buenas practicas continuidad negocio 2007 bci

MAN

UAL

DE

BUEN

AS

PRÁCTIC

AS

2007

3

Agradecimientos

La Asociación Española para el Fomento de la Seguridad de la Información ISMS Forum Spain quiereagradecer públicamente al BCI (Business Continuity Institute), y a su presidenta y representante enEspaña, Dª Joanne Gagnon, por haber cortésmente cedido los derechos de traducción y edición encastellano de la presente Obra a ISMS Forum Spain. Más información acerca del BCI se puede consultara través de su página oficial www.thebci.org

La traducción y edición de este Manual en castellano no habría sido posible sin el patrocinio deHewlett-Packard Española, cuyo director de la Práctica de Seguridad y Continuidad de Negocio, D.Luis J. Buezo, CISSP, socio cofundador de ISMS Forum Spain, ha apoyado todas las actividadesdesarrolladas por la Asociación Española para el Fomento de la Seguridad de la Información desde sufundación, lo cual queremos agradecer expresamente.

ISMS Forum Spain quiere agradecer asimismo a D. César Peñacoba, SBCI, Gerente del Área deGobierno de la Seguridad de Hewlett-Packard, su valiosa contribución como revisor y editor técnicoespecializado del texto traducido al castellano de esta Obra.

MAN

UAL

DE

BUEN

AS

PRÁCTIC

AS

2007

4

La Asociación Española para el Fomento de la Seguridad de la Información

ISMS Forum Spain es una asociación sin ánimo de lucro, creada en enero de 2007, para el Fomento dela Seguridad de la Información en España. Además, ISMS Forum Spain es el Capítulo Español de ISMSInternational User Group (IUG), organización que promueve el conocimiento e implementación de losSistemas de Gestión de la Seguridad de la Información en todo el mundo, de acuerdo con losestándares ISO 27000.

La finalidad de ISMS Forum Spain es promover el desarrollo, conocimiento y cultura de la Seguridad dela Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Seconstituye como foro especializado de debate para que todas las empresas; organismos públicos yprivados; investigadores y profesionales colaboren, intercambien experiencias y conozcan losúltimos avances y desarrollos en el ámbito de los SGSI. Todo ello desde la transparencia, laobjetividad y la neutralidad.

ISMS Forum Spain nace respaldada por algunas de las más representativas empresas y organizacionescomprometidas con la seguridad de la información. Los socios fundadores ejercen su labor en muydiversos ámbitos que van desde la enseñanza superior y la I+D hasta la Consultoría, pasando por lossectores de Banca, Certificación, Seguros, Construcción, Servicios Jurídicos o Telecomunicaciones.No obstante, la asociación se ha creado con una vocación plural y abierta; que quiere representar atodos los sectores implicados. Por ello invita a todos los profesionales, empresas e institucionesinvolucrados en la gestión de la seguridad de la información a asociarse.

En su primer año de actividad, ISMS Forum Spain tiene ya a sesenta y cinco empresas asociadas ycuenta con más de 400 profesionales miembros, ya sea a través de sus empresas o por iniciativaindividual. LaAsociación para el Fomento de la Seguridad de la Información es ya, por tanto, la mayorred activa española de expertos en SGSI.

Entre los principales objetivos de ISMS Forum Spain destacan:

- Dar visibilidad a un sector estratégico para el desarrollo económico, como es la Seguridad de laInformación, y difundir el talento de los profesionales que trabajan en él.

- Situar a las empresas y organizaciones españolas a la vanguardia de conocimientos eimplementación de SGSI.

- Ser interlocutores en España de las diversas asociaciones y foros internacionales y cooperar coninstituciones públicas y privadas, nacionales e internacionales, para impulsar la cultura de la Gestiónde la Seguridad de la Información.

Forum SpainASOCIACIÓN ESPAÑOLA PARA EL FOMENTO

DE LA SEGURIDAD DE LA INFORMACIÓN

www.ismsforum.esISMS Forum Spain, Asociación Española para el Fomento de la Seguridad de la Información

Federico Salmón, 13. 28016 Madrid. Teléfono +34 91 343 76 10 // Fax +34 91 343 78 78 // [email protected] en el Registro Nacional de Asociaciones Grupo I, Sección I, Número Nacional 588718

MAN

UAL

DE

BUEN

AS

PRÁCTIC

AS

2007

5

El pasado mes de julio ISMS Forum Spain y el capítulo español de The Business Continuity Institute, BCISpain, llegaron a un acuerdo que prevé una estrecha colaboración entre ambas instituciones, cuyosobjetivos y metas son claramente afines y podrían resumirse, aunque de una forma muy simplificada,en la promoción y difusión de los distintos aspectos de la Seguridad de la Información y la Continuidadde Negocio.

Como primera materialización práctica de este convenio de colaboración, ISMS Forum Spain hatraducido y editado por primera vez en castellano el Manual de Buenas Prácticas del BusinessContinuity Institute (BCI). El manual ya se había traducido al alemán y al italiano, y nos parecíaimportante gestionar esta versión en castellano, sin duda una de las lenguas más utilizadas en elámbito mundial. Estamos convencidos de que esta completa y actualizada guía para instaurar BuenasPrácticas Globales en Gestión de Continuidad de Negocio será de gran utilidad para todos nuestrosasociados, a quienes daremos acceso restringido durante un periodo inicial de tres meses. Perotambién lo será para todos aquéllos profesionales del área de Continuidad de Negocio que trabajanen los numerosos países de habla hispana, para quienes la haremos accesible pasado este plazoinicial.

El gran valor añadido del Manual de Buenas Prácticas es que se inspira en la experiencia real ycontrastada de los propios miembros del BCI, expertos que practican la Gestión de Continuidad deNegocio en su quehacer profesional diario. Si algo promueve ISMS Forum Spain es precisamente elintercambio de experiencias y conocimientos entre los especialistas del sector; y sin duda esta obraes un claro ejemplo del traspaso de conocimientos y que los profesionales de laContinuidad de Negocio ponen a disposición de la comunidad global, de forma que todo tipo deorganizaciones, independientemente de su tamaño, sector o ubicación, podrán aprender y aplicarsus directrices.

Con esta entrega editorial ISMS Forum Spain continúa con una de las líneas de trabajo que considerade mayor utilidad para todos sus asociados: la publicación de informes y manuales que constituyanherramientas prácticas y actualizadas de trabajo para los profesionales y contribuyan así, de maneradirecta, a impulsar el conocimiento y la implementación de los Sistemas de Gestión de la Seguridadde la Información en nuestro país.

know-how

Gianluca D'AntonioPresidente de ISMS Forum Spain

Noviembre de 2007

ACER

CA

DE

ESTA

GU

ÍA

6

ACERCADE ESTAGUÍA

Introducción

Objetivo

Audiencia

El Business Continuity Institute (BCI) publicó su primer Manual de Buenas Prácticas en 2002. Esto tuvouna influencia significativa en el desarrollo del Publicly Available Specification for BusinessContinuity Management (Especificaciones Públicamente Disponibles para la Gestión de Continuidadde Negocio, PAS 56) de la British Standards Institution (BSI). En 2005 se publicó una nueva edición delManual de Buenas Prácticas con importantes modificaciones que reflejaban los conceptos másrecientes en Gestión de Continuidad de Negocio (GCN) en el mundo y que destacaban la crecientemadurez en la práctica de GCN en todos los sectores, tanto en las empresas públicas como en lasprivadas.Esta guía para la puesta en práctica de la GCN se ha elaborado para apoyar el lanzamiento del BS25999-1 A Code of Practice for Business Continuity Management (Código de Buenas Prácticas para laGestión de Continuidad de Negocio) de la British Standards Institution. Puede considerarse una guíapara la puesta en práctica de BS25999, además de un texto definitivo para aquellos que deseenentender los principios y prácticas de la GCN de una forma más integral.Existe una relación cercana entre la estructura de este Manual y el BS 25999-1 porque la guía del BCIsiempre ha sido un componente clave para las iniciativas de la BSI en lo que se refiere a la Gestión deContinuidad de Negocio. Está prevista una nueva revisión del Manual en cuanto se publique el BS25999-2 debido a que este estándar definirá el marco de gestión y los elementos que serán decumplimiento obligatorio.No obstante, en su calidad de instituto global, el BCI tiene que reflejar las buenas prácticas en todo elmundo. El BS25999 ofrece una visión integral acerca del tema, pero existen otros estándares en vigorque muchos de los profesionales que son miembros del BCI necesitan entender. Por ello, la edición2007 del Manual también está diseñada para tener en cuenta los requisitos de NFPA1600 (EstadosUnidos y Canadá) HB221 (Australia),APS 232 (Australia) y FSA(Reino Unido).A pesar de ello, en ningún caso debe considerarse que este Manual reemplaza aquellos estándares ogarantiza su cumplimiento.

Este documento pretende ofrecer una visión general y una guía acerca de las buenas prácticas en loque se refiere al ciclo de vida de la Gestión de Continuidad de Negocio (GCN), desde elreconocimiento inicial de la necesidad de desarrollar el programa, hasta el mantenimiento constantede un proceso maduro de Continuidad de Negocio.Se pretende que los organismos que marcan los estándares definan los requerimientos de unprograma de GCN. En aquellos casos en el que el Código de Prácticas requiera un proceso, este Manualofrece más detalles acerca de cómo abordar ese proceso. No obstante, al tratarse de una guía deprocedimientos, en algunos casos el Manual identifica pasos adicionales que son necesarios realizarpara cumplir con los requisitos de cualquier estándar.

El Manual de Buenas Prácticas se inspira en las experiencias académicas, técnicas y empíricas de losmiembros del Business Continuity Institute – es decir, personas que practican la GCN y que handesarrollado y dado forma a las directrices en el mundo real.Los principios de estas directrices son aplicables a todas las organizaciones sin importar el tamaño,sector y ubicación - tanto para las que cuentan con una sola sede como las que tienen presenciaglobal.Por lo tanto se pretende que estas normas sean utilizadas por aquellos que practican la GCN, gestoresde riesgo, auditores y legisladores con conocimiento práctico de los principios de GCN. No es una guíapara debutantes. Aquellos que se inicien a la disciplina deberían trabajar en colaboración de alguienya experimentado en las prácticas o asistir a los programas de formación que existen acerca deltema.

ACER

CA

DE

ESTAG

UÍA

7

Agradecimientos

Ian Charters (FBCI) es el principal autor del Manual de Buenas Prácticas del BCIJohn Robinson (FBCI) aportó información adicional acerca de los estándares globales e indicadoresclave de la GCNLyndon Bird (FBCI) revisó y editó el ManualEste Manual está basado en la edición del mismo de 2005, al que contribuyeron las personas queaparecen en la lista siguiente.

Anne Wright (MBCI) Howard Booth (MBCI)Ian Griffiths (MBCI) Helen Sweet (ABCI)Richard Ecclestone (SBCI) John Worthington (MBCI)Martin Lippiett (MBCI) Mel Gosling (MBCI)James Coates (MBCI) Mark Mahoney (MBCI)Michael Bland (MBCI) David Bennett (MBCI)Jim Barrow (MBCI) Elaine Weston (MBCI)Julia Graham (FBCI) Colin Ive (MBCI)Michael Bews (MBCI) Adrian JollyJane Naylor Richard Bridgeford (MBCI)Andy Tomkinson (MBCI) Angela Hobley (MBCI)Jo Welland Nathan Bird (MBCI)Jeanette O'Neil (MBCI) Ian Charters (FBCI)

Business Continuity Institute agradece el tiempo y la asesoría ofrecida de forma voluntaria por todaslas personas arriba mencionadas para el desarrollo del Manual de Buenas Prácticas en beneficio delBCI y el sector dedicado a Gestión de Continuidad de Negocio. Los que han contribuido al Manual handonado de forma gratuita sus derechos de autor y propiedad intelectual al Business ContinuityInstitute para que el instituto pueda garantizar que las directrices se mantengan actualizadas ycompletas.

ESTRU

CTU

RA

DE

ESTA

GU

ÍA

8

Estructura de esta guía

Habilidades profesionales para la GCN

La guía está dividida en seis capítulos, que se corresponden con las versiones anteriores y tambiéncon la nomenclatura BS25999.El capítulo 1 ofrece información preliminar además de Política y Gestión de Programa de GCNEl cápítulo 2 es: Comprender la organizaciónEl cápítulo 3 es: Determinar la estrategia de GCNEl cápítulo 4 es: Desarrollar y poner en práctica la respuesta de GCNEl cápítulo 5 es: Probar, mantener y revisar los preparativos de GCNEl cápítulo 6 es: Incorporar la GCN en la cultura de la organización

Al final de cada capítulo se encuentra un resumen de los “Indicadores clave de GCN” que servirán debase para el uso futuro de la herramienta para establecer criterios de referencia del BCI, laplataforma educativa electrónica del BCI y los exámenes de admisión del BCI. Estos indicadores sonrecomendaciones que generalmente aparecen en la mayoría de los estándares relacionados con laGCN y con los que este Manual se adecua de forma total o parcial.

Para aquellas personas que quieran convertirse en miembros profesionales del BCI, existen 10 áreasde competencia que han sido definidas de forma conjunta por el BCI y el Disaster Recovery InstituteInternational (DRII). Como apéndice al Capítulo 6, se ofrece un mapa de habilidades que muestra larelación de habilidades/competencias para los requisitos de conocimientos del GPG.

ÍND

ICE

10

Capítulo 5 – Probar, mantener y revisar los preparativos de GCN

Capítulo 6 – Incorporar la GCN en la cultura de la organización

CONTENIDO

CONTENIDO

COMPONENTES DE LAETAPA5Probar, mantener y revisar los preparativos de GCN – Principios generalesPrograma de PruebasProbar los preparativos de GCNMantener los preparativos de GCNRevisar los preparativos de GCNINDICADORES CLAVE DE GCN

COMPONENTES DE LAETAPA6Incorporar la GCN en la cultura de la organización - Principios generalesEvaluar el nivel de concienciación y formación en GCNDesarrollar la GCN dentro de la cultura de la organizaciónSupervisar el cambio culturalApéndice – Mapa de habilidades profesionalesINDICADORES CLAVE DE GCN

87888991949699

102103104107110112114

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

12 3

4 5

6cap

11

CONSIDERACIONES GENERALES

¿Qué es la Gestión de Continuidad de Negocio?

En defensa de la Gestión de Continuidad de Negocio

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posiblesimpactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydemás partes interesadas, la reputación, la marca y las actividades creadoras de valor.La GCN tiene que ser asimilada y totalmente integrada en la organización como uno más entre susprocesos de gestión.La GCN aspira a mejorar la capacidad de recuperación de una organización. Al identificar poradelantado los posibles impactos de una amplia gama de incidencias que trastornarían de formasúbita el éxito de la organización, establece prioridades para los esfuerzos de los especialistas enimplantar robustez en sus respectivas áreas de especialización, como seguridad, instalaciones ytecnologías de la información.Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centraparticularmente en desarrollar una capacidad de recuperación que sea conjunta para toda laorganización y le permita sobrevivir a la pérdida total o parcial de su capacidad operativa. Tambiéndebería enfocarse en soportar pérdidas significativas de recursos, como personal o maquinaria.Debido a que la capacidad de resistencia de la GCN de una organización depende de su equipo degestión y su personal, además de su tecnología y la diversificación geográfica, se debe desarrollaresta capacidad de recuperación a todos los niveles de la organización, desde la alta dirección hasta eltaller, y en todos los demás integrantes de la cadena de valor.El factor determinante de esta robustez en toda la organización se sustenta en la responsabilidad dela alta dirección de proteger los intereses a largo plazo del personal, clientes y todos aquellos quedependen de algún modo de la organización. Si bien se pueden calcular las pérdidas financierasocasionadas por una interrupción, generalmente el mayor daño suele reflejarse en una pérdida deimagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente biengestionado puede mejorar la imagen de la organización y su equipo de gestión.

“No nos pasará”, “Aguantaremos, como siempre lo hemos hecho”, “Somos demasiado grandes parafracasar” y “No somos un objetivo para los terroristas” son algunas de las respuestas más frecuentesque dan las empresas cuando se les cuestiona acerca de su falta de preparación. Otros creen que lasempresas de seguros van a pagar por todo. La mayoría piensa que no dispone de tiempo paraprepararse para algo que nunca sucederá. El gran número de negocios que se han hundido después desufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas.Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicación, el90% de las incidencias que ponen en riesgo el negocio son "catástrofes silenciosas" que no figuran enlos medios pero que pueden tener un efecto devastador para el buen funcionamiento de unaorganización. Muchas de las causas son ajenas al control de la organización y suelen estar a merced delos servicios de emergencias o de proveedores que marcan los plazos de la interrupción.A la hora de gestionar cualquier acontecimiento, el éxito se mide tanto por la respuesta técnica dadacomo por la competencia de su equipo gestor. Una investigación efectuada por Rory Knight y DeborahPretty, de la firma Oxford Metrica, indica que las organizaciones que se ven afectadas por catástrofesse dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuandouna organización ha lidiado una crisis con éxito el valor de sus acciones ha crecido en el largo plazo,mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio desus títulos y, pasado un año, seguían sin recuperarse.Investigaciones más recientes demuestran que aquellas organizaciones que destinan un mayorpresupuesto a control de riesgos, GCN y buen gobierno son las empresas más rentables en su sector, loque indica que la GCN es una inversión, no un coste.Un elemento clave para el éxito de los programas de GCN es que las distintas responsabilidades seasuman a los niveles apropiados de la organización. En estas empresas las implicaciones de la GCN seevalúan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del procesode control del cambio.

POLÍ

TIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

12

12 3

4 5

6ca

p¿Cómo beneficiará a mi organización?

Relación con otras especialidades

El objetivo principal de la GCN es asegurar que la organización tiene una respuesta para los trastornosimportantes que pondrían en riesgo su supervivencia. Esto de por sí es suficientemente valioso, peroademás incorporar la GCN en la gestión diaria puede aportar otras ventajas.Ya sea por sus estatutos o por ley, algunas organizaciones tienen que incorporar la GCN o, de formamás genérica, la "gestión de riesgos", como parte de sus obligaciones de buen gobierno corporativo.Un plan apropiado de GCN cumplirá con las obligaciones específicas y además constituirá unarespuesta tanto a posibles incidentes específicos como a la creación de una "conciencia de riesgos"para la organización en su conjunto. No obstante la motivación principal para instaurar la GCN nodebe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta enmarcha agrega valor a una organización y a los productos y servicios que ofrece.

. Nigel Turnbull, Presidente de Turnbull Committee acerca del buen gobiernocorporativo en Reino Unido.Las empresas que venden a otras empresas han recurrido a la GCN como una ventaja competitiva paralograr nuevos clientes y mejorar sus márgenes al incorporarla a su política de atención al cliente. Unrepaso exhaustivo de las actividades a través de los ejercicios de Evaluación y Planificación deImpacto al Negocio puede poner en relieve las ineficiencias y destacar prioridades que de otra formano hubieran nunca salido a la luz.Las empresas que ofrecen productos o servicios saben que conservar a un cliente mediante unservicio más confiable es más barato que tratar de recuperar a los "desertores" después de unainterrupción del negocio.El espíritu de equipo que se crea durante la buena gestión de un incidente puede mejorar el resultadode un negocio mucho después de que el problema se haya solucionado.

. (Extraído de un discurso de Eliza Manningham-Buller,Directora General de MI5, en la Conferencia UK CBI, Noviembre 2004).

Determinar cuáles son las responsabilidades de la Gestión de Continuidad de Negocio dentro de unaorganización concreta tendrá mucho que ver con la persona que se nombrará para estar a cargo asícomo de su experiencia previa en la materia. Esto puede significar que un responsable de Continuidadde Negocio puede considerar que la seguridad, la disponibilidad de TI o la gestión de riesgosconstituyen las cuestiones clave, mientras restará importancia a otras áreas. Por esta razón esextremadamente difícil llegar a un acuerdo en cuanto a la lista general de responsabilidadesespecíficas para la Gestión de Continuidad de Negocio. En concreto existen muchos debates acercade su relación con la Gestión de Riesgos.Este Manual considera que, si bien se trata de facetas complementarias, los enfoques y métodosempleados en Continuidad de Negocio son muy diferentes de los dedicados a Gestión de Riesgos. Latabla siguiente trata de destacar las diferencias entre ambos.

“Para muchas empresas, la GCN tendrá en cuenta algunos…riesgos clave y les ayudará a cumplir consus obligaciones"

“Muchas veces me preguntan cuál es el consejo más útil que puedo ofrecer en el mundo de losnegocios. La respuesta es un sencillo y efectivo plan de continuidad de negocio que estécontinuamente actualizado y probado”

13

Tabla: Comparación entre Gestión de Riesgos y Gestión de Continuidad de Negocio

Intensidad

Alcance

Método clave

Gestión de riesgos

Parámetrosclave

Tipo deincidente

Magnitud delincidente

Gestión de continuidadde negocio

Análisis de riesgoAnálisis de impacto sobreel negocio

Impacto y TiempoImpacto y Probabilidad

Acontecimientos causantes detrastornos serios para el negocio

Todo tipo de eventualidadesgeneralmente segmentadas

Para la planificación estratégica:sólo los incidentes que afectan a lasupervivencia del negocio

Toda magnitud (coste) de losacontecimientos.Generalmente segmentados

Acontecimientos súbitos o derápida evolución (aunque esposible que la respuesta tambiénresulte apropiada si un incidentepersistente se transforma en severo)

Todas, desde gradualeshasta súbitos

Se enfoca sobre todo en gestión deincidentes en su mayor parte externosa los aspectos fundamentalesde negocio

Se enfoca primordialmenteen la gestión de riesgos paralos objetivos del negocioprincipal

La visión que se presenta en este Manual pretende presentar la características esenciales de laGestión de Continuidad de Negocio al mismo tiempo que entiende que los que las apliquen de formaconcreta muchas veces tendrán, ya sea por sentido común o por órdenes recibidas, que ampliar supapel debido a la situación que desempeñen en la organización para la que trabajan.

Ya se ha abordado la relación entre el Manual de Buenas Prácticas 2007, BS 25999-1 y otros estándaresde GCN.Otros estándares que contienen elementos de GCN son:•PAS 77 sobre Continuidad de Servicio de TI•ISO 27002 (Antes ISO 17799) – Aunque primordialmente se trate de un estándar relativo a laseguridad de la información, contiene aspectos de Continuidad de Negocio que deben ser atendidospara implantar correctamente ISO 27001.•ITIL este estándar se ocupa de disciplinas de Gestión de Servicio, como Riesgos y Seguridad,Cambios, Problemas, Configuración, Capacidad y Disponibilidad. No obstante existe un vínculo entrela Continuidad de Servicio de TI de ITIL (Recuperación de Desastres) y la Continuidad de Negocio.•Legislación de Protección de Datos•Legislación garante de la libertad de información•Normas sanitarias•Reglas y directrices como las previstas en la ley Sarbanes-Oxley de Estados Unidos y el acuerdointernacional bancario Basilea II, influyen sobre GCN al ser obligatorias e imponer parámetros para lacontinuidad de servicios.

Cada organización es diferente. Se gestiona de formas diferentes, tiene una presencia geográficadiferente y además evoluciona con el paso del tiempo. Por eso es imposible hacer recomendacionesespecíficas acerca de las soluciones que conviene adoptar.

Relación con otras directrices y estándares

CÓMO UTILIZAR ESTE MANUAL

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

14

Por lo tanto, este Manual pretende dar una idea general de un proceso y recomendar métodos, con lacreencia de que se llegará a la solución adecuada si se siguen los pasos correctos.Puede existir un caso en el que el proceso descrito necesite modificarse para cumplir con ciertasnecesidades específicas de la organización, por lo que cada organización necesita evaluar cómoaplicar las directrices a su propia estructura. Tiene que asegurarse, que su capacidad y competenciapara la GCN son apropiadas para la naturaleza, tamaño y complejidad de su negocio y además es unreflejo de su propia cultura y del entorno en el que opera.La definición de "buena" práctica implica que existe una práctica "mejor". Sin embargo, al contrariode lo que sucede con otros estándares, tiene que encontrarse la solución "apropiada" para cadaorganización. Si la solución se queda corta existe un riesgo de que fracase toda la estrategia, pero sise excede se malgasta tiempo o dinero que podrían ser empleados en otras necesidades. Pordesgracia es difícil determinar con exactitud esta estrategia ideal "apropiada", pero las directricesdeberían ofrecer un enfoque sistemático para identificarla.

El análisis de la respuesta que han tenido las organizaciones con respecto a las incidencias queafectan a la Continuidad de Negocio demuestra que aquellas que los han solucionado mejor hanintegrado las soluciones al conjunto de la organización. En la práctica esto significa que la capacidadde gestión de incidencias por parte de la alta dirección se apoyaba en una logística de Continuidad deNegocio, además de un soporte técnico para retomar la actividad.Por esta razón el Manual se centra en el papel fundamental del responsable de la GCN y asume que elespecialista en otras áreas (TI, seguridad, RH y desarrollo de negocio) estará disponible paraaconsejar en la puesta en marcha de estas demás facetas.

En primer lugar el Manual se ocupa de las cuestiones de Política de GCN y su gestión que definen elcontexto y alcance del Programa, luego sigue el Ciclo de Vida de la Gestión de Continuidad deNegocio; desde la Gestión de programa hasta la Comprensión de la organización. Después sigue loselementos del ciclo de vida de forma lógica y finaliza con el carácter permanente de un programa deGCN "Insertar la GCN en la cultura de la organización".A lo largo del Manual se hace referencia a las secciones importantes de BS 25999-1, pero no existe unacorrespondencia directa entre las secciones.El manual muestra cómo teóricamente las etapas encajan entre sí; en la práctica el que lo lleve acabo no seguirá necesariamente esta progresión de forma estricta. Por ejemplo un ejercicio basadoen escenario puede resultar conveniente para "vender" el proyecto en sus comienzos y se puedenescribir planes para dotar a la organización de cierta capacidad de gestión de incidentes antes de quese hayan investigado los requisitos para el reinicio de actividades. No obstante los progresos debenmedirse siempre con respecto al ciclo de vida completo y la organización en su conjunto.

Cada paso contiene:

Alcance del Manual

Diseño del Manual

Estructura del contenido del Manual

Fases de las directrices Preguntas que responden

Introducción

Detalle de los componentes

Indicadores clave de GCN

Contenidos descritos más adelante

¿Qué es lo más importante que hay que saber?

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

15

Diagrama y glosarioAl contrario de otras versiones anteriores del Manual, estas directrices utilizan el diagramaesquemático y el glosario de BS25999-1. Para obtener copias oficiales de éstos hay que recurrir a ladocumentación estándar oficial de Bs25999.

Figura: El ciclo de vida de GCN—BS 25999-1

12 3

4 5

6ca

p1

2 3

4 5

6ca

p

Componentes de las directrices Preguntas que responden

Introducción

Pasos previos

Propósito

Conceptos y suposiciones

Proceso

Métodos y Técnicas

Resultados

Revisión

¿Qué se tiene que haber hecho antes de llegara esta etapa?

¿Por qué necesitamos hacerlo? ¿Qué conseguirá?

¿Qué necesitamos comprender?¿Qué damos por supuesto?

¿Qué tenemos que hacer?

¿Qué herramientas necesitamos para lograrlo?

¿Qué debería producir?

¿Cuando debería realizarse?

La estructura y formato de cada componente sigue un esquema común:

12 3

4 5

6cap

Desarrollare implantar

una respuestade GCN

Determinarlas opciones

de GCN

Comprenderla organización

Inse

rtar

laGC

Nen la cultura de la organizació

n

Probar,mantenery revisar

Gestióndel

programaGCN

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

16

COMPONENTES DE LAETAPA1POLÍTICADE CONTINUIDAD DE NEGOCIO Y GESTIÓN DELPROGRAMAPOLÍTICADE GESTIÓN DE CONTINUIDAD DE NEGOCIO

GESTIÓN DELPROGRAMA

PLASMAR ELCONTEXTO DE LAORGANIZACIÓNCONTENIDOS DE LAPOLÍTICADE GCNALCANCE DELPROGRAMADE GCNACTIVIDADES SUBCONTRATADAS

ASIGNACIÓN DE RESPONSABILIDADESPONER EN PRÁCTICALAGCN EN LAORGANIZACIÓNGESTIÓN DE PROYECTOGESTIÓN CONTINUADOCUMENTACIÓNPREPARACIÓN PARALOS INCIDENTES Y SUS RESPUESTAS

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

17

LAPOLÍTICADE GESTIÓN DE CONTINUIDAD DE NEGOCIO

1. Introducción

Referencia: BS 25999-1 Sección 4

La Política de GCN es el documento clave que determina el alcance y buen gobierno del programa deGCN. La Política ofrece el contexto en el que el equipo de GCN desarrolla las competenciasrequeridas.Cuando una organización se embarca en un programa de GCN no dispondrá de una Política de GCN niprobablemente entenderá las decisiones que tiene que tomar para escribir uno. Se necesita realizaruna serie de actividades que se encaminan a la formulación de esta Política. Los pasos clave son:Asegurarse de que el programa de GCN apoya los objetivos y la cultura de la organizaciónDecidir el alcance del programa de GCNFormular una política de GCNDeberían iniciarse uno o varios proyectos para permitir que la organización desarrolle una Política einicie las actividades necesarias para instaurarlo.

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

18

PLASMAR ELCONTEXTO DE LAORGANIZACIÓN

1. Introducción

2. Pasos previos

3. Propósito

4. Conceptos y suposiciones

5. Proceso

Ref: BS 25999-1 Sección 4.2

Para desarrollar un programa de Gestión de Continuidad de Negocio apropiado hay que asegurarse deque refleja los objetivos de la organización y su cultura.Es necesario preguntarse lo siguiente:•¿Cuáles son los objetivos de la organización?•¿Cómo se logran las metas de negocio?En algunas organizaciones, como parte de los procesos de planificación de negocio, se llevará a cabouna evaluación de riesgos graves que puedan poner en riesgo el cumplimiento de los objetivosestratégicos y de operación. Las conclusiones de este ejercicio pueden ofrecer una informaciónvaliosa a la hora de determinar el contexto general para elAnálisis de Impacto en el Negocio (AIN). Enalgunos sectores de actividad o entornos es obligatorio realizar la evaluación de riesgos.

Es más fácil asegurarse de que la Política de GCN se corresponde con los requisitos de la organizaciónsi éstos se identifican y se acuerdan formalmente.

El propósito de alinear la Continuidad de Negocio con la estrategia conjunta desde el principio espara:•Comprender la dirección y enfoque del negocio antes de iniciar una evaluación de riesgos o deimpacto en el negocio.•Ayudar a entender el plan de negocio en lo que se refiere a crecimiento o reducción de negocio,reestructuración, etc., en el corto, medio o largo plazo. Es posible que este tipo de información noesté a disposición de la persona encargada de la actividad de continuidad de negocio y dependamucho del tipo y tamaño de la organización. Conocer los planes de negocio ayudará a desarrollarrecomendaciones de estrategias de contingencia que sean adecuadas y flexibles.•Establecer el parámetro de escala geográfica para la elección de opciones de recuperación

Es posible y deseable que se utilice un AIN para determinar el impacto de una interrupción antes deemprender una reestructuración importante del negocio como:•Introducción de un nuevo producto, proceso o tecnología•Cambio de ubicación de una oficina o ampliación geográfica del negocio•Cambio significativo en las operaciones, estructura o recursos humanos•Incorporación de un nuevo proveedor o empresa subcontratada importantesPuede que esto dé lugar a una revisión sobre cómo llevar a cabo la reestructuración o inclusocuestionar su propia puesta en marcha.

La reacción de los clientes y competidores en un factor clave que afecta la viabilidad de unaorganización después de un trastorno.Algunas de las condiciones importantes son:•Si el producto se consigue de varios proveedores, unos pocos o sólo uno•Cuál es el plazo más probable para encontrar otros proveedores•Si en el sector otros proveedores actuarán para aprovecharse de una empresa en dificultades o esprobable que se ayuden entre ellos (algo que puede suceder para proteger la reputación del sector)El Programa de GCN podría ofrecer una oportunidad de negocio para una organización comercial si elcliente está dispuesto a pagar una cantidad suplementaria para tener mayor confianza en la entrega.Estrategia de organizaciónLos aspectos de la estrategia de una organización con más probabilidades de afectar al Programa deGCN son:•Una estrategia de expansión (o contracción)•Desarrollo de nuevos productos o servicios

Utilizar unAIN para revisar la estrategia de la organización

Condiciones de mercado

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

19

Responsabilidades

Tamaño

6. Métodos y técnicas

7. Resultados

8. Revisión

•Obligaciones en los estatutos•Responsabilidades legales•Normas sanitarias y de seguridad

•Decidir la amplitud geográfica máxima de una interrupción o la magnitud de la pérdida de un recursoque la organización necesita planificar de cara a sobrevivir. Esto puede estar condicionado por:•Amplitud geográfica (o área de mercado/cliente)•Obligaciones legales o normas estatutarias•Productos, mercado, sectores o exigencias específicas de los clientes

Herramientas clave:•Demostrar una comprensión de los planes futuros de la organización•Disponer información actualizada de los procesos detallados, volúmenes, objetivos y, cuando seaposible, valores cuantificables relativos a la actividadEs posible que cierta información sea confidencial y por lo tanto en algunas organizaciones no estédisponible para el responsable de GCN. El hecho de no disponer de esta información no deberíaimpedir el AIN o la Evaluación de Riesgos, aunque sí puede perjudicar la confiabilidad de losresultados finales.

•Determinación del alcance y producción de un documento con los términos de referencia para elAnálisis de Impacto en el Negocio y Evaluación de Riesgos.

El impacto sobre la organización de una estrategia de Gestión de Continuidad de Negocio debería serrevisado como mínimo una vez al año como parte de (o al menos de forma paralela) los procesos deplanificación estratégica y operativa de un negocio. Una revisión más frecuente puede serconsecuencia de alguna de estas cuestiones:•Modificación clave en el negocio•Reestructuración•Expansión/contracción•Introducción de un nuevo producto•Cambio de ubicación o consolidación geográfica•Un incidente y la recuperación de actividad

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

20

CONTENIDOS DE LAPOLÍTICADE GCN

1. Introducción

2. Pasos Previos

3. Propósito


5. Proceso


7. Resultados

Referencia: BS 25999-1 Sección 4.3

La política de GCN de una organización provee el marco en el que se diseña y construye la capacidadde GCN.

Una comprensión por parte de toda la organización de la GCN y su importancia.

El propósito de una política de GCN es documentar los principios a los que aspira atenerse laorganización y en referencia a los cuales sus resultados pueden ser auditados.

Si bien la alta dirección es la máxima responsable de la política de GCN, se supone que el equipo deGCN será el encargado de crearla y asegurarse de que es la apropiada.

El proceso para desarrollar una política de GCN incluye:•Identificar y documentar los componentes de una política de GCN•Identificar una definición de GCN•Identificar aquellos estándares, normas y leyes que sean relevantes y deban ser tenidos en cuentaen la política de GCN•Identificar cualquier manual de buenas prácticas o demás políticas de GCN de otras organizacionesque podrían servir de modelo•Revisar y llevar a cabo un "análisis diferencial" entre la actual política de GCN de la organización(cuando exista) y una política de referencia externa o con los nuevos requisitos de la nueva política deGCN•Desarrollar un borrador de una nueva política de GCN o, en su caso, de una versión corregidaRevisar el borrador de la política de GCN con respecto a los estándares que ha adoptado laorganización en cuestiones relacionadas, tales como la política de seguridad de TI•Circular el borrador de la política para consultas•Corregir el borrador de la política de GCN allí donde sea necesario basándose en los comentarios traslas consultas•Acordar una ratificación de la política de GCN y una estrategia para su puesta en marcha por la altadirección de la organización•Publicar y distribuir la Política de Continuidad de Negocio por medio de un sistema de controlapropiado y técnicas

Los métodos, herramientas y técnicas para desarrollar una Política de GCN incluyen:•Una revisión de la actual Política de GCN de la organización.•Una investigación acerca de las fuentes externas que sirvan de orientación, tales como losorganismos legales, códigos de buenas prácticas sectoriales y colegios profesionales.•Contacto con organismos sectoriales y profesionales para entender los problemas ydesencadenantes de la GCN, tanto actuales como en desarrollo.•Identificación y adopción de componentes de una Política de GCN de otra organización consideradamodélica en Buenas Prácticas.•Una evaluación del estado actual de carencias y revisión de las políticas externas e internas paradeterminar los elementos esenciales de una nueva o revisada Política de GCN.•Una revisión por parte de expertos en GCN externos

La Política de GCN, que incluirá (o hará referencia en un documento anexo):•La definición de GCN de la organización•Una definición del alcance del programa de GCN (ver sección siguiente)•Un marco operativo de GCN documentado para la gestión del programa de GCN de la organización,que además incluya responsabilidades•Un conjunto documentado de principios de la GCN, sus directrices y estándares mínimos•Un plan de puesta en marcha y mantenimiento de la Política

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

21

8. RevisiónMientras todas las políticas de organización deberían ser revisadas de forma continua, una revisiónformal de esta Política debería desencadenarse por un cambio en el entorno externo en el que operala organización. Estos cambios podrían ser cambios en mercado o legales.

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

22

ALCANCE DELPROGRAMADE GCN

1. Introducción

2. Pasos previos

3. Propósito


Referencia: BS 25999-1 Secciones 4.4 y 6.6

Una de las objeciones más frecuentes a la puesta en marcha de la Gestión de Continuidad de Negocioes que el programa exigido es demasiado extenso si se aplica a toda la organización en un proceso.Los estándares británicos determinan un alcance de cumplimiento para productos o serviciosespecíficos o ubicaciones geográficas definidas. Esto permite que una organización ponga en marchala GCN sólo en algunas partes, aunque se espera que con el tiempo luego la extiendan a todas susoperaciones.Esta sección enumera las opciones disponibles para la organización para proteger su entrega deproductos y servicios. Dentro del estándar británico BS 25999-1 sólo la ruta de Continuidad de negocio(sección 6.6.2) puede servir a cumplirlo, puesto que las demás (secciones 6.6.3/5) - aceptación,transferencia y cancelación - no presuponen el mantenimiento de la entrega del producto o servicioal cliente. Las opciones a las que se refiere esta sección radican en definir el alcance del programa deGCN al que luego el estándar tiene que ser aplicado.

Lógicamente el primer paso es decidir acerca del alcance del programa de GCN. No obstante, esprobable que eso tenga que ser revisado constantemente. Puede resultar útil llevar a cabo un AIN dealto nivel de la entrega de producto o servicio para tomar una decisión acerca de qué productos yservicios estarán incluidos en el alcance (basándose en el impacto de la no entrega).

El propósito de determinar el alcance es garantizar la claridad de qué áreas de la organización estánincluidas en el programa de GCN. La documentación de las opciones para cada producto y serviciopretende dejar claro cómo la organización piensa proteger (o no) su capacidad de mantener suentrega, y esta decisión estará disponible para actores externos, tales como clientes o autoridades.El alcance puede (y dentro del cumplimiento de estándares debe) ser definido identificando quéproductos y servicios van a estar englobados. Esto hace hincapié en el criterio clave de éxito de lamayoría de las organizaciones: la entrega de productos o servicios.La ubicación puede también servir a la definición del enfoque, permitiendo que el programa de GCNincluya o excluya una o varias ubicaciones. Pero no es lógico dejar fuera un emplazamiento que esimportante para la entrega de un producto o servicio considerado dentro del alcance.La limitación del alcance debe ser considerada una decisión táctica que permite introducir de formaescalonada la GCN en toda la organización.

Si un producto o servicio se asigna dentro del alcance entonces todas las actividades que apoyan suentrega tienen que se incluidas en el programa de GCN.

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

23

La organización BS 259991

2 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

ProductoA

ProductoB

ServicioC

Cliente A Cliente A

Empresasubcontratada

Actividad

Actividad

ServicioD

Actividad1

Actividad2

Actividad3

Actividad4

Actividad 5Alta

Dirección

BCM Actividad 6

LA EMPRESA

Accionistas

Diagrama: La organización BS 25999

5. Proceso

Criterios de elección

En el diagrama anterior se determina que el Producto B y el Servicio C están dentro del programa, porlo que las actividades sombreadas tienen que formar parte, ya sea parcial o totalmente dentro de sualcance.

El proceso incluye los pasos siguientes:•Conformar un Equipo de Estrategia de Gestión de Continuidad de Negocio.•Identificar la Estrategia de Negocio de la organización, sus objetivos, obligaciones legales ycomprender cómo una Estrategia de Continuidad apoyará estos objetivos.•Si se ha llevado a cabo un Análisis de Impacto en el Negocio para determinar los efectos que tendríala pérdida de un producto o servicio, revisar su alcance, las suposiciones y resultados•Considerar las opciones estratégicas para cada producto y servicio.•Ofrecer a la dirección ejecutiva un informe de evaluación para determinar opciones, que se basanen la estrategia de negocio actual y futura de la organización.•Garantizar que la opción acordada es ratificada por la dirección ejecutiva, incluyendo lasprevisiones financieras y de recursos.•LIevar a la práctica un proceso constante que garantice la revisión de la estrategia.

Los productos y servicios deberían ser identificados a un grado de detalle apropiado.Ejemplos de productos y servicios pueden ser:•Un producto manufacturado o una gama•Recogida de deshechos•Soporte telefónicoAlgunos de los siguientes factores pueden influir en las decisiones acerca de qué productos, servicioso ubicaciones conviene incluir en el programa:•Un requisito del cliente•Una obligación legal o estatutaria•Una ubicación considerada de alto riesgo debido a su cercanía con otras instalaciones industriales ola posibilidad de una inundación, entre otros riesgos•El producto representa una proporción muy importante de los ingresos de la organización

24

Razones por las que un producto, servicio u organización pueden ser excluidos del programa:

Cuando se trata de determinar si se excluye del programa, además del impacto financiero oposibles pérdidas se tienen que tomar en cuenta los siguientes factores:

•Producto/servicio cercano a cumplir su ciclo de vida (dejaría de existir si se interrumpiera elsuministro)•Producto/servicio con márgenes reducidos (cancelación o subcontratación)•Una ubicación considerada de bajo riesgo

•Los puntos de vista de los proveedores, clientes y demás partes interesadas con influencia•Cualquier daño ocasionado por la interrupción o cancelación definitiva de un producto•El grado de confianza de cualquier cálculo de riesgo

Las opciones disponibles para cada producto o servicio son:•Continuidad de Negocio•Aceptación•Transferencia•Cambio, suspensión o cancelación definitiva

Opciones

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

Diagrama: Opciones para productos y servicios

Opciones deproducto/Servicio

Aceptación Transferencia

Cambio,Suspensión ocancelacióndefinitiva

Documentacióny

ratificación

Programa degestión de

riesgos(BS 25700)

Continuidadde

Negocio

Opciones parala actividadbasadas en

nivelesoperativosaceptables

Fuerza laboral,habilidades yconocimientos

Instalacionesdel lugar

de trabajo

Tecnologíasde

apoyo

Datose

InformaciónEquipo

ysuministros

Proveedores,clientes y demás

partes interesadas

25

Acontinuación se describe de forma detallada cada opción:

Si la estrategia elegida es la de Continuidad de Negocio, entonces es necesario instaurar medidasadecuadas que garanticen que las diversas actividades que determinan la entrega pueden proseguir oser recuperadas en los plazos requeridos y que son descritos en la sección 7.Las estrategias alternativas que deben considerarse (que están fuera del alcance de un programa deGCN) son:

Si se valora que el coste de GCN es demasiado alto o se calcula que el riesgo es bajo porque es pocoprobable que se produzca una interrupción (o tendría un impacto menor) entonces el riesgo es"aceptable".En tal caso puede que la organización elija no hacer nada al respecto o instaure medidas paraenfrentar los riesgos en caso de que se materialicen. Estas medidas pueden incluir:•Lograr aptitudes para la Gestión de Incidentes•Medidas para protegerse de amenazas específicas de mayor probabilidad, como las existentescontra incendios•Estrategia de fortaleza cuando se trate de instalaciones que poseen procesos de fabricación únicos yexclusivos o situadas en lugares únicos y para las que es imposible pensar en una estrategia dereubicación. En tal caso todos los esfuerzos deben enfocarse en minimizar las amenazas específicascon la esperanza de que si pasara lo peor, el componente único y exclusivo de la organización volveráa restaurarse sin importar el tiempo que se tarde.La aceptación de un riesgo y la determinación de la capacidad de asunción de riesgos por parte de unaorganización están sujetas a todas las advertencias de la sección anterior acerca de la evaluación deriesgos. Esto significa que no es posible determinar de forma científica el valor de un riesgo y que porello una organización no puede contraponerlo de forma rigurosa con su teórica capacidad de asunciónde riesgos.Si una organización busca protegerse de forma no sistemática contra algunas amenazas que hadetectado, el coste general de las medidas puede superar al de la estrategia de Continuidad deNegocio y dar lugar a una protección menos integral y duradera de la que hubiera ofrecido unprograma de GCN.

Es posible transferir un riesgo a un tercero que tenga mejor capacidad para gestionarlo.Las medidas posibles son:• . Cada vez son más las organizaciones que están subcontratando partes críticas delnegocio para crear organizaciones virtuales. La transferencia de riesgos es muchas veces unargumento muy citado en favor de la subcontratación. Es importante recordar que no se puedesubcontratar ni se puede transferir el riesgo para la reputación e imagen de marca de la organización.El riesgo y la responsabilidad siempre permanecen dentro del negocio.• a través de proveedores internos o externos que estén lejos del centro del negocio(generalmente en otro país) trae consigo nuevas complicaciones en seguridad, además de riesgospolíticos y medioambientales que pueden llamar la atención de clientes y autoridades.• . Es decir, transferir parte de los costes financieros de un incidente a una compañía deseguros. No obstante en caso de un incidente de gran escala, sólo puede aportar dinero para apoyarotras medidas de recuperación de negocio y no es una solución suficiente.Es importante destacar que no se pueden delegar ciertas responsabilidades. La organización puedever dañada su reputación o estar sujeta a sanciones por el fallo de la empresa subcontratada.

Cambiar el proceso puede ofrecer una oportunidad para continuar con el negocio de cara a losclientes, pero el producto o servicio a entregar está "ensamblado" de forma distinta, generalmentemediante la subcontratación de una parte o toda la operación. Por ejemplo un fabricante puedeconvertirse en distribuidora importando productos y reetiquetándolos.

Cambio, suspensión o cancelación

Continuidad de Negocio

Aceptación

Transferencia

Subcontratar

Deslocalizar

Asegurar

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

26

Puede resultar apropiado abandonar o vender ciertas partes del negocio cuando la actividad restantese mantiene viable y puede dejar espacio para una recuperación, o si un producto o servicio estáfinalizando su ciclo de vida. También puede resultar una estrategia apropiada para un grupo deempresas que no quieren sufragar la capacidad de recuperación de una filial marginal. Estaestrategia comporta riesgos si la reputación de los demás negocios puede resultar dañada por elfracaso de la parte cancelada.Si estas decisiones no se toman de acuerdo con el cliente, la organización puede encarar demandaslegales y daños a su reputación en caso de no cumplir las expectativas de un cliente.Pero si está estrategia recibe el visto bueno de todas las partes, las opciones pueden verse comosoluciones para la Continuidad de Negocio y pueden ser incluidas en el programa de GCN.Determinar una estrategia de Continuidad de Negocio adecuada dependerá de la aceptación porparte del cliente y llevar a cabo los cambios de procesos que serían necesarios para cumplirla (ya seadeterminados por adelantado o anticipados después del trastorno).

Las herramientas que pueden utilizarse para desarrollar la estrategia de la Organización paraproductos y servicios incluyen:•El Análisis del Impacto en el Negocio ofrece una técnica para evaluar de forma sistemática elimpacto de las interrupciones para ofrecer productos y servicios. Se puede utilizar para tomar unadecisión acerca de qué productos y servicios deberían ser incluidos en el alcance del programabasándose en el plazo y magnitud del impacto de la interrupción.•Análisis de Coste Beneficio (que incluye evaluaciones de proveedores, clientes y demás partesinteresadas, legales y normativas)•Análisis DAFO (Debilidades/Amenazas/Fortalezas/Oportunidades)•Planificación y gestión financieras•Herramientas de planificación estratégica•Comparación con respecto a los estándares nacionales e internacionales correspondientes•Análisis PEST (Político/Económico/Social/Técnico)•Se puede recurrir a técnicas de investigación de mercado para determinar la viabilidad de unproducto después de una interrupción en su suministro.

Los resultados son:•Una estrategia acordada para proteger cada producto y servicio de la organización que estén:

• o bien: dentro del alcance del programa de GCN• o bien: fuera del alcance del programa de GCN

•Un alcance para el programa de GCN que quede documentado en la Política de GCN

Debería llevarse a cabo una revisión de la Estrategia de GCN de la organización (corporativa) al menoscada 12 meses. No obstante existen acontecimientos que propician la reevaluación de la estrategiade GCN, tales como:•Una revisión del Análisis del Impacto en el Negocio que identifique cambios importantes en losprocesos y prioridades.•Un cambio significativo en uno o más de los aspectos siguientes: la actitud de la organización frentea los riesgos (quizás desencadenados por un acontecimiento), las condiciones de mercado, compras ofusión, nuevos productos o servicios, obligaciones legales o normativas.


7. Resultados

8. Revisión

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

27

ACTIVIDADES SUBCONTRATADAS

1. Introducción

2. Propósito

4. Proceso


6. Resultados

7. Revisión



Si se subcontrata una parte o la totalidad de un producto o servicio, la responsabilidad de sucontinuidad sigue siendo de la organización. Los clientes esperan que la organización haya elegido deforma responsable a sus socios y haya tomado las medidas adecuadas para garantizar la entrega.Las obligaciones internas o legales suelen destacar que la responsabilidad última de los serviciossubcontratados sigue siendo de la organización.

El propósito es asegurar que la entrega de productos y servicios de la organización no se veráinterrumpida por un tercero que provee bienes o servicios a la organización o directamente al clienteen nombre de la organización.

La organización sigue siendo responsable de la entrega del producto o servicio y no puede delegar esaobligación en la empresa subcontratada.

Los procesos para revisar las medidas de Continuidad de Negocio de una empresa subcontratada sonparecidos a los que se emplean para revisar las medidas de la propia organización (ver una secciónposterior).Es importante que esta información esté disponible para evaluar:•las ofertas de posibles empresas de subcontratación•la adecuación constante de las medidas de las empresas subcontratadas ya existentes

Se puede mejorar la robustez en los contratos de subcontratación mediante:•Una selección apropiada de las empresas subcontratadas•La especificación en el contrato de los requisitos para la Continuidad de Negocio•Acuerdo acerca de los niveles de servicio realistas que se ofrecerán durante los incidentes encualquiera de las organizaciones•Involucrar a las empresas subcontratadas en formación, concienciación y pruebas de Continuidad deNegocio

Documentación para apoyar la subcontratación que incluye:•Parámetros obligatorios para la selección de empresas subcontratadas•Términos contractuales•Acuerdos de nivel de servicio•Documentación acerca de los resultados de las pruebasEl resultado debería ser una cadena de suministro robusta que pueda absorber los trastornos sinimpactar de forma seria la entrega de productos y servicios al cliente.

La revisión de la continuidad del proveedor debería ser una parte importante de la evaluación de lasofertas a la hora de otorgar o renovar los contratos.Se recomienda una revisión anual de los resultados del proveedor con respecto a las obligaciones parala continuidad.

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

28

GESTIÓN DE PROGRAMA

1. Introducción


Un factor clave de éxito para la GCN es la designación de personas competentes para supervisar ygestionar el programa de GCN.Si bien en un principio la GCN puede beneficiarse de un enfoque de gestión de proyectos, conformemadura la GCN dentro de una organización se necesitan habilidades de gestión de programa paragarantizar el mantenimiento del nivel de preparación.Los pasos clave en la Gestión de Programa de GCN son:•Asignación de responsabilidades•Puesta en marcha de la GCN en la organización•Gestión de Proyectos•Gestión constante•Documentación de la GCN•Preparación para incidentes y capacidad de respuesta.

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

29

ASIGNAR RESPONSABILIDADES

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


7. Resultados

8. Revisión


La clave para un programa exitoso de GCN radica en identificar funciones, responsabilidades yautoridades claramente definidas para la gestión del programa de GCN y sus procesos en toda laorganización y la continua preparación del personal apropiado para saber responder en caso denecesidad.

La Política de GCN debe identificar las funciones y responsabilidades necesarias que hay que asignar.

El propósito de asignar funciones y responsabilidades es garantizar que las tareas para llevar a cabo ymantener el programa están atribuidas a personas específicas cuyos resultados pueden sersupervisados.

Las autoridades financieras como la Financial ServicesAuthority (FSA) de Reino Unido consideran quela GCN es un coste que forma parte de hacer negocios y tiene que disponer de los recursos adecuados.

Un integrante de la dirección ejecutiva debería tener responsabilidad general acerca de laefectividad de la GCN en la organización. Esto asegura que el programa de GCN tiene el nivel deimportancia adecuado en la organización y dispone de más posibilidades para su puesta en marchaefectiva.Se debería nombrar a una persona para gestionar el programa de GCN. Esta persona puede serconocida como el Director de Continuidad de Negocio.Según el tamaño de la organización, se puede asignar personal adicional para ayudar al Director deContinuidad de Negocio:•Personal de Continuidad de Negocio para ayudar, como llevar a cabo pruebas o búsqueda deinformación•Personal administrativo de Continuidad de Negocio que lleve a cabo la revisión de la documentación•Personal de otras unidades de negocio o ubicaciones que ayuden a la puesta en práctica de laContinuidad de Negocio y sirvan de coordinadores en sus áreas.

El personal asignado al programa de GCN debería recibir la formación adecuada a su funciónmediante cursos internos o externos.Aquellos que gestionan el programa deberían obtener una certificación por parte de un organismoprofesional adecuado, como el Business Continuity Institute.La integración de las funciones y responsabilidades en descripciones de puestos y el proceso deevaluación deberían resultar efectivos para garantizar que estas tareas son llevadas a cabo con eltiempo y esfuerzo adecuados. El éxito en la realización de las tareas debería reflejarse en la políticade incentivos y reconocimientos de la organización.

Las funciones y responsabilidades de las personas dentro del programa de GCN serán incluidas en lasdescripciones de los puestos de trabajo y en la definición de objetivos.Tanto las personas como la organización deberán entender claramente sus funciones yresponsabilidades.

La necesidad de personal para la GCN debería ser objeto de discusión para las previsiones anuales delresponsable de Continuidad de Negocio y puede estar sujeta a una auditoría.

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

30

LAGCN EN LAORGANIZACIÓN

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


Iniciar un Programa de GCN implica coordinar varias actividades que incluyen:•Momentos de creación de mayor conciencia que mantienen el entusiasmo por emprender unprograma de GCN•Actividades de recopilación de datos que indicarán la elección de las opciones de continuidad querespaldarán los objetivos de la organización•La puesta en marcha de medidas que reduzcan el impacto de un incidente en caso de que ocurrieracuando el programa está en fase de desarrollo.

Una Política de GCN interna con un programa definido y necesidades de personal bienpresupuestadas.

El propósito de este paso es garantizar que se pone en marcha un programa de GCN sostenible paratoda la organización. Un programa sostenible es aquel que ha logrado el compromiso de laorganización y posee estructuras y procedimientos que garantizan que se mantiene la preparación yademás se mejora de cara al futuro cercano.

La elección acerca de las actividades a llevar a cabo y el orden en el que se deben realizar dependeráde la cultura existente y el grado de preparación de la organización. La única regla inamovible es queno se deberían tomar las principales decisiones acerca de las opciones de Continuidad, así como lastácticas de recuperación hasta que se haya llevado a cabo la etapa de "Comprender la Organización".Se puede recurrir a ayuda externa por parte de consultores cualificados en GCN para iniciar unprograma de GCN. Esta medida puede ser efectiva para los costes por ahorrar en tiempo de desarrolloy necesidades de formación externa. Durante esta etapa uno de los objetivos tiene que ser latransferencia de conocimientos al personal de la organización.

•Ejercicios sobre el papel con la alta dirección para demostrar lo que pasaría si no existiera unesquema de respuesta a incidentes y procedimientos•Presentaciones acerca del impacto de incidentes locales recientes•Cuestionarios o entrevistas para determinar el estado actual de preparación dentro de la

organización•Escribir un borrador del alcance del programa•Discusiones para planificar una Política de GCN

•Programa de formación para el equipo que llevará a cabo elAnálisis de Impacto en el Negocio (AIN)•Programa de concienciación para que los directivos entiendan mejor la GCN y sepan responder

mejor a las preguntas planteadas en elAIN•AIN yAnálisis de Requisitos para la Recuperación•Talleres para analizar los resultados•Talleres con la alta dirección para determinar las opciones de continuidad

•Borrador de procedimientos para la gestión de incidentes•Identificar y poner en marcha mejorías rápidas de bajo coste

El proceso de inicio debería construirse con las actividades descritas en este documento. Entreellas:•Actividades de concienciación:

•Recuperación de datos y elección de una opción de continuidad:

•Medidas para reducir amenazas específicas detectadas

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

31


7. Resultados

8. Revisión

En este documento se describen los métodos, herramientas y técnicas para desarrollar un Programade GCN. Se debe recurrir a una metodología de Gestión de Proyectos para supervisar los avances.•Cuando se trata de iniciar el programa, se debe destinar el tiempo suficiente para complementarcada actividad con formación de habilidades y ejercicios de concienciación.

Al final del inicio exitoso de un Programa de GCN la organización debería disponer de:•Un estado satisfactorio de preparación, generalmente comprobado a través de ejercicios sobre elpapel de los procedimientos de gestión de incidentes•Procedimientos, estructuras y competencias para mantener y desarrollar la capacidad de GCN

Mientras se encuentra en la fase inicial, el programa de GCN debe ser revisado al menos una vez almes, además de cada vez que se alcance un hito.

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

32

GESTIÓN DE PROYECTOS

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


7. Resultados

8. Revisión

Referencia: BS 25999-1 Sección 5.3.2

Cuando se inicia un programa de GCN por primera vez es necesario instaurar una disciplina de gestiónde proyecto.Una vez que todos los elementos clave están en su sitio se llega a una gestión constante de programa.No obstante, se trata de una práctica útil para un programa constante con resultados claros, comocrear momentos de concienciación en toda la organización.

Un método acordado para la Gestión de Proyectos.

Generar un empuje inicial para la puesta en marcha de la GCN. El uso de un método para la gestión deproyectos puede sirve para:Identificación de resultadosPlazos y fechas de entregaControles de presupuesto y esfuerzo laboral

Si bien se pueden identificar resultados claros para algunas tareas de GCN, otras son menos tangibles,por lo que puede resultar difícil llevar a cabo algunas tareas de la gestión de proyectos en su sentidomás estricto. Por ejemplo en un Análisis de Impacto en el Negocio suele existir un elemento de"descubrimiento" que vuelve difícil una cuantificación del tiempo necesario para llevarlo a cabo.

Se puede utilizar este documento para definir un plan para la puesta en marcha inicial de unprograma de GCN. Las etapas típicas del proyecto con resultados definidos son:•Generar concienciación - defender la GCN•Definir el alcance del programa (borrador de Política)•Análisis de Impacto en el Negocio•Análisis de riesgos•Elección de la opción para la continuidad•Desarrollar y poner en marcha la respuesta•Desarrollar y dirigir un simulacro sobre el papel que verifique la efectividad de un primer borradordel planLas estimaciones de trabajo para ciertas etapas del proyecto dependerán muchas veces de losresultados de las etapas anteriores.También se puede aplicar métodos de gestión de proyectos para ciertos elementos del programa deGCN con resultados claros, como:•Desarrollar y dirigir un simulacro de GCN•Desarrollar y ofrecer un programa de formación al personal•Seleccionar a un proveedor para un recurso de continuidad

Existen varios métodos para la gestión de proyectos, muchos de ellos con software de apoyo. Sedebería recurrir a un método apropiado para el tamaño y complejidad de la organización.

La puesta en marcha inicial del programa de GCN puede ser llevada a cabo mediante varios proyectoscon resultados claros y estimaciones de trabajo.

El método de proyecto adoptado debería incluir los requisitos para revisiones periódicas para evaluarel progreso con respecto a fechas o hitos predeterminados y estimaciones de trabajo.

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

33

GESTIÓN CONTINUA

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


Un programa efectivo de GCN requerirá la participación de diversas disciplinas de gestión, operación,administrativas y técnicas que deben ser coordinadas a lo largo de su ciclo de vida medianteprocedimientos como los indicados en este Manual.El Programa debe gestionarse dentro del marco y de acuerdo con los principios contenidos en laPolítica de GCN de la organización.

Puesta en práctica con éxito de las actividades de iniciación del Programa.

El propósito del proceso de gestión es ofrecer una gestión constante efectiva del programa de GCN dela organización.

El número de profesionales dedicados a la GCN y personal de otras especialidades necesario paragestionar el programa depende del tamaño, naturaleza, complejidad y ubicación de la organización.En organizaciones más pequeñas es posible que el responsable de la GCN tenga otras funciones. Raravez esto es buena solución cuando alguna de esas otras funciones también involucre unaresponsabilidad operativa diaria.En una organización de mayor tamaño pueden existir varias personas que dediquen todo o parte de sutiempo a la GCN. En tal caso se puede establecer una jerarquía y puede que los que dirijan elprograma necesiten tener capacidad de gestión de personal (además de habilidades para la GCN).

•Nombrar a una persona o un equipo para gestionar el programa de GCN•Definir el alcance del proceso de gestión y el programa•Aprobar el presupuesto de continuidad•Supervisar el resultado del proceso de gestión

•Desarrollar y aprobar un proceso de planificación de GCN y el programa.•Determinar los enfoques clave para cada fase del ciclo de vida de GCN tal y como se describen másadelante•Iniciar o gestionar las actividades de GCN apropiadas dentro de la organización•Promover la Continuidad de Negocio en toda la organización y fuera de ella en donde seaconveniente•Gestionar el presupuesto de continuidad•Documentar el programa de GCN•Investigar la capacidad de preparación en la que se encuentran las demás organizaciones del mismosector y las obligaciones marcadas por leyes y normas•Informar al directivo de forma constante del grado de preparación en el que se encuentran ydestacar los retrasos y problemas

•Identificar y formar representantes de Continuidad de Negocio en los departamentos o en otrasubicaciones para:

•Servir de punto de contacto para las cuestiones de Continuidad de Negocio que tengan que ver conel departamento o ubicación•Ayudar al departamento a identificar las implicaciones de la Continuidad de Negocio en los

cambios de procesos•Informar al equipo de GCN de los cambios en los procesos•Ayudar o dirigir la recuperación del departamento o ubicación en caso de interrupción.

La Dirección de la organización debería:

El equipo de GCN designado debería (junto con la Dirección):

El equipo de GCN puede (junto con los ejecutivos de negocio):

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

34


7. Resultados

8. Revisión

•Los métodos, herramientas y técnicas para gestionar un programa de GCN incluyen:•Este Manual de Buenas Prácticas•Una ficha de auto evaluación de la Política de GCN•Evaluaciones anuales de resultados para cada persona•Gestión de la relación con proveedores y empresas subcontratadas para los productos y servicios•Gestión de la relación con proveedores y el especialista en GCN•Gestión financiera•Asesoramiento legal•Comparación de la GCN en las demás empresas del sector (Proceso y Métricas)•Estándares nacionales e internacionales como el BS 25999•Auditoría de GCN internas y/o independientes•Revisión y motivación.

Los resultados del programa de GCN incluyen:•Un programa de Gestión de Continuidad de Negocio claramente definido que ha sido aceptado por laalta dirección.•Informes de cumplimiento de GCN en intervalos predeterminados•Una estrategia de GCN y estándares claramente definidos y documentados•Un proceso de gestión que forma parte integral del programa de GCN y ciclo de vida de laorganización•La revisión de las soluciones para la recuperación de la organización•El presupuesto anual del programa de GCN•El informe de auditoría del programa de GCN•El mantenimiento de capacidades efectivas para la GCN•Experiencias exitosas en notificación, traspaso de responsabilidades, prevención y recuperación

Un programa de GCN debería ser gestionado de forma constante.El programa debería ser revisado por auditores internos o externos en los plazos que ellosdeterminen.

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

35

DOCUMENTACIÓN

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


7. Resultados


Una parte importante del proceso de GCN es gestionar toda la documentación de GCN. Tiene quehacerse de forma consistente, fácil de comprender y que apoye tanto la supervisión de operacióncomo las auditorías. El nivel y tipo de la documentación debe corresponderse con el tipo y tamaño dela organización.

Las organizaciones que han recibido la certificación de estándares como el ISO 9000 o ISO 27001tendrán que asegurarse que la documentación de GCN cumple con esos estándares.

La documentación de GCN tiene tres propósitos:•Gestionar el programa de forma efectiva.•Demostrar que el programa ha sido gestionado de forma efectiva en caso de auditoría.•Durante una interrupción, disponer de la documentación efectiva y actualizada que se necesita parala gestión de incidentes y la recuperación de la actividad.

Si bien es importante mantener la documentación de GCN, su sola existencia no demuestra que sedispone de la capacidad para responder a un incidente.Se tiene que ofrecer al personal una formación adecuada en la operación de las aplicaciones softwareutilizadas en el programa. Aquellos responsables del mantenimiento de los planes deberían sercapaces de actualizar su documentación, ya que esto les ayuda a sentirse involucrados y disminuyelas necesidades de personal administrativo en la supervisión central de GCN.Un software especializado de GCN puede suponer ciertas ventajas para el mantenimiento, perotambién significa un coste constante en formación a lo largo del programa.

El mantenimiento de la documentación de la GCN debería estar integrado con los procedimientos degestión de cambio de la organización.

•Se puede utilizar un software para gestionar la documentación de la GCN.•Un procesador de texto puede utilizarse para los documentos de texto como la Política.•Se pueden utilizar hojas de cálculo y bases de datos para la logística de los planes de respuesta.•Se puede utilizar un software especializado para los planes.•También se puede utilizar un software para garantizar que las diferentes ubicaciones de laorganización disponen de copias actualizadas de los documentos.

•Un conjunto actualizado de documentación GCN . Puede incluir lo siguiente:•Una Política de GCN que incluya su alcance y principios.•Análisis del Impacto en el Negocio.•Evaluación de riesgos y amenazas.•Estrategias de GCN con informes que sustenten la elección de las estrategias adoptadas.•Planes de respuesta

Planes de Gestión de IncidentesPlanes de Continuidad de NegocioPlanes por departamentos de Recuperación de Negocio

•Calendario de pruebas e informes•Programa de concienciación y formación•Acuerdos de niveles de servicio con clientes y proveedores•Contratos con terceras partes para servicios de recuperación como espacio de trabajo y rescateRevisiónEl ciclo de revisión de cada documento se puede consultar en las secciones relativas a su creación yutilización. La documentación y los controles deberían ser revisados por auditores internos oexternos con la regularidad que ellos determinen.

�

�

�

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

36

PREPARACIÓN PARALOS INCIDENTES Y SUS RESPUESTAS

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


7. Resultados

8. Revisión

A pesar de que la Gestión de Continuidad de Negocio es principalmente una actividad deplanificación, es inevitable que se espere del equipo de GCN que lidere cuando se tenga queresponder a un incidente.

Los responsables de la GCN deberían asumir que la gestión de incidentes se haría progresivamentecargo en caso de tener que poner el plan en práctica.

El equipo de GCN es el que posee el conocimiento más detallado acerca de las estrategias generales ylas acciones que necesitan llevarse a cabo inmediatamente. Tienen que apoyar a la dirección conevaluaciones y actividades preventivas hasta que entre en operación el Equipo de Gestión deIncidentes.

Se suele asumir que aquellos que han desarrollado el plan son los mejores para responder a unincidente. Sin embargo suele existir una contradicción entre las características de personalidad quese exigen a un planificador y las necesarias en un líder. Cualquier problema relativo a esta cuestióndebería salir a la luz tras la realización de simulacros realistas.

Recibir notificación de un problema.Evaluar la situación y luego:•gestionar la respuesta a través de los planes previstos•o transferir el problema al equipo de gestión de incidentesSi es necesaria una respuesta, entonces se deben considerar inmediatamente los siguientes aspectos:•¿Está usted preparado, tanto física como emocionalmente para ayudar o dirigir la respuesta?•¿Están presentes las demás personas que tienen que aportar una respuesta? ¿Son capaces de asumirlos papeles que les han asignado? Algunas personas pueden reaccionar a un incidente con uncomportamiento inusual•¿Ha comunicado lo sucedido a la alta dirección?

Existen muchos métodos para gestionar incidentes, aquí sugerimos uno genérico.•Contener - ¿Hay algo que se pueda hacer de inmediato para evitar que empeore el problema?•Seguir el Plan - ¿Existe una respuesta planificada con antelación que se corresponda con elincidente?•Seguir el procedimiento documentado, el cual puede incluir los pasos siguientes:•comunicar - Tratar de resolver el problema en solitario puede hacer perder tiempo si la situación se

descontrola.•si necesario, crear un equipo de respuesta•evaluar la situación -Averiguar tanto como se pueda sin incurrir en riesgos personales•Predecir el resultado más probable y adaptar el Plan de Continuidad de Negocio para ofrecer una

estrategia de respuesta•Predecir un resultado para el peor de los casos y disponer de una estrategia de respuesta de respaldo•Llevar la respuesta al grado adecuado de responsabilidad dentro de la organización•Poner en práctica la estrategia de respuesta•Evaluar el progreso de la respuesta con respecto al resultado más probable•En cuanto la situación lo permita, revisar la efectividad de la respuesta

El resultado de una respuesta exitosa es un regreso controlado de la organización a su actividadnormal.

La respuesta de la organización debería evaluarse tan pronto como sea posible después de lainterrupción y efectuar las modificaciones necesarias a los procedimientos, personal o contratos.

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

37

INDICADORES DE GCN

COMPROMISO DE LA ALTADIRECCIÓN

CONTENIDO DE LAPOLÍTICA

GESTIÓN DE PROGRAMADE GCN

RECURSOS DE LAGCN

Estos son los elementos clave que se esperan de una organización madura que cuenta con GCN:

1. La organización posee una política de GCN2. El Consejo de Administración o su equivalente es responsable último de la instauración de laPolítica GCN3. El Consejo de Administración ha nombrado a un comité o persona con autoridad, experiencia ycapacidad necesarias para responsabilizarse y rendir cuentas de la política de GCN4. La responsabilidad operativa de la GCN se refleja claramente en los objetivos de resultados de laalta dirección5. La alta dirección ha definido directrices claras de responsabilidad e información para todas laspersonas a cargo de la GCN6. Existe una autoridad centralizada de GCN que se encarga de asegurar que toda la organizacióncomparte estándares y prácticas comunes

7. Define principios, objetivos y el propósito de la GCN en la organización8. Expone la definición de GCN para la organización9. Expone los procedimientos que garantizan que todas las unidades de negocio tienen totalconocimiento y cumplen la política10. Explica de forma clara los límites de alcance y las salvedades que se aplican en su interpretación11. Expone plazos explícitos para el cumplimiento de todos los objetivos de la política de GCN12. Hace referencia al conjunto de estándares mínimos adoptados para la GCN13. Hace referencia al marco operativo y de gestión de la GCN14. Hace referencia a la tolerancia o capacidad de absorción de riesgos de la organizaciónrelacionados con la GCN15. Obliga a promover la GCN dentro de la cultura de la organización16. Obliga a que todas las terceras partes y empresas subcontratadas de crítica importanciadispongan de políticas de GCN aceptables17.Apoya y está en línea con los objetivos estratégicos de la organización

18. La política exige controles de cambios efectivos para todos los componentes del programa de GCN19. La política se revisa de forma regular para asegurar que refleja las necesidades cambiantes de laempresa20. La política define factores desencadenantes para revisiones de todos los componentes de la GCN,tanto las periódicas como las causadas por cambios21. Está instaurado un programa de GCN para poner en práctica la política de GCN en todas las áreasde la organización22. Sus objetivos y alcance están claramente definidos y formalmente aceptados por la alta dirección23. Está completa y claramente en línea con los objetivos y estrategias más amplios de laorganización24. Sus avances se comunican de forma regular a los proveedores, clientes y demás partesinteresadas de la organización25. Está formalmente gestionado por la alta dirección, a la cual se informa sistemáticamente delgrado de cumplimiento de objetivos26. Siempre se actualiza rápidamente para reflejar las nuevas adquisiciones del negocio, acuerdos desubcontratación y cambios principales en proyectos o sistemas

27. Están formalmente supervisados, respaldados y autorizados por la alta dirección28. Están supervisados, gestionados y operados por personas competentes y cualificadas29. Definen claramente y reconocen formalmente los roles, responsabilidades y grados de autoridadde las personas involucradas en su operación30. Los roles y responsabilidades de todas las personas en el programa se reflejan de forma clara ensus perfiles de puestos y objetivos de resultados

12 3

4 5

6cap

POLÍT

ICA

YG

ESTIÓ

ND

EPR

OG

RAM

AD

EG

CN

38

31.El programa de GCN identifica las siguientes medidas como obligatorias:•A.Análisis de Impacto en el Negocio (AIN)•B. Evaluación de riesgos relacionados con la continuidad•C. Previsión de estrategias realistas de continuidad de negocio•D. Planificación de gestión de incidentes•E. Planificación de continuidad de negocio•F. Probar la GCN•G. Promover la concienciación en GCN•H. Mantener la capacidad en GCN•I. Gestión efectiva de programa de GCN•J.Adopción de política de GCN

32. Las actividades se revisan y autorizan formalmente por una persona con autoridad adecuada33. Los proyectos se revisan y actualizan para tomar en cuenta los cambios que afectan su validez34. Los proyectos se gestionan formalmente con respecto a plazos y objetivos definidos en la política

35. El programa de GCN está documentado de forma clara y completa36. El programa de GCN especifica claramente el punto de vista que se utilizará para documentarcada componente37. El programa de GCN controla toda la documentación obligatoria de la actividad de GCN.

GESTIÓN DE PROYECTO

DOCUMENTACIÓN

12 3

4 5

6ca

pPO

LÍTIC

AY

GES

TIÓ

ND

EPR

OG

RAM

AD

EG

CN

39

1 3 4 5 62capítulo

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

Comprenderla organización

40

Acerca del Capítulo 2 - Comprender la organización

COMPONENTES DE LAETAPA2COMPRENDER LAORGANIZACIÓN

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posiblesimpactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydemás partes interesadas, la reputación, la marca y las actividades creadoras de valor.Comprender la organización es un elemento clave de toda buena Gestión de Continuidad de Negocio.Busca identificar los productos y servicios clave de una organización, y tras ello definir los factorescríticos de las actividades que están detrás. Esta parte de la GCN debe estar totalmente integradadentro de los objetivos, obligaciones y estatutos de la organización.

1. PRINCIPIOS GENERALES2.ANÁLISIS DEL IMPACTO EN ELNEGOCIO3. EVALUAR LOS REQUISITOS DE RECUPERACIÓN4. EVALUAR LASAMENAZAS (EVALUACIÓN DE RIESGOS)

Una comprensión del negocio mediante la combinación de un Análisis del Impacto en el Negocio (AIN)y una Evaluación de Riesgos (ER) puede en muchos casos destacar las ineficiencias del negocio ycentrarse en prioridades que de otra forma no podría ver la alta dirección.

13 4

5 6

2ca

pCO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

41

COMPRENDER LAORGANIZACIÓN

Principios generales


Tal y como se describe en la sección dedicada a la Política de GCN, la organización debe tomar unadecisión clara acerca de si la GCN afectará a toda la organización o sólo a ciertos productos oservicios. Esto determina el alcance del Análisis del Impacto en el Negocio (AIN) y de la Evaluación deRiesgos (ER).Las herramientas para comprender su negocio desde un punto de vista de continuidad de negocio son:•Análisis del Impacto en el Negocio (AIN) - un proceso obligatorio para calcular el impacto en eltiempo de una interrupción en la capacidad de operar de una organización.•Análisis de Requisitos de Continuidad - para calcular los recursos, instalaciones y servicios quenecesitará cada actividad cuando se reinicie.•Evaluación de Riesgos (ER) - para calcular la probabilidad de amenazas conocidas y su impacto sobrefunciones específicas.

ElAIN identifica la urgencia de cada actividad de negocio llevada a cabo por la organización al evaluarel impacto en el tiempo de una interrupción de esta actividad en la entrega de productos y servicios.Se utiliza esta información para identificar el plazo de las estrategias de continuidad y recuperaciónapropiadas para cada actividad por separado y entre ellas.El Análisis de Requisitos para la Continuidad ofrece la información que permitirá determinar lamagnitud (tamaño y cantidad) de las medidas apropiadas de continuidad.La Evaluación de Riesgos (ER) ayuda a identificar las posibles causas de interrupción en unaorganización, la probabilidad de que suceda y el impacto en caso de que la amenaza se materialice.Apartir de entonces se pueden detectar medidas que reduzcan la probabilidad de que suceda oaminoren el impacto de un incidente que se produzca por estas amenazas. Dentro del programa deGCN, tras estudiar los resultados del AIN, una ER debería dar prioridad a tecnologías específicas yriesgos inherentes a las actividades de negocio identificadas, y no en todos los riesgos que encara laorganización. 1

3 4

5 6

2cap

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

42

ANÁLISIS DEL IMPACTO EN ELNEGOCIO

1. Introducción

2. Pasos previos

Referencia: BS 2999-1 Sección 6.2—3

El Análisis del Impacto en el Negocio son los cimientos sobre los que se construye todo el proceso deGCN.Identifica, cuantifica y califica los impactos sobre el negocio de una pérdida, interrupción o trastornode los procesos de una organización y ofrece los datos a partir de los que se determinan las estrategiasde continuidad adecuadas.Se puede utilizar un Análisis del Impacto en el Negocio (AIN) para identificar el plazo y magnitud delimpacto de un trastorno en varios niveles de una organización. Por ejemplo para examinar el efectode:•La pérdida de capacidad para entregar cada producto o servicio - para tomar decisiones informadasacerca del alcance del programa de GCN.•Una interrupción de las actividades internas y externas que crearía un trastorno en la entrega deproductos y servicios - para disponer de información para elegir las opciones de continuidad y losrecursos que necesitan.•Un trastorno en una actividad de negocio - para ayudar a preparar un plan detallado para eldepartamento.Una vez determinado el alcance, el AIN se centra en las actividades (que apoyan esos productos yservicios) e identifica aquellas cuya deficiencia pondría más rápido en riesgo la entrega. Tienden aser actividades "operativas" que interactúan de forma directa con clientes o otras organizacionesexternas. No obstante es posible que estas actividades dependan para la entrega del "apoyo" de otrosprocesos internos y externos, que también deberán ser analizados.Algunos ejemplos de funciones operativas:•Servicio a cliente•Ventas•Producción

Algunos ejemplos de funciones de apoyo:•TI•Recursos humanos•Servicios externos de apoyo tales como energía

Algunos ejemplos de actividades estratégicas:•Dirección•Proyectos•Planificación

Antes de intentar realizar un Análisis del Impacto en el Negocio (AIN) es necesario lograr el apoyototal de la dirección ejecutiva y la mayoría de la alta dirección. Es poco probable que los demásdirectivos estén dispuestos a dedicar tiempo a este ejercicio si no está asegurado el apoyo de las másaltas esferas.Antes de llevar a cabo el AIN se puede haber tomado una decisión acerca de qué productos y serviciosse incluirán en el programa de GCN, algo que quedará documentado en la Política de Gestión deContinuidad de Negocio (GCN). El método de AIN también puede utilizarse para comprender elimpacto de un fracaso en la entrega de un producto o servicio. Esto luego sirve para tomar decisionesinformadas.La Política de GCN es el documento clave que determina el alcance y buen gobierno del programa deGCN. La Política ofrece el contexto en el que el equipo de GCN pondrá en marcha las competenciasnecesarias. Para desarrollar un programa adecuado de Gestión de Continuidad de Negocio debeasegurarse que refleja los objetivos y la cultura de la organización (Ver Capítulo 1).

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N1

3 4

5 6

2ca

p

43

3. Propósito


5. Proceso

Conceptos

Terminología: actividades 'críticas'

Suposiciones

Confidencialidad de la información

Alcance y magnitud

El propósito de unAnálisis del Impacto en el Negocio es - para cada actividad, producto y servicio:•Documentar los impactos a lo largo del tiempo causados por su pérdida o trastorno•Dar elementos a la dirección para tomar una decisión acerca del Período Máximo Tolerable deInterrupciónIdentificar las dependencias (tanto internas como externas) que se generan obligatoriamente paraque la actividad opere de forma efectivaEs posible, e incluso deseable, que se utilice un AIN para evaluar por adelantado el impacto de unainterrupción de un cambio sustancial de negocio, como:•Introducción de un nuevo producto, proceso o tecnología•Cambio de ubicación de las oficinas o modificaciones de la extensión geográfica del negocio•Cambio significativo en las operaciones, estructura o niveles de personal del negocio•Incorporación de un nuevo proveedor o contrato de subcontratación importantes

•Período Máximo Tolerable de Interrupción (PMTI). Se trata del plazo después del cual la viabilidad deuna organización (tanto financiera como por pérdida de reputación) se verá amenazada de formairrevocable si no puede reiniciar la entrega de un producto y servicio específico.•Es posible que el PMTI tenga un componente estacional. Por ejemplo, el final de un año fiscal puedereducir el tiempo tolerable de interrupción de la actividad financiera y un contrato único queconlleve penalizaciones significativas puede reducir el nivel tolerable de inactividad de variasfunciones de la organización.•Objetivo de Punto de Recuperación (OPR) - es el punto en el que la información debe ser restauradapara permitir la operación de una actividad una vez se haya reiniciado.

•Tras determinar el PMTI de cada actividad, suele ser recomendable vincular esas actividades conrequisitos similares de recuperación. Algunas veces las organizaciones definen estos grupos según suplazo de recuperación (por ejemplo, 1 día, 2 día, 1 semana,... etc); otras utilizan el término "críticas"para ciertas actividades necesarias en los primeros días.Aquellos que no estén familiarizados con la terminología de GCN, se suele confundir el término"crítico" como "importante", lo que conlleva confusiones a la hora de recolectar datos para el AIN y lacreencia errónea de que no se necesitan planes y tácticas de recuperación para las actividades "nocríticas". Otros términos menos ambiguos son "crítico en tiempo", "sensible al tiempo" y "urgente".

•Se asume que es posible entender la organización mediante el análisis por separado de susactividades de negocio.•Es posible que el PMTI sea difícil de determinar en el caso de funciones con componentesestacionales o periódicos como los proyectos de final de año. En tales casos el análisis de impactodebería centrarse en una interrupción de la actividad durante uno de estos picos.•Cuando ya existan medidas de resistencia instauradas, se asume que ya están operativas (aunquepueden revelarse inadecuadas).

•Es posible que cierta información tenga carácter confidencial para el mercado o el sector, por lo quealgunas organizaciones no la revelarán al responsable de GCN. El hecho de no disponer de estainformación no debería impedir la relación del AIN, aunque podría afectar a la fiabilidad de losresultados finales.

•Si la organización es parte de un grupo – identificar la relación existente entre las diferentes partesde la organización, ya que esto puede afectar al PMTI.•Si la organización tiene varias ubicaciones, determinar el alcance geográfico delAIN de la Política.•Conseguir que el responsable de proyecto nombrado por la alta dirección ratifique los términos dereferencia.

13 4

5 6

2cap

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

44

Análisis del Impacto en el Negocio

Informes

Recopilación de datos

Cuestionarios para la recopilación de datos

6. Métodos y Técnicas

•Identificar las actividades diferenciadas a lo largo de la organización (que pueden implicar a variosdepartamentos) y los responsables de esos procesos.•Identificar el personal adecuado del que se puede conseguir la información acerca de los procesos –los expertos en la materia.•Identificar los impactos que pueden provocar daños para la reputación, activos o situaciónfinanciera de la organización.•Cuantificar los tiempos en los que una interrupción de cada actividad resulta inaceptable para laorganización.•En aquellos casos en el que la organización dispone de varios emplazamientos puede ser necesariodecidir cuál será el alcance geográfico de un trastorno o la magnitud de la pérdida de recursos que laorganización tiene que planificar de cara a sobrevivir. Esto puede ser determinado por:

Amplitud geográfica (o extensión de mercado/cliente)Obligaciones legales o estatutariasRequisitos de los productos, del mercado o de los clientes

•Lograr que los responsables de los procesos ratifiquen los datos para confirmar la fiabilidad de lainformación.•Obtener el respaldo del responsable de GCN para las conclusiones.

Algunos métodos, herramientas y técnicas para llevar a cabo losAnálisis de Impacto en el Negocio:•Talleres•Cuestionario (s) - en papel y/o software•Entrevistas (estructuradas y no estructuradas)En términos generales:•Los talleres ofrecen resultados rápidos y una oportunidad para establecer un compromiso directocon el programa siempre y cuando todos los departamentos y participantes hayan asumido suimportancia.•Los cuestionarios ofrecen grandes cantidades de datos, pero la calidad de la información puede sermuy cuestionable si no se han obtenido de forma coherente.•Las entrevistas pueden ofrecer muy buena información pero llevan tiempo y los datos logradospueden variar en formato y detalle.•La combinación de los métodos reseñados puede ofrecer excelentes resultados siempre y cuando seestablezca un grado adecuado de detalle y un formato estándar de informes que permitan unacoherencia en la recopilación y análisis de la información a lo largo de múltiples áreas de laorganización.

No existe una metodología única para recoger los datos en un Análisis del Impacto en el Negocio. Losmétodos cambian según el sector y según las personas responsables. Cada sector de actividad tienesus necesidades específicas en lo que se refiere a resultados, tipos de información, profundidad yalcance. No obstante se deben considerar algunos principios básicos:•El objetivo del AIN es recopilar información que sustenten la elección de las estrategias decontinuidad adecuadas, que se sustenta en la urgencia de cada actividad para reiniciarse•¿Cómo se utilizará la información que recoja?•¿Cuál es el mejor formato para la recopilación de datos de cara a presentar resultados de formaefectiva?•Información básica que se necesita para determinar la urgencia de la actividad que se analiza tantopor separado como siendo parte integral de la organización:

Plazos en los que la actividad debe reiniciarseUbicaciones desde las que se lleva a cabo la actividadCuestiones que influyen sobre la actividad, por ejemplo períodos pico, informes a las

autoridades...•Cuál sería el impacto de suspender la actividad•Cuánto tiempo puede sobrevivir la organización sin ella

�

�

�

�

�

�

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N1

3 4

5 6

2ca

p

45

�

�

�

�

�

�

�

�

¿Existen alternativas?•Factores que deben tomarse en cuenta:

Volúmenes, por ejemplo, llamadas por hora, producción...Obligaciones contractuales o legalesHerramientas clave para lograr la continuidad de la actividad (cuántas, dónde y cuándo):Personal – conjunto de habilidadesEquipos – TI, telecomunicaciones, planta de fabricación / industrialDatos – en papel y electrónicosDependencias – internas o externas a la organización

Existen varios productos informáticos disponibles para llevar a cabo Análisis del Impacto en elNegocio que pueden ser útiles, aunque no esenciales. Las principales ventajas de utilizar un softwareradican en la facilidad de analizar resultados, el almacenamiento de información y la elaboración deinformes de resultados. No obstante, su utilización no elimina la necesidad de realizar entrevistas oinvolucrar a las personas que conozcan la actividad que se analiza.

Cada organización tiene su estilo para elaborar informes. En algunos casos ese estilo tendrá que serajustado para lograr que muchos grupos lo puedan interpretar dentro de la misma organización ypuede incluir tablas y gráficos. El formato idóneo de informes de la organización debe ser establecidoy acordado en el momento de determinar el alcance de la actividad ya que el formato final de reportepuede afectar la forma de recopilar, agregar, analizar y presentar la información.

Los resultados de unAnálisis del Impacto en el Negocio son:1) El Período Máximo Tolerable de Interrupción y su justificación (naturaleza de los impactos) paracadaactividad2) El Objetivo de Punto de Recuperación (OPR) al que la información tiene ser restaurada parapermitir que una actividad opere una vez que se ha reiniciado.

Las buenas prácticas indican que unAnálisis del Impacto en el Negocio debería revisarse como mínimouna vez al año, pero de forma más frecuente en caso de:•Un cambio importante en el negocio a un ritmo particularmente agresivo•Un cambio importante en los procesos internos de negocio, ubicación o tecnología•Un cambio importante en el entorno externo de negocio, como un cambio en el mercado o en lasleyes.Esto no significa necesariamente que se deba rehacer todo el AIN. Un diseño cuidadoso de losinformes delAIN puede facilitar este proceso si ofrece una comparación con respecto a cambios en lasáreas reseñadas. En tal caso se puede medir los cambios de impacto relativos a esas cuestiones.

Software

Informes

7. Resultados

8. Revisión 13 4

5 6

2cap

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

46

EVALUAR LOS REQUISITOS DE CONTINUIDAD

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso

6. Métodos y Técnicas

7. Resultados


Requisitos de Continuidad

Requisitos de Continuidad

Informes

Recopilación de datos

El Análisis de Requisitos de Continuidad recopila información acerca de los recursos necesarios parareiniciar y continuar las actividades de negocio al nivel suficiente para satisfacer las obligaciones delas organizaciones.

Este paso se suele dar al mismo tiempo que se busca la información para elAIN.

Su propósito es:•Ofrecer la información de recursos a partir de la que se puede recomendar o determinar unaestrategia de recuperación adecuada•Identificar las necesidades de recursos derivadas de las dependencias tanto internas como externasque se generan para llevar a cabo las actividades

Se suele asumir que los recursos necesarios después de un trastorno serán mucho menores que los quese requieren durante las operaciones normales - al menos durante un tiempo. Sin embargo en algunoscasos es posible que los recursos necesarios en las primeras etapas de recuperación sean mayores delos normalmente utilizados para resolver retrasos en la entrega. Por ejemplo, en un centro dellamadas se puede necesitar personal adicional para resolver la cantidad de llamadas suplementariasque se recibirán tras una interrupción, además de que puede que los sistemas de TI de apoyonecesiten una mayor capacidad para responder a este número suplementario de usuarios.

Cuantificar los recursos (es decir, personal, tecnología, telefonía...) que serán necesarios a lo largodel tiempo para mantener el negocio en un nivel aceptable durante el plazo máximo tolerable detrastorno. Durante un tiempo después del trastorno pueden ser menores o mayores que lasnecesidades habituales de recursos. Deberían tener en cuenta cualquier actividad suplementaria quese generará a consecuencia de la interrupción y la necesidad de eliminar los retrasos en la entregaque ya existían.

•Hacerlos ratificar por el responsable del proceso para confirmar la veracidad de la información•Lograr que las conclusiones estén respaldadas por el responsable de GCN

Iniciar el desarrollo de la estrategia de GCN

Los métodos, herramientas y técnicas para llevar a cabo un Análisis de Requisitos de Continuidadincluyen:•Talleres•Cuestionario (s) - en papel y/o software•Entrevistas estructuradas o no estructuradas•Se suele recoger esta información al mismo tiempo que la información relativa alAIN

Los resultados de unAnálisis de Requisitos de Continuidad son:•Los recursos que se necesitan durante el tiempo después del retorno de la actividad para ofrecer losniveles de servicio acordados.•Las interdependencias entre actividades internas y proveedores externos.Esta información alimenta de forma directa la etapa de creación de una Estrategia de Continuidad deNegocio.Las necesidades de recursos ofrecerán los datos para evaluar soluciones alternativas derecuperación que se adecuen en tamaño y resultados.

Presentarlos a la alta dirección para determinar si los resultados se verían impactados porcualquiera de las modificaciones de negocio propuestas y para su aprobación para que pasen a laetapa de diseño de estrategia.

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N1

3 4

5 6

2ca

p

47

13 4

5 6

2cap

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

8. Revisión

EVALUAR LASAMENAZAS (EVALUACIÓN DE RIESGOS)

1. Introducción

2. Pasos previos

3. Propósito



Antes de efectuar una Evaluación de Riesgos se debe llevar a cabo un Análisis del Impacto en elNegocio para identificar las funciones más urgentes en las que debe centrarse la evaluación deriesgos.

Conceptos:

La revisión del análisis de requisitos de continuidad debería realizarse al mismo tiempo que la delAIN.

En el contexto de la GCN, una Evaluación de Riesgos estudia la probabilidad e impacto de una serie deamenazas específicas que podrían causar una interrupción en el negocio. Asignando prioridades esposible instaurar medidas para reducir la probabilidad o frenar el impacto de estas amenazas.Cuando se evalúan las amenazas para las actividades del negocio, el AIN ofrece una dimensiónsuplementaria (tiempo) en la conocida ecuación Impacto de la Amenaza x Probabilidad. Esto sugiereque los esfuerzos para instaurar iniciativas para atacar los riesgos deberían dirigirse a aquellasactividades que afectarán más rápido el negocio.Es difícil extender el Análisis de Riesgos a toda la organización. Pero al centrarse en los recursosnecesarios para operar las actividades más urgentes de la organización (es decir, siguiendo unAIN), elenfoque de la Evaluación de Riesgos puede reducirse a un alcance más manejable.Debería entenderse que la Evaluación de Riesgos presenta serias deficiencias a la hora de evaluarriesgos operativos catastróficos porque:•Es imposible identificar todas las amenazas.•Las estimaciones de probabilidad son conjeturas o están basadas en información histórica y a vecespoco fiable.•Los impactos no son fijos ("alto, medio y bajo") pero crecen en diferentes ritmos con el paso deltiempo.•Las escalas numéricas utilizadas suelen exagerar el impacto de acontecimientos menores.La Evaluación de Riesgos puede identificar concentraciones de riesgos inaceptables y lo que se llama"puntos únicos de fallo". Estos deben ser comunicados lo antes posible al responsable de Continuidadde Negocio en la alta dirección además de presentarle opciones para resolver el problema. Ladecisión estratégica de mitigar, transferir o aceptar el riesgo debe estar documentada y ratificada.En algunos países y sectores es obligatorio realizar la Evaluación de Riesgos.

El propósito de una Evaluación de Riesgos es:•Identificar las amenazas internas y externas que podrían causar un trastorno y evaluar suprobabilidad e impacto•Dar prioridad a las amenazas según una fórmula acordada•Dar elementos de juicio para un programa de control de gestión de riesgos y un plan de acción.

Independiente de la complejidad de la fórmula que se adopte, se asume la relación siguiente:•Riesgo = Impacto de la amenaza x ProbabilidadAlgunos modelos de riesgo ordenan los riesgos por: Prioridad = Riesgo x Capacidad para controlar eseriesgo. Esto asigna una prioridad a las amenazas que son más fáciles de controlar con el argumentoimplícito de que así se logrará el mejor retorno para la inversión en tiempo y dinero, pero no tiene encuenta muchos impactos externos.En otros modelos de riesgo los riesgos evaluados se examinan sin la existencia de controles y luego conlos controles reales y deseados ya instalados. Este segundo paso sirve para recalcar que no se debenhacer suposiciones a la hora de gestionar el entorno de control de riesgos y que se debería de medir laefectividad de los controles en su estado real, cuando estén amenazados y luego mejorados. Sidespués de este segundo paso una organización decide que no quiere mejorar los controles - quizásdebido a un coste excesivo, los responsables de Riesgos y GCN tienen que ser conscientes de ello ytomar en cuenta esta decisión en su visión.

48

El "apetito para los riesgos" o "nivel de tolerancia de riesgos" de la organización es la cantidad deriesgos que una organización está dispuesta a aceptar y influirá en las acciones que tomará paracontrolar las amenazas reconocidas.

•Se pueden identificar todas las amenazas realistas.•Hay disponibles estadísticas fiables para calcular la probabilidad de que suceda.•Las amenazas más fáciles de controlar (las relativas a personal o edificios propios) deben tener unamayor prioridad con respecto a las que es más difícil de influir – como las malas condicionesmeteorológicas.•La utilización de una escala numérica para asignar un valor a los impactos puede reflejar de formaadecuada la importancia relativa de activos de más difícil cuantificación, como la reputación.•La utilización de una escala numérica (1,2,3.) sirve para representar una relación realista entre losdiferentes impactos y sus probabilidades (cuando en realidad puede ser más realista una escalalogarítmica, (por ejemplo 1, 10, 100, 1000...)).

Las etapas clave de una Evaluación de Riesgos son:•Tabular un sistema de puntuación para impactos y probabilidades y obtener el acuerdo delresponsable del proyecto.•Hacer una lista de los procesos urgentes determinados por elAIN.•Estimar el impacto de la amenaza sobre la organización mediante un sistema de evaluaciónnumérico.•Determinar la probabilidad o frecuencia de que ocurra cada amenaza y darle un grado deimportancia mediante un sistema de evaluación numérico.•Calcular el riesgo mediante la combinación de las valoraciones de impacto y probabilidad de cadaamenaza según una fórmula acordada.•Se puede asignar rangos de prioridad a los riesgos según una fórmula que incluya una medida de lacapacidad para controlar la amenaza.•Obtener la ratificación por escrito del responsable de la organización para estas prioridades deriesgo.•Revisar las estrategias existentes de gestión de control de riesgos fijándose en aquellos puntos en losque el nivel de riesgo detectado no se corresponde con las actuales estrategias de gestión de riesgosrelativas a esa amenaza.•Considerar la instauración de medidas adecuadas para:•Transferir el riesgo, por ejemplo con una compañía de seguros•Aceptar el riesgo, por ejemplo allí donde el impacto y/o la probabilidad sean bajos•Reducir el riesgo, por ejemplo mediante la puesta en marcha de mayores controles•Evitar el riesgo, por ejemplo mediante la eliminación de la causa u origen de la amenaza

•Asegurar que las medidas planificadas contra los riesgos no aumentan otros riesgos. Por ejemplo,subcontratar una actividad puede reducir ciertos riesgos, y a su vez elevar otros.•Obtener del responsable la autorización por escrito y el presupuesto para las medidas propuestas degestión de control de riesgos.

Algunos de los métodos, herramientas y técnicas para lograr una Evaluación de Riesgos:

•Análisis del Árbol de Eventos•Análisis del Árbol de Fallos

•Estadísticas de las empresas de seguros•Estadísticas publicadas acerca de la frecuencia de desastres

Existen muchos sistemas de evaluación en los libros que se han publicado acerca del tema.

Suposiciones

Determinar las amenazas

Evaluar las probabilidades

Sistemas de evaluación

5. Proceso


•

•

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N1

3 4

5 6

2ca

p

49

13 4

5 6

2cap

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

Tabular los riesgos

Evaluar soluciones

7. Resultados

8. Revisión

• Matriz de Vulnerabilidad a lasAmenazas• Matriz de Riesgo

•Análisis de coste y beneficio.

Los resultados de una Evaluación de Riesgos deben identificar y documentar:•Los puntos específicos de fallo•Una lista de amenazas a la organización o a los procesos de negocio analizados, clasificadas pororden prioritario•Información para una estrategia de gestión de control de riesgos y un plan de acción para atajar losriesgos•Aceptación demostrada de los riesgos identificados que no se van a atajar

Se debe realizar la Evaluación de Riesgos tal y como está definida en la estrategia de gestión deriesgos de la organización. Normalmente tendrá una periodicidad anual para aquellos procesos mássensibles a los tiempos, pero será más frecuente si:•El ritmo en la evolución del negocio es particularmente agresivo.•Se han producido importantes cambios en el negocio en lo que se refiere a los procesos internos, laubicación o los recursos tecnológicos•Se ha registrado una modificación importante en el entorno del negocio – un cambio en el mercado oen las obligaciones legales, por ejemplo.Nota: Se habla de BS 25999-1 Sección 6.6 (Determinar opciones) en Etapa 1—Alcance del Programa deGCN.

50

INDICADORES CLAVE DE GCN

BUEN GOBIERNO CORPORATIVO

PRÁCTICADEL AIN

Estos son los elementos clave de lo que se espera de una organización con una GCN madura

1. El programa de GCN contiene mecanismos formales explícitos que garantizan el cumplimiento detodas las leyes, normas y códigos sectoriales de buenas prácticas2. El programa de GCN contiene mecanismos formales explícitos que garantizan el cumplimiento detodas las políticas y directrices internas y los códigos sectoriales de buenas prácticas adoptados3. El programa de GCN contiene mecanismos formales explícitos que permiten rápidamenteidentificar y reflejar todos los cambios en los estatutos, políticas o códigos que afectan a la GCN

4. La organización lleva a cabo el Análisis del Impacto en el Negocio (AIN) para todas las áreas deoperación5. ElAIN evalúa y registra a lo largo del tiempo la tolerancia de las partes interesadas a verse privadasde los productos, servicios y otros intereses6. El AIN evalúa y registra a lo largo del tiempo la tolerancia de la organización a cada tipo de granimpacto relacionado con la continuidad que pueda enfrentar7. ElAIN evalúa y registra a lo largo del tiempo los posibles tipos, niveles de gravedad y combinacionesde impacto relacionados con la continuidad8. El AIN evalúa y registra a lo largo del tiempo el impacto conjunto sobre la organización de la faltade recuperación de cada actividad después de un trastorno9. ElAIN establece, cuantifica y justifica:•A. El Período Máximo Tolerable de Interrupción para cada actividad•B. Los niveles a los que, con el tiempo, todas las actividades deben regresar•C. Todos los recursos de cada actividad para lograr los objetivos de tiempos de recuperación•D. Las actividades o funciones, recursos e infraestructuras de la organización

10. ElAIN toma totalmente en cuenta y cumple en toda su extensión con la política de GCN11. ElAIN cumple integralmente con la visión estipulada por la organización12. Los datos y conclusiones derivados delAIN están totalmente documentados13. ElAIN y toda su documentación asociada:•A. Representa una visión actualizada que refleja el estado de la organización•B. Una vez al año se revisará formalmente con respecto a la Política de GCN y más veces si sucede

un cambio en el perfil de impacto de la organización•C. Debe ser ratificado por la alta dirección

14. ElAIN toma en cuenta los siguientes tipos de impactos financieros tangibles•A. Coste de oportunidad•B.Aumentos en los costes laborales y gastos•C. Ingresos o equivalentes que hayan registrado una reducción de valor•D. Ineficiencia y rentabilidad•E. Remplazo de activos no asegurados•F. Coste del capital y viabilidad financiera

15. ElAIN toma en cuenta los siguientes tipos de impactos no financieros intangibles•A. Reputación marca y presencia•B. Obligaciones legales y contractuales•C. Calidad de productos y servicios•D. Confianza y apoyo de los accionistas, proveedores, clientes y demás partes interesadas•E. Bienestar y estado de la moral del personal•F. Control operativo y de gestión•G. Daños medioambientales

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N1

3 4

5 6

2ca

p

51

13 4

5 6

2cap

CO

MPR

END

ERLA

ORG

AN

IZACIÓ

N

PRÁCTICADE EVALUACIÓN DE RIESGOS

16. De forma sistemática la organización planifica y lleva a cabo una evaluación formal de riesgosrelacionados con la GCN para todas las áreas de operación17. La Evaluación de Riesgos identifica, evalúa y registra los elementos siguientes:•A. Todos los riesgos y amenazas importantes para las actividades y recursos más urgentes de la

organización•B. Todas los aspectos vulnerables importantes de cada una de las actividades y recursos de la

organización que tengan mayor sensibilidad a los tiempos•C. Todas las concentraciones de riesgos importantes que amenacen la continuidad de negocio

(puntos únicos de fallo)•D. Todos los riesgos de continuidad importantes que se deban a proveedores o empresas

subcontratadas18. La Evaluación de Riesgos identifica, evalúa y registra:•A. Todos los escenarios de trastornos importantes que podrían afectar a la organización•B. Los riesgos para la continuidad que deben ser aceptados, desviados a otro sitio o no

contemplados por el programa de GCN•C. Las medidas que reducen la probabilidad, duración e impacto de un trastorno de los productos y

servicios clave de la organización•D. Los riesgos para la continuidad derivados de la escasez o concentración de habilidades clave

19. La Evaluación de Riesgos utiliza la información de impactos del AIN para ofrecer una buenaestimación del grado de exposición20. La Evaluación de Riesgos vuelve a especificar y toma en cuenta el grado de tolerancia de laorganización para los riesgos de continuidad21. La Evaluación de Riesgos:

•A. Utiliza estadísticas apropiadas para evaluar la probabilidad de cada amenaza realista para lacontinuidad•B. Hace referencia a los contratos de seguros de la organización y cuantifica el grado de exposición

que se deriva•C. Es parte integral del marco de gestión y control de riesgos de la organización•D. Ofrece la base para establecer una prioridad en la forma de atajar los riesgos de continuidad

22. La organización dispone de estrategias formales para aminorar todos los riesgos de continuidaddel negocio para todas las áreas y operaciones23. Las estrategias aminoran los efectos de, y aseguran que la organización pueda tolerar yrecuperarse de forma aceptable de:•A. Todos los escenarios relativos a la continuidad identificados en la Evaluación de Riesgos•B. Imposibilidad de acceso o pérdida de un lugar de trabajo•C. Cualquier fallo tecnológico•D. Cualquier fallo de bienes básicos o proveedores•E. Cualquier fallo en las empresas subcontratadas u otras unidades de negocio•F. Cualquier emergencia civil que surja

52

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2 4 5 63capítulo

Determinar la estrategiade Continuidad de Negocio

53

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

Acerca del capítulo 3 – Determinar la Estrategia de Continuidad de Negocio

COMPONENTES DE LAETAPA3DETERMINAR LAESTRATEGIADE CONTINUIDAD DE NEGOCIO

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posiblesimpactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydemás partes interesadas, la reputación, la marca y las actividades creadoras de valor.

Determinar la Estrategia de Continuidad de Negocio es un elemento clave para la buena Gestión deContinuidad de Negocio. Para lograrlo es necesario basarse en la etapa de Comprender laorganización de cara a elegir las estrategias de continuidad adecuadas que cumplan los objetivosdefinidos en el AIN. Debe además respaldar los objetivos y obligaciones de la organización a unoscostes ajustados.

1. OPCIONES DE ESTRATEGIA2. OPCIONES PARALACONTINUIDAD DE LAACTIVIDAD3. CONSOLIDACIÓN DE RECURSOS

54

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

DETERMINAR LAESTRATEGIADE CONTINUIDAD DE NEGOCIO

1. Introducción


La primera parte de "Determinar la Estrategia de Continuidad de Negocio" se centra en las cuestionesgenerales que garantizan la protección de la capacidad de la organización para entregar un productoo servicio en el marco de su programa de Continuidad de Negocio. La siguiente, "Opciones para laContinuidad de la Actividad" describe las tácticas disponibles para asegurar la continuidad de lasactividades que respaldan la entrega de esos productos o servicios.También tiene sentido, si se puede, poner en marcha medidas que reduzcan la probabilidad de quesucedan incidentes o aminorar su impacto en caso de que sucedan. Pero no se pueden ofrecerconsejos acerca de su efectividad en costes y no deberían considerarse substitutas de la puesta enmarcha de las estrategias adecuadas de Continuidad de Negocio que figuran más adelante.En la etapa anterior se averiguó el Período Máximo Tolerable de Interrupción para cada producto yservicio dentro del alcance del programa. Al entender sus interdependencias se habrá podidodeterminar el PMTI para cada actividad. En la etapa de Estrategia se debe fijar el Objetivo de Tiempode Recuperación para cada actividad dentro del PMTI.

55

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

DETERMINAR LAESTRATEGIADE CONTINUIDAD DE NEGOCIO

1. Introducción

2. Pasos previos

3. Propósito



Objetivo de Tiempo de Recuperación

Distancia de separación ¿qué se considera fuera de las instalaciones?

Robustez (Resilience)

robustez de la organización

Esta sección se abordan las diferentes estrategias de alto nivel disponibles para proteger la entregade un producto y servicio.

Es necesario disponer de unAIN actualizado antes de elegir una estrategia adecuada.

El propósito de este paso es garantizar que la estrategia de continuidad conjunta respalda de formaadecuada la entrega de los productos y servicios de la organización.

Cuando se esté recuperando una actividad interrumpida es probable que la organización no quierallegar a ese momento en el que esté a duras penas sobreviviendo. Es posible que se fije un Objetivo deTiempo de Recuperación (OTR) más corto que también le dé un margen en caso de que se produzcandificultades no previstas en la recuperación o de que su medida original de PMTI fuera demasiadooptimista.La capacidad de continuar o reiniciar tiene que ser realista. Desplazar físicamente a personal yoperaciones tomará más tiempo del esperado y tendrá un impacto sobre la jornada laboraldisponible. Es importante incorporar a las previsiones un tiempo suficiente de continuación o reiniciopara garantizar que las actividades pueden recobrarse cumpliendo los Objetivos de Tiempo deRecuperación (OTR).Suele pasar que cuanto más rápida sea la necesidad de recuperación, mayor el será el coste de unasolución. Por esa razón, para minimizar los costes es importante asegurarse de que se establece unOTR adecuado y no demasiado rápido.

Debido a que muchos de los acontecimientos que afectan a la Continuidad de Negocio suelen derivaren una imposibilidad de acceder a las instalaciones o incluso su destrucción, es necesario asegurarsede que existe un duplicado de los registros tanto físicos como electrónicos en un emplazamientoseparado geográficamente de tal forma que puedan ser accesibles y recuperados en los plazosdeterminados.Si bien es evidente que una mayor distancia geográfica reduce la probabilidad de que dosinstalaciones se vean afectadas por el mismo incidente, no existe una distancia de separaciónconsiderada "mínima" o "correcta", tal y como lo demuestran la capacidad infecciosa de los virusinformáticos para causar incidentes simultáneos en el mundo entero. A pesar de ello es probable queuna separación de unos centenares de metros sea de poca ayuda, incluso cuando suceden incidentesmuy localizados, debido a la forma en la que los servicios de emergencia acordonan una zona y losconsiguientes trastornos que ocasiona para el transporte. Algunas organizaciones pueden basarse ensu área de mercado o su jurisdicción para determinar el límite de su dispersión (ver la discusiónacerca de incidentes en la Introducción a la Etapa 1); otras pueden elegir la decisión pragmática desituar su emplazamiento de reubicación en la distancia máxima que el personal está dispuesto arecorrer (podría ser a una hora de distancia).

Este término sirve para indicar que algo puede sufrir un fallo y a pesar de ello seguir operando.Muchas veces se utiliza como si fuera un valor absoluto y, sin embargo, como sucede con los términos"cerca" o "lejos" el concepto de robustez es relativo y su alcance debe ser definido en cada utilización.Es mejor ilustrarlo con ejemplos:•Incorporar tecnología RAID a un ordenador aumenta la robustez de la máquina (pero sólo conrespecto a los fallos de disco duro) pero no protege de la pérdida de esa máquina en caso de incendio.•La duplicación del suministro eléctrico mejora la robustez ó resistencia de las instalaciones frente acortes de electricidad, pero el lugar puede volverse inservible si el fallo eléctrico afecta a ambossuministros.•Expandir la dispersión geográfica y diversidad de las ubicaciones de la organización mejora la

pero sigue siendo vulnerable a incidentes como pandemias o virusinformáticos.

56

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

5. Proceso


7. Resultados

8. Revisión

•Centro(s) de llamadas:

•Las estrategias de comercio electrónico e Internet / Intranet

•Soluciones para la fabricación

Utilizando los resultados del Análisis del Impacto en el Negocio, apuntar el Período Máximo Tolerablede Interrupción (PMTI).Determinar un Objetivo de Tiempo de Recuperación (OTR) para el producto o servicio, que (porlógica) debería ser menor que el PMTI. Este cálculo debe tener en cuenta el grado de confianza que setiene en la veracidad del PMTI.Si ya existe una estrategia de reinicio de actividades, llevar a cabo un Análisis Diferencial paradeterminar si los resultados actuales se miden contra los resultados requeridos.Ofrecer a la dirección ejecutiva una evaluación estratégica.Garantizar que la opción acordada, con sus previsiones de recursos y financieras, es ratificada por ladirección ejecutiva.

Cuestiones referentes a servicios específicos:La convergencia de TI, grabación de voz y telefonía inteligente en un centro

de llamadas puede ofrecer importantes retos de cara a la recuperación. Los centros de llamadas quegestionan llamadas entrantes suelen tener un PMTI medido en horas más que en días, por lo que lasolución suele ser dos o más centros dispersos geográficamente que comparten la carga de llamadas.Debido a las altas necesidades de personal para este tipo de instalaciones suelen surgir problemas derecursos humanos durante un largo período de interrupción en el caso de que los empleados noquieran o no puedan mudarse de lugar.Algunas empresas de servicios pueden ofrecer recepción de llamadas con varias capacidades paragestionar volúmenes de llamadas y con diferentes niveles de competencia en el producto.

se determinarán según la importanciaque la organización otorga a estos servicios y las funciones que desempeñan - si sólo sirven parapropósitos de comunicación o para realizar negocios interactivos.

•Al igual que sucede con otras actividades, un Análisis del Impacto en el Negocio determinará losparámetros de reinicio de los servicios de comercio electrónico. Se suele considerar que estosservicios necesitan reiniciarse de forma rápida debido a su alta visibilidad y las expectativas de losclientes.

•Internet y la Intranet corporativa pueden también constituirse en un excelente medio decomunicación durante un incidente.

•Diversidad geográfica – fabricar en varios emplazamientos mejora la resistencia a muchosacontecimientos, pero suele ser a costa de las economías de escala

•Subcontratación - Aunque la suma de los procesos de cada compañía sea única, suelen existirvarios procesos que pueden ser replicados por otros fabricantes. La empresa afectada puede recurrira varias firmas de subcontratación para producir su producto final durante el tiempo en el que lasinstalaciones propias no están disponibles. Debido a las necesidades de herramientas y ajustes,generalmente no se puede lograr esto de forma rápida sin una preparación previa. Por desgracia estaestrategia puede conectar a los clientes con la competencia.

•Existencias en almacén – En el caso de aquellos productos que se pueden almacenar, mantener unalmacén lejos de las instalaciones permite disponer de una ventana de tiempo durante la cual sepuede mantener el aprovisionamiento mientras se soluciona un percance.

Este paso ofrecerá una estrategia para cada producto y servicio bajo el programa de GCN que en elsiguiente paso permitirá seleccionar las alternativas adecuadas para cada actividad.

Al menos cada 12 meses se debería realizar una revisión de la estrategia de GCN para cada producto yservicio.No obstante, ciertos acontecimientos pueden causar una reevaluación de la estrategia de GCN:•Una revisión del Análisis del Impacto en el Negocio que detecte cambios substanciales en losprocesos y prioridades•Un cambio importante en una de las cuestiones siguientes: la actitud frente al riesgo de laorganización (quizás a consecuencia de un acontecimiento), condiciones de mercado, adquisición ofusión, nuevos productos o servicios, obligaciones legales.

57

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

OPCIONES PARALACONTINUIDAD DE LA ACTIVIDAD

1. Introducción

2. Pasos previos

3. Propósito


Referencia: BS 2999-1 Sección 7.3-8

Fiabilidad

Costes vs. beneficios

Ratios de sindicación de instalaciones para la recuperación a cuenta de terceros

Este paso abarca los procesos para determinar las tácticas adecuadas a cada actividad que permitenla entrega de uno o más productos y servicios dentro del programa de GCN.El Análisis del Impacto en el Negocio (AIN) habrá identificado el PMTI para cada actividad. En esetiempo se tendría que fijar el Objetivo de Tiempo de Recuperación (OTR) para cada actividad.Se deben elegir las tácticas adecuadas para cada actividad que garanticen los recursos necesarios enlas áreas de:•Personas, habilidades y conocimientos•Instalaciones•Tecnología•Aprovisionamiento•Proveedores, clientes y demás partes interesadasLas opciones siguientes no son excluyentes entre ellas. Una estrategia de recuperación viable yefectiva para cada actividad deberá establecerse basándose en elementos de las opciones descritas.

El OTR del producto o servicio debe determinarse antes de fijar el OTR para cada actividad yseleccionar las tácticas adecuadas.

El propósito de este paso es asegurar que las opciones tácticas de continuidad para cada actividadrespaldan de forma apropiada la entrega de los productos y servicios de la organización.Las actividades cuyo reinicio sea más urgente pueden recibir protección suplementaria por lasmedidas de reducción de amenazas que parezcan apropiadas.

Suele ser necesaria una decisión por parte de la dirección en cuanto al coste y la fiabilidad de laentrega por parte de un servicio necesario para la recuperación ofrecido por un tercero. Loscompromisos pueden variar, desde verbales con promesas por esforzarse, hasta un nivel de servicioasegurado por contrato. Los costes pueden variar (generalmente relacionados con la calidad delcompromiso) de cero a una suma importante. Cuanto más corto sea el OTR más importante será lafiabilidad en la entrega.Alcance de la planificaciónEl alcance y detalle con el que las tácticas para cada actividad necesitan planificarse dependerá de laurgencia con la que se necesiten y la complejidad de las necesidades.

Es imposible juzgar el coste adecuado de las medidas mediante un análisis de coste-beneficioconvencional debido a que es necesario asumir premisas cuestionables acerca de la probabilidad delos incidentes para demostrar que existen beneficios.Es posible que las fabricantes y empresas de servicio que son proveedoras de otros negocios logrenmejores ventas o mejores márgenes al demostrar a sus clientes que poseen una estrategia de GCN (ypor lo tanto mayor fiabilidad) - y obtengan un beneficio que contrarreste los costes.Esto es más difícil de demostrar cuando el servicio no es comercial o va dirigido a la venta al público,en donde será más probable dejar patentes reducciones de costes en los procesos internos (paraenfrentar trastornos reducidos).

•Un área de trabajo “dedicada” en la que una empresa tiene la utilización exclusiva paraacomodarla. Se suele recurrir a ella cuando se ha establecido un OTR corto, para funcionesgeneradoras de alto valor en las que se emplean equipos especializados y para las cuales no se puedepermitir que no haya disponibilidad debido a estar sindicada. Un ejemplo serían las mesas denegociación para una firma de inversión.•Una área de trabajo "sindicada" o “en suscripción” en la que una empresa paga por la utilización deun lugar siempre que no esté ya usada por otro suscriptor.

60

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

•Operaciones con robustez

Figura: Resumen de las estrategias de recuperación con respecto al tiempo de recuperación

incluyen operaciones simultáneas en dos sitios y soluciones dedisponibilidad continua. En caso de una interrupción en un emplazamiento, la actividad estransferida a una o varias ubicaciones alternativas en donde tanto personal como instalaciones yaestán listas para hacerse cargo.Suele ser una de las opciones más caras de llevar a cabo (debido a los costes que implican sincronizarlos datos en varios sitios y el personal que se necesita), pero se trata de una solución adecuada cuandoes necesario un reinicio rápido (menos de 24 horas) de actividades.Para que sea una estrategia de recuperación viable, no pueden existir fallos y ambos sitios tienen queestar convenientemente separados y geográficamente diversificados.

Propiedad

Meses

Semanas

Días

Horas

Inmediato

Internas Contratadas A medida

Reconstruir o reubicar

Edificios prefabricados yadisponibles en el mismositio.Adaptación de edificiospara otros usos.

Emplazamiento derecuperación en el mismositio.Mover las instalaciones dentrode la misma ubicación.Trabajo desde casa.

Varias ubicaciones conpersonal reasignado de otrasfunciones.

Disponer de diversasubicaciones para cadaactividad.

Iniciar una conmutación deTI a un emplazamiento derecuperación contratado.

Reubicar SÓLO un equiporeducido a unemplazamiento derecuperación contratado.*

Emplazamiento para larecuperación de la actividadcomercial.Acuerdos recíprocos.Instalaciones móviles.Procesos subcontratados.

Expansión en elemplazamiento derecuperación.Unidades prefabricadas ymóviles alquiladas.

Ampliar el contratocomercial delemplazamiento derecuperación (si es posible)

Reconstruir, alquilar ocomprar.

Oficinas amuebladas.Subcontratación deprocesos.

Oficinas gestionadas (sidisponibles)

Ninguna

Ninguna

* Es posible que se pueda acceder en pocas horas, pero cuestiones de logística y comodidad vuelvenpoco probable que las operaciones puedan reiniciarse de forma fiable al menos en uno o dos días.

62

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

Equipos de fabricación

Información

Confidencialidad

Integridad

Disponibilidad

Rapidez


Existen pocas opciones para aprovisionarse de equipos de fabricación por parte de un tercero paraque los envíe después de una avería o pérdida, debido a que eso suele tomar mucho tiempo.•Algunas posibles soluciones:•Algunas firmas dedicadas a la restauración de activos pueden ser capaces de recuperar los equiposdespués de un incendio o inundación.•Firmar contratos de mantenimiento en el sitio con empresas que se encuentren en las inmediaciones(para minimizar los retrasos).•Recurrir a empresas de subcontratación locales o a competidores con equipos similares.

Sólo por el hecho de que se ha producido un incidente no significa que dejan de tener efecto losestándares legales, estatutarios o de negocio para la gestión de la información. Algunas de lascuestiones clave que hay tomar en cuenta son:

Se deben tomar las medidas para asegurar que se mantiene el nivel necesario de confidencialidadpara los datos en circunstancias como:•daño en una ubicación - por ejemplo, una explosión puede ocasionar que se esparzan documentos enla calle•un hacker logra penetrar la red y publicar información en Internet•utilización de personal temporal•compartir un emplazamiento temporal con otras organizaciones

A menos que los respaldos informáticos se realicen al mismo tiempo a lo largo de varios sistemasconectados, a la hora de restaurarlos los datos pueden no estar completos. Por ejemplo, un nuevopedido puede figurar en la base de datos de pedidos pero el cliente en cuestión puede no estarpresente en la base de datos de clientes si la información se respaldó antes. Se debe contemplar untiempo dentro del Objetivo de Tiempo de Recuperación para resolver los problemas de datos en casode que obstaculicen la recuperación.La destrucción parcial de los registros en papel puede dañar la recuperación cuando no se sabe bienqué documentos faltan

•Se necesitará que la información para reconstruir equipos o recuperar procesos esté disponible en elmomento precisado para lograr los plazos de reinicio de actividad•Es posible que existan obligaciones en los estatutos que establezcan plazos específicos para accedera documentos o datos cuando éstos son solicitados por las autoridades o el público en general

La estrategia adecuada de respaldo de datos se determina por:•La cantidad de datos que los usuarios pueden asimilar sin perjudicar irremediablemente sucapacidad para reiniciar sus procesos•El impacto de la pérdida de datos para aquellos usuarios que están fuera de la organización, comoclientes o autoridades•La velocidad a la que los datos pueden estar disponibles para ser utilizados después de reiniciaroperaciones. Los programas de respaldo de datos suelen estar diseñados para minimizar el tiempo derespaldo, pero durante la recuperación de la actividad es importante la velocidad con la que serecuperan. Por ejemplo, el respaldo diario de los cambios minimiza el tiempo para llevarlo a cabo;lleva más tiempo respaldar los cambios desde el último respaldo completo, pero con esta modalidadla información se restaura de forma más rápida.•Existen muchos métodos para copiar los datos entre sistemas informáticos. Estos son:•Mirroring - en teoría no hay pérdida de datos•Shadowing - pérdida mínima de datos•Logging - pérdida de datos medida en minutos

58

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

•Generalmente el ratio se sitúa entre 40 y 25 a 1. Es decir, cada mesa de trabajo se vende hasta 40veces como máximo, pero es importante entender que existen otros clientes que podrían utilizar esamesa. Algunos proveedores ofrecen detalles de sus clientes por códigos postales. Los parámetrosaceptables para una organización deberían estar claramente definidos en el marco de la Estrategiade GCN para la Recuperación de Recursos y no deberían estar sujetos a negociaciones de contratoindividuales.•Actualmente existen dos premisas según las cuales un proveedor de emplazamientos para la

recuperación puede asignar los recursos disponibles a sus suscriptores cuando estos los demanden:•El primero que llegue: El primer suscriptor que demande el servicio obtiene la totalidad de losrecursos que han contratado. El espacio que quede seguirá disponible para los demás suscriptores.•Reparto equitativo: Los recursos disponibles se asignan de forma proporcional a lo suscrito.

La zona de exclusión es la distancia en la que el proveedor de recuperación no revenderá a otroposible cliente los recursos a los que su organización se ha suscrito. La organización debe definirclaramente en la Estrategia corporativa de GCN lo que considera como zonas de exclusión. Porejemplo, en el centro de Londres una zona de exclusión de 800 metros (correspondiente a un cochebomba) es un estándar mínimo aceptable para esta amenaza específica, pero puede no ser adecuadapara otro tipo de incidentes.

El proceso engloba los pasos siguientes:•Identificar las posibles tácticas para cada actividad que pueden cumplir con el OTR.•Seleccionar las más adecuadas basadas en costes, garantías ventajas adicionales y demás factores.•Crear un proyecto de puesta en marcha para la medida elegida.•Poner en marcha un proceso constante que garantice la revisión de las tácticas de GCN para lasactividades.Se pueden elegir las tácticas adecuadas de la lista siguiente.

Las técnicas para proteger los conocimientos y habilidades de la organización pueden proteger contrala pérdida o ausencia de personal clave•Mapa de procesos y documentación - para permitir al personal hacerse cargo de funciones quedesconocen•Formación multidisciplinar de cada persona•Intercambio de formación entre varios profesionales•Planificación para la sucesiónSe puede disponer de habilidades suplementarias mediante el recurso permanente u ocasional desoporte a cargo de terceros. La dependencia de este soporte debería estar respaldada por uncontrato.La organización debe estar protegida por un programa de gestión de conocimientos, que deberíarecurrir a almacenamiento fuera de las instalaciones para salvaguardar los datos.Una organización podría llevar a cabo un inventario de las habilidades de su personal que no esténempleando en sus funciones actuales.Podría incluir:•Formación en primeros auxilios•Experiencia en otras funciones en otro empleo•Rescate•Capacidad de liderazgo o gestión durante un incidente anterior•Habilidades de formación o actuación para ayudar al equipo de Continuidad de NegocioLa separación geográfica de aquellas personas o grupos con habilidades clave puede reducir laposibilidad de perder a todos aquellos capaces de asumir una función específica

El OTR es el principal indicador de las tácticas de continuidad del lugar de trabajo adecuadas.•Un OTR de varios meses puede permitir a la organización esperar a tomar decisiones hasta despuésdel incidente.

Zonas de exclusión (Emplazamientos para la recuperación a cuenta de terceros)

Personal, fuerza laboral, habilidades y conocimientos

Instalaciones

5. Proceso



59

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

•Un OTR de más de un día o dos puede permitir tiempo para la reubicación del personal a otroemplazamiento•Un OTR de menos de un día obligará a asumir tácticas que permitan que el personal en otra ubicaciónse haga cargo de la actividad - lo que significa que la otra ubicación tendrá disponibilidad inmediatade los recursos necesarios para esa actividad, además de información actualizadaUna vez que se ha definido el OTR, el coste y la disponibilidad determinarán la elección de lastácticas.La dispersión geográfica de la organización puede influir en la elección de instalaciones alternativas.Si se eligen otras instalaciones de la empresa, es posible que el personal no esté dispuesto a recorreruna larga distancia.Unas instalaciones con un gran número de personal pueden requerir más de una ubicación alternativapara disponer de la capacidad necesaria. La estrategia de reubicación de la organización podría estarinfluida por la disponibilidad de alternativas cercanas, tanto propias de la empresa como de terceros.Aquellas organizaciones que ofrecen servicios a una localidad en particular, como administracionespúblicas o negocios orientados a un mercado local, pueden ver limitada su elección de ubicacionesalternativas por su necesidad de mantenerse cerca de sus clientes.Posibles tácticas relativas a instalaciones:

•Una estrategia de puede ser aceptable para las actividades menos urgentesidentificadas por el AIN. Aquellas actividades con un OTR mayor a varios meses permitirán a laorganización disponer de una planificación y preparación mínimas y tener tiempo para encontraredificios e instalar los servicios necesarios después del incidente. Esta opción puede volverse másrápida o fiable si se mantiene un registro actualizado de los edificios adecuados disponibles.Tácticas que involucran la reubicación del personal a otros emplazamientos

consiste en utilizar lugares existentes dentro de la empresa, como unasinstalaciones hasta entonces dedicadas a la formación o un comedor, para ofrecer un espacio para larecuperación o el aumento del personal trabajando. Esto necesitará una planificación cuidadosa yalgunas adecuaciones técnicas.

significa desplazar aquél personal que realiza los procesos menos urgentes y aquélque lleva a cabo una actividad de mayor prioridad. Se debe tener cuidado de que las órdenesretrasadas del trabajo suspendido menos urgente no se vuelvan imposibles de gestionar.

incluye el concepto de “trabajar desde casa” y trabajar desde otras ubicaciones nocorporativas como hoteles (no se deben tomar en cuenta los cibercafés). Trabajar desde casa puedeser una solución muy efectiva, pero se debe tener cuidado de que se respetan las normas sanitarias yde seguridad y de que se dispone de la suficiente capacidad de conexión telefónica.•Los acuerdos recíprocos pueden funcionar para ciertos servicios pero se debe tener cuidado cuandose establezcan este tipo de acuerdos. Se deben instaurar procedimientos que garanticencomprobaciones periódicas para asegurar que los acuerdos suscritos no han cambiado.

deben llevar una cláusula en el contrato que asegure que se pueden realizarpruebas.

pueden ser una opción a considerar sigarantizan el cumplimiento de los Objetivos de Tiempo de Recuperación (OTR) de la organización.Existen varios servicios comerciales, como instalaciones fijas, móviles, fijas o prefabricadas.

•El espacio dedicado ofrece una disponibilidad garantizada e inmediata, pero es más caro que unespacio sindicado.

•El espacio sindicado suele ser accesible en menos de cuatro horas, pero puede tardar más de 48horas para que una gran cantidad de personal sea productivo desde ese emplazamiento (lascuestiones que se derivan de la sindicación se abordan en la sección de conceptos)

•Las instalaciones móviles pueden utilizarse rápidamente pero ofrecen un espacio limitado ypueden exigir conexiones de servicio además de un importante trabajo de preparación de cimientos

•Las unidades prefabricadas toman como mínimo 4 días en construirse (de media son 8) asumiendoque los cimientos ya estaban listos y dependiendo de las condiciones del lugar y meteorológicas

No hacer nada"no hacer nada"

•Moverse dentro

•Desplazamiento

•Trabajo remoto

•Los acuerdos recíprocos

•Acuerdos con un tercero para una ubicación alternativa

Ubicaciones diversas - desplazar la actividad (no el personal).

61

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

Tecnologías de apoyoReferencia: BS 2999-1 Sección 7.5

Centro(s) de Datos

Contratos de envío

Sistemas telefónicos

El coste de las soluciones y el impacto extenso y rápido que significa la pérdida de un centro de datospueden tener un impacto financiero importante en una organización.Estas son algunas de las opciones que pueden ofrecer una solución adecuada, como la robustezinterna, la recuperación o soporte por parte de terceros.•Será necesaria la duplicación de tecnologías en varias ubicaciones cuando los plazos derecuperación son cortos, pero aumentará los gastos según el grado de duplicación requerido.•La Recuperación de Tecnología ofrece un reemplazo a través de contratos con terceros. La decisiónentre duplicar actividades, alquilar equipos por adelantado o comprar después del incidente debetomar en cuenta el tiempo previsto para la adquisición de los elementos en caso de que suceda untrastorno generalizado y de larga duración que obligue a otras organizaciones menos preparadas aadquirir los mismos equipos. Las promesas de palabra por parte de un proveedor acerca de quemantendrá un stock de contingencia deberían considerarse como no contractuales.Suelen existir conflictos de presupuesto entre:•el deseo de aumentar la robustez o resistencia de las máquinas (para reducir la pérdida de tiempoocasionada por el fallo de esa máquina)la necesidad de una diversidad geográfica (que minimiza la pérdida de tiempo ocasionada por el fallode la máquina o del edificio en el que se encuentra).

Estos pueden incluir generadores, equipos de TI como PC, servidores e impresoras y equiposespecializados como sistemas telefónicos. Puede tratarse de una estrategia adecuada si se debeequipar un edificio que no está preparado para ofrecer un entorno de trabajo adecuado. La mayoríade estos contratos permiten que el lugar de entrega sea definido en su momento, lo que permite daruna respuesta más flexible a un incidente específico en comparación con una estrategia derecuperación para un emplazamiento fijo. Los términos de los contratos van desde un compromisoleve de cumplimiento hasta una entrega garantizada.

Un desvío no planificado de los sistemas telefónicos a las ubicaciones alternativas puede demorarseun tiempo inaceptable, sobre todo en caso de incidentes de amplia magnitud. La mayoría de lasempresas telefónicas ofrecerán, a cambio de un pago, un abanico de soluciones flexibles planificadasque permitirán el desvío instantáneo o rápido de las llamadas desde un emplazamiento a uno o variosdistintos. Se tiene que tomar en cuenta el problema de logística que acarrea la gestión de llamadas deteléfono durante una interrupción una vez que han sido desviadas.Algunas soluciones:•Aviso por radio o televisión al personal y otras partes interesadas•Números no vinculados a un área geográfica•Desvío de llamadas•Plan para el reinicio de la actividad•Servicios de gestión de redes•Centralita móvil•Robustez de las instalaciones•Robustez de la redLa convergencia entre los sistemas de teléfono y las redes de datos VOIP (Voz por IP) genera nuevasoportunidades y problemas de continuidad debido a que muchas veces se suelen utilizar el teléfono ycorreo electrónico de forma alternativa en caso de que uno de los dos falle. Estas cuestiones debenser evaluadas, así como se debe llevar a cabo un análisis de los riesgos e impactos.

Recurrir a empresas de subcontratación locales o a competidores con equipos similares.

63

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

Cada uno tiene sus características de posibles pérdidas de datos, distancia operativa y fiabilidad quedeberán ser comparadas con los requisitos del usuario.Almacenamiento remoto de registros duplicados (en papel y electrónicos)

incluyen almacenes externos paradocumentos y copias escaneadas.

puede gestionarse internamente pero también sepuede contratar a terceros. Los registros pueden ser enviados fuera de las instalaciones por larecogida física de equipos de almacenamiento o por transmisión electrónica.•El lugar para el almacenamiento debe estar lo suficientemente lejos para que las instalaciones nopuedan verse afectadas por el mismo incidente, pero no tan lejos como para que tome tanto tiempoacceder a ellos que los OTR puedan verse afectados.Algunos documentos pueden estar en proceso deelaboración y ser necesarios en un plazo muy corto mientras otros pueden ser archivos que seconservan por cuestiones legales para los cuales puede ser conveniente un almacenamiento lejano,de menor coste.•Se puede utilizar mobiliario a prueba de incendios pero eso no ofrece una protección aceptable

para documentos únicos. Incluso si sobrevivieran a un incendio, es posible que no se pueda acceder almobiliario.•Es posible que para ciertos documentos sólo tengan validez legal los originales.

La organización necesita determinar qué equipos y aprovisionamientos se necesitan y cuán rápidodeberán estar disponibles tras un percance para cumplir con el OTR de la actividad.Algunas técnicas para reemplazo de equipos:•Almacenar suministros adicionales en otra ubicación•si los suministros se degradan con el tiempo (como el papel) deberían rotarse con el inventario

normal•cambios en el proceso pueden implicar una modificación de los suministros almacenados (por

ejemplo, la papelería de la empresa si han cambiado la dirección o los detalles de contacto)•Acuerdos con terceros para entrega de stock en un plazo rápido•Desvío de entregas "justo a tiempo" a otras ubicaciones•Guardar materiales en almacenes o centros de distribución•Transferencia de las operaciones de ensamblaje a una ubicación alternativa, tanto de laorganización como de una empresa subcontratada•Conservación en una ubicación externa de equipos más antiguos para reemplazos de emergencia opara utilizar sus componentes•Estrategias específicas de disminución de riesgos para equipos considerados únicos o con tiempos deentrega muy largos. Es posible que los equipos obsoletos tengan que ser reemplazados o susubstitución podría poner en riesgo los tiempos de recuperación•Diversidad geográfica de aquellos procesos en los que el OTR no se podrá cumplir por reemplazo sitodos los equipos se pierden durante un incidentePosibles técnicas para reducir el impacto de interrupciones en el suministro•Materiales duales o provenientes de diversas fuentes•Inspección de los planes de Continuidad de Negocio del proveedor y los registros de pruebas, ademásde requerir una certificación contra BS 25999•Conservación de inventarios en una ubicación externa, que puede ser la del proveedor•Cláusulas con penalidades importantes para los contratos de suministros (pero eso no protege deuna quiebra)•Identificación y aceptación previa de proveedores alternativos

Puede que un incidente afecte a muchas personas y grupos. Por ejemplo en el caso de un incendio enlas instalaciones es posible que algunos proveedores resulten heridos, que los residentes locales seanevacuados de sus casas y que los comercios locales tengan que cerrar por razones de seguridad o poruna disminución en sus negocios. La organización debe comprender el grado de responsabilidad(tanto legal como moral) que tiene con respecto a estos grupos.

•Las soluciones para almacenamiento de registros en papel

•El almacenamiento de registros electrónicos

Equipos y aprovisionamiento

Accionistas, socios y proveedores



64

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

La organización debe asegurarse de que se cubren las necesidades de estos afectados, ya que podríanafectar la recuperación del negocio. Por ejemplo, los residentes de la comunidad podrían presionar alas autoridades locales para que nieguen la autorización para reconstruir las instalaciones después deun incendio.

La organización debe conocer los procedimientos de los servicios de emergencia.Contactar a estos grupos con antelación puede ofrecer información útil para asistencia en el caso deincidente como:•Recomendaciones para puntos preferibles de reunión y rutas de evacuación•Información de riesgos específicos en las inmediaciones•Conocer la posición de los posibles bloqueos de tráfico (en poblaciones grandes suelen estarpredeterminados debido a los patrones de la red de carreteras)•Acuerdos especiales de acceso•Participación en simulacrosLos organismos de respuesta a emergencias civiles deberían llevar a cabo su propio programa deContinuidad de Negocio para garantizar que el acceso a sus instalaciones no afectará los servicios derespuesta que ofrecen a la comunidad. En Reino Unido esta planificación es obligatoria y lasautoridades locales deben ofrecer asesoramiento en Continuidad de Negocio a las organizaciones quese encuentren bajo su tutela.

El responsable de GCN debe conocer varias técnicas de reducción de amenazas que pueden protegera las actividades de negocio de ciertos tipos de trastornos. Se puede recurrir a la Evaluación deRiesgos para determinar qué medidas deben adoptarse. Entre ellas figuran:

- Se puede pedir recomendaciones a las diversas asociaciones profesionalesdedicadas a la seguridad, tanto nacionales como internacionales. Muchas de ellas publican manualesy consejos de buenas prácticas.

- Se puede pedir recomendaciones a los diversos organismos nacionalese internacionales dedicados a la seguridad de la información. Las normas ISO 17799 e ISO 27001también ofrecen valiosas directrices que conviene adoptar.

- Pueden ofrecer advertencias inmediatas de fallos de electricidad,problemas en los equipos y amenazas destructivas

y generadores de respaldo pueden proteger a edificiosy equipos específicos de fallos en la electricidad. Deben recibir mantenimiento y ser probados deforma regular para garantizar que funcionarán cuando se necesiten. También existen contratosespecializados de recuperación que ofrecen generadores portátiles como servicio contratado o bajopedido (dependiendo de la disponibilidad).

suelen estar recomendados para edificios con materialescombustibles o muy pesados, o equipos caros. Si bien los sistemas de agua apagan los incendios,también pueden causar grandes daños a papeles y equipos electrónicos cuando se activan de formacorrecta por un incendio o de forma incorrecta cuando detectan una explosión o terremoto.

, si están bien contratados, ofrecen una compensación financiera para la pérdida deactivos, incrementos de los costes de operación y protección contra responsabilidades legales, Noobstante es posible que no protejan de todos los gastos ocasionados por un incidente, como la pérdidade clientes, el impacto sobre el precio de las acciones o desgaste en la reputación e imagen de marca.El equipo de GCN debería colaborar de forma estrecha con el encargado de seguros para lograr unacobertura que esté dentro de los parámetros de GCN.

•Una póliza contra todo riesgo compensará el valor calculado de los activos físicos y registroselectrónicos dañados o perdidos.

•Un seguro contra interrupción del negocio puede pagar el “coste incrementado defuncionamiento” durante el reinicio de actividades o la "pérdida de beneficios" durante el período deinterrupción.

•Existen seguros que ofrecen una suma de dinero tras la pérdida de ciertos responsables específicosdel negocio debido a una muerte, accidente o renuncia a su cargo.

Emergencias de carácter civilReferencia: BS 2999-1 Sección 7.9

Medidas para reducir amenazas específicas

•Seguridad física

•Seguridad de la información

•Sistemas de supervisión

•El Suministro deAlimentación Ininterrumpido

•Los sistemas contra incendios

Medidas para atenuar los impactos•Los seguros

65

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

•Un seguro puede también ofrecer protección contra responsabilidades, incluidas aquellas conempleados, propiedades de terceros y personas.• son ofrecidos por varias empresas especializadas quegeneralmente pueden minimizar los daños en papeles, equipos y edificios después de un incendio oinundación. Estas empresas pueden ofrecer asesoramiento y un servicio de registro por adelantado,además de estar disponibles tras el incidente si se les solicita.

Las herramientas disponibles para elegir las tácticas adecuadas incluyen:•Los resultados delAnálisis del Impacto en el Negocio y la Evaluación de Riesgos•El análisis Coste-Beneficio•El mapa de servicios y procesos.

Los resultados de las Opciones para la Continuidad de laActividad incluyen:•Una selección debidamente documentada de las opciones de continuidad para cada actividad,acordada y ratificada por la dirección ejecutiva de la organización.•Un plan para la puesta en marcha de la estrategia acordada.

Al menos cada 12 meses se debería realizar una revisión que garantice que se han elegido las opcionesde continuidad adecuadas para cada actividad.No obstante, ciertos acontecimientos pueden causar una reevaluación de la estrategia de GCN:•Una revisión del Análisis del Impacto en el Negocio que detecte cambios en los procesos oprioridades del negocio.•Un cambio importante en:•tecnologías clave, telecomunicaciones, asignación, personal, proveedores de servicio•adquisición o fusión, nuevos productos o servicios•obligaciones legales.

Los servicios de recuperación de activos


7. Resultados

8. Revisión

66

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

CONSOLIDACIÓN DE RECURSOS1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


7. Resultados

Disponibilidad de soluciones

Tras determinar las tácticas adecuadas para el reinicio de cada actividad de negocio, se exigirá alequipo de GCN que consolide sus necesidades de recursos, determine cómo aprovisionarlos y losincluya en el plan.

Las necesidades de recursos para cada actividad se obtendrán de los Objetivos de Tiempo deRecuperación y las cantidades determinadas por elAnálisis de Requisitos de Continuidad.

El propósito de esta medida es coordinar y ofrecer un nivel predeterminado de recursos dentro de unPlan de Continuidad de Negocio (PCN) para permitir la puesta en marcha de las opciones decontinuidad elegidas para cada actividad.Esta consolidación es necesaria por dos razones prácticas:•Si se tienen que comprar los recursos es probable conseguir un mejor precio con un sólo pedido quecon varios pequeños•Coordinar la adquisición de recursos puede prevenir conflictos - como en el caso de que más de unaactividad dentro de un edificio espere utilizar el mismo espacio de trabajo alternativo en otroemplazamiento.

Es posible que los servicios de recuperación contratados que necesiten los procesos de negocio no seencuentren en las inmediaciones. Algunas organizaciones han decidido crear sus propiasinstalaciones para recuperación, y luego ofrecen compartirlas (comercialmente) con otras empresasque se enfrentan al mismo problema.

Este proceso incluye las siguientes etapas:•Obtener los Requisitos de Recuperación de Recursos Agregados de la sección relativa a Opciones deContinuidad•Calcular los costes y beneficios de la obtención de los recursos necesarios para cada opción quepuedan satisfacer los Objetivos de Tiempo de Recuperación•Ofrecer a la dirección ejecutiva una evaluación estratégica de las opciones•Asegurarse de que las opciones acordadas, con sus correspondientes previsiones financieras y derecursos, están ratificadas por la dirección ejecutiva•Crear un proyecto de puesta en marcha y planes de acción•Aplicar la estrategia acordada para llevar a cabo el proyecto y los planes de acción (incluido eldesarrollo de un Plan de Continuidad de Negocio)•Poner en marcha un proceso constante que garantice la revisión de la planificación del Nivel deRecursos para la GCN

Las herramientas utilizadas para seleccionar las soluciones apropiadas de las enumeradaspreviamente para crear una Estrategia de Recuperación de Recursos incluyen:•Resultados delAnálisis del Impacto en el Negocio y elAnálisis de Recuperación de Recursos ajustadospor la Estrategia de Recuperación a nivel de Procesos•Herramientas de evaluación para servicios de compra que incluyan un análisis del valor obtenido porel dinero y de los términos contractuales•Análisis de Coste Beneficio

Los resultados de una Estrategia de Recuperación de Recursos para la Gestión de Continuidad deNegocio incluyen:•Un conjunto de recursos y servicios de recuperación que pueden desplegarse bajo el auspicio delPlan de Continuidad de Negocio (PCN) y que permite la restauración de un nivel de funcionamientoaceptable para las actividades de negocio:•Dentro de su Tiempo de Recuperación (OTR)•Con información recuperada de sus Objetivos de Punto de Recuperación (OPR).

67

1 2

4 5

63

capD

ETER

MIN

AR

LAEST

RAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

8. RevisiónCada 12 meses debería llevarse a cabo una revisión de la Estrategia de Recuperación de Recursos parala GCN.No obstante, ciertos acontecimientos pueden causar una reevaluación de la estrategia de GCN:•Cambios en los requisitos para la recuperación de una actividad•Un cambio importante en la asignación, personal o tecnología disponible que pueda ofrecer nuevasestrategias de recuperación•Un cambio en la disponibilidad de los servicios de recuperación en las inmediaciones de laorganización. Puede tratarse de un cierre, fusión o apertura de una instalación.

68

DET

ERM

INAR

LAES

TRAT

EGIA

DE

CO

NTIN

UID

AD

DE

NEG

OCIO

1 2

4 5

63

cap

INDICADORES CLAVE DE GCNEstos son los elementos clave de lo que se espera de una organización con una GCN madura1. La organización dispone de estrategias formales para atenuar todos los riesgos de continuidad parael negocio en todas las áreas de sus operaciones2. Las estrategias atenúan los efectos y garantizan que la organización puede tolerar y recuperarse deforma aceptable de:•A. Todos los escenarios relativos a continuidad identificados en la Evaluación de Riesgos•B. Imposibilidad de acceder a o pérdida de cualquier lugar de trabajo•C. Cualquier fallo tecnológico•D. Cualquier fallo en los proveedores o el aprovisionamiento de energía•E. Cualquier fallo en la subcontratación o en las demás unidades de negocio•F. Cualquier emergencia de carácter civil que pueda surgir3. Después de sufrir un trastorno, las estrategias garantizan de forma específica la continuaintegridad y la restauración progresiva de:•A. Toda la información electrónica que se vea afectada•B. Toda la información física (por ejemplo, en papel) que se vea afectada•C. Toda la información en curso de elaboración que se vea afectada•D. Todos los procesos de negocio que se vean afectados•E. Todas las capacidades logísticas que se vean afectadas•F. Todas las operaciones subcontratadas que se vean afectadas4. Las estrategias contemplan la preservación las habilidades y conocimientos centrales después deun trastorno en el negocio5. Las estrategias contemplan la progresiva restauración a niveles aceptables de equipos,aprovisionamientos y todos los demás recursos necesarios después de un trastorno en el negocio6. Las estrategias se evalúan de forma sistemática en términos de Retorno sobre Inversión (ROI) ocualquier otra medición financiera adecuada7. Las estrategias tienen una probabilidad baja probada de verse simultáneamente afectadas porotros trastornos en el negocio8. Las estrategias toman en cuenta y gestionan las ayudas ofrecidas por u otorgadas a otrasorganizaciones9. Las estrategias toman en cuenta y gestionan el apoyo voluntario recibido u otorgado por laorganización10. Lo siguiente aplica para las estrategias de Continuidad de Negocio de la organización:•A. Quedan documentados todos los razonamientos utilizados para definir la estrategia y sudesarrollo•B. Están completamente actualizadas y en su conjunto reflejan las necesidades presentes de laorganización11. La alta dirección siempre ratifica las estrategias12. Todas las estrategias de la organización toman en cuenta de forma totalmente objetiva•A. Los resultados delAnálisis del Impacto sobre el Negocio•B. Los resultados de la Evaluación de Riesgos•C. La experiencia obtenida por la organización y organizaciones similares•D.Análisis de coste y beneficio.

69

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

1 2 3 5 64capítulo

Desarrollar y poner en prácticala respuesta de GCN

70

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN Acerca del capítulo 4 – Desarrollar y poner en práctica la respuesta de GCN

COMPONENTES DE LAETAPA4DESARROLLAR Y PONER EN PRÁCTICALARESPUESTADE GCN

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posiblesimpactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydemás partes interesadas, la reputación, la marca y las actividades creadoras de valor.Determinar y poner en marcha una respuesta de GCN es un elemento clave para el éxito o fracaso deun programa de GCN. Engloba el desarrollo de planes de acción detallados para garantizar lacontinuidad de las actividades y una gestión efectiva de incidentes.

1. ESTRUCTURADE LAS RESPUESTAAINCIDENTES2. PLAN DE GESTIÓN DE INCIDENTES3. PLAN DE CONTINUIDAD DE NEGOCIO4. PLANES DE RESPUESTAPORACTIVIDAD

1 2

35 6

4ca

p

71

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

1 2

35 6

4cap

DESARROLLAR Y PONER EN PRÁCTICALARESPUESTADE GCN



El objetivo de los diversos planes abordados en esta etapa es identificar tanto como sea posible lasacciones y recursos necesarios para permitir que la organización gestione una interrupción decualquier naturaleza.Los requisitos clave para una respuesta efectiva son:•Un procedimiento claro para la escalada y control de un incidente•Comunicación con proveedores, clientes y demás partes interesadas•Planes para reiniciar las actividades interrumpidasSe puede llegar a esto por varios medios, y aquí sólo se describe una posible estructura. Pero almargen de la estructura que se adopte, es importante que la estrategia esté de acuerdo con la culturade la organización.Como todos los incidentes son diferentes, las acciones descritas en los planes no pretenden cubrircada una de las eventualidades. Cualquier procedimiento predefinido puede necesitar ser adaptadocon flexibilidad e iniciativa por los responsables de poner en marcha el plan al incidente específicoque haya ocurrido y las oportunidades que haya creado.

72

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN ESTRUCTURADE LAS RESPUESTASAINCIDENTES

1. IntroducciónUn modelo de respuesta a incidentes, tomado de los servicios de emergencia de Reino Unido, muestratres tipos de respuesta generalmente clasificados como Oro, Plata y Bronce. Cuando se aplican a laestructura de respuesta de una organización, las responsabilidades son las siguientes.

1 2

35 6

4ca

p

ORO

PLATA

BRONCE

Estratégico

Táctico

Operativo

Alta Dirección(para incidentes)

Equipo de Continuidadde negocio

Equípos de respuestaa incidentes y reinicio

de actividades

Nivel estratégico

Nivel táctico: Plan de Continuidad de Negocio (PCN)

Nivel operativo: Planes de Reinicio deActividades

- Plan de Gestión de Incidentes (PGI)El PGI define cómo la dirección ejecutiva encararía y gestionaría las cuestiones estratégicas de unacrisis que afecte a la organización. Esto puede suceder cuando el incidente no se enmarca totalmenteen el Plan de Continuidad de Negocio (PCN). Puede referirse a crisis que no ocasionan interrupciones,como una OPA hostil, o una atención excesiva de los medios de comunicación, y aquellas en las que elimpacto afecta a un área mayor de la contemplada en la estrategia de GCN, como sería el caso de unaemergencia nacional. La respuesta de los medios de comunicación a cualquier incidente se sueleabordar mediante un PGI, aunque algunas organizaciones prefieren manejar a los medios decomunicación mediante un PCN.El Plan de gestión de incidentes a veces también se llama "Plan de gestión de crisis". El problema esque decir a los medios de comunicación que la organización ha puesto en marcha su "Plan de gestiónde crisis" puede hacer creer a la gente que tiene una crisis. La palabra "incidente" tieneconnotaciones menos negativas, por lo que es la que se prefiere utilizar en este documento.

El PCN se interesa por los trastornos, interrupciones o pérdidas en el negocio desde la respuestainicial que se le da hasta que las operaciones han regresado a la normalidad. Están basadas en lasEstrategias de Continuidad de Negocio acordadas y ofrecen procedimientos y procesos tanto para losequipos de continuidad de negocio como para los de recuperación de recursos. En particular, losplanes asignan funciones, con sus responsabilidades y grado de autoridad. Los planes también debendetallar los caminos y principios para trabajar durante la respuesta con varios actores externos, comoproveedores de servicios de recuperación y los servicios de emergencia.Si el incidente se sale del alcance que contemplaba el Plan de Continuidad de Negocio, la situacióndebe ser transferida a aquellos responsables de poner en marcha el Plan de Gestión de Incidentes(PGI).

A nivel de las operaciones los planes se ocupan del reinicio de las funciones normales del negocio.Para aquellos departamentos que gestionan infraestructura, como Instalaciones y TI, los planesofrecerán una estructura para restaurar los servicios existentes o disponer de instalacionesalternativas.

73

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

1 2

35 6

4cap

PlazosEn el caso de un incidente destructivo, los tres tipos de planes encararán diferentes problemasdurantes las diferentes fases del percance. Por ejemplo:

Repercusionesinmediatas

Daño controlado

Inicio de larecuperación

Consolidación Revisión Se retira

Revisión

Reinicio de otrasactividades y proyectos

Se retira

Gestión de mediosde comunicación

Supervisión del equipode continuidad denegocio

Gestión de mediosde comunicación

Evaluación estratégica

Enlace con los serviciosde Emergencia

Evaluación de daños

Poner en marcha a losservicios de Continuidadde Negocio

Movilización de recursosalternativos

Comunicación con elpersonal

Gestión de recursosalternativos

Reinicio de actividadescríticas urgentes

Limitación de daños yrescate (instalaciones)

Gestión de pérdidaslaborales (RH)

EscalabilidadSi bien los tres niveles ofrecen un modelo adecuado para una organización de tamaño medio con unúnico emplazamiento, una organización más pequeña puede disponer de un único grupo de gestiónque se haga cargo de las responsabilidades tanto tácticas como estratégicas. No obstante, siguesiendo importante que este grupo gestione primero los problemas estratégicos a pesar de losproblemas acuciantes que plantea la respuesta táctica.Para las organizaciones con múltiples instalaciones existen muchos modelos adecuados, quizás conmás subdivisiones de las mencionadas anteriormente, por ejemplo:•Un equipo de respuesta en cada instalación respaldado por un "comando volante" central deContinuidad de Negocio•Un equipo de Continuidad de Negocio en cada emplazamiento importante con un Equipo de Gestiónde Incidentes central•Disponer de una GCN y un PGI a escala nacional con poca intromisión de la dirección internacionalsalvo en los casos en los que la se ve amenazada la reputación global.

74

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN

1 2

35 6

4ca

pPLAN DE GESTIÓN DE INCIDENTES

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso

Referencia: BS 2999-1 Sección 8.3-5

Los estudios de casos de incidentes importantes (según Knight y Pretty, de Oxford Metrica) indicanque la gestión rápida y efectiva de una crisis es el factor determinante para proteger la marca de unaorganización de daños financieros y de reputación.

Para las organizaciones que no han previsto planes, el Plan de Gestión de Incidentes (PGI) debería serlo primero que tienen que desarrollar, ya que permite disponer de una pequeña protección mientrasse desarrollan los demás planes.

El propósito de un PGI es ofrecer un marco de acción que permita a una organización gestionarcualquier crisis sin importar la causa (incluyendo aquellas en la que no existe una respuesta deContinuidad de Negocio adecuada, como en el caso de una amenaza a la reputación).

Los conceptos utilizados en este Manual para los diversos planes no son de aplicación universal, enparticular el término Equipo de Gestión de Incidentes, EGI, puede equivaler a lo que otros llaman unequipo de respuesta o de gestión de crisis. Es importante para una organización elegir nombres que seadecuen a su cultura y estructura, pero que contengan las funciones aquí descritas.Algunos incidentes necesitarán una respuesta de PGI que no provenga de un trastorno de lasactividades, como por ejemplo aquellos que acarreen amenazas sólo para la reputación y por lo tantono requieran una respuesta de Continuidad de Negocio. No obstante, cuando se requiera unarespuesta de Continuidad de Negocio casi siempre es necesario involucrar al EGI, aunque sólo seapara que conozcan la situación en caso de que luego se agrave.

Los pasos clave para desarrollar un Plan de gestión de incidentes incluyen:•Nombramiento de un responsable en la dirección ejecutiva del Plan de Gestión de Incidentes•Definición de los objetivos y alcance del plan•Desarrollo y aprobación del proceso de desarrollo y programa del Plan de gestión de incidentes•Si no existe plan, puede ser útil realizar un ejercicio con el equipo de alta dirección, pero ejerciendouna presión mínima, para que se vuelvan evidentes las muchas necesidades que tiene el plan, como lamisma urgencia de disponer de uno•Crear un equipo de planificación de gestión de incidentes para desarrollar el plan•Acordar las responsabilidades del Equipo de Gestión de Incidentes y su relación con otros planes•Decidir la estructura, formato, componentes y contenido del plan•Determinar las estrategias, como las ubicaciones alternativas, en las que se basa el plan•Recopilar información para elaborar el plan•Nombrar a personas responsables y sustitutos (en caso de que el equipo de alta dirección seademasiado grande)•Nombrar a personas responsables del apoyo administrativo para el PGI•Hacer un borrador del plan•Circular el borrador del plan para consultas y revisiones•Obtener las reacciones a las consultas•Corregir el plan en lo que se considere adecuado•Acordar y validar el plan, por ejemplo en un ensayo•Repetir el proceso para el Plan de Comunicación de Incidentes (si va por separado)•Acordar un programa constante de ejercicios y mantenimiento para garantizar que estáactualizado.

75

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

6. Métodos y técnicas.

Contenidos del PGI

Responsable del documento y su mantenimiento

Funciones y responsabilidades

Activación / Instrucciones de movilización

Planes de acción

Elaborar el Plan de Gestión de IncidentesLos métodos, herramientas y técnicas que permiten la planificación y desarrollo de un Plan deGestión de Incidentes incluyen:•Análisis de proveedores, clientes y demás partes interesadas•Planificación de escenarios•Listas de verificación•Talleres•Formularios de PGI que se distribuyen para ayudar a la puesta en marcha de los procedimientosestándar (en el caso de una organización internacional con varios equipos de gestión de incidentes)Existen muchos programas informáticos que ayudan a crear y mantener un Plan de Gestión deIncidentes. Pueden ofrecer beneficios significativos en las áreas de mantenimiento de planes eintegridad pero no son necesarios y no suplantan la necesidad de conocer el negocio.

Como, por su propia naturaleza, todas las crisis son diferentes, el Plan de Gestión de Incidentes es unconjunto de componentes y recursos que pueden ser útiles para el equipo responsable de activarlo. Elcontenido también variará según la naturaleza y complejidad de la organización.El Plan de Gestión de Incidentes debe estar diseñado por módulos para que las diferentes seccionespuedan comunicarse a los equipos según la información que necesiten saber. Cada sección puedeimprimirse en un papel de diferente color para que sea fácil de utilizar en el momento de una crisis.

El plan tiene que nombrar a un responsable y los procedimientos para el mantenimiento.

Debe figurar las funciones del equipo y personas específicas. Se debe identificar a un sustituto paracada función.Las responsabilidades del equipo pueden ser:•Gestionar las comunicaciones (ver más adelante)•Asegurar que el PGI y el Equipo de Continuidad de Negocio tienen el personal adecuado y realizarnombramientos en caso de que sea necesario•Establecer enlaces con el Equipo de Continuidad de Negocio para acordar un calendario de reiniciode actividades•Aprobar una partida importante de gastos•Supervisar el progreso conjunto de recuperación y el desempeño del personal•Identificar y maximizar las oportunidades o ventajas que surjan del incidente•Identificar el impacto estratégico del incidente en la organización, algo que puede exigir cambiosimportantes en la dirección o abrir nuevas oportunidades•Mantener un registro de las decisiones tomadas a lo largo del incidente.

Se debe especificar por escrito las circunstancias en las que el equipo debe activarse y determinarqué personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de losincidentes, debería otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas, debidoa que es más fácil desactivar un equipo que iniciarlo cuando el incidente está descontrolado.Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisionesen el menor tiempo posible.El equipo tiene que haber acordado previamente varios posibles lugares de reunión, dando prioridada aquellos que contienen los recursos necesarios (ver más adelante). Nada más activado, el primerresponsable informado deberá identificar el lugar más adecuado para las reuniones y un lugaralternativo.

El plan debe contener elementos iniciales para pasar a la acción como una lista de proveedores,clientes, accionistas y demás partes interesadas. Es posible que el Análisis del Impacto en el Negociocontenga indicadores útiles acerca de posibles impactos que necesitarán gestionarse.

1 2

35 6

4cap

76

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN

1 2

35 6

4ca

pSala de reuniones

Recursos

Actividades de las personas

Se debe determinar con antelación al menos dos ubicaciones que sirvan de centro de gestión deincidentes (centro de control). Es probable que una sea dentro de las instalaciones, donde está la altadirección, pero la otra debe encontrarse fuera de las instalaciones.La ubicación externa no tiene que ser propiedad de la organización. Un hotel abierto las 24 horas conun director colaborativo debería ser suficiente para disponer de todas las instalaciones que necesitanla mayoría de las organizaciones.Se debe pensar en cómo se utiliza mejor el espacio para las necesidades de:•comunicación - de entrada y de salida•registro de eventos, acciones y problemas•supervisión de los medios de comunicación• acceso restringido

Se deberían tener en cuenta los siguientes recursos:•Pizarra / tablero (y rotuladores que funcionen)•Varios teléfonos, entre ellos al menos uno con una línea exterior directa y capacidad de grabación•Línea de ayuda para emergencias•Aparatos móviles de comunicación, teléfonos móviles, fax, correo electrónico e Internet•Equipo para controlar la TV y radio•Estudio de TV y radio para ensayar entrevistas•Línea de ISDN y cámara para transmitir entrevistas directamente a una radiodifusora yvideoconferencias•Papelería•Medios para registrar todas las acciones•Comida y bebida e instalaciones cercanas para dormir•Un emplazamiento separado y cercano para recibir a la prensaLos equipos y la información pueden mantenerse fuera de las instalaciones de la ubicaciónalternativa en un camión (también llamado "caja de batalla").

Las organizaciones son responsables del bienestar de sus empleados, proveedores, visitantes yclientes. Durante un incidente y su fase de recuperación, todas las estrategias de GCN deberíantomar en cuenta las cuestiones de necesidades básicas. Es más probable que el personar colabore deforma voluntaria con las exigencias del momento si sus necesidades básicas están cubiertas.Algunas de las cuestiones que debe contemplar el plan:Necesidades especiales de las personas durante evacuaciones o períodos de permanencia en lasinstalaciones, como:•embarazos•discapacidad•responsabilidades familiaresDurante un incidente una o varias personas deben responsabilizarse de:•Evacuar las instalaciones•Contabilizar el personal, proveedores y visitantes•Comunicar con el personal y otras personas dentro de las instalaciones•Dirigirse al contacto para casos de emergencia o familiar - la legislación local puede obligar a haceresto sólo si los servicios de emergencia lo aprueban previamente•Servicios de traducción•Asistencia para transporte•Poner en marcha una línea telefónica de ayuda para el personalPodrían derivarse otras necesidades como:•Alojamiento temporal•Servicios de terapia y rehabilitación - podrían ser ofrecidos a través de una prestación médica paralos empleados

77

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

•Necesidades básicas en las ubicaciones alternativas:•Necesidades especiales•Comida y bebida•Seguridad personal•Transporte y accesibilidad•Formación adecuada en los equipos de reemplazo

Se debe nombrar a empleados con un nivel adecuado de experiencia y autoridad para servir de enlacecon los servicios de emergencia cuando lleguen a las instalaciones y según lo vayan requiriendo.Los servicios de emergencia deberían recibir información en las instalaciones acerca de cualquierherido y el estado de la situación, además de cualquier peligro conocido al que tuvieran queenfrentarse.Mientras se encuentren en las instalaciones, las instrucciones de los servicios de emergencia tienenmayor autoridad que las dadas por el personal de la organización. Cuando se vayan de lasinstalaciones, la organización volverá a ser responsable de la seguridad en el sitio.

El Plan de Comunicación de Incidentes debe determinar la forma en la que la organización gestionarála comunicación con todas las partes involucradas como:•Personal, familiares, amigos y contactos en caso de emergencia•Clientes y proveedores•Accionistas y dueños•Enlace con otros integrantes del grupo corporativo o sede central (si se pertenece a unaorganización más amplia)•Contactar e informar a las autoridades (después de consultar las formas establecidas por laorganización para el cumplimiento de sus obligaciones legales)•Asuntos relacionados con heridos graves o fallecimientos (tras consultar con los servicios deemergencia y cumpliendo las costumbres y leyes locales)•Medios de comunicación - prensa local y nacional, radio, TV, Internet y otros mediosPensar por adelantado:•¿Qué crisis podrían afectarnos? (Puede ser adecuado realizar una Evaluación de Riesgos)•¿Cuáles son las audiencias?•¿Cómo nos comunicamos con ellas?•¿Cuáles son los mensajes?•¿Quién conformará el equipo de incidentes?•¿Cuáles son los recursos e instalaciones?•¿Han recibido formación el equipo de incidentes y los portavoces?•¿Funciona?•¿Qué Manual de Incidentes necesitamos?•¿Hemos desarrollado líneas de comunicación con nuestras audiencias?Cuando se hace pública una crisis o una interrupción en el negocio, una comunicación efectiva seráclave para salvar y mantener el activo más valioso de una organización: su reputación.En caso de enfrentar una crisis hay que tener en cuenta:

aquellos que tengan que tomar decisiones acerca de cómo comunicartienen que haberse puesto de acuerdo previamente acerca de los qués, cómos y dóndes de lacomunicación.

su reputación se verá afectada no tanto por lo que ha pasado sino por lo quela gente cree que ha pasado - y por su percepción acerca de cómo lo ha gestionado.

y lo que necesitan escuchar.Cada hora de silencio que transcurre multiplica por dos su problema de reputación.

Tiene que comunicar lo antes posible.comunique a sus diferentes audiencias toda la información que pueda dar sin meterse

en problemas legales o prácticos. Demostrar que no se tiene nada que esconder ayuda a ahuyentar lassospechas.

Enlace con los servicios de emergencia

Plan de Comunicación de Incidentes

•Responsabilidad del plan:

•Percepción es realidad:

•Comprender las audiencias clave•Actúe rápido:

•Sea abierto:

1 2

35 6

4cap

78

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN

1 2

35 6

4ca

p•Demuestre que le importa:

7. Resultados

8. Revisión

véalo desde el punto de vista de sus audiencias y ajuste sus mensajes a loque necesitan escuchar, no sólo a lo que usted quiere decir.

Los resultados del proceso de planificación del Plan de Gestión de Incidentes incluyen:•Un Plan de Gestión de Incidentes que apoya las funciones del Equipo de Gestión de Incidentes de laorganización durante una crisis•Un Plan de Comunicación de Incidentes que puede gestionar los mensajes dirigidos a los medios decomunicación y partes interesadas durante una crisis•Una demostración a los medios de comunicación, mercados, clientes, partes interesadas yautoridades de que la organización está preparada para gestionar de forma efectiva los incidentes•Cumplimiento de las obligaciones estatutarias y legales

La revisión o auditoría debe corresponder con las de otras estrategias, planes y soluciones para GCN ygestión de incidentes.La revisión del plan puede estar provocada por un cambio importante en el negocio, la alta direccióno el entorno de operaciones externo.

79

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

PLAN DE CONTINUIDAD DE NEGOCIO

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


Referencia: BS 2999-1 Sección 8.3 y 8.6-7

El Plan de Continuidad de Negocio agrupa la respuesta de toda la organización frente a un incidente yfacilita la recuperación de las actividades. Aquellas personas que utilicen el plan deberían sercapaces de analizar la información de los equipos de respuesta acerca del impacto del incidente,elegir y desarrollar las estrategias adecuadas de entre todas las disponibles en el plan, dirigir lasunidades de negocio para la recuperación según las prioridades acordadas y, por último, comunicarlos avances al Equipo de Gestión de Incidentes.Los componentes y contenidos de un Plan de Continuidad de Negocio variarán según la organización,y presentarán diferentes grados de detalle basados en la cultura de la organización y la complejidadtécnica de las soluciones propuestas.

Muy pocas veces se puede redactar un Plan de Continuidad de Negocio efectivo si no se han instauradolos elementos clave de la estrategia de reinicio de actividades o su planificación está muy avanzada.

El propósito de un Plan de Continuidad de Negocio es ofrecer un marco de acción y procesosdocumentados para que la organización pueda reiniciar todos sus procesos de negocio dentro de susObjetivos de Tiempos de Recuperación. Un Plan de Continuidad de Negocio en sí mismo no demuestraque se posea capacidades para la GCN; pero el hecho de que exista un plan actualizado en laorganización sugiere que existe una capacidad efectiva.

El plan debe estar orientado a la acción y por lo tanto debe ser rápido de consultar y no debe incluirdocumentación (por ejemplo unAIN) que no sea necesaria durante un incidente.El Plan de Continuidad de Negocio siempre contendrá (y debería documentar) los supuestos degravedad máxima del incidente (en términos de amplitud, duración o impacto sobre el personal). Siéstos se sobrepasaran, entonces deberá transferirse la responsabilidad al Equipo de Gestión deIncidentes, debido a que es casi inevitable que la solución emane de una decisión estratégica.

Los pasos clave en el desarrollo de un Plan de Continuidad de Negocio (PCN) son:•Nombrar a un responsable del Plan de Continuidad de Negocio (o de cada plan para variasubicaciones)•Definir los objetivos y alcance del plan en referencia a la estrategia de la organización y la Políticade GCN•Desarrollar y aprobar un proceso de planificación y un programa•Crear un equipo de planificación para llevar a cabo el desarrollo del plan•Decidir la estructura, formato, componentes y contenido del plan•Determinar las estrategias que describirá el plan y qué es lo que se abordará en otros planes•Determinar las circunstancias que superan el alcance del PCN•Recopilar información para elaborar el plan•Hacer un borrador del plan•Circular el borrador del plan para consultas y revisiones•Obtener las reacciones a las consultas•Corregir el plan en lo que se considere adecuado•Acordar un programa constante de pruebas y mantenimiento para garantizar que está actualizado(ver sección siguiente)•Probar el plan mediante un ensayo sobre el papel

Un Plan de Continuidad de Negocio debe estar diseñado por módulos para que las diferentessecciones puedan comunicarse a los equipos según la información que necesiten saber. Cada secciónpuede imprimirse en un papel de diferente color para que sea fácil de utilizar y referenciar. Tambiénse recomienda asegurarse de que toda la información que cambia de forma regular, como los detallesde contacto, figure bajo la forma de apéndices al final del plan de forma que pueda ser corregida másfácilmente. Por esta razón es preferible que en el texto del documento figuren las funciones y no losnombres específicos de quienes las desempeñan.

1 2

35 6

4cap

80

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN

1 2

35 6

4ca

pExisten muchos programas informáticos para desarrollar y mantener un Plan de Continuidad deNegocio, pero no es esencial utilizarlos. Puede ser suficiente recurrir a software ofimático normal (unprocesador de textos y una hoja de cálculo), además de que mucha más gente puede utilizarlo puestoque no exige una formación especial. No obstante, un software adaptado a las necesidadesespecíficas puede aportar ventajas significativas en lo que se refiere al mantenimiento e integridaddel plan. Cualquiera que sea la solución adoptada, tiene que haber un proceso de gestión de control ycambios para la producción, actualización y distribución del Plan de Continuidad de Negocio.El plan debe contener:

La persona o grupo nombrado para asegurar que el plan se mantiene actualizado y efectivo.

Deben figurar las funciones del equipo y personas específicas.Se debe identificar a los sustitutos para cada función.Las responsabilidades del equipo o de las personas específicas pueden ser:•Servir de enlace con los servicios de emergencia•Recibir o buscar la información de los equipos de respuesta•Reportar la información al Equipo de Gestión de Incidentes•Activar a proveedores de servicios de rescate o recuperación•Asignar los recursos disponibles a los equipos de recuperación

Se tienen que especificar las circunstancias en las que el equipo debe activarse y determinar quépersonas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de losincidentes, se debería otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas,debido a que es más fácil desactivar un equipo que iniciarlo cuando el incidente está descontrolado.Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisionesen el menor tiempo posible.El equipo tiene que haber acordado previamente varios posibles lugares de reunión, dando prioridada aquellos que contienen los recursos necesarios (ver más adelante). Nada más activado, el primerresponsable informado deberá identificar el lugar más adecuado para las reuniones y un lugaralternativo.

•Procedimientos detallados destinados al equipo para:•Responder a la invocación•Cómo se deben tomar las decisiones•Movilizar recursos•Iniciar la recuperación de actividad•Recibir información de otros equipos•Informar del estatus al Equipo de Gestión de Incidentes

Listas de recursos disponibles:•Personal•Instalaciones y suministros•Tecnología, comunicaciones y datos•Seguridad•Transporte y logística•Necesidades básicas•Dinero y pagos de emergenciaInformación de contacto para acceder a estos recursosNecesidades de recursos para recuperación de cada actividad

Información de clientesDetalles de contactoDocumentos legales (contratos y pólizas de seguro)Acuerdos de servicios

Responsable de documentación y mantenimiento

•Funciones y responsabilidades

Instrucciones para su activación

Planes de acción / lista de tareas

Necesidades de recursos

Información vital

81

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

Formularios y anexos

7. Resultados

8. Revisión

Listas de verificación para ayudar a la recuperación

Los resultados del proceso de planificación de Gestión de Continuidad de Negocio incluyen:•Un Plan de Continuidad de Negocio que debería estar ratificado por la dirección ejecutiva•Un marco en el que puede operar cada unidad de negocio (ver sección siguiente)

Alguna información contenida en el Plan de Continuidad de Negocio como los detalles de contactotendrá que ser revisada mensual o trimestralmente. Otra información deberá revisarse de formaanual y comprobada mediante pruebas. Otros posibles desencadenantes para una revisión son:•Un cambio importante en la tecnología y/o telecomunicaciones•Un cambio importante en los procesos•Un cambio importante en el personal•Un cambio en el proveedor de soluciones de GCN.

1 2

35 6

4cap

82

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN

1 2

35 6

4ca

pPLANES DE RESPUESTAPORACTIVIDAD1. Introducción

2. Pasos previos

3. Propósito


5. Proceso

Un Plan de Continuidad de Negocio será rápidamente difícil de manejar si todos los procedimientosde recuperación figuran en un único documento. Cuando éste sea el caso (como en las organizacionesmedianas o grandes) los planes de respuesta y recuperación de cada actividad deberían excluirse delPCN y ser incluidos en un documento separado que se pasa a ser responsabilidad de la actividad con laque está relacionado.Los planes de respuesta por actividad (en el nivel operativo) abordan la respuesta al incidente decada departamento o unidad de negocio. Algunos ejemplos de los planes de respuesta por operaciónson:•Procedimientos para ayudar a un equipo de respuesta a incidentes generalmente dirigido por undepartamento que se ocupa del incidente específico y su impacto material (si existe)•Una respuesta de recursos humanos a problemas de necesidades básicas durante un incidente•Un plan del departamento para reiniciar actividades en un plazo predeterminado•Una respuesta logística del departamento de TI a la pérdida y subsiguiente recuperación de losservicios de TI para el negocioLa complejidad y urgencia de los procesos de negocio pueden determinar si los planes operativos sólose ocupan de una actividad o abarcan un departamento que gestiona varias actividades.Según el grado de complejidad de la organización, los planes de respuesta operativos pueden serrespaldados por planes más detallados para respuestas, ubicaciones o equipos específicos.

Debido a los muchos vínculos que existen entre el Plan de Continuidad de Negocio y los de respuestaoperativos, el Plan de Continuidad de Negocio debería estar redactado, al menos en su esquemageneral, antes de que se determinen estos planes por actividad.

El propósito del Plan Operativo de Respuesta es estructurar la respuesta de cada departamento a unainterrupción dentro del Plan de Continuidad de Negocio general.

El plan debe estar orientado a la acción y por lo tanto debe ser rápido de consultar y no debe incluirdocumentación que no sea necesaria durante un incidente.

Los pasos clave para la planificación y desarrollo del plan de recuperación para la unidad de negocioson:•Nombrar a una persona responsable del desarrollo general de los planes y un representante dentrode cada unidad para desarrollar su propio plan•Definir el objetivo y alcance de los planes•Desarrollar un proceso de planificación y un programa con plazos. Cuando sea posible, empezar conlos planes para las actividades de negocio más urgentes•Determinar las estrategias generales de GCN en las que se basa el plan•Decidir la estructura, formato, componentes y contenido de los planes•Desarrollar un esquema general de plan para favorecer que se estandarice la documentación, peroque también se permita ciertas variaciones específicas si fuera adecuado•Asegurarse de que las unidades de negocio nombran a personas para cumplir las funcionesdeterminadas en el plan•Gestionar y supervisar el desarrollo de planes dentro de las unidades de negocio•Circular el borrador para consulta, revisión y crítica, tanto dentro como fuera del departamento sifuera necesario•Registrar las reacciones de la consulta•Corregir el plan en caso de que sea necesario•Validar el plan a través de un test en la unidad de negocio•Consolidar los planes para las unidades de negocio y revisarlos para comprobar su coherencia•Documentar las conexiones con el Plan de Continuidad de Negocio y entre los planes para lasunidades•Llevar a cabo un análisis de las necesidades de recursos de todos los planes para determinar lasnecesidades de recursos que apoyarán las funciones

83

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN


7. Resultados

8. Revisión

Los planes de respuesta para operaciones específicas pueden incluir lo siguiente:

Recursos humanos

Recuperación de la unidad de negocio

Los métodos, herramientas y técnicas para desarrollar un Plan Operativo de Respuesta incluyen:•Entrevistas (estructuradas y no estructuradas)•UnAnálisis del Impacto en el Negocio y unAnálisis de las Necesidades de Recursos para esta actividad(para afinar los resultados delAIN de mayor nivel)•Listas de verificación y formularios•Talleres

Instalaciones (Equipo de Respuesta a Incidentes)•Planes para la evacuación y realojo de edificios•Respuesta a amenazas de bomba y escenarios parecidos•Puntos de evacuación (incluyen ubicaciones alternativas o externas)•Enlace con los servicios de emergencia•Dispersión del personal y visitantes•Rescate de recursos y asistencia contratada•Circunstancias agravantes

•Necesidades básicas•Responsabilidades legales en cuestiones de salud y seguridad•Procedimiento para contabilizar el personal•Procedimiento para contactar al personal•Recursos para terapia psicológica y rehabilitación

•Criterios de escalado para poner en marcha la Respuesta de Continuidad de Negocio (el problema sesale de la zona de gestión de la unidad de negocio)•Procedimiento de escalado para transferir la responsabilidad al Equipo de Continuidad de Negocio•Contacto inicial del Equipo de Continuidad de Negocio•Contacto con los miembros del equipo•Plan de reinicio de actividades para cada proceso•Número de empleados necesario•Contactos clave•Procedimiento para el reinicio de la actividad de negocio•Forma de iniciarlo•Prioridades•Procedimientos especiales•Problemas durante la puesta en práctica•Número de empleados necesario•Recursos necesarios

Los resultados del Plan Operativo de Respuesta incluyen:•Un Plan Operativo de Respuesta documentado para cada actividad o departamento•Criterios para que las unidades de negocio deriven el asunto al Equipo de Continuidad de Negocio•Definición clara de las funciones de GCN dentro del departamento

Los planes operativos de respuesta tienen que revisarse en caso de que se produzca un cambioimportante en los procesos o tecnología dentro de ese área.

1 2

35 6

4cap

84

DES

ARRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RES

PUES

TAD

EG

CN

1 2

35 6

4ca

pINDICADORES CLAVE DE GCNEstos son los elementos clave de lo que se espera de una organización con una GCN madura1. La organización es responsable de al menos un Plan de gestión de incidentes y un Plan deContinuidad de Negocio, que le permite gestionar cualquier posible incidente o crisis que afecte a lacontinuidad en cualquier parte del negocio y sin importar la causa2. La organización opera uno o varios equipos para incidentes y recuperación que son responsables degestionar todos los posibles incidentes que afectan a la continuidad3. Cada equipo incluye a ejecutivos de alta dirección que son responsables y que poseen la autoridady conocimiento para responder de forma efectiva a cualquier incidente4. Cada miembro del equipo tiene al menos un sustituto con igual nivel de autoridad y formación5. Cada equipo tiene poderes y recursos para ser siempre movilizado a tiempo y dar una respuestaadecuada6. Cada equipo tiene que saber operar todas las herramientas e información necesarias que necesitapara gestionar un incidente7. Todos los integrantes del equipo han recibido la formación adecuada para operar bajo una crisis oen condiciones parecidas8. Cada plan define una escalada y un proceso de invocación que permite su activación rápida oinmediata9. Cada plan contiene instrucciones inequívocas para la invocación en caso de cualquier tipo deincidentes y condiciones10. Cada plan contiene criterios claros de invocación y directrices11. Cada plan identifica con claridad aquellas personas que tienen autoridad para invocarlo12. Cada plan contiene tareas y listas para obstaculizar las consecuencias inmediatas de un trastornoen el negocio13. Cada plan contiene una declaración clara e inequívoca de su propósito y alcance14. Cada plan explica los protocolos y mecanismos para comunicaciones de emergencia y avisos15. Cada plan exige que la información de contacto de familiares y de emergencia de todo el personalesté actualizada y disponible para su rápida utilización16. Cada plan identifica la o las personas que después de un accidente se encargarán de lasresponsabilidades de salud y bienestar del personal17. Cada plan contiene medidas específicas que garanticen que después de un accidente la prioridadse enfoca en el bienestar de las personas y que los problemas a este respecto son gestionados deforma efectiva18. Cada plan define y comunica las funciones, responsabilidades y grados de autoridad de todos losparticipantes19. Cada plan contiene y establece un marco de acción claro para el control aceptable de cualquierincidente20. Cada plan describe con claridad cómo elegir, adaptar y poner en marcha las estrategias paraoptimizar la recuperación después de un incidente21. Cada plan contiene explicaciones claras de prioridades que reflejen las variaciones estacionales,periódicas y de día a día22. Cada plan identifica con claridad los niveles de recuperación que deben lograrse con el tiempo(Objetivos de Tiempos de Recuperación)23. Cada plan describe con claridad los medios para coordinar todos los equipos y entidadesinvolucradas en la recuperación24. Cada plan contiene tareas, procedimientos y listas de verificación que inician y cumplen de formaaceptable con las estrategias25. Cada plan contiene un inventario actualizado de los recursos necesarios en el tiempo paraentregar de forma aceptable las estrategias26. Cada plan contiene registros o formularios para reseñar la información del incidente27. Cada plan contiene tareas y listas de verificación para la restauración de las operaciones despuésde cualquier incidente28. Cada plan contiene tareas que permiten un análisis efectivo de la situación y una evaluación delos daños29. Cada plan contiene tareas que aseguran la continuidad de cada acuerdo de subcontratación

85

DESA

RRO

LLAR

YPO

NER

ENPR

ÁCTIC

ALA

RESPU

ESTAD

EG

CN

30. Cada plan ofrece indicaciones fiables acerca del tiempo para completar cada paso bajocondiciones de trastorno31. Cada plan incluye el contacto y los detalles para movilizar a todos los proveedores y clientes clave32. Los planes de la organización prevén de forma específica la gestión rápida de la comunicación contodos los proveedores y clientes clave antes, durante y después de un incidente33. Los planes de incidentes contienen provisiones específicas acerca de cómo llevar a cabo medidasadecuadas de buen gobierno34. Cada plan identifica al personal con el grado de autoridad adecuado para servir de enlace con losservicios de emergencia35. Cada plan ofrece la base para un sistema efectivo de gestión de la información en momentos decrisis36. Cada plan especifica los medios y la frecuencia con la que se debe ofrecer la información, comopor ejemplo en comunicados de prensa, correo electrónico, sitio de Internet37. Cada plan ofrece una estrategia y marco de acción para comunicarse con los medios decomunicación38. Cada plan identifica a los portavoces formados que están autorizados a enviar información a losmedios de comunicación39. Cada plan identifica un lugar preferido de enlace con los medios de comunicación u otras partesinteresadas40. Cada plan identifica cómo hacer seguimiento de la respuesta de los medios de comunicación41. Los planes contienen un comunicado tipo para enviar a los medios de comunicación42. Los planes contienen directrices para crear conciencia a través de los medios de comunicación43. Cada plan identifica una ubicación preferida desde la que se gestionará el incidente (ubicaciónpara la gestión de incidentes)44. Cada plan identifica una ubicación alternativa en caso de que no se pueda acceder a la ubicaciónpreferida para la gestión de incidente45. Cada ubicación de gestión de incidentes dispone de el acceso a los recursos necesarios para poneren marcha el plan de incidentes46. Cada ubicación de gestión de incidentes dispone de medios de comunicación efectivos, tantoprincipales como alternativos47. Cada ubicación de gestión de incidentes dispone de instalaciones para acceder y compartirinformación, incluido el seguimiento de los medios de comunicación48. Cada plan es conciso y es asimilado por todos sus posibles usuarios49. Cada plan es práctico, está orientado a la acción y excluye toda la información que no será exigidadurante un incidente50. Cada plan es rápidamente accesible para todos sus posibles usuarios51. Cada plan se considera completo en el sentido de que se ocupa de cualquier trastorno desde elpunto de recuperación hasta el reinicio de las operaciones normales de negocio52. Cada plan se considera completo en el sentido de que documenta todos los componentesrequeridos para poner en marcha de forma fiable cada una de las estrategias53. Cada plan identifica su principal responsable54. Cada plan cuenta con el apoyo de la alta dirección e incluye un responsable concreto directo55. Cada plan identifica a aquellos responsables de su revisión, mantenimiento y difusión autorizada56. Cada plan cuenta con un presupuesto adecuado para su desarrollo y mantenimiento57. Cada plan cumple con todas las obligaciones legales y estatutarias58. Cada plan describe con claridad su relación con todos los demás planes o documentos relevantes59. Cada plan y su documentación asociada están actualizados y reflejan las necesidades de laorganización60. Cada plan está sujeto a un control sistemático de su versión y distribución61. Cada plan está ratificado por la alta dirección.

1 2

35 6

4cap

86

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2 3 4 65capítulo

Probar, mantener y revisarlos preparativos de GCN

87

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

Acerca del capítulo 5 – Probar, mantener y revisar los preparativos de GCN

COMPONENTES DE LAETAPA5PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS DE GCN

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posiblesimpactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydemás partes interesadas, la reputación, la marca y las actividades creadoras de valor.Está sección garantiza que las estrategias, planes y acuerdos de GCN de la organización sonrefrendados por pruebas y revisiones, además de estar actualizados.

1. PRINCIPIOS GENERALES2. PROGRAMADE PRUEBAS3. PROBAR LOS PREPARATIVOS DE GCN4. MANTENER LOS PREPARATIVOS DE GCN5. REVISAR LOS PREPARATIVOS DE GCN

1 2

3 4

65

cap

88

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap

PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS



Pruebas

Mantenimiento

Revisión

La capacidad para la Gestión de Continuidad de Negocio (GCN) no puede considerarse fiable hastaque no se ha puesto en práctica. Como rara vez es posible llevar a cabo un ensayo para toda laorganización de una sola vez, se necesita un programa de pruebas planificado para garantizar quetodos los aspectos de los planes y personal se han ensayado durante un período de tiempo.Las pruebas tienen múltiples formas, entre ellos ejercicios técnicos, pruebas desde el ordenador yensayos completos en vivo. Independientemente de lo bien diseñada y planificada que esté unaEstrategia de GCN o un Plan de Continuidad de Negocio (PCN), varias pruebas sólidas y realistasidentificarán los problemas y suposiciones que se deberán corregir.El tiempo y los recursos empleados en ensayar las Estrategias de GCN y PCN son partes cruciales delproceso en su conjunto por el hecho de que desarrollan competencias inspiran confianza e impartenconocimientos esenciales en momentos de crisis.Si bien es necesario dedicar esfuerzos en poner a prueba las capacidades técnicas para larecuperación, el elemento clave es el papel de las personas y su capacidad en habilidades,conocimientos, gestión y toma de decisiones.Cuando se subcontrata un servicio o actividad, no se transfiere la responsabilidad del riesgo. Por esarazón las organizaciones deben asegurarse por sí mismas que los proveedores de serviciossubcontratados están preparados para aguantar un incidente. Deben comprobar la efectividad suspropios planes y exigir a sus proveedores pruebas acerca de la viabilidad de los planes de contingenciay cerciorarse de ello a través de ejercicios.

La mayoría de las organizaciones actúan en un entorno dinámico y están sujetas a cambios en laspersonas, procesos, mercado, riesgos, entorno, geografía y estrategia de negocio. Es necesariogarantizar que su capacidad para la GCN sigue reflejando la naturaleza, magnitud y complejidad de laorganización. Debe estar actualizada, ser fiable, completa, ensayada, y comprendida porproveedores, clientes, accionistas, trabajadores y todas las partes interesadas.Se debe instaurar un Programa de Mantenimiento de la Continuidad de Negocio para garantizar quetodas las partes interesadas conocen las partes más actualizadas y relevantes del PCN.

•Existen varias formas de revisar un programa de GCN:•Auditoría interna•Auditoría externa•AutoevaluaciónEl proceso de auditoría de GCN garantiza que una organización dispone de un Programa deContinuidad de Negocio efectivo. La auditoría cumple cinco funciones esenciales:•Certifica el cumplimiento de las políticas y estándares de GCN de la organización•Revisa las soluciones de GCN para la organización•Da validez a los PCN de la organización.•Verifica que se están realizando las actividades adecuadas de ensayo y mantenimiento•Pone de relieve las deficiencias y problemas y garantiza su correcciónEl proceso puede ser realizado por el departamento de auditoría interna de la organización, unauditor externo o un profesional externo experto en Continuidad de Negocio. Se debe realizar elproceso cada uno o dos años. Entretanto los responsables de los planes de Continuidad de Negociopueden llevar a cabo de forma más frecuente una "comprobación de desempeño".

89

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

PROGRAMADE PRUEBAS

1. Introducción

2. Pasos previos


5. Proceso


3. Propósito

Procesos de recuperación

El desarrollo de una capacidad para la GCN se logra a través de un programa estructurado de pruebas.Se puede iniciar un programa de pruebas de GCN mediante un ejercicio diseñado para poner derelieve las deficiencias en la capacidad.Para ser exitoso, un programa de pruebas debe tener una forma simple al inicio y complicarse deforma gradual.Aun cuando la entrega de un producto o servicio ha sido subcontratada, la organización sigue siendoresponsable de esa entrega. En ese caso la organización debería asegurarse de que, medianteejercicios, la empresa subcontratada es capaz de cumplir con sus obligaciones. De igual forma sedebería solicitar a los proveedores de productos o servicios cuya interrupción podría causar untrastorno importante para la organización que den pruebas de su capacidad de recuperación.

La Política de GCN debería definir el calendario y responsabilidades para el programa de ejercicios.

El propósito del programa de ejercicios es garantizar que a lo largo de un tiempo:•Se verifica toda la información de los planes•Se ensayan los planes•Todo el personal (incluyendo subalternos) han ejercitado sus habilidades

Actividades subcontratadasLas pruebas para las actividades subcontratadas deberían figurar como obligatorias en el contrato yser formalizadas mediante acuerdos de servicio.

•Redactar una lista de todos los procesos de recuperación (por ejemplo, reubicación)•Determinar el tipo de prueba más adecuada para cada proceso•Redactar una lista de todo el personal o grupos involucrados en cada procesoDeterminar un calendario de pruebas para asegurarse de que, a lo largo de un tiempo, todo elpersonal determinante se verá involucrado en ellas

El programa de ejercicios debe incluir actividades que permitan ensayar las diversas facetas de lasestrategias de GCN adoptadas. Entre ellas:•Técnico - ¿Funcionan los equipos?•Procedimientos - ¿Son correctos los procedimientos?•Logística - ¿Logran los procedimientos sucederse de forma lógica?•Entrega a tiempo - ¿Consiguen los procedimientos cumplir con los OTR de cada actividad?•Administrativo - ¿Son los procedimientos fáciles de gestionar?•Personal - ¿Están involucradas las personas correctas? ¿Poseen las habilidades, autoridad yexperiencia adecuadas?

1 2

3 4

65

cap

90

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap


Figura :Tipos de ejercicios (Fuente: Elliot, Swartz y Herbane 1999)

La siguiente matriz ilustra una progresión y posibles combinaciones de ejercicios:

7. Resultados

8. Revisión

La planificación del Programa de Pruebas de GCN deberá resultar en:•Un calendario para un programa de Pruebas

La frecuencia de un Programa de Pruebas de GCN dependerá de la naturaleza, magnitud ycomplejidad de la organización. Un ensayo de la Capacidad para la GCN de la organización en suconjunto debería realizarse al menos una vez cada 12 meses. También es posible que otrosacontecimientos obliguen a realizar nuevas pruebas:•Un cambio significativo en los procesos, la plantilla o la tecnología•Un cambio importante en el entorno externo del negocio

91

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

PROBAR LOS PREPARATIVOS DE GCN

1. Introducción

2. Pasos previos

3. Propósito


Ref: BS 25999-1 Sección 9.3

Rigurosa

Realista

"Pruebas" es un término genérico que se utiliza aquí para describir el conjunto de medidas que ponena prueba el Plan de Continuidad de Negocios, los integrantes de los equipos y la tecnología yprocedimientos. Se suelen utilizar tres términos:•Prueba (Test): suele referirse a someter a examen un proceso tecnológico o de negocio,generalmente con respecto al cumplimiento de ciertos plazos. Es posible que el resultado sea "pasa" o"falla" (para el proceso, no la persona). Un ejemplo podría ser la recuperación de un servidormediante los archivos de respaldo.•Simulacro: Práctica de un conjunto específico de procedimientos que requieren el seguimiento deun guión para inculcar conocimientos y familiarizarse con la práctica. Un ejemplo sería un simulacrode incendio.•Ejercicio: Suelen realizarse para un evento basado en un escenario en el que se ponen a prueba lacapacidad para tomar decisiones. Un ejemplo es un ejercicio de escritorio para gestionar unincidente grave.Más allá del término que se utilice, es importante darse cuenta de que una prueba es una oportunidadmedir la calidad de la planificación, la competencia de las personas y la efectividad en lascapacidades y no un simple examen con un aprobado o un suspenso. Demostrar una actitud positivafrente a las pruebas de GCN logra que el proceso tenga mayor aceptación, permite reconocer lasfortalezas, mientras que las deficiencias serán consideradas oportunidades para mejorar en lugar dedar lugar a críticas.

Las pruebas enfocadas en actividades individuales son parte de un programa de pruebas y deben serprogramados junto con las actividades de formación correspondientes.

El propósito de ensayar es:•Evaluar las actuales competencias de la organización para la GCN•Identificar áreas para mejorar o en las que falta información•Destacar suposiciones que deben ser cuestionadas•Ofrecer información e inspirar confianza a los participantes de los ejercicios•Incentivar el trabajo en equipo•Mejorar el nivel de conciencia de toda la organización acerca de la Continuidad de Negocio dandopublicidad al ejercicio•Comprobar la efectividad y cumplimiento de plazos de los procedimientos de restauración al finaldel ejercicio

Para que una prueba se considere "útil" necesita cumplir con los siguientes criterios: rigurosa, realistay de exposición mínima. Suele suceder que estos tres criterios plantean requisitos opuestos por lo quese necesitará llegar a un compromiso balanceado entre todos.

Cuando sea posible, las pruebas deben realizarse utilizando los mismos procedimientos y métodosque se utilizarían durante un incidente real, tratando de que todo sea lo más realista que se pueda. Setrata de un ideal, pero no es posible llevar a cabo ciertas pruebas sin realizar alteraciones realessobre los procesos. Esto sobre todo aplica a pruebas técnicas.

La utilidad de una prueba se ve comprometida si se elige un escenario poco realista. Se necesitasimular un incidente para demostrar la viabilidad de los planes en tales circunstancias.Reflejar un escenario de negocios realista garantiza que la audiencia se comprometa por completocon la prueba y aprenda más de ella.

1 2

3 4

65

cap

92

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap

Exposición mínima

Participantes

5. Proceso


La realización de pruebas puede exponer el negocio a un nivel elevado de riesgo. El responsable dediseñar la prueba debe asegurarse de que:•queda minimizado el riesgo e impacto del trastorno•el negocio entiende y acepta el riesgoPara pruebas de mayor complejidad técnica, el responsable debe asegurarse de que existen puntosacordados previamente para continuar o detener la prueba a lo largo de etapas clave, además deplanes adecuados de respaldo en caso de que las cosas salgan mal.Del mismo modo, para los ejercicios de despacho o en directo, el responsable tiene que disponer de lacapacidad de interrumpir la prueba si el equipo está tomando decisiones que no serían adecuadas enel escenario planteado.

•Una prueba técnica incluye las siguientes fases:•Acordar el alcance y objetivos de la prueba•Acordar el presupuesto para la prueba si fuera necesario•Asignar a la tarea el personal adecuado•Plantear un escenario sencillo y un conjunto de suposiciones que dan contexto a la prueba•Llevar a cabo una Evaluación de Riesgos de la prueba para minimizar el riesgo de impacto sobre lasoperaciones reales•Llevar a cabo la prueba y registrar los resultados•Evaluar e informar de los resultados•Solucionar cualquier problema detectadoUn ejercicio sobre un escenario necesitará pasos similares, pero más complejos:•Acordar el alcance y objetivos del ejercicio con la alta dirección•Acordar el presupuesto para la prueba•Acordar con los responsables y proveedores adecuados la logística y servicios necesarios paradesarrollar el ejercicio•Preparar un escenario realista y detallado•Incluir aspectos como fecha, hora, carga de trabajo, condiciones políticas y económicas yproblemas temporales o estacionales•Asegurarse de que los participantes están disponibles•Llevar a cabo una Evaluación de riesgos del ejercicio para minimizar el riesgo de impacto sobre lasoperaciones reales•Informar a observadores y preparar cuestionarios que se utilizarán durante el ejercicio para plasmarlas lecciones aprendidas por jugadores y observadores•Dar a los participantes información previa al ejercicio•Llevar a cabo el ejercicio•Hacer un informe de resultados y comunicarlo a los participantes inmediatamente después delejercicio•Presentar un informe más formal a los participantes en una fecha posterior•Evaluar los resultados del ejercicio y los resultados del informe y preparar un informe conrecomendaciones•Preparar un informe de las cuestiones problemáticas durante y justo después de la prueba.•Enviar copia de los informes a los participantes y alta dirección•Crear un plan de acción que se pondrá en marcha después del ejercicio con las recomendaciones alinforme, como la actualización de la estrategia y plan conforme a lo aprobado o revisión delcalendario de ejercicios para dar tiempo a demostrar la eficacia de los cambios.

Además del personal, en un ejercicio con un escenario los participantes también pueden ser:El facilitador•Los proveedores de recursos y servicios especializados para la GCN•Los representantes de las compañías de seguros•Los servicios de emergencia•Los encargados de seguridad

93

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap•••••

••

••

••

••••

••

Las autoridades locales dedicadas a planificación de emergenciasLos responsables de comunicación y relaciones públicasExpertos (cuando se necesiten)Los proveedores de productos y servicios para el negocioLos proveedores de actividades subcontratadas

El proceso de probar la GCN puede brindar los siguientes resultados:Comprobación de que la Continuidad de Negocio y las estrategias son efectivasGrado de familiaridad del personal con sus funciones, responsabilidades y autoridad en

respuesta a un incidente.Prueba de los aspectos técnicos, logísticos y administrativos del Plan de Continuidad de Negocio.Prueba de la infraestructura de recuperación como los centros de mando, el área de trabajo,

tecnología y telecomunicaciones.Un ensayo acerca del grado de disponibilidad y reubicación de la plantillaDocumentar los resultados del ejercicio en un informe posterior para la alta dirección,

auditores, aseguradoras, autoridades y demás partes interesadasDocumentar y resolver todas las cuestiones que han surgido en el ejercicioUna conciencia mayor acerca de los procedimientos de emergenciaUna conciencia mayor acerca del significado de la GCN.La oportunidad para identificar las deficiencias y posibilidades de mejora en la preparación a la

Continuidad de Negocio por parte de la organización

La frecuencia de un Programa de Ejercicios de GCN dependerá de la naturaleza, magnitud ycomplejidad de la organización. Un ensayo de la Capacidad para la GCN de la organización en suconjunto debería realizarse al menos una vez cada 12 meses. También es posible que otrosacontecimientos obliguen a realizar nuevos ejercicios:Un cambio significativo en los procesos, la plantilla o la tecnologíaUn cambio importante en el entorno externo del negocio.

7. Resultados

8. Revisión

94

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap

MANTENER LOS PREPARATIVOS DE GCN

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


7. Resultados


El Programa de Mantenimiento de GCN garantiza que la organización se encuentra preparada paragestionar incidentes a pesar de los constantes cambios que experimentan todas las organizaciones.Para que un Programa de Mantenimiento de GCN sea efectivo, debe estar integrado en los procesosnormales de gestión de la organización en lugar de formar parte de una estructura separada quepuede ser olvidada.

La mayoría de los problemas que surgen de las pruebas y ejercicios son resultado de cambios internosen la organización – personal, ubicación o tecnología.

El propósito del proceso de Mantenimiento de la Gestión de Continuidad de Negocio e Incidentes esgarantizar que la capacidad para la GCN de la organización se mantiene efectiva a pesar de loscambios en los procesos internos y las influencias externas.

Disponer de una gestión de cambios es un prerrequisito para el mantenimiento del programa de GCN.

Revisar los cambios internos en:•Procesos de negocio•Tecnología•PersonalEsta revisión puede ser provocada por un cambio en la gestión, por los "puntos de aprendizaje" dedespués de los ejercicios o por un informe de auditoría.•Revisar y cuestionar las suposiciones hechas en el Análisis del Impacto en el Negocio acerca delentorno en el que opera la organización para determinar si los imperativos de tiempo han cambiadodesde la última revisión•Revisar la idoneidad y disponibilidad de aquellos servicios externos que podrían ser exigidos por unaorganización en momentos difíciles, como la restauración de activos, ubicaciones de recuperación ysubcontrataciones•Revisar los planes de Continuidad de Negocio para proveedores de componentes cuya entrega atiempo es crítica para el negocio•Evaluar si los cambios y enmiendas crean una necesidad de formación, concienciación y/ocomunicación.•Ofrecer formación, concienciación y/o comunicación adecuadas en lo que se necesite.•Distribuir la política, estrategias soluciones, procesos y planes de GCN actualizados, corregidos,modificados a las principales partes interesadas mediante el proceso formal de control de cambios(versión).

•Cada responsable del plan se hace cargo del mantenimiento de los planes de Continuidad de Negociodel equipo y los datos dinámicos, como los teléfonos del personal fuera de horas de oficina, tareas delequipo, detalles de contacto de los proveedores, contenido de la caja de contingencia, etc.•Las secciones del plan se actualizan desde mensualmente hasta una vez al año, según el calendarioestipulado en la sección relativa al Mantenimiento del Plan de Continuidad de Negocio. Los mesesadecuados para la actualización también se especifican en esa misma sección.•La "fecha de la última actualización" se muestra claramente al principio de cada capítulo del plan deContinuidad de Negocio para garantizar un registro efectivo para las auditorías.

El proceso de mantenimiento de la Continuidad de Negocio brinda los siguientes resultados:•Un programa documentado de supervisión y mantenimiento de la Continuidad de Negocio•Un informe de mantenimiento claramente definido (con recomendaciones) acordado y ratificadopor el directivo adecuado•Un plan de acción del informe de mantenimiento claramente definido acordado y ratificado por eldirectivo adecuado•Planes de Continuidad de Negocio, estrategias y soluciones que sean efectivos y adecuados.

95

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap8. RevisiónLa frecuencia de un Programa de Ejercicios de GCN dependerá de la naturaleza, magnitud ycomplejidad de los cambios en el negocio.Es probable que se necesite realizar el mantenimiento:•Cuando se produce un cambio significativo en los procesos, la plantilla o la tecnología.•Después de un ejercicio o prueba.•Después de una auditoría que recomiende cambios.•De acuerdo con el calendario definido en el capítulo sobre el Mantenimiento del Plan de Continuidadde Negocio.

96

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap

REVISAR LOS PREPARATIVOS DE GCN

1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


�

La revisión incluye•Auditorías, tanto internas como externas•AutoevaluaciónLa auditoría sirve para revisar de forma imparcial con respecto a estándares y políticas definidas ypara ofrecer recomendaciones para subsanar las deficiencias. No obstante, la naturaleza de la GCNexige a la auditoría una visión distinta debido a la evolución de los estándares. La auditoría estádiseñada para verificar que se han seguido de forma correcta, no que las soluciones adoptadas sonobligatoriamente correctas.

La auditoría debe realizarse con respecto a una Política de GCN y los estándares adecuados.

El propósito de una auditoría de GCN es analizar las competencias que posee una organización para laGCN; medirlas con respecto los estándares y criterios predeterminados y confeccionar un informe deauditoría estructurado.Además, la misma GCN debería estar sujeta de forma periódica a un proceso de garantía.

Esta visión asume que si el proceso es correcto y se aplica de forma adecuada, el resultado deberíaofrecer una capacidad efectiva para la GCN.Se asume que los estándares disponibles ofrecen el marco de acción adecuado para la auditoría.Entre ellos figuran:Estándares nacionales e internacionales, como el Código de Prácticas BS 25999-1 y la Especificación

BS25999-2 (aún no publicada)•Obligaciones normativas, como las marcadas por las autoridades financieras correspondientes•Obligaciones legales•Los Manuales de Buenas prácticas (como este documento) o aquellas específicas para un sector•Estándares de la industria como el ISO 17799 (relativo a la seguridad de TI).

Al igual que sucede con la planificación, puesta en marcha y mantenimiento de la Continuidad deNegocio, la auditoría de GCN se ocupa de un proceso complejo y necesita interactuar con un amplioabanico de funciones directivas y operativas, tanto desde el punto de vista de negocio como técnico.La auditoría del proceso de GCN incluye:•Una auditoría del plan de GCN - que a su vez debería incluir:

Identificación del tipo de auditoría a llevar a cabo (de cumplimiento, gestión de proyectos, estudiode factibilidad, due diligence o de investigación).

Identificación de los objetivos de auditoría, es decir, los resultados. Esos objetivos pueden estar enparte motivados y marcados o restringidos por las obligaciones legales o normativas. Esto incluyecuestiones clave de alta importancia.

Identificación del marco estándar para la auditoría (cuando sea apropiado) que se va a utilizar,como el BS 25999. El marco puede ser forzoso o estar restringido por las obligaciones legales onormativas.

Definición del alcance de la auditoría.Determinar los aspectos de gobierno corporativo, cumplimiento u otras cuestiones que deban ser

auditadas.Determinar el área/departamento/ubicación de la organización que será auditada.Definición de la perspectiva de la auditoría.Las actividades de auditoría que se van a realizar, como cuestionarios/entrevistas

personales/revisión de documentos/revisión de soluciones.Calendario de actividades y fechas de entregaIdentificación de los criterios de evaluación de la auditoría (estándares).Determinar las necesidades de opiniones expertas en temas específicos o asistencia por parte de

terceros para realizar la auditoría.•Revisión y recopilación de información mediante la auditoría de las actividades de GCN.

�

�

�

�

�

�

�

�

�

�

�

97

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap•Recopilar y resumir las entrevistas, cuestionarios y otras fuentes.•Identificar las deficiencias en contenido e información encontradas y realizar entrevistas nuevas opor segunda vez, según el caso.•Obtener y contrastar la documentación relevante (como el Análisis del Impacto en el Negocio) conlos datos de entrevistas y otras fuentes (inspecciones físicas, muestreos).•Referencias a fuentes secundarias, como estándares, normas o manuales de buenas prácticas paraconfirmar los resultados preliminares.•Formación de una opinión que debería reflejar tanto los intereses del patrocinador de la auditoríacomo el "patrón" fijado por las fuentes externas, como normas, leyes o estándares del sector.

Asignar un factor de riesgo a los elementos individuales de auditoría para distinguir entre losresultados con riesgos críticos, altos, medios y bajos.

Definir los criterios para clasificar los resultados mediante una clasificación predefinidaclaramente diferenciada por categorías.•Entregar un borrador de informe de opinión para ser discutido por las principales partes interesadas.•Entregar un informe de opinión de auditoría acordado que incorpore las recomendaciones así comolas respuestas auditadas allí donde sigue habiendo diferencias de opinión.•Entregar un plan de medidas correctivas con plazos de cumplimiento para llevar a cabo lasrecomendaciones acordadas en el informe de auditoría. También debería ser un elemento clave delPrograma de Mantenimiento de GCN.•Entregar un proceso de supervisión (además del Programa de Mantenimiento de GCN) paragarantizar que se lleva a cabo en los plazos acordados el plan de auditoría para corregir lasdeficiencias materiales.El proceso de garantía de GCN incluye:•Definir el grado de responsabilidad y autoridad de cada función•Definir los Indicadores Clave de Desempeño – Objetivos, mediciones y estándares•Definir los factores de éxito•Incorporar los Indicadores Clave de Desempeño en los contratos internos y externos así como en laevaluación anual•Evaluar y revisar el desempeño con respecto a los Indicadores Clave de Desempeño, los objetivos ylos estándares de la industria predefinidos.•Entregar un plan de medidas correctivas.

Los métodos para la auditoría deben ser determinados por los responsables de ella.La autoevaluación, o "supervisión de desempeño" llevada a cabo dentro del programa de GCN puederecurrir a indicadores de desempeño como:•Número de meses transcurridos desde el último ejercicio activo.•Número de asuntos pendientes que siguen sin resolverse desde el último ejercicio.•Grado en el que se ha completado la documentación del plan de Continuidad de Negocio.•Número de meses transcurridos desde el últimoAnálisis del Impacto en el Negocio.•Número de asuntos pendientes que siguen sin resolverse desde el último Análisis del Impacto en elNegocio.•Nueva aplicación de TI evaluada para su inclusión en los planes de Continuidad de Negocio.•Nuevo o modificado proceso de negocio evaluado para su inclusión en los planes de Continuidad deNegocio.•Adecuación/viabilidad de los datos dinámicos del Equipo de Recuperación como miembros delequipo, teléfonos de contacto, lista de proveedores, determinación de la estación de trabajo en elemplazamiento de recuperación.•Creación de un presupuesto de GCN para su puesta en marcha y mantenimiento.•Control presupuestario.•Cuadro de mandos de grado de cumplimiento de la autoevaluaciónLa evaluación cualitativa puede lograrse a través de:•Documentar el análisis y la revisión•Entrevistas con el personal, clientes, proveedores y demás partes interesadas.

�

�


98

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap

7. Resultados

8. Revisión

Una auditoría de GNC ofrecerá los siguientes resultados:•El informe de una auditoría de GNC independiente que haya recibido la conformidad y estératificado por la alta dirección•Un plan de acción correctivo que ha recibido la conformidad y está ratificado por la alta direcciónEl resultado de una puntuación deficiente será:

•Reconocimiento por el departamento de auditoría interna de que el Plan de Continuidad deNegocio es "inadecuado".

•Iniciar una revisión del plan de Continuidad de Negocio dirigida por un experto en la materia queayudará al equipo a mejorar su estado.El resultado de un proceso de autoevaluación puede ser:•Mejoras en la gestión del programa de GCN

La política acerca de la frecuencia de las auditorías debe estar claramente definida y estipulada en la"Política y Estándares deAuditoría" de la organización.

99

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

capINDICADORES CLAVE DE GCNEstos son los elementos clave de lo que se espera de una organización con una GCN madura1. La organización opera un programa de pruebas de GCN que afecta a todas sus operaciones denegocio2. Todos los planes han sido puestos a prueba recientemente y de forma realista3. Todo el personal ha participado recientemente de forma activa en ejercicios realistas4. Todas las ubicaciones para la recuperación de actividades y centros de mando han sido puestos aprueba recientemente y de forma realista5. Todos los sistemas críticos de recuperación han sido puestos a prueba recientemente y de formarealista6. Toda la recuperación crítica de telecomunicaciones (datos) ha sido puesta a prueba recientementey de forma realista7. Toda la recuperación crítica de telecomunicaciones (voz) ha sido puesta a prueba recientemente yde forma realista8. Toda la recopilación, recuperación y restauración de información han sido puestas a pruebarecientemente y de forma realista9. Todos los proveedores y empresas de servicio subcontratadas críticos han sido puestos a pruebarecientemente y de forma realista10. Todos los proveedores de servicios de recuperación han sido puestos a prueba recientemente y deforma realista11. Se ha ensayado recientemente y de forma realista la reubicación de toda la plantilla12. Los diversos planes de la organización se corresponden entre sí y han sido puestos a prueba juntospara garantizar que pueden ejecutarse sin dar lugar a omisiones o conflictos13. El programa de ejercicios de GCN de la organización:•A. Es coherente con el alcance de todos los planes y estrategias•B. Garantiza que cada componente de las capacidades para la Continuidad de Negocio de la

organización se revisa y ensaya de forma regular y es actualizado según un calendario determinado•C. Ofrecer una certeza objetiva de que todos los planes y estrategias funcionarán como previsto

cuando se necesiten•D. Garantiza que siempre que sea posible se utilizan escenarios realistas para las pruebas•E. Garantiza que se han comprobado todos los elementos y dependencias que existen en el plan y

que están relacionados entre sí•F. Garantiza que las pruebas reflejan una amplia gama de escenarios y posibles fallos

14. Se evalúa cada prueba del programa para garantizar que no expone a la organización a niveles deriesgo inaceptablemente más altos15. Cada prueba posee una magnitud y complejidad adecuadas para los objetivos de recuperación,perfil de riesgo y nivel de madurez de la GCN en la organización16. Cada prueba es realista, se planifica de forma cuidadosa y está acordada con las partesinteresadas17. Cada prueba posee objetivos y criterios de éxito claramente definidos que han sido autorizadospor la alta dirección18. Cada prueba genera un informe resumido y análisis posterior19. Cada ejercicio genera un informe posterior que contiene medidas correctivas y un calendariopara su puesta en marcha20. El programa de ejercicios incluye de forma específica:•A. Revisiones sobre el papel del contenido del plan•B. Pruebas o revisiones completas de escenarios sobre el papel•C. Pruebas de aumento de la gravedad del incidente y de convocatoria del personal•D. Pruebas con escenarios limitados, como por ejemplo de recuperación de tecnología•E. Pruebas de recuperación de unidades de negocio•F. Pruebas integrales de recuperación que involucren el desplazamiento de toda la ubicación

21. El programa de ejercicios se adecua de forma rigurosa a unos tiempos previamente fijados queestén acordes con la Política de GCN22. El programa de ejercicios es responsabilidad última de un miembro del equipo de alta dirección23. El programa de ejercicios posee un presupuesto aprobado propio y adecuado

100

PRO

BAR,

REV

ISAR

YM

AN

TEN

ERLO

SPR

EPARAT

IVO

SD

EG

CN

1 2

3 4

65

cap

24. La documentación del programa de ejercicios describe de forma clara su relación con otrosdocumentos importantes25. La organización lleva a cabo un programa de mantenimiento de GCN que engloba todos losaspectos de la GCN en todas las operaciones26. Todos los aspectos de la GCN en toda la organización están actualizados y reflejan los requisitosde la Política27. El proceso de mantenimiento de GNC está claramente definido y documentado y ofrece uncontrol de los cambios para todos los componentes de la GCN28. El proceso de mantenimiento de GNC:•A. Se adecua de forma rigurosa a unos tiempos previamente fijados•B. Es responsabilidad última de un miembro del equipo de alta dirección•C. Posee un presupuesto aprobado propio y adecuado

29. El proceso de mantenimiento de GNC está ratificado por la alta dirección30. El proceso de auditoría revisa de forma independiente y periódica la competencia para la GCN dela organización en nombre de la alta dirección para verificar su continua adecuación y efectividad31. La organización posee los procedimientos adecuados para subsanar las deficiencias relacionadascon la GCN identificadas en la auditoría.

101

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N

1 2 3 4 5 6capítulo

Incorporar la GCN en lacultura de la organización

102

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

Acerca del Capítulo 6 – Incorporar la GCN en la cultura de la organización

COMPONENTES DE LAETAPA6INCORPORAR LAGCN EN LACULTURADE LAORGANIZACIÓN

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posiblesimpactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponerde una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes ydemás partes interesadas, la reputación, la marca y las actividades creadoras de valor.Para tener éxito, la GCN tiene que ser una parte asumida dentro de la gestión normal del negocio, sinimportar el tamaño o sector de actividad. En todo momento del proceso de GCN existen lasoportunidades de introducir y mejorar la cultura de GCN en una organización.

1. PRINCIPIOS GENERALES2. EVALUAR ELNIVELDE CONCIENCIACIÓN Y FORMACIÓN EN GCN3. DESARROLLAR LAGCN DENTRO DE LACULTURADE LAORGANIZACIÓN4. SUPERVISAR ELCAMBIO CULTURAL

103

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

capINCORPORAR LAGCN EN LACULTURADE LAORGANIZACIÓN



La instauración de una Gestión de Continuidad de Negocio (GCN) dentro de la cultura de laorganización depende de su integración con la gestión diaria y estratégica de la organización y sucorrespondencia con las prioridades del negocio.Una cultura de GCN garantizará que una organización puede:•Desarrollar un programa de GCN de forma más eficiente•Inculcar confianza en personal y clientes en su capacidad para sobrellevar los trastornos•Mejorar su robustez con el paso del tiempo al asegurarse de que todas las decisiones en todos losniveles toman en cuenta las implicaciones para la GCN•Minimizar el impacto y la probabilidad de los trastornosEl proceso para desarrollar e incorporar de forma sostenida la GCN en la cultura de la organización esfruto de los siguientes tres pasos:1. Evaluar el actual nivel de concienciación y compromiso con la GCN con respecto al nivel deseado;identificar las "carencias de formación" que existen entre los dos2. Diseñar y realizar una campaña para crear una concienciación corporativa y desarrollar lashabilidades, conocimientos y compromiso necesarios para garantizar una exitosa Gestión deContinuidad de Negocio.3. Comprobar que la campaña de creación de concienciación ha logrado los resultados esperados ysupervisar la concienciación en GCN en el largo plazoTodo programa tiene una limitación en cuanto a su posibilidad para alterar la cultura de unaorganización. Además, los intentos por cambiar los comportamientos pueden tener efectosinesperados que pueden ser contrarios a los deseados.Algunos factores necesarios para el éxito:Obtener el apoyo visible y continuo de la alta dirección. Esto también significa contar con un

presupuesto adecuado que respalde la campaña de concienciación. También es importante lograr elcompromiso de los directivos y personal de operaciones que deberán poner en práctica la Gestión deContinuidad de Negocio.•Efectuar consultas a todos los involucrados en la GCN a la hora de desarrollar la campaña.Además deque ayudará a centrar mejor el esfuerzo de concienciación, las mismas consultas contribuirán amejorar el nivel de concienciación y servirán para crear un mejor compromiso con las nuevasprácticas laborales.•Centrarse en las prioridades de negocio de la organización. Relacionar el mensaje de la campaña confactores de interés para la corporación y personales ("¿Qué gano yo con esto?") permite justificar laGCN y las prácticas laborales que la sustentan.La campaña de concienciación y sus mensajes deberían estar adecuados a cada grupo objetivo deaudiencia. Estas audiencias son tanto internas, por ejemplo los que llevan a cabo la GCN y el personalen general, como externas, por ejemplo, proveedores, clientes y terceros que dependen de (opueden afectar de forma negativa a) la iniciativa de Gestión de Continuidad de Negocio de laorganización. La toma de concienciación por parte de actores externos es particularmenteimportante cuando la GCN opera en un entorno de subcontratación.La cultura de la organización se manifiesta en valores compartidos, normas de operación, estilos ypatrones de comportamiento. Se suele explicar como "la forma en la que aquí se hacen las cosas " o "loque tienes que hacer para llevarte bien".La experiencia demuestra que las iniciativas para cambiar los comportamientos no lograncompromisos a largo plazo si no abordan también las actitudes y creencias. Una creencia enparticular, la de "eso nunca me pasará a mí" es un obstáculo muy grande para la GCN. Para realmentecambiar los comportamientos es necesario influir en las actitudes. Para ello es necesario desarrollar yestablecer creencias. Por esta razón lograr un cambio cultural puede ser un proceso largo y sutil.Esta etapa describe el proceso para evaluar y mejorar el nivel de concienciación y la formación enGCN en la organización. Su estructura es por lo tanto diferente de la sección 10 de BS 25999-1 que secentra en definir los resultados de ese proceso.

�

104

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

EVALUAR ELNIVELDE CONCIENCIACIÓN Y FORMACIÓN EN GCN1. Introducción

2. Pasos previos

3 Propósito


5. Proceso

Requisitos

Antes de planificar y diseñar los componentes de una campaña de concienciación es importanteentender el nivel de concienciación que existe y cuál es el que se desearía obtener tras ofrecer laformación. También es importante determinar cómo se medirá el nivel deseable de concienciación yqué cambios propiciará la nueva cultura de GCN.El nivel de concienciación de la organización cambiará constantemente conforme llegue y se vaya elpersonal. Es posible que acontecimientos internos y externos contribuyan a mejorar de forma súbitala concienciación y entendimiento de las cuestiones relacionadas con la GCN. Pero también suelendesaparecer rápidamente, por lo que el programa de GCN debe estar listo para aprovechar ydesarrollar estas oportunidades en caso de que se produzcan.Se debe estudiar la posibilidad de ampliar el alcance del nivel de concienciación acerca del programade GCN a los proveedores, clientes y demás partes interesadas relacionadas con la organización.

La Política de GCN ofrecer el marco en el que reposa la necesidad de un cambio cultural.

El propósito de esta actividad es evaluar los niveles actuales y deseables de nivel de concienciaciónde GCN, definir qué áreas debe cubrir la campaña de concienciación y de qué forma más efectiva sepuede llevar a cabo.

Una auditoría del actual nivel de concienciación en GCN debería tratar de establecer el nivel deconocimiento y compromiso con la GCN. Se determinará principalmente por los comportamientos,pero existen otras formas de determinarlo dentro de la organización.Aquellos responsables de evaluar el nivel de concienciación deberían disponer de un buenentendimiento del negocio y de los objetivos de la GCN. También deberían ser capaces de convocaraquellos que tengan un nivel adecuado de competencias en formación y actividades deconcienciación, además de habilidades para diagnosticar situaciones y buen trato con las personas.Al igual que en otras etapas de la campaña de concienciación, esta actividad exige que se consulte yse busque la colaboración de personal de toda la organización, desde la alta dirección hasta elpersonal que no tenga atribuidas funciones específicas en la GCN, pero que tenga que demostrarresponsabilidad en general de "cumplir su papel" en la GCN. Desde el principio la alta direccióndebería ofrecer su apoyo para el trabajo de concienciación, tanto en términos de recursos materialescomo en compromiso con la misión.

La evaluación del nivel de concienciación es en realidad unAnálisis de las Necesidades de Formación yabarca tres tareas:1. Establecer el actual nivel de concienciación en GCN2. Especificar el nivel deseado de concienciación o formación, y cómo serán medidos3. Identificar la naturaleza y alcance de las "deficiencias de formación" que la campaña deberásubsanar

Las habilidades específicas necesarias del personal encargado de GCN incluyen:•Gestión del programa•Análisis del Impacto en el Negocio•Desarrollar y poner en marcha los planes de Continuidad de Negocio•Llevar a cabo un programa de ejerciciosSe debe impartir una formación más genérica en cuestiones relacionadas con la GCN para que, porejemplo, el personal involucrado en el programa pueda:•Conocer las tendencias y nuevos desarrollos en el tema•Explorar las posibilidades y problemas de las nuevas tecnologías•Saber cómo otras organizaciones están enfrentando retos similaresEs posible que se necesiten otras habilidades para responder a incidentes, como:•Evacuación por incendio•Limitación de daños•Rescate y evaluación de daños

105

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap•Restauración de los equipos•LiderazgoLa campaña para la concienciación del personal en general puede tratar acerca de:•Cómo dar la alarma•Responder a amenazas específicas•Qué hacer en caso de evacuación•Conocimiento de los planes de recuperación•Integrar el nivel básico de concienciación en los programas de formación de personal recién llegado

Esta actividad es un ejercicio de recolección de información. El objetivo es establecer indicadoresestadísticos de cualquier deficiencia en concienciación y una evaluación del nivel de entendimiento ycompromiso con la GCN para el personal al que se quiere llegar.Entre las fuentes de información deberían figurar:•Documentación: revisar la política y procedimientos corporativos, los informes de respuestas aincidentes y crisis, los documentos acerca de pruebas y ejercicios de GCN realizados anteriormente omediciones importantes de los sistemas de TI y de negocio•Comentarios personales: realizar entrevistas con altos directivos y ejecutivos, llevar a caboentrevistas de grupo (focus groups) con responsables de la GCN y usuarios finales•Observación: realizar revisiones en el puesto de trabajo acerca de las prácticas laborales actuales(para, por ejemplo, compararlas con la política de la organización)

Se trata de especificar qué indicadores de comportamientos y sus resultados correspondientesservirán para confirmar que cada grupo objetivo del personal ha alcanzado un nivel satisfactorio encuanto al nivel de concienciación de GCN. Estas especificaciones deberán ser acordadas junto con laalta dirección (en lo que se refiere a la correspondencia entre los resultados corporativos y la GCN) ycon los responsables de llevar a cabo la GCN (para determinar si son factibles y se pueden integrar conlas prácticas laborales).Las especificaciones dependerán del alcance y naturaleza del negocio, sus necesidades de GCN, perotambién pueden tener en cuenta:•Habilidades específicas necesarias para la respuesta de la GCN frente a posibles trastornos•Prácticas laborales mejoradas que apoyan el desarrollo de la GCN•Una mejor comprensión y apoyo real por parte de la plantilla en general de las cuestionesrelacionadas con la GCN•Un mayor protagonismo de la GCN en las decisiones, política y cultura de la organización

Esta tarea obliga a comparar los resultados de los pasos 1 y 2 descritos anteriormente. Se debeidentificar la naturaleza y alcance de las deficiencias de formación, tanto en términos de los temasde GCN que la campaña deberá abordar, como en la cuestión de la forma más efectiva pararesolverlas - campañas de educación (información), formación (habilidades) o concienciación(entendimiento y compromiso con la GCN).La concienciación del personal puede determinarse en uno de cuatro niveles:•La incompetencia inconsciente se define como la condición en la que el personal no es consciente delas cuestiones relativas a la GCN. Desconocen lo que no saben.•La incompetencia consciente se define como la condición en la que el personal es consciente de laGCN en términos generales, pero sabe poco acerca de sus necesidades detalladas.•La competencia consciente se define como la condición en la que el personal es consciente de laGCN y es efectivo (por ejemplo siguiendo los procedimientos documentados) en su mantenimiento•La competencia inconsciente se define como la condición en la que el personal se muestracompletamente competente en la aplicación de la GCN en numerosas circunstancias.

6. Métodos y técnicasDeterminar el actual nivel de concienciación en GCN

Especificar el nivel deseado de concienciación y de qué forma se medirá

Identificar la naturaleza y alcance de las "deficiencias de formación" que la campaña debe subsanar

106

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

7. Resultados

8. Revisión

Los resultados de la evaluación de concienciación deberían incluir:•Una declaración del actual nivel de concienciación y efectividad del personal para apoyar la GCN•Una declaración del nivel deseable de concienciación y cómo se medirá•Una definición de las deficiencias de formación, incluyendo los temas de GCN que requieren demayor concienciación, la actitud del personal frente a la GCN - ayudará a definir el mensaje generalde la campaña de concienciación - y el nivel de competencia que ha demostrado cada grupo objetivo.

La evaluación del nivel de concienciación debe realizarse al inicio de la campaña de concienciación,de nuevo después de que la campaña ha alcanzado su supuesta mayor efectividad, y por último deforma periódica como una herramienta de supervisión.De forma adicional es posible que se necesiten evaluaciones suplementarias del nivel deconcienciación como respuesta a cambios en:•Los procesos del negocio que afectan a las prioridades de GCN•La legislación que afecta a los requisitos de GCN•Los riesgos para la GCN, entre ellos amenazas para la seguridad y otros riesgos relacionados con elnegocio•Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de información yservicios, entre ellos las mejores prácticas aceptadas por la industria como BS25999 y ISO27001.

107

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

capDESARROLLAR LAGCN DENTRO DE LACULTURADE LAORGANIZACIÓN1. Introducción

2. Pasos previos

3. Propósito


5. Proceso

Diseño

Las actividades de las que se disponen para influir sobre la cultura son:•Formación - Habilidades específicas relacionadas con la GCN•Educación - Conocimientos generales de la GCN•Concienciación - Conocimientos específicos acerca de cuestiones relativas a la GCNEl diseño y la entrega de éstas suponen tres actividades principales:•Diseño•Planificación de entrega•Entrega

La Política de GCN ofrece el marco en el que se basan las necesidades y requisitos para el cambiocultural. Dentro de la cultura de GCN y la actividad de concienciación, el diseño y la entrega de laeducación, formación y concienciación deben derivarse del Análisis de Necesidades de Formación(ver paso anterior).Antes de diseñar el programa, se tienen que asignar las responsabilidades dentro del programa deGCN.

El propósito de esta actividad es definir los mensajes de GCN que tiene que asimilar el personal yelegir los medios más efectivos para entregar esos mensajes.

La educación, formación y concienciación puede ofrecerse de muchas maneras; para el éxito de unacampaña de concienciación, es crítico que se elijan los métodos más adecuados y efectivos.La planificación y diseño de la campaña deberían ser jerárquicos, empezando por los objetivosderivados de la definición de las deficiencias de formación y sus características. Los puntos a enseñardeberían identificarse por las cuestiones de conocimiento, habilidades y concienciación que elpersonal tiene que asimilar para eliminar esas deficiencias.Puede que el personal que no tenga una responsabilidad particular en la GCN sólo necesiteconcienciación, o un nivel determinado de competencia para llevar a cabo esas tareas relacionadascon la GCN. No obstante, los responsables de la GCN deberían recibir un curso de formaciónestructurado que les inculque conocimientos, habilidades y finalmente incluya competencias en GCNmediante oportunidades para poner sus habilidades en práctica.La alta dirección debe entender desde el principio el esfuerzo que supone la campaña y su coste.También se debe tomar en cuenta la disponibilidad de personal para acudir a los cursos de formacióna la hora de planificar la estrategia y el calendario.

•Diseñar y ofrecer educación, formación y concienciación se divide en tres actividades:•Diseño•PlanificaciónEntrega

En un primer momento el diseño global puede ser elevar el grado de concienciación general acerca dela GCN, de tal manera que se motive al personal para recibir formación o cursos de ese tipo en los quese impartirá información clave.Después de los cursos formales, se debería ofrecer más información y oportunidades para aprender através de, por ejemplo, artículos en boletines corporativos y la intranet, grupos de discusión y otrasactividades.Al diseñar la campaña se deben realizar las siguientes tareas:•Identificar las audiencias a las que va dirigida la campaña, y las cuestiones clave de educación,formación y concienciación que tienen que ofrecer•Clasificar por orden de importancia los temas de enseñanza relativos a las cuestiones de educación,formación y concienciación de GCN•Elegir el orden y los métodos de entrega adecuados para los temas de enseñanza

108

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

Planificación

Entrega


Se ha elegido deliberadamente la palabra "campaña" para enfatizar su importancia: lograr un cambiocultural requerirá un punto de vista de largo plazo. La planificación de la entrega debe tomar encuenta las formas más efectivas en términos de costes y conocer la disponibilidad del personal y susprácticas laborales. También debería estudiar la posibilidad de dar publicidad a la campaña en símisma para dar impulso a la labor de concienciación.Las principales actividades de esta tarea son:•La alta dirección debe discutir y aprobar la campaña propuesta•Probar los elementos claves de la campaña con un número reducido de grupos de directivos yempleados staff y definir los criterios de éxito•Planificar la integración del mensaje de la GCN con inducción y formación de refresco, además de suinclusión en la formación de otros empleados•Probar con un número reducido las evaluaciones de los cursos de formación propuestos

La estrategia elegida para la educación, formación y concienciación depende de las circunstanciasindividuales; por lo tanto éstas son las únicas recomendaciones generales que se pueden dar para unacampaña de educación, formación y concienciación:•La campaña debería mejorar la concienciación acerca de cuestiones relacionadas con GCN para laorganización y el empleado. En los papeles y cursos de formación debería quedar claro que la altadirección apoya la campaña.•Los cursos formales de formación sólo deberán ser ofrecidos cuando exista la evidencia de queexiste una concienciación acerca de las cuestiones. Se deberá evaluar la asimilación de losconocimientos o habilidades que ofrece la formación y se deberá corregir cualquier deficiencia.•Una vez realizados los cursos de formación, se debe hacer un nuevo esfuerzo de educación,formación y concienciación para garantizar que el personal sigue consciente de las continuas (ycambiantes) necesidades que impone la GCN.

Existen muchas teorías acercan de cómo aprenden los adultos y otras tantas numerosas estrategiaspara ponerlas en práctica. Los responsables de la GCN ofrecerán los contenidos de la formación, perodeberían trabajar expertos en formación para desarrollar la estrategia y poner en marcha lacampaña.Es importante reconocer que el nivel de concienciación no se limita a la formación y que necesita quela cuestión, en este caso la GCN, esté integrada dentro de las prácticas laborales. Por esto se debenbuscar oportunidades para incluir la GCN “en la agenda” cuando sea posible. A continuación sedetallan algunos ejemplos.Recursos para la información:•Sitios de Internet dedicados a GCN•Libros y publicaciones•Conferencias y seminariosRecursos para la formación:•Cursos externos de formación certificados•Programas académicos formales•Grupos de trabajo y forums regionales del BCI•Grupos de trabajo sectoriales•Formación interna, con cursos específicos de inducción o de actualización•Cursos a distancia (vídeos, lecturas)•Organismos de certificación•Ejercicios de GCN y gestión de incidentes (internos o externos)Recursos para la concienciación:•Documentos informativos•Revistas corporativas, boletines, artículos en la revista de la empresa•Visitas a los emplazamientos de reinicio de actividades y centros de gestión de incidentes•Información en la Intranet•Hacer ejercicios, ensayos y pruebas de los planes de GCN de la organización•Profesionales de la GCN dentro de la organización

109

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap•Bonos e incentivos obtenidos a través del sistema de evaluación de desempeño•Participación en ejercicios de GCN o acontecimientos reales sucedidos en otra organización•Inclusión de los objetivos relacionados con la GCN en los mecanismos de medición de resultados dela organización

La campaña incluye un abanico de cursos, formación directa, educación a distancia, eventos deconcienciación y la promoción de las cuestiones relativas a la GCN en las prácticas laborales. Quedaclaro que la naturaleza y alcance de estas técnicas dependerá de las metas específicas de la campañaen cuanto al nivel de concienciación de GCN.Algunos posibles resultados de la campaña serían:•Una mayor concienciación general acerca de la necesidad de GCN•Creación de una concienciación acerca de los riesgos de GCN para la organización y de lasprioridades del negocio•Identificación de una visión aceptable de GCN que puede integrarse en las prácticas laborales•Mejor efectividad a la hora de realizar tareas específicas de la GCN•Respuestas más efectivas a incidentes que afecten a la continuidad del negocio•Mayores exigencias por parte de los responsables de GCN, como por ejemplo que los responsables denegocio demuestren una mayor preocupación por la GCN

La formación debería impartirse como parte de los cursos de iniciación del personal, además de serrevisada y de nuevo impartida en respuesta a cambios en:•Las actividades de negocio que afectan a las prioridades de GCN•La legislación que afecta a las necesidades de GCN•Los riesgos para la GCN, entre ellos las amenazas y vulnerabilidades a la seguridad y otros riesgosrelacionados con el negocio•Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de información yservicios, entre ellos las mejores prácticas aceptadas por la industria como BS 25999-1 e ISO17799.

7. Resultados

8. Revisión

110

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

SUPERVISAR ELCAMBIO CULTURAL1. Introducción

2. Pasos previos

3. Propósito


5. Proceso


Está claro que tanto el resultado general de la campaña como de sus componentes específicos debeser revisado para mejorar continuamente la relevancia y efectividad del trabajo realizado.La campaña de concienciación debe ser considerada una tarea constante y se debe realizar revisionesperiódicas para comprobar el grado de concienciación e identificar cualquier iniciativa necesariapara mantenerlo en niveles aceptables.

La Política de GCN brinda el marco en el que se apoya la necesidad de un cambio cultural. En el marcode la cultura de GCN y las actividades de concienciación, el mantenimiento y mejora de las iniciativasde educación, formación y concienciación debe ser fruto de la comparación con los objetivosoriginales determinados por la evaluación del grado de concienciación y el análisis de las necesidadesde formación.

El propósito de evaluación de la educación, formación y grado de concienciación es mantener lacalidad y efectividad de una campaña, garantizar su correspondencia con los aspectos corporativos,sectoriales y otras cuestiones pertinentes de la GCN y asegurar que se logra el nivel de concienciaciónnecesario para la GCN.

La efectividad de la formación y concienciación puede medirse de muchas maneras: mejordesempeño de las personas, mayores estándares en toda la organización, mayor énfasis en la GCNdentro de la cultura corporativa.Como sucede con toda investigación, hay que tener cuidado de hacer las preguntas adecuadas paralograr respuestas relevantes, interpretar los datos de forma correcta y mantenerse alerta de aquellascuestiones que no formen parte del programa central de formación que sean relevantes para lacultura de GCN.

•Solicitar y recopilar las reacciones a ciertos cursos de formación. Mientras que algunos habrántenido éxito y otros menos, es importante buscar las tendencias subyacentes – por ejemplo puedehaber ciertos módulos dentro de un curso de formación que reciben críticas constantes.•Supervisar la efectividad. Si bien las reacciones de corto plazo pueden aportar información acercade los componentes de una campaña y permitir su mejora, es más importante fijarse en los efectos delargo plazo de la campaña, que se manifestarán de forma menos reconocible (por ejemplo, a travésde una mayor concienciación). A pesar de ello, la efectividad de la campaña debería ser cuantificadaen términos de mejoras en el negocio y resultados financieros.•Comprobar de forma periódica el nivel de concienciación. La alta dirección debe entender que deforma regular (anual) se necesitará un presupuesto para ejercicios de evaluación y la posible acciónque se derive de ellos.

La evaluación puede realizarse de muchas formas. Una valoración efectiva combinara varios métodosde corto y largo plazo, que revisarán tanto la forma como el contenido de la campaña en sí misma ysus efectos en la GCN dentro de la organización.Cuando sea posible los resultados de la evaluación deberían expresarse en términos de los beneficiosque la campaña aporta al negocio.De forma más específica, la evaluación de las clases de formación puede incluir discusiones, tests opequeños exámenes durante el curso para comprobar y ajustar los métodos de enseñanza "en plenovuelo". Se pueden distribuir formularios de evaluación de los cursos para mejorar continuamente laestructura de las clases y su contenido. La evaluación de un curso debe basarse en varias tandassucesivas de valoraciones, y no en sólo una.

7. Resultados

8. Revisión

Los resultados de la formación y de la revisión de la campaña deberían incluir una serie de informespara diferentes niveles dentro de la organización. Entre ellos deben figurar la alta dirección, losdirectores importantes y los responsables de GCN, además de los encargados de ofrecer la formación.Los resultados de la evaluación de la campaña deberían ser comunicados al personal a través de loscanales corporativos y pueden incluir:Identificación de necesidades adicionales de formación yconcienciación•Identificación de oportunidades de desarrollo profesional para los encargados de la GCN•Mejorías en las prácticas laborales

Se debe realizar una evaluación de la campaña tanto durante como después de que se haya llevado acabo la mayor parte de ella, para permitir una readecuación de la estrategia y para asegurar que lacampaña ha logrado su objetivo general de eliminar las deficiencias en la formación identificadas enla evaluación inicial de los niveles de concienciación. De forma regular se debería efectuar unarevisión de los niveles de concienciación y resolver cualquier deficiencia encontrada.

111

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

112

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

APÉNDICE - Mapa de habilidades profesionales

Comprender la organización

Determinar la estrategia de Continuidad de Negocio

Desarrollar y poner en marcha una respuesta de GCNPlan de Gestión de Incidentes

Este es un mapa de los Estándares de Certificación de BCI/DRII en las seis etapas del Manual de BuenasPrácticas para indicar qué habilidades son necesarias en cada etapa. Algunas habilidades se aplican amás de una etapa.Gestión del Programa de Continuidad de Negocio•1.A.1Ayudar a los responsables en la definición de objetivos, políticas y factores críticos de éxito•Alcance y objetivos•Causas legales y obligaciones•Casos prácticos y buenas prácticas sectoriales

•1.A.2. Coordinar y organizar/gestionar el inicio del proceso general de GCN•Con la ayuda de un comité de dirección y un equipo gestor del proyecto.

•1.A.3 Supervisar el proceso de GCN a través de métodos efectivos de control y gestión de cambios•1.A.4. Presentar (vender) el proceso a la dirección y personal•1.A.5 Desarrollar un presupuesto para iniciar el proceso•1.A.6 Definir y recomendar una estructura y dirección para la GCN•1.A.7 Desarrollar y poner en marcha el proceso de GCN

•2.A.1 Identificar a los responsables con conocimientos de cada área para el proceso de Análisis deImpacto en el Negocio (AIN)•2.A.2 Identificar las funciones de la organización, sin olvidar la información y recursos (personas,tecnología, instalaciones,... etc)•2.A.3 Identificar y definir los criterios críticos•2.A.4 Lograr la aprobación de la dirección para los criterios definidos•2.A.5 Coordinar el análisis•2.A.6 Identificar las interdependencias (internas y externas a la organización)•2.A.7 Definir los objetivos de recuperación y plazos de cumplimiento•2.A.8 Definir el formato de los informes•2.A.9 Preparar y presentar a la dirección elAIN acordado•3.A.1 Identificar los posibles riesgos para la organización

•3.A.1.a Probabilidad•3.A.1.b Consecuencias/impacto/gravedad

•3.A.2 Comprender la función de la reducción de riesgos dentro de la organización•3.A.3 Identificar las necesidades de asesoramiento externo•3.A.4 Identificar los niveles de exposición•3.A.5 Identificar las alternativas para reducción de riesgos•3.A.6 Confirmar con la dirección para determinar los niveles de riesgo aceptables•3.A.7 Documentar y presentar los resultados

•4.A.1 Conocer las alternativas disponibles y sus ventajas, inconvenientes y costes, incluir lareducción de riesgos como una estrategia de recuperación•4.A.2 Identificar las estrategias de recuperación viables para las áreas de negocio•4.A.3 Consolidar las estrategias•4.A.4 Identificar las necesidades de emplazamientos externos e instalaciones alternativas•4.A.5 Desarrollar las estrategias para las unidades de negocio•4.A.6 Lograr el compromiso de la dirección para las estrategias desarrolladas

•9.A.1 Establecer programas para la comunicación proactiva de crisis•9.A.2 Coordinar la comunicación necesaria ante las crisis con los organismos externos (autoridadeslocales y nacionales, servicios de emergencia,... etc.)•9.A.3 Establecer mecanismos de comunicación esencial ante las crisis con proveedores, clientes ydemás partes directamente afectadas•9.A.4 Establecer planes de comunicación con los medios para la organización y sus unidades denegocio. Hacer pruebas.

Plan de Continuidad de Negocio

Pruebas, mantenimiento y revisión

Integrar la GCN en la cultura de la organización

•6.A.1 Identificar los componentes del proceso de planificación••6.A.1.a Metodología para la planificación•6.A.1.b Organización del plan•6.A.1.c Dirección de esfuerzos•6.A.1.d Necesidad de personal

•6.A.2 Controlar el proceso de planificación y redactar los planes•6.A.3 Implantar los planes•6.A.4 Probar los planes•6.A.5 Mantener los planes•5.A.5 Identificar las necesidades de dirección y control para la gestión de una emergencia•5.A.6 Recomendar el desarrollo de los procedimientos de dirección y control para definir funciones,autoridad y procesos de comunicación para gestionar una emergencia•10.A.1 Identificar y establecer procedimientos de enlace para la gestión de emergencias•10.A.2 Coordinar la gestión de emergencias con los organismos externos•10.A.3 Mantener actualizado el conocimiento en leyes y normas relativas a gestión de emergenciascomo si fueran dictadas por la propia organización•5.A.1 Identificar los posibles tipos de emergencias y las respuestas necesarias (por ejemplo,incendio, fuga de materiales peligrosos, problemas médicos)•5.A.2 Identificar la existencia de procedimientos adecuados para la respuesta a emergencias•5.A.3 Recomendar el desarrollo de procedimientos para emergencia allí donde no existan•5.A.4 Integrar los procedimientos para recuperación de desastres/Continuidad de Negocio/Gestiónde crisis con los procedimientos relativos a respuesta a emergencias e intensificación de riesgos•5.A.7 Garantizar que los procedimientos de respuesta a emergencias están integrados con lasobligaciones de las autoridades (mirar también el tema 10, Coordinación con organismos externos)

•8.A.1 Planificar previamente y coordinar las pruebas•8.A.2 Facilitar las pruebas•8.A.3 Evaluar y documentar los resultados de las pruebas•8.A.4Actualizar los planes•8.A.5 Informar de los resultados y evaluaciones a la dirección•8.A.6 Coordinar el mantenimiento constante de los planes•8.A.7Ayudar a establecer un programa de auditorías para los planes

•7.A.1 Establecer los objetivos y componentes del programa de formación y concienciación de GCN•7.A.2 Identificar las necesidades prácticas para la concienciación y formación•7.A.3 Desarrollar la metodología para la concienciación y formación•7.A.4Adquirir o desarrollar las herramientas para la concienciación y formación•7.A.5 Identificar las oportunidades de concienciación y formación externas•7.A.6 Identificar las opciones alternativas para la concienciación y formación de la organización.

113

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

114

INCO

RPO

RAR

LAG

CN

ENLA

CU

LTU

RA

DE

LAO

RG

AN

IZACIÓ

N1 2

3 4

56

cap

INDICADORES CLAVE DE GCNEstos son los elementos clave de lo que se espera de una organización con una GCN madura1. La organización lleva a cabo un programa formal y reconocido de concienciación para la GCN2. El programa de concienciación es responsabilidad de un integrante del equipo de alta dirección3. El programa de concienciación está dotado de un presupuesto adecuado y aprobado expresamentepara ese propósito4. La organización posee una evaluación actualizada y precisa acerca del nivel de concienciación deGCN en todo su personal5. El programa de concienciación resulta efectivo para integrar la GCN en la cultura de laorganización6. Todo el personal de GCN ha recibido la formación adecuada7. Todo el personal no dedicado a la GCN posee las habilidades necesarias para desempeñar susfunciones preestablecidas para responder a un incidente y reestablecer el negocio8. Todos los proveedores y empresas subcontratadas considerados críticos llevan a cabo lasactividades de concienciación para la GCN9. La efectividad de toda la actividad de concienciación de GCN se comunica formalmente a la altadirección10. El equipo de GCN se muestra proactivo a la hora de obtener información externa relativa a la GCN11. El programa de concienciación cumple un calendario previamente acordado12. El programa de concienciación de la organización contiene actividades planificadasA. Que evalúan de forma precisa las necesidades actuales de concienciación de la organizaciónB. Que organizan y ofrecen la formación adecuada de GCN para todo el personalC. Que integran de forma fehaciente la continuidad de negocio en la organizaciónD. Que verifican realmente que todo el personal de GCN ha recibido la formación adecuada13. La documentación del programa de concienciación de GCN en la organización

•A. Describe de forma clara su relación con los demás documentos relevantes• B. Está totalmente actualizada y refleja las necesidades de la organización• C. Está sujeta a un control sistemático de sus versiones y distribución

14. El programa de concienciación de GCN•A. Toma totalmente en cuenta la política de GCN y cumple con todos sus requisitos• B. Se revisa al menos una vez al año para verificar que cumple el programa y política de GCN• C. Se revisa formalmente después de cualquier cambio importante en el negocio• D. Está formalmente ratificado por la alta dirección• E. Cumple con todas las obligaciones legales.

ANOTACIONES

buenas practicas continuidad negocio 2007 bci

Documents