buenas practicas continuidad negocio 2007 bci

MAN

UAL

DE

BUEN

AS

PRCTIC

AS

2007

3

Agradecimientos

La Asociacin Espaola para el Fomento de la Seguridad de la Informacin ISMS Forum Spain quiereagradecer pblicamente al BCI (Business Continuity Institute), y a su presidenta y representante enEspaa, D Joanne Gagnon, por haber cortsmente cedido los derechos de traduccin y edicin encastellano de la presente Obra a ISMS Forum Spain. Ms informacin acerca del BCI se puede consultara travs de su pgina oficial www.thebci.org

La traduccin y edicin de este Manual en castellano no habra sido posible sin el patrocinio deHewlett-Packard Espaola, cuyo director de la Prctica de Seguridad y Continuidad de Negocio, D.Luis J. Buezo, CISSP, socio cofundador de ISMS Forum Spain, ha apoyado todas las actividadesdesarrolladas por la Asociacin Espaola para el Fomento de la Seguridad de la Informacin desde sufundacin, lo cual queremos agradecer expresamente.

ISMS Forum Spain quiere agradecer asimismo a D. Csar Peacoba, SBCI, Gerente del rea deGobierno de la Seguridad de Hewlett-Packard, su valiosa contribucin como revisor y editor tcnicoespecializado del texto traducido al castellano de esta Obra.

MAN

UAL

DE

BUEN

AS

PRCTIC

AS

2007

4

La Asociacin Espaola para el Fomento de la Seguridad de la Informacin

ISMS Forum Spain es una asociacin sin nimo de lucro, creada en enero de 2007, para el Fomento dela Seguridad de la Informacin en Espaa. Adems, ISMS Forum Spain es el Captulo Espaol de ISMSInternational User Group (IUG), organizacin que promueve el conocimiento e implementacin de losSistemas de Gestin de la Seguridad de la Informacin en todo el mundo, de acuerdo con losestndares ISO 27000.

La finalidad de ISMS Forum Spain es promover el desarrollo, conocimiento y cultura de la Seguridad dela Informacin en Espaa y actuar en beneficio de toda la comunidad implicada en el sector. Seconstituye como foro especializado de debate para que todas las empresas; organismos pblicos yprivados; investigadores y profesionales colaboren, intercambien experiencias y conozcan losltimos avances y desarrollos en el mbito de los SGSI. Todo ello desde la transparencia, laobjetividad y la neutralidad.

ISMS Forum Spain nace respaldada por algunas de las ms representativas empresas y organizacionescomprometidas con la seguridad de la informacin. Los socios fundadores ejercen su labor en muydiversos mbitos que van desde la enseanza superior y la I+D hasta la Consultora, pasando por lossectores de Banca, Certificacin, Seguros, Construccin, Servicios Jurdicos o Telecomunicaciones.No obstante, la asociacin se ha creado con una vocacin plural y abierta; que quiere representar atodos los sectores implicados. Por ello invita a todos los profesionales, empresas e institucionesinvolucrados en la gestin de la seguridad de la informacin a asociarse.

En su primer ao de actividad, ISMS Forum Spain tiene ya a sesenta y cinco empresas asociadas ycuenta con ms de 400 profesionales miembros, ya sea a travs de sus empresas o por iniciativaindividual. LaAsociacin para el Fomento de la Seguridad de la Informacin es ya, por tanto, la mayorred activa espaola de expertos en SGSI.

Entre los principales objetivos de ISMS Forum Spain destacan:

- Dar visibilidad a un sector estratgico para el desarrollo econmico, como es la Seguridad de laInformacin, y difundir el talento de los profesionales que trabajan en l.

- Situar a las empresas y organizaciones espaolas a la vanguardia de conocimientos eimplementacin de SGSI.

- Ser interlocutores en Espaa de las diversas asociaciones y foros internacionales y cooperar coninstituciones pblicas y privadas, nacionales e internacionales, para impulsar la cultura de la Gestinde la Seguridad de la Informacin.

Forum SpainASOCIACIN ESPAOLA PARA EL FOMENTO

DE LA SEGURIDAD DE LA INFORMACIN

www.ismsforum.esISMS Forum Spain, Asociacin Espaola para el Fomento de la Seguridad de la Informacin

Federico Salmn, 13. 28016 Madrid. Telfono +34 91 343 76 10 // Fax +34 91 343 78 78 // [email protected] en el Registro Nacional de Asociaciones Grupo I, Seccin I, Nmero Nacional 588718

MAN

UAL

DE

BUEN

AS

PRCTIC

AS

2007

5

El pasado mes de julio ISMS Forum Spain y el captulo espaol de The Business Continuity Institute, BCISpain, llegaron a un acuerdo que prev una estrecha colaboracin entre ambas instituciones, cuyosobjetivos y metas son claramente afines y podran resumirse, aunque de una forma muy simplificada,en la promocin y difusin de los distintos aspectos de la Seguridad de la Informacin y la Continuidadde Negocio.

Como primera materializacin prctica de este convenio de colaboracin, ISMS Forum Spain hatraducido y editado por primera vez en castellano el Manual de Buenas Prcticas del BusinessContinuity Institute (BCI). El manual ya se haba traducido al alemn y al italiano, y nos parecaimportante gestionar esta versin en castellano, sin duda una de las lenguas ms utilizadas en elmbito mundial. Estamos convencidos de que esta completa y actualizada gua para instaurar BuenasPrcticas Globales en Gestin de Continuidad de Negocio ser de gran utilidad para todos nuestrosasociados, a quienes daremos acceso restringido durante un periodo inicial de tres meses. Perotambin lo ser para todos aqullos profesionales del rea de Continuidad de Negocio que trabajanen los numerosos pases de habla hispana, para quienes la haremos accesible pasado este plazoinicial.

El gran valor aadido del Manual de Buenas Prcticas es que se inspira en la experiencia real ycontrastada de los propios miembros del BCI, expertos que practican la Gestin de Continuidad deNegocio en su quehacer profesional diario. Si algo promueve ISMS Forum Spain es precisamente elintercambio de experiencias y conocimientos entre los especialistas del sector; y sin duda esta obraes un claro ejemplo del traspaso de conocimientos y que los profesionales de laContinuidad de Negocio ponen a disposicin de la comunidad global, de forma que todo tipo deorganizaciones, independientemente de su tamao, sector o ubicacin, podrn aprender y aplicarsus directrices.

Con esta entrega editorial ISMS Forum Spain contina con una de las lneas de trabajo que considerade mayor utilidad para todos sus asociados: la publicacin de informes y manuales que constituyanherramientas prcticas y actualizadas de trabajo para los profesionales y contribuyan as, de maneradirecta, a impulsar el conocimiento y la implementacin de los Sistemas de Gestin de la Seguridadde la Informacin en nuestro pas.

know-how

Gianluca D'AntonioPresidente de ISMS Forum Spain

Noviembre de 2007

ACER

CA

DE

ESTA

GU

A

6

ACERCADE ESTAGUA

Introduccin

Objetivo

Audiencia

El Business Continuity Institute (BCI) public su primer Manual de Buenas Prcticas en 2002. Esto tuvouna influencia significativa en el desarrollo del Publicly Available Specification for BusinessContinuity Management (Especificaciones Pblicamente Disponibles para la Gestin de Continuidadde Negocio, PAS 56) de la British Standards Institution (BSI). En 2005 se public una nueva edicin delManual de Buenas Prcticas con importantes modificaciones que reflejaban los conceptos msrecientes en Gestin de Continuidad de Negocio (GCN) en el mundo y que destacaban la crecientemadurez en la prctica de GCN en todos los sectores, tanto en las empresas pblicas como en lasprivadas.Esta gua para la puesta en prctica de la GCN se ha elaborado para apoyar el lanzamiento del BS25999-1 A Code of Practice for Business Continuity Management (Cdigo de Buenas Prcticas para laGestin de Continuidad de Negocio) de la British Standards Institution. Puede considerarse una guapara la puesta en prctica de BS25999, adems de un texto definitivo para aquellos que deseenentender los principios y prcticas de la GCN de una forma ms integral.Existe una relacin cercana entre la estructura de este Manual y el BS 25999-1 porque la gua del BCIsiempre ha sido un componente clave para las iniciativas de la BSI en lo que se refiere a la Gestin deContinuidad de Negocio. Est prevista una nueva revisin del Manual en cuanto se publique el BS25999-2 debido a que este estndar definir el marco de gestin y los elementos que sern decumplimiento obligatorio.No obstante, en su calidad de instituto global, el BCI tiene que reflejar las buenas prcticas en todo elmundo. El BS25999 ofrece una visin integral acerca del tema, pero existen otros estndares en vigorque muchos de los profesionales que son miembros del BCI necesitan entender. Por ello, la edicin2007 del Manual tambin est diseada para tener en cuenta los requisitos de NFPA1600 (EstadosUnidos y Canad) HB221 (Australia),APS 232 (Australia) y FSA(Reino Unido).A pesar de ello, en ningn caso debe considerarse que este Manual reemplaza aquellos estndares ogarantiza su cumplimiento.

Este documento pretende ofrecer una visin general y una gua acerca de las buenas prcticas en loque se refiere al ciclo de vida de la Gestin de Continuidad de Negocio (GCN), desde elreconocimiento inicial de la necesidad de desarrollar el programa, hasta el mantenimiento constantede un proceso maduro de Continuidad de Negocio.Se pretende que los organismos que marcan los estndares definan los requerimientos de unprograma de GCN. En aquellos casos en el que el Cdigo de Prcticas requiera un proceso, este Manualofrece ms detalles acerca de cmo abordar ese proceso. No obstante, al tratarse de una gua deprocedimientos, en algunos casos el Manual identifica pasos adicionales que son necesarios realizarpara cumplir con los requisitos de cualquier estndar.

El Manual de Buenas Prcticas se inspira en las experiencias acadmicas, tcnicas y empricas de losmiembros del Business Continuity Institute es decir, personas que practican la GCN y que handesarrollado y dado forma a las directrices en el mundo real.Los principios de estas directrices son aplicables a todas las organizaciones sin importar el tamao,sector y ubicacin - tanto para las que cuentan con una sola sede como las que tienen presenciaglobal.Por lo tanto se pretende que estas normas sean utilizadas por aquellos que practican la GCN, gestoresde riesgo, auditores y legisladores con conocimiento prctico de los principios de GCN. No es una guapara debutantes. Aquellos que se inicien a la disciplina deberan trabajar en colaboracin de alguienya experimentado en las prcticas o asistir a los programas de formacin que existen acerca deltema.

ACER

CA

DE

ESTAG

UA

7

Agradecimientos

Ian Charters (FBCI) es el principal autor del Manual de Buenas Prcticas del BCIJohn Robinson (FBCI) aport informacin adicional acerca de los estndares globales e indicadoresclave de la GCNLyndon Bird (FBCI) revis y edit el ManualEste Manual est basado en la edicin del mismo de 2005, al que contribuyeron las personas queaparecen en la lista siguiente.

Anne Wright (MBCI) Howard Booth (MBCI)Ian Griffiths (MBCI) Helen Sweet (ABCI)Richard Ecclestone (SBCI) John Worthington (MBCI)Martin Lippiett (MBCI) Mel Gosling (MBCI)James Coates (MBCI) Mark Mahoney (MBCI)Michael Bland (MBCI) David Bennett (MBCI)Jim Barrow (MBCI) Elaine Weston (MBCI)Julia Graham (FBCI) Colin Ive (MBCI)Michael Bews (MBCI) Adrian JollyJane Naylor Richard Bridgeford (MBCI)Andy Tomkinson (MBCI) Angela Hobley (MBCI)Jo Welland Nathan Bird (MBCI)Jeanette O'Neil (MBCI) Ian Charters (FBCI)

Business Continuity Institute agradece el tiempo y la asesora ofrecida de forma voluntaria por todaslas personas arriba mencionadas para el desarrollo del Manual de Buenas Prcticas en beneficio delBCI y el sector dedicado a Gestin de Continuidad de Negocio. Los que han contribuido al Manual handonado de forma gratuita sus derechos de autor y propiedad intelectual al Business ContinuityInstitute para que el instituto pueda garantizar que las directrices se mantengan actualizadas ycompletas.

ESTRU

CTU

RA

DE

ESTA

GU

A

8

Estructura de esta gua

Habilidades profesionales para la GCN

La gua est dividida en seis captulos, que se corresponden con las versiones anteriores y tambincon la nomenclatura BS25999.El captulo 1 ofrece informacin preliminar adems de Poltica y Gestin de Programa de GCNEl cptulo 2 es: Comprender la organizacinEl cptulo 3 es: Determinar la estrategia de GCNEl cptulo 4 es: Desarrollar y poner en prctica la respuesta de GCNEl cptulo 5 es: Probar, mantener y revisar los preparativos de GCNEl cptulo 6 es: Incorporar la GCN en la cultura de la organizacin

Al final de cada captulo se encuentra un resumen de los Indicadores clave de GCN que servirn debase para el uso futuro de la herramienta para establecer criterios de referencia del BCI, laplataforma educativa electrnica del BCI y los exmenes de admisin del BCI. Estos indicadores sonrecomendaciones que generalmente aparecen en la mayora de los estndares relacionados con laGCN y con los que este Manual se adecua de forma total o parcial.

Para aquellas personas que quieran convertirse en miembros profesionales del BCI, existen 10 reasde competencia que han sido definidas de forma conjunta por el BCI y el Disaster Recovery InstituteInternational (DRII). Como apndice al Captulo 6, se ofrece un mapa de habilidades que muestra larelacin de habilidades/competencias para los requisitos de conocimientos del GPG.

ND

ICE

10

Captulo 5 Probar, mantener y revisar los preparativos de GCN

Captulo 6 Incorporar la GCN en la cultura de la organizacin

CONTENIDO

CONTENIDO

COMPONENTES DE LAETAPA5Probar, mantener y revisar los preparativos de GCN Principios generalesPrograma de PruebasProbar los preparativos de GCNMantener los preparativos de GCNRevisar los preparativos de GCNINDICADORES CLAVE DE GCN

COMPONENTES DE LAETAPA6Incorporar la GCN en la cultura de la organizacin - Principios generalesEvaluar el nivel de concienciacin y formacin en GCNDesarrollar la GCN dentro de la cultura de la organizacinSupervisar el cambio culturalApndice Mapa de habilidades profesionalesINDICADORES CLAVE DE GCN

87888991949699

102103104107110112114

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

12 3

4 5

6cap

11

CONSIDERACIONES GENERALES

Qu es la Gestin de Continuidad de Negocio?

En defensa de la Gestin de Continuidad de Negocio

La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posiblesimpactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.La GCN tiene que ser asimilada y totalmente integrada en la organizacin como uno ms entre susprocesos de gestin.La GCN aspira a mejorar la capacidad de recuperacin de una organizacin. Al identificar poradelantado los posibles impactos de una amplia gama de incidencias que trastornaran de formasbita el xito de la organizacin, establece prioridades para los esfuerzos de los especialistas enimplantar robustez en sus respectivas reas de especializacin, como seguridad, instalaciones ytecnologas de la informacin.Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centraparticularmente en desarrollar una capacidad de recuperacin que sea conjunta para toda laorganizacin y le permita sobrevivir a la prdida total o parcial de su capacidad operativa. Tambindebera enfocarse en soportar prdidas significativas de recursos, como personal o maquinaria.Debido a que la capacidad de resistencia de la GCN de una organizacin depende de su equipo degestin y su personal, adems de su tecnologa y la diversificacin geogrfica, se debe desarrollaresta capacidad de recuperacin a todos los niveles de la organizacin, desde la alta direccin hasta eltaller, y en todos los dems integrantes de la cadena de valor.El factor determinante de esta robustez en toda la organizacin se sustenta en la responsabilidad dela alta direccin de proteger los intereses a largo plazo del personal, clientes y todos aquellos quedependen de algn modo de la organizacin. Si bien se pueden calcular las prdidas financierasocasionadas por una interrupcin, generalmente el mayor dao suele reflejarse en una prdida deimagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente biengestionado puede mejorar la imagen de la organizacin y su equipo de gestin.

No nos pasar, Aguantaremos, como siempre lo hemos hecho, Somos demasiado grandes parafracasar y No somos un objetivo para los terroristas son algunas de las respuestas ms frecuentesque dan las empresas cuando se les cuestiona acerca de su falta de preparacin. Otros creen que lasempresas de seguros van a pagar por todo. La mayora piensa que no dispone de tiempo paraprepararse para algo que nunca suceder. El gran nmero de negocios que se han hundido despus desufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas.Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicacin, el90% de las incidencias que ponen en riesgo el negocio son "catstrofes silenciosas" que no figuran enlos medios pero que pueden tener un efecto devastador para el buen funcionamiento de unaorganizacin. Muchas de las causas son ajenas al control de la organizacin y suelen estar a merced delos servicios de emergencias o de proveedores que marcan los plazos de la interrupcin.A la hora de gestionar cualquier acontecimiento, el xito se mide tanto por la respuesta tcnica dadacomo por la competencia de su equipo gestor. Una investigacin efectuada por Rory Knight y DeborahPretty, de la firma Oxford Metrica, indica que las organizaciones que se ven afectadas por catstrofesse dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuandouna organizacin ha lidiado una crisis con xito el valor de sus acciones ha crecido en el largo plazo,mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio desus ttulos y, pasado un ao, seguan sin recuperarse.Investigaciones ms recientes demuestran que aquellas organizaciones que destinan un mayorpresupuesto a control de riesgos, GCN y buen gobierno son las empresas ms rentables en su sector, loque indica que la GCN es una inversin, no un coste.Un elemento clave para el xito de los programas de GCN es que las distintas responsabilidades seasuman a los niveles apropiados de la organizacin. En estas empresas las implicaciones de la GCN seevalan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del procesode control del cambio.

POL

TIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

12

12 3

4 5

6ca

pCmo beneficiar a mi organizacin?

Relacin con otras especialidades

El objetivo principal de la GCN es asegurar que la organizacin tiene una respuesta para los trastornosimportantes que pondran en riesgo su supervivencia. Esto de por s es suficientemente valioso, peroadems incorporar la GCN en la gestin diaria puede aportar otras ventajas.Ya sea por sus estatutos o por ley, algunas organizaciones tienen que incorporar la GCN o, de formams genrica, la "gestin de riesgos", como parte de sus obligaciones de buen gobierno corporativo.Un plan apropiado de GCN cumplir con las obligaciones especficas y adems constituir unarespuesta tanto a posibles incidentes especficos como a la creacin de una "conciencia de riesgos"para la organizacin en su conjunto. No obstante la motivacin principal para instaurar la GCN nodebe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta enmarcha agrega valor a una organizacin y a los productos y servicios que ofrece.

. Nigel Turnbull, Presidente de Turnbull Committee acerca del buen gobiernocorporativo en Reino Unido.Las empresas que venden a otras empresas han recurrido a la GCN como una ventaja competitiva paralograr nuevos clientes y mejorar sus mrgenes al incorporarla a su poltica de atencin al cliente. Unrepaso exhaustivo de las actividades a travs de los ejercicios de Evaluacin y Planificacin deImpacto al Negocio puede poner en relieve las ineficiencias y destacar prioridades que de otra formano hubieran nunca salido a la luz.Las empresas que ofrecen productos o servicios saben que conservar a un cliente mediante unservicio ms confiable es ms barato que tratar de recuperar a los "desertores" despus de unainterrupcin del negocio.El espritu de equipo que se crea durante la buena gestin de un incidente puede mejorar el resultadode un negocio mucho despus de que el problema se haya solucionado.

. (Extrado de un discurso de Eliza Manningham-Buller,Directora General de MI5, en la Conferencia UK CBI, Noviembre 2004).

Determinar cules son las responsabilidades de la Gestin de Continuidad de Negocio dentro de unaorganizacin concreta tendr mucho que ver con la persona que se nombrar para estar a cargo ascomo de su experiencia previa en la materia. Esto puede significar que un responsable de Continuidadde Negocio puede considerar que la seguridad, la disponibilidad de TI o la gestin de riesgosconstituyen las cuestiones clave, mientras restar importancia a otras reas. Por esta razn esextremadamente difcil llegar a un acuerdo en cuanto a la lista general de responsabilidadesespecficas para la Gestin de Continuidad de Negocio. En concreto existen muchos debates acercade su relacin con la Gestin de Riesgos.Este Manual considera que, si bien se trata de facetas complementarias, los enfoques y mtodosempleados en Continuidad de Negocio son muy diferentes de los dedicados a Gestin de Riesgos. Latabla siguiente trata de destacar las diferencias entre ambos.

Para muchas empresas, la GCN tendr en cuenta algunosriesgos clave y les ayudar a cumplir consus obligaciones"

Muchas veces me preguntan cul es el consejo ms til que puedo ofrecer en el mundo de losnegocios. La respuesta es un sencillo y efectivo plan de continuidad de negocio que estcontinuamente actualizado y probado

13

Tabla: Comparacin entre Gestin de Riesgos y Gestin de Continuidad de Negocio

Intensidad

Alcance

Mtodo clave

Gestin de riesgos

Parmetrosclave

Tipo deincidente

Magnitud delincidente

Gestin de continuidadde negocio

Anlisis de riesgoAnlisis de impacto sobreel negocio

Impacto y TiempoImpacto y Probabilidad

Acontecimientos causantes detrastornos serios para el negocio

Todo tipo de eventualidadesgeneralmente segmentadas

Para la planificacin estratgica:slo los incidentes que afectan a lasupervivencia del negocio

Toda magnitud (coste) de losacontecimientos.Generalmente segmentados

Acontecimientos sbitos o derpida evolucin (aunque esposible que la respuesta tambinresulte apropiada si un incidentepersistente se transforma en severo)

Todas, desde gradualeshasta sbitos

Se enfoca sobre todo en gestin deincidentes en su mayor parte externosa los aspectos fundamentalesde negocio

Se enfoca primordialmenteen la gestin de riesgos paralos objetivos del negocioprincipal

La visin que se presenta en este Manual pretende presentar la caractersticas esenciales de laGestin de Continuidad de Negocio al mismo tiempo que entiende que los que las apliquen de formaconcreta muchas veces tendrn, ya sea por sentido comn o por rdenes recibidas, que ampliar supapel debido a la situacin que desempeen en la organizacin para la que trabajan.

Ya se ha abordado la relacin entre el Manual de Buenas Prcticas 2007, BS 25999-1 y otros estndaresde GCN.Otros estndares que contienen elementos de GCN son:PAS 77 sobre Continuidad de Servicio de TIISO 27002 (Antes ISO 17799) Aunque primordialmente se trate de un estndar relativo a laseguridad de la informacin, contiene aspectos de Continuidad de Negocio que deben ser atendidospara implantar correctamente ISO 27001.ITIL este estndar se ocupa de disciplinas de Gestin de Servicio, como Riesgos y Seguridad,Cambios, Problemas, Configuracin, Capacidad y Disponibilidad. No obstante existe un vnculo entrela Continuidad de Servicio de TI de ITIL (Recuperacin de Desastres) y la Continuidad de Negocio.Legislacin de Proteccin de DatosLegislacin garante de la libertad de informacinNormas sanitariasReglas y directrices como las previstas en la ley Sarbanes-Oxley de Estados Unidos y el acuerdointernacional bancario Basilea II, influyen sobre GCN al ser obligatorias e imponer parmetros para lacontinuidad de servicios.

Cada organizacin es diferente. Se gestiona de formas diferentes, tiene una presencia geogrficadiferente y adems evoluciona con el paso del tiempo. Por eso es imposible hacer recomendacionesespecficas acerca de las soluciones que conviene adoptar.

Relacin con otras directrices y estndares

CMO UTILIZAR ESTE MANUAL

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

14

Por lo tanto, este Manual pretende dar una idea general de un proceso y recomendar mtodos, con lacreencia de que se llegar a la solucin adecuada si se siguen los pasos correctos.Puede existir un caso en el que el proceso descrito necesite modificarse para cumplir con ciertasnecesidades especficas de la organizacin, por lo que cada organizacin necesita evaluar cmoaplicar las directrices a su propia estructura. Tiene que asegurarse, que su capacidad y competenciapara la GCN son apropiadas para la naturaleza, tamao y complejidad de su negocio y adems es unreflejo de su propia cultura y del entorno en el que opera.La definicin de "buena" prctica implica que existe una prctica "mejor". Sin embargo, al contrariode lo que sucede con otros estndares, tiene que encontrarse la solucin "apropiada" para cadaorganizacin. Si la solucin se queda corta existe un riesgo de que fracase toda la estrategia, pero sise excede se malgasta tiempo o dinero que podran ser empleados en otras necesidades. Pordesgracia es difcil determinar con exactitud esta estrategia ideal "apropiada", pero las directricesdeberan ofrecer un enfoque sistemtico para identificarla.

El anlisis de la respuesta que han tenido las organizaciones con respecto a las incidencias queafectan a la Continuidad de Negocio demuestra que aquellas que los han solucionado mejor hanintegrado las soluciones al conjunto de la organizacin. En la prctica esto significa que la capacidadde gestin de incidencias por parte de la alta direccin se apoyaba en una logstica de Continuidad deNegocio, adems de un soporte tcnico para retomar la actividad.Por esta razn el Manual se centra en el papel fundamental del responsable de la GCN y asume que elespecialista en otras reas (TI, seguridad, RH y desarrollo de negocio) estar disponible paraaconsejar en la puesta en marcha de estas dems facetas.

En primer lugar el Manual se ocupa de las cuestiones de Poltica de GCN y su gestin que definen elcontexto y alcance del Programa, luego sigue el Ciclo de Vida de la Gestin de Continuidad deNegocio; desde la Gestin de programa hasta la Comprensin de la organizacin. Despus sigue loselementos del ciclo de vida de forma lgica y finaliza con el carcter permanente de un programa deGCN "Insertar la GCN en la cultura de la organizacin".A lo largo del Manual se hace referencia a las secciones importantes de BS 25999-1, pero no existe unacorrespondencia directa entre las secciones.El manual muestra cmo tericamente las etapas encajan entre s; en la prctica el que lo lleve acabo no seguir necesariamente esta progresin de forma estricta. Por ejemplo un ejercicio basadoen escenario puede resultar conveniente para "vender" el proyecto en sus comienzos y se puedenescribir planes para dotar a la organizacin de cierta capacidad de gestin de incidentes antes de quese hayan investigado los requisitos para el reinicio de actividades. No obstante los progresos debenmedirse siempre con respecto al ciclo de vida completo y la organizacin en su conjunto.

Cada paso contiene:

Alcance del Manual

Diseo del Manual

Estructura del contenido del Manual

Fases de las directrices Preguntas que responden

Introduccin

Detalle de los componentes

Indicadores clave de GCN

Contenidos descritos ms adelante

Qu es lo ms importante que hay que saber?

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

15

Diagrama y glosarioAl contrario de otras versiones anteriores del Manual, estas directrices utilizan el diagramaesquemtico y el glosario de BS25999-1. Para obtener copias oficiales de stos hay que recurrir a ladocumentacin estndar oficial de Bs25999.

Figura: El ciclo de vida de GCNBS 25999-1

12 3

4 5

6ca

p1

2 3

4 5

6ca

p

Componentes de las directrices Preguntas que responden

Introduccin

Pasos previos

Propsito

Conceptos y suposiciones

Proceso

Mtodos y Tcnicas

Resultados

Revisin

Qu se tiene que haber hecho antes de llegara esta etapa?

Por qu necesitamos hacerlo? Qu conseguir?

Qu necesitamos comprender?Qu damos por supuesto?

Qu tenemos que hacer?

Qu herramientas necesitamos para lograrlo?

Qu debera producir?

Cuando debera realizarse?

La estructura y formato de cada componente sigue un esquema comn:

12 3

4 5

6cap

Desarrollare implantar

una respuestade GCN

Determinarlas opciones

de GCN

Comprenderla organizacin

Inse

rtar

laGC

Nen

la cultura de la organizacin

Probar,mantenery revisar

Gestindel

programaGCN

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

16

COMPONENTES DE LAETAPA1POLTICADE CONTINUIDAD DE NEGOCIO Y GESTIN DELPROGRAMAPOLTICADE GESTIN DE CONTINUIDAD DE NEGOCIO

GESTIN DELPROGRAMA

PLASMAR ELCONTEXTO DE LAORGANIZACINCONTENIDOS DE LAPOLTICADE GCNALCANCE DELPROGRAMADE GCNACTIVIDADES SUBCONTRATADAS

ASIGNACIN DE RESPONSABILIDADESPONER EN PRCTICALAGCN EN LAORGANIZACINGESTIN DE PROYECTOGESTIN CONTINUADOCUMENTACINPREPARACIN PARALOS INCIDENTES Y SUS RESPUESTAS

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

17

LAPOLTICADE GESTIN DE CONTINUIDAD DE NEGOCIO

1. Introduccin

Referencia: BS 25999-1 Seccin 4

La Poltica de GCN es el documento clave que determina el alcance y buen gobierno del programa deGCN. La Poltica ofrece el contexto en el que el equipo de GCN desarrolla las competenciasrequeridas.Cuando una organizacin se embarca en un programa de GCN no dispondr de una Poltica de GCN niprobablemente entender las decisiones que tiene que tomar para escribir uno. Se necesita realizaruna serie de actividades que se encaminan a la formulacin de esta Poltica. Los pasos clave son:Asegurarse de que el programa de GCN apoya los objetivos y la cultura de la organizacinDecidir el alcance del programa de GCNFormular una poltica de GCNDeberan iniciarse uno o varios proyectos para permitir que la organizacin desarrolle una Poltica einicie las actividades necesarias para instaurarlo.

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

18

PLASMAR ELCONTEXTO DE LAORGANIZACIN

1. Introduccin

2. Pasos previos

3. Propsito

4. Conceptos y suposiciones

5. Proceso

Ref: BS 25999-1 Seccin 4.2

Para desarrollar un programa de Gestin de Continuidad de Negocio apropiado hay que asegurarse deque refleja los objetivos de la organizacin y su cultura.Es necesario preguntarse lo siguiente:Cules son los objetivos de la organizacin?Cmo se logran las metas de negocio?En algunas organizaciones, como parte de los procesos de planificacin de negocio, se llevar a cabouna evaluacin de riesgos graves que puedan poner en riesgo el cumplimiento de los objetivosestratgicos y de operacin. Las conclusiones de este ejercicio pueden ofrecer una informacinvaliosa a la hora de determinar el contexto general para elAnlisis de Impacto en el Negocio (AIN). Enalgunos sectores de actividad o entornos es obligatorio realizar la evaluacin de riesgos.

Es ms fcil asegurarse de que la Poltica de GCN se corresponde con los requisitos de la organizacinsi stos se identifican y se acuerdan formalmente.

El propsito de alinear la Continuidad de Negocio con la estrategia conjunta desde el principio espara:Comprender la direccin y enfoque del negocio antes de iniciar una evaluacin de riesgos o deimpacto en el negocio.Ayudar a entender el plan de negocio en lo que se refiere a crecimiento o reduccin de negocio,reestructuracin, etc., en el corto, medio o largo plazo. Es posible que este tipo de informacin noest a disposicin de la persona encargada de la actividad de continuidad de negocio y dependamucho del tipo y tamao de la organizacin. Conocer los planes de negocio ayudar a desarrollarrecomendaciones de estrategias de contingencia que sean adecuadas y flexibles.Establecer el parmetro de escala geogrfica para la eleccin de opciones de recuperacin

Es posible y deseable que se utilice un AIN para determinar el impacto de una interrupcin antes deemprender una reestructuracin importante del negocio como:Introduccin de un nuevo producto, proceso o tecnologaCambio de ubicacin de una oficina o ampliacin geogrfica del negocioCambio significativo en las operaciones, estructura o recursos humanosIncorporacin de un nuevo proveedor o empresa subcontratada importantesPuede que esto d lugar a una revisin sobre cmo llevar a cabo la reestructuracin o inclusocuestionar su propia puesta en marcha.

La reaccin de los clientes y competidores en un factor clave que afecta la viabilidad de unaorganizacin despus de un trastorno.Algunas de las condiciones importantes son:Si el producto se consigue de varios proveedores, unos pocos o slo unoCul es el plazo ms probable para encontrar otros proveedoresSi en el sector otros proveedores actuarn para aprovecharse de una empresa en dificultades o esprobable que se ayuden entre ellos (algo que puede suceder para proteger la reputacin del sector)El Programa de GCN podra ofrecer una oportunidad de negocio para una organizacin comercial si elcliente est dispuesto a pagar una cantidad suplementaria para tener mayor confianza en la entrega.Estrategia de organizacinLos aspectos de la estrategia de una organizacin con ms probabilidades de afectar al Programa deGCN son:Una estrategia de expansin (o contraccin)Desarrollo de nuevos productos o servicios

Utilizar unAIN para revisar la estrategia de la organizacin

Condiciones de mercado

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

19

Responsabilidades

Tamao

6. Mtodos y tcnicas

7. Resultados

8. Revisin

Obligaciones en los estatutosResponsabilidades legalesNormas sanitarias y de seguridad

Decidir la amplitud geogrfica mxima de una interrupcin o la magnitud de la prdida de un recursoque la organizacin necesita planificar de cara a sobrevivir. Esto puede estar condicionado por:Amplitud geogrfica (o rea de mercado/cliente)Obligaciones legales o normas estatutariasProductos, mercado, sectores o exigencias especficas de los clientes

Herramientas clave:Demostrar una comprensin de los planes futuros de la organizacinDisponer informacin actualizada de los procesos detallados, volmenes, objetivos y, cuando seaposible, valores cuantificables relativos a la actividadEs posible que cierta informacin sea confidencial y por lo tanto en algunas organizaciones no estdisponible para el responsable de GCN. El hecho de no disponer de esta informacin no deberaimpedir el AIN o la Evaluacin de Riesgos, aunque s puede perjudicar la confiabilidad de losresultados finales.

Determinacin del alcance y produccin de un documento con los trminos de referencia para elAnlisis de Impacto en el Negocio y Evaluacin de Riesgos.

El impacto sobre la organizacin de una estrategia de Gestin de Continuidad de Negocio debera serrevisado como mnimo una vez al ao como parte de (o al menos de forma paralela) los procesos deplanificacin estratgica y operativa de un negocio. Una revisin ms frecuente puede serconsecuencia de alguna de estas cuestiones:Modificacin clave en el negocioReestructuracinExpansin/contraccinIntroduccin de un nuevo productoCambio de ubicacin o consolidacin geogrficaUn incidente y la recuperacin de actividad

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

20

CONTENIDOS DE LAPOLTICADE GCN

1. Introduccin

2. Pasos Previos

3. Propsito


5. Proceso

6. Mtodos y tcnicas

7. Resultados

Referencia: BS 25999-1 Seccin 4.3

La poltica de GCN de una organizacin provee el marco en el que se disea y construye la capacidadde GCN.

Una comprensin por parte de toda la organizacin de la GCN y su importancia.

El propsito de una poltica de GCN es documentar los principios a los que aspira atenerse laorganizacin y en referencia a los cuales sus resultados pueden ser auditados.

Si bien la alta direccin es la mxima responsable de la poltica de GCN, se supone que el equipo deGCN ser el encargado de crearla y asegurarse de que es la apropiada.

El proceso para desarrollar una poltica de GCN incluye:Identificar y documentar los componentes de una poltica de GCNIdentificar una definicin de GCNIdentificar aquellos estndares, normas y leyes que sean relevantes y deban ser tenidos en cuentaen la poltica de GCNIdentificar cualquier manual de buenas prcticas o dems polticas de GCN de otras organizacionesque podran servir de modeloRevisar y llevar a cabo un "anlisis diferencial" entre la actual poltica de GCN de la organizacin(cuando exista) y una poltica de referencia externa o con los nuevos requisitos de la nueva poltica deGCNDesarrollar un borrador de una nueva poltica de GCN o, en su caso, de una versin corregidaRevisar el borrador de la poltica de GCN con respecto a los estndares que ha adoptado laorganizacin en cuestiones relacionadas, tales como la poltica de seguridad de TICircular el borrador de la poltica para consultasCorregir el borrador de la poltica de GCN all donde sea necesario basndose en los comentarios traslas consultasAcordar una ratificacin de la poltica de GCN y una estrategia para su puesta en marcha por la altadireccin de la organizacinPublicar y distribuir la Poltica de Continuidad de Negocio por medio de un sistema de controlapropiado y tcnicas

Los mtodos, herramientas y tcnicas para desarrollar una Poltica de GCN incluyen:Una revisin de la actual Poltica de GCN de la organizacin.Una investigacin acerca de las fuentes externas que sirvan de orientacin, tales como losorganismos legales, cdigos de buenas prcticas sectoriales y colegios profesionales.Contacto con organismos sectoriales y profesionales para entender los problemas ydesencadenantes de la GCN, tanto actuales como en desarrollo.Identificacin y adopcin de componentes de una Poltica de GCN de otra organizacin consideradamodlica en Buenas Prcticas.Una evaluacin del estado actual de carencias y revisin de las polticas externas e internas paradeterminar los elementos esenciales de una nueva o revisada Poltica de GCN.Una revisin por parte de expertos en GCN externos

La Poltica de GCN, que incluir (o har referencia en un documento anexo):La definicin de GCN de la organizacinUna definicin del alcance del programa de GCN (ver seccin siguiente)Un marco operativo de GCN documentado para la gestin del programa de GCN de la organizacin,que adems incluya responsabilidadesUn conjunto documentado de principios de la GCN, sus directrices y estndares mnimosUn plan de puesta en marcha y mantenimiento de la Poltica

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

21

8. RevisinMientras todas las polticas de organizacin deberan ser revisadas de forma continua, una revisinformal de esta Poltica debera desencadenarse por un cambio en el entorno externo en el que operala organizacin. Estos cambios podran ser cambios en mercado o legales.

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

22

ALCANCE DELPROGRAMADE GCN

1. Introduccin

2. Pasos previos

3. Propsito


Referencia: BS 25999-1 Secciones 4.4 y 6.6

Una de las objeciones ms frecuentes a la puesta en marcha de la Gestin de Continuidad de Negocioes que el programa exigido es demasiado extenso si se aplica a toda la organizacin en un proceso.Los estndares britnicos determinan un alcance de cumplimiento para productos o serviciosespecficos o ubicaciones geogrficas definidas. Esto permite que una organizacin ponga en marchala GCN slo en algunas partes, aunque se espera que con el tiempo luego la extiendan a todas susoperaciones.Esta seccin enumera las opciones disponibles para la organizacin para proteger su entrega deproductos y servicios. Dentro del estndar britnico BS 25999-1 slo la ruta de Continuidad de negocio(seccin 6.6.2) puede servir a cumplirlo, puesto que las dems (secciones 6.6.3/5) - aceptacin,transferencia y cancelacin - no presuponen el mantenimiento de la entrega del producto o servicioal cliente. Las opciones a las que se refiere esta seccin radican en definir el alcance del programa deGCN al que luego el estndar tiene que ser aplicado.

Lgicamente el primer paso es decidir acerca del alcance del programa de GCN. No obstante, esprobable que eso tenga que ser revisado constantemente. Puede resultar til llevar a cabo un AIN dealto nivel de la entrega de producto o servicio para tomar una decisin acerca de qu productos yservicios estarn incluidos en el alcance (basndose en el impacto de la no entrega).

El propsito de determinar el alcance es garantizar la claridad de qu reas de la organizacin estnincluidas en el programa de GCN. La documentacin de las opciones para cada producto y serviciopretende dejar claro cmo la organizacin piensa proteger (o no) su capacidad de mantener suentrega, y esta decisin estar disponible para actores externos, tales como clientes o autoridades.El alcance puede (y dentro del cumplimiento de estndares debe) ser definido identificando quproductos y servicios van a estar englobados. Esto hace hincapi en el criterio clave de xito de lamayora de las organizaciones: la entrega de productos o servicios.La ubicacin puede tambin servir a la definicin del enfoque, permitiendo que el programa de GCNincluya o excluya una o varias ubicaciones. Pero no es lgico dejar fuera un emplazamiento que esimportante para la entrega de un producto o servicio considerado dentro del alcance.La limitacin del alcance debe ser considerada una decisin tctica que permite introducir de formaescalonada la GCN en toda la organizacin.

Si un producto o servicio se asigna dentro del alcance entonces todas las actividades que apoyan suentrega tienen que se incluidas en el programa de GCN.

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

23

La organizacin BS 259991

2 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

ProductoA

ProductoB

ServicioC

Cliente A Cliente A

Empresasubcontratada

Actividad

Actividad

ServicioD

Actividad1

Actividad2

Actividad3

Actividad4

Actividad 5Alta

Direccin

BCM Actividad 6

LA EMPRESA

Accionistas

Diagrama: La organizacin BS 25999

5. Proceso

Criterios de eleccin

En el diagrama anterior se determina que el Producto B y el Servicio C estn dentro del programa, porlo que las actividades sombreadas tienen que formar parte, ya sea parcial o totalmente dentro de sualcance.

El proceso incluye los pasos siguientes:Conformar un Equipo de Estrategia de Gestin de Continuidad de Negocio.Identificar la Estrategia de Negocio de la organizacin, sus objetivos, obligaciones legales ycomprender cmo una Estrategia de Continuidad apoyar estos objetivos.Si se ha llevado a cabo un Anlisis de Impacto en el Negocio para determinar los efectos que tendrala prdida de un producto o servicio, revisar su alcance, las suposiciones y resultadosConsiderar las opciones estratgicas para cada producto y servicio.Ofrecer a la direccin ejecutiva un informe de evaluacin para determinar opciones, que se basanen la estrategia de negocio actual y futura de la organizacin.Garantizar que la opcin acordada es ratificada por la direccin ejecutiva, incluyendo lasprevisiones financieras y de recursos.LIevar a la prctica un proceso constante que garantice la revisin de la estrategia.

Los productos y servicios deberan ser identificados a un grado de detalle apropiado.Ejemplos de productos y servicios pueden ser:Un producto manufacturado o una gamaRecogida de deshechosSoporte telefnicoAlgunos de los siguientes factores pueden influir en las decisiones acerca de qu productos, servicioso ubicaciones conviene incluir en el programa:Un requisito del clienteUna obligacin legal o estatutariaUna ubicacin considerada de alto riesgo debido a su cercana con otras instalaciones industriales ola posibilidad de una inundacin, entre otros riesgosEl producto representa una proporcin muy importante de los ingresos de la organizacin

24

Razones por las que un producto, servicio u organizacin pueden ser excluidos del programa:

Cuando se trata de determinar si se excluye del programa, adems del impacto financiero oposibles prdidas se tienen que tomar en cuenta los siguientes factores:

Producto/servicio cercano a cumplir su ciclo de vida (dejara de existir si se interrumpiera elsuministro)Producto/servicio con mrgenes reducidos (cancelacin o subcontratacin)Una ubicacin considerada de bajo riesgo

Los puntos de vista de los proveedores, clientes y dems partes interesadas con influenciaCualquier dao ocasionado por la interrupcin o cancelacin definitiva de un productoEl grado de confianza de cualquier clculo de riesgo

Las opciones disponibles para cada producto o servicio son:Continuidad de NegocioAceptacinTransferenciaCambio, suspensin o cancelacin definitiva

Opciones

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

Diagrama: Opciones para productos y servicios

Opciones deproducto/Servicio

Aceptacin Transferencia

Cambio,Suspensin ocancelacindefinitiva

Documentaciny

ratificacin

Programa degestin de

riesgos(BS 25700)

Continuidadde

Negocio

Opciones parala actividadbasadas en

nivelesoperativosaceptables

Fuerza laboral,habilidades yconocimientos

Instalacionesdel lugar

de trabajo

Tecnologasde

apoyo

Datose

InformacinEquipo

ysuministros

Proveedores,clientes y dems

partes interesadas

25

Acontinuacin se describe de forma detallada cada opcin:

Si la estrategia elegida es la de Continuidad de Negocio, entonces es necesario instaurar medidasadecuadas que garanticen que las diversas actividades que determinan la entrega pueden proseguir oser recuperadas en los plazos requeridos y que son descritos en la seccin 7.Las estrategias alternativas que deben considerarse (que estn fuera del alcance de un programa deGCN) son:

Si se valora que el coste de GCN es demasiado alto o se calcula que el riesgo es bajo porque es pocoprobable que se produzca una interrupcin (o tendra un impacto menor) entonces el riesgo es"aceptable".En tal caso puede que la organizacin elija no hacer nada al respecto o instaure medidas paraenfrentar los riesgos en caso de que se materialicen. Estas medidas pueden incluir:Lograr aptitudes para la Gestin de IncidentesMedidas para protegerse de amenazas especficas de mayor probabilidad, como las existentescontra incendiosEstrategia de fortaleza cuando se trate de instalaciones que poseen procesos de fabricacin nicos yexclusivos o situadas en lugares nicos y para las que es imposible pensar en una estrategia dereubicacin. En tal caso todos los esfuerzos deben enfocarse en minimizar las amenazas especficascon la esperanza de que si pasara lo peor, el componente nico y exclusivo de la organizacin volvera restaurarse sin importar el tiempo que se tarde.La aceptacin de un riesgo y la determinacin de la capacidad de asuncin de riesgos por parte de unaorganizacin estn sujetas a todas las advertencias de la seccin anterior acerca de la evaluacin deriesgos. Esto significa que no es posible determinar de forma cientfica el valor de un riesgo y que porello una organizacin no puede contraponerlo de forma rigurosa con su terica capacidad de asuncinde riesgos.Si una organizacin busca protegerse de forma no sistemtica contra algunas amenazas que hadetectado, el coste general de las medidas puede superar al de la estrategia de Continuidad deNegocio y dar lugar a una proteccin menos integral y duradera de la que hubiera ofrecido unprograma de GCN.

Es posible transferir un riesgo a un tercero que tenga mejor capacidad para gestionarlo.Las medidas posibles son: . Cada vez son ms las organizaciones que estn subcontratando partes crticas delnegocio para crear organizaciones virtuales. La transferencia de riesgos es muchas veces unargumento muy citado en favor de la subcontratacin. Es importante recordar que no se puedesubcontratar ni se puede transferir el riesgo para la reputacin e imagen de marca de la organizacin.El riesgo y la responsabilidad siempre permanecen dentro del negocio. a travs de proveedores internos o externos que estn lejos del centro del negocio(generalmente en otro pas) trae consigo nuevas complicaciones en seguridad, adems de riesgospolticos y medioambientales que pueden llamar la atencin de clientes y autoridades. . Es decir, transferir parte de los costes financieros de un incidente a una compaa deseguros. No obstante en caso de un incidente de gran escala, slo puede aportar dinero para apoyarotras medidas de recuperacin de negocio y no es una solucin suficiente.Es importante destacar que no se pueden delegar ciertas responsabilidades. La organizacin puedever daada su reputacin o estar sujeta a sanciones por el fallo de la empresa subcontratada.

Cambiar el proceso puede ofrecer una oportunidad para continuar con el negocio de cara a losclientes, pero el producto o servicio a entregar est "ensamblado" de forma distinta, generalmentemediante la subcontratacin de una parte o toda la operacin. Por ejemplo un fabricante puedeconvertirse en distribuidora importando productos y reetiquetndolos.

Cambio, suspensin o cancelacin

Continuidad de Negocio

Aceptacin

Transferencia

Subcontratar

Deslocalizar

Asegurar

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

26

Puede resultar apropiado abandonar o vender ciertas partes del negocio cuando la actividad restantese mantiene viable y puede dejar espacio para una recuperacin, o si un producto o servicio estfinalizando su ciclo de vida. Tambin puede resultar una estrategia apropiada para un grupo deempresas que no quieren sufragar la capacidad de recuperacin de una filial marginal. Estaestrategia comporta riesgos si la reputacin de los dems negocios puede resultar daada por elfracaso de la parte cancelada.Si estas decisiones no se toman de acuerdo con el cliente, la organizacin puede encarar demandaslegales y daos a su reputacin en caso de no cumplir las expectativas de un cliente.Pero si est estrategia recibe el visto bueno de todas las partes, las opciones pueden verse comosoluciones para la Continuidad de Negocio y pueden ser incluidas en el programa de GCN.Determinar una estrategia de Continuidad de Negocio adecuada depender de la aceptacin porparte del cliente y llevar a cabo los cambios de procesos que seran necesarios para cumplirla (ya seadeterminados por adelantado o anticipados despus del trastorno).

Las herramientas que pueden utilizarse para desarrollar la estrategia de la Organizacin paraproductos y servicios incluyen:El Anlisis del Impacto en el Negocio ofrece una tcnica para evaluar de forma sistemtica elimpacto de las interrupciones para ofrecer productos y servicios. Se puede utilizar para tomar unadecisin acerca de qu productos y servicios deberan ser incluidos en el alcance del programabasndose en el plazo y magnitud del impacto de la interrupcin.Anlisis de Coste Beneficio (que incluye evaluaciones de proveedores, clientes y dems partesinteresadas, legales y normativas)Anlisis DAFO (Debilidades/Amenazas/Fortalezas/Oportunidades)Planificacin y gestin financierasHerramientas de planificacin estratgicaComparacin con respecto a los estndares nacionales e internacionales correspondientesAnlisis PEST (Poltico/Econmico/Social/Tcnico)Se puede recurrir a tcnicas de investigacin de mercado para determinar la viabilidad de unproducto despus de una interrupcin en su suministro.

Los resultados son:Una estrategia acordada para proteger cada producto y servicio de la organizacin que estn:

o bien: dentro del alcance del programa de GCN o bien: fuera del alcance del programa de GCN

Un alcance para el programa de GCN que quede documentado en la Poltica de GCN

Debera llevarse a cabo una revisin de la Estrategia de GCN de la organizacin (corporativa) al menoscada 12 meses. No obstante existen acontecimientos que propician la reevaluacin de la estrategiade GCN, tales como:Una revisin del Anlisis del Impacto en el Negocio que identifique cambios importantes en losprocesos y prioridades.Un cambio significativo en uno o ms de los aspectos siguientes: la actitud de la organizacin frentea los riesgos (quizs desencadenados por un acontecimiento), las condiciones de mercado, compras ofusin, nuevos productos o servicios, obligaciones legales o normativas.

6. Mtodos y tcnicas

7. Resultados

8. Revisin

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

27

ACTIVIDADES SUBCONTRATADAS

1. Introduccin

2. Propsito

4. Proceso

5. Mtodos y tcnicas

6. Resultados

7. Revisin



Si se subcontrata una parte o la totalidad de un producto o servicio, la responsabilidad de sucontinuidad sigue siendo de la organizacin. Los clientes esperan que la organizacin haya elegido deforma responsable a sus socios y haya tomado las medidas adecuadas para garantizar la entrega.Las obligaciones internas o legales suelen destacar que la responsabilidad ltima de los serviciossubcontratados sigue siendo de la organizacin.

El propsito es asegurar que la entrega de productos y servicios de la organizacin no se verinterrumpida por un tercero que provee bienes o servicios a la organizacin o directamente al clienteen nombre de la organizacin.

La organizacin sigue siendo responsable de la entrega del producto o servicio y no puede delegar esaobligacin en la empresa subcontratada.

Los procesos para revisar las medidas de Continuidad de Negocio de una empresa subcontratada sonparecidos a los que se emplean para revisar las medidas de la propia organizacin (ver una seccinposterior).Es importante que esta informacin est disponible para evaluar:las ofertas de posibles empresas de subcontratacinla adecuacin constante de las medidas de las empresas subcontratadas ya existentes

Se puede mejorar la robustez en los contratos de subcontratacin mediante:Una seleccin apropiada de las empresas subcontratadasLa especificacin en el contrato de los requisitos para la Continuidad de NegocioAcuerdo acerca de los niveles de servicio realistas que se ofrecern durante los incidentes encualquiera de las organizacionesInvolucrar a las empresas subcontratadas en formacin, concienciacin y pruebas de Continuidad deNegocio

Documentacin para apoyar la subcontratacin que incluye:Parmetros obligatorios para la seleccin de empresas subcontratadasTrminos contractualesAcuerdos de nivel de servicioDocumentacin acerca de los resultados de las pruebasEl resultado debera ser una cadena de suministro robusta que pueda absorber los trastornos sinimpactar de forma seria la entrega de productos y servicios al cliente.

La revisin de la continuidad del proveedor debera ser una parte importante de la evaluacin de lasofertas a la hora de otorgar o renovar los contratos.Se recomienda una revisin anual de los resultados del proveedor con respecto a las obligaciones parala continuidad.

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

28

GESTIN DE PROGRAMA

1. Introduccin


Un factor clave de xito para la GCN es la designacin de personas competentes para supervisar ygestionar el programa de GCN.Si bien en un principio la GCN puede beneficiarse de un enfoque de gestin de proyectos, conformemadura la GCN dentro de una organizacin se necesitan habilidades de gestin de programa paragarantizar el mantenimiento del nivel de preparacin.Los pasos clave en la Gestin de Programa de GCN son:Asignacin de responsabilidadesPuesta en marcha de la GCN en la organizacinGestin de ProyectosGestin constanteDocumentacin de la GCNPreparacin para incidentes y capacidad de respuesta.

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

29

ASIGNAR RESPONSABILIDADES

1. Introduccin

2. Pasos previos

3. Propsito


5. Proceso

6. Mtodos y tcnicas

7. Resultados

8. Revisin


La clave para un programa exitoso de GCN radica en identificar funciones, responsabilidades yautoridades claramente definidas para la gestin del programa de GCN y sus procesos en toda laorganizacin y la continua preparacin del personal apropiado para saber responder en caso denecesidad.

La Poltica de GCN debe identificar las funciones y responsabilidades necesarias que hay que asignar.

El propsito de asignar funciones y responsabilidades es garantizar que las tareas para llevar a cabo ymantener el programa estn atribuidas a personas especficas cuyos resultados pueden sersupervisados.

Las autoridades financieras como la Financial ServicesAuthority (FSA) de Reino Unido consideran quela GCN es un coste que forma parte de hacer negocios y tiene que disponer de los recursos adecuados.

Un integrante de la direccin ejecutiva debera tener responsabilidad general acerca de laefectividad de la GCN en la organizacin. Esto asegura que el programa de GCN tiene el nivel deimportancia adecuado en la organizacin y dispone de ms posibilidades para su puesta en marchaefectiva.Se debera nombrar a una persona para gestionar el programa de GCN. Esta persona puede serconocida como el Director de Continuidad de Negocio.Segn el tamao de la organizacin, se puede asignar personal adicional para ayudar al Director deContinuidad de Negocio:Personal de Continuidad de Negocio para ayudar, como llevar a cabo pruebas o bsqueda deinformacinPersonal administrativo de Continuidad de Negocio que lleve a cabo la revisin de la documentacinPersonal de otras unidades de negocio o ubicaciones que ayuden a la puesta en prctica de laContinuidad de Negocio y sirvan de coordinadores en sus reas.

El personal asignado al programa de GCN debera recibir la formacin adecuada a su funcinmediante cursos internos o externos.Aquellos que gestionan el programa deberan obtener una certificacin por parte de un organismoprofesional adecuado, como el Business Continuity Institute.La integracin de las funciones y responsabilidades en descripciones de puestos y el proceso deevaluacin deberan resultar efectivos para garantizar que estas tareas son llevadas a cabo con eltiempo y esfuerzo adecuados. El xito en la realizacin de las tareas debera reflejarse en la polticade incentivos y reconocimientos de la organizacin.

Las funciones y responsabilidades de las personas dentro del programa de GCN sern incluidas en lasdescripciones de los puestos de trabajo y en la definicin de objetivos.Tanto las personas como la organizacin debern entender claramente sus funciones yresponsabilidades.

La necesidad de personal para la GCN debera ser objeto de discusin para las previsiones anuales delresponsable de Continuidad de Negocio y puede estar sujeta a una auditora.

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

30

LAGCN EN LAORGANIZACIN

1. Introduccin

2. Pasos previos

3. Propsito


5. Proceso


Iniciar un Programa de GCN implica coordinar varias actividades que incluyen:Momentos de creacin de mayor conciencia que mantienen el entusiasmo por emprender unprograma de GCNActividades de recopilacin de datos que indicarn la eleccin de las opciones de continuidad querespaldarn los objetivos de la organizacinLa puesta en marcha de medidas que reduzcan el impacto de un incidente en caso de que ocurrieracuando el programa est en fase de desarrollo.

Una Poltica de GCN interna con un programa definido y necesidades de personal bienpresupuestadas.

El propsito de este paso es garantizar que se pone en marcha un programa de GCN sostenible paratoda la organizacin. Un programa sostenible es aquel que ha logrado el compromiso de laorganizacin y posee estructuras y procedimientos que garantizan que se mantiene la preparacin yadems se mejora de cara al futuro cercano.

La eleccin acerca de las actividades a llevar a cabo y el orden en el que se deben realizar dependerde la cultura existente y el grado de preparacin de la organizacin. La nica regla inamovible es queno se deberan tomar las principales decisiones acerca de las opciones de Continuidad, as como lastcticas de recuperacin hasta que se haya llevado a cabo la etapa de "Comprender la Organizacin".Se puede recurrir a ayuda externa por parte de consultores cualificados en GCN para iniciar unprograma de GCN. Esta medida puede ser efectiva para los costes por ahorrar en tiempo de desarrolloy necesidades de formacin externa. Durante esta etapa uno de los objetivos tiene que ser latransferencia de conocimientos al personal de la organizacin.

Ejercicios sobre el papel con la alta direccin para demostrar lo que pasara si no existiera unesquema de respuesta a incidentes y procedimientosPresentaciones acerca del impacto de incidentes locales recientesCuestionarios o entrevistas para determinar el estado actual de preparacin dentro de la

organizacinEscribir un borrador del alcance del programaDiscusiones para planificar una Poltica de GCN

Programa de formacin para el equipo que llevar a cabo elAnlisis de Impacto en el Negocio (AIN)Programa de concienciacin para que los directivos entiendan mejor la GCN y sepan responder

mejor a las preguntas planteadas en elAINAIN yAnlisis de Requisitos para la RecuperacinTalleres para analizar los resultadosTalleres con la alta direccin para determinar las opciones de continuidad

Borrador de procedimientos para la gestin de incidentesIdentificar y poner en marcha mejoras rpidas de bajo coste

El proceso de inicio debera construirse con las actividades descritas en este documento. Entreellas:Actividades de concienciacin:

Recuperacin de datos y eleccin de una opcin de continuidad:

Medidas para reducir amenazas especficas detectadas

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

31

6. Mtodos y tcnicas

7. Resultados

8. Revisin

En este documento se describen los mtodos, herramientas y tcnicas para desarrollar un Programade GCN. Se debe recurrir a una metodologa de Gestin de Proyectos para supervisar los avances.Cuando se trata de iniciar el programa, se debe destinar el tiempo suficiente para complementarcada actividad con formacin de habilidades y ejercicios de concienciacin.

Al final del inicio exitoso de un Programa de GCN la organizacin debera disponer de:Un estado satisfactorio de preparacin, generalmente comprobado a travs de ejercicios sobre elpapel de los procedimientos de gestin de incidentesProcedimientos, estructuras y competencias para mantener y desarrollar la capacidad de GCN

Mientras se encuentra en la fase inicial, el programa de GCN debe ser revisado al menos una vez almes, adems de cada vez que se alcance un hito.

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

32

GESTIN DE PROYECTOS

1. Introduccin

2. Pasos previos

3. Propsito


5. Proceso

6. Mtodos y tcnicas

7. Resultados

8. Revisin

Referencia: BS 25999-1 Seccin 5.3.2

Cuando se inicia un programa de GCN por primera vez es necesario instaurar una disciplina de gestinde proyecto.Una vez que todos los elementos clave estn en su sitio se llega a una gestin constante de programa.No obstante, se trata de una prctica til para un programa constante con resultados claros, comocrear momentos de concienciacin en toda la organizacin.

Un mtodo acordado para la Gestin de Proyectos.

Generar un empuje inicial para la puesta en marcha de la GCN. El uso de un mtodo para la gestin deproyectos puede sirve para:Identificacin de resultadosPlazos y fechas de entregaControles de presupuesto y esfuerzo laboral

Si bien se pueden identificar resultados claros para algunas tareas de GCN, otras son menos tangibles,por lo que puede resultar difcil llevar a cabo algunas tareas de la gestin de proyectos en su sentidoms estricto. Por ejemplo en un Anlisis de Impacto en el Negocio suele existir un elemento de"descubrimiento" que vuelve difcil una cuantificacin del tiempo necesario para llevarlo a cabo.

Se puede utilizar este documento para definir un plan para la puesta en marcha inicial de unprograma de GCN. Las etapas tpicas del proyecto con resultados definidos son:Generar concienciacin - defender la GCNDefinir el alcance del programa (borrador de Poltica)Anlisis de Impacto en el NegocioAnlisis de riesgosEleccin de la opcin para la continuidadDesarrollar y poner en marcha la respuestaDesarrollar y dirigir un simulacro sobre el papel que verifique la efectividad de un primer borradordel planLas estimaciones de trabajo para ciertas etapas del proyecto dependern muchas veces de losresultados de las etapas anteriores.Tambin se puede aplicar mtodos de gestin de proyectos para ciertos elementos del programa deGCN con resultados claros, como:Desarrollar y dirigir un simulacro de GCNDesarrollar y ofrecer un programa de formacin al personalSeleccionar a un proveedor para un recurso de continuidad

Existen varios mtodos para la gestin de proyectos, muchos de ellos con software de apoyo. Sedebera recurrir a un mtodo apropiado para el tamao y complejidad de la organizacin.

La puesta en marcha inicial del programa de GCN puede ser llevada a cabo mediante varios proyectoscon resultados claros y estimaciones de trabajo.

El mtodo de proyecto adoptado debera incluir los requisitos para revisiones peridicas para evaluarel progreso con respecto a fechas o hitos predeterminados y estimaciones de trabajo.

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

33

GESTIN CONTINUA

1. Introduccin

2. Pasos previos

3. Propsito


5. Proceso


Un programa efectivo de GCN requerir la participacin de diversas disciplinas de gestin, operacin,administrativas y tcnicas que deben ser coordinadas a lo largo de su ciclo de vida medianteprocedimientos como los indicados en este Manual.El Programa debe gestionarse dentro del marco y de acuerdo con los principios contenidos en laPoltica de GCN de la organizacin.

Puesta en prctica con xito de las actividades de iniciacin del Programa.

El propsito del proceso de gestin es ofrecer una gestin constante efectiva del programa de GCN dela organizacin.

El nmero de profesionales dedicados a la GCN y personal de otras especialidades necesario paragestionar el programa depende del tamao, naturaleza, complejidad y ubicacin de la organizacin.En organizaciones ms pequeas es posible que el responsable de la GCN tenga otras funciones. Raravez esto es buena solucin cuando alguna de esas otras funciones tambin involucre unaresponsabilidad operativa diaria.En una organizacin de mayor tamao pueden existir varias personas que dediquen todo o parte de sutiempo a la GCN. En tal caso se puede establecer una jerarqua y puede que los que dirijan elprograma necesiten tener capacidad de gestin de personal (adems de habilidades para la GCN).

Nombrar a una persona o un equipo para gestionar el programa de GCNDefinir el alcance del proceso de gestin y el programaAprobar el presupuesto de continuidadSupervisar el resultado del proceso de gestin

Desarrollar y aprobar un proceso de planificacin de GCN y el programa.Determinar los enfoques clave para cada fase del ciclo de vida de GCN tal y como se describen msadelanteIniciar o gestionar las actividades de GCN apropiadas dentro de la organizacinPromover la Continuidad de Negocio en toda la organizacin y fuera de ella en donde seaconvenienteGestionar el presupuesto de continuidadDocumentar el programa de GCNInvestigar la capacidad de preparacin en la que se encuentran las dems organizaciones del mismosector y las obligaciones marcadas por leyes y normasInformar al directivo de forma constante del grado de preparacin en el que se encuentran ydestacar los retrasos y problemas

Identificar y formar representantes de Continuidad de Negocio en los departamentos o en otrasubicaciones para:

Servir de punto de contacto para las cuestiones de Continuidad de Negocio que tengan que ver conel departamento o ubicacinAyudar al departamento a identificar las implicaciones de la Continuidad de Negocio en los

cambios de procesosInformar al equipo de GCN de los cambios en los procesosAyudar o dirigir la recuperacin del departamento o ubicacin en caso de interrupcin.

La Direccin de la organizacin debera:

El equipo de GCN designado debera (junto con la Direccin):

El equipo de GCN puede (junto con los ejecutivos de negocio):

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

34

6. Mtodos y tcnicas

7. Resultados

8. Revisin

Los mtodos, herramientas y tcnicas para gestionar un programa de GCN incluyen:Este Manual de Buenas PrcticasUna ficha de auto evaluacin de la Poltica de GCNEvaluaciones anuales de resultados para cada personaGestin de la relacin con proveedores y empresas subcontratadas para los productos y serviciosGestin de la relacin con proveedores y el especialista en GCNGestin financieraAsesoramiento legalComparacin de la GCN en las dems empresas del sector (Proceso y Mtricas)Estndares nacionales e internacionales como el BS 25999Auditora de GCN internas y/o independientesRevisin y motivacin.

Los resultados del programa de GCN incluyen:Un programa de Gestin de Continuidad de Negocio claramente definido que ha sido aceptado por laalta direccin.Informes de cumplimiento de GCN en intervalos predeterminadosUna estrategia de GCN y estndares claramente definidos y documentadosUn proceso de gestin que forma parte integral del programa de GCN y ciclo de vida de laorganizacinLa revisin de las soluciones para la recuperacin de la organizacinEl presupuesto anual del programa de GCNEl informe de auditora del programa de GCNEl mantenimiento de capacidades efectivas para la GCNExperiencias exitosas en notificacin, traspaso de responsabilidades, prevencin y recuperacin

Un programa de GCN debera ser gestionado de forma constante.El programa debera ser revisado por auditores internos o externos en los plazos que ellosdeterminen.

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

35

DOCUMENTACIN

1. Introduccin

2. Pasos previos

3. Propsito


5. Proceso

6. Mtodos y tcnicas

7. Resultados


Una parte importante del proceso de GCN es gestionar toda la documentacin de GCN. Tiene quehacerse de forma consistente, fcil de comprender y que apoye tanto la supervisin de operacincomo las auditoras. El nivel y tipo de la documentacin debe corresponderse con el tipo y tamao dela organizacin.

Las organizaciones que han recibido la certificacin de estndares como el ISO 9000 o ISO 27001tendrn que asegurarse que la documentacin de GCN cumple con esos estndares.

La documentacin de GCN tiene tres propsitos:Gestionar el programa de forma efectiva.Demostrar que el programa ha sido gestionado de forma efectiva en caso de auditora.Durante una interrupcin, disponer de la documentacin efectiva y actualizada que se necesita parala gestin de incidentes y la recuperacin de la actividad.

Si bien es importante mantener la documentacin de GCN, su sola existencia no demuestra que sedispone de la capacidad para responder a un incidente.Se tiene que ofrecer al personal una formacin adecuada en la operacin de las aplicaciones softwareutilizadas en el programa. Aquellos responsables del mantenimiento de los planes deberan sercapaces de actualizar su documentacin, ya que esto les ayuda a sentirse involucrados y disminuyelas necesidades de personal administrativo en la supervisin central de GCN.Un software especializado de GCN puede suponer ciertas ventajas para el mantenimiento, perotambin significa un coste constante en formacin a lo largo del programa.

El mantenimiento de la documentacin de la GCN debera estar integrado con los procedimientos degestin de cambio de la organizacin.

Se puede utilizar un software para gestionar la documentacin de la GCN.Un procesador de texto puede utilizarse para los documentos de texto como la Poltica.Se pueden utilizar hojas de clculo y bases de datos para la logstica de los planes de respuesta.Se puede utilizar un software especializado para los planes.Tambin se puede utilizar un software para garantizar que las diferentes ubicaciones de laorganizacin disponen de copias actualizadas de los documentos.

Un conjunto actualizado de documentacin GCN . Puede incluir lo siguiente:Una Poltica de GCN que incluya su alcance y principios.Anlisis del Impacto en el Negocio.Evaluacin de riesgos y amenazas.Estrategias de GCN con informes que sustenten la eleccin de las estrategias adoptadas.Planes de respuesta

Planes de Gestin de IncidentesPlanes de Continuidad de NegocioPlanes por departamentos de Recuperacin de Negocio

Calendario de pruebas e informesPrograma de concienciacin y formacinAcuerdos de niveles de servicio con clientes y proveedoresContratos con terceras partes para servicios de recuperacin como espacio de trabajo y rescateRevisinEl ciclo de revisin de cada documento se puede consultar en las secciones relativas a su creacin yutilizacin. La documentacin y los controles deberan ser revisados por auditores internos oexternos con la regularidad que ellos determinen.

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

36

PREPARACIN PARALOS INCIDENTES Y SUS RESPUESTAS

1. Introduccin

2. Pasos previos

3. Propsito


5. Proceso

6. Mtodos y tcnicas

7. Resultados

8. Revisin

A pesar de que la Gestin de Continuidad de Negocio es principalmente una actividad deplanificacin, es inevitable que se espere del equipo de GCN que lidere cuando se tenga queresponder a un incidente.

Los responsables de la GCN deberan asumir que la gestin de incidentes se hara progresivamentecargo en caso de tener que poner el plan en prctica.

El equipo de GCN es el que posee el conocimiento ms detallado acerca de las estrategias generales ylas acciones que necesitan llevarse a cabo inmediatamente. Tienen que apoyar a la direccin conevaluaciones y actividades preventivas hasta que entre en operacin el Equipo de Gestin deIncidentes.

Se suele asumir que aquellos que han desarrollado el plan son los mejores para responder a unincidente. Sin embargo suele existir una contradiccin entre las caractersticas de personalidad quese exigen a un planificador y las necesarias en un lder. Cualquier problema relativo a esta cuestindebera salir a la luz tras la realizacin de simulacros realistas.

Recibir notificacin de un problema.Evaluar la situacin y luego:gestionar la respuesta a travs de los planes previstoso transferir el problema al equipo de gestin de incidentesSi es necesaria una respuesta, entonces se deben considerar inmediatamente los siguientes aspectos:Est usted preparado, tanto fsica como emocionalmente para ayudar o dirigir la respuesta?Estn presentes las dems personas que tienen que aportar una respuesta? Son capaces de asumirlos papeles que les han asignado? Algunas personas pueden reaccionar a un incidente con uncomportamiento inusualHa comunicado lo sucedido a la alta direccin?

Existen muchos mtodos para gestionar incidentes, aqu sugerimos uno genrico.Contener - Hay algo que se pueda hacer de inmediato para evitar que empeore el problema?Seguir el Plan - Existe una respuesta planificada con antelacin que se corresponda con elincidente?Seguir el procedimiento documentado, el cual puede incluir los pasos siguientes:comunicar - Tratar de resolver el problema en solitario puede hacer perder tiempo si la situacin se

descontrola.si necesario, crear un equipo de respuestaevaluar la situacin -Averiguar tanto como se pueda sin incurrir en riesgos personalesPredecir el resultado ms probable y adaptar el Plan de Continuidad de Negocio para ofrecer una

estrategia de respuestaPredecir un resultado para el peor de los casos y disponer de una estrategia de respuesta de respaldoLlevar la respuesta al grado adecuado de responsabilidad dentro de la organizacinPoner en prctica la estrategia de respuestaEvaluar el progreso de la respuesta con respecto al resultado ms probableEn cuanto la situacin lo permita, revisar la efectividad de la respuesta

El resultado de una respuesta exitosa es un regreso controlado de la organizacin a su actividadnormal.

La respuesta de la organizacin debera evaluarse tan pronto como sea posible despus de lainterrupcin y efectuar las modificaciones necesarias a los procedimientos, personal o contratos.

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

37

INDICADORES DE GCN

COMPROMISO DE LA ALTADIRECCIN

CONTENIDO DE LAPOLTICA

GESTIN DE PROGRAMADE GCN

RECURSOS DE LAGCN

Estos son los elementos clave que se esperan de una organizacin madura que cuenta con GCN:

1. La organizacin posee una poltica de GCN2. El Consejo de Administracin o su equivalente es responsable ltimo de la instauracin de laPoltica GCN3. El Consejo de Administracin ha nombrado a un comit o persona con autoridad, experiencia ycapacidad necesarias para responsabilizarse y rendir cuentas de la poltica de GCN4. La responsabilidad operativa de la GCN se refleja claramente en los objetivos de resultados de laalta direccin5. La alta direccin ha definido directrices claras de responsabilidad e informacin para todas laspersonas a cargo de la GCN6. Existe una autoridad centralizada de GCN que se encarga de asegurar que toda la organizacincomparte estndares y prcticas comunes

7. Define principios, objetivos y el propsito de la GCN en la organizacin8. Expone la definicin de GCN para la organizacin9. Expone los procedimientos que garantizan que todas las unidades de negocio tienen totalconocimiento y cumplen la poltica10. Explica de forma clara los lmites de alcance y las salvedades que se aplican en su interpretacin11. Expone plazos explcitos para el cumplimiento de todos los objetivos de la poltica de GCN12. Hace referencia al conjunto de estndares mnimos adoptados para la GCN13. Hace referencia al marco operativo y de gestin de la GCN14. Hace referencia a la tolerancia o capacidad de absorcin de riesgos de la organizacinrelacionados con la GCN15. Obliga a promover la GCN dentro de la cultura de la organizacin16. Obliga a que todas las terceras partes y empresas subcontratadas de crtica importanciadispongan de polticas de GCN aceptables17.Apoya y est en lnea con los objetivos estratgicos de la organizacin

18. La poltica exige controles de cambios efectivos para todos los componentes del programa de GCN19. La poltica se revisa de forma regular para asegurar que refleja las necesidades cambiantes de laempresa20. La poltica define factores desencadenantes para revisiones de todos los componentes de la GCN,tanto las peridicas como las causadas por cambios21. Est instaurado un programa de GCN para poner en prctica la poltica de GCN en todas las reasde la organizacin22. Sus objetivos y alcance estn claramente definidos y formalmente aceptados por la alta direccin23. Est completa y claramente en lnea con los objetivos y estrategias ms amplios de laorganizacin24. Sus avances se comunican de forma regular a los proveedores, clientes y dems partesinteresadas de la organizacin25. Est formalmente gestionado por la alta direccin, a la cual se informa sistemticamente delgrado de cumplimiento de objetivos26. Siempre se actualiza rpidamente para reflejar las nuevas adquisiciones del negocio, acuerdos desubcontratacin y cambios principales en proyectos o sistemas

27. Estn formalmente supervisados, respaldados y autorizados por la alta direccin28. Estn supervisados, gestionados y operados por personas competentes y cualificadas29. Definen claramente y reconocen formalmente los roles, responsabilidades y grados de autoridadde las personas involucradas en su operacin30. Los roles y responsabilidades de todas las personas en el programa se reflejan de forma clara ensus perfiles de puestos y objetivos de resultados

12 3

4 5

6cap

POLT

ICA

YG

ESTI

ND

EPR

OG

RAM

AD

EG

CN

38

31.El programa de GCN identifica las siguientes medidas como obligatorias:A.Anlisis de Impacto en el Negocio (AIN)B. Evaluacin de riesgos relacionados con la continuidadC. Previsin de estrategias realistas de continuidad de negocioD. Planificacin de gestin de incidentesE. Planificacin de continuidad de negocioF. Probar la GCNG. Promover la concienciacin en GCNH. Mantener la capacidad en GCNI. Gestin efectiva de programa de GCNJ.Adopcin de poltica de GCN

32. Las actividades se revisan y autorizan formalmente por una persona con autoridad adecuada33. Los proyectos se revisan y actualizan para tomar en cuenta los cambios que afectan su validez34. Los proyectos se gestionan formalmente con respecto a plazos y objetivos definidos en la poltica

35. El programa de GCN est documentado de forma clara y completa36. El programa de GCN especifica claramente el punto de vista que se utilizar para documentarcada componente37. El programa de GCN controla toda la documentacin obligatoria de la actividad de GCN.

GESTIN DE PROYECTO

DOCUMENTACIN

12 3

4 5

6ca

pPO

LTIC

AY

GES

TI

ND

EPR

OG

RAM

AD

EG

CN

39

1 3 4 5 62captulo

CO

MPR

END

ERLA

ORG

AN

IZACI

N

Comprenderla organizacin

40

Acerca del Captulo 2 - Comprender la organizacin

COMPONENTES DE LAETAPA2COMPRENDER LAORGANIZACIN

La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posiblesimpactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.Comprender la organizacin es un elemento clave de toda buena Gestin de Continuidad de Negocio.Busca identificar los productos y servicios clave de una organizacin, y tras ello definir los factorescrticos de las actividades que estn detrs. Esta parte de la GCN debe estar totalmente integradadentro de los objetivos, obligaciones y estatutos de la organizacin.

1. PRINCIPIOS GENERALES2.ANLISIS DEL IMPACTO EN ELNEGOCIO3. EVALUAR LOS REQUISITOS DE RECUPERACIN4. EVALUAR LASAMENAZAS (EVALUACIN DE RIESGOS)

Una comprensin del negocio mediante la combinacin de un Anlisis del Impacto en el Negocio (AIN)y una Evaluacin de Riesgos (ER) puede en muchos casos destacar las ineficiencias del negocio ycentrarse en prioridades que de otra forma no podra ver la alta direccin.

13 4

5 6

2ca

pCO

MPR

END

ERLA

ORG

AN

IZACI

N

41

COMPRENDER LAORGANIZACIN

Principios generales


Tal y como se describe en la seccin dedicada a la Poltica de GCN, la organizacin debe tomar unadecisin clara acerca de si la GCN afectar a toda la organizacin o slo a ciertos productos oservicios. Esto determina el alcance del Anlisis del Impacto en el Negocio (AIN) y de la Evaluacin deRiesgos (ER).Las herramientas para comprender su negocio desde un punto de vista de continuidad de negocio son:Anlisis del Impacto en el Negocio (AIN) - un proceso obligatorio para calcular el impacto en eltiempo de una interrupcin en la capacidad de operar de una organizacin.Anlisis de Requisitos de Continuidad - para calcular los recursos, instalaciones y servicios quenecesitar cada actividad cuando se reinicie.Evaluacin de Riesgos (ER) - para calcular la probabilidad de amenazas conocidas y su impacto sobrefunciones especficas.

ElAIN identifica la urgencia de cada actividad de negocio llevada a cabo por la organizacin al evaluarel impacto en el tiempo de una interrupcin de esta actividad en la entrega de productos y servicios.Se utiliza esta informacin para identificar el plazo de las estrategias de continuidad y recuperacinapropiadas para cada actividad por separado y entre ellas.El Anlisis de Requisitos para la Continuidad ofrece la informacin que permitir determinar lamagnitud (tamao y cantidad) de las medidas apropiadas de continuidad.La Evaluacin de Riesgos (ER) ayuda a identificar las posibles causas de interrupcin en unaorganizacin, la probabilidad de que suceda y el impacto en caso de que la amenaza se materialice.Apartir de entonces se pueden detectar medidas que reduzcan la probabilidad de que suceda oaminoren el impacto de un incidente que se produzca por estas amenazas. Dentro del programa deGCN, tras estudiar los resultados del AIN, una ER debera dar prioridad a tecnologas especficas yriesgos inherentes a las actividades de negocio identificadas, y no en todos los riesgos que encara laorganizacin. 1

3 4

5 6

2cap

CO

MPR

END

ERLA

ORG

AN

IZACI

N

42

ANLISIS DEL IMPACTO EN ELNEGOCIO

1. Introduccin

2. Pasos previos


El Anlisis del Impacto en el Negocio son los cimientos sobre los que se construye todo el proceso deGCN.Identifica, cuantifica y c

buenas practicas continuidad negocio 2007 bci

Documents