impacto e implementación del modelo de continuidad de...

FACULTAD DE INGENIERÍA

Carrera de Ingeniería Informática y de Sistemas

IMPACTO E IMPLEMENTACIÓN DEL MODELO DE CONTINUIDAD DE SERVICIO DE MESA DE AYUDA EN

UN TERMINAL PORTUARIO DEL CALLAO

Tesis para optar el Título Profesional de Ingeniero Informático y de

Sistemas

ALBERTO FRANCISCO YUFRA TEJERINA

Asesor:

José Guevara Julca

Lima – Perú

2018

JURADO DE LA SUSTENTACIÓN ORAL

……………….………………………………………

Presidente

……………….………………………………………

Jurado 1

……………….………………………………………

Jurado 2

Entregado el: Aprobado por:

_____________ ______________

Graduando Asesor de Tesis:

DECLARACIÓN DE AUTENTICIDAD

Yo, Alberto Francisco Yufra Tejerina, identificado con DNI Nº 45083137 Bachiller del

Programa Académico de la Carrera de Ingeniería Informática y de Sistemas de la Facultad

de Ingeniería de la Universidad San Ignacio de Loyola, presento mi tesis titulada: Impacto

e implementación del modelo de continuidad de servicio de Mesa de Ayuda en un terminal

portuario del Callao.

Declaro en honor a la verdad, que el trabajo de tesis es de mi autoría; que los datos, los

resultados y su análisis e interpretación, constituyen mi aporte. Todas las referencias han

sido debidamente consultadas y reconocidas en la investigación.

En tal sentido, asumo la responsabilidad que corresponda ante cualquier falsedad u

ocultamiento de la información aportada. Por todas las afirmaciones, ratifico lo expresado,

a través de mi firma correspondiente.

Lima, 15 de diciembre de 2018

…………..…………………………..

Alberto Francisco Yufra Tejerina

DNI N° 45083137

EPÍGRAFE

“The job of a manager is to support his

or her staff, not vice versa, and that

begins by being among them.”

William Redington Hewlett

ÍNDICE DE CONTENIDOS

JURADO DE LA SUSTENTACIÓN ORAL ......................................................................... 1

DECLARACIÓN DE AUTENTICIDAD ................................................................................ 2

EPÍGRAFE ........................................................................................................................ 3

ÍNDICE DE CONTENIDOS ................................................................................................ 4

ÍNDICE DE TABLAS .......................................................................................................... 7

ÍNDICE DE FIGURAS ........................................................................................................ 8

ÍNDICE DE ANEXOS ......................................................................................................... 9

DEDICATORIA ................................................................................................................ 10

AGRADECIMIENTO ........................................................................................................ 11

RESUMEN ....................................................................................................................... 12

ABSTRACT...................................................................................................................... 13

INTRODUCCIÓN ............................................................................................................. 14

PROBLEMA DE INVESTIGACIÓN .................................................................................. 15

Identificación del problema ....................................................................................... 15

Formulación del problema ........................................................................................ 19

MARCO REFERENCIAL.................................................................................................. 20

Antecedentes ........................................................................................................... 20

Estado del arte ......................................................................................................... 23

Descripción de la empresa ....................................................................................... 23

Descripción del servicio ............................................................................................ 25

Marco teórico ........................................................................................................... 31

OBJETIVOS..................................................................................................................... 43

Objetivos generales ................................................................................................. 43

Objetivos específicos ............................................................................................... 43

JUSTIFICACIÓN .............................................................................................................. 43

Teórica ..................................................................................................................... 43

Práctica .................................................................................................................... 44

Social ....................................................................................................................... 44

HIPÓTESIS...................................................................................................................... 45

MATRIZ DE CONSISTENCIA .......................................................................................... 46

MARCO METODOLÓGICO ............................................................................................. 48

Metodología ............................................................................................................. 48

Paradigma................................................................................................................ 50

Enfoque ................................................................................................................... 50

Método ..................................................................................................................... 50

VARIABLES ..................................................................................................................... 50

Variable independiente............................................................................................. 50

Variable dependiente ............................................................................................... 51

POBLACIÓN Y MUESTRA .............................................................................................. 51

Población ................................................................................................................. 51

Muestra .................................................................................................................... 51

UNIDAD DE ANÁLISIS .................................................................................................... 52

INSTRUMENTOS Y TÉCNICOS ...................................................................................... 52

Instrumentos ............................................................................................................ 52

Técnicas................................................................................................................... 53

PROCEDIMIENTOS Y MÉTODO DE ANÁLISIS .............................................................. 54

Procedimientos ........................................................................................................ 54

Método de análisis ................................................................................................... 54

RESULTADOS ................................................................................................................ 56

Análisis de impacto .................................................................................................. 58

Planificación ............................................................................................................. 93

Implementación y operación..................................................................................... 94

Revisión y concientización ....................................................................................... 95

Mantenimiento y mejora ......................................................................................... 110

CONCLUSIONES .......................................................................................................... 112

RECOMENDACIONES .................................................................................................. 114

SUGERENCIAS ............................................................................................................. 115

REFERENCIAS ............................................................................................................. 116

ANEXOS ........................................................................................................................ 118

ÍNDICE DE TABLAS

Tabla 1. Acuerdos de servicio 26

Tabla 2. Hipótesis 45

Tabla 3. Matriz de Consistencia 47

Tabla 4. Confiabilidad del instrumento encuesta 55

Tabla 5. Etapas del plan de continuidad 58

Tabla 6. Condiciones para la caída de servicio 60

Tabla 7. Áreas críticas en el puerto 64

Tabla 8. Matriz de Impacto 66

Tabla 9. Matriz de Urgencia 66

Tabla 10. Matriz de Prioridades 67

Tabla 11. Definición de prioridades 68

Tabla 12. Matriz de Riesgos 76

Tabla 13. Indicadores de negocio 83

Tabla 14. Costos en Operaciones de contenedores 86

Tabla 15. Costos en operaciones de carga general 87

Tabla 16. Costos en Seguridad, Salud y Medio ambiente 87

Tabla 17. Costos en Facturación y cobranzas 88

Tabla 18. Costos en Comercial y atención al cliente 89

Tabla 19. Costos en Legal 89

Tabla 20. Costos promedio 92

Tabla 21. Documentación del proceso de continuidad 93

Tabla 22. Datos Etapa 1 105

Tabla 23. Datos Etapa 2 106

Tabla 24. Razones de incumplimiento 1ra Etapa 107

Tabla 25. 1ra Etapa - Áreas afectadas 108

Tabla 26. Razones de incumplimiento 2da Etapa 109

Tabla 27. Áreas afectadas - 2da Etapa 110

ÍNDICE DE FIGURAS

Figura 1. Diagrama FODA 17

Figura 2. Diagrama espina de pescado del problema 18

Figura 3. Diagrama AS-IS inicial 30

Figura 4. Metodología 49

Figura 5. Diagrama de la continuidad de negocio 57

Figura 6. Incidentes y requerimientos por área 64

Figura 7. Frecuencia relativa de casos en el día 65

Figura 8. Horas de caída de servicio por mes en el 2017 90

Figura 9. Línea de tiempo de recolección de datos 95

Figura 10. Estadística Pregunta 1 97












Figura 22. Distribución de Casos 1ra Etapa 105

Figura 23. Distribución de Casos 2da Etapa 106

Figura 24. Razones de Incumplimiento 1ra Etapa 107

Figura 25. Razones de Incumplimiento de SLAs -2da Etapa 109

Figura 26. Diagrama To-Be segundo periodo 111

ÍNDICE DE ANEXOS

Anexo 1. Formato de la encuesta 118

Anexo 2. Ficha de Observación 121

Anexo 3. Funciones del servicio de Mesa de Ayuda 122

Anexo 4. Política de continuidad de servicio 128

Anexo 5. Plan de la continuidad del servicio de Mesa de ayuda 134

Anexo 6. Plan de recuperación de servicios 177

Anexo 7. Procedimiento de contingencia para aplicaciones 181

Anexo 8. Organigrama de la empresa 195

Anexo 9. Catálogo de servicio 196

Anexo 10. Plan de Capacitaciones 201

DEDICATORIA

El presente trabajo de tesis lo

dedico a mi familia y las personas

que están a mi lado apoyándome

en la búsqueda de mi superación

personal y a culminar esta etapa

de mi desarrollo académico.

AGRADECIMIENTO

Agradezco a las personas de mi

equipo de trabajo que apoyaron a

la recolección de los datos

necesarios para poder desarrollar

este proyecto, así mismo a las

personas que me dieron la

oportunidad de llevar la presente

investigación.

RESUMEN

El presente proyecto tiene como objetivo validar y verificar la continuidad de servicio como

herramienta determinante para un servicio de mesa de ayuda en condiciones de empresa

como un terminal portuario, en donde los servicios brindados son críticos para las

operaciones. Se presentará los motivos que convierten este proyecto en importante y

relevante de manera operacional, social y académica para justificar la investigación y su

desarrollo, así mismo, se presentara el entorno en el que se presenta el caso y el contexto

actual en el que se desarrolla.

En el desarrollo y validación de la hipótesis se remarcará la importancia de los

marcos y librerías de las tecnologías de información, tal como ITIL, que revisa la gestión

de servicios, incluyendo el trabajado en la presente tesis. La importancia del marco de

buenas prácticas va corroborada con las investigaciones previas mencionados en los

antecedentes y marco teórico, lo cual da un precedente que servirá de comparación para

la discusión y posterior validación de la hipótesis.

Como metodología se tiene un enfoque no experimental, analizando el servicio en

diferentes puntos en el tiempo para marcar un precedente y comparar los resultados de un

antes y después del plan de continuidad de negocio. De acuerdo a la metodología

mencionada, el análisis económico se rige en un periodo de seis meses, para

posteriormente realizar la implementación del plan, así como la evaluación posterior de los

subprocesos de la gestión de continuidad. La principal limitación que presenta la tesis es

poder contar con un mayor número de evaluaciones para las pruebas del plan de

continuidad de servicios, debido a que dichas pruebas requieren un lapso de tiempo

apropiado y un costo asociado con el uso de recursos humanos para la realización de las

pruebas.

Finalmente, se presentará las conclusiones de la investigación para poder concretar

y validar los objetivos propuestos, además, se brindarán las recomendaciones del caso

que pueden derivar en un ahondamiento del tema para una investigación un grado mayor

académico.

Palabras clave: mesa de ayuda, continuidad de servicios, ITIL, gestión de riesgo,

continuidad de negocio, plan de recuperación de desastres, disponibilidad de servicios, ISO

22301.

ABSTRACT

The upcoming project has as an objective to validate and verify the service continuity as a

determining tool for a help desk services in conditions of a port terminal enterprise, in which

the available services are critical for daily operations. The reasons that make this project

important and relevant will be presented in an operational, social and academic way to

justify the research and its development, furthermore the environment will be presented

where the case study is currently being developed.

In the development and validation of the hypothesis the importance of libraries and

frameworks of information technology will be highlighted, as well as ITIL, which checks the

proper management of services, including the work of the present document. The

importance of the framework of good practices is attached to the previous investigations

mentioned on the background and theoretical framework, which gives us a precedent that

will help compare during the discussion of post-validation of the hypothesis.

As methodology there is an experimental focus, analyzing the service in different

points in time to set a checkpoint and compare the results of before and after the business

continuity plan is implemented. According to the methodology previously mentioned, the

economic analysis has a time frame of six months, after that, the implementation would be

put in practice and be evaluated. The principal limitation that the thesis presents is to be

able to count a greater number of evaluations for the tests of the service continuity plan,

since such test require an appropriate timeframe and a cost associated from human

resources for the test implementation.

Finally, the conclusions of the investigation will be presented, to be able to establish

and validate objectives as well as providing recommendations in case this can shunt in a

more detailed research for a higher academic grade.

Keywords: Help desk, service continuity, ITIL, risk management, business continuity,

disaster recovery plan, service availability, ISO 22301.

INTRODUCCIÓN

El terminal portuario del Callao es una entidad comercial en el ámbito del transporte de

carga en contenedores como en carga general. Dicha instalación cuenta con once muelles

dedicados a la carga y descarga de diferentes productos de todo ámbito, trabajando los

365 días del año. Tal como las operaciones portuarias no se detienen, tampoco su servicio

de mesa de ayuda. Dicho servicio por parte de la división de IT (Tecnologías de la

información) se encarga de la gestión de incidentes, requerimientos y logística de activos

de IT.

Tales servicios cuentan con un nivel de servicio acordado entre el proveedor del

servicio y la empresa contratante, el cual exige que se tenga un cumplimiento de los niveles

de servicio para los tiempos de resolución, registro oportuno de incidencias, seguimiento

de requerimientos, escalamiento apropiado, notificaciones de incidentes masivos,

documentación de soluciones, entre otros. Tal exigencia implica que se deba contar con

todas las contingencias para que el servicio permanezca activo durante todas las

operaciones del puerto.

A lo largo del tiempo, la empresa portuaria ha sido testigo de lo crucial que resulta

contar con un plan alterno para poder operar sin depender de sus sistemas, debido a que

es consciente que en todo sistema se tiene un riesgo de interrupción, pérdida de

información o denegación de servicios, ya sean por agentes internos o externos. Con tal

de permanecer operativos y tener disponibilidad de servicios, es que resulta imperativo que

los servicios de soporte cuenten con un plan de continuidad que establezca un accionar

frente a desastres, interrupciones o eventualidades propias de un trabajo tan crítico como

el que se realiza en el puerto.

En el presente trabajo se tomará en cuenta dichas referencias para poder

establecer y medir el impacto en la operación económica de los servicios del puerto.

Posteriormente, justificado el plan de continuidad de servicio de Mesa de ayuda, se

evaluará la percepción del mismo para consolidar la relación de operatividad del puerto y

sus servicios con la gestión que realiza la mesa de ayuda.

PROBLEMA DE INVESTIGACIÓN

Identificación del problema

Las tecnologías de información son un componente clave que soporta los procesos de

negocio de las compañías, siendo éstos diferentes y diversos para cada tipo de empresa.

Sin embargo, como todo servicio, es vulnerable a los diferentes desastres que este inmerso

creando una materia de estudio para poder hacer frente a las amenazas. La diferenciación

entre un desastre y un incidente está definida por cada empresa dependiendo de los

procesos críticos de negocio.

El año 2017 fue en año marcado por los especialistas de seguridad informática

como el año de las amenazas ransomware. A inicios del año se tuvo la amenaza del

WannaCry que aproximadamente afectó 200 000 computadoras en 74 países alrededor

del mundo. Una de las principales características de este tipo de ataque es que afecta la

gran parte de equipos y dispositivos conectados en la red causando pérdida total de

información, impidiendo acceso a los servicios, por lo tanto, denegando servicios de

tecnologías de información a la compañía. Esta denegación es considera un desastre, así

tal cual como un tsunami, terremoto o incendio bajo el esquema de ITIL.

A pesar de que la cuna para tales ransomware fue Europa, el Perú no fue exento a

estos ataques. En el mes de junio del 2017, diferentes empresas fueron parte del ataque

NotPetya/Petya según informa el diario The Register (The Register, 2018). La empresa

portuaria APM Terminals, parte del grupo danés Maersk, fue afectada por dicho ataque

generando una denegación de servicios que no sólo abarcó las tecnologías de información,

sino que también, a las actividades fundamentales del puerto, tales como carga y descarga

de contenedores, transporte y logística de cargas. En total, el grupo Maersk indicó que se

tuvo que reinstalar la mayoría de sus servicios, incluyendo 4000 nuevos servidores, 45000

nuevos ordenadores y 2500 aplicaciones en un plazo de 10 días, generando una pérdida

entre 250 y 350 millones de dólares de acuerdo al portal de Seguridad Informática

Kaspersky (Kaspersky Lab, 2017).

Al observar este caso, cabe resaltar la importancia de determinar el impacto que

genera en las actividades del puerto la falta continuidad de soporte de Mesa de ayuda. Los

desastres que siempre son inesperados pueden causar tremendos daños a la operatividad

de las empresas. Dentro de los diferentes servicios de las tecnologías de información, el

servicio de Mesa de Ayuda es el primer punto de contacto para el reporte de los incidentes

y problemas que afectan a usuarios y servicios.

Durante un desastre, los niveles de servicio para Mesa de Ayuda se ven afectados

ya que se puede llegar a perder el control de las actividades de recuperación, generando

incertidumbre a largo plazo. La problemática, sin embargo, se inicia desde que el personal

de Mesa de Ayuda no se encuentra preparada metodológicamente para enfrentar un

desastre, ocasionando que cuando, suceda el desastre se llegue al punto de falta de toma

de decisiones que sean efectivas para la recuperación de servicios de las tecnologías de

información.

Los niveles de servicio durante y después del desastre pueden aminorarse

dramáticamente, si es que este problema no es tratado de manera adecuada, sistemática

y anticipada. En un ambiente portuario, con actividades económicas críticas, se tiene

evaluar si la metodología de recuperación ante desastres es eficiente y adecuada para

poder regresar a los niveles de servicio establecidos para la Mesa de Ayuda, con el fin que

después del desastre, se tenga control sobre la información y que se aminore la

interrupción de los servicios brindados.

Dicho esto, se tiene el siguiente diagrama FODA (Fortaleza – Oportunidades –

Debilidades – Amenazas) para poder entender mejor el problema con respecto a la

continuidad de los servicios de Mesa de ayuda:

Factores

Internos

Factores

Externos

Fortalezas Debilidades

Personal altamente

motivado (F1).

Alto grado de supervisión y

gestión de servicios (F2).

Infraestructura y hardware

con fallas o defectos (D1).

Alta rotación de personal

(D2).

Oportunidades Estrategias FO Estrategias DO

Recursos humanos

disponibles para laborar en

el servicio (O1).

Mejor performance por

parte del personal,

incluyendo un mejor

ambiente laboral (F1-O1).

Capacitación reiterativa del

personal para evitar

incumplimiento de servicios

(F2-O1).

Especialización del

personal técnico para

agilizar la atención de

hardware (D1-O1).

Entrenamiento previo a

personal de reemplazo para

agilizar la transición de

personal (D2-O1).

Amenazas Estrategias FA Estrategias DA

Canales de comunicación

inoperativos (A1).

Ataques que afecten la

ciberseguridad (A2).

Desastres naturales como

tsunamis o terremotos (A3).

Mejorar el proceso de

rápida identificación de

incidentes referentes a los

canales de comunicación

(F1-A1).

Mejorar previsión,

documentación y

entrenamiento en caso de

incidentes mayores ya sean

naturales o humanos (F2-

A2-A3).

Identificar la matriz de

riesgos e impacto en el

servicio (D1-A1).

Especializar al personal

para que sus funciones

puedan ser rápidamente

suplidas por un reemplazo

(D2-A2-A3)

Figura 1. Diagrama FODA

Elaboración propia

De la misma manera, se presenta el diagrama de espina de pescado (Ishikawa) en

donde se tienen las causas visibles para el problema principal:

Figura 2. Diagrama espina de pescado del problema

Elaboración propia.

Formulación del problema

¿Cuál es el impacto en caso de caída del servicio de Mesa de Ayuda en el negocio de un

terminal portuario del Callao?

¿Qué indicadores de negocio se ven influenciados por la caída de servicios de Mesa

de Ayuda?

¿Qué medida tienen los valores de los indicadores de negocio frente a la

operatividad del servicio de Mesa de Ayuda?

¿Qué elementos son necesarios para la capacitación del proceso de continuidad de

servicio al personal de Mesa de Ayuda?

MARCO REFERENCIAL

Antecedentes

Durante la investigación, se realizó consultas a diferentes bases de datos académicas

bibliográficas tanto nacionales como internacionales para poder llegar a un compendio de

antecedentes con respecto a los temas tratados por las variables expuestas en este

trabajo.

(Egúsquiza Cáceres & Kong Ramos, 2017), en su tesis “Implementación del modelo

de gestión de continuidad de servicios TI basado en ITIL v3” para el grado académico de

ingeniería en la Universidad de Ciencias Aplicadas (Lima), se basa en los fundamentos de

la metodología ITIL (Information Technology Infrastructure Library) para poder llegar a una

implementación del modelo de la gestión de la continuidad que llevó a prueba mediante

simulaciones controladas. La investigación de carácter exploratoria desarrolla las

actividades necesarias para llegar a una madurez en la gestión de la continuidad

generando la documentación y la capacitación necesaria para poder mejorar los procesos

frente a desastres. La tesis concluye que al aplicar el modelo de gestión de la continuidad

de Servicios existe una mejora en la capacidad de hacer frente a los desastres para los

servicios de TI.

Ghannam (2017), en su tesis “Challenges and Opportunities of Having an IT

Disaster Recovery Plan” (Ghannam, 2017), se enfoca en el análisis del enfoque del plan

de recuperación frente a desastres en el rubro de las tecnologías de información. Esta tesis

desarrollada en Suiza nos da una visión acerca de la efectividad de los planes de

recuperación frente a los riesgos previsibles que están sujetos los servicios de las

Tecnologías de Información. En su investigación, los resultados son analizados de manera

cualitativa para poder determinar la efectividad de los planes de contingencia frente a

desastres, y así, poder determinar los principales focos que abarca la gestión de

continuidad, tales como los lugares, los equipos de trabajos, las tecnologías, el soporte y

la disponibilidad de servicios. En esta investigación, se concluye que, después de usar

como instrumento la entrevista y el juicio de expertos en el tema, existen diversos desafíos

cuando se mide la efectividad de un plan de recuperación, principalmente la toma de

decisiones gerenciales y los tiempos de interrupción de servicios.

Sambo (2014), en su tesis "An investigation into business continuity plan (BCP)

failure during a disaster event" (Sambo, 2014), analiza la importancia de la determinación

de tipos y alcances de contingencias que son neutralizadas por medio de un manejo de

gestión enfocado en la continuidad de servicio para evitar tiempos prolongados en los

cuales la productividad del negocio se afecta. La tesis concluye que para la creación de

una estructura de servicio hay que tener en cuenta los factores clave que deben ser

considerados en el proceso de trabajo, riesgos y debilidades para una pronta recuperación

de servicio.

Gneist, Kiersz, Osman (2009) en su tesis "The need for a developed Business

Continuity Plan" (Gneist, 2009) para el grado académico en la Universidad Internacional de

Negocios de Jönköping (Suecia) se basa en los fundamentos de un BCP (Business

Continuity Plan) para investigar y evaluar la posibilidad que tiene un negocio para

adaptarse en momentos de crisis y superar contingencias con pérdidas lo menor posibles.

Un plan de continuidad para un negocio en el mercado actual es de vital importancia dado

que permite a la gerencia actuar de forma eficaz en tiempo y recursos. Las partes que

considera de vital importancia son los encargados en momentos de crisis, la

documentación y las estrategias de comunicación tanto interna como externa referente a

los departamentos.

Simonsson (2008), en su tesis "Predicting IT Governance Performance A Method

for Model-Based Decision Making" (Simonsson, 2008) desarrollada en el Real Instituto de

Tecnología (Suecia), analiza los alcances de la toma de decisiones que la gerencia en un

departamento de soporte de TI tiene. La influencia e impacto que tienen departamentos

externos en la calidad y eficiencia de un servicio el cual tiene que superar deficiencias

internas para lograr el manejo de operaciones con percances mínimos. En su investigación,

los resultados infieren que las necesidades del negocio están estrechamente ligadas a la

libertad que tenga el departamento para implementación de procesos y generación de

documentación elemental para actividades conocidas.

Govindarajan (2011), en su tesis "Business Continuity Planning in the IT Age - A

railway sector case study" (Govindarajan, 2011) para grado maestría en el área de

ingeniería eléctrica de la Universidad de Linköping (Suecia), muestra la traducción de un

plan de continuidad de la teoría a la práctica en un área de negocio con altos requerimientos

de seguridad y baja tolerancia a los desastres. Habla de dos elementos clave que son la

reducción de tiempo de respuesta debido a toma de decisiones en calidad de urgente, así

como los caminos de operación estándar que permiten proveer un servicio continuo a los

usuarios que requieren soporte de TI.

Kontos (2014), en su tesis "Design and development of a service management

framework for business continuity" (Kontos, 2014) en la Universidad del Egeo (Grecia), se

enfoca en el análisis de las áreas y causas que generan desperdicios basados en la

metodología LEAN Six Sigma que ofrece la habilidad de evaluar cual óptimos son los

procesos y como darle continuidad a los servicios manejando los recursos disponibles para

la efectividad de recuperación de servicio en caso de un desastre. En este estudio se

concluye que los factores de éxito son el correcto manejo de recursos y la proactividad que

brinda la experiencia profesional y observación.

Mathenge (2012), en su tesis "Disaster recovery and business continuity plans in

Class-A Parastatals in Kenya" (Mathenge, 2011) para el grado académico en la Universidad

de Nairobi (Kenia), muestra los resultados de su estudio cuantitativo realizado

considerando cada fase de un plan de recuperación de desastres que afectan las

operaciones en un caso de uso en Kenia. El estudio presenta la importancia de la

planificación previa a un desastre el cual puede ser definido como la interrupción de

actividades los cuales pueden tener diferentes niveles de urgencia y depende de las

decisiones gerenciales el dar prioridad para la resolución y reinstauración de operaciones.

Jordan (2005), en su tesis “An assessment of IT governance procedures” (Jordan,

An assessment of IT governance procedures, 2005), establece la relación de contar con un

plan de Continuidad de Negocios en los servicios claves de IT. En dicha investigación, se

resalta que hace uso del instrumento encuesta, el cual se usa en esta tesis, para poder

relacionar la percepción de seguridad y contingencia de los servicios de TI con la

continuidad de Negocio. Este enfoque se da en base a la experiencia, planeamiento,

estrategia, riesgos y futuras acciones. Con este enfoque, se da a conocer la interacción de

la gerencia en planes y contingencias de negocios, no solo en TI sino en todas las unidades

como un todo.

Cassis (2009), en su tesis “Diseño, análisis e interpretación de indicadores de

gestión para Autoridad Portuaria de Manta” (Cassis Zambrano, 2009), ofrece una amplia

gama de indicadores de negocio para la entidad portuaria ubicada al norte de Ecuador en

la ciudad de Manta. Las operaciones APM Manta, se realizan de la manera semejante a

las operaciones en el puerto del Callao, por tal motivo se usa esta tesis para extrapolar y

usar los indicadores de negocio relevantes para sintetizar los datos y relacionarlos en el

escenario de investigación planteado.

Estado del arte

La gestión de la continuidad de los servicios enfocados a aquellos brindados en el rubro de

las tecnologías de la información se rige hoy en día principalmente por el marco de

referencia de ITIL (Information Technology Infrastructure Library). Dicho marco se

encuentra en la tercera versión que data del año 2011. A pesar de su antigüedad, el marco

brinda los puntos necesarios para todo servicio de manera que se adapte al cambio

generacional y de ámbito de negocio.

Prueba de esta referencia, es que la corporación MAERSK que es la matriz de los

principales terminales portuarios en el mundo aplica este marco en sus procesos de

tecnologías de información por su relevancia y acoplamiento a diferentes metodologías de

trabajo.

Cabe mencionar que, durante los últimos años, se ha ampliado el concepto que

unifica la preparación frente a incidentes o desastres y el manejo de servicios relacionados

con las tecnologías de información. A pesar que el marco de trabajo ITIL contempla lo

relacionado a desastres, su enfoque se basa en la gestión del servicio. Es así que se tiene

el marco de trabajo de RESILIA, la cual contempla la búsqueda de la ciber seguridad con

un enfoque esencial en la gente, los procesos y la tecnología para la identificación de

riesgos y oportunidades que disminuya los incidentes (Rance, 2017, pág. 2).

El marco de trabajo RESILIA es principalmente promocionado por la organización

AXELOS, la cual hace el mismo incentivo para el marco de trabajo ITIL. Ambos marcos

pueden trabajar juntos, siendo así que RESILIA puede ser aplicado como un servicio en sí

a los servicios de Mesa de ayuda. Hearsum (portafolio manager de AXELOS) plantea una

visión de trabajo en donde ambos marcos se agrupan para fortalecer los servicios de Mesa

de Ayuda. Su punto de vista es esencial para este trabajo, ya que indica que los servicios

de mesa de ayuda tienen que ser vistos por una perspectiva de ciber resiliencia y que su

interrupción llega a ser un costo dolorosa para el negocio (Hearsum, 2017).

Descripción de la empresa

La empresa en donde se desarrolla la tesis se denomina APM Terminals Callao, la cual es

parte del conglomerado danés A.P. Moller Maersk, el cual es líder mundial en la industria

marítima.

El puerto maneja aproximadamente el 40% del tráfico de contenedores a nivel

nacional y aproximadamente el 75% de carga que no son contenedores, las cuales se

denomina carga general. Dentro de la carga general se puede encontrar productos

minerales, granos, vehículos, cemento, químicos o pescados congelados. Estas dos

variantes de tráfico de carga hacen que se denomine terminal multipropósito.

Durante el año 2017, en el mundo se presentaron diferentes eventos dañinos para

el mundo informático, como lo son los ataques cibernéticos que afectaron grandes

empresas, desde telefónica hasta importantes bancos europeos. Maersk al ser una

transnacional, fue afectada el 22 de junio del 2017 por un ataque global de naturaleza

ramsonware. Dicho ransomware se denominó NotPetya. El ataque llegó hasta las

instalaciones portuarias del Callao, logrando una denegación de servicios de negocio de

manera rotunda e inquebrantable. En tal sentido, los esfuerzos necesarios para restaurar

la infraestructura informática fueron inmensos. Sin dicha infraestructura informática lo

servicios portuarios se vieron detenidos.

El equipo de mesa de ayuda tuvo la necesidad de reinstalar el 100% de

ordenadores, aproximadamente 600, 70 centros de impresión, 400 periféricos de

comunicación para un aproximado de 2000 usuarios de sistemas. Este equipo de Mesa de

ayuda, que también fue afectado por una denegación, enfrenta uno de sus mayores retos.

Dar soporte a los servicios de negocio, a pesar de no contar con las herramientas, canales

de comunicación o personal debidamente entrenado para una caída total de servicios.

Misión

“Desarrollar y operar un terminal Multipropósito creando valor para nuestros clientes y

accionistas, logrando resultados económicos satisfactorios y promoviendo una cultura de

alto desempeño en un ambiente de trabajo seguro y motivador, desarrollando así la

comunidad del Callao, para convertirse en un puerto de clase mundial.” (APM Terminals

Callao, 2018)

Visión

“Convertirnos en el Terminal Multipropósito líder de Sudamérica prestando servicios de

primera calidad, operaciones efectivas y libres de riesgos, contando con profesionales

comprometidos y altamente calificados y elevando el valor socio económico de nuestra

zona de influencia y del país.” (APM Terminals Callao, 2018)

Organigrama

Para el organigrama, ver el Anexo 8.

Áreas Críticas

Las áreas críticas de la empresa son aquellas que, según acuerdo con la gerencia general,

cumplen con garantizar las operaciones críticas generadoras de oportunidades

económicas como de calidad a los usuarios y clientes del terminal portuario.

Área de operaciones de contenedores.

Área de operaciones de carga general.

Área de Seguridad, salud y medio ambiente.

Área de Facturación y cobranzas.

Área Comercial.

Área Legal.

En la sección de análisis de impacto, se tiene mayor detalle acerca de la relación de

las áreas críticas con el servicio de Mesa de ayuda.

Descripción del servicio

El servicio de Mesa de ayuda en el terminal portuario está tercerizado a la empresa SAPIA,

la cual provee una Mesa de Ayuda la cual brinde un servicio de Primer y Segundo Nivel de

Soporte Técnico Informático a los usuarios finales, a fin de atender incidencias y

requerimientos.

En caso no sea resulto en el primer nivel, se derivará a un segundo nivel de soporte,

así como ejecutar las atenciones si este tuviera que ser el caso, de acuerdo al alcance de

su catálogo de servicio.

Gestionar las solicitudes conforme a los procedimientos establecidos. De ser

necesario y dependiendo de la casuística se derivará a un Tercer y Cuarto Nivel;

especialistas de las áreas de Infraestructura y Aplicaciones de APM TERMINALS CALLAO,

y/o proveedores.

Niveles de Servicios

De acuerdo con la contratación del servicio de Mesa de Ayuda, se tiene los siguientes

acuerdos de servicio entre la empresa SAPIA y el terminal portuario APM Terminals del

Callao:

SLA Tiempo de

atención Cumplimiento

Atención incidentes usuarios VIP 1 horas Mayor igual a 90%

Atención de Incidentes usuarios

normales

2 horas Mayor igual a 90%

Atención requerimientos usuarios

VIP

12 horas Mayor igual a 90%

Atención de requerimientos usuarios

normales

24 horas Mayor igual al 90%

Tabla 1. Acuerdos de servicio

Elaboración propia

El 90% de los contactos vía email serán gestionados dentro de los 20 minutos de

recibido, entendiéndose como gestión su lectura, acuse de recibo automático y carga de la

incidencia clasificado en la herramienta de gestión.

Disponibilidad de la mesa de ayuda: En el período acordado la Mesa de Ayuda

tendrá una disponibilidad del 98%.

Niveles de resolución para incidencias por software e impresión: El 70 % de los

llamados serán resueltos por la mesa de ayuda en un primer nivel de contacto con un

tiempo de respuesta máximo de 1 hora. El resto será escalado al especialista de 2do Nivel.

Nivel de resolución para el resto de las incidencias (identificados en competencia):

El 50% de los llamados serán resueltos por la mesa de ayuda en un primer nivel de contacto

con un tiempo de respuesta máximo de 2 horas. El resto será escalado a los especialistas

de 2do Nivel.

Niveles de resolución para Usuarios VIP, para incidencias por software y

conectividad e impresión, de un grupo de 30 usuarios (Directores, Jefes y áreas

operativas): El 90 % de los llamados serán resueltos por la mesa de ayuda en un primer

nivel de contacto, con un tiempo de respuesta máximo de 1 hora. Si la complejidad o

alcance excedieran este primer nivel, será escalado a los especialistas de nivel 2, con una

resolución en un tiempo total de 2 horas desde el llamado inicial.

Respecto al nivel de satisfacción del cliente, el servicio brindado será medido

también por encuestas de nivel de satisfacción de clientes conducidas por APM

TERMINALS. Dicha satisfacción deberá ser no menor a un 60% al cabo de los primeros 6

meses, considerando a satisfechos o muy satisfechos y un 70% al cabo de 9 meses de

operación, con la misma medición.

Perfil de primer nivel

Único punto de contacto para los usuarios finales, se encargan de recibir las llamadas de

los usuarios internos de APM TERMINAL, asignan el nivel de severidad a cada caso,

(dependiendo de los servicios afectados, o bien de la prioridad que cada usuario tiene

previamente asignada de acuerdo a su posición jerárquica) y dan el soporte de primer nivel

para problemas de Software o Hardware.

Registran y resuelven la mayor cantidad de incidentes reportados por los usuarios

de APM TERMINAL en forma remota, dentro de los acuerdos de nivel de servicio y en

cumplimiento de los procedimientos definidos.

Sus funciones son las siguientes:

Brindar solución a los incidentes y requerimientos de usuarios finales referentes a

herramientas básicas de escritorio y software comercial que estén dentro de su

alcance y posibilidades.

Registrar todos los incidentes en la herramienta de gestión definida.

Recepción de llamadas telefónicas, creación, priorización, solución, seguimiento y

cierre del ticket, atención remota de incidentes.

Realizar el seguimiento de los incidentes reportados a los grupos resolutores de

APM TERMINAL, desde el momento del reporte hasta que estos hayan sido

cerrados, independientemente del grupo que tiene asignado la incidencia o

requerimiento.

Escalamiento de la incidencia en caso no pueda ser solucionado remotamente y/o

telefónicamente al Soporte Técnico en Sitio (Segundo Nivel).

Escalamiento hacia Tercer Nivel – Personal especializado, en caso no se pueda

solucionar las incidencias y donde se involucren la toma de decisión por parte de

APM TERMINAL.

Control de los niveles de servicio (SLA) de incidentes y/o requerimientos.

Envío de solicitudes de garantías de Hardware y Software a proveedores terceros.

Coordinación con terceros para la gestión SLAs y de garantías.

Perfil de segundo nivel

Estos servicios se originan en la Mesa de Ayuda (soporte de primer nivel) para dar solución

a incidentes que no pueden ser solucionados remotamente desde el mismo. Contempla

incidentes de los recursos informáticos de los usuarios según el alcance, principalmente

de uso, manejo y configuración del software y hardware.

El servicio de soporte técnico en sitio tendrá la responsabilidad de ejercer las siguientes

funciones:

Soporte a todo el parque de PC’s y periféricos incluidos en la presente propuesta,

los mismos que se encuentran ubicados en las instalaciones de APM TERMINAL.

Responsable de resolver los incidentes de hardware y software in situ.

Soporte a incidentes referentes a Software base.

Revisión, diagnóstico, mantenimiento correctivo y cambio de partes en primera

instancia de los equipos de cómputo (CPU, monitores, teclados, mouse). Informar,

registrar y canalizar si la solución requiere intervención de proveedores de APM

TERMINAL. Es responsabilidad de APM TERMINAL proporcionar los repuestos y

los insumos/suministros necesarios para el mantenimiento correctivo.

Preparación, instalación, configuración y cambio de equipos de cómputo por

anomalías del equipo. Incluye clonación de equipos, backup de la información del

usuario, personalización del equipo y restore de la información.

Preparación de equipos para ser entregados al proveedor para aplicación de

garantías.

Atenciones de primera línea a impresoras

Mantener actualizado el inventario de Hardware y Software.

Mantener actualizado los soportes de licenciamiento.

Catálogo de servicio

Como parte del diseño y la estrategia del servicio, se tiene el catálogo de servicio el cual

muestra la información acerca de todos los servicios activos desarrollados por esta área,

incluyendo los que se encuentran en pruebas y desarrollo. Estos servicios son los que dan

cara a los usuarios como representación del accionar total del servicio, y se encuentra en

el Anexo 9 – Catálogo de servicios.

Proceso de la continuidad

Como se ha mencionado, la problemática es que no se tiene conocimiento del proceso de

continuidad de servicio en la Mesa de ayuda, por lo que de manera similar el proceso inicial

es carente de un flujo apropiado. A continuación, se muestra el proceso de continuidad AS-

IS:

Figura 3. Diagrama AS-IS inicial

Elaboración propia

Marco teórico

Para mejorar el entendimiento de este trabajo y la manera de trabajo es necesario definir

los aspectos conceptuales de la tesis. A continuación, se detallan dichos conceptos:

Servicio

Se define como el medio por el cual se hace entrega de valor a un cliente facilitando

los resultados que el cliente quiera obtener sin asumir los costos y los riesgos

generados por el mismo (AXELOS, 2011).

La entrega exitosa de servicios depende de una o varios servicios de TI, por lo cual

se valora que los servicios que soportan al negocio estén siempre disponibles.

Tecnología de Información (TI)

El término de las tecnologías de información es usado constantemente en este

trabajo, y su definición está basada en el uso de las tecnologías para el

almacenamiento, comunicación o proceso de información (AXELOS, 2011).

Cuando se menciona las tecnologías de información, se asocia a las computadoras,

telecomunicaciones, aplicaciones y otros software. Además, el concepto incluye la

información de negocio, voz, imágenes, video entre otros.

Es la misión de las tecnologías de información brindar soporte a las actividades de

negocio, y esto se realiza a través de los servicios de TI.

ITIL (Information Technology Infrastructure Library)

tiene el Dentro de los principales conceptos trabajados en la presente tesis se tiene

principales aquellos relacionados a la gestión de la continuidad. A continuación, se

coteja los conceptos basados en el marco ITIL de buenas prácticas reconocidas

internacionalmente por su carácter pragmático.

De acuerdo al Marco de gestión ITIL (ITIL Foundation, s.f.) se define la

gestión de continuidad de servicios como un proceso mediante el cual se asegura

que una vez que el plan de continuidad esté implementado, éste no se detenga y

esté alineado a las necesidades del negocio y sus prioridades.

De la misma manera, se define la gestión de incidentes como un proceso

responsable de acompañar a los incidentes a lo largo de todo su ciclo de vida.

Desde ser reconocidos o reportados por el personal o herramientas de monitoreo,

hasta la resolución por vías internas o por proveedores.

La gestión de requerimientos se define, en el mismo marco, como un

proceso responsable de acompañar a los requerimientos de usuarios a lo largo de

todo su ciclo de vida. A diferencia de los incidentes, los requerimientos son por lo

general más pequeños, de menor riesgo y personales.

Finalmente, es obligatorio definir el objeto del estudio, la mesa de ayuda.

Esta según ITIL (ITIL v3, 2018) tiene como función ser un centro de servicios para

los usuarios en donde se gestionan incidentes y requerimientos, facilitando al resto

de departamentos realizar sus actividades diarias.

Incidente

Se considera un incidente a una interrupción no planeada a un servicio de TI.

Asimismo, se considera incidente a la reducción en la calidad del servicio de TI.

Puede presentarse como una falla en un ítem de configuración que no ha afectado

aún a un servicio (AXELOS, 2011).

La gestión de incidentes controla todo el ciclo de vida de los incidentes y se asegura

que la normal operación de los servicios de TI se recupere lo más pronto posible

frente a un incidente.

Problema

Un problema en el ámbito de la gestión de servicios de TI, se define como la causa

de uno o más incidentes. Por lo general, la causa es desconocida al momento de

presentarse el mismo. La gestión de problemas se encarga de la prevenir que los

incidentes sucedan y minimizar el impacto de los que no puedan ser prevenidos

(AXELOS, 2011).

Gestión de servicios TI

La gestión de servicios de TI comprende a las capacidades especializadas de la

organización para proveer de valor a los clientes en forma de servicios (AXELOS,

2011).

La gestión de servicios es parte fundamental para gestionar el ciclo de vida de los

servicios, incluyendo las acciones necesarias en caso de interrupción a la

continuidad de los servicios, y la mejora continua como consecuencia del

aprendizaje.

ISO/IEC 20000

Las normas ISO/IEC 20000 son un grupo de prácticas consolidadas y establecidas

relativas a la organización del trabajo en las áreas de TI. En este aspecto se tiene

la siguiente que “definen los procesos y las actividades esenciales para que las

áreas de TI puedan prestar un servicio eficiente y alineado con las necesidades de

la empresa u organización” (Moran, 2009, pág. 16).

El marco de trabajo ISO/IEC 20000 se enriquece del desarrollo del marco ITIL,

siendo ambos compatibles entre sí. Las normas ISO/IEC 20000 tiene las siguientes

partes (Moran, 2009):

1. ISO/IEC 20000-1: 2011 Requisitos de los sistemas de gestión de servicios.

2. ISO/IEC 20000-2: 2012 Guía de Implementación de los sistemas de gestión de

servicios.

3. ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la aplicabilidad

4. ISO/IEC DTR 20000-4:2010 - Modelo de procesos de referencia

5. ISO/IEC TR 20000-5:2010 - Ejemplo de implementación

Riesgo Operacional

De acuerdo a nuestro marco de trabajo, se define el riesgo como cualquier posible

evento que pueda ocasionar perdida, daño o afectación de la habilidad para

alcanzar objetivos. Un riesgo es medido por la probabilidad de la amenaza, la

vulnerabilidad del activo y el impacto en caso de ocurrencia. Así mismo, el concepto

incluye la incertidumbre del resultado fuera éste negativo o positivo (AXELOS,

2011).

Continuidad de Negocio

Es el proceso por el cual se tiene responsabilidad de administrar los riesgos que

puedan afectar seriamente al negocio. La gestión de la continuidad del negocio

salvaguarda los intereses de los stakeholders, la reputación de la empresa y las

actividades generadoras de valor. El proceso involucra reducir los riesgos a un nivel

aceptable y planear la recuperación de los procesos del negocio en el caso que

suceda un incidente mayor (AXELOS, 2011).

La gestión de la continuidad de negocio se plantea objetivos claros, un alcance

óptimo y los requerimientos para los servicios de TI. Así mismo, como las

operaciones de negocio y los objetivos cambian, debe cambiar la visión de la

continuidad de negocio.

En este aspecto, la continuidad de negocio debe implementarse y sostenerse para

el apropiado plan que sea costo-efectivo plan. Dicho plan de la continuidad de

negocio debe proteger las operaciones en todas las sedes del negocio. También,

debe soportar el desarrollo de nuevas actividades y oportunidades.

Un aspecto fundamental de la continuidad de negocio es que debe proporcionar

seguridad al comité ejecutivo del negocio para que pueda tomar decisiones de

negocio tomando en cuenta la solidez y resiliencia del negocio. A continuación, se

muestra el diagrama de continuidad de negocio que rige en el terminal portuario.

Aspectos de la norma ISO 22301

Las organizaciones a menudo consideran que los sistemas de continuidad de

negocios son simples listas de verificación e instrucciones de trabajo que se deben

utilizar solo en situaciones improbables. Afortunadamente, hay muchos marcos en

el mercado que pueden ayudar a las organizaciones a manejar esta situación, entre

ellos ISO 22301: 2012.

Ya sea solo o integrado con otro sistema de gestión , como ISO 9001

(Calidad), ISO 27001 (seguridad de la información), ISO 14001 (Medio ambiente)

o OHSAS 18001 (Seguridad y salud operacional), la norma ISO 22301: 2012

proporciona orientación e instrucciones sobre cómo una organización,

independientemente de su tamaño e industria, debe administrar, mitigar y

recuperarse de incidentes disruptivos cuando surgen, lo que puede traer muchos

beneficios no solo para la organización en sí, sino también para los clientes,

proveedores y otras partes interesadas. .

El contenido principal de este resumen seguirá el mismo orden y numeración de

las secciones requeridas para certificar un BCMS según ISO 22301: 2012 (ISO,

2012):

Impacto del enfoque del proceso:

El cumplimiento de la norma ISO 22301: 2012 es obligatorio para la certificación,

pero el cumplimiento por sí solo no garantiza la capacidad de una organización

para responder y sobrevivir a un incidente perturbador. El uso del enfoque de

procesos es útil para crear un vínculo entre los requisitos, las políticas, los

objetivos, el desempeño y las acciones. Como podemos ver en el siguiente

diagrama, un enfoque de proceso es una buena manera de organizar y administrar

las actividades de continuidad de negocios para crear valor para una organización

y otras partes interesadas.

Contexto de la organización.

o Entender la organización y su contexto: Requerir que la

organización determine todos los problemas internos y externos que

puedan ser relevantes para sus propósitos comerciales y para el

logro de los objetivos del BCMS en sí.

o Comprensión de las necesidades y expectativas de las partes

interesadas: el estándar requiere que la organización evalúe

quiénes son las partes interesadas en términos de su BCMS, sus

necesidades y expectativas, los requisitos legales y reglamentarios

que se aplican. Los requisitos legales y reglamentarios deben

documentarse, actualizarse y comunicarse a todas las partes

interesadas.

o Determinación del alcance del sistema de gestión de la continuidad

del negocio: El alcance y los límites del BCMS se deben examinar

y definir teniendo en cuenta los problemas internos y externos, las

partes interesadas, sus necesidades y expectativas, así como las

obligaciones de cumplimiento legal y regulatorio.

o Sistema de gestión de la continuidad del negocio: el estándar indica

que se debe establecer y operar un BCMS y, mediante el uso de

procesos interactivos, se debe controlar y mejorar continuamente.

Liderazgo

o Liderazgo y compromiso: la alta gerencia y los gerentes de línea con

roles relevantes en la organización deben demostrar un esfuerzo

genuino para involucrar a las personas para que apoyen al BCMS.

o Compromiso de gestión: esta cláusula proporciona ejemplos

de niveles mejorados de liderazgo, participación y cooperación en

la operación del BCMS, asegurando aspectos como:

Política de continuidad y la alineación de los objetivos con

las políticas estratégicas y la dirección general del negocio.

Integración de las actividades de continuidad con otros

sistemas empresariales, en su caso

Provisión de recursos para que el BCMS pueda ser operado

eficientemente

La definición de las responsabilidades de continuidad del

negocio para las personas dentro del BCMS, y su correcto

apoyo, capacitación y orientación para completar sus tareas

de manera efectiva

Relevante, adecuada, oportuna comunicación con las partes

interesadas internas y externas.

Apoyo del BCMS durante todo su ciclo de vida, teniendo en

cuenta un enfoque PCDA.

o Política: La alta dirección tiene la responsabilidad de establecer una

política de continuidad del negocio, que esté alineada con el

propósito de la organización, proporciona un marco para

establecer los objetivos de continuidad del negocio.

o Funciones de la organización, responsabilidades y obligaciones: La

norma establece que es responsabilidad de la alta dirección

garantizar que las funciones, responsabilidades y autoridades se

deleguen y se comuniquen de manera efectiva.

Planificación.

o Acciones para abordar riesgos y oportunidades.

o Objetivos de continuidad de negocio y planes para alcanzarlos.

Apoyo.

o Recursos: En todos los aspectos, financieros, tiempo y recursos

humanos.

o Competencia: la competencia de las personas a las que se asigna

la responsabilidad del BCMS que trabaja bajo el control de la

organización debe cumplir con los términos de la norma ISO 22301:

2012, para garantizar que sean capaces y seguros. La competencia

puede ser demostrada por la experiencia, capacitación y / o

educación con respecto a las tareas asumidas.

o Conciencia: las personas que trabajan bajo el control de la

organización deben conocer la política de continuidad del negocio y

su contenido, qué significa su desempeño personal para el BCMS y

sus objetivos, cuáles son las implicaciones de las no conformidades

para el BCMS y qué roles se deben cumplir durante incidentes

disruptivos.

o Comunicación: Los procesos para la comunicación interna y externa

deben establecerse y registrarse como información documentada

dentro del BCMS. Los procesos de comunicación interna y externa

deben considerar la participación de todas las partes interesadas

relevantes, la disponibilidad de recursos de comunicación durante

eventos perturbadores y la operación y prueba de los recursos de

comunicación destinados a ser utilizados solo durante incidentes

perturbadores que impactan los canales de comunicación normales.

o Información documentada.

General

Creando y actualizando

Control de la información documentada.

Operación

o Planificación y control operacional: para garantizar que los riesgos

y las oportunidades se traten adecuadamente (cláusula 6.1) y que

se cumplan los requisitos de la norma, un BCMS debe definir

criterios claros para planificar, implementar y controlar sus

procesos, así como cualquier proceso externo relevante. ,

implemente efectivamente esos controles y retenga la información

documentada que se considere necesaria para brindar confianza en

los procesos que se están llevando a cabo y lograr sus resultados

según lo planificado.

o Análisis de impacto empresarial y evaluación de riesgos.

General: La norma requiere que los impactos adversos a los

productos, servicios y operaciones de la organización deben

analizarse y tratarse sistemáticamente.

Análisis de impacto en el negocio: el estándar reconoce que

los recursos de las organizaciones no son infinitos y que

desempeñan un papel aún más crítico durante los eventos

perturbadores, por lo que requiere que su BCMS tenga

medios, que se mantenga como información documentada,

para identificar sistemáticamente las prioridades de

continuidad y recuperación y defina los objetivos y metas

que deben alcanzarse, en términos de un rendimiento

mínimo aceptable y el tiempo para lograrlos.

Evaluación de riesgos: para ayudar a respaldar un análisis

de impacto en el negocio, el BCMS de una organización

debe tener implementado, como información documentada,

un proceso de evaluación de riesgos para identificar,

analizar, evaluar y tratar los riesgos que pueden llevar a

situaciones perturbadoras.

o Estrategia de continuidad de negocio

Determinación y selección: la forma general en que una

organización describe su estrategia de continuidad

comercial debe considerar los resultados del análisis de

continuidad comercial y abarcar la protección, estabilización,

continuidad, reanudación y recuperación de las actividades

prioritarias, y la mitigación, respuesta y gestión de los

impactos resultantes de un evento disruptivo.

Establecimiento de requisitos de recursos: Para respaldar

las estrategias de continuidad del negocio, la organización

debe definir los recursos necesarios, como personas,

información y datos, edificios e instalaciones, equipos y

recursos de consumo, transporte, proveedores y socios.

Protección y mitigación: considerando su apetito por el

riesgo, la organización debe considerar controles de

protección y mitigación para minimizar las probabilidades de

interrupción, la duración de la interrupción y el impacto de

las interrupciones en los productos y servicios.

o Establecer e implementar procedimientos de continuidad de

negocio.

General: para garantizar la continuidad de las actividades y

la gestión de incidentes en línea con los objetivos de

recuperación identificados durante el análisis del impacto en

el negocio, una organización debe establecer, implementar,

mantener y documentar los procedimientos de continuidad

del negocio.

Estructura de respuesta a incidentes: para responder de

manera efectiva a una interrupción, ISO 22301: 2012

requiere que una organización cuente con procedimientos y

personas, con la autoridad y competencia adecuadas, para

gestionar incidentes, teniendo en cuenta la identificación del

incidente, la evaluación de la naturaleza y la extensión del

impacto y la activación de respuesta de continuidad

adecuada, incluidas las comunicaciones con las partes

interesadas relevantes.

Advertencia y comunicación: Los procedimientos deben

definirse de manera que puedan proporcionar alertas

oportunas a las partes interesadas afectadas por un evento

perturbador, real o inminente, asegurar la disponibilidad de

la comunicación durante los eventos perturbadores y facilitar

la comunicación con los equipos de emergencia.

Plan de continuidad del negocio: el plan de continuidad del

negocio es un elemento clave para garantizar la continuidad

del negocio, y se deben cubrir una serie de elementos, como

roles, responsabilidades y autoridades que se deben realizar

durante y después de un incidente, un proceso para activar

el incidente y la respuesta. estructura, actividades para

gestionar los impactos inmediatos, el flujo de comunicación

con las partes interesadas y las actividades de continuidad

y recuperación.

Recuperación: sobrevivir a un evento perturbador es solo la

mitad de la historia. ISO 22301: 2012 también requiere que

un BCMS tenga, como procedimientos documentados, las

actividades necesarias para restablecer y devolver las

actividades comerciales de las condiciones temporales,

definidas como el logro de los niveles de rendimiento

mínimos acordados.

o Ejecución y pruebas.

Los procedimientos de continuidad del negocio deben ser

sistemáticamente y periódicamente ejercitados y probados para

garantizar que sean adecuados para su propósito, actualizados y

compatibles con los objetivos de continuidad.

Todos los ejercicios y pruebas planificados deben estar alineados

con el alcance y los objetivos del BCMS, considerando posibles

escenarios, la información que se debe registrar para proporcionar

datos para el ejercicio y la revisión crítica, para que la precisión de

las acciones planificadas y las interacciones entre las partes

interesadas puedan ser evaluados, así como la capacidad de los

planes para lograr sus objetivos definidos, aumentando la confianza

en la efectividad de la planificación o colaborando para la mejora

continua mediante la corrección de vulnerabilidades o la

implementación de mejoras.

Evaluación del desempeño

o Seguimiento, medición, análisis y evaluación.

General: La organización no solo tiene que establecer y

evaluar métricas de desempeño con respecto a la

efectividad y eficiencia de los procesos, procedimientos y

funciones que protegen sus actividades más críticas, sino

que también debe considerar métricas para el desempeño

de BCMS.

Evaluación de los procedimientos de continuidad del

negocio: La norma reconoce la importancia de las

evaluaciones periódicas planificadas de los procedimientos

de continuidad del negocio, a través de ejercicios, pruebas y

revisiones posteriores al incidente, para garantizar que sean

continuamente efectivas, actualizadas y aptas para el

propósito de manejar el nivel. de riesgo que enfrentan todos

los productos y servicios clave identificados.

o Auditoría interna: las auditorías internas deben realizarse a

intervalos planificados, teniendo en cuenta la relevancia de los

procesos y los resultados de auditorías anteriores, para garantizar

el cumplimiento de los requisitos de la norma y los requisitos

definidos por la propia organización.

o Revisión de la gerencia: la revisión de la gerencia es la función más

relevante para la continuidad de un BCMS, debido a la participación

directa de la alta gerencia, y todos los detalles y datos de la revisión

de la gerencia deben documentarse y registrarse para garantizar

que el BCMS pueda cumplir los requisitos específicos. y dirección

estratégica general para la organización detallada allí.

Mejora

o No conformidad y acción correctiva: los resultados de las revisiones

de la administración, las auditorías internas y la evaluación de

cumplimiento y desempeño deben utilizarse para formar la base

para las no conformidades y las acciones correctivas. Una vez

identificada, una no conformidad o acción correctiva debe

desencadenar, si se considera relevante, las respuestas adecuadas

y sistemáticas para mitigar sus consecuencias y eliminar las causas

de raíz, mediante la actualización de procesos y procedimientos,

para evitar la recurrencia.

Mejora continua: la mejora continua es un aspecto clave del BCMS,

para lograr y mantener la idoneidad, la adecuación y la eficacia del

esfuerzo de continuidad del negocio en relación con los objetivos de

la organización.

OBJETIVOS

Objetivos generales

Medir el impacto económico de la discontinuidad de servicios de Mesa de Ayuda para el

negocio de un terminal portuario del Callao.

Objetivos específicos

Identificar los indicadores de negocio que se ven influenciados por la discontinuidad de

servicios de Mesa de Ayuda.

Medir los valores de los indicadores de negocio frente a la operatividad del servicio

de Mesa de Ayuda.

Diseñar un plan de capacitaciones para el proceso de continuidad de servicios para

el personal de Mesa de ayuda.

JUSTIFICACIÓN

Teórica

El estudio de la efectividad, ventajas y retos en el plan de gestión de continuidad de

servicios de TI, es una materia que no cuenta con mayor ahondo de estudio. Esto debido

a que la efectividad verdadera es medida cuando un desastre se hace realidad y se pueda

evaluar la efectividad de los procesos y planes internos.

Sin embargo, esta medición no cuenta con el mayor enfoque cuando sucede el

desastre, ya que se prioriza el levantamiento de servicios e infraestructura esenciales para

el negocio.

Esta disyunción permite que se tenga que evaluar la efectividad a priori. Es decir,

mediante el planeamiento y la estrategia de un plan que sea efectiva y asimilable a los

principales stakeholders del servicio.

Práctica

En diferentes empresas, los servicios de Mesa de Ayuda son tercerizados. En la empresa

APM Terminals, los servicios de TI para Mesa de Ayuda son llevados a cabo por la empresa

Corporación SAPIA, la cual cuenta con un acuerdo de servicios para desempeñar estos

servicios.

La evaluación de un plan de gestión de continuidad es un aspecto importante para

el cumplimiento contractual de la continuidad de un servicio de TI. Como todo servicio, se

tiene que cumplir con un tiempo activo del servicio a lo largo del tiempo contratado por el

cliente.

Al ocurrir un desastre que cause la interrupción de los servicios, se debe tener un plan

eficaz capaz de cumplir con las expectativas contractuales dictaminados por los términos

de referencias en los contratos de servicio. Esto coloca al plan de gestión de continuidad

en una herramienta obligatoria para el cumplimiento legal de los términos aceptados entre

cliente y proveedor de servicios de TI.

Social

Los servicios llevados a cabo por el equipo de Mesa, ya sea la gestión de Incidentes,

Requerimientos, Logísticos y Problemas, implican directamente a la trazabilidad de activos

físicos o lógicos otorgados a los trabajadores portuarios.

Dentro de estos servicios, se requiere tener la traza completa del inicio, realización

y término de la entrega del servicio. Dicho seguimiento se realiza con las plataformas y con

todo el sistema de atención del equipo de Mesa de Ayuda. En caso de desastres, estas

atenciones y sistemas se ven afectados, perdiendo la trazabilidad de los mismos.

Esta pérdida de información puede implicar desde la pérdida de un acceso a un

sistema hasta el retraso de un pago de planilla. APM Terminals al ser una empresa

sumamente regulada por el estado, se debe a sus contrataciones y acuerdos con los

diferentes sindicados, ya sea en pago de jornada laboral (nombrada) como en facilidades

técnicas para el desempeño de las funciones sindicales.

La caída de servicios de atenciones a los usuarios en este punto se torna crítica,

tomando en cuenta que no existe otro punto de contacto para el escalamiento de

incidencias o requerimientos en tiempos de desastre y post-desastre. La disponibilidad de

las herramientas de Mesa de Ayuda para gestionar incidencias de los usuarios se torna

esencial para el cumplimiento de normas y acuerdos entre la empresa y la comunidad

portuaria, representada por su sindicato.

HIPÓTESIS

TIPO DE HIPÓTESIS HIPÓTESIS HIPÓTESIS NULA

GENERAL

La discontinuidad del

servicio de Mesa de Ayuda

tiene un impacto en el

negocio del terminal




no tiene un impacto en el



ESPECÍFICAS

Los indicadores de negocio

del terminal portuario del

Callao se ven influenciados

por la discontinuidad de

servicio de Mesa de Ayuda.

Los indicadores de negocio

del terminal portuario del

Callao no se ven

influenciados por la

discontinuidad de servicio

de Mesa de Ayuda.

La operatividad del servicio

de Mesa de Ayuda altera

los valores de los

indicadores de negocio.

La operatividad del servicio

de Mesa de Ayuda no altera

los valores de los

indicadores de negocio.

El personal de mesa de

ayuda requiere

capacitación con respecto

al proceso de continuidad

de servicio.


ayuda no requiere



de servicio.

Tabla 2. Hipótesis

Elaboración propia

MATRIZ DE CONSISTENCIA

PROBLEMA OBJETIVOS HIPÓTESIS VARIABLES METODOLOGÍA

Problema Principal:

¿Cuál es el impacto

económico en caso de

discontinuidad del

servicio de Mesa de

Ayuda en el negocio den

un terminal portuario del

Callao?

Problemas Específicos:

¿Qué indicadores de

negocio se ven


discontinuidad de

servicios de Mesa de

Ayuda?

¿Qué medida tienen los

valores de los indicadores

Objetivo Principal:

Medir el impacto

económico de la

discontinuidad de


Ayuda para el negocio de

un terminal portuario del

Callao.

Objetivos Específicos:

Identificar los indicadores

de negocio que se ven


discontinuidad de


Ayuda.

Medir los valores de los

indicadores de negocio

Hipótesis principal:


servicio de Mesa de

Ayuda tiene un impacto

en el negocio del terminal


Hipótesis Específicas:

Los indicadores de


portuario del Callao se

ven influenciados por la

discontinuidad de servicio

de Mesa de Ayuda.

La operatividad del

servicio de Mesa de

Ayuda altera los valores

Variable dependiente:

El impacto económico en

el negocio del terminal


La percepción de la

eficacia de la continuidad

de servicio de Mesa de

ayuda.

Variable Independiente:

La continuidad del

servicio de Mesa de

Ayuda

Tipo de Investigación:

El tipo de investigación es

de carácter no

experimental.

Método de Investigación:

Investigación de tipo

cuantitativa.

Marco teórico:

Gestión de la continuidad

de servicios.

Gestión de incidentes y

requerimientos.

Servicio de Mesa de

Ayuda.

Disponibilidad de

servicios.

de negocio frente a la

operatividad del servicio

de Mesa de Ayuda?

¿Qué elementos son

necesarios para la

capacitación del proceso

de continuidad de servicio

al personal de Mesa de

Ayuda?

frente a la operatividad

del servicio de Mesa de

Ayuda.

Diseñar un plan de

capacitaciones para el

proceso de continuidad

de servicios para el

personal de Mesa de

ayuda.

de los indicadores de

negocio.


ayuda requiere



de servicio.

Tabla 3. Matriz de Consistencia

Elaboración propia

MARCO METODOLÓGICO

Metodología

La presente investigación es de carácter no experimental que de acuerdo al libro de

Metodología de Investigación (Hernandez Sampieri, Fernandez Collado, & Baptista Lucio,

2014) no se realiza ninguna manipulación a alguna de las variables, ya sea la gestión de

la continuidad ni a la disponibilidad de los servicios de Mesa de Ayuda.

Así mismo, se define que la investigación es de tipo correlativa ya que, según la

fuente mencionada en el párrafo anterior, se determinara de manera cuantitativa la relación

entre las variables a estudiar.

El diseño de la investigación es de tipo transversal ya que analiza la relación de las

variables al momento de realizar las pruebas y el análisis de la implementación del proyecto

de tesis.

La metodología de la presente tesis, va de a acuerdo a un seguimiento lógico por

pasos. Cada uno necesario para justificar al anterior.

Paso 1: Establecer las condiciones de entorno de trabajo y particularidad del negocio en

referencia al servicio de Mesa de Ayuda,

Paso 2: Determinar las condiciones que alteran la continuidad del servicio de Mesa de

ayuda.

Paso 3: Se definen las áreas críticas del negocio y su interrelación con el servicio de Mesa

de ayuda.

Paso 4: Se definen las matrices de impacto, urgencia y prioridad para clasificar los posibles

riesgos asociados.

Paso 5: Por cada área crítica, se definen los riesgos asociados que tienen como parte de

mitigación al servicio de Mesa de ayuda.

Paso 6: Para los riesgos con mayor prioridad, se tienen los indicadores de negocio

asociados a la caída de servicio de Mesa de ayuda.

Paso 7: Por cada indicador, se tiene el costo de ítems asociados y su unidad de medida.

Paso 8: Se define un espacio muestral de tiempo para realizar la observación de datos con

referencia a dichos indicadores.

Paso 9: Se procede con el cálculo promedio de pérdida económica por las caídas de

servicio de Mesa de Ayuda en dicho espacio de tiempo.

Paso 10: Una vez determinada, la importancia económica, se tiene justificado la realización

de un plan de continuidad de servicio de Mesa de Ayuda.

Paso 11: Se determina dos puntos en el tiempo para hacer la evaluación de la recolección

de datos y su afectación al servicio portuario. El primero, antes de realizar la capacitación

con respecto al plan, y el segundo, posterior a la capacitación en el tema.

Paso 12: Acabada la capacitación, se procede a la encuesta de percepción del plan en los

trabajadores (muestra) para establecer su relevancia interna.

Paso 13: Con la diferencia de valores de operatividad del servicio, posterior a la segunda

recolección de datos, se procede con los resultados del proceso para determinar si hubo

mejora o no.

Figura 4. Metodología

Elaboración propia

Paradigma

El paradigma adoptado por esta investigación es de tipo positivista debido a que la manera

de proceder indica la objetividad para encontrar los fundamentos, causas e impacto al tratar

la continuidad de servicio en el negocio portuario.

Enfoque

El enfoque es de carácter cuantitativo por lo mismo que se busca analizar los factores y

variables de manera que puedan ser medidas estadísticamente de manera amplia y

rigurosa.

Método

El método será de carácter no experimental ya que no se producirá la modificación de

alguna variable mencionada.

VARIABLES

Variable independiente

En la presente investigación se tiene la variable independiente a aquella que influenciará

en las variables dependientes, tomándose la medición de las variables dependientes. La

variable independiente es la continuidad de los servicios de Mesa de Ayuda.

La continuidad o discontinuidad de los servicios de Mesa de Ayuda en el terminal

portuario del Callo no está sujeta a manipulación, y la toma de datos es tal y como se

presenta en la práctica. Así mismo, la identificación de esta variable en la investigación de

campo, lleva características y condiciones establecidas para determinar el compartimiento

de la continuidad de servicios, el cual impactará en las variables dependientes. Dichas

condiciones para el establecimiento de los valores de la variable independiente nacen de

los paradigmas y líneas base de los acuerdos de servicio y el marco de trabajo ITIL

(Information Technology Infrastructure Library) el cual está aplicado para todos los

procesos de trabajo dentro de la compañía portuario como estándar.

Variable dependiente

En esta investigación, se tiene como alcance el uso de dos variables dependientes. Las

variables son el impacto económico y la percepción de la eficacia asociadas a la

continuidad de los servicios de Mesa de Ayuda. Es el alcance de este trabajo resaltar como

es que varía o se comparta las variables dependientes con relación a la continuidad de los

servicios de Mesa de Ayuda.

POBLACIÓN Y MUESTRA

Población

En primer lugar, se define la población como “el conjunto de casos que concuerdan con

una serie de especificaciones” (Hernandez Sampieri, Fernandez Collado, & Baptista Lucio,

2014, pág. 174). En tal sentido para la presente investigación, se toma en cuenta los casos

en donde hay interacción entre los servicios de negocio a los clientes internos y externos

con los servicios de mesa de ayuda. Se delimita, así mismo, a que estos servicios son los

que se realizan en el terminal portuario del Callao por el equipo de Mesa de ayuda del

mismo.

Muestra

Para la investigación, se tomó en cuenta una muestra no probabilística, la cual resulta de

utilidad para “determinados diseños de estudio que requieren no tanto una

representatividad de elementos de una población, sino una cuidadosa y controlada elección

de casos con ciertas características especificadas” (Hernandez Sampieri, Fernandez

Collado, & Baptista Lucio, 2014, pág. 190).

Las características específicas para esta investigación están limitadas por el tiempo

y costo de la investigación. En primera instancia, se toma en cuenta dos periodos de tiempo

para la evaluación del costo económico del impacto de la discontinuidad del servicio de

Mesa de ayuda.

Para el análisis de la percepción de calidad, se tomó se recauda datos a partir del

instrumento de evaluación de encuesta de servicio a 12 trabajadores del equipo que

conforma los servicios mencionados en la población. Dicha selección representa el aspecto

dirigido de la investigación y su alcance, así como la representatividad frente a las

limitaciones de la investigación como lo son el tiempo y el presupuesto (inversión personal).

La percepción del servicio y su continuidad son muestras directas de la calidad y robustez

del servicio que se brinda a los usuarios. Así mismo, se tiene la información histórica de

registros del servicio de Mesa de ayuda en el puerto, con el fin de poder observar el impacto

por área de cuando se tiene una caída de servicio.

UNIDAD DE ANÁLISIS

La unidad de análisis está determinada por cada interacción entre los servicios de negocio

y la operatividad del servicio de Mesa de Ayuda. En este caso, se define la unidad de

análisis como la representación del servicio ejercido.

A partir del servicio ejercido, el tema de la continuidad de servicio de Mesa de Ayuda

se enfoca, por una parte, en el impacto en las operaciones de negocio, y, por otro lado, del

impacto de mitigación en el personal encargado de brindar tal servicio. Con este punto de

vista de las personas encargadas de realizar el servicio se da validez a su referencia y

capacitación con respecto al tema, ya que de éstas depende la ejecución del plan de

Continuidad de Negocio, así como su implantación en el equipo de trabajo.

Por otro lado, se debe ser objetivo con los datos recabados, producto de la

interacción del servicio con los usuarios para poder evaluar con objetividad si se está

cumpliendo el plan de continuidad y la medida en que ésta se implanta en el negocio y el

servicio de TI analizado.

INSTRUMENTOS Y TÉCNICOS

Instrumentos

Se define instrumento, según (Hernandez Sampieri, Fernandez Collado, & Baptista Lucio,

2014) como la representación de las variables, de la cual se obtiene datos cuantificados y

sistematizados que, posteriormente, se procede a realizar el análisis estadístico necesario.

Tomando en cuenta esta referencia y la unidad de análisis de esta tesis que se debe

aplicar dos distintos instrumentos para obtener y validar la información necesaria. Por una

parte, la percepción del avance del plan en los ejecutores del servicio de mesa de ayuda

de TI, y, por otra parte, se debe considerar la revisión de datos históricos y del día a día

para poder constatar y evaluar de manera objetivo los datos.

Para la primera parte, se estará realizando una lista de cotejo en base al instrumento

de la observación para poder evaluar el impacto de la continuidad del servicio de Mesa de

ayuda en el negocio. Así mismo, esta información servirá para que más adelante se coteje

la efectividad del plan de continuidad de negocio y su referencia con el servicio de Mesa

de Ayuda brindado por la división de TI.

Para la segunda parte, se utilizará el instrumento de la encuesta, la cual se realizará

a los trabajadores y ejecutores del servicio de Mesa de Ayuda de acuerdo a lo mencionado

por la muestra para medir la percepción del equipo frente a un plan de continuidad de

negocio.

Técnicas

Al tener dos instrumentos, se busca principalmente que ambas sean confiables y

relevantes para la tesis y el posterior análisis de datos. La técnica para la aplicación de

ambos instrumentos es la estructurada cuantificada.

Además, la recolección de datos en los instrumentos de Observación y encuesta se

basan en los estudios realizados por el profesor Ernest Jordan, quien logró relacionar la

continuidad de negocio con los servicios que se brinda en TI (Jordan, IT contingency

planning: management roles, 2000).

PROCEDIMIENTOS Y MÉTODO DE ANÁLISIS

Procedimientos

Para la primera parte, se tiene el objetivo de medir el impacto en el negocio de la caída o

no servicio de Mesa de Ayuda. En tal propósito, se establece las condiciones básicas para

que se determine el servicio como ausente o caído. Esta determinación se logra en base a

los acuerdos contractuales plasmados en un Acuerdo de nivel de Servicio entre el

proveedor del servicio y la empresa portuaria contratante.

Para la segunda parte, se programó la toma de la encuesta con los doce sujetos

mencionados en la muestra. Debido a la organización laboral, la encuesta fue realizado en

espacios diferentes de tiempos de acuerdo a todos los horarios de trabajo establecidos en

el servicio de Mesa de Ayuda.

Cada individuo fue presentado a la encuesta, tomando en cuenta que después de

los eventos mencionados en la introducción, el tema de la Seguridad y continuidad de

negocio fueron establecidos como prioridad, estableciendo una conexión directa entre los

trabajadores y el tema, dejando los resultados como prueba de su capacitación y

entendimiento.

Método de análisis

En el primer instrumento, se hace uso de la recolección de datos y la revisión de datos

históricos de los mismos. En esta parte, se hace uso de la matriz de riesgos de las

operaciones de cada área crítica y se relaciona de manera directa con los servicios

interoperados por mesa de ayuda.

En el segundo instrumento, se tiene la encuesta, la cual consta de 12 preguntas

validadas en el estudio de Ernest Jordan, tal como se menciona en las referencias. De

dicha recolección de datos, se procede al análisis de confiabilidad, en el cual usamos el

coeficiente de fiabilidad de Alfa de Cronbach, mencionado en el marco teórico.

A continuación, se tiene dicho análisis, de los doce ítems y los doce encuestados,

siempre tomando en cuenta que la encuesta cuenta con una escala del uno al cinco para

indicar la dirección de las respuestas positiva o negativamente:

Tabla 4. Confiabilidad del instrumento encuesta

Elaboración Propia

De tal análisis, se desprende que el valor del coeficiente de Alfa de Cronbach es de 0.790,

indicando así que la escala en la que fue realizada la encuesta cuenta con una fiabilidad

del 79% aproximadamente. Según Hernández, se recomienda un valor de coeficiente

mayor a 0.70 para que se pueda considerar que el instrumento cuenta con una coherencia

interna para su escala de medición (Hernandez Sampieri, Fernandez Collado, & Baptista

Lucio, 2014).

Una vez, validada la coherencia interna del instrumento recolector de dato, se

procede con los resultados de la data obtenida.

RESULTADOS

A lo largo de la presente tesis se han repasado conceptos y puntos de vista acerca de la

relación entre la continuidad del negocio y la necesidad de un plan de contingencia para el

servicio de Mesa de Ayuda.

Cuando hay una crisis mayor, nos puede impedir el acceso a los sistemas por horas,

y la misión siempre es que el negocio salga airado de todo el desastre.

Mientras que el tiempo pasa, la tecnología y los marcos de trabajo nos han facilitado

avanzar en cuestión de contingencia y de recuperación frente a desastres. Durante mucho

tiempo se consideró a los servicios de Mesa de Ayuda como un costo o algo que brinda

algo que alguien necesite.

Entonces, es por eso, que se tienen los marcos de trabajo que dan lineamientos al

manejo de todos los aspectos referentes a un servicio. En este caso, debido a su

popularidad y su aceptación dentro de los lineamientos de la empresa, se procede a usar

el marco de trabajo ITIL con la inclusión de los lineamientos de la ISO 22301. Para tal

aspecto, se requiere entender las necesidades del negocio, así como la entrega de

requerimientos para poder alinear los servicios en base al negocio.

En el siguiente flujo, se da a mostrar las diferentes etapas necesarias para el

proceso de la continuidad:

Figura 5. Diagrama de la continuidad de negocio

Elaboración propia

En este sentido, dicho flujo será comprendido de manera que se represente como

el círculo de Dening (Planificar – Hacer – Controlar – Actuar) ya que la ISO 22301

recomienda dicho enfoque, y a su vez, es compatible con los lineamientos del marco ITIL.

Plan Diseño de servicio Se establecen las políticas, objetivos, alcances y

procedimientos importantes para mejorar el

proceso de la continuidad con el fin de tener

resultados satisfactorios.

Hacer Transición de servicio La implementación de las políticas y del trabajo

realizado en la planificación.

Controlar Operación del servicio La revisión y reportes del cumplimiento de las

políticas y objetivos. Reporte de resultados a la

gerencia para determinar y autorizar acciones de

mejora.

Actuar Mejora continua El plan de continuidad debe estar en constante

mejora, para tener mejores resultados y reajustar

lo establecido en la etapa de planificación.

Tabla 5. Etapas del plan de continuidad

Elaboración propia

Análisis de impacto

El servicio de Mesa de Ayuda, como tal, se encarga de proporcionar soporte a los sistemas

y diferentes servicios del negocio en el puerto. Es así, que dicho servicio de Mesa de Ayuda

tiene que estar establecido dentro de los parámetros convenidos con la gerencia para

mantener la continuidad de servicios, así como el óptimo desempeño para todos los

interesados, ya sean internos o externos.

El servicio se define, entonces, en base de un acuerdo entre el proveedor del

servicio y los intereses de la gerencia del puerto para mantener sus servicios de negocios

con la mayor disponibilidad y calidad de respuesta frente a incidentes ocurridos.

Por tal motivo, es que se tiene los siguientes puntos de referencia que indicarían

que el servicio no presenta dichas características y es considerado ausente u

operacionalmente caído:

Motivo de caída de Servicio Impacto Causas

Canales de comunicación inoperativos

El servicio de Mesa de Ayuda tiene los

siguientes canales de comunicación, entre

el mismo equipo y los usuarios del puerto:

- Vía correo electrónico

- Vía personal

- Vía aplicativos celular

- Vía plataforma de gestión de

incidentes y requerimientos

- Vía telefónica

En caso de no contar con algún habilitado,

se tiene el riesgo de perder el contacto con

un incidente y no ofrecer oportuna reacción

o registro del mismo.

Fallas técnicas en las infraestructuras de

comunicación.

Falta de capacitación al personal acerca

del uso de los canales de comunicación.

Falla en el suministro de energía eléctrica.

Cambio o disminución de personal sin

previa autorización

La rotación del personal afecta de manera

dramática el servicio. En el caso que no se

haya autorizado el ingreso del personal, se

procede con una falta para la organización

del puerto y para la organización del mismo

servicio de Mesa de Ayuda, ya que para

todo personal se debe evaluar su

documentación y los requerimientos

Sanción al personal por incumplimiento de

las normas legales, de seguridad, salud y

medio ambiente que rigen en el puerto.

Renuncias imprevistas.

Vencimiento de requerimientos para el

ingreso del personal al puerto.

básicos para su permanencia en el servicio

del puerto.

No tener la cantidad de personal acordada,

inhabilita que el servicio pueda cubrir todas

las áreas críticas de manera apropiada.

Mala gestión en la organización de los

turnos del personal.

Incumplimiento de la disponibilidad del

servicio establecidos

El servicio de Mesa de Ayuda debe estar

disponible las 24 horas del día todos los

días del año. No cumplir con dicho horario

establecido repercute en no gestionar

incidentes o requerimientos, generando

malestar en las áreas afectas, tanto por la

no respuesta, como en los incidentes en sí.

La falta de disponibilidad, también incluye

la falta de presentación de informes o

reportes, los cuales son de vital importancia

diaria para la mejora continua, el cual se

revisa diariamente.

Falta de supervisión del servicio y del

personal.

Inconvenientes de salud o personales que

afecten al personal.

Problemas de comunicación interna

Tabla 6. Condiciones para la caída de servicio

Elaboración propia

Como se observa el incumplimiento de lo pactado en el servicio causa un impacto

en el directo operar de los servicios del negocio del puerto y la atención de las áreas

críticas.

Servicios Críticos del Puerto del Callao

En el puerto del Callao, las operaciones se basan principalmente en la carga y descarga

de contenedores, así como de la carga general. Dichas actividades son las más críticas del

negocio. Sin embargo, la criticidad no sólo de la operación de carga y descarga, sino de

los procesos y servicios asociados que son tan importantes como la misma operación.

A continuación, se presenta la lista de servicios fundamentales y críticos para las

operaciones en el puerto del Callao.

Área de Servicios de

negocio Descripción

Activos Informáticos

gestionados por Mesa de Ayuda

Operaciones de

Contenedores

El área de servicios de

operaciones de contenedores

se encarga de gestionar las

operaciones en el patio de

contenedores, así como en

las puertas de entrada de los

camiones que llegan al puerto

para la carga y descarga de

contenedores.

El área de operaciones de

contenedores incluye las

operaciones en las puertas de

entrada y en la logística para

la ubicación de contenedores

que se realiza en el patio

Equipos informáticos de

escritorio como desktop y laptop.

Equipos de comunicación

directa como radios.

Equipos de comunicación celular

smartphone.

Software para elaboración de

reportes y documentos.

Aplicativos y software de gestión

de carga de contenedores.

Dispositivos de control de

acceso como lectores de huella

digital y barreras

automovilísticas.

Lectores ópticos de placas de

rodaje.

mediante la programación y el

uso especializado de software

de gestión.

Es un área crítica del negocio

debido a que de ésta se tiene

las operaciones núcleo del

puerto.

Cámaras de control perimetral.

Tabletas para Terminal Trucks

para la recepción de tareas en

patio.

Equipos de pesaje en las

balanzas de camiones.

Lectores de precintos de

contenedores.

Operaciones de

Carga General

Las operaciones de Carga

General incluyen a todos

aquellos movimientos de

carga que no se encuentra en

contenedores, como carga a

granel, harina, pescado,

líquidos, entre otros.

La gestión de dichos

movimientos se realiza con el

software especializado para

la medición de peso a la

entrada de cada puerta de

ingreso y a su salida.

Es un área crítica del negocio

debido a que de ésta se tiene

las operaciones núcleo del

puerto.






smartphone.



Aplicativos y software de gestión

de carga de contenedores.

Dispositivos de control de

acceso como lectores de huella

digital y barreras

automovilísticas.

Lectores ópticos de placas de

rodaje.

Equipos de pesaje en las

balanzas de camiones.


Seguridad, salud y

medio ambiente

El área que provee servicios

para el cumplimiento de las

leyes y la normativa que rige

el puerto en cuestiones de

seguridad, salud y medio

ambiente.

Es un área de servicios

críticos debido a que el






smartphone.




incumplimiento de las

funciones, puede llevar a un

problema de carácter legal, o

el riesgo de daño físico a un

activo o al personal.

Facturación y

cobranzas

Área crítica encargada de

procesar los pagos a

proveedores, cobros a las

empresas de transporte,

empresas importadoras o

exportadoras.

Es el área crítica encargada

de la gestión de los ingresos

económicos y de la manera

de cómo son procesados.




smartphone.



Aplicativos para la

intercomunicación con entidades

del Estado.

Software y aplicativos para la

facturación electrónica.

Comercial y

atención al cliente

Área crítica encargada de las

notificaciones y

comunicaciones con los

posibles prospectos de

clientes y los clientes

recurrentes.

Es crítico que, frente a todo

cambio, se mantenga la

comunicación inmediata con

los clientes del puerto para no

generar desorden y gestionar

las citas al puerto.




smartphone.



Software de gestión de clientes y

oportunidades.

Legal

El cumplimiento del marco

legal que impone el estado

peruano es de suma criticidad

para el puerto, de tal manera

que se eviten multas o




smartphone.



sanciones por parte de algún

ente regulador o sindical.

Tabla 7. Áreas críticas en el puerto

Elaboración propia

Con esta información, se tiene la siguiente distribución de requerimientos e

incidentes para dichas áreas.

Figura 6. Incidentes y requerimientos por área

Elaboración propia

Operaciones de Contenedores

24%

Operaciones de Carga General

21%

Seguridad, salud y medio ambiente

10%Facturación y

cobranzas13%

Comercial y atención al cliente

15%

Legal5%

Otros12%

Frecuencia relativa de Incidentes y Requerimientos por Área de Servicios durante el 2017

Figura 7. Frecuencia relativa de casos en el día

Elaboración propia

La información fue recabada desde agosto del 2017 hasta fines de diciembre del

mismo año. En dicha gráfica se observa que el 45% de accionar del servicio de Mesa de

Ayuda se destina al área de negocio referente a la carga y descarga de activos en el puerto.

La categoría “Otros” abarca las áreas diferentes que no son clasificadas como críticas,

tales como Control de Acceso, Recursos Humanos, Bienestar social, Compras, Marketing,

entre otras.

Así es como se tiene que las áreas críticas tienen sus servicios críticos de manera

que repercuten en la operatividad del negocio. Para poder determinar la importancia y

poder clasificar y mitigar los riesgos, se tiene la siguiente matriz de impacto y riesgo. Dichas

matrices nos dan la matriz de prioridades, dando un nuevo paradigma a las actividades de

Mesa de Ayuda con las actividades de negocio directa.

Impacto Descripción Ejemplo

1 – Empresa Cuando existe la pérdida

total en el servicio afectado.

Puede causar pérdida

significativa de ganancia,

Pérdida de la base de datos

del sistema en producción.

2%

1%

2%

1%

3%

2%

2%

5%

9%

8%

8%

7%

6%

5%

7%

6%

7%

5%

3%

2% 3%

1% 2%

3%

Frecuencia de Casos durante el día

reputación, exposición legal

o riesgo a la vida.

2 – Área/Departamento Evidente efecto en la

habilidad del área de

efectuar el negocio.

Denegación de peticiones

en el firewall o falla en los

switch.

3 – Varios usuarios Sin impacto en la habilidad

de efectuar el negocio.

Caída de un aplicativo no

crítico.

4 – Usuario Sin impacto en la habilidad

de efectuar el negocio que

sólo afecta a un usuario.

Bloqueo de la cuenta de un

usuario.

Tabla 8. Matriz de Impacto

Elaboración propia

Urgencia Descripción Ejemplo

1 – Crítico Pérdida inmediata o

vulnerabilidad sin opción

alternativa.

Pérdida de la base de datos

del sistema en producción.

2 – Alta Pérdida inminente o

vulnerabilidad, pero

atenuable con el uso de

soluciones alternativas.

Pérdida de acceso a un

servidor en producción.

3 – Media Sin pérdida. Afecta de uno a

varios usuarios, naves u

oficinas.

Pérdida de la conectividad

con el servidor de respaldo.

4 – Baja Sin pérdida, Inconvenientes

a los usuarios.

Pérdida de operatividad en

el ordenador de un usuario.

Tabla 9. Matriz de Urgencia

Elaboración propia

Dichas matrices nos dan la matriz de prioridad, la cual clasifica a los riesgos desde

prioridad critica a prioridad baja.

Matriz de Prioridad

Impacto

1 – Empresa 2 – Área 3 – Varios

usuarios 4 – Usuario

Urgencia

1 – Crítico P1 – Crítico P2 – Alta P3 – Media P3 – Media

2 – Alta P2 – Alta P2 – Alta P3 – Media P3 – Media

3 – Media P3 – Media P3 – Media P3 – Media P3 – Media

4 – Baja P4 – Baja P4 – Baja P4 – Baja P4 – Baja

Tabla 10. Matriz de Prioridades

Elaboración propia

Prioridad Descripción Contractual Definición

P1 – Crítico Incidentes con un impacto

directo en los clientes o

elementos de la operación

críticos (Contenedores o

naves).

Situaciones en donde el

soporte de los procesos

críticos no se encuentra

disponible o que la gran

mayoría de usuarios ha sido

afectada y que no haya

alguna alternativa de

solución viable.

Un incidente que causa una

completa interrupción para

la entrega de servicios, ya

sea a un cliente o a un

entorno de producción.

Los afectados se ven

imposibilitados de usar los

servicios hasta que se

restablezca el servicio. No

hay inmediata alternativa de

solución.

P2 – Alta Incidentes con un impacto

directo en el negocio.

Situaciones en donde el

soporte de los procesos

Un incidente causante de

una interrupción

significativa o degradación

del servicio.

críticos no se encuentra

disponible y afecta gran

cantidad de usuarios.

Una alternativa de solución

está disponible, pero es

restrictivo o tiene

inconvenientes.

Un plan de contingencia

podría hacer que los

afectados recuperen

funcionalidades durante el

evento.

P3 – Media Incidentes que no afectan

inmediatamente a los

procesos críticos.

El número de usuarios

impactados por el incidente

no afecta severamente al

negocio.

Un incidente causante de

que uno o más usuarios

afectados se ven

imposibilitados de usar los

servicios de la manera que

fueron diseñados.

Mientras que el impacto es

moderado, el riesgo que el

aumente el impacto existe.

P4 – Baja Llamadas o notificaciones

concernientes a la

funcionalidad, configuración

y la operación de un servicio

específico. Impacto limitado

en la productividad.

Un incidente causante de la

interrupción mínima o

degradación en los

servicios que opera un

usuario.

Tabla 11. Definición de prioridades

Elaboración propia.

Con esta clasificación de riesgos en el negocio, se tienen los principales riesgos

relacionados con las operaciones del área de la Tecnología de Información con las áreas

críticas relevantes del negocio.

Área Riesgo Estrategia de mitigación con relación con

Mesa de Ayuda Prioridad

Operaciones de

Contenedores

Falta de personal para realizar actividades. El personal de Mesa de Ayuda debe facilitar la

nueva configuración y preparación de perfil

para el personal sustituto en caso de ser

requerido.

P1 – Crítico

Incumplimiento a las políticas, normas y

procedimientos de la normativa laboral

portuaria.

- P1 – Crítico

Perdida de conectividad o falla de

comunicación en las operaciones.

El personal de Mesa de Ayuda debe identificar

la necesidad de reponer el equipo afectado, o

determinar si es que se enfrenta a un

incidente masivo.

P2 – Alta

Divulgación, pérdida o robo de información

sensible o crítica.

El personal de Mesa de Ayuda debe estar, de

manera recurrente, revisando los permisos y

accesos del personal de acuerdo a la matriz

de autorización otorgada por Gerencia.

P2 – Alta

Violación de las autorizaciones para las

modificaciones de reportes, documentos o

archivos clasificados como confidenciales.

El personal de Mesa de Ayuda debe

supervisar que los accesos otorgados no sean

violados ni alterados por otras fuentes.

P2 – Alta

Fallas de equipos necesario para el trabajo

de los operadores de la Balanza.

El personal de Mesa de Ayuda debe tener

preparados los equipos necesarios para la

P2 – Alta

sustitución inmediata dependiente de la

función requerida por el área.

Robo o pérdida de equipos. El personal de Mesa de Ayuda debe tener

identificados y revisar de manera recurrente el

inventario de activos de informática físicos

para que se encuentre en el lugar asignado.

En el caso de presentarse un inconveniente,

se debe generar el reporte adecuado al

gerente del área.

P1 – Crítico

Fallas en los aplicativos o errores de

procesamiento.

El personal de Mesa de Ayuda debe poder

identificar el error, incidente o problema

presentado para poder determinar una

alternativa de solución según su matriz de

escalamiento.

P2 – Alta

Operaciones de

Carga General

Falta de personal para realizar actividades. El personal de Mesa de Ayuda debe facilitar la

nueva configuración y preparación de perfil

para el personal sustituto en caso de ser

requerido.

P1 – Crítico



portuaria.

- P1 – Crítico






incidente masivo.

P2 – Alta







P2 – Alta







P2 – Alta


de los operadores de la Balanza.





P2 – Alta







gerente del área.

P1 – Crítico

Fallas en los aplicativos o errores de

procesamiento.

El personal de Mesa de Ayuda debe poder

identificar el error, incidente o problema

presentado para poder determinar una

alternativa de solución según su matriz de

escalamiento.

P2 – Alta

Seguridad, salud

y medio ambiente



portuaria.

- P1 – Crítico






incidente masivo.

P1 – Crítico







P1 – Crítico







P1 – Crítico


de los operadores de seguridad perimetral.



P2 – Alta









gerente del área.

P3 – Media

Facturación y

cobranzas



portuaria.

- P1 – Crítico






incidente masivo.

P3 – Media







P1 - Crítico







P1 – Crítico


de los operadores de facturación.





P2 – Alta







gerente del área.

P3 – Media

Comercial y

atención al cliente



portuaria.

- P2 – Alta






incidente masivo.

P3 – Media







P1 – Alta







P2 – Alta


de los operadores de atención al cliente.





P3 – Media







gerente del área.

P3 – Media

Legal



portuaria.

- P1 – Alta






incidente masivo.

P3 – Media







P1 – Alta







P2 – Alta







gerente del área.

P3 – Media

Tabla 12. Matriz de Riesgos

Elaboración propia

Con esta información, se procede a relacionar los indicadores de negocio

impactados por la operatividad del servicio de Mesa de Ayuda, se ven reflejados en la

matriz de riesgos. Cada riesgo tiene una actividad de un servicio crítico que es

representada en un indicador de operatividad.

Cada área define sus indicadores con el fin de llegar a metas alcanzables y mejorar

su desempeño a lo largo del tiempo. A continuación, se presenta los principales

indicadores, los cuales se extrapolaron de la tesis mencionada en los antecedentes de

Cassis (2009). Dichos indicadores son similarmente relevantes, ya que se trata de la misma

tipa de operación que tiene lineamientos globales que se ejecutan a lo largo de todos los

muelles como parte de los conceptos de calidad de operaciones internacionales.

Se presenta la tabla con los indicadores clave principales para las áreas críticas, en

donde se define cada uno y, además, se tiene el valor aceptado y el valor cuando es

afectado por una caída del servicio de Mesa de Ayuda. Dicho valor es calculado en base a

la información histórica de cuando se afectó el servicio de Mesa de Ayuda, debido a un

ataque informático de carácter malicioso y que afectó a toda la compañía en junio del 2017.

Área crítica Indicador Clave Definición Dependencia con Mesa

de Ayuda

Valor

aceptado

Valor alterado

por ausencia de

servicio de

Mesa de Ayuda

Operaciones de

Contenedores

Número de grúas

operativas en el sistema

por turno

En el puerto del Callao se

tienen diferentes grúas para

la carga y descarga de

contenedores.

Cada grúa tiene un

ordenador donde recibe

las tareas. Este equipo

puede afectarse por

fallas, demoras o falta de

operatividad del software.

Mesa de ayuda tiene que

atender dichas

incidencias de manera

inmediata para poder

atenuar el tiempo perdido

de operación de la grúa.

13 grúas

operativas

11 grúas

Número de Terminal

Trucks operativas en el

patio por turno

Los Terminal trucks se

encargan de llevar los

contenedores entre las

diferentes áreas del puerto.

Los terminal trucks son

los camiones encargados

de transportar los

contenedores por el patio

del muelle. Poseen una

tableta vehicular en la

26 Terminal

Trucks

operativos

20 Terminal

Trucks

cual reciben las tareas y

ubicaciones. Mesa de

ayuda hace

mantenimiento a las

tabletas (software y

hardware), por lo que la

disponibilidad de

camiones depende de la

operatividad de este

equipo.

Número de puertas de

ingreso operando por

turno

Las puertas de ingreso

incluyen el proceso de

identificación de camión,

carga y conducto.

Las puertas de entrada y

de salida poseen una

tranquera, un ordenador,

dispositivos de control de

acceso y cámaras de

lectura de placas. Todos

estos dispositivos están

dentro del catálogo de

servicio de Mesa de

ayuda, ya sea de manera

directa o como parte de

un escalamiento externo.

6 puertas

habilitadas

3 puertas


salida operando por turno

Las puertas de salida

abarca el proceso de

liberación de patio, próxima

cita y de pesaje de la carga

de salida.

5 puertas

habilitadas

4 puertas

Operaciones de

Carga General

Número de handheld

operativas en patio por

turno

Las tabletas son esenciales

para el control de carga e

identificación de nave,

empresa y transportista.

La lectura de datos de las

cargas es a través de un

equipo handheld, el cual

puede leer los códigos

impresos en las etiquetas.

Este dispositivo está

dentro del alcance de

soporte de Mesa de

Ayuda.

13 handheld

activas

12 handheld


ingreso operando por

turno

Las puertas de ingreso

incluyen el proceso de

identificación de camión,

carga y conducto.

Las puertas de entrada y

de salida poseen una

tranquera, un ordenador,


acceso y cámaras de

lectura de placas. Todos

estos dispositivos están

dentro del catálogo de

servicio de Mesa de

ayuda, ya sea de manera

directa o como parte de

un escalamiento externo.

4 puertas

habilitadas

2 puertas


salida operando por turno

Las puertas de salida

abarca el proceso de

liberación de patio, próxima

cita y de pesaje de la carga

de salida.

4 puertas

habilitadas

4 habilitadas

Seguridad,

Salud y Medio

ambiente

Numero de cámaras

operativas

Con el fin de mantener el

control perimetral, se tienen

los diferentes controles y

revisiones de las cámaras.

Al haber fallas de las

cámaras, el escalamiento

pasa por el equipo de

Mesa de Ayuda, así

mismo, como los

requerimientos de

mantenimiento.

255 cámaras

perimetrales

178 cámaras

operativas

Número de dispositivos

de control de acceso

operativos

La operación en el puerto es

constante y toda persona

debe ser registrada

haciendo el uso de


acceso.

Los incidentes con los

lectores de huella digital,

lectores de placa,

tranqueras vehiculares,

molinetes de personal

son parte del proceso de

escalamiento de Mesa de

ayuda.

78 dispositivos 70 dispositivos

Facturación y

cobranzas

Número de horas de

interrupción de servicio al

público por día

La atención al público se

realiza las 24 horas del día y

se debe mantener su

disponibilidad idónea.

Para la atención al

público es necesario

ordenadores, dispositivos

de comunicación y

aplicativos de software.

Dichos elementos son

parte del catálogo del

0 horas 2.5 horas de

interrupción

servicio de Mesa de

Ayuda.

Número de

interrupciones de

refrendos y de facturas

por día

La comunicación entre

sistemas internos y externos

al puerto son esenciales

para la transmisión de

pagos y autorizaciones.

El descarte de problemas

con los canales de

comunicación de

facturación lo realiza

Mesa de Ayuda.

0 23

interrupciones

Comercial y

atención al

cliente

Número de horas de

interrupción de servicio al

público por día

La comunicación directa se

debe tener siempre para

mantener la calidad del

servicio del puerto.

Los canales de

comunicación y su

operatividad son

evaluada por el equipo de

Mesa de Ayuda.

0 horas 2.2 horas

Cantidad de mensajes o

comunicados que fallaron

al enviar por día

Por problemas de

comunicación, se puede

tener escenarios donde la

comunicación formal este

interrumpida generando

atraso en la difusión de

mensajes.

0 mensajes 16 mensajes

por día

Legal

Número de puestos

operativos para el trabajo

de los agentes por turno

El trabajo de los agentes

legales es importante para

estar regulados y en línea

La operatividad de

estaciones de trabajo es

parte del catálogo de

11 puestos 9 puestos

con lo que indica el estado o

los entes reguladores.

servicio de Mesa de

Ayuda.

Tabla 13. Indicadores de negocio

Elaboración propia

Conforme a los indicadores mostrados, se tiene que la ausencia de servicio de

Mesa de Ayuda, resulta en la degradación de los indicadores de negocio más importantes

de la empresa, es decir del negocio. En este aspecto, cada uno de los indicadores puede

trasladarse a un impacto funcional, social, económico o legal. Así, cada aspecto del

impacto puede ser, al final de cuenta, asociado a un costo económico que representa una

carga por la falta de servicios del negocio. A continuación, se presenta el cuadro de costos,

de los principales ítems del negocio afectados por la caída de servicio de Mesa de Ayuda.

Área de Operaciones de Contenedores

Indicador Ítem Unidad de Medida Cálculo Fuente Interpretación

Número de grúas

operativas en el

sistema por turno

Operatividad de la

Grúa

Costo por hora en

USD

$475.54 Índice de ganancias

de utilidades por

puesto - 2017

Costo de no tener

operativa la grúa.

Operador de Grúa Costo por hora

trabajada en USD

$31.81 Reporte de

operatividad

portuaria del muelle

5 - 2017

Costo del operador de

la grúa que se

encuentra en turno.

Operador de gestión

de contenedores y

naves

Costo por hora

trabajada en USD


de utilidades por

puesto - 2017

Costo del operador

que se encarga de

registrar las tareas

para una grúa en

específico.

Número de Terminal

Trucks operativas en

el patio por turno

Operatividad de un

Terminal Truck

Costo por hora en

USD

$115.20 Reporte de

operatividad

portuaria del muelle

5 - 2017

Costo por la falta de

operatividad de un

camión Terminal

Truck.

Operador de Terminal

Truck

Costo por hora

trabajada en USD


de utilidades por

puesto - 2017

Costo por el conductor

del vehículo.

Número de puertas

de ingreso operando

por turno

Operador de puerta Costo por hora

trabajada en USD


de utilidades por

puesto - 2017

Costo por el trabajador

que se encuentra en la

puerta de ingreso.

Número de puertas

de salida operando

por turno


trabajada en USD


de utilidades por

puesto - 2017



puerta de salida.

Tabla 14. Costos en Operaciones de contenedores

Elaboración propia

Área de Operaciones de Carga General


Número de handheld

operativas en patio

por turno

Operador de patio Costo por hora en

USD


de utilidades por

puesto - 2017

Costo del trabajador

encargado del registro

de datos de la carga en

patio.

Número de puertas

de ingreso operando

por turno


trabajada en USD


de utilidades por

puesto - 2017



puerta de ingreso.

Número de puertas

de salida operando

por turno


trabajada en USD


de utilidades por

puesto - 2017



puerta de salida.

Tabla 15. Costos en operaciones de carga general

Elaboración propia

Área de Seguridad, salud y medio ambiente


Numero de cámaras

operativas

Operador de

Seguridad

Costo por hora en

USD

$10.41 Major Incident

Management Report

2017

Costo por tener que

revisar las

grabaciones del

tiempo perdido de las

cámaras, o por la

revisión en sitio del

lugar sin visión.

Número de

dispositivos de

control de acceso

operativos

Operador de

Seguridad

Costo por hora

trabajada en USD

$10.41 Major Incident

Management Report

2017

Costo por la

supervisión y

facilitación de

ingreso/salida manual

de personal.

Tabla 16. Costos en Seguridad, Salud y Medio ambiente

Elaboración propia

Área de Facturación y cobranzas


Número de horas de

interrupción de

servicio al público

por día

Operadores de

atención al público

Costo por hora en

USD

$11.20 Reporte de

operación

administrativa - 2017

Costo por personal

encargado de la

atención al público.

Número de

interrupciones de

refrendos y de

facturas por día

Operadores de

gestión de facturas y

documentos fiscales

Costo por hora

trabajada en USD

$11.20 Reporte de

operación


Costo por persona que

debe realizar el

proceso de facturación

en un horario extra.

Tabla 17. Costos en Facturación y cobranzas

Elaboración propia

Área de Comercial y atención al cliente


Número de horas de

interrupción de

servicio al público

por día

Agente comercial Costo por hora en

USD

$13.02 Reporte de

operación


Costo para retomar la

comunicación con los

clientes externos o

internos.

Cantidad de

mensajes o

comunicados que

fallaron al enviar por

día

Agente comercial Costo por hora

trabajada en USD

$13.02 Reporte de

operación


Costo por agente

comercial que tiene

que volver a realizar

las tareas de

comunicación.

Tabla 18. Costos en Comercial y atención al cliente

Elaboración propia

Área de Legal


Número de puestos

operativos para el

trabajo de los

agentes por turno

Agente Legal Costo por hora en

USD

$18.22 Reporte de

operación


Costo por falta de

trabajo de un personal

del área legal.

Tabla 19. Costos en Legal

Elaboración propia

Basados en la información de los costos asociados a la ausencia de servicio de

soporte de Mesa de ayuda, se procede a analizar en el periodo de tiempo desde julio del

2017 a fines de diciembre del 2017. En este periodo, se analiza la cantidad de horas de

servicio en donde no se prestó atención o dejó de funcionar la Mesa de ayuda, tomando

en cuenta las condiciones previamente discutidas.

Figura 8. Horas de caída de servicio por mes en el 2017

Elaboración propia

Para determinar el costo total de impacto de ausencia de servicio de Mesa de

ayuda, se tiene que en total se incurrió en un total de 21.4 horas en un plazo de 6 meses,

equivaliendo a una disponibilidad del 99.5%. Al revisar la unidad de los indicadores, se

tiene como unidad al costo por hora en dólares, por lo que el obtener la media y multiplicarlo

de manera ponderada por los valores proporcionales del mismo periodo de tiempo de la

figura 5, se tiene un valor medio ponderado del costo total de la caída de servicio de Mesa

de ayuda en el negocio de dicho periodo.

El costo medio es calculado por evento individual y con los costos por ítem afectado

en cada indicador:

Área Operaciones de Contenedores:

De acuerdo a los indicadores, se tiene una pérdida de operatividad de 2 grúas, por

lo que se calcula el costo de dos grúas, dos operadores y una persona encargada

10.4

4.6

2.7

0.50

3.2

0

2

4

6

8

10

12

Julio Agosto Setiembre Octubre Noviembre Dicembre

Horas de caida de servicio por mes en 2017

de registrar las tareas para las grúas. Además, se considera que no operan seis

puertas de ingreso/salida y seis terminal trucks.

Costo = 2*(475.54 + 31.81) + 23.34 + 6*(23.34) + 6*(115.20 + 26.40) = $2027.68

Operaciones de Carga General:

De la misma manera, el cálculo promedio para las operaciones de Carga General,

se dan cuando deja de operar una handheld. También cuando no operan dos

puertas, ya sean de ingreso o de salida.

Costo = 1*(26.10) 2*(16.77) = $59.64

Seguridad, Salud y Medio Ambiente

En el área de seguridad, el costo está dado por el personal extra que se requiere

para realizar manualmente las funciones que realizan los dispositivos perimetrales.

Se tiene, entonces, que las incidencias se darían en 77 cámaras y 8 dispositivos de

control de acceso. Para esta cantidad, el personal desplegado extra equivale a diez

personas, repartidas en las principales áreas a cubrir. Este cálculo se debe a la

cantidad de personas laborando por turno para el área de Seguridad (35) y la

proporcionalidad de dispositivos en total.

Costo = 10* (10.41) = $104.1

Facturación y cobranzas

En el área de facturación, se tiene que la falta de servicio puede llegar a ocasionar

hasta 2.5 horas en el día. Tomando en cuenta, que la oficina de factura cuenta

como 6 personas que se dedican a atender al público, se multiplican por las horas

de caída de servicio. Por el lado de los documentos de cobranza, se tiene que el

desfase de trabajo se requiere dos personas que realicen el trabajo cuando no se

tuvo las facilidades técnicas.

Costo = 6*(11.20) + 2*(11.20) = $89.60

Comercial y atención al cliente

Similar al área de facturación, cuando se tiene el trabajo extra por falta de servicios

de soporte, se tiene que, para la respuesta de mensajes, se requeriría 1 persona y

para la atención de clientes, a dos teleoperadores.

Costo = 1*(13.02) + 2*(13.02) = $39.06

Legal

Los agentes de la parte legal, se ven afectados reduciendo dos posiciones de

trabajo que son esencial para el trabajo diario.

Costo = 2* (18.22) = $36.44

Área Costo Medio Proporción* Cálculo

Operaciones de

Contenedores $2027.68 0.27 $547.47

Operaciones de

Carga General $59.64 0.24 $14.31

Seguridad, Salud y

Medio Ambiente $104.10 0.11 $11.45

Facturación y

cobranzas $89.60 0.15 $0.00

Comercial y

atención al cliente $39.06 0.17 $13.44

Legal $36.44 0.06 $6.64

Subtotal por hora $595.50

Total en 21.4 horas $12,743.80

Tabla 20. Costos promedio

Elaboración propia

*Para el conteo de proporción, no se tomó en cuenta la sección de otras áreas, tomándose

para la ponderación sólo las cinco áreas críticas.

De acuerdo a la información, por la falta de servicio Mesa de ayuda se tiene una

pérdida económica de $12,743.80 dólares. Lo que equivale a la cantidad de 21.4 horas de

caída en un plazo de seis meses.

Planificación

Para empezar la planificación, se deben tomar en cuenta diferentes aspectos del servicio

y del objetivo.

Las funciones del servicio de Mesa de ayuda están detalladas en el Anexo 3. En

donde se tiene las diferentes funciones técnicas de las que se hace cargo el equipo de

Mesa de ayuda. Este servicio está contratado por el terminal portuario, del cual recibe un

pago mensual por concepto de servicios. Dicho servicio tiene que mantener los acuerdos

pactados para no caer en penalizaciones económicas que afectan la percepción del dinero

mensual.

Como producto del planeamiento, se tienen los siguientes entregables que son la

guía para el proceso de continuidad.

Documento Referencia Descripción

Funciones del servicio de Mesa

de Ayuda

Anexo 3 Características principales del servicio de

Mesa de ayuda, en donde se detallan las

funciones y la envergadura de su

accionar en el puerto.

Política de continuidad de

servicio

Anexo 4 Se define el proceder y los objetivos a

tratar en el proceso de la gestión de la

continuidad.

Plan de la continuidad del


Anexo 5 Se detallan los posibles riesgos, activos,

planes y estrategias para hacer efectivo

la planteado en la política.

Plan de recuperación de

servicios

Anexo 6 Se detalla el procedimiento para

recuperar servicios, respetando el flujo de

autoridades y de funciones respectivas.

Procedimiento de contingencia

para aplicaciones

Anexo 7 Se detalla el procedimiento técnico para

la recurso de software informático del

área de operaciones de contenedores en

caso de disrupción de servicio.

Tabla 21. Documentación del proceso de continuidad

Elaboración propia

Así como se tiene la documentación clave para el proceso de la continuidad de

servicio, es necesaria y vital que se tenga un plan para las capacitaciones necesarias para

el equipo. Estas capacitaciones son parte crítica del proceso de la continuidad ya que su

implementación depende de las capacidades del personal ejecutor. En el Anexo 10 – Plan

de capacitaciones, se tiene la propuesta del plan y los elementos claves para su realización.

Implementación y operación

En el desarrollo de la implementación de un servicio, es común encontrar quejas de un

servicio mal enfocado, hasta que, a través de la mejora continua, llegue a ser una

verdadera mesa de ayuda eficiente.

Es muy común encontrar que la división de seguridad informática, sea reactiva a la

problemática y riesgos que tiene la empresa o las tecnologías usadas en la misma, y

muchas veces, las políticas de seguridad van en contra de la eficiencia o facilidad de uso

de las tecnologías.

Es así, que dese un principio se tiene que tener una cultura de cambio para poder

instigar a estar alineados al negocio como proveedores de servicios de informática, ya que

los activos y la reputación de la empresa están en juego.

Tratar la seguridad informática como un servicio es vital para avanzar con los

objetivos de continuidad de negocio, sin importar el servicio que sea. Por eso es importante,

que la seguridad y la continuidad del negocio sean parte del ciclo de vida del servicio.

Como se ha mencionado, buscar la relación y el impacto del Servicio de mesa de

ayuda y su continuidad en la continuidad del negocio es la misión de esta tesis.

Como se ha mencionado en esta tesis, el motivo de la investigación nace de un

evento que altera tanto el negocio como al servicio de mesa de ayuda. Dicho evento,

brecha de seguridad e infección masiva de ordenadores y servidores, logró causar una

interrupción de servicios del negocio como la inhabilitación del servicio de Mesa de Ayuda

que es el objeto de estudio.

De acuerdo a lo mencionado, la organización sufrió un ataque el mes de junio del

año 2017, inhabilitando sistemas de registro de Servicio hasta mediados del mes de

agosto. Desde el mes de Setiembre hasta el mes de diciembre del año 2017, se le llamará

la primera etapa de la revisión. Esta primera etapa está caracterizada por tener un alto

grado de conflictos debido al evento del ataque. Además, se tuvo diferentes

reorganizaciones en el tema de la continuidad.

La segunda etapa de análisis, se refiere a los meses desde febrero hasta mayo.

Durante esta etapa, ya se realizaba la investigación y la implementación de los planes de

contingencia. En este punto es donde se realiza la obtención de datos para la encuesta. El

segundo reporte se realiza al final de la segunda etapa, finalizando mayo.

Ambas etapas cuentan con cuatro meses calendario, espacio de tiempo

homogéneo para comparar la efectividad de los planes y su implementación. Los

resultados se obtendrán en base a los reportes de quejas o de cumplimiento que impacten

directamente con la continuidad del negocio. A continuación, se presenta la línea de tiempo

de la recolección de datos e implementación.

Figura 9. Línea de tiempo de recolección de datos

Elaboración propia

Revisión y concientización

Se procedió como parte de la investigación establecer el plan de continuidad de Servicios

para el servicio de Mesa de Ayuda, observado en el Anexo 5. Esto con el fin de poder

establecer de manera objetiva y clara su impacto en la continuidad del negocio. Pasado el

evento, se procedió con mucho a énfasis a implementar y capacitar al personal de Mesa

de ayuda en cuestión de la Continuidad del Negocio y la continuidad del servicio, por tal

motivo, al inicio de esta investigación, se procedió con la encuesta mencionada en los

instrumentos y que se encuentra en el Anexo 1.

De las doce preguntas, se puede observar la interacción y percepción del personal,

previamente entrenado en el tema. Los resultados muestran diferentes interacciones, así

como el sentido de capacitación y compromiso con el servicio. Estos factores se han de

encontrar en cualquier ámbito laboral, ya que son comunes de cualquier equipo de trabajo.

Así, se procederá a desglosar los resultados de la mencionada encuesta, la cual está

dividida en los aspectos fundamentales de la administración de servicios. Los enfoques de

la encuesta que fueron planteados por Jordan, son los siguientes:

- Situación del Planeamiento

- Administración

- Experiencia

- Riesgos

- Acciones futuras

De las doce encuestas tomadas, se contestaron las 12, sin eventos que alteren el orden

o la confianza de los datos en cuestión.

a. Planeamiento

En la primera sección se analiza la frecuencia con que la organización cuenta con

planes, ya sean del negocio o del área de TI. Tal como muestran los resultados, el

entendimiento de la tenencia de planes de contingencia indica que aún se

encuentra en desarrollo la conciencia acerca de la importancia de los planes de

continuidad.

Figura 10. Estadística Pregunta 1

Elaboración propia

En la primera pregunta, se consulta que si es la que organización tiene

planes para la continuidad de negocio y para la contingencia. Se tiene un resultado

de que 42% de los encuestados respondieron positivamente a que se tiene plan de

continuidad para toda la operación portuaria.


Elaboración propia

25%

33%

42%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Ni para TI, ni el negocio Solamente para TI. Para toda la operación,incluyendo TI.

En relación con el planeamiento de la contingencia de TI, ¿la empresa tiene planes

comprensivos?

8%

25%

42%

25%

0%0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

No hay plan Plan endesarrollo

Menos de 1 año 1 a 2 años Más de 5 años

¿Desde hace cuánto se tiene el plan de contingencia del negocio?

De la misma manera, en la sección de planeamiento, se preguntó cuál es la

antigüedad del plan de continuidad de negocio, en donde mayoritariamente se tiene

la percepción que el plan es reciente, menor a un año.


Elaboración propia

Así mismo, se realizó la misma pregunta, pero enfocada en la contingencia

del área de TI que abarca la continuidad de servicio de Mesa de Ayuda. Es así que

se tiene que la mayoría responde que el plan está dentro del rango de recién a dos

años de antigüedad. Esto indica que, para el personal, se tiene una percepción que

la estrategia del manejo de crisis y de contingencia es más cercana al área de TI

que al negocio como un todo.

b. Administración

Las actividades del día a día están ejercidas por el concepto de quién es el

encargado y responsable de llevarlas o verificar que se lleven a cabo. En tal sentido,

es importante tener una jerarquía de control para poder estar organizados en caso

de desastre o de interrupción de servicios, no sólo del área sino del negocio.

8%

25%

33% 33%

0%0%

5%

10%

15%

20%

25%

30%

35%

No hay plan Plan endesarrollo

Menos de 1 año 1 a 2 años Más de 5 años

¿Desde hace cuánto se tiene el plan de contingencia para TI?


Elaboración propia

En la pregunta, se hace hincapié a indicar de quién es la responsabilidad de

llevar a cabo las acciones para los planes de contingencia y de continuidad. Para

el personal, tienen la noción que debe ser el Gerente del área de Tecnologías de

Información. Para otro grupo, la responsabilidad recae sobre todos de manera

positiva, ya que las acciones diarias con respecto al servicio son, de hecho,

responsabilidad de todos.


8%

42%

17%

33%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

No hay plan Gerente de TI Supervisor del área Todo el personal

¿Quién es el responsable de las acciones del día a día con respecto al plan?

8%

33%

25%

33%

0%0%

5%

10%

15%

20%

25%

30%

35%

El CEO La junta directiva Gerente de TI Supervisor Todo el personal

¿Quién es el responsable de asegurar la implementación de los planes en una

emergencia?

Elaboración propia

Con respecto a los planes de emergencia, la tendencia es que el personal

delega la función a su supervisor o a un ente de mayor jerarquía que es sería la

junta directiva.

c. Experiencia

Varias de las preguntas en el cuestionario, tienen como misión resaltar la

contingencia como una forma de prueba de los planes de continuidad de negocio.

Para lograr esto es necesario saber que cada vez que se incumple con brindar un

servicio, existe una necesidad sin cumplir por lo que se detiene una parte del

negocio brindado.


Elaboración propia

En la pregunta, se toma en cuenta la convicción de que si los planes de

continuidad y de contingencia sean efectivos a la hora de presentarse un problema.

De manera positiva, la mayoría de los encuestados indicaron que si es favorable la

presencia de planes para mitigar algún evento desastroso.

0%

50%

25% 25%

0%

10%

20%

30%

40%

50%

60%

No Hay ciertaprobabilidad que si

Si, creo que seránefectivos

Si, muy seguro

¿Está Ud. seguro que los planes de contingencia asegurarán la supervivencia del negocio?

d. Riesgos

Para muchas organizaciones, el área de TI no es un área crítica sino un área de

soporte a las diferentes actividades más cercanas a la interacción del negocio. En

tal sentido, es necesario reconocer los riesgos que implican las caídas de servicio

del área de mesa de ayuda en el negocio.


Elaboración propia


Elaboración propia

0%

33%

25%

42%

0%0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

1 2 a 3 4 a 6 7 a 9 10 o más

¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de menos de 1 hora

han sucedido?

33%

42%

17%

8%

0%0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

1 2 a 3 4 a 6 7 a 9 10 o más

¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de más de 1 hora han

sucedido?

En ambas preguntas, se evalúa cuantas caídas de servicio hayan

presenciado durante su estancia en el trabajo. Para esto las opiniones se basan en

la experiencia personal, y en la determinación de reconocer que hubo caídas de

servicios que pudieron haber impactado en el negocio.

e. Acciones futuras

Como sondeo de la estrategia a seguir y de escuchar las opiniones de las personas

que se encuentran dentro de la organización, es necesario establecer acciones a

futuro para mejorar la implantación de la continuidad de negocio.


Elaboración propia

8% 8%

33%

0%

50%

0%

10%

20%

30%

40%

50%

60%

No se sabe Consideradonecesario, pero

de baja prioridad

Falta de recursos Está siendodesarrollado,

pero aún no estálisto

Si se tiene unplan

Según su consideración, ¿Cuál es la principal razón por no tener un plan de contingencia?


Elaboración propia

En las preguntas anteriores, se aclara la razón de la falta de un plan de

continuidad, ya sea de negocio o del área de TI. Mayoritariamente, se reconoció

que, si se cuenta con el plan, pero, además, se tiene que la falta de recursos o la

baja prioridad impiden su crecimiento a totalidad.


Elaboración propia

8%

25%

8% 8%

50%

0%

10%

20%

30%

40%

50%

60%

No se sabe Consideradonecesario, pero

de baja prioridad

Falta de recursos Está siendodesarrollado,

pero aún no estálisto

Si se tiene unplan

Según su consideración, ¿Cuál es la principal razón por no tener un plan de continuidad de

negocio?

8% 8%

17% 17%

50%

0%

10%

20%

30%

40%

50%

60%

No se tiene enconsideración

En el próximoaño

Dentro de 1 a 2años

El plan existe,pero no está

documentado

Si se tiene el plan

Según Ud. ¿Cuándo se planea producir el plan de continuidad del negocio?


Elaboración propia

Así como se tiene las razones para poder desplazar en prioridad a un plan

implementado de la continuidad de negocio, se indica que con esta prioridad es que los

planes podrían verse concretados en el futuro cercado (uno a dos años).

Después de analizar e interpretar la encuesta, se tiene que contrarrestar con la

información de los sistemas de gestión de Requerimientos e Incidentes. Para tal fin, se

obtuvieron los reportes del sistema, llamado Aranda Software, en dos puntos en particular.

En la primera etapa se registraron 1512 casos, requerimientos o incidentes, de los

cuales se observa en la tabla adjunta:

1ra Etapa

Fecha de Inicio: 01/09/2017

Fecha de Fin: 28/09/2017

Casos totales: 1512

Requerimientos: 681

Incidentes: 831

0%

25%

0%

25%

50%

0%

10%

20%

30%

40%

50%

60%

No se tiene enconsideración

En el próximoaño

Dentro de 1 a 2años

El plan existe,pero no está

documentado

Si se tiene el plan

Según Ud. ¿Cuándo se planea producir el plan de contingencia de TI?

Requerimientos incumplimiento de SLA:

72

Incidentes incumplimiento de SLA: 65

Tabla 22. Datos Etapa 1

Elaboración personal

Figura 22. Distribución de Casos 1ra Etapa

Elaboración propia

De la misma se tiene que el 47% son Incidentes y el 53% son Requerimientos, y

que la taza de incumplimiento de SLAs (Service level agreements) bordea los 10%

aproximadamente.

2da Etapa

Fecha de Inicio: 05/02/2018

Fecha de Fin: 30/05/2018

Casos totales: 1347

Requerimientos53%

Incidentes47%

Distribución de Casos 1ra Etapa

Requerimientos Incidentes

Requerimientos: 562

Incidentes: 785

Requerimientos incumplimiento de SLA:

65

Incidentes incumplimiento de SLA: 62

Tabla 23. Datos Etapa 2

Elaboración propia

Figura 23. Distribución de Casos 2da Etapa

Elaboración propia

En la segunda etapa, se pueden observar valores porcentuales semejantes con los

de la primera, infiriendo que, a pesar de la diferente etapa del año, estadísticamente ambas

etapas son homogéneas.

Además de saber la cantidad y proporciones de los casos en ambas etapas, se

revisó la información de las áreas afectadas, así como las principales categorías para que

no se puedan concretar respetando los SLAs (Service Level Agreements) establecidos por

el cliente (organización).

Requerimientos51%

Incidentes49%

Distribución de Casos 2da Etapa

Requerimientos Incidentes

Para la primera etapa se tiene los siguientes datos:

Razones para incumplimiento

Fallas externas de Equipamientos 37.5%

Falta de Recursos 25.8%

Errores humanos 14.1%

Error de captura del requerimiento 12.4%

Falta de Capacitación 6.6%

Otros 3.6%

Tabla 24. Razones de incumplimiento 1ra Etapa

Elaboración propia

Figura 24. Razones de Incumplimiento 1ra Etapa

Elaboración propia

Las razones mencionadas del incumplimiento, son inherentes al servicio que la

Mesa de Ayuda brinda, en donde se denota que la principal causa para el incumplimiento

de los acuerdos de niveles de servicio fue la falla externa de equipamientos. Al fallar los

equipos (desde ordenadores hasta dispositivos de comunicación especializados) se

produce una falla en los servicios que brinda el negocio, por lo que se empieza a hablar de

una falta a la continuidad del negocio. Esta información es corroborada por el sistema de

registro de incidencias y requerimientos, ya que el incumplimiento del nivel de servicio

queda registrada automáticamente al momento que se logra terminar con lo solicitado o

requerido. Sin embargo, durante el tiempo que se falló en brindar oportuna solución, ocurrió

una brecha en la continuidad, afectando directamente al negocio. La medida de afectación

37.5%

25.8%

14.1%12.4%

6.6%3.6%

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

35.0%

40.0%

Fallas externasde

Equipamientos

Falta de Recursos Errores humanos Error de capturadel

requerimiento

Falta deCapacitación

Otros

Razones de Incumplimiento de SLAs - 1ra Etapa

es directamente proporcional con el tiempo de la demora y con el tiempo en que cada área

dispone a usar su plan de contingencia para sobrepasar temporalmente el problema.

Así como se tienen las razones, se tiene las principales unidades de negocio

afectadas por los mencionados incidentes:

Área Afectada

Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Contenedores

23.1%

Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Carga General

11.3%

Área de Finanzas y Cobranzas 19.5%

Área de Grúas y Terminal Trucks 10.4%

Área de Comunicaciones 12.2%

Área de Seguridad Perimetral y CCTV 13.5%

Área de Monitoreo y Pesaje de Carga 5.6%

Área de Control de Accesos 4.4%

Tabla 25. 1ra Etapa - Áreas afectadas

Elaboración propia

Como se observa, la principal área afectada es el área de operaciones, la cual se

encarga de las operaciones en las puertas de entrada y salida para los camiones que llevan

la carga o realizan la descarga. Estas áreas son las más propensas a fallar, y las que mayor

impacto generan en el negocio. Cabe resaltar que cada área cumple una misión crítica

para alguno de los interesados en el negocio, ya siendo usuarios, empresas o hasta

entidades de regulación del Gobierno.

En la segunda etapa, se contrapone el mismo análisis, con la diferencia que el

personal de Mesa de Ayuda recibió una mejor capacitación con respecto a la continuidad

de negocio y planes de contingencia del servicio.

Razones para incumplimiento

Falta de Recursos 38.4%

Fallas externas de Equipamientos 36.3%

Error de captura del requerimiento 12.6%

Errores humanos 6.1%

Falta de Capacitación 4.3%

Otros 2.3%

Tabla 26. Razones de incumplimiento 2da Etapa

Elaboración propia

Figura 25. Razones de Incumplimiento de SLAs -2da Etapa

Elaboración propia

Al igual que en la primera etapa, se observa que la falta de recursos y la falla de

equipos son las principales causas para incumplir y detener el servicio ofrecido por la

organización. Sin embargo, es muy importante denotar que para la segunda etapa los

errores humanos y los errores causados por la falta de capacitación han disminuido

notoriamente. De 14.1% a 6.1% para errores humanos, y de 6.6% a 4.3% para errores por

falta de capacitación se ven disminuidos. Dentro de los factores para este cambio, se tiene

la mayor capacitación brindada para el tema de continuidad de negocio y contingencia en

el trabajo.

Un servicio concreto que tiene un plan de contingencia, puede solucionar problemas

de manera más guiada y estructurada, con el fin de reducir tiempos de respuesta, y

concluyentemente mejorar la continuidad de las unidades de negocio.

38.4%36.3%

12.6%

6.1% 4.3%2.3%

0.0%

5.0%

10.0%

15.0%

20.0%

25.0%

30.0%

35.0%

40.0%

45.0%

Falta de Recursos Fallas externasde

Equipamientos

Error de capturadel

requerimiento

Errores humanos Falta deCapacitación

Otros

Razones de Incumplimiento de SLAs - 2da Etapa

Área Afectada

Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Contenedores

18.6%

Área de Operaciones de Puertas de Ingreso para Carga y Descarga de Carga General

12.4%

Área de Finanzas y Cobranzas 21.3%

Área de Grúas y Terminal Trucks 12.8%

Área de Comunicaciones 14.6%

Área de Seguridad Perimetral y CCTV 13.3%

Área de Monitoreo y Pesaje de Carga 5.6%

Área de Control de Accesos 1.4%

Tabla 27. Áreas afectadas - 2da Etapa

Elaboración propia

Mantenimiento y mejora

Tomando en cuenta que las razones principales de interrupción de servicios son las

mismas, se tiene que las áreas afectadas del negocio no varían, sino que se mantienen

proporcionales a lo largo del tiempo, así como su problemática.

De acuerdo al plan, en el segundo periodo, se tiene el proceso implementado y en

transición de lo que debería contemplar un proceso completo de la continuidad de negocio.

A continuación, el diagrama TO-BE para el proceso de continuidad:

Figura 26. Diagrama To-Be segundo periodo

Elaboración propia

Es así, como el proceso del modelo de la gestión de la continuidad mejora en cada

iteración y cada acción del plan, especialmente los simulacros, capacitaciones, eventos de

concientización, los cuales deben ser programados según la frecuencia esperada del plan,

para posteriormente ser analizadas, y entre todo el equipo realizar las mejoras al proceso.

CONCLUSIONES

A lo largo de esta tesis, se han revisado diferentes aspectos de la gestión de servicios y de

la continuidad de negocio, así como, los marcos de trabajo que nos dan los lineamientos

para mejorar el servicio o hacerlo más resiliente. A la pregunta inicial, de indicar cuál es el

impacto de la que el servicio de Mesa de Ayuda influye en el negocio, se pudo observar

que, mediante la recolección de datos en momentos distintos, que cada área crítica ve

afectada sus operaciones e indicadores cuando el servicio de Mesa de Ayuda no se

encuentra activo. En dicho caso, los indicadores parten de los riesgos clasificados como

Altos, lo cual significa que la prioridad la da el mismo negocio. En los indicadores

mostrados, se tiene que la ausencia de servicio de Mesa de Ayuda, conlleva a una

degradación de los servicios principales. Toda caída de servicio de Mesa de Ayuda, puede

ser trasladada a un costo asociado para el negocio, ya que de manera directa existen

indicadores de negocio en las áreas críticas que dependen del soporte de las tecnologías

de información para poder ser eficaces en sus funciones. El costo depende del tiempo en

que sus operaciones se quedan detenidas y del área afectada por la falta de servicio,

siendo el principal costo, la operación con contenedores y carga general, ya que estas

áreas son las más sensibles a la falta de operatividad, generando así una mayor pérdida

económica.

Los riesgos de cada área crítica del negocio tienen como plan de mitigación, el uso

del área de soporte de Mesa de Ayuda, para que pueda brindar las facilidades tecnológicas

que se requieran para poder seguir operando y que los indicadores de negocio no se vean

degradados. Sin embargo, a pesar de tener identificados los riesgos y los planes de

mitigaciones, no es el ámbito de esta tesis, identificar los problemas de fondo que inician

dichas degradaciones. La visión de problemática incluye los problemas comunes que se

puedan dar en cada área ajena al servicio de Mesa de Ayuda, como falta de capacitación

de personal, índice de averías de equipos, destrucción accidental de equipos, mal uso de

las tecnologías de información, entre otras.

Cuando se tuvo un incidente mayor que afectó a todo el puerto, detuvo de manera

temporal inhabilitado el servicio de Mesa de Ayuda. La recolección de datos es limitada, ya

que el mismo concepto de registro de incidencias o requerimientos se da dentro del servicio

de Mesa de Ayuda, es decir, que, al no haber servicio de Mesa de Ayuda, la magnitud de

los indicadores de operatividad puede diferir de la realidad, siendo realmente mayor de lo

identificado inicialmente. Sin embargo, de los datos recabados se tiene que el principal

riesgo e impacto lo sufre el área de Operaciones con contenedores, concluyendo que

debido a la pérdida económica se debe dar foco a las interacciones entre el servicio de

Mesa de ayuda y el área de operaciones, para mejorar en ambos casos la continuidad de

servicios y mitigar el impacto de falta de soporte.

La implementación de un plan de contingencia hace que los trabajadores ejecutores

del servicio sean más conscientes con respecto a la seguridad y su propio accionar. Los

datos reflejan que se puede disminuir los errores humanos, mediante la capacitación y la

concientización, ya que sólo tener el plan escrito no es signo de un buen plan de

continuidad. Tal como lo indica las percepciones de los trabajadores, si es que la

información no es difundida correctamente no llegará a ser válida ni utilizada. Los aspectos

que el servicio de Mesa de Ayuda impacta en el negocio, son visibles cuando no se llega

a cumplir lo pactado en los niveles de servicio, siendo finalmente afectados, las áreas que

interactúan con el usuario, por lo que por cada falta del servicio de Mesa de Ayuda se tiene

un impacto directo en la operación portuaria, y por ende en las actividades del negocio. La

percepción de los trabajadores del servicio, indica su conocimiento acerca de los planes

de continuidad y de contingencia. A pesar de que los planes fueron creados e instaurados

en el ámbito del equipo de trabajo, no todos los trabajadores comparten la misma opinión

de los mismos. Para poder definir qué servicios de Mesa de Ayuda cuentan con un plan de

contingencia, no sólo es necesario tener el plan, sino capacitar al personal y realizar

ejercicios de práctica para que se llegue a implantar en la memoria colectiva del equipo.

Esto quiere decir que no sólo basta con crear el plan, sino que para afirmar que se

encuentra implementado, se tiene que medir con la capacidad de aprendizaje de los

trabajos, quienes, al final al cabo, son los que deben realizar las acciones de día a día para

estar al tanto de los planes. Los conocimientos implementados en los planes, ya sean de

contingencia o de continuidad de negocio, deben ser transmitidos a los trabajadores. El

cálculo de la capacidad de retención de los conocimientos tiene muchos factores que

pudieran alterar el resultado, es decir que dependerá de cada individuo y su entorno para

que sea efectivo y válido. En ese sentido, mediante el primer instrumento se puede concluir

que al menos el 41% de los encuestados muestran signos positivos de retención y

conciencia con respecto a los planes trabajados. Así mismo, grupalmente, el instrumento

de observación indica una mejora en los aspectos directamente relacionados con la

Continuidad, una mejora del 45.8%. Este valor se calcula de la diferencia en los factores

humanos observados en ambas etapas de la recolección de datos.

Finalmente, de la observación de los datos recolectados en ambos procesos, se

concluye que las razones de las fallas de equipos o falta de recursos se mantienen

proporcionales a lo largo del tiempo. Esto quiere decir que hay factores que resultan en

que no se pueda evitar esa tendencia, tales como el tiempo de vida media de los artefactos

electrónicos. Los datos recabados muestran una mejora en la disminución de errores

humanos y por falta de capacitación, ya sea aplicando una mejor consciencia de trabajo

ordenado y una mejor evaluación de incidentes y problemas antes de tratarlos para no

empeorarlos.

RECOMENDACIONES

A lo largo de la tesis, se tomó el aspecto de los eventos pasados que atravesó la empresa

para poder determinar los impactos y la evaluación de etapas, divididas por un espacio de

entrenamiento y capacitación. Sin embargo, dicho proceso no debería ser una división, ya

que el mismo, debe ser de manera continua y progresiva. Como parte de la mejora continua

de todo servicio, es necesario que dicho aspecto de capacitación se realice con constancia

y con la evaluación necesaria. Para el caso de crisis, emergencias y denegación total de

servicios, éstos deben ser practicados de manera regular en escenarios que sean lo más

cercano a la realidad para poder medir la efectividad de dichos planes. En tal sentido, se

recomienda seguir con la investigación, pero enfocada a la práctica recursiva de los

aspectos principales de los planes de continuidad.

Así también, se recomienda la práctica de las políticas, lineamientos y planes, es

necesario estar conscientes que el aprendizaje de dichas buenas prácticas depende de

dos aspectos. El primero, la información en sí y la capacitación, y el segundo, del individuo

que se espera pueda reaccionar y hacer uso de dichas prácticas. Es por eso, que así

mismo, se debe entender e investigar la gestión del conocimiento para tales casos, en

donde se dependa de las facultadas y resistencias de cada individuo a entrenar.

Se debe tener como prioridades, aquellas áreas donde la pérdida económica es

mayor, pero, tomando en cuenta que toda área es importante y que a largo plazo se debe

considerar como pérdida, también, a la baja percepción de los clientes acerca de los

servicios del puerto.

SUGERENCIAS

Al finalizar esta tesis, se sugiere que dicho concepto de continuidad de negocio se

extrapole para grupos mayores de trabajo, con el fin de poder tener mayor confiabilidad en

la obtención de datos, evitar la manipulación y contaminación de los mismos. Es necesario

variedad de opiniones y de habilidades para establecer que el plan, por sí solo, es efectivo

en un entorno cambiante.

También, se sugiere que lo aplicado en esta tesis (la relación entre la continuidad

del servicio de Mesa de ayuda y el impacto en el negocio) sea analizado similarmente frente

a otros servicios brindados por TI, que a su vez impacten en la operatividad del negocio.

REFERENCIAS

AXELOS. (2011). ITIL Glossary.

Cassis Zambrano, M. d. (2009). Diseño, análisis e interpretación de indicadores de gestión

para Autoridad Portuaria de Manta. Loja: Universidad Técnica Particular de Loja.

Obtenido de http://dspace.utpl.edu.ec/handle/123456789/1222

Egúsquiza Cáceres, H., & Kong Ramos, C. (2017). Implementación del modelo de gestión

de continuidad de servicios TI basado en ITIL v3. Lima: Universidad Ciencias

Aplicadas. Obtenido de

http://repositorioacademico.upc.edu.pe/upc/handle/10757/622506

Ghannam, M. Z. (2017). Challenges and Opportunities of Having an IT Disaster Recovery

Plan. Umeå: Umeå University. Obtenido de http://www.diva-

portal.org/smash/record.jsf?pid=diva2%3A1117263&dswid=6256

Gneist, P. K. (2009). The need for a developed Business Continuity Plan. Suecia:

Universidad Internacional de Negocios de Jönköping. Obtenido de

https://slidex.tips/download/the-need-for-a-developed-business-continuity-

plan#modals.

Govindarajan, A. V. (2011). Business Continuity Planning in the IT Age - A railway sector

case study. Suecia: Universidad de Linköping. Obtenido de http://liu.diva-

portal.org/smash/get/diva2:483470/FULLTEXT02.pdf

Hearsum, P. (2017). RESILIA from an ITIL veteran’s perspective. AXELOS. Obtenido de

https://www.axelos.com/news/blogs/july-2016/resilia-from-an-itil-veterans-

perspective

Hernandez Sampieri, R., Fernandez Collado, C., & Baptista Lucio, M. (2014). Metodología

de la Investigación. Mexico D.F.: McGraw Hill.

ISO. (2012). International Standard ISO 22301. Geneva.

ITIL Foundation. (s.f.). What is ITIL? Recuperado el 21 de Abril de 2018, de

https://www.greycampus.com/opencampus/itil-foundation/

ITIL v3. (2018). La función de Centro de Servicio (Service Desk). Recuperado el 21 de Abril

de 2018, de https://www.servicetonic.es/itil/itil-v3-la-funcion-de-centro-de-servicio-

service-desk/

Jordan, E. (2000). IT contingency planning: management roles. Sydney: MCB UP Ltd.

Obtenido de

http://130.18.86.27/faculty/warkentin/SecurityPapers/Robert/Others/Jordan1999_I

MCS7_5_ITContingencyPlanning.pdf

Jordan, E. (2005). An assessment of IT governance procedures. Macquarie University.

Sidney: Brussels, Belgium: EIASM. Obtenido de

https://www.researchonline.mq.edu.au/vital/access/manager/Repository/mq:63999

Kaspersky Lab. (16 de Mayo de 2017). WannaCry: Are you safe? Obtenido de

https://www.kaspersky.com/blog/wannacry-ransomware/16518/

Kontos, G. (2014). Design and development of a service management framework for

business continuity. Grecia: Universidad del Egeo. Obtenido de

https://oatd.org/oatd/record?record=handle:10442/hedi/35315&q=service

continuity management

Mathenge, M. W. (2011). Disaster recovery and business continuity plans in Class-A

Parastatals in Kenya. Kenia: Universidad del Nairobi. Obtenido de

https://oatd.org/oatd/record?record=oai:localhost:11295/10931&q=service%20cont

inuity%20management.

Moran, L. (2009). ISO/IEC 20000. Guía completa de aplicación para la gestión de los

servicios de tecnologías de la información. Madrid: AENOR.

Rance, S. (2017). Resilia, Cyber resilience best practices. British Computer Society.

Obtenido de https://www.bcs.org/upload/pdf/resilia-srance-090915.pdf

Sambo, M. F. (2014). An investigation into business continuity plan (BCP) failure during a

disaster event. Zambia: University of the Western Cape. Obtenido de

http://hdl.handle.net/11394/4241

Simonsson, M. (2008). Predicting IT Governance Performance A Method for Model-Based

Decision Making. Suecia: Real Instituto de Tecnología. Obtenido de

http://swepub.kb.se/bib/swepub:oai:DiVA.org:kth-9129?tab2=abs&language=en

The Register. (25 de Enero de 2018). IT 'heroes' saved Maersk from NotPetya with ten-day

reinstallation bliz. Obtenido de

http://www.theregister.co.uk/2018/01/25/after_notpetya_maersk_replaced_everythi

ng/

ANEXOS

Anexo 1. Formato de la encuesta

Continuidad del Negocio

A continuación, se le presenta preguntas con relación a la continuidad de negocio y el

servicio de Mesa de Ayuda del área de TI prestado en la institución. Favor de encerrar la

alternativa que, según su entendimiento y capacitación, considere representa con

objetividad la realidad.

1. En relación con el planeamiento de la contingencia de TI, ¿la empresa tiene planes

comprensivos?

a. Ni para TI, ni el negocio

b. Solamente para TI.

c. Para toda la operación, incluyendo TI.

2. ¿Desde hace cuánto se tiene el plan de contingencia del negocio?

a. No hay plan

b. Plan en desarrollo

c. Menos de 1 año

d. 1 a 2 años

e. Más de 5 años

3. ¿Desde hace cuánto se tiene el plan de contingencia para TI?

a. No hay plan

b. Plan en desarrollo

c. Menos de 1 año

d. 1 a 2 años

e. Más de 5 años

4. ¿Quién es el responsable de las acciones del día a día con respecto al plan?

a. No hay plan

b. Gerente de TI

c. Supervisor del área

d. Todo el personal

5. ¿Quién es el responsable de asegurar la implementación de los planes en una

emergencia?

a. El CEO

b. La junta directiva

c. Gerente de TI

d. Supervisor

e. Todo el personal

6. ¿Está Ud. seguro que los planes de contingencia asegurarán la supervivencia del

negocio?

a. No

b. Hay cierta probabilidad que si

c. Sí, creo que serán efectivos

d. Si, muy seguro

7. ¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de menos

de 1 hora han sucedido?

a. 1

b. 2 a 3

c. 4 a 6

d. 7 a 9

e. 10 o más

8. ¿Durante su estancia en el trabajo, cuántas interrupciones del servicio de más de

1 hora han sucedido?

a. 1

b. 2-3

c. 4-6

d. 7-9

e. 10 o más

9. Según su consideración, ¿Cuál es la principal razón por no tener un plan de

contingencia?

a. No se sabe

b. Considerado necesario, pero de baja prioridad

c. Falta de recursos

d. Está siendo desarrollado, pero aún no está listo

e. Si se tiene un plan

10. Según su consideración, ¿Cuál es la principal razón por no tener un plan de

continuidad de negocio?

a. No se sabe

b. Considerado necesario, pero de baja prioridad

c. Falta de recursos

d. Está siendo desarrollado, pero aún no está listo

e. Si se tiene un plan

11. Según Ud. ¿Cuándo se planea producir el plan de continuidad del negocio?

a. No se tiene en consideración

b. En el próximo año

c. Dentro de 1 a 2 años

d. El plan existe, pero no está documentado

e. Si se tiene el plan

12. Según Ud. ¿Cuándo se planea producir el plan de contingencia de TI?

a. No se tiene en consideración

b. En el próximo año

c. Dentro de 1 a 2 años

d. El plan existe, pero no está documentado

e. Si se tiene el plan

Anexo 2. Ficha de Observación

Ficha de Observación Requerimientos e Incidentes - Sistema Aranda

Fecha de Inicio:

Fecha Final:

N Ticket Tipo Detalle Hora de Registro Hora de Cierre Tiempo en Pendiente Razón

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

Anexo 3. Funciones del servicio de Mesa de Ayuda

FUNCIONES DEL SERVICIO DE MESA DE AYUDA

El presente documento es propiedad de las entidades legales dentro del Grupo A. P. Moller

– Maerk (también conocido como “APMM”) y es para uso exclusivo del personal de APMM.

Éste documento no deberá afectar legalmente cualquier relación o confiabilidad de APMM

con cualquiera de nuestros colaboradores o terceros, los cuales tienen permitido usarlo como

guía.

APMM no se responsabilizará por información técnica o editorial por errores de omisión de

éste documento; ni por ningún daño causado por dicha acción, incluido, pero no limitado a:

daño directo, accidental o consecuente resultado del uso por directivos, gerentes, empleados,

agentes, representantes, dueños u otros allegados a APMM. Copyright © Maersk Group.

Derechos reservados.

1. OBJETIVO

Establecer las diferentes funciones que realiza personal de Mesa de Ayuda, con el fin

de lograr establecer responsabilidades y puntos de control.

2. ALCANCE

El alcance corresponde a las características del servicio brindado por Corporación

SAPIA al cliente.

3. RESPONSABILIDADES

Supervisor IT Helpdesk. Es responsable de la actualización y control de este

documento.

4. DESCRIPCIÓN

Se contemplan los siguientes procesos:

GESTIÓN DE INCIDENCIAS

El objetivo es resolver, de la manera más rápida y eficaz posible, cualquier incidencia

que cause una interrupción en el servicio.

Las funciones de la gestión se describen a continuación:

• Identificación del Incidencia.

• Registro y clasificación de la incidencia.

• Filtro del Incidencia (determinación tipo de incidencia).

Determinación de la prioridad de la incidencia (Vips, Vips Operacionales y

Estándar).

• Asignar personal encargado de atender incidencia.

Si fuera una incidencia mayor, contemplar los procedimientos para su

escalamiento.

• Diagnóstico de las incidencias del 1er y 2do Nivel.

Resolución de Incidencias del 1er y 2do Nivel, considerando los tiempos de

atención asumidos por el servicio.

Comunicación a los usuarios de la resolución de las incidencias sea cual fuera

el nivel.

Documentar las incidencias del 1er y 2do Nivel, el caso de otros niveles

solicitar el informe técnico.

• Cierre de la incidencia previa conformidad del usuario.

Para las atenciones de incidencia se considerará:

o Soporte inicial de la incidencia a través de conexión remota local con el

software que APM TERMINALS CALLAO tenga a disposición en las PCs.

o Investigar y diagnosticar las incidencias.

o Asignar y escalar las incidencias a los grupos de resolución correspondientes.

o Seguimiento de la incidencia durante todo su ciclo de vida e informe

o oportuno a los usuarios del estado de atención hasta el cierre del ticket.

o Escalamiento según niveles establecidos cuando sea necesario.

o Contactar con los usuarios para su atención, seguimiento e informe hasta el

cierre del ticket.

o Atención y seguimiento de incidencias mayores (masivas o críticas para el

negocio) hasta la resolución, incluye conformidad del usuario y documentación

de solución.

GESTIÓN DE REQUERIMIENTOS

Tiene como objetivo atender los requerimientos de los usuarios proporcionándoles

información y acceso a recursos informáticos y servicios locales y globales de APM

TERMINALS CALLAO, servicios estándar de la organización desde un único punto de

contacto para los usuarios, con la finalidad de atender sus solicitudes definidas en el

alcance del presente documento.

Las funciones de la gestión serán:

• Proporcionar un único canal de comunicación a través del cual los usuarios

puedan ingresar requerimientos informáticos, aprobados por sus respectivas

áreas.

• Informar a los usuarios sobre la disponibilidad de los servicios y los

procedimientos para acceder a ellos.

• Registrar los requerimientos, tomando en consideración las prioridades de

atención según los tipos de usuario y servicios (Vips y Estándar).

• Capacidad para utilizar apropiadamente el Catálogo de Servicios.

• Seguimiento de las aprobaciones según procedimiento establecido por APM

TERMINALS CALLAO.

Proveer un canal para que los usuarios puedan realizar consultas acerca del

estado de sus solicitudes.

Distribuir los recursos informáticos o servicios solicitados, bajo los estándares

de procedimiento de entrega.

• Cumplimiento de los tiempos de entrega asumidos para el servicio.

• Conformidad de la atención de parte del usuario.

• Cierre de los requerimientos.

GESTIÓN DE NIVELES DE SERVICIO

Garantizar que se mantenga y mejore continuamente los servicios brindados a los

usuarios de APM TERMINALS CALLAO mediante la formalización, capacitación

constante, seguimiento, control, retroalimentación, monitorización e informando

acerca del rendimiento de los servicios. Los objetivos serán:

• Definir, documentar, acordar, monitorear, medir, comunicar y ejecutar una

revisión del nivel de servicio para mejorar los niveles de satisfacción del

usuario.

• Realizar una revisión bimestral del Catálogo de Servicios.

• Establecer una comunicación efectiva con el equipo de Help Desk y los

involucrados en el servicio (especialistas, Help Desk Global y proveedores).

• Garantizar que se desarrollen objetivos del servicio.

• Asegurar que se cumplan los niveles de servicio.

• Control y seguimiento de cumplimiento de SLA del servicio.

• Control y seguimiento del cumplimiento de SLA con Proveedores.

• Generar informes mensuales de Gestión para la Gerencia, con la presentación

de estadísticas del servicio, cumplimiento de SLAs, resumen de inventario de

equipamiento, recomendaciones y conclusiones.

A fin de establecer un servicio eficiente y que mejore en el tiempo, se el servicio

contará con:

• Informes sobre la calidad del servicio y los Planes de Mejora de Servicio

mensualmente.

• Documentación en base a las atenciones del servicio de 1er y 2do Nivel.

• Revisión mensual de la documentación generada (instructivos y

procedimientos).

• Capacitación constante al personal del servicio para una atención técnica

adecuada.

• Encontrar puntos de mejora del servicio.

• Resolver quejas, en caso estas existan, sobre el servicio prestado.

GESTIÓN DE PROBLEMAS

Controlar el ciclo de vida de los problemas que conlleva el servicio (1er y 2do Nivel).

Con el objetivo de prevenir las incidencias y minimizar el impacto de aquellas

incidencias que no puedan prevenirse. A partir del análisis de los registros de

incidencias y datos de los procesos de Gestión del Servicio, se pueden identificar

tendencias o problemas significativos.

Las funciones de la gestión serán:

• Identificación y Categorización de Problemas de manera adecuada.

• Diagnóstico y Resolución de Problemas.

• Control y seguimiento de Problemas y Errores a fin de introducir medidas

correctivas cuando sean necesarias.

• Cierre y Evaluación de Problemas; asegurar que, tras la solución exitosa de un

problema, haya una descripción histórica completa en el registro del problema

y que se actualicen los registros de errores conocidos.

• Revisión de Problemas Graves con la finalidad de prevenir su recurrencia y

aprender lecciones para el futuro.

• Informes de Gestión de Problemas.

GESTIÓN DE LA CONFIGURACIÓN

Las funciones del servicio serán:

• Establecer y actualizar periódicamente la Base de Datos de Configuración.

• Llevar el control de todos los elementos de configuración del servicio con el

adecuado nivel de detalle y gestionar dicha información a través de la Base de

Datos de Configuración.

• Proporcionar información precisa sobre la configuración TI a todos los

diferentes procesos de gestión.

• Interactuar con las Gestiones de incidencias, problemas y cambios de manera

que estas puedan resolver más eficientemente las incidencias, a fin de

encontrar rápidamente la causa de los problemas, realizar los cambios

necesarios para su resolución y mantener actualizada en todo momento la

CMDB (Base de Datos de la Gestión de Configuración).

• Monitorizar periódicamente la configuración de los servicios y contrastarla con

la almacenada en la CMDB para subsanar discrepancias.

GESTIÓN LOGISTICA

Las funciones a cubrir en la gestión logística es la siguiente:

• Actualizar el inventario de hardware y software, registrando los movimientos

(altas, bajas, cambios, reasignaciones) de; desktops, laptops, Impresoras,

ticketeras, equipos móviles (Celulares, iPhone, Tetra), equipos telefónicos,

dispositivos de Internet móvil, equipos de control de acceso, seguridad, redes,

servidores y Equipos PSION (equipos recolectores de datos).

• Control de los Almacenes de IT, ingresos y salidas de equipos y materiales.

• Control documentario, registro de documentos de PROVEEDOR (guías de

remisión, facturas, órdenes de compra, constancias, credenciales, formatos, IT

Form Request, etc.).

• Registro de evolución de pagos periódicos (Servicios).

• Gestión de la factura desde la recepción en IT, hasta la derivación a Finanzas.

• Control de préstamo de equipos.

• Control de suministros de insumos para impresoras (seguimiento de niveles,

gestión con PROVEEDOR, etc.)

• Escalamiento y seguimiento a proveedores por garantía o mantenimiento de

equipos.

Anexo 4. Política de continuidad de servicio

POLÍTICA DE CONTINUIDAD DE NEGOCIO





guía.






Política de continuidad de servicio

Resumen de política

El presente documento define las reglas estipuladas para el manejo de continuidad de negocio

dentro de APMM.

ROLES

Patrocinador Persona encargada de la estrategia operativa, financiera y de

transformación.

Dueño Gestor del programa de continuidad.

Encargado Gerente del área

Monitoreo La política de continuidad debe ser revisada cuando exista la necesidad

de cambiar el proceso vigente para la operatividad del negocio, sin

embargo, es recomendable validar el plan anualmente para realizar los

cambios pertinentes.

CONTROL DE DISTRIBUCIÓN

Método Empelados y colaboradores Externos

Intranet N/A N/A

Correo Correos internos exclusivamente Encriptado

Dispositivos extraíbles Encriptado Encriptado

Impresión No es controlado una vez impreso Sobre sellado

CONTROL DE VERSIONES

Versión Fecha Autor Descripción

1.0 11 Feb 2018 Alberto Yufra Documento publicado

Contenido

1 - Introducción ................................................................................................................. 131

2 - Alcance ........................................................................................................................ 131

3 - Objetivos ...................................................................................................................... 131

4 - Principios Generales .................................................................................................... 131

4.1 Definición de Manejo de Continuidad de Negocio ............................................... 132

4.2 Programa de continuidad de negocio .................................................................. 132

5 - Implementación ........................................................................................................... 132

6 - Referencias de control ................................................................................................. 133

7 - Documentos relacionados ............................................................................................ 133

1 - Introducción

Maersk Line tiene la responsabilidad con sus inversionistas y clientes de cumplir con los

estándares de planeación para la continuidad de negocio, objetivos clave del negocio y los

acuerdos con nuestros clientes se cumplen a través del mantenimiento de las operaciones

críticas en línea con los objetivos del negocio durante contingencias. Dichas

responsabilidades recaen en las obligaciones de la gerencia para asegurar que las

operaciones del negocio continúen.

2 - Alcance

Ésta política, es un resumen de los procedimientos estándar a aplicar por todos los

empleados, colaboradores y agentes de organizaciones externas que trabajen en el área de

soporte.

3 - Objetivos

El principal objetivo de tener un sistema de manejo de continuidad de negocio (BCMS por sus

siglas en inglés) es permitir a Maersk Line un manejo continuo de las operaciones de negocio

bajo circunstancias adversas, por medio de la introducción de un programa apropiado en el

cual se describen estrategias, objetivos de recuperación, continuidad del negocio,

recuperación durante desastres, consideraciones de los riesgos en el manejo de operación y

planes para el manejo de crisis.

4 - Principios Generales

Maersk Line debe soportar un sistema de manejo de continuidad de negocio (BCMS) para:

• Proteger la imagen, información y recursos de Maersk Line.

• Cumplir con la normatividad aplicable, aseguradoras, y prácticas de negocio éticas.

• Apoyar y estar en cumplimiento con la estrategia táctica de continuidad de negocio.

• Minimizar el impacto de un cese en las operaciones del negocio para nuestros

clientes, colaboradores, inversionistas o empleados a quienes se les brinda un

servicio.

4.1 Definición de Manejo de Continuidad de Negocio

Manejo de continuidad de negocio está definido un proceso integral que identifica los

impactos potenciales que amenazan a la organización. También proporciona un

marco de trabajo para la construcción de capacidad de resiliencia para una respuesta

efectiva, salvaguardando los intereses de nuestros inversionistas, reputación y el valor

de las actividades del negocio.

4.2 Programa de continuidad de negocio

Maersk Line debe establecer y mantener un programa de continuidad de negocio que

incluya lo siguiente:

• Implementar un amplio programa de continuidad que incluya roles formales,

responsabilidades y requerimientos principales incluidos la medición y reporte

de la efectividad del programa generalmente.

• Implementar un programa de supervisión que asegure la continuidad

requerida con documentación y ejercicios completos para la identificación de

problemas y disminuir el riesgo organizacional, cumpliendo ese modo con las

obligaciones regulatorias por la junta directiva.

• Identificar e implementar estrategias basadas en la mitigación de riesgos para

resolver puntos de riesgo y otras cosas que expongan la continuidad de

negocio.

5 - Implementación

Con el objetivo de que Maersk Line mantenga estándares de trabajo alto y una buena

reputación, cada persona debe asumir responsabilidad por sus acciones y reaccionar

apropiadamente en caso de que alguna acción estuviese desalineada a las políticas de

Maersk Line u otros estándares de negocios. EL incumplimiento o sospechas de

incumplimiento a las políticas de Maersk Line deberán ser consultados con el gerente del

área en cuestión. En caso de no ser apropiado en esas circunstancias, deberá reportarse al

gerente de otra área, el equipo de Recursos Humanos local, el equipo legal o por medio del

sistema “Whistle-blower”. El Incumplimiento a las políticas de Maersk Line puede genera

sanciones disciplinarias.

Maersk Line tiene una política de confidencialidad con sus empleados y no se tolerará

ninguna represalia en contra de cualquiera que, de Buena fe, reporte una infracción de la

política o reglas de Maersk Line.

6 - Referencias de control

Estándar Controles

ISO 22301:2012 (Standard) Estándar completo.

ISO/IEC 27001:2013 (Standard) A17, A.17.1, (A.17.1.1, A.17.1.2, A.17.1.3)

Maersk Group - Commit Rule

(BCM)

BCM Commit Rule v1.1

7 - Documentos relacionados

Tipo Nombre del documento

Maersk Line Continuidad de

negocio, resumen y estándares

Maersk Line – Resumen de continuidad de negocio

Maersk Line – Estándares de continuidad de negocio

Recursos Internos BCM Commit Rule

BCM Mandatory Instructions

Recursos Externos ISO 22301:2012 (Standard)

ISO 22313 (Guidance to the Standard)

BCI Good Practice Guidelines (GPG) 2013 (Framework)

ISO/IEC 27001:2013 (Standard)

http://team.apmoller.net/sites/commit/pages/webview.aspx?business%20continuity%20management

http://team.apmoller.net/sites/commit/pages/webview.aspx?business%20continuity%20management

http://team.apmoller.net/sites/commit/pages/webview.aspx?business%20continuity%20management%20(mandatory%20instruction)

http://team.apmoller.net/sites/commit/pages/webview.aspx?business%20continuity%20management%20(mandatory%20instruction)

Anexo 5. Plan de la continuidad del servicio de Mesa de ayuda

PLAN DE CONTINUIDAD DE SERVICIO

HISTORIAL DE VERSIONES

Versión Implementado

por

Fecha de

Revisión

Aprobado

por

Fecha de

aprobación

Comentario

1 Alberto Yufra 02/15/2018 IT

Infrastructure

Supervisor

02/20/2018 Creación del

documento

ACUERDO DE CONFIDENCIALIDAD

Este documento no deberá afectar legalmente cualquier relación o confiabilidad de APMM con

cualquiera de nuestros colaboradores o terceros, los cuales tienen permitido usarlo como guía.

APM no se responsabilizará por información técnica o editorial por errores de omisión de este

documento; ni por ningún daño causado por dicha acción, incluido, pero no limitado a: daño

directo, accidental o consecuente resultado del uso por directivos, gerentes, empleados, agentes,

representantes, dueños u otros allegados a APMM. Copyright © Maersk Group. Derechos

reservados

Lista de actualizaciones

Nombre Teléfono Ubicación Fecha Fecha

actualización

Actualizado por

IT

Superviso

r

+5123388

77

APM

Terminals

Callao

02/15/2018 02/15/2018 IT Supervisor

Tabla de Contenidos

1 INFORMACIÓN GENERAL 7

1.1 Visión general 7

1.2 Alcance 7

1.3 Programa de la política de la continuidad de servicio 7

1.4 Suposiciones del planeamiento 7

1.5 Objetivos 8

1.6 Análisis de riesgos 9

1.7 Resumen del análisis del impacto 11

1.8 Estrategia para la continuidad del servicio 11

1.9 Centro de Operaciones de Emergencia 11

1.10 Sitio alternativo 11

1.11 Resumen del plan de emergencia 12

2 INFORMACIÓN CRÍTICA 13

2.1 Lista de números del equipo 13

2.2 Lista de tareas 13

2.3 Acciones del equipo 14

2.4 Equipamiento Crítico 14

2.5 Lista de Software 15

2.6 Lista de consumibles 16

2.7 Lista de datos vitales 16

3 ADMINISTRACIÓN Y GESTIÓN DEL PLAN 17

3.1 Responsabilidades y equipos funcionales 18

3.2 Administración del plan de la continuidad 18

3.3 Concientización y entrenamiento 19

3.4 Puesta en práctica 19

3.5 Mantenimiento del plan de continuidad 19

3.6 Aprobaciones del plan de continuidad 20

4 PLAN DE EJERCICIOS Y REPORTES 21

4.1 Metodología del plan de ejercicios de la continuidad 21

4.2 Desarrollo de los ejercicios 23

1 Información general

1.1 Visión general

El presente plan de continuidad de servicio para la Mesa de ayuda que ejerce sus servicios en

la terminal portuaria del Callao. La información en este plan tiene la intención de guiar al servicio

durante algún desastre de tipo natural o causados por el hombre para que se pueda seguir la

normal operatividad. El primer capítulo incluye la información general del propósito, alcance,

objetivos y suposiciones usadas en el desarrollo de lo restante del plan. El primer capítulo,

también, incluye la revisión de riesgos, un resumen del impacto en el negocio, la estructura

organizacional, y la estructura del equipo de la continuidad de negocio.

1.2 Alcance

El alcance de este plan de la continuidad está limitada a las oficinas y área de soporte del terminal

portuario del Callao, muelles e instalaciones ubicadas en Contralmirante Raygada 111, Callao,

Perú.

1.3 Programa de la política de la continuidad de servicio

El principal objetivo de tener un sistema de manejo de continuidad de negocio (BCMS por sus

siglas en inglés) es permitir a Maersk Line un manejo continuo de las operaciones de negocio

bajo circunstancias adversas, por medio de la introducción de un programa apropiado en el cual

se describen estrategias, objetivos de recuperación, continuidad del negocio, recuperación

durante desastres, consideraciones de los riesgos en el manejo de operación y planes para el

manejo de crisis.

1.4 Suposiciones del planeamiento

El plan de continuidad está diseñado para manejar el peor escenario que las instalaciones o el

servicio pueda afrontar por un periodo de tiempo hasta cuatro semanas. El backup de la

información de la base de datos de la gestión de requerimientos e incidentes se realiza

diariamente alrededor de la media noche. Dichos backup son guardados en cintas físicas y

enviados a un sitio externo para su almacenamiento la mañana siguiente. El área de operaciones

del servicio de Mesa de ayuda se encuentra en el tercer piso del edificio administrativo de las

instalaciones del puerto. El vehículo para el uso del servicio se encuentra operativo las 24 horas

del día. No existe horario predeterminado para realizar las funciones de gestión de

requerimientos o de incidentes del servicio.

1.5 Objetivos

Desarrollar la estructura de un plan de continuidad de servicio para gestionar un posible

desastre que pueda afectar al negocio.

Salvaguardar al personal del servicio.

Documentar información crítica requerida para la implementación del plan de continuidad.

Proveer los lineamientos para la empresa terminal portuaria del Callao para afrontar

mayores desastres.

Tener una recuperación de servicios dentro de las 72 horas después de un desastre

significativo.

Mantener las operaciones de primer punto de atención estables inclusive si las oficinas se

encuentran cerradas.

Mantener un mínimo nivel de servicio al cliente 24x7.

1.6 Análisis de riesgos

Escala de probabilidad Impacto Escala de Control

1 – 2 – 3 – 4 – 5 1 – 2 – 3 – 4 – 5 1 – 2 – 3 – 4 – 5

Bajo…………………Alto Sin Impacto……Alto impacto Bueno………………Pobre

Escala de probabilidad: Las chances que un evento suceda.

Escala de impacto: El grado en que el evento afecta el servicio.

Escala de control: El grado de control se tiene para prevenir el evento.

Amenaza Escala de

probabilidad

Impacto Escala de

Control

Ideas para la mitigación

Tsunami 2 5 5 Simulacros, planes de evacuación

Terremoto 2 5 5 Simulacros, planes de evacuación

Sabotaje 2 3 1 Control perimetral, control de accesos y sistema de

alertas inmediata.

Disturbios civiles 2 2 2 Prevención de conflictos sociales, responsabilidad

social, mejora del ambiente laboral

Robo/Vandalismo 4 2 1 Control perimetral, control de accesos, sistema de

alertas inmediata y control de activos.

Terrorismo 1 5 3 Plan de evacuación y de emergencia

Publicación de

información

confidencial

3 2 3 Prevención de pérdida de datos

Incendios 3 4 3 Simulacros, capacitación del uso de dispositivos

contra incendios.

Empleados

disconformes 4 1 4 Evaluación del clima laboral

Pérdida de

energía eléctrica 4 2 2

Validación y pruebas con fuentes de poder

alternativo

Pérdida de

comunicaciones 4 3 2

Validación y pruebas con los enlaces de

comunicación redundantes

Virus, malware,

ransomware o

ataque

cibernéticos

4 5 3 Instauración del comité de la seguridad

informática, capacitación

1.7 Resumen del análisis del impacto

El impacto en el negocio se debe a que la interrupción en el servicio afecta a las áreas críticas del

negocio y su infraestructura informática. Las áreas críticas del negocio en donde se enfoca la

recuperación de atenciones del servicio de Mesa de ayuda son:

1. Área de operaciones de contenedores

2. Área de operaciones de carga general

3. Área de Seguridad, Salud y Medio Ambiente

4. Área de Facturación y cobranzas

5. Área Comercial y atención al cliente

6. Área Legal

1.8 Estrategia para la continuidad del servicio

En el evento que un desastre declarado afecte los servicios de Mesa de ayuda del terminal

portuario del Callao, las operaciones se mantendrán en las instalaciones al menos que se declare

lo contrario por la alta gerencia en el caso que el edificio administrativo no cuente con las

facilidades para el soporte. En dicho escenario es responsabilidad del supervisor del servicio

indicar si es que se puede mantener el servicio durante o después del desastre declarado. Se

debe hacer uso de los números de contacto y del personal autorizado por cada parte involucrada

en el servicio para las ordenes de comunicación.

1.9 Centro de Operaciones de Emergencia

Ubicación Calle Los Negocios 249, Surquillo

Nombre Instalaciones de Mesa de Ayuda

Teléfono de

Contacto

+512154530

1.10 Sitio alternativo

Sitio alternativo Los Negocios 249

Contacto -

Teléfono +512154530

Almacenamiento

Offsite

Instalaciones de Iron Mountain

Contacto -

Teléfono +517114000

1.11 Resumen del plan de emergencia

En el evento declarado de desastre, las operaciones del servicio se verían sometidas a la facultad

de poder ejercer en el sitio del negocio (terminal portuario del Callao). En el caso de seguir las

operaciones, como primer paso es la evaluación de la necesidad de requerir mayor cantidad de

recursos humanos. Al evaluar la capacidad del personal en referencias a las tareas requeridas,

se procede al plan de acciones a realizar, incluyendo las fechas límites acordadas por este plan

para la recuperación de los servicios vitales, como la gestión de requerimientos, de incidentes y

de logística.

2 Información crítica

2.1 Lista de números del equipo

Nombre Móvil Email

Service Desk

Supervisor

[Reservado] [Reservado]

Infrastructure

Supervisor

[Reservado] [Reservado]

IT Manager [Reservado] [Reservado]

Operations Manager [Reservado] [Reservado]

2.2 Lista de tareas

# Tarea Asignado Frecuencia Método

1 Identificar daños Equipo de Mesa de Ayuda Necesario Inspección física

2 Reporte de daños Supervisor del servicio Necesario Recopilación de datos

3 Contactar con las

áreas críticas para

recoger sus

necesidades de

soporte

Supervisor del servicio Necesario Reuniones entre áreas

4 Comunicar estrategia

de trabajo

Supervisor del servicio Necesario Reunión de equipo

5 Comunicar actividades

e impacto del servicio

Supervisor del servicio Necesario Reporte frecuente

2.3 Acciones del equipo

Responsabilidades:

Comunicar las necesidades en cuestión de soporte informático.

Mantener la comunicación con la gerencia de cada área.

Hacer efectivo el plan de continuidad de negocio para cada una de sus áreas.

Tareas:

Brindar la lista de usuarios importantes para la pronta recuperación de servicios.

Brindar la lista de aplicativos necesarios para la operación vital del área.

Brindar la lista de hardware necesario para la respuesta y operatividad inmediata.

2.4 Equipamiento Crítico

Ítem Cantidad Fuente Costo/Ítem Total

Monitores 589 Inventario de Activos Informáticos $125 $73 625

Desktop 557 Inventario de Activos Informáticos $950 $529 150

IP-Phone 294 Inventario de Activos Informáticos $60 $17 640

Radios 292 Inventario de Activos Informáticos $350 $102 200

Celulares 254 Inventario de Activos Informáticos $500 $127 000

Laptop 134 Inventario de Activos Informáticos $1200 $160 800

Tableta Vehicular 115 Inventario de Activos Informáticos $3250 $373 750

Handheld 68 Inventario de Activos Informáticos $1700 $115 600

2.5 Lista de Software

Nombre de Software Versión Propósito Contacto Teléfono/Email

Commtrac -

Control de las puertas

de ingreso para las

operaciones de Carga

General

IT Terminal Operation

Software Manager [email protected]

PASS -

Control de las puertas

de ingreso y salida para

las operaciones de

contenedores



Onguard - Control del sistema de

video vigilancia

IT Infrastructure

Supervisor [email protected]

MOST

Control del pesaje de

camiones para carga

general



N4 Control del pesaje de

contenedores


Software Manager

2.6 Lista de consumibles

Ítem Cantidad Fuente

Accesorios y

periféricos

Depende de la demanda y presupuesto del área

solicitante. Compras y reporte de uso.

Cartuchos y tintas de

impresión



Pilas Depende de la demanda y presupuesto del área


Cintas de Backup Depende de la demanda y presupuesto del área


Baterías de radio de

comunicación



2.7 Lista de datos vitales

Tipo Nombre Ubicación perenne Back-up? Ubicación Back-up Contacto

Documentos Registro de

Requerimientos

Oficina de Mesa de

ayuda SI IronMountain

IT

Infrastructure

3 Administración y gestión del plan

El éxito de nuestro proceso de Planificación de Continuidad de Servicio está en gran medida en

manos de su coordinador. Él tiene la responsabilidad general de coordinar con los líderes del

equipo para diseñar, desarrollar, coordinar, implementar y administrar la capacitación, los

programas de concientización y la actualización y el mantenimiento del Plan de Continuidad del

Servicio.

El Coordinador es responsable de garantizar que ocurran las siguientes acciones (estas tareas

deben personalizarse para su organización y pueden delegarse a los miembros del equipo de

planificación):

• Proporcionar coordinación y gestión de proyectos.

• Realizar la evaluación de riesgos y mitigación según sea necesario.

• Realizar un análisis de impacto empresarial.

• Desarrollar y obtener la aprobación de la Estrategia de Continuidad.

• Desarrollar e implementar el Plan de Continuidad del Negocio.

• Crear, implementar y mantener los Programas de Concientización y Capacitación del plan.

• Desarrollar, mantener, coordinar, ejercitar y evaluar el plan.

• Desarrollar, mantener, coordinar, ejercer y evaluar planes para relaciones públicas y

coordinación de crisis.

• Asistir al Equipo de Dirección Ejecutiva durante una crisis / desastre según sea necesario.

Si esta responsabilidad se asigna a un individuo en función de las habilidades y la experiencia, se

debe proporcionar una carta formal de designación a ese individuo que describa las

responsabilidades y obligaciones. Si esta responsabilidad se asigna a un puesto específico, las

responsabilidades y los requisitos de calificación deben incluirse como parte del puesto escrito /

descripción del trabajo

Guía para el planeamiento del plan

La estrategia con respecto a la planeación de recursos del equipo humano de Mesa

de ayuda tiene como lineamiento las siguientes estrategias fundamentales, que se

aplicaran a la mayoría de escenarios de desastre:

1. Asegurar la seguridad del personal, clientes y/o visitas.

2. Listar los servicios que responderán durante la emergencia local.

3. Asegurar y proteger los activos de la empresa y las oficinas.

4. Planificar las funciones especiales durante el desastre.

5. Recuperar la operatividad de las funciones en el tiempo planeado.

3.1 Responsabilidades y equipos funcionales

Las siguientes subsecciones describen cada uno de los roles de los equipos funcionales, así como

las responsabilidades en cuestión de preparación frente al desastre.

Pre-desastre:

1 Verificar el alcance de las políticas y planes.

2 Verificar el presupuesto requerido para poder accionar el plan en caso

de desastre.

3 Instruir al personal en cuestión del plan y acciones a proceder.

Post desastre:

1 Inspeccionar las oficinas e instalaciones para notificar cualquier

hallazgo que altera la operatividad del servicio.

2 Evaluar los daños a las instalaciones y los activos informáticos.

3 Desarrollar el reporte de daño.

4 Presentar el reporte a gerencia.

5 Asegurar el espacio de trabajo donde se ejecutará el servicio.

3.2 Administración del plan de la continuidad

Resumen

A nivel organizacional, el material y capacitaciones son dirigidas y aprobadas por el

departamento de Tecnología de Información, por lo que el equipo debe contar con la

disponibilidad necesaria. La disponibilidad del equipo completo o parcial depende de

las disposiciones de la empresa y el cronograma de actividades de entrenamiento.

3.3 Concientización y entrenamiento

Actividad Frecuencia Oficina Materiales

requeridos

Comentarios

Orientación para

nuevo empleado

Cada vez

que ingrese

un nuevo

personal

Sala de

reuniones

Presentación,

proyector

La presentación debe

ser actualizada según

los lineamientos de la

mejora continua.

Reporte de

actividades

Semestral - - Se debe presentar un

resumen ejecutivo para

gerencia.

Informativos Al momento

de

capacitación

- Impresiones Campaña de

concientización que

debe incluir encuestas

3.4 Puesta en práctica

Según la disponibilidad, se recomienda que al menos 3 ejercicios se realicen al año.

Tipo Propósito Participantes Fecha(s)

Ejercicio guiado Familiarizar al

personal al plan de

continuidad

Todo el personal de

mesa de ayuda

Por definir

Simulacro post-

desastre

Ejercer los acciones y

evaluar el desempeño

Todo el personal de

mesa de ayuda

Por definir

3.5 Mantenimiento del plan de continuidad

El Coordinador es responsable del mantenimiento de este documento. Cuando se requieren

actualización, el coordinador debe establecer un calendario para las actualizaciones, asegurarse

de que se completen las actualizaciones necesarias y distribuir los cambios a la Lista de

distribución al principio de este documento.

El plan se actualiza según sea necesario:

• en respuesta a cambios importantes en la organización, como mudanzas de oficinas,

cambios de número de teléfono, nuevos equipos o personal, jubilaciones, cambios de

tareas, nuevas líneas de productos y adiciones o eliminaciones de aplicaciones críticas o

procesos de fabricación;

• en respuesta a los cambios en los procesos de negocios revelados durante las

actualizaciones al Análisis de impacto de servicio;

• después de cada prueba de sitio alternativo para reflejar las recomendaciones

resultantes de las sesiones informativas de recapitulación posteriores a la prueba; y

• basado en las lecciones de ejercicio aprendidas y revisiones del plan anual.

Como las secciones del plan están actualizadas, las secciones revisadas se proporcionan a los

miembros del equipo y a los titulares de planes adicionales. Todos los participantes y los titulares

del plan son notificados de los cambios y se los alienta a revisar todos los cambios y actualizar

adecuadamente su copia del plan. Los cambios generalmente se distribuirán electrónicamente y

los titulares del plan imprimirán copias impresas para insertar en sus planes.

Además, el plan se actualizará en caso de que ocurra un desastre real. El plan será revisado y

actualizado en un momento conveniente después de que se hayan completado las respuestas

iniciales al desastre.

3.6 Aprobaciones del plan de continuidad

Revisión Firmante Fecha de

aprobación

02/18/2018 Alberto Yufra Tejerina 02/19/2018

4 Plan de ejercicios y reportes

Los objetivos generales de un programa de ejercicios son:

• Crear un ambiente de aprendizaje para que todos los participantes aprendan sobre el plan

• Documentación de cambios y actualizaciones (incluidas omisiones) al plan.

4.1 Metodología del plan de ejercicios de la continuidad

El Plan de continuidad se puede verificar y validar utilizando cualquiera de las siguientes

metodologías:

• Ejercicio de mesa: personal clave que discute escenarios simulados en un entorno informal

• Ejercicio funcional: simula la realidad de las operaciones en un área funcional al presentar

problemas complejos y realistas.

• Ejercicio a escala completa: las operaciones reales en múltiples áreas funcionales presentan

problemas complejos y realistas que requieren pensamiento crítico, resolución rápida de

problemas y respuestas efectivas por parte de personal capacitado

• Simulacro: actividad coordinada y supervisada que generalmente se utiliza para probar una sola

operación o función específica.

Objetivos

Los objetivos generales de un ejercicio de plan de continuidad del negocio son:

• Determinar el estado de preparación de su plan para crear un entorno de aprendizaje para que

todos los participantes aprendan sobre el plan.

• Validar las listas de recursos: las personas y los inventarios son suficientes para efectuar la

recuperación de las operaciones comerciales y / o los servicios de TI según corresponda.

• Documentar cambios y actualizaciones (incluidas omisiones) al plan.

• Verificar que la información en el BCP esté actualizada y que refleje con precisión los requisitos

de la organización.

Los ejercicios deben tener las siguientes características:

Específicos: ser precisos con lo que se quiere alcanzar.

Medibles: cuantificar los objetivos.

Alcanzables: evaluar si se está abarcando demasiado.

Realistas: validar si se tienen los recursos necesarios para alcanzar los objetivos, en cuestión de

materiales, gente, dinero, equipamiento, etc.

Tiempo: validar si se plantea un espacio de tiempo en donde los objetivos pueden ser cumplidos.

Se tienen las siguientes acciones con referencia a los ejercicios programados:

90 días antes

Determinar el presupuesto para el próximo ejercicio e identificar a las áreas

participantes del mismo.

45 a 30 días antes

Distribuir las invitaciones a los seleccionados e interesados en el tema.

Establecer una fecha de cierre de inscripciones para la participación de diferentes

proveedores que trabajan con el equipo de Mesa de ayuda.

30 a 10 días antes

Reservar las oficinas para la capacitación.

Determinar la mejor manera para la clasificación de personas que atenderán el

entrenamiento.

Terminar de armar la presentación y crear etiquetas con nombres.

Post-Ejercicio

Tener una sesión de revisión con los participantes.

Recolectar las formas, encuestas o fichas usadas en el ejercicio.

Formular las lecciones aprendidas y los siguientes pasos para dirigir los esfuerzos de

mejora.

4.2 Desarrollo de los ejercicios

En la siguiente tabla se muestra el registro de ejercicios realizados previamente:

Tipo de Ejercicio Propósito Participantes Fecha(s)

Ejercicio guiado de

corte de

comunicación

Familiarizar al

personal al plan de

continuidad

Área de Tecnología de

información

Por definir

Simulacro post-

desastre de

denegación de

servicios totales

por causa de

desastres

naturales

Ejercer los acciones

y evaluar el

desempeño frente a

una crisis total.

Área de Tecnología de

información

Por definir

Simulacro de

caída de los

sistemas de

registros de

Requerimientos e

incidentes

Verificar el

procedimiento de

emergencia

Personal de Mesa de

Ayuda nivel 1 y 2, y su

supervisor

Por definir

Sabotaje a la base

de datos de los

activos

informáticos

Verificar el

procedimiento de

emergencia y de

registro alternativo

Personal encargado de

la logística de activos y

su supervisor

Por definir

Anexo A: GLOSARIO DE CONTINUIDAD DEL NEGOCIO

Acuerdo recíproco: un acuerdo entre organizaciones con básicamente los mismos

procesos de negocios y / o hardware de procesamiento de datos que permite a una

organización continuar las operaciones de negocios para la otra en caso de desastre.

Actividades empresariales de misión crítica: las actividades operativas críticas y

/ o de apoyo empresarial (ya sea de forma interna o externa) requeridas por la organización

para lograr su (s) objetivo (s), es decir, servicios y / o productos.

Almacenamiento electrónico: la transmisión de transacciones de diario o registros

de datos a un sitio alternativo o almacenamiento externo mediante instalaciones de

telecomunicaciones.

Almacenamiento externo: una instalación de almacenamiento designada, que no

sea la instalación principal, donde se pueden almacenar registros vitales y documentos

críticos para uso de emergencia durante la ejecución del Plan de Continuidad de Negocios

de una organización.

Amenaza: un evento potencial que puede causar un riesgo de convertirse en una

pérdida. Las amenazas consisten en fenómenos naturales como tornados y terremotos e

incidentes causados por el hombre, como ataques terroristas, amenazas de bomba,

empleados descontentos y fallas en el suministro eléctrico.

Análisis de impacto empresarial: el proceso de desarrollo y distribución de un

cuestionario para determinar el impacto financiero y el impacto operativo en una organización

si sus oficinas comerciales y / o las instalaciones del centro de datos no están disponibles por

un tiempo prolongado (generalmente al menos un mes). El objetivo del BIA es proporcionar

un análisis a nivel de gestión que documente específicamente el impacto financiero diario y

el objetivo de tiempo de recuperación (RTO) para cada unidad de negocios y procesos

asociados.

Auditoría: un examen y evaluación exhaustivos del Plan de Continuidad del Negocio

de una organización y los procedimientos para verificar su exactitud y viabilidad.

BIA - Acrónimo para Análisis de Impacto Empresarial.

Cadena de suministro: el movimiento de los materiales a medida que fluyen desde

su origen hasta el cliente final. La cadena de suministro incluye compras, fabricación,

almacenamiento, transporte, servicio al cliente, planificación de la demanda, planificación de

suministros y gestión de la cadena de suministro. Está compuesto por las personas, las

actividades, la información y los recursos involucrados en el traslado de un producto de su

proveedor al cliente.

Categorías de riesgo: los riesgos de tipos similares se agrupan bajo títulos clave,

también conocidos como "categorías de riesgo". Estas categorías incluyen reputación,

estrategia, finanzas, inversiones, infraestructura operativa, negocios, cumplimiento

normativo, subcontratación, personal, tecnología y conocimiento.

Centro de Operaciones de Emergencia (EOC, por sus siglas en inglés): un sitio

alternativo con suficientes capacidades de comunicaciones de voz y espacio de trabajo

utilizado para administrar los esfuerzos de recuperación iniciales, incluidas las notificaciones

de emergencia utilizando la Lista de llamadas del Plan de continuidad comercial. El EOC

puede ser inicialmente una ubicación temporal (por ejemplo, un hotel, un remolque) utilizado

por el equipo de administración para comenzar a coordinar las operaciones de recuperación

o puede ser el Sitio Frío, el Sitio Cálido o el Sitio Caliente designado para las operaciones de

recuperación.

Comunicaciones de datos: la transmisión de datos, generalmente en forma digital,

entre ubicaciones geográficamente separadas a través de sistemas de transmisión eléctricos

u ópticos públicos y / o privados. Contraste con las comunicaciones de voz.

Comunicaciones de voz: la transmisión de sonido a frecuencias dentro del rango de

audición humana que puede ser digital o analógica. Contraste con las comunicaciones de

datos.

Continuidad de negocios: la capacidad de una organización para brindar servicio y

soporte a sus clientes y mantener su viabilidad antes, durante y después de un evento de

continuidad de negocios.

Controles: un término generalmente asociado con la auditoría y definido como

procedimientos u otras medidas diseñadas para garantizar que los planes y sistemas

funcionen correctamente.

Controles de riesgo: todos los métodos para reducir la frecuencia y / o la gravedad

de las pérdidas, incluida la prevención de la exposición, la prevención de la pérdida, la

reducción de la pérdida, la separación de las unidades de exposición y la transferencia de

riesgo no asegurada.

Coordinador de Continuidad de Negocios (BCC): un miembro del Equipo de

Gestión Ejecutiva y / o el Equipo de Gestión de Crisis con la responsabilidad del desarrollo,

coordinación, capacitación, pruebas e implementación del Plan de Continuidad de Negocios.

Crisis: un evento que amenaza la seguridad, integridad o instalaciones de una

organización y / o la seguridad de sus empleados. Una crisis puede ir desde la evacuación

de un edificio debido a una amenaza de bomba hasta un desastre a gran escala y fácilmente

reconocible. Para fines de planificación, una Crisis incluye, pero no se limita a, amenazas

climáticas severas u ocurrencias (nieve, tornados, etc.), planificación de la sucesión de la alta

gerencia, cortes de energía y comunicaciones, emergencias médicas, situaciones de

rehenes, amenazas de bombas, terremotos, elevadores atrapamientos, etc., además de un

desastre obvio y fácilmente reconocible.

Departamento: una entidad separada y discreta definida por cada organización o

empresa. Un departamento generalmente realiza una función o proceso comercial

específico. Ver también Unidad de Negocios.

Desastre: un suceso calamitoso repentino y no planeado que causa gran daño o

pérdida. En el entorno empresarial: cualquier evento que genere una incapacidad por parte

de una organización para proporcionar productos y / o servicios esenciales por un período de

tiempo indefinido.

Ejercicio: una oportunidad brindada para demostrar, evaluar y mejorar la capacidad

combinada y la interoperabilidad de los elementos para realizar las misiones y tareas

asignadas a los estándares necesarios para lograr resultados exitosos.

Tipos de ejercicios -

Simulacro: una actividad coordinada y supervisada que generalmente se utiliza para

probar una sola operación o función específica en una sola agencia. Los simulacros

se usan comúnmente para brindar capacitación en nuevos equipos, desarrollar o

probar nuevas políticas o procedimientos, o practicar y mantener las habilidades

actuales. Los atributos típicos incluyen lo siguiente: un enfoque estrecho, medido en

comparación con los estándares establecidos; Retroalimentación

instantánea; desempeño en aislamiento; Ambiente realista.

Ejercicio de escala completa (FSE, por sus siglas en inglés): una actividad de

múltiples organismos, múltiples jurisdicciones y múltiples organizaciones que pone a

prueba muchas facetas de la preparación. Se centran en la implementación y el

análisis de los planes, políticas, procedimientos y acuerdos de cooperación

desarrollados en ejercicios basados en debates y perfeccionados en ejercicios

anteriores, más pequeños, basados en operaciones. En los FSE, la realidad de las

operaciones en múltiples áreas funcionales presenta problemas complejos y realistas

que requieren pensamiento crítico, resolución rápida de problemas y respuestas

efectivas por parte de personal capacitado. Durante los FSE, los eventos se proyectan

a través de un escenario de ejercicio con secuencias de comandos con flexibilidad

incorporada para permitir que las actualizaciones impulsen la actividad. Los FSE se

realizan en un entorno estresante en tiempo real que refleja fielmente los eventos

reales.

Ejercicio funcional (FE): una actividad diseñada para probar y evaluar capacidades

individuales, funciones múltiples, actividades dentro de una función o grupos

interdependientes de funciones. Los eventos se proyectan a través de un escenario

de ejercicio con actualizaciones de eventos que impulsan la actividad en el nivel de

gestión. Una FE simula la realidad de las operaciones en un área funcional al

presentar problemas complejos y realistas que requieren respuestas rápidas y

efectivas por parte de personal capacitado en un ambiente altamente estresante.

Ejercicio de mesa (TTX): una actividad que involucra a personal clave que discute

escenarios simulados en un entorno informal. Este tipo de ejercicio puede usarse para

evaluar planes, políticas y procedimientos o para evaluar los sistemas necesarios para

guiar la prevención, respuesta y recuperación de un incidente definido. Los TTX

generalmente tienen como objetivo facilitar la comprensión de conceptos, identificar

fortalezas y deficiencias, y lograr cambios en la actitud. Se alienta a los participantes

a discutir temas en profundidad y desarrollar decisiones a través de la resolución de

problemas a un ritmo lento, en lugar de tomar decisiones rápidas y espontáneas que

se producen en condiciones de emergencia reales o simuladas.

EOC - Acrónimo de Centro de Operaciones de Emergencia.

Equipo: un grupo de individuos asignados a trabajar juntos para realizar una función

específica en el Plan de Continuidad del Negocio. Un equipo está formado por un líder de

equipo, un líder de equipo alternativo y miembros del equipo. El Líder del equipo es

responsable de la finalización exitosa de todas las tareas asignadas (Ver Lista de tareas) a

un Equipo.

Equipo de gestión ejecutiva: un equipo de personal directivo superior con la

capacidad de comprometer fondos y tomar decisiones en nombre de la organización.

Equipo de proyecto: un grupo de personas que representan áreas organizativas

clave que trabajan juntas y siguen las responsabilidades documentadas para el diseño,

desarrollo e implementación de un plan de continuidad empresarial.

Estación de trabajo: un área de trabajo para una sola persona que generalmente

incluye mobiliario de oficina (por ejemplo, un escritorio), equipo de cómputo (por ejemplo, una

PC), un teléfono y una papelera.

Estrategia de Continuidad de Negocios: un curso de acción aprobado,

documentado y financiado por la administración que se utilizará en el desarrollo e

implementación del Plan de Continuidad de Negocios de una organización.

Evaluación / análisis de riesgos: proceso de identificación de riesgos para una

organización, evaluación de las funciones críticas necesarias para que una organización

continúe las operaciones comerciales, define los controles establecidos para reducir la

exposición de la organización y evalúa el costo de dichos controles. El análisis de riesgos a

menudo implica una evaluación de las probabilidades de un evento en particular.

Evaluación de daños / Equipo de recuperación: un grupo capacitado de personal,

formado por representantes de seguridad, instalaciones y TI, que, tras la notificación del

Equipo de seguridad de que es seguro volver a ingresar a la instalación, ingresa a la

instalación o centro de datos dañado para evaluar y documentar daños a la estructura,

infraestructura, equipo y mobiliario. Además, identifican los activos que pueden eliminarse del

sitio y recuperarse mediante reparaciones, renovaciones o limpieza para su reutilización. Esta

información, junto con las recomendaciones para la acción, se compila en un informe y se

presenta al Equipo de Gestión Ejecutiva.

Funciones críticas: funciones comerciales esenciales que son sensibles al tiempo

y deben restaurarse primero en caso de un desastre o interrupción para evitar impactos

financieros u operativos inaceptables para garantizar la capacidad de proteger los activos de

la organización, satisfacer las necesidades de la organización y cumplir con las regulaciones.

Función de negocios: una función o proceso separado y discreto realizado por una

unidad de negocios. Por ejemplo, la unidad de negocios de contabilidad en una organización

más pequeña puede incluir cuentas por pagar y cuentas por cobrar como funciones de

negocios, mientras que una organización más grande puede tener unidades de negocios

separadas que realizan estas funciones de negocios.

Gestión de proyectos: el desarrollo, la planificación, la organización y la gestión de

tareas y recursos para lograr un objetivo definido, como un Plan de Continuidad de Negocios,

generalmente bajo restricciones de tiempo y costo.

Gestión de riesgos: la cultura, los procesos y las estructuras que se implementan

para gestionar con eficacia los posibles eventos negativos. Como no es posible o deseable

eliminar todos los riesgos, el objetivo es reducir los riesgos a un nivel aceptable.

Hot Site: una instalación alternativa con equipo y recursos listos para usar para

recuperar las funciones empresariales críticas afectadas por un desastre. Los sitios calientes

varían según el tipo de instalaciones ofrecidas (como equipos de procesamiento de datos,

equipos de comunicaciones, energía eléctrica, etc.). Los proveedores comerciales suelen

proporcionar espacios / instalaciones independientes con suscripciones mensuales para

recuperar las operaciones de las unidades de negocios y las operaciones informáticas. Véase

también Cold Site y Warm Site.

HVAC - Siglas de calefacción, ventilación y aire acondicionado.

Impacto financiero: un impacto tangible, medido en dólares y generalmente negativo,

como resultado de la falta de disponibilidad de la oficina de negocios de una organización y /

o las instalaciones del centro de datos. Los impactos financieros generalmente se informan

durante un Análisis de impacto empresarial (BIA) y generalmente se estiman a diario. Ver

también Impacto Operacional.

Impacto operativo: un impacto intangible que resulta de la falta de disponibilidad de

la oficina de negocios de una organización y / o las instalaciones del centro de datos. Un

impacto operacional no se puede cuantificar en dólares, pero puede ser crítico debido a su

efecto en una organización. Los ejemplos de impactos operativos incluyen, entre otros, el

servicio al cliente, la confianza de los accionistas, la imagen de la industria, la regulación, la

información financiera, la moral de los empleados, las relaciones con los proveedores, el flujo

de efectivo (que no se puede cuantificar) y los aumentos de responsabilidad. Los impactos

operacionales generalmente se informan durante un Análisis de impacto empresarial (BIA) y,

por lo general, se estiman en una escala arbitraria, como 1-5, donde el mayor número

representa el impacto más grave. Ver también Impacto Financiero.

Infraestructura: las instalaciones e instalaciones de soporte básicas de las que

depende la continuidad y el crecimiento de una comunidad o empresa, como centrales

eléctricas, suministros de agua, sistemas de transporte y sistemas de comunicaciones, etc.

La infraestructura de una empresa incluye la planta física y los servicios públicos necesarios

para lo operaciones esenciales.

Instalación de recuperación móvil (MRF, por sus siglas en inglés): un lugar cálido

y móvil, normalmente un gran remolque de un proveedor comercial, que se puede transportar

a una ubicación predeterminada para que el equipo necesario pueda obtenerse e instalarse

cerca de la ubicación original. Dependiendo del proveedor, un MRF puede estar disponible

en una "oficina de negocios" y una configuración de "centro de datos".

Inventarios: listas específicas de artículos requeridos para el Plan de continuidad del

negocio que incluye la Lista de clientes con información de contacto, Lista de equipos (con

Lista de proveedores e información de contacto), Lista de suministros (con Lista de

proveedores e información de contacto), Lista de software (con Lista de proveedores e

información de contacto), lista de telecomunicaciones (con lista de proveedores e información

de contacto), lista de registros vitales (con ubicación de registros vitales). Consulte el artículo

de inventario específico (que se muestra en cursiva) para obtener información adicional.

IT - Acrónimo de Tecnología de la Información. Un departamento o unidad de

negocios que proporciona soporte de sistemas informáticos a una organización o empresa.

LAN - Acrónimo de red de área local.

La cartera - Una medida de la obra inacabada en horas o días.

Lista de clientes: una lista de inventario de todos los clientes principales, incluidos el

nombre, la dirección, el número de teléfono y el contacto (si es necesario), que deben

notificarse durante la recuperación de una unidad de negocios o de una compañía

completa. La Lista de Clientes es una parte esencial del Plan de Continuidad del Negocio de

una organización. Es una buena práctica tener una lista de inventario completa de TODOS

los clientes existentes compilados para una organización.

Lista de equipos: una lista de todos los equipos y proveedores asociados necesarios

para la recuperación de una unidad de negocios o de una compañía completa. El equipo

incluye, entre otros, máquinas de fax, impresoras, sistemas informáticos, monitores, cables,

escáneres, hardware de procesamiento de correo, etc. La Lista de equipos es una parte

esencial del Plan de Continuidad de Negocio de una organización. Es una buena práctica

tener una lista de inventario completa de TODOS los equipos existentes compilados y

utilizados por una organización.

Lista de llamadas: una lista de todos los miembros del equipo y sus números de

teléfono (hogar, trabajo, celular, buscapersonas, etc.) en un Plan para el Plan de Continuidad

del Negocio.

Lista de proveedores: una lista de inventario de todos los proveedores primarios

(proveedores), incluidos el nombre, la dirección, el número de teléfono y el representante del

proveedor (si es necesario), que brindan un servicio o producto esencial requerido para la

recuperación de una unidad de negocios o de una compañía completa. La Lista de

proveedores es una parte esencial del Plan de continuidad del negocio de una

organización. Es una buena práctica tener una lista de inventario completa de TODOS los

proveedores existentes compilados y utilizados por una organización.

Lista de registros vitales: una lista de inventario que contiene el nombre y la

ubicación externa de los registros vitales (ver Registro vital) necesarios para la recuperación

de una unidad de negocios o de una compañía completa. La Lista de Registros Vitales es una

parte esencial del Plan de Continuidad de Negocios de una organización.

Lista de software: una lista de inventario de todos los proveedores de software y

asociados (ver Lista de proveedores) que se requiere para la recuperación de una unidad de

negocios o de una compañía completa. La Lista de Software es una parte esencial del Plan

de Continuidad del Negocio de una organización. Es una buena práctica tener una lista de

inventario completa de TODO el software existente compilado y utilizado por una

organización.

Lista de suministros: una lista de inventario de todos los suministros y proveedores

asociados que se requieren para la recuperación de una unidad de negocios o de una

compañía completa. Los suministros incluyen, entre otros, formularios (p. Ej., Control de

existencias), sellos especiales de goma, bolígrafos, lápices, papel, clips, grapadoras, etc. La

Lista de suministros es una parte esencial del Plan de Continuidad de Negocios de una

organización. Es una buena práctica tener una lista de inventario completa de TODOS los

suministros existentes compilados y utilizados por una organización.

Lista de tareas: una lista de todas las tareas, generalmente en forma de lista de

verificación, que debe realizar un equipo para recuperar una parte específica de una

organización, función empresarial y / o unidad de negocio. La Lista de tareas es una parte

esencial del Plan de Continuidad de Negocios de una organización.

Lista de telecomunicaciones: una lista de inventario de todos los circuitos de

comunicaciones de voz y datos que se requieren para la recuperación de una unidad de

negocios o de una compañía completa. La Lista de Telecomunicaciones es una parte esencial

del Plan de Continuidad del Negocio de una organización. Es una buena práctica tener una

lista de inventario completa de TODOS los circuitos de telecomunicaciones existentes

compilados y utilizados por una organización.

Mantenimiento del plan: el proceso de administración para mantener los Planes de

Administración de Continuidad del Negocio de una organización actualizados y efectivos. Los

procedimientos de mantenimiento son parte de este proceso para la revisión y actualización

de los planes de BC en un horario definido.

Medidas preventivas: controles dirigidos a disuadir o mitigar la ocurrencia de eventos

indeseables.

Mitigación de desastres: acciones, planes y actividades para reducir o eliminar los

efectos de un desastre en las operaciones comerciales y / o del centro de datos.

Mitigar: hacer o volverse más suave, menos severo o menos doloroso.

Módem: acrónimo de modulador / demodulador, un dispositivo que convierte señales

analógicas en señales digitales y viceversa, generalmente en circuitos de comunicaciones de

voz.

Objetivo de punto de recuperación (RPO): la medida de cuánta pérdida de datos,

en horas o días, es aceptable para una organización. El punto en el tiempo en el que TI debe

restaurar y sincronizar los datos de copia de seguridad (por ejemplo, las cintas de copia de

seguridad) para reanudar el procesamiento. La mayoría de las organizaciones de TI suelen

tener un RPO de al menos -1 día (–24 horas) porque las copias de seguridad generalmente

se realizan diariamente (generalmente por la noche) y se transportan a un almacenamiento

externo temprano al día siguiente. El mejor RPO es cero (0), lo que básicamente significa que

todos los sistemas informáticos afectados utilizan tecnología de "duplicación" (copia de datos

/ transacciones en tiempo real) para copiar simultáneamente todos los datos / transacciones

entrantes a otro sistema idéntico en una ubicación remota que sea lo suficientemente remota

desde el sitio primario.

Objetivo de tiempo de recuperación (RTO): el período de tiempo durante el cual los

sistemas, aplicaciones o funciones deben recuperarse después de una interrupción (por

ejemplo, un día hábil). Los RTO a menudo se utilizan como base para el desarrollo de

estrategias de recuperación y como un factor determinante para implementar o no las

estrategias de recuperación durante una situación de desastre.

El RTO tiene cinco (5) componentes:

(1) El tiempo antes de que se declare un desastre (ver Plan de Escalamiento);

(2) El tiempo requerido para activar el Plan de Continuidad del Negocio;

(3) El tiempo requerido para que la organización de TI restaure los sistemas informáticos;

(4) El tiempo requerido por una unidad de negocios afectada para realizar tareas asignadas

al punto en el que se pueden reanudar las operaciones comerciales, incluido el tiempo para

verificar que los datos de los sistemas informáticos restaurados sean precisos y estén

sincronizados con la última copia de seguridad disponible; y

(5) El tiempo para que cada unidad de negocios vuelva a ingresar / procesar todo el Backlog

(incluido el trabajo procesado manualmente, si corresponde) para llevar las operaciones del

negocio al estado actual.

Pérdida: recursos comerciales irrecuperables que se ven afectados o eliminados

como resultado de un desastre. Dichas pérdidas pueden incluir pérdida de vidas, ingresos,

participación de mercado, estatura competitiva, imagen pública, instalaciones o capacidad

operativa. Ver también Impacto Financiero e Impacto Operacional.

Plan de continuidad comercial (BCP): proceso de desarrollo y documentación de

acuerdos y procedimientos que permiten a una organización responder a un evento que dura

un período de tiempo inaceptable y volver a realizar sus funciones críticas después de una

interrupción.

Plan de escalado: un plan que documenta los criterios de toma de decisiones,

generalmente basado en el Objetivo de tiempo de recuperación (RTO), para determinar si

una declaración de desastre y la implementación del Plan de continuidad del negocio es lo

mejor para la organización o empresa.

Plan de recuperación de desastres: el documento aprobado por la administración

que define los recursos, las acciones, las tareas y los datos necesarios para administrar el

esfuerzo de recuperación de tecnología. Generalmente se refiere al esfuerzo de recuperación

de la tecnología.

Planificación de contingencia: proceso de desarrollo de acuerdos y procedimientos

avanzados que permiten a una organización responder a un evento que podría ocurrir por

casualidad o por circunstancias imprevistas.

Planificación de continuidad del negocio: el proceso de desarrollo de planes y

procedimientos avanzados que permiten a una organización responder a un evento para que

las funciones comerciales críticas puedan continuar sin impactos financieros significativos o

inaceptables y / o impactos operativos.

Planificación de la reanudación de negocios - Ver Planificación de continuidad de

negocios.

Planificador de continuidad de negocios: un individuo responsable del diseño,

desarrollo y mantenimiento de un plan de continuidad de negocios.

POTS - Acrónimo de Plain Old TeleTeléfono Service.

Preparación para desastres: actividades, planes, programas y sistemas

desarrollados antes de un desastre que se utilizan para respaldar y mejorar la mitigación, la

respuesta y la recuperación ante desastres.

Priorización: el ordenamiento de las actividades críticas y sus dependencias se

establecen durante la fase de planificación estratégica y BIA. Los planes de continuidad del

negocio se implementarán en el orden necesario al momento del evento.

Programa de continuidad del negocio: un enfoque integral y colaborativo para

proteger a una organización de amenazas y vulnerabilidades. Un programa sólido incorpora

planes específicos, como un Plan de Continuidad de Negocios, que aborda diferentes

aspectos del proceso de continuidad para asegurar que una organización pueda responder y

recuperarse de todos los peligros.

Programa de recuperación ante desastres: el proceso, las políticas y los

procedimientos relacionados con la preparación para la recuperación o la continuación de la

infraestructura tecnológica crítica para una organización después de un desastre natural o

provocado por el hombre. La recuperación de desastres es un subconjunto de la continuidad

del negocio.

Programa de recuperación de negocios: un programa diseñado para garantizar la

continuidad de los procesos de negocios de una organización mediante la documentación de

alternativas manuales y alternativas para que el trabajo de misión crítica pueda continuar en

caso de una pérdida del entorno de procesamiento de TI.

Proveedor de una sola fuente: la política de compra de utilizar un proveedor para un

componente o servicio en particular. El abastecimiento único puede resultar en una mayor

calidad y un mayor nivel de cooperación en el desarrollo de productos que el enfoque

tradicional occidental de abastecimiento múltiple. El abastecimiento único ha aumentado en

importancia, alentando relaciones más cercanas con un número menor de proveedores.

Punto de reunión inicial (IAP): una ubicación predefinida, como un estacionamiento,

el hotel o la casa de una persona, donde todos los líderes de equipos y miembros designados

pueden reunirse si las oficinas de negocios y / o el centro de datos de la organización no son

accesibles por cualquier motivo.

Recuperación: implementación de las acciones priorizadas requeridas para devolver

los procesos y las funciones de soporte a la estabilidad operativa después de una interrupción

o desastre.

Registro vital: un registro crítico de negocios requerido para recuperar y continuar las

operaciones comerciales de una organización. Esto puede incluir información de los

empleados, registros financieros y de accionistas, planes y procedimientos de negocios y el

Plan de Continuidad de Negocios. Los registros vitales pueden estar contenidos en una

amplia variedad de medios, incluidos, entre otros, los electrónicos (que incluyen cinta, disco

y CD-ROM), copia impresa (normalmente papel), microfilm y microficha.

Red de área amplia (WAN): una red que conecta redes metropolitanas, de campus o

de área local geográficamente separadas a través de distancias más grandes, que

generalmente se realizan utilizando líneas de transporte comunes. Véase también la red de

área local.

Red de área local (LAN): una red de corta distancia utilizada para conectar

terminales, computadoras y periféricos bajo una topología estándar, generalmente dentro de

un edificio o un grupo de edificios. Una LAN no utiliza operadores públicos para vincular sus

componentes, aunque puede tener una "puerta de enlace" fuera de la LAN que utiliza un

proveedor público. Véase también la red de área amplia.

Respuesta de emergencia: las actividades y planes iniciales diseñados para abordar

y mitigar los efectos inmediatos ya corto plazo de un desastre.

Requisitos de recursos: los recursos (por ejemplo, personas, equipos, suministros,

proveedores, telecomunicaciones, registros vitales) necesarios para la recuperación de una

unidad de negocios o de una compañía completa, según se documenta en el Plan de

Continuidad del Negocio.

Riesgo: potencial de exposición a la pérdida, que puede determinarse utilizando

medidas cualitativas o cuantitativas.

Riesgo operacional: el riesgo de pérdida resultante de procedimientos y controles

inadecuados o fallidos. Esto incluye la pérdida de eventos relacionados con la tecnología e

infraestructura, fallas, interrupciones del negocio, problemas relacionados con el personal y

eventos externos, como los cambios regulatorios.

Sitio alternativo: una ubicación alternativa, que no sea la instalación principal, que

está designada para uso de emergencia por el Centro de Operaciones de Emergencia (EOC)

de la organización, unidades de negocios para operaciones comerciales y / o servicios de

procesamiento de datos (IT) cuando la ubicación principal (s)) son inaccesibles.

Sitio frío: un sitio alternativo que consta de espacio que se puede configurar para

admitir la recuperación de unidades de negocios y / o las operaciones de recuperación del

centro de datos. Un Sitio Frío es básicamente "cuatro paredes" con acceso a los circuitos de

Comunicaciones de Voz y Comunicaciones de Datos y suficiente potencia eléctrica disponible

y HVAC para soportar las operaciones de recuperación. Un sitio frío puede o no tener piso

elevado, y TODOS los muebles y herrajes deben entregarse, instalarse, conectarse y

probarse. También se puede llamar un sitio de Shell. Véase también Hot Site y Warm Site.

Unidad de negocio: una entidad organizativa separada y discreta que realiza una

función o proceso empresarial específico. Una unidad de negocios puede ser tan pequeña

como dos personas o tan grande como una compañía completa.

Tarifa de declaración: un cargo por única vez que normalmente se paga a un

vendedor comercial que proporciona una instalación de sitio alternativo (generalmente un sitio

caliente) en el momento en que se declara oficialmente un desastre.

Telecomunicaciones: un término general que se aplica a los datos analógicos o

digitales transmitidos (consulte también Comunicaciones de datos y Comunicaciones de voz)

por medios eléctricos, ópticos o acústicos a través de proveedores de comunicaciones

públicos o privados.

Transferencia de riesgos: una técnica común utilizada por los gestores de riesgos

para abordar o mitigar las posibles exposiciones de la organización. Una serie de técnicas

que describen los diversos medios de abordar el riesgo a través de seguros y productos

similares.

WAN - Acrónimo de Wide Área Network.

Warm site: un sitio alternativo que consta de espacio de oficina designado y / o

espacio de centro de datos que ha instalado el acceso a las comunicaciones de voz y datos

y está parcialmente equipado con interfaces de telecomunicaciones, como un sistema

telefónico de intercambio de sucursales privadas (PBX) y / o un enrutador. Un sitio cálido

generalmente está precableado para las comunicaciones de voz y datos, de modo que los

teléfonos, PC y otro hardware de computadora (por ejemplo, servidores) pueden, literalmente,

"conectarse" según sea necesario. Véase también Cold Site y Hot Site.

Anexo B: INSTRUCCIONES DE ANÁLISIS DE IMPACTO EMPRESARIAL

Objetivo: Identificar los impactos de las interrupciones y los escenarios de desastre que

resultan en el acceso denegado a los servicios, edificios e instalaciones críticos.

Proceso:

Determina los servicios críticos.

Priorizar los servicios críticos.

Evaluar el impacto del acceso denegado a los espacios de trabajo normales.

Identifique los recursos necesarios para continuar las funciones críticas en un sitio

alternativo.

Determine sus prioridades e interdependencias de recuperación para poder

establecer los objetivos de tiempo de recuperación y los objetivos de punto de

recuperación.

Resultados:

Una lista priorizada de servicios de misión crítica.

Una lista de todos los equipos de apoyo, personal y registros vitales necesarios para

realizar sus funciones esenciales.

Un concepto de operaciones para volver a operar después de una interrupción del

negocio.

Definiciones:

Servicios de negocios: un servicio o proceso separado y discreto realizado por una unidad

de negocios. Por ejemplo, la unidad de negocios de contabilidad en una organización más

pequeña puede incluir cuentas por pagar y cuentas por cobrar como funciones de negocios,

mientras que una organización más grande puede tener unidades de negocios separadas

que realizan estas funciones de negocios.

Servicios críticos: Servicios comerciales esenciales que son sensibles al tiempo y deben

restaurarse primero en caso de un desastre o interrupción para evitar impactos financieros u

operativos inaceptables para garantizar la capacidad de proteger los activos de la

organización, satisfacer las necesidades de la organización y cumplir con las regulaciones.

Servicios de soporte: Servicios comerciales esenciales que se realizan de forma rutinaria

para que las operaciones comerciales se realicen sin problemas, pero no son críticas para

evitar pérdidas financieras inaceptables, satisfacer problemas de seguridad o satisfacer otras

necesidades de la organización.

Acción:

1. Identificar a los Representantes del Área Funcional Informados

Estos son sus jefes de departamento y líderes de equipo. Estas personas realizan sus

procesos de negocio o tienen en el pasado. Saben lo que se requiere para completar con

éxito sus tareas.

2. Identificar las funciones de la organización, incluida la información y los recursos

(personas, tecnología, instalaciones, etc.)

Al identificar las funciones de la organización, es importante identificar y escribir qué

herramientas necesita (personas, materias primas, equipos, tecnología, etc.). La capacidad

de realizar una función depende no solo de la asignación de un cuerpo al trabajo, sino también

de todos los recursos que soportan la función. Por lo tanto, si una función requiere suministros

de oficina, inclúyalos en su lista. Si es fundamental que el personal permanezca en el lugar

durante todo su turno, asegúrese de incluir cosas como una sala de descanso totalmente

equipada.

3. Identificar y definir la prioridad de los criterios de criticidad

Ahora que ha identificado a sus expertos funcionales, sistemas, equipos, registros y

suministros que son necesarios para cumplir sus funciones críticas, debe determinar la

importancia de esas funciones. Es importante reconocer que no todas las funciones son

críticas o incluso necesarias en un entorno de crisis. Sus expertos funcionales deberían

realizar una lluvia de ideas para desarrollar una lista de criterios que se utilizan para

determinar la criticidad. La forma más fácil de hacer esto es dar a cada elemento de su lista

de criticidad un valor numérico. Esta es una forma sencilla de ver qué es lo más importante a

considerar acerca de una función y qué no lo es. Una vez que todas sus funciones se califican

según los criterios, las que tienen la puntuación más alta son las más críticas.

4. Revisión de la alta gerencia

Una vez que sus expertos funcionales hayan desarrollado su lista de criterios y asignado un

valor a cada uno, es importante para el proceso obtener la aprobación de los criterios y valores

por parte de la alta gerencia. Es posible que quieran agregar o restar criterios, o cambiar

valores. Con su comprensión de todo el proceso de negocios, pueden ver cosas a nivel macro

que se han perdido, mientras que los expertos funcionales se han centrado estrictamente en

los procesos paso a paso.

5. Análisis de coordenadas

En este punto, usted y su equipo deben coordinar sus listas. Usted puede ser el jefe, pero si

desea que el plan funcione, necesita la participación de las personas con las que trabaja a

diario. Trabajar juntos para desarrollar una lista ordenada por rango de funciones críticas

ayuda a crear consenso y aceptación. Una vez que tenga cada una de las funciones

ordenadas por prioridad, el análisis continúa refinando el producto. Debe determinar si es

factible o no intentar realizar todas las funciones en un entorno de crisis, si el liderazgo quiere

delegar algunas funciones, si es necesario establecer un punto de corte que no vaya a

realizar a continuación si puede mantener su cadena de suministro para materiales críticos,

etc. Es probable que este proceso sea el paso más difícil del análisis. Todos consideran su

función una prioridad. Sin embargo, en una crisis que no siempre es posible. Igualmente,

importante en este proceso es determinar el personal, los sistemas, los registros, etc. que no

son esenciales y cómo los manejará.

6. Identificar las interdependencias (internas y externas a la organización)

Ahora que tiene una lista de prioridades, puede definirla y refinarla aún más examinando

dónde las funciones dependen de otras entidades tanto dentro como fuera de la

organización. Una vez que haya identificado las interdependencias, debe coordinar con esas

otras entidades para desarrollar un plan de apoyo para emergencias.

Finalmente, tiene su borrador final de lista de funciones, personal esencial, sistemas,

registros, suministros y otros equipos para realizar las funciones más esenciales de su

negocio. También ha desarrollado la información crítica que determinará su concepto de

operaciones en el entorno de crisis.

7. Definir los objetivos de restauración y los plazos

Hasta este punto, se ha centrado en qué y cómo funcionar durante una crisis. Continuar las

operaciones durante una crisis es un trabajo duro. Mantener las operaciones de recuperación

requerirá gran parte de su atención, ya que en el proceso a veces se olvida volver a las

operaciones normales. Ahora es el momento de decidir cómo volver a las operaciones

completas en un sitio permanente.

Este suele ser el paso más difícil. Mudarse a una nueva ubicación permanente puede requerir

operaciones en fases. La reconstrucción en su sitio actual puede requerir cambiar todas o

parte de sus operaciones a instalaciones temporales. Es posible que no tenga los recursos

para realizar un movimiento o para comenzar a reconstruir de inmediato debido a la

naturaleza o magnitud de la emergencia. En esos casos, necesita cronometrar el

proceso. Sean cuales sean sus requisitos para volver a sus capacidades operativas

completas, deben identificarse aquí.

No escatime en esta área. Puede tener el mejor plan para las operaciones de crisis en el

mundo, pero si no puede hacer que sus instalaciones vuelvan a estar en plena capacidad en

un sitio permanente, finalmente ha fracasado. Recuerde que contará con la ayuda externa

del gobierno, las compañías de seguros, los servicios públicos y las empresas de

construcción, entre otros. Todos estos tendrán muchas demandas de atención en una

emergencia a gran escala.

7.1 Formulario de análisis de impacto en el negocio.

Departamento:

Nombre:

Impacto en el negocio

La no operatividad de ésta unidad tendrá los siguientes efectos secundarios:

Catastrófico Moderado Menor

Comentarios:

¿Cuánto tiempo puede el negocio operar sin éste departamento?

Solo 1 Hasta 3

días

Hasta 7

días Hasta 1 mes Otro:

Comentarios: (Asume que las pérdidas que ocasione la falta de servicio de éste

departamento sean durante el punto máximo de operaciones.)

¿Éste departamento tiene alta demanda operativa por periodos? Si No

¿Cuándo?

Día:

Semana:

Meses:

¿Existe algún plan de contingencia en caso de que las

operaciones se vean interrumpidas? Si No

En caso positivo indicar cuál.

Utiliza el siguiente código para responder el cuestionario:

A. Hasta $10,000 D. $1,000,000 - $10,000,000

B. $10,000 - $100,000 E. Arriba de $10,000,000

C. $100,000 - $1,000,000

Día 1 Día 3 Semana

1

Semana

2

Semana

3

La afectación de este departamento resultara

en pérdidas de multas, cargos, intereses,

penalizaciones, etc.


en pérdidas de relación con nuestros clientes y

colaboradores.


en multas por requerimientos legales locales o

nacionales.


en ramificaciones legales debido a reglamentos

o contratos existentes.

Anexo 6. Plan de recuperación de servicios

PLAN DE RECUPERACIÓN DEL SERVICIO DE MESA DE AYUDA





guía.






1. OBJETIVO

Tener un plan de recuperación ante un evento crítico masivo el cual afecte la red

corporativa de APM Terminals Callao, así como la infraestructura tecnológica de las áreas

críticas y esenciales del negocio, con el fin de poder minimizar el tiempo de impacto y

mantener la continuidad de las operaciones.

2. ALCANCE

El alcance de recuperación aplica para todo el personal de TI de APM Terminals.

3. BASE LEGAL

No aplica.

4. RESPONSABILIDADES

Personal IT APM Terminals: Deberá reportar de forma inmediata a IT Help Desk

cuando se detecte el evento crítico el cual se encuentra afectando a toda el área.

IT Help Desk: Ejecutor del procedimiento de restauración del servicio.

5. DEFINICIONES

No aplica.

6. DESCRIPCIÓN DEL PROCESO

1. La notificación de la incidencia puede ingresar por dos canales:

Usuarios de APM Terminals.

Personal de IT.

2. IT Helpdesk registrará el respectivo ticket en la herramienta Service Desk Aranda por

la incidencia, de no contar con dicha herramienta se usará el formato de registro de

ticket hasta su regularización en el sistema.

3. Soporte OnSite se desplazará hasta la ubicación del usuario para validar lo reportado.

4. Una vez confirmado el evento, el Soporte OnSite procederá a realizar las

coordinaciones respectivas para minimizar el impacto de área afectada.

5. Se validará con Logística la disponibilidad de los equipos operativos para su

implementación inmediata.

6. De no contar con el stock suficiente se procederá a comunicar al IT Infrastructure

Supervisor para la coordinación de alquiler de equipos con el proveedor.

7. Soporte OnSite preparara los equipos en laboratorio para que puedan ser entregados

al usuario.

8. Se realiza seguimiento de los equipos para evitar cualquier tipo de falla que pueda

presentarse dentro de las 48 horas.

9. IT Helpdesk procederá con el cierre del ticket generado.

7. REGISTROS

No aplica.

8. REFERENCIAS

No aplica.

9. ANEXOS

Anexo 01: Flujograma de Recuperación Ante Un Evento Critico Masivo

10. CONTROL DE CAMBIOS

Versión 00.

Elaboración del documento.

Versión 01.

Elaboración del flujograma del procedimiento.

Anexo 7. Procedimiento de contingencia para aplicaciones

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Procedimiento de contingencia para aplicaciones de Contenedores

Este documento contiene información de uso interno de propiedad de APM Terminals. Antes de utilizar alguna copia, verifique que la versión sea igual a la publicada en el módulo

drive del SGSI.

USO INTERNO

1. Información del Documento

HISTORIA DEL DOCUMENTO

Nombre del Documento: Procedimiento de contingencia para aplicaciones de Carga de

contenedores

Creado por: APM Terminals Callao

Responsable del

Documento: Supervisor de Servicio

Fecha de la Creación 15/01/2018

CONTROL DE VERSIONES

Versión Fecha de Vigencia Aprobación Detalle

001 11/02/2018 Alberto Yufra Creación del documento. Primera

versión

2. Objetivos.

Identificar el escenario de contingencia existente, con el fin de desarrollar una ficha

que contenga las actividades necesarias para recuperar el servicio afectado, que se

encuentran dentro del alcance del SGSI de APM Terminals.

3. Alcance del documento.

Se aplica al Sistema Pass GUI, considerado como un sistema crítico dentro del

Sistema de Gestión de Seguridad de la Información.

4. Servicio identificado como crítico

Sistemas Pass GUI

Descripción del Servicio

El sistema Pass GUI permite gestionar la carga de contenedores en el Terminal

Portuario:

- Control de exportación e importación de containers.

- Intercambiar información con N4 mediante mensajes EDI.

- Captura de imágenes de estado de containers.

- Automatización del proceso de ingreso y salida de containers.

Este servicio se ha agrupado en el Site Recovery Manager (SRM).

5. Riesgo

El riesgo de indisponibilidad del servicio crítico es el siguiente:

Activos de Información Riesgos Asociados

Sistemas Pass GUI Indisponibilidad de los servicios que

afectan la operatividad del negocio

Activos de Información Riesgos Asociados

Falta de cumplimiento de acuerdos con

estado

Quejas de clientes

Disminución de productividad

Será considerado en la presente ficha de contingencia.

6. Responsabilidades

Personal APM – Comité de Contingencia

Son los responsables de la evaluación e impacto los cuales determinaran la

autorización de la activación de la contingencia y están compuestos por los siguientes

miembros.

COO

CCO

CFO

Head of IT

Personal APM y PROVEEDOR – Equipo de Recuperación IT

Son los responsables de restablecer de la ejecución de las acciones de contingencia,

los cuales están compuestos por los siguientes miembros.

Infrastructure Team

IT Infrastructure Supervisor. (Líder)

IT Infrastructure Specialists

Application Team

IT Application Supervisor (Líder)

IT Terminal Operating System Administrator.

IT ERP – IFS Administrator.

IT Applications Coordinator.

Helpdesk Team

IT Helpdesk Coordinator. (Líder)

IT Helpdesk Team: Personal OUTSOURCING

7. Fichas de Contingencia.

ACTIVOS DE INFORMACIÓN AFECTADOS

Sistemas Pass GUI

RIESGO

Indisponibilidad de los servicios que afectan la

operatividad del negocio

Business Impact Analysis

Descripción BIA (¿Cuál es el impacto

de no dar el servicio?)

Una falla en los sistemas impactaría

operacionalmente de manera considerable.

Periodo crítico (meses, semanas,

días) Todos los días

7.1 Sección de Contingencia del Proceso

Roles y Responsabilidades en Contingencia

Responsabilidad Equipo

Responsable de ejecutar las acciones de recuperación

Infrastructure Team

Application Team

Helpdesk Team

Responsable de activar el plan de contingencia Comité de Contingencia

Composición de los Equipos

Comité de

Contingencia Infrastructure Team Application Team Helpdesk Team

COO

CCO

CFO

Head of IT

IT Infrastructure Supervisor. (Líder)

IT Infrastructure

Specialists

IT Application

Supervisor (Líder)

IT Terminal Operating System Administrator.

IT ERP – IFS Administrator.

IT Applications

Coordinator.

IT Helpdesk

Coordinator. (Líder)

IT Helpdesk Team:

Personal

OUTSOURCING

Descripción de Actividades en Contingencia

La tarea será ejecutar la ficha de contingencia.

Recursos Provistos en Contingencia

Comunicado de corte de Servicios (Ver Anexo A)

Vcenter de Producción y Contingencia

Teléfono

VMware vSphere Client

Archivos:

Nombre del archivo: NAVIS Pass GUI

Actividades de Contingencia

1.1 Confirmación de activación de la contingencia

Enviada por el Head of IT, previamente autorizada por el comité.

1.2 Envío de comunicado por activación de contingencia

El Coordinador de Servicios de IT realizara el envío del comunicado de corte de

servicios. Este correo será enviado a todo el personal de APM. El modelo del correo se

encuentra en el Anexo A.

1.3 Llamada a Usuarios de turno sobre activación de contingencia

El Responsable de Aplicaciones IT deberá comunicar telefónicamente a los usuarios

líderes de los servicios críticos sobre la activación del plan de contingencia.

Anexo: (Planning, Billing, Operaciones, Balanza y Comercial)

1.4 Activación del SRM

1.4.1 Conexión remota al Vcenter de CONTINGENCIA

Procederemos a conectarnos de manera remota al servidor virtual para la activación del

SRM

Usuarios y Password

1.4.2 Acceso al VMware vSphere Client (Icono)

Deberán conectarse al cliente vSphere Client para poder ingresar al servicio del SRM

utilizando el Vcenter como puente de acceso.

1.4.3 Ingreso al ambiente del SRM

Cuando hayamos ingresado al Vcenter, podremos entablar comunicación con el servicio

de SRM

1.4.4 Validación de acceso al SRM

Mediante este acceso validaremos la conexión con el servicio del SRM

IP: 10.51.12.138

SCRBVCTPECAL002

1.4.5 Validación de comunicación de los Vcenter de Producción y Contingencia.

Este proceso debe completarse para dar paso a la ejecución del SRM

1.4.6 Acceso al Recovery Plans

Luego de la validación de los servicios se tendrá que ejecutar el Recovery Plan el cual

brindara la recuperación de las VM agrupadas previamente en dentro de la opción

Protection Groups marcando la opción RECOVERY

En el caso de OCR Pass, se ejecutará la opción recovery al Grupo “Recovery_OCR”

1.4.7 Proceso de Recuperación

En este paso marcaremos las opciones que nos indica en la imagen para iniciar el

proceso de recuperación.

1.4.8 En este paso se confirmaremos el pase para entrar en contingencia.

1.4.9 Verificación del proceso de Recovery Manager

Durante este periodo comenzara a generar las reconfiguraciones en las VM, este

proceso tardara un promedio de 2 a 5 minutos.

1.4.10 Proceso Recovery Manager.

Al término de las reconfiguraciones de las VM mostrara el status de los cambios y del

VM ya en estado de contingencia.

1.5 Inicio de servicios de las Virtual Machine

1.5.1 Verificación de status de VM sistema operativo

En este proceso tendremos que acceder al Vcenter de contingencia para verificar el

correcto funcionamiento de la VM, posterior a ello tendremos que validar el status de los

servicios, para este caso se tomó EJM el server de Billing Test.

En este caso los servicios a validar en el servidor de PASS son los siguientes:

1.6 Proceso de Pruebas

Los Administradores de las aplicaciones realizaran los test del funcionamiento y brindaran

la conformidad respectiva.

1.7 Validación con los usuarios.

Personal de Help Desk validara el funcionamiento con las áreas afectadas, obteniendo la

conformidad de los usuarios.

1.8 Envió de comunicado

El Coordinador de Servicios de IT realizara el envío del comunicado de restauración de los

servicios.

8. Anexos

8.1 Anexo A - Comunicado del corte de servicio del Sistema Pass GUI

Mantenimiento de Servicio - Plan de Contingencia

Descripción: Estimados colaboradores, durante el periodo de X horas no habrá

disponibilidad de los siguientes servicios debido a la caída de estos y el ingreso al

plan de contingencia.

Servicios Afectados:

PASS GUI

Si tiene alguna consulta comunicarse con mesa de ayuda al anexo 8877.

Atentamente

Departamento de IT

Anexo 8. Organigrama de la empresa

Elaboración propia

Gerencia General

Operaciones

Carga General ContenedoresTecnologías de la

Información

Helpdesk

Aplicaciones

Infraestructura

Seguridad de la información

Seguridad, Salud y Medio

Ambiente

Control de Accesos

Salud ocupacional

Emergencia y protección civil

Medio Ambiente

Finanzas

Facturación y cobranzas

Compras

Contabilidad

Recursos Humanos

Responsabilidad Social

Compensaciones

Relaciones Laborales

Legal

Comunicaciones

Comercial

Atención al cliente

Anexo 9. Catálogo de servicio

Aplicación / Activo

Tipo Categoría Sub-

categoría Tarea Descripción

Smartphone Requerimiento Telecom - Activación de Roaming / Incremento de saldo

El personal de mesa de ayuda se encarga de verificar el plan de telefonía del usuario, y en caso de ser aceptado, proceder a gestionar el aumento de saldo o activación de roaming con la empresa proveedora del servicio.

Smartphone Requerimiento Network - Registro de dirección MAC para dispositivos de invitados.

Debido a la política de BYOD, el personal de administrativo puede solicitar el registro de sus equipos para acceso a la red. Personal de mesa de ayuda procede a registrar la MAC del dispositivo en el portal de accesos a la red inalámbrica.

Active Directory Requerimiento User Mng - Dar baja a la cuenta de usuarios

Después de la salida de personal, se procede a retirar y deshabilitar los accesos a los sistemas.

Desktop Requerimiento IT Security - Actualización de la base de datos de antivirus

Para equipos que no cuentan con salida a Internet, la actualización de la base de datos de antivirus se realiza de manera manual.

Desktop Requerimiento Software Configuración Instalación de aplicativos autorizados

A solicitud del usuario, se puede instalar aplicativos aprobados y que se encuentren en el catálogo de software.

Desktop Requerimiento Hardware Configuración Instalación de equipo de trabajo

Una vez seleccionada la ubicación del nuevo trabajador, se procede a instalar los equipos según el procedimiento y tipo de trabajo.

N4 Requerimiento Hardware - Instalación y configuración de software N4

A solicitud del área de operaciones, se procede a instalar y configurar el software N4, encargado de la gestión de contenedores.

Commtrac Requerimiento Software - Instalación y configuración de software Commtrac

A solicitud del área de operaciones, se procede a instalar y configurar el software Commtrac, encargado de la gestión de carga general.

PASS Requerimiento Software - Instalación y configuración de software PASS

A solicitud del área de operaciones, se procede a instalar y configurar el software PASS, encargado de la gestión de las puertas de entrada y salida.

Onguard Requerimiento Software - Instalación y configuración de software Onguard

A solicitud del área de Seguridad, se instala y configura el sistema Onguard, encargado de los periféricos de control de accesos como cámaras y lectores de huella dactilar.

Active Directory Requerimiento Network - Cambio y reset de contraseña de usuario

En caso de fallo de acceso al sistema, bajo ciertas verificaciones se puede cambiar la contraseña de un usuario.

Impresora Requerimiento Consumibles Cartuchos Cambio de consumibles para equipos impresoras

En caso de alerta de bajo consumible, se cambia a los equipos necesarios.

Tableta Requerimiento Hardware Configuración Instalación de equipo Tableta para grúa

Ya sea por avería o falta de operatividad, se cambia el equipo encargado de recibir las tareas de las grúas. Esta actividad se desarrolla en zona operativa, por lo que implementos de seguridad deben ser utilizados.

Handheld Requerimiento Hardware Configuración Configuración de equipo Handheld lectora de precintos

Los equipos Handheld se encargan de la lectura de precintos en el patio de contenedores. En caso de ser necesario, se debe actualizar su software y sus aplicativos.

Desktop Requerimiento Hardware Instalación Cambio de periféricos A solicitud del usuario, se cambia los periféricos como lectores de código de barra, mouse, teclado o pantallas para mejorar la calidad del uso del ordenador.

Proyector Requerimiento Hardware Préstamo Préstamo de proyector Los usuarios pueden solicitar con unas 48 horas de anticipación, el préstamo de los equipos

Módulo de atención

Requerimiento Hardware Configuración Configuración de módulo para auto atención de los usuarios

En la zona de atención al usuario, se tiene módulos de atención al cliente los cuales requieren configuración dependiendo del requerimiento.

Desktop / Laptop

Incidente Hardware Performance Revisión de problemas de performance

Cuando los usuarios reportan problemas con sus equipos, personal de Mesa de ayuda procede a la revisión y registro del incidente para proceder con la resolución o escalamiento apropiado.

Desktop / Laptop

Incidente Hardware Perdida Reporte de activo informático extraviado / robado

En caso de pérdida o robo, se requiere la denuncia policial, la cual Mesa de ayuda saca copia y almacena para restitución del equipo.

Desktop / Laptop

Incidente Software Office Revisión de problemas con software de ofimática

En caso de reporte, se procede a revisar los equipo o equipo que poseen la falla.

Smartphone Incidente Software Outlook Revisión de falta de sincronización de correo con aplicativo móvil

Mesa de ayuda procede a realizar el descarte para la conectividad y sincronización de correo electrónico.

Impresora Incidente Hardware Centro de Impresión

Revisión de obstrucción de salida de impresiones

Cuando se reporta problemas de impresión, personal de mesa de ayuda investiga el hecho, solucionando o reportando al proveedor técnico.

Balanza Incidente Hardware - Revisión de problemas con balanza de peso de camiones

Cuando se reporta problemas de pesaje, personal de mesa de ayuda investiga el hecho, solucionando o reportando al proveedor técnico.

Tableta Incidente Software - Revisión en falta de sincronización con tareas de la tableta grúa

Se procede a cambio de equipo o revisión de conectividad del equipo.

Periféricos Incidente Control de Acceso

- Revisión de problemas con el lector de huellas digitales

Se solicita el escalamiento con el proveedor de dispositivos de control de acceso.

Network Incidente Software Inc. Masivo Reporte de caída de sistemas N4

Se debe generar el reporte, y ser comunicado al área de aplicaciones.

Network Incidente Hardware Inc. Masivo Reporte de caída de sistemas de radio

Se debe generar el reporte, y ser comunicado al área de infraestrucutura.

Network Incidente Network Inc. Masivo Reporte de caída de VPN Se debe generar el reporte, y ser comunicado al área de infraestrucutura.

Hardware Incidente Hardware Daños Reporte de daños físicos a un activo informático

Se debe generar el reporte, informando al gerente de sistemas y al área de seguridad para la investigación del tema.

Server Incidente Software Alerta Revisión frente a alertas automáticas del print server

Se debe examinar el estado de los servicios en el servidor, y si el problema persiste derivarlo al área de aplicaciones.

Server Incidente Software Alerta Revisión frente a alertas automáticas del firewall principal

Se debe examinar el estado de los servicios en el servidor, y si el problema persiste derivarlo al área de infraestructura.

Server Incidente Software Alerta Revisión frente a alertas automáticas del sistema de aire acondicionado del data center

Se debe examinar el estado de los servicios en el servidor, y si el problema persiste derivarlo al área de infraestructura.

Desktop Incidente IT Security Alerta Revisión de alerta de brecha de seguridad informática

En caso de ser alertados por el equipo de seguridad informática, Mesa de ayuda ejecuta el procedimiento frente alerta de seguridad, el cual incluye desconexión física del equipo, retiro y formateo completo.

Anexo 10. Plan de Capacitaciones

PLAN DE CAPACITACIONES





guía.






I. ACTIVIDAD DE LA EMPRESA

LA EMPRESA CORPORACIÓN SAPIA, es una empresa nacional líder en integración

de soluciones de negocios, Transformación Digital, Servicios TI y Operaciones.

II. JUSTIFICACIÓN

En una organización, el recurso más importante lo forma el personal implicado en las

actividades laborales, como ser el caso el Equipo de Servicio de Mesa de Ayuda en

el Terminal Portuario del Callao. Por lo cual es de especial importancia en una

organización que presta servicios, en la que la conducta y rendimiento de los

individuos influye directamente en la calidad y optimización de los servicios que se

brindan.

Un personal motivado y trabajando en equipo, son los pilares fundamentales

en los que las organizaciones exitosas sustentan sus logros, siendo la esencia

primordial en la calidad del trato que se recibe el cliente y proveedor de servicios de

TI. Sin embargo, en la mayoría de las organizaciones de nuestro País, ni la motivación,

ni el trabajo en equipo aprovechan significativos aportes de la fuerza laboral.

Tales premisas conducen automáticamente a enfocar inevitablemente el tema

de la capacitación como uno de los elementos vertebrales para mantener, modificar o

cambiar las actitudes y comportamientos de las personas dentro de las

organizaciones, direccionado a la atención del Servicio de Mesa de Ayuda en el

terminal Portuario en el Callao.

En tal sentido se plantea el presente Plan de Capacitación para el proceso de

continuidad de servicio en el área de Mesa Ayuda en el Terminal Portuario del Callao

y mejorar los procesos que dan cara a los usuarios.

III. ALCANCE

El presente plan de capacitación es de aplicación para todo el personal que trabaja en

LA EMPRESA CORPORACIÓN SAPIA – EQUIPO DE MESA DE AYUDA.

IV. FINES DEL PLAN DE CAPACITACIÓN

Siendo su propósito general impulsar la eficacia organizacional, la capacitación se

lleva a cabo para contribuir a:

Inculcar al personal de las buenas prácticas y de los marcos referenciales del

proceso de continuidad de servicio.

Mostrar las responsabilidades personales de los miembros del equipo en caso de

incidente masivo o desastre.

Elevar el nivel de conocimientos de los colaboradores con respecto a los procesos

de gestión del servicio.

Satisfacer más fácilmente requerimientos futuros de la empresa en materia de

personal, sobre la base de la planeación de recursos humanos.

Generar conductas positivas y mejoras en el clima de trabajo, la productividad y la

solidez y, con ello, a elevar la moral de trabajo.

Mantener la salud física y mental en tanto ayuda a prevenir accidentes de trabajo,

y un ambiente seguro lleva a actitudes y comportamientos más estables,

especialmente durante el desastre.

V. OBJETIVOS DEL PLAN DE CAPACITACIÓN

5.1 Objetivos Generales

Preparar al personal para la ejecución eficiente de sus responsabilidades que

asuman en sus puestos.

Brindar oportunidades de desarrollo personal en los cargos actuales y para

otros puestos para los que el colaborador puede ser considerado.

Modificar actitudes para contribuir a crear un clima de trabajo satisfactorio,

incrementar la motivación del trabajador y hacerlo más receptivo a la

supervisión y acciones de gestión.

5.2 Objetivos Específicos

Proporcionar orientación e información relativa a los objetivos del proceso de

continuidad, su organización, funcionamiento y planes.

Proveer conocimientos y desarrollar habilidades que cubran la totalidad de

requerimientos para el desempleo de puestos específicos.

Contribuir a elevar y mantener un buen nivel de interacción entre la gerencia y

el personal ejecutor de tareas de servicio.

Apoyar la continuidad del negocio y los objetivos de las áreas críticas del

terminal portuario.

VI. METAS

Capacitar al 100% al Personal de Mesa de Ayuda de los diferentes turnos que se

encuentran laborando en el terminal portuario del Callao APM.

VII. ESTRATEGIAS

Las estrategias a emplear son.

Desarrollo de simulacros prácticos que se realizan de manera trimestral.

Presentación de casos casuísticos de su área.

Realizar talleres autodidactas.

Metodología de exposición – diálogo.

VIII. TIPOS, MODALIDADES Y NIVELES DE CAPACITACION

8.1 Tipos de Capacitación

Capacitación Inductiva: Es aquella que se orienta a facilitar la integración del nuevo

colaborador, en general se expone los riesgos del centro de trabajo, en particular.

Normalmente se desarrolla como parte del proceso de Selección de Personal, pero

puede también realizarse previo a esta. En tal caso, se organizan programas de

capacitación para postulantes y se selecciona a los que muestran mejor

aprovechamiento y mejores condiciones técnicas y de adaptación.

Capacitación Preventiva: Es aquella orientada a prever los cambios que se producen

en el personal, toda vez que su desempeño puede variar con los años, sus destrezas

pueden deteriorarse y la tecnología hacer obsoletos sus conocimientos.

Esta tiene por objeto la preparación del personal para enfrentar con éxito la adopción

de los planes de contingencia, planes de recuperación de desastres, llevándose a

cabo en estrecha relación al proceso continuidad de negocio del puerto.

8.2 Modalidades de Capacitación

Los tipos de capacitación enunciados pueden desarrollarse a través de las siguientes

modalidades:

Formación: Su propósito es impartir conocimientos básicos orientados a proporcionar

una visión general y amplia con relación al contexto de desenvolvimiento.

Actualización: Se orienta a proporcionar conocimientos y experiencias derivados de

recientes mejoras o nuevos riesgos encontrados en el negocio.

Especialización: Se orienta a la profundización y dominio de conocimientos y

experiencias o al desarrollo de habilidades.

IX. ACCIONES A DESARROLLAR

Las acciones para el desarrollo del plan de capacitación están respaldadas por los

temarios que permitirán a los asistentes a capitalizar los temas, y el esfuerzo realizado

que permitirán mejorar la calidad de los recursos humanos, para ello se está

considerando lo siguiente:

TEMAS DE CAPACITACIÓN

Riesgos inherentes de las instalaciones portuarias

Riesgos en los principales servicios

Criticidad y prioridades del servicio y del negocio

Salvaguarda y protección personal durante desastre

Planes de recuperación de servicio

Planes de contingencia

Cultura Organizacional

Primeros Auxilios

IMAGEN INSTITUCIONAL

Misión y visión del negocio portuario

LOGISTICA:

Centro de mando en caso de emergencia

Lugares de operación alternativos

X. RECURSOS

10.1 HUMANOS: Lo conforman los participantes, facilitadores y expositores

especializados en la materia.

10.2 MATERIALES:

INFRAESTRUCTURA. - Las actividades de capacitación se desarrollarán en

ambientes adecuados proporcionados por la gerencia de la empresa.

MOBILIARIO, EQUIPO Y OTROS. - está conformado por carpetas y mesas de trabajo,

pizarra, plumones, total folio, equipo multimedia, y ventilación adecuada.

DOCUMENTOS TÉCNICO – EDUCATIVO. - Entre ellos se tiene certificados,

encuestas de evaluación, material de estudio, etc.

XI. FINANCIAMIENTO

El monto de inversión de este plan de capacitación será financiado por la empresa

SAPIA, la cual como parte de su mejora continua se hace responsable del proceso de

continuidad de servicio.

XII. PRESUPUESTO

DESCRIPCIÓN UNID. CANTIDAD COSTO

UNITARIO COSTO TOTAL

Pasajes Psje. 30.00 12.00 360.00

Plumones Unid. 30.00 5.00 150.00

Fólder Unid. 150.00 1.50 225.00

Separatas anilladas Unid. 150.00 5.00 750.00

Certificados Unid. 150.00 3.00 450.00

Lapiceros tinta seca Unid. 60.00 2.00 120.00

Papel Bond A-4 de 80

gramos

Unid. 5.00 22.00 110.00

Refrigerios Unid. 120.00 12.00 1440.00

Honorario de expositores* Global 1.00 12000.00 12000.00

Imprevistos % 1.00 1000.00 1000.00

Total 16605.00

*Los honorarios de los capacitadores es referencial y puede variar.

XIII. CRONOGRAMA

ACTIVIDADES A DESARROLLAR

CURSOS y TALLERES

MESES

1 2 3 4 5 6 7 8 9 10 11

Misión y visión del negocio portuario X

Riesgos inherentes de las

instalaciones portuarias

X X

Riesgos en los principales servicios X

Criticidad y prioridades del servicio y

del negocio

X X

Salvaguarda y protección personal

durante desastre

X

Planes de recuperación de servicio X X

Planes de contingencia X X

Cultura Organizacional X X

Primeros Auxilios X

Centro de mando en caso de

emergencia

X

Lugares de operación alternativos X

impacto e implementación del modelo de continuidad de...

Documents