estructuras y ACLs. 15 Minutos
Infraestructura
Aplicar Sharing para publicar Equipo Recuperacin Instructivo de
7 las carpetas de File Shared a Infraestructura 15 Minutos configuracin de
la Firma. DFS y Sharing
Equipo Recuperacin Instructivo de
Implementar DFS segn el
8 Infraestructura 15 Minutos configuracin de
instructivo
DFS y Sharing
Validar la informacin en File
Shared por cada uno de los
9 lideres funcionales (Audit, Lderes Funcionales 30 Minutos
Advisory, TAX y
administracin)
Muestra 30. Procedimiento Recuperar Servicio de File Server (Fuente KPMG)

12. Anexos DRP

12.1 Anexo 1. Lista General de Contactos Internos

P: Ext
Principal Telfono
Rol Cargo Nombre Celular Correo
A:
Alterno
4111 -
Alain
ITLP P ITLP 4142 - abalmeida@kpmg.com
Almeida 3163358955
1230
ITLP (Gerente A CIO Jairo 1398 jajerez@kpmg.com
Sistemas) Jerez 3163049366
P Administrador Miguel 1392 mlortiz@kpmg.com
redes Ortiz 3185698732
P Administrador Carlos 1234 cachavez@kpmg.com
Equipo Servidores Chavez
Especialistas P Administrador Daniel 2233 3176563200 deibarra@kpmg.com
de Servidores Ibarra
Aplicaciones e Cali
Infraestructura P Lder de Nancy 1295
aplicaciones Rodrguez 3178933375 nancyrodriguez@kpmg.com
A Lder de Ivn 1288 alvarotorres@kpmg.com
aplicaciones Torres 3178933431
84

P Lder Soporte Diego 1315 diegopinillos@kpmg.com


Pinillos 3153960056
Help Desk
A Lder Soporte Dany 1921- daurrego@kpmg.com
Urrego 1925 3152116535
Muestra 31. Lista General de Contactos Internos (Fuente KPMG)

12.2 Anexo 2. Lista General de Contactos Externos

Compaa: DELL
Direccin:
Ciudad: Bogot
Telfonos/Correos: Telfono
Tel.
Alterno:
Fax:
Correo:
Contacto:
Servicio o producto asociado: Infraestructura
Compaa: GLOBAL
Direccin:
Ciudad: Atlanta (USA)
Telfonos/Correos: Telfono
Tel.
Alterno:
Fax:
Correo:
Contacto:
Servicio o producto asociado: KNET
Compaa: ORANGE
Direccin:
Ciudad:
Telfonos/Correos: Telfono
Tel.
Alterno:
Fax:
Correo:
85

Contacto:
Servicio o producto asociado: Canales KNET
Compaa: Level 3

Direccin:

Ciudad: Bogot

Telfonos/Correos: Telfono 6391200


Tel.
Alterno:
Fax:
Correo: smc@level3.com

Contacto:
Servicio o producto asociado: Red MPLS e Internet
Compaa: ETB
Direccin:
Ciudad: Bogot
Telfonos/Correos: Telfono
Tel.
Alterno:
Fax:
Correo:
Contacto:
Servicio o producto asociado: Internet Bogot Calle 90
Muestra 32. Lista General de Contactos Externos (Fuente KPMG)

13. Opinin Profesional de la Revisin De Auditoria SI Plan de Continuidad de Negocio

(BCP) de KPMG en Colombia

De acuerdo a las revisiones pertinentes basadas en la solicitud de informaciones referentes al

Plan de Continuidad de Negocio, las pruebas en sitio realizadas y lo dictaminado en todo este

proceso, se indica lo siguiente:


86

Los recursos mnimos para la ejecucin de los procedimientos previstos se han adquirido

y estn disponibles.

Se encuentra disponible el recurso humano calificado para el desarrollo de las

actividades previstas y se garantiza la disponibilidad de personal de reemplazo.

El recurso humano asignado al desarrollo de las actividades de los procedimientos

descritos tienen la habilidad personal y/o el perfil profesional para su ejecucin.

El recurso humano asignado a la ejecucin de actividades descritas en los

procedimientos del plan ha sido entrenado y ha realizado actividades de prueba que lo

preparan para actuar con oportunidad y eficacia.

Se ha estado cumpliendo con las actividades rutinarias y recurrentes de mantenimiento

del plan, asegurando que este se encuentra actualizado y vigente. Las actividades de

mantenimiento incluyen y no se limitan a la ejecucin de pruebas, a la revisin e

identificacin de nuevos riesgos, a la revisin de impactos y planes, y a la ejecucin de

auditoras internas sobre el proceso.

Los sitios alternos previstos se encuentran disponibles y su dimensionamiento en cuanto

a recursos y facilidades ha sido revisado y debidamente gestionado en el transcurso el

tiempo.

El respaldo de la informacin crtica en medio fsico o digital se est realizando de forma

adecuada y recurrente conforme los tiempos de retencin y respaldo identificados por la

Firma y/o por las actividades de anlisis de impacto desarrolladas por el proceso de

continuidad del negocio.


87

Estrategias de continuidad implementadas, probadas y disponibles; estrategias tales

como el CCA (Centro de cmputo Alterno) en las oficinas de KPMG en Cali y el Centro

Alterno de Operaciones (CAO) en las oficinas de KPMG de Bogot en la calle76.

La infraestructura tecnolgica en el CAO, tales como Computadores, impresoras,

telfonos, acceso a Internet, entre otros recursos, se encuentran disponibles en este sitio

para recibir la operacin de los procesos crticos de la Firma.

Se encuentren disponibles los recursos de cmputo de usuario final definidos en el

anlisis de impacto.

El recurso humano est disponible para ejecutar las actividades que han sido previstas

en los procedimientos.

El recurso humano asignado a roles especficos dentro del plan tienen el perfil para

ejecutar las diferentes actividades que han sido previstas.

El personal ha sido capacitado en los procedimientos del Plan y se encuentra

comprometido en su desarrollo.

Los proveedores que son requeridos se encuentran operando y entregando sus

productos y/o servicios segn lo solicitado por la empresa.

Se han establecido sitios alternos, y los mismos estn disponibles para recuperar las

operaciones de los procesos y el procesamiento de informacin de la compaa.

El respaldo de la informacin crtica en medio fsico (documentos impresos) y/o

electrnica (CDs, cintas de respaldo, file server, entre otros), se est realizando de

forma adecuada en un lugar fuera de las instalaciones de la compaa y con las

prcticas de seguridad adecuadas en el transporte de los mismos.

El personal crtico (ITS) se encuentra disponible.


88

La estrategia de recuperacin tecnolgica se implement y desarroll de acuerdo a los

parmetros definidos.

El personal crtico (ITS) ha sido entrenado, tienen el conocimiento de la plataforma

tecnolgica de la Firma y conoce las actividades que tiene que realizar para activar y

ejecutar el plan de recuperacin de tecnologa.

Se cuenta con un centro alterno de operacin disponible (calle 76), para que puedan

operar remotamente los administradores de la infraestructura del CCA.

Se tienen contratos de soporte y mantenimiento disponible para la plataforma DELL,

y los canales de comunicaciones de Orange y Level 3.

El rbol de llamadas se encuentra actualizado.

Los datos de las bases de datos de los sistemas de informacin crticos han sido

debidamente replicados conforme los puntos de recuperacin identificados en el

anlisis de impacto.

Se cuenta con enlaces de internet disponibles previstos en la estrategia, tanto en calle

76 como en Cali.

Este plan ha sido probado peridicamente y con ello se garantiza su viabilidad y

efectividad.

Tener disponibles, documentados y actualizados los procedimientos de mantenimiento

y operacin del CCA en operacin normal (fuera de contingencia operando desde el

CCP).
89

14 Recomendaciones

A medida que son sistemtica y peridicamente ejecutadas las actividades de

mantenimiento, el Plan y su contenido se vuelven cada vez ms viables y ejecutables frente a

un evento real. Eventualmente se requerirn efectuar revisiones a los planes por diferentes

motivos como:

Nuevas herramientas y/o aplicaciones que apalanquen los procesos de negocio crticos.

Cambios evidenciados en los resultados de las pruebas de los Planes.

Aumento en la complejidad o capacidad de las aplicaciones y/o de la infraestructura

tecnolgica que soporta los servicios y procesos de negocio clasificados como crticos.

Adquisicin de nuevos equipos o infraestructura.

Nuevos formatos o cambios en los recursos crticos identificados.

Procesos y proyectos de reingeniera que impliquen cambios en los procesos de

negocio.

Movimiento o traslado permanente del Recurso Humano.

Fusiones o adquisiciones de compaas.

Cambios de proveedores.

Resultados de los anlisis de riesgos.

Resultados de los anlisis de impactos.

Nota: En el momento que no se llegue a dar ninguno de los criterios anteriormente mencionados

se recomienda efectuar una revisin anual al contenido del plan.


90

14.1 Revisin Documental

La revisin documental del plan y sus componentes se debe apoyar en el anlisis de los

siguientes registros que hacen parte de la ejecucin de actividades de mantenimiento del

proceso de Continuidad Organizacional. La revisin busca identificar posibles requerimientos

de cambios o mejoras al plan y/o al proceso. En general se deber tener en cuenta:

Los resultados de las auditoras y revisiones, incluyendo la retroalimentacin de las

partes interesadas, la observacin de entes independientes, y eventualmente la

retroalimentacin de los principales clientes, proveedores y subcontratistas.

Las acciones preventivas y correctivas del proceso.

El resultado de los Anlisis de Riesgos e Impacto.

Las vulnerabilidades o amenazas no manejadas adecuadamente en la anterior

evaluacin del riesgo.

Las acciones de seguimiento de las anteriores revisiones por la direccin.

Cualquier cambio interno o externo que pudiera afectar la funcionalidad y efectividad

del plan de continuidad.

Los resultados de las actividades de prueba recurrentemente realizadas.

Nuevas tendencia, tcnicas, productos o procedimientos que podran usarse en la

organizacin para mejorar el desempeo y la efectividad del plan de continuidad.

Durante cada revisin se debe identificar y tabular todos los documentos que se

encuentren desactualizados para definir un plan de accin a desarrollar en el transcurso del

tiempo.
91

15 Pruebas del Plan

15.1 Pruebas de escritorio

Nombre de la Prueba de Escritorio del Plan de Continuidad.


Prueba
Descripcin de Consiste en la ejecucin en papel del Plan de Continuidad.
la Prueba
Revisar el contenido del Plan de Continuidad en papel.
Evaluar la claridad en la definicin de los procedimientos,
roles y responsabilidades del Plan.
Objetivos
Identificar necesidades de actualizacin de la informacin
relacionada con el plan.
Revisar procedimientos de activacin.
Responsable Lder de Continuidad del Negocio
Periodicidad Trimestral
Muestra 33. Pruebas de escritorio (Fuente KPMG)

15.2 Pruebas de componentes

Nombre de la Prueba por Componentes del Plan de Continuidad.


Prueba
Descripcin de Consiste en la ejecucin de un componente del Plan de
la Prueba Continuidad.
Probar la funcionalidad de alguno de los
procedimientos de activacin del DRP. Probar la activacin
Objetivos
del DRP.
Probar la activacin del COOP.
Responsable Lder de Continuidad del Negocio
Periodicidad Semestral
Muestra 34. Pruebas de componentes (Fuente KPMG)

15.3 Pruebas integradas

Nombre de la Prueba Integral del Plan de Continuidad


Prueba
Descripcin de Consiste en la ejecucin en vivo del Plan de Continuidad.
la Prueba
Probar la funcionalidad de la estrategia de recuperacin de los
procesos crticos operando desde el Centro Alterno de
Operaciones (CAO) de calle 76 y con servicio de tecnolgico
Objetivos
soportado desde el Centro de Cmputo Alterno (CCA) en
KPMG
Cali.
92

Responsable Lder de Continuidad del Negocio


Periodicidad Anual
Muestra 35. Pruebas integradas (Fuente KPMG)

16 Control de Cambios

VER FECHA DESCRIPCIN Auditores


DD-
MMM-
AAAA
1.0 22-Julio- Versin inicial del Plan de Continuidad Auditor Lder Dany Alonso
2015 de Negocio (BCP) de KPMG en Urrego
Colombia
ELABOR REVIS (LDER) APROB
(DUEO)
Andrs Felipe Jorge
Jaramillo (Senior) Corchuelo
Luis Alberto Paez
Bibiana Alejandra (National IT
(Supervisor Senior)
Cogollo (Senior) Security
KPMG Advisory
KPMG Advisory Officer)
Services S.AS.
Services S.AS. KPMG
Ltda.
93

Conclusiones

Los controles de aplicacin son aquellos controles o revisiones correspondientes al


alcance de las aplicaciones o procesos de negocio, que incluyen la edicin de datos para
verificar su exactitud, la diferenciacin de las funciones de negocio,
Al verificar el Plan de Continuidad de Negocio (BCP) de KPMG en Colombia, se

encontr que la organizacin tiene identificado, documentado y que mediante controles y

pruebas opera con respecto al Plan bajo los criterios de continuidad de operaciones (COOP) y la

recuperacin ante desastres (DRP).

Al verificar el plan de Continuidad de Negocio (BCP) de KPMG en Colombia se encuentra

que est alineado con los objetivos del negocio.

Al Comprobar los controles estructurales y formales que viene ejecutando la organizacin

evidenciamos que maneja unas series de actividades y programas de entrenamiento para la

aplicabilidad del Plan de Continuidad de Negocio (BCP), para que este sea transparente para

los usuarios.
94

BIBLIOGRAFIA

http://quesignificado.com/controles-de-aplicacion

https://www.incp.org.co/controles-de-aplicacion

https://www.auditool.org/blog/auditoria-de-ti

http://www.isaca.org

https://home.kpmg.com/co/es/home/services/advisory/risk-consulting/continuidad-del-

negocio.html

Documentos de apoyo actividad de aprendizaje - Administracin de Sistemas de Informacin


- Servicio Nacional de Aprendizaje Sistema Integrado de Gestin.