Download - Guia Continuidad Negocios

Una guía de gestión para la Implementación deBuenas Prácticas en la Gestión de la Continuidad del Negocio

GUía de BUeNas PráCtICas 2010The Business Continuity Institute

edición Global

isto

ckph

otos

.com

/lor

rain

edar

ke

Versión al español realizada por

Con el apoyo de

© Copyright the Business Continuity Institute. Cualquier reproducción o distribución de la Guía de Buenas Prácticas está prohibida sin el permiso expreso y por escrito de the Business Continuity Institute. Todo el contenido, a menos que se indique lo contrario es de the Business Continuity Institute. Todas las referencias a la Guía de Buenas Prácticas deben acreditar the Business Continuity Institute.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [I]

Contenido

Agradecimientos .................................................................................................................................................................................................................................... 1

Calificaciones Profesionales del BCI ............................................................................................................................................................................ 1Introducción a la Guía ....................................................................................................................................................................................................................2

Que es la Gestión de Continuidad del Negocio?Porque tenemos la Guía de Buenas Prácticas GBP? .....................................................................................................................

GCN Tendencias y Observaciones................................................................................................................................................................................. 4No es sólo para incidentes físicos de gran impacto y baja probabilidadDiversos orígenes de prácticaQue habilidades requiere el profesional de GCN?GCN: Integrada o Centralizada? Un gestor dedicado a la GCN no es el único modelo

La GCN en Contexto .......................................................................................................................................................................................................................5La GCN no es . . .La GCN es . . .La GCN y la Resiliencia del NegocioLa GCN y la Gestión de RiesgosLa GCN y la Gestión de Crisis

La GCN, Estándares y Cumplimiento .........................................................................................................................................................................7Qué ha cambiado desde la versión inicial?

Quién debe leer esta Guía? .................................................................................................................................................................................................... 8

Orígenes de la Gestión de Continuidad del Negocio .......................................................................................................................... 9

Glosario de Términos .................................................................................................................................................................................................................... 11

Guía de Buenas Prácticas 2010 ...................................................................................................................................................................................... 16

Contenidos

[II] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN – Gestión de las Prácticas Profesionales

01 Política y Gestión del ProgramaCiclo de Vida GCN .......................................................................................................................................................................................................................... 20

Visión de la Gestión de la Política y el Programa................................................................................................................................... 21alineación de la Política de la GCN a la Cultura Organizacional ................................................................................................................22

alcance del programa de la GCN y determinación de sus alternativas ................................................................................................23

desarrollo de la Política de GCN ...........................................................................................................................................................................................26

actividades externalizadas ......................................................................................................................................................................................................... 27

revisión del Programa de Gestión de la GCN .............................................................................................................................................................28

asignación de responsabilidades ..........................................................................................................................................................................................29

Implementación de la GCN en la Organización ........................................................................................................................................................30

Gestión de Proyectos .......................................................................................................................................................................................................................31

Gestión en Curso de la Continuidad del Negocio .................................................................................................................................................... 32

documentación de la GCN.........................................................................................................................................................................................................33

02 Integrar la Gestión de la Continuidad del Negocio en la Cultura OrganizacionalIntegrar la GCN en la Cultura de la Organización ................................................................................................................................37

Visión de la Integración de la GCN en la cultura de la Organización ......................................................................................................40

desarrollo de la GCN dentro de la Cultura de la Organización ....................................................................................................................42

Monitorización del Cambio Cultural ..................................................................................................................................... 44

Logro del Cambio Cultural a través de sistemas de Gestión de Normas .............................................................................................45

Contenidos

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [III]

GCN – Técnicas de las Prácticas Profesionales

03 Entendimiento de la OrganizaciónEntendimiento de la Organización ............................................................................................................................................................................47

análisis de Impacto en el Negocio .......................................................................................................................................................................................48

análisis de requerimientos de Continuidad ................................................................................................................................................................. 52

evaluación de amenazas a través del análisis de riesgo ...................................................................................................................................53

04 Determinar la Estrategia de Continuidad del NegocioDeterminar la Estrategia de Continuidad del Negocio ..................................................................................................................57

Identificación y selección de estrategias ........................................................................................................................................................................58

Identificación y selección de respuestas tácticas....................................................................................................................................................61

Consolidación de Niveles de recursos ..............................................................................................................................................................................64

05 Desarrollar e Implementar una Respuesta de la GCNDesarrollar e Implementar una Respuesta de la GCN ....................................................................................................................67

estructura de respuesta ante un Incidente ..................................................................................................................................................................69

desarrollo y Gestión de Planes ................................................................................................................................................................................................71

Planes estratégicos ........................................................................................................................................................................................................................... 76

Planes tácticos ...................................................................................................................................................................................................................................... 78

Planes Operativos .............................................................................................................................................................................................................................. 79

06 Ejercitar, Mantener y Revisar la GCNEjercitar, Mantener y Revisar la GCN ....................................................................................................................................................................83

desarrollar un programa de ejercicios ..............................................................................................................................................................................84

ejercitar las actividades de la GCN ......................................................................................................................................................................................87

Mantenimiento de los Planes de la GCN ........................................................................................................................................................................89

revisión y auditoría de los Planes de la GCN .............................................................................................................................................................90

Información de ApoyoANEXO 1 .......................................................................................................................................................................................................................................................95

Consejos para la selección adecuada de Opciones tácticas de recuperación

ANEXO 2 ...................................................................................................................................................................................................................................................101Consejos para la selección de Medidas alternas para la Mitigación de riesgos

Contenidos

[1] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Agradecimientosestas guías reflejan la considerable experiencia académica, técnica y práctica de los integrantes del Business Continuity Institute - practicantes senior quienes han desarrollado y estructurado el concepto de la Continuidad del Negocio internacionalmente.

Las Guías de Buenas Prácticas (GBP) 2010 están encaminadas para ser utilizadas por practicantes, consultores, auditores y reguladores que posean un conocimiento racional sobre la Gestión de la Continuidad del Negocio GCN y sus principios básicos. Las guías no pretenden servir como guía de principiantes; sin embargo, proveen material excelente para quienes desean convertirse en practicantes certificados en GCN por medio del modelo de examen CBCI. Quien ingresa a la disciplina debe también trabajar junto con un practicante experto o atender un programa adecuado de capacitación.

el trabajo en la GBP 2010 se inició en febrero de 2009 con la conformación de un equipo de trabajo y el encuentro de líderes de grupos individuales. Los borradores iniciales se produjeron en septiembre de 2009 con revisiones entre los colegas, amplia consulta y evaluaciones durante los meses de Octubre y Noviembre. Las versiones finales consolidadas fueron acordadas por el editor en Jefe durante diciembre de 2009 y enviadas para su revisión y aprobación por el Grupo de análisis de Calidad del Concejo de Miembros del BCI en enero de 2010. La planificación del diseño final del trabajo, su publicación y lanzamiento tuvo lugar durante los meses de Febrero y Marzo de 2010.

el equipo del proyecto estuvo integrado por:editor en Jefe: Lyndon Bird FBCIrevisores jefes: Ian Charters FBCI, Mel Gosling MBCILíder del equipo de aseguramiento de Calidad: Lesley Grimes MBCIsecretaría del Comité: Jan Gilbertsoporte editorial: Lee Glendonsoporte al Glosario: Mark Pemberty FBCILíderes del Grupo de Práctica: Ian Charters FBCI, steven Cvetkovic sBCI, Mel Gosling MBCI, angela Hobley MBCI, Odile Nectoux aMBCI, anton Wroblewski MBCI.

adicional a los anteriores, el siguiente equipo de miembros del BCI y su grupo de trabajo, aportaron su tiempo y rigor intelectual para dirigir revisiones exhaustivas, sugerir mejoras y realizar pruebas de lectura. sin su apoyo habríamos tenido un documento mucho menos comprensible.

Howard Booth MBCI, stacey Farrow MBCI, debbie Featherstone aMBCI, achilles Figueiredo aMBCI, Ulysses Figueiredo MBCI, Ian Griffiths MBCI, Nic Handy MBCI, Gayle Hedgecock MBCI, Mike Hill FBCI, doug Kettle MBCI, Penny Killow MBCI, david Lightfoot MBCI, Jorge Lozano MBCI, James Mcalister MBCI, Charlie Maclean-Bristol MBCI, dominic Marino aMBCI, Margaret Millet MBCI, sarah Morgan MBCI, Norman Powell MBCI, Marie-Hélène Primeau MBCI, Clifford seow MBCI, Brigitte theuma MBCI, Pauline Wilson MBCI y John Worthington MBCI.

el Business Continuity Institute agradece el tiempo y experiencia otorgados de manera voluntaria por todas las personas relacionadas anteriormente para el desarrollo de las Guías de Buenas Prácticas para el beneficio del BCI y de la industria de la continuidad del negocio. todos quienes contribuyeron al desarrollo de las Guías han acordado que no tienen derechos de autor o derechos sobre IP para el material, el cual queda como propiedad del Business Continuity Institute. el diagrama del Ciclo de Vida de la GCN y algunos términos del glosario se utilizan agradeciendo al British standards Institute.

Calificaciones Profesionales del BCI aquellos individuos que deseen convertirse en profesionales miembros del BCI, requieren demostrar competencias en las seis prácticas profesionales. el examen CBCI probará el conocimiento en la materia de las GBP 2010, a lo largo de las seis áreas. Las preguntas se basan en el contenido de la guía. Los candidatos que tengan éxito serán acreditados con la aprobación o aprobación con merito.

Para quienes desean avanzar a niveles profesionales de práctica (AMBCI, SBCI, MBCI O FBCI), también deberán demostrar experiencia probada a través de las prácticas profesionales. El detalle sobre las necesidades para acreditar experiencia está disponible en www.thebci.org.

Lyndon Bird FBCI

Editor en Jefe Director Técnico InternacionalThe Business Continuity Institute

© the Business Continuity Institute 2010traducción al español realizada por: Carlos Vargas CBCP

revisada por: Joanne Gagnon aMBCI, sandra Garcés MBCI, Marcelo Barrera MBCI, Manuel Casas CBCP Carlos J. diaz aMBCI.

realizada por Fundación Colombian Projects for Life, con el apoyo de: aLCONt “asociación Latinoamérica de Continuidad”

isto

ckph

otos

.com

/lor

rain

edar

ke

Introducción a la GuíaEsta introducción establece el contexto para la lectura de la Guía Global BCI de Buenas Prácticas 2010. La práctica profesional de la Gestión de la Continuidad del Negocio ha cambiado considerablemente desde la creación del BCI en 1994 y continuará desarrollándose en tanto que su aplicación y valor sean reconocidos por una audiencia más amplia.

El momento de la publicación de esta Guía nos da una pausa para reflexionar: estamos experimentando la primera pandemia mundial de gripe del siglo XXI. También estamos experimentando una crisis económica global sin antecedentes en la memoria de la mayoría de las personas en este planeta y estamos llegando a acuerdos de que tenemos nuevas amenazas globales que incluyen la seguridad energética, la migración masiva, la delincuencia cibernética y el cambio climático.

En este contexto de incertidumbre, resulta alentador que la disciplina de GCN haya demostrado ser capaz de evolucionar, pero aún sigue siendo relevante de cara a estos grandes cambios empresariales y sociales.

BCI Good Practice Guidelines 2010 | GLOBAL EDITION [2]

isto

ckph

otos

.com

/lor

rain

edar

ke

Introducción

Qué es la Gestión de la Continuidad del Negocio?La definición utilizada en anteriores ediciones de la GBP no ha cambiado y es consistente con la Norma Británica Bs25999.

La Gestión de la Continuidad del Negocio (GCN) es un proceso holístico que identifica las amenazas potenciales a una organización y los impactos a las operaciones del negocio que esas amenazas, podrían causar si se llegaran a materializar. Proporciona un marco de referencia para construir la resiliencia organizacional con la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes interesadas, la reputación, la marca y las actividades creadoras de valor.

Por qué tenemos la Guía de Buenas Prácticas GBP?el valor de la Guía de Buenas Prácticas GBP para los profesionales es que considera no sólo el “qué” sino también el “por qué” y el “cómo”, basado en experiencias mundiales reales de los profesionales de la GCN. La Guía de Buenas Prácticas GBP también tiene la flexibilidad suficiente para identificar tendencias futuras, retos y problemas que los profesionales todavía están debatiendo.

La Guía de Buenas Prácticas GBP provee una línea de base y un lenguaje común para ayudar a la profesión de la GCN y al desarrollo individual de sus practicantes. es la base para el examen de acceso al BCI, y aunque no es la única publicación sobre todos los aspectos relativos a la GCN, proporciona un punto de referencia para las organizaciones académicas y comerciales de la GCN para utilizarla.


La Gestión de Continuidad del Negocio (GCN) es un proceso holístico que identifica

las amenazas potenciales a una organización y los impactos a las operaciones

del negocio que esas amenazas, podrían causar si se llegaran a materializar.

Proporciona un marco de referencia para construir la resiliencia organizacional con

la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes

interesadas, la reputación, la marca y las actividades creadoras de valor.

isto

ckph

otos

.com

/lor

rain

edar

ke

Introducción

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [4]

GCN tendencias y Observaciones

No es sólo para incidentes físicos de gran impacto y baja probabilidadLa GCN ya no sólo trata sobre cómo gestionar incidentes de gran impacto y baja probabilidad. se está convirtiendo en un facilitador esencial de la resiliencia organizacional como parte de la “operación normal”, gracias principalmente a su enfoque en la identificación y protección de las fuentes de valor dentro de la organización. La metodología también está comenzando a aplicarse para hacer frente a incidentes no físicos.

diversos orígenes de prácticaCon mayor conciencia y la adopción de las prácticas de la GCN alrededor del mundo, la diversidad de la experiencia de los practicantes se multiplica. Mientras los profesionales veteranos pueden compartir experiencias en la tecnología de la Información tI, las fuerzas armadas, los servicios de emergencia, los nuevos practicantes vienen de empresas de consultoría, aseguramiento de la información, riesgo y seguros, cumplimiento y calidad. además con la GCN convertida en un nuevo tema académico, estamos empezando a ver el nivel de crecimiento en la profesión y se espera que esta tendencia aumente en el futuro.

Qué habilidades requiere el profesional de GCN?el practicante de GCN necesita demostrar buena capacidad de análisis, sólidas habilidades en planificación y Gestión de proyectos, habilidades para comunicar e influenciar efectivamente y entender técnicas para la valoración de inversiones. Junto con un amplio entendimiento funcional de las organizaciones, es esencial para un profesional de la GCN entender el lenguaje, el modelo de operación y los procesos de la organización donde se aplicará la GCN.

GCN: Integrada o Centralizada? durante las primeras fases de la implementación de la GCN en la organización, habrá de ser necesario para los profesionales especialistas en GCN, administrar proyectos, coordinar el desarrollo de planes, organizar ejercicios y pruebas y validar la capacidad de la GCN.

en una organización mucho más madura en la que estas técnicas ya estén integradas en los niveles funcionales, el rol del gestor de la GCN será el de responsabilizarse de las políticas, gobierno y actividades de aseguramiento de la calidad, posiblemente reportando a la jefatura de Gestión de riesgos, auditoria, cumplimiento o a la dirección General.

Un gestor dedicado a la GCN no es el único modeloPor naturaleza, la Gestión de la Continuidad del Negocio GCN es un proceso funcional y transversal en las organizaciones. Inicialmente, el gestor de la GCN tiene el rol de facilitador y administrador del programa de la GCN. Los planes para asegurar la continuidad del negocio son propiedad de las áreas de la organización que requieren proteger sus actividades claves generadoras de valor o los activos. el costo del desarrollo y mantenimiento de los niveles adecuados de preparación necesitan provenir de estas áreas.

Quienes se encuentran involucrados en el proceso de GCN, diferirán de una organización a otra, reflejando su propio modelo organizacional y de negocio. Por ejemplo, las compras son cada vez más importantes en los programas de GCN debido a que las cadenas de suministro se han extendido y se ha incrementado el uso de los servicios de externalización y descentralización.

en organizaciones más pequeñas, la GCN es vista como un anexo a una multitud de disciplinas que incluyen salud y seguridad, seguridad y tecnología. sin embargo, se necesita reconocer que el enfoque de la GCN se enlaza a un incidente o tipo de evento específico y

isto

ckph

otos

.com

/lor

rain

edar

ke


Introducción

no sugiere un enfoque total de la GCN en la organización. también es difícil para el profesional de la GCN que está inmerso dentro de una única función influir más allá con esta función. sin embargo, para ser eficaz la GCN debe reconocerse por la alta dirección como una disciplina del negocio, adueñada por el negocio, coordinada y facilitada de manera centralizada.

La GCN debe iniciarse desde la dirección por la razón esencial de que la GCN es acerca de lo más importante y abarca las actividades sensibles al tiempo. realizar, por ejemplo, un análisis de Impacto sobre el Negocio (aIN) de abajo hacia arriba, puede entregar un cuadro general distorsionado y desbalanceado de qué y quién es crítico...

La GCN en ContextoLa GCN no es . . .La GCN no se trata de “todo”. este enfoque demuestra falta de claridad de pensamiento. La GCN es una herramienta que ayuda a mejorar el desempeño de las organizaciones. debemos evitar que se convierta en un ejercicio corporativo más por “chequear”. Podemos ayudarnos al respecto asegurando la aplicación rigurosa de la GCN para proteger el valor de una organización, pero utilizar nuestras habilidades y técnicas para enfocarlo en aquello que es importante y urgente. Un ejemplo es la Cadena de suministro: No es necesario exigir a todos los proveedores un programa de la continuidad del negocio como parte del proceso de suministros: es mejor ir con más detalle con aquellos que han sido definidos como críticos en el análisis de Impacto sobre el Negocio en lugar de gastar la misma cantidad de tiempo (y tiempo de los proveedores) de manera indiscriminada.

La GCN es…La GCN y la resiliencia del NegocioLa Gestión de la Continuidad del Negocio GCN, como una disciplina recién llegada al mundo de los negocios, claramente no existe desde el principio y, naturalmente, las organizaciones buscan entender en qué parte su aplicación generará valor y cómo se integra con otras actividades que están soportando los mismos objetivos organizacionales. también tenemos que reconocer que las organizaciones no están arrancando de una hoja en blanco: algunos aspectos de la GCN siempre han estado presentes en las organizaciones, con diferentes nombres.

Las vulnerabilidades en el negocio y en el modelo de operación de una organización pueden considerarse en siete áreas: reputación, cadena de suministro, información y comunicaciones, sedes e instalaciones, personas, finanzas y clientes. el uso de este modelo sencillo demuestra a la alta dirección el valor y la naturaleza integradora – holística de la GCN de manera interfuncional y transversal en la organización.

La aplicación exitosa del Programa de la Gestión de la Continuidad del Negocio GCN incrementa la resiliencia de la organización lo cual contribuye a mejorar su desempeño corporativo. La resiliencia está ampliamente definida como la capacidad de una organización para absorber, responder y recuperarse de interrupciones. La GCN proporciona de una forma única el marco de referencia para entender cómo se genera y mantiene la creación de valor dentro de la organización y establece una relación directa con las dependencias o vulnerabilidades inherentes a la entrega de ese valor.

La resiliencia no se trata fundamentalmente sobre cómo detener o prevenir en primera instancia la ocurrencia de una interrupción. La dependencia en la gestión de riesgos o de seguridad para brindar protección integral, inevitablemente generará desconfianza, porque la mayoría de incidentes de la Continuidad del Negocio, por naturaleza, son en gran medida impredecibles.

Introducción


La GCN y la Gestión de riesgosen la sala de juntas, la GCN es un elemento contributivo clave para un gobierno corporativo efectivo. Usualmente está posicionada bajo la Gestión de riesgos y permite a las partes interesadas investigar sobre aspectos como:• Elmodelocorporativoydelnegociodelacompañía• Losproductosyserviciosclavesgeneradoresdevalor• Dependenciasclaves,activosyprocesoscríticos• Cómolaorganizaciónresponderáaunapérdidaoalasamenazasquelasgenera• Quétipodeamenazasexistenhoyyestaránpresentesenelfuturo• Evidenciadequelosplanesdecontinuidad,funcionaránenlapráctica

La Gestión de riesgos empresarial en la actualidad es otra disciplina firmemente integrada como disciplina estratégica en muchas organizaciones grandes. Mientras que la GCN ha evolucionado a partir del mundo de la tecnología y de la “recuperación ante desastres”, la Gestión de riesgos empresariales (Gre), ha evolucionado a partir del mundo de los seguros. La metodología de la GCN se desarrolló en un tiempo en el que la Gre aún estaba en su período de infancia y entonces fue necesario incorporar el análisis de riesgos a la metodología de GCN. en el mundo actual más desarrollado de Gre, la Gestión de la Continuidad del Negocio GCN ha sido erróneamente vista por algunos como un tratamiento de los riesgos para todos los eventos de riesgo operativo, en su mayoría de carácter físico, y caracterizados normalmente como “de alto impacto, baja frecuencia”La GCN no está tampoco para identificar, analizar y reportar todos los riesgos concebibles a una organización, su mercado, clientes, y el amplio mundo en el que opera, ni tampoco para calcular las probabilidades de ocurrencia de eventos. es importante notar que la GCN se enfoca en identificar vulnerabilidades en las organizaciones, especialmente aquellas ligadas al valor subyacente que soportan y entienden el impacto de su no disponibilidad en el tiempo en la organización.La Guía de Buenas Prácticas es ambivalente frente a la presencia o ausencia de un sistema de Gestión de riesgos en una organización. desde la perspectiva de la GCN, es importante hacer énfasis en que si un producto o servicio ha sido identificado como crítico en el tiempo, entonces la respuesta de la GCN es esencial y cualquier otro tratamiento sería ilusorio en su eficacia.

La GCN y la Gestión de CrisisLa metodología de la GCN está fuertemente ligada con la Gestión de Crisis a través del componente Gestión del Incidente. en el contexto de la GCN, los incidentes vienen en diferentes formas y tamaños e invocarán el plan GCN. sin embargo, muy pocos incidentes son designados como “crisis”. La Gestión de Crisis está vista como el dominio del profesional de las relaciones públicas y de las comunicaciones y con el

profesional de la GCN en el rol de apoyo, si está involucrado de alguna manera. La Gestión de Crisis está vista también como la respuesta a eventos tanto físicos como no físicos y a diversos tipos de incidentes como financieros y de daños a la reputación de la marca.

el vínculo entre la Gestión de Crisis y la de Incidentes, es que la GCN considera cualquier interrupción de manera holística y determina cómo la organización responderá a la interrupción, continúa sus actividades y se recupera. Los profesionales de la GCN consideran que la respuesta a los medios en un incidente o crisis es parte integral de un Programa completo de la Continuidad del Negocio.

el Plan de emergencias también es relativo a la Gestión de Incidentes. aquí la diferencia radica en que el Plan de emergencias, normalmente es visto como el dominio de los “servicios de autoridades locales” como policía, bomberos, ambulancias y autoridades locales, más que el plan para las organizaciones en general donde el equipo de incidentes podría coordinar con los equipos de respuesta a la emergencia.


Introducción

La GCN, estándares y Cumplimientodesde que fue lanzado el concepto original de la Guía de Buenas Prácticas, una buena cantidad de estándares nacionales e internacionales han intentado codificar la GCN en la estructura de la arquitectura de los sistemas estándar de Gestión. La más extendida hasta el momento ha sido la norma Bs25999 de la British standards Institute, aunque han surgido otras (o están en su etapa final de desarrollo) en los estados Unidos, singapur, australia y Canadá.

al momento de la redacción de estas guías, está en desarrollo un nuevo estándar internacional para la GCN, el IsO22301; también se está desarrollando el IsO22399 como código de práctica, de manera que es difícil saber exactamente cómo se podrán consolidar todos. La Guía de Buenas Prácticas no pretende competir con los estándares IsO u otros estándares nacionales. desde la perspectiva del BCI, es evidente que cualquier estándar certificable requiere personal competente y experto para diseñar, implementar y asegurar el trabajo. esta Guía de Buenas Prácticas GBP establece las competencias individuales específicas que son esenciales en la implementación de un código de prácticas GCN o un esquema de certificación para la organización.

el BCI siente que la adopción de la GCN debe estar guiada por la necesidad de altos niveles de resiliencia en la organización y su consecuente funcionamiento antes que por reguladores y legisladores. sin embargo, donde existe el cumplimiento de la regulación para la continuidad de las operaciones, la GCN es claramente una metodología probada capaz de demostrar tal cumplimiento.

Qué ha cambiado desde la versión inicial?Los principales componentes permanecen iguales, pero algunos han sido refinados en el lenguaje y se ha puesto más énfasis en tendencias y aspectos globales. No existe ninguna referencia cruzada con la Bs25999 y no implica correlación directa entre la GBP2010 y la norma Bs25999 más allá de lo expresado a alto nivel por el modelo del ciclo de vida.

La Guía de Buenas Prácticas GBP2010 todavía abarca las seis fases del ciclo de vida de la GCN pero ahora los interrelaciona más directamente a lo que se ha definido como Prácticas Profesionales (PP). Las seis PPs están subdivididas en dos Prácticas de Gestión y cuatro Prácticas técnicas.

Prácticas de Gestión• PolíticayGestióndelPrograma• IntegracióndelaGCNenlaCulturaOrganizacional

Prácticas Técnicas• Entendimientodelaorganización• DeterminacióndelaEstrategiaGCN• DesarrolloeImplementacióndelaRespuestaGCN• Ejercicios,MantenimientoyRevisión

isto

ckph

otos

.com

/lor

rain

edar

ke

Introducción

Quién debe leer esta Guía?esta guía no es sólo para aquellos profesionales de GCN que están buscando una certificación profesional. Como un cuerpo de conocimiento, la guía es utilizada como guía para los cursos de formación del BCI y sesiones informativas de capacitación para los compañeros que necesitan entender mejor la GCN. dentro de estos compañeros se pueden incluir desde los profesionales de relaciones públicas, de Gestión de Crisis, hasta los profesionales de las cadenas de suministros y personal de recursos humanos.

La GCN no está restringida a algún sector de la industria; de hecho, aplica para todas las organizaciones codificadas en los códigos de la Clasificación estándar Industrial para las organizaciones representadas que se revela en todas las categorías de las organizaciones integrantes del BCI. así mismo, la utilización del término “negocio” no significa que la GCN sólo se refiera a las organizaciones con enfoque comercial: el sector del gobierno puede beneficiarse con la adopción de las prácticas GCN, lo mismo que las organizaciones voluntarias y sin ánimo de lucro.

Mientras la GCN puede demostrar su adopción saludable en organizaciones de tamaños mediano y grande, hay un gap reconocido para su adopción en organizaciones pequeñas. No existe nada “corporativo” inherente a la GCN; sin embargo, el BCI reconoce que muy pocos propietarios de negocios pequeños tienen tiempo y recursos suficientes para seguir la GBP completamente, de tal manera que se han producido materiales alternativos simplificados basados en la GBP para ayudarlos.


isto

ckph

otos

.com

/lor

rain

edar

ke


Introducción

Orígenes de la Gestión de la Continuidad del NegocioLos orígenes exactos de la Gestión de la Continuidad del Negocio GCN están abiertos a varios debates, pero ciertamente algunos aspectos de su historia están completamente establecidos. Los sitios comerciales para la recuperación ante desastres iniciaron en los estados Unidos al final de la década de los años 70 lo que inevitablemente creó la demanda de consultoría por parte de terceros. Inicialmente, el objetivo de la consultoría fue el Procesamiento de datos o Management Information system – MIs (luego conocida como It/ItC) que por su naturaleza, fue técnica.

el tema comenzó a conocerse como disaster recovery Planning (drP).

Uno de los problemas que inicialmente enfrentaron los pioneros en este nuevo campo fue la dificultad para convencer a la alta dirección sobre la justificación para hacer inversiones significativas en algo que probablemente nunca sucedería. esto condujo al concepto de análisis de Impacto en el Negocio aIN (Business Impact analysis BIa) para añadir más enfoque del Negocio a los procesos.

Las metodología iniciales para el aIN tuvieron lugar en los estados Unidos a mediados de los años 80 y fueron rápidamente recogidas y traídas a europa (especialmente al reino Unido) y australia. Por tanto, es cierto que los modelos originales del aIN llevaron a sus primeras aplicaciones en el amplio mundo de Continuidad del Negocio. Los primeros consultores que desarrollaron exitosamente las metodologías comerciales para drP provienen de los estados Unidos, pero estos métodos fueron establecidos y mejorados rápidamente en europa.

en este punto, es entonces donde radican las diferentes opiniones sobre cómo evolucionó gradualmente la GCN desde el drP. La visión del BCI se basa en el conocimiento de muchos profesionales a través de su experiencia y memoria. No es necesario contar la historia completa pero lo que sí es seguro es que los profesionales activos y nuevos deben beneficiarse de su conocimiento.

el primer uso conocido del término “Continuidad de Negocio” se hizo través de ron Ginn (quien más adelante se convirtió en el primer presidente del BCI) en 1986, luego de sus investigaciones en los estados Unidos y de haber entrevistado a varios profesionales destacados. ron escribió un libro titulado “Continuity Planning” (Plan de Continuidad) que postula una aplicación de las herramientas del drP en un amplio rango de riesgos del negocio de riesgo y de interrupciones operativas potenciales.

Una organización del reino Unido llamada “survive” comenzó en 1986 a atender las necesidades en un foro en el cual las personas encargadas de la recuperación ante desastres podían compartir su experiencia y conocimiento. esta organización más tarde se convirtió en proveedora de formación, eventos y publicaciones, pero su visión inicial de grupo integrador de redes, fue exitosa. se establecieron grupos similares en varios países especialmente de habla inglesa. Cuando “survive” en 1991 decidió dejar las referencias del drP y renombrarse “the Business Continuity User Group”, ésto tuvo un impacto significativo en el cambio de la percepción que externamente se tenía sobre el tema.

al mismo tiempo, dos de las más grandes compañías norteamericanas de recuperación de desastres también cambiaron su estrategia con la visión de “Continuidad” como un mensaje más cálido y optimista que “recuperación”. desafortunadamente, se sugirió de manera errónea que la GCN era otra forma de nombrar dr y posiblemente ello obstaculizó su crecimiento como una nueva disciplina especialmente en Norteamérica.

Otro desarrollo clave fue el lanzamiento del “British standard for Information security” el cual, rápidamente se convirtió en el estándar IsO17799. este estándar incluyo en sus capítulos principales la necesidad de la Gestión de la Continuidad del Negocio lo cual se definía en

Introducción


términos de disponibilidad de Información. esto generó más confusión en el debate y su resultado fue que los profesionales reclamaron que la GCN fuera simplemente un subtema de la seguridad de la Información. este punto de vista se sostuvo bastante en aquellos países en los que la GCN no se había comenzado a estabilizar en esta etapa, más obviamente en el centro y el norte de europa.

en 1993 “survive” configuró un grupo de trabajo para estudiar y certificar profesionales en la continuidad del negocio. se percibió la necesidad de distinguir entre profesionales especializados y consultores generales, usualmente con formación en It. en los estados Unidos por las mismas fechas tuvieron lugar debates similares que condujeron a la formación del disaster recovery Institute.

el BCI fue fundado en 1994 como resultado directo de las recomendaciones de un grupo de trabajo de “survive”. durante el desarrollo y lanzamiento del BCI, fue necesario definir el conjunto de habilidades para medir y juzgar la capacidad de aquellos quienes solicitaron reconocimiento o calificación. Originalmente se propuso que debían ser 13 o 14 habilidades, pero con el tiempo se redujeron a 10 estándares de competencia. estos estándares de competencias profesionales fueron desarrollados y acordados mediante esfuerzos cooperados con el disaster recovery Institute (hoy drII) de estados Unidos.

Hacia finales del siglo XX, surgió la idea de un enfoque holístico de extremo a extremo. se hizo obvio que existía la necesidad de proveer protección y resiliencia que abarcara a toda la organización. a pesar del “bombo” desplegado por la molestia ocasionada por el cambio de milenio, el trabajo internacional serio realizado por las mayores corporaciones, demostró un alto nivel de dependencia en pocos proveedores y puntos únicos de falla. se pensó entonces en encapsular la primera propuesta hecha años atrás en el concepto de la Continuidad del Negocio, pero se había tomado más de una década ganar una mayor escala de entendimiento. esto generó iniciativas tales como Bs25999 y otros estándares nacionales de GCN viables que podrían estar basados en una solida estructura conceptual.

el siglo XXI vio con determinación codificar la Gestión de la Continuidad del Negocio y clasificarla como parte de la familia de los estándares de Gestión de sistemas siguiendo el camino forjado por Calidad, seguridad de la Información y servicios ambientales. esto inicio con un buen número de guías estándar como la Pas56 del reino Unido, la NFPa 1600 de los estados Unidos y varios manuales de australia y asia. Los cuerpos regulatorios como el Fsa (reino Unido), aPra (australia) y la reserva Federal (estados Unidos) fueron también activos en este campo, particularmente después de la destrucción de las torres gemelas en Nueva York. en el momento de la publicación de este documento, existen estándares nacionales formales en un buen número de países y se espera un estándar IsO. sin embargo, la entrega del estándar IsO se ha atrasado debido al deseo de algunos países de extender el tema e incluir la seguridad y la Gestión de emergencias y de cambiar el nombre de la disciplina a resiliencia Operativa. en general, el BCI no está a favor de la dilución de la esencia de la disciplina de la GCN, pero apoya la bien intencionada aspiración que estas disciplinas deben estar mejor alineadas

El Siglo XXI vió con determinación codificar la Gestión de Continuidad del

Negocio y clasificarla como parte de la familia de los estándares de Gestión de

Sistemas siguiendo el camino forjado por Calidad, Seguridad de la Información

y Servicios Ambientales.


Introducción

Glosario de términoses reconocida la existencia de muchos términos y definiciones alrededor del mundo que se relacionan con la GCN o los temas sinérgicos como Gestión de riesgos y Planificación de emergencia. sería imposible incluirlos a todos en un glosario pero el BCI intenta mantener actualizado tanto como sea posible el directorio de tales términos y sus fuentes, que se pueden encontrar en www.thebci.org

Los términos de este glosario se aplican únicamente al contexto en el que son utilizados en la GBP2010.

Para el propósito de la GBP2010, aplican las siguientes definiciones:

Abreviado Término Definición

Aceptación del Riesgo decisión administrativa para no tomar ninguna acción de mitigación del impacto de un riesgo en particular.

Actividad Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos o servicios

Actividad Urgente término utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros términos como Inmediato o tiempo Crítico pueden también utilizarse, pero sólo “Crítico” implica actividades menos urgentes que también son menos importantes.

Activo Cualquier elemento que tiene valor para la organización.

GCN Gestión de la Continuidad del Negocio

Proceso holístico de gestión que identifica amenazas potenciales a la organización y los impactos a las operaciones del negocio que tales amenazas puedan causar en caso de materializarse y proporciona la estructura para construir resiliencia organizacional con capacidad para dar respuesta efectiva protegiendo los intereses de las partes interesadas, el valor de la marca, la reputación y las actividades creadoras de valor.

Alta Dirección Persona o grupo de personas que dirigen y controlan una organización a alto nivel. en grandes organizaciones, se le conoce como La Junta directiva, directores, ejecutivos o altos directivos. en organizaciones pequeñas, la alta dirección puede ser los propietarios o un solo propietario.

Amenaza Causa potencial de un incidente no deseado que puede resultar en daños a individuos, activos, a un sistema u organización, el ambiente o la comunidad. algunas amenazas como el mal tiempo se les conoce como “Peligros”.

AIN Análisis de Impacto en el negocio

Proceso de analizar las funciones del negocio y el efecto que una interrupción del negocio pudiera causar sobre ellas.

Introducción



ARC Análisis de Requerimientos de Continuidad

Proceso de recopilar información en la fuente para reanudar y continuar las actividades del negocio a un nivel requerido para apoyar las obligaciones y objetivos de la organización.

AR Análisis de Riesgos Proceso formal pero bastante subjetivo de identificación, análisis y evaluación de riesgos.

Auditor Persona con la competencia suficiente para conducir una auditoría. Para una auditoría de la GCN, normalmente se requiere una persona con las calificaciones formales de la auditoría de la GCN.

Auditoría Proceso sistemático, independiente y documentado para obtener evidencia auditable y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de auditoría. Los primeros equipos de auditoría son gestionados por la misma organización para revisar la Gestión y otros propósitos internos y pueden formar la base para la declaratoria de conformidad de la organización. Los segundos equipos de auditoría son gestionados por entidades que tienen interés en la organización como los clientes u otras personas o entidades en su nombre. Los terceros equipos de auditoría son gestionados por organizaciones auditoras externas como las que proporcionan certificaciones o conformidades a una norma

Auditoría Interna Ver “auditoría” y en particular “los primeros equipos de auditoría”.

Cadena de Suministro Proceso articulado que inicia con la adquisición de materias primas y se extiende a través de la entrega del producto o servicio hasta el usuario final a lo largo de diferentes modos de transporte. La cadena de suministro puede incluir proveedores, vendedores, plantas de fábricas, proveedores logísticos, centros internos de distribución, distribuidores, mayoristas y otras entidades que llevan al usuario final.

Capacitación actividades implementadas antes de un incidente que pueden utilizarse para apoyar y mejorar la mitigación de, la respuesta a, y la recuperación de una interrupción. se le conoce también como “Preparación”.

Ciclo de vida de la Gestión de la Continuidad del Negocio

Conjunto de actividades de la Continuidad del Negocio que colectivamente cubren todos los aspectos y fases del programa de GCN. el BCI utiliza el mismo modelo de ciclo de vida que utiliza la norma Bs25999.

Consecuencia Ver “Impacto”.

CN Continuidad del Negocio Capacidad táctica y estratégica de una organización para planificar y responder a incidentes o interrupciones del Negocio a fin de continuar las operaciones del Negocio a un nivel aceptable predefinido.


Introducción


Cumplimiento es el cumplimiento de un requerimiento en el contexto de la Gestión de sistemas.

Dirección para la Continuidad del Negocio

Conocido también como el Comité directivo, es un grupo de gestión para dar aviso, guía y dirección al programa de GCN.

Documento Información y su medio de soporte bien sea físico, magnético, electrónico u óptico, disco de computador o imagen.

Ejercicio Proceso para ensayar los roles de los integrantes de los equipos y del grupo de trabajo y probar la recuperación o continuidad de los sistemas de una organización (por ejemplo tecnología, telefonía, Gestión) para demostrar competencia y capacidad para la continuidad del negocio.

ECN Equipos de Continuidad del Negocio

son los equipos estratégicos, tácticos y operativos que responderán a un incidente y contribuirán de manera significativa a redactar y probar el Plan de la Continuidad del Negocio.

Facilidad Planta, maquinaria, equipo, propiedad, edificaciones, vehículos, sistemas de información, medios de transporte y otros ítems o infraestructura o planta y sus sistemas relacionados, que tienen una función o servicio distinto y cuantificable.

GR Gestión de Riesgos Generalmente incluye el análisis, tratamiento y la evaluación de riesgos

Impacto evento que tiene la capacidad de provocar la pérdida de o la interrupción de las operaciones, servicios o funciones de la organización, el cual, si no se administra, puede escalar y convertirse en una emergencia, crisis o desastre.

Integridad Garantizar y salvaguardar la exactitud e integridad de los activos, en particular los registros de datos.

Interrupción evento que interrumpe las operaciones o procesos normales del negocio bien sea de manera anticipada (huracanes, inestabilidad política) o imprevista (bloqueos, ataques terroristas, fallas tecnológicas, o terremotos).

Invocación declaración de que una organización necesita activar su Plan de GCN para continuar entregando sus productos y servicios claves.

MPTD Máxima Pérdida Tolerable de Datos

Pérdida máxima de información (electrónica y otros datos) que puede tolerar una organización. La edad de la información podría hacer imposible la operación de recuperación o el valor de los datos sería sustancialmente alto como para poner en riesgo la viabilidad del negocio.

Introducción



MPTI Máximo Período Tolerable de Interrupción

es la duración después de la cual la viabilidad de la organización estará afectada de manera irreparable si la entrega del producto o servicio no puede ser reanudada.

Mejoramiento Continuo Proceso de mejoramiento del sistema de la Gestión de la Continuidad del Negocio para lograr mejoramientos consistentes con la política de la Gestión de la Continuidad del Negocio de la organización.

Mitigación Limitación gestionada de una consecuencia negativa o de un incidente particular.

No Cumplimiento Incumplimiento al requerimiento de una obligación o expectativa acordada.

Objetivo Meta general consistente con la política que una organización establece para sí misma.

Organización Grupo de personas y facilidades con arreglos y responsabilidades, autoridad y relaciones (por ejemplo compañía, corporación, firma, empresa, institución, institución de caridad o asociación). Una organización puede ser pública, privada o sin ánimo de lucro.

Partes Interesadas Individuo o grupo de individuos con intereses en el desempeño o éxito de una organización Por ejemplo clientes, socios de negocio, empleados, accionistas, propietarios, la comunidad local, personal de primera respuesta, gobierno y entes reguladores.

Peligro Ver “amenaza”.

Pérdida Consecuencia negativa.

PCN Plan de la Continuidad del Negocio

Conjunto de documentos de procedimiento e información desarrollada, compilada y mantenida a disposición para utilizarlo durante un incidente para capacitar a la organización para continuar con la entrega de sus productos y servicios críticos a un nivel aceptable predefinido.

PHVA Planificar, Hacer, Verificar, Actuar

el modelo IsO utilizado como estructura en todos los sistemas estándar de Gestión incluyendo el sGCN.

Política Intenciones y directrices de una organización expresadas por la alta dirección. La política de la GCN debe ser consistente con la totalidad de las políticas de la organización y proveer la base para los objetivos de la Continuidad del Negocio.

Preparación “Capacitación”.

Prevención Medidas contra amenazas específicas que habilitan a la organización evitar una interrupción.

Procedimiento Forma específica de ejecutar una actividad. todos los procedimientos deben estar documentados.



Proceso Conjunto de actividades interrelacionadas que transforman entradas en salidas.

Producto o Servicio salida de un proceso. si al producto se le denomina servicio, depende de la existencia de un elemento físico a la salida. el servicio es el resultado de al menos una actividad necesariamente realizada en la interface entre el proveedor y el cliente y , generalmente, intangible.

POR Punto Objetivo de Recuperación

Objetivo para el estado y disponibilidad de datos (electrónicos e impresos) en el inicio del proceso de recuperación.

Recursos activos, personas, habilidades, información, tecnología (incluye planta y equipo), locales, suministros e información (electrónica o no) que una organización posee para tener la disponibilidad de utilizar cuando sea necesario, para operar y alcanzar sus objetivos.

Registro documento que indica los resultados obtenidos o la evidencia de las actividades desarrolladas.

Resiliencia Habilidad de una organización para resistir al ser afectada por un incidente.

Riesgo Combinación de probabilidad de un evento y su consecuencia. La GCN se concentra en “amenazas” e “Impactos” antes que en “riesgos”.

Sistema de Gestión sistema para establecer la política y los objetivos y para alcanzar esos objetivos (por ejemplo IsO 9001:2008).

SGCN Sistema de la Gestión de la Continuidad del Negocio

Parte o la totalidad del sistema que implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.

TOR Tiempo Objetivo de Recuperación

Objetivo de tiempo dentro del cual se reanuda la entrega de un producto o servicio luego de una interrupción.

Tratamiento de Riesgos selección e implementación de medidas para modificar los riesgos.

Introducción


GUía de BUeNas PráCtICas 2010

04 – Determining Business Continuity Strategy

isto

ckph

otos

.com

/lor

rain

edar

ke

Política y Gestión del Program

a

01

isto

ckph

otos

.com

/lor

rain

edar

ke


Prácticas Profesionales de la GCN

Inte

grar

la G

estió

n de la Continuidad del Negocio en la Cultura Organizacional

Política y Gestión del programa GCN

ejercicios, Mantenimiento

and revisión

determinar la estrategia GCN

desarrollo e Implementación de la respuesta GCN

entendimiento de la Organización

Ciclo de Vida GCN

GCN | Gestión de las Prácticas Profesionales

[21] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL[21] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Cuando una organización se embarca en un programa de GCN, es poco probable tener establecida una política de la GCN o entender las necesidades que debe tomar para producir una. Los pasos claves son: • DesarrollarlapolíticadelaGCN• Alinearlapolíticaconlaestrategia,objetivosycultura

organizacionales.• DecidirsobreelalcancedelprogramadeGCN.

Una vez haya sido acordada la política, se debe iniciar un proyecto o una serie de proyectos para capacitar a la organización y comprometerla en las actividades requeridas para implementarla.Como parte del proceso de planificación, en muchas organizaciones se han emprendido altos niveles de análisis de las amenazas para alcanzar los objetivos estratégicos y operativos de la organización. el resultado de este ejercicio puede proveer un aporte útil cuando se establece el contexto total para el programa de GCN. en algunos ambientes regulados, es mandatorio realizar un análisis de riesgos de manera formal.

Introducción

La política de la GCN es el documento clave que establece el gobierno y el alcance del programa GCN y refleja las razones del porqué está siendo implementado la GCN. La política proporciona el contexto en el cual serán implementadas las capacidades requeridas e identifica los principios a los que la organización aspira y contra los cuales su realización se pueden auditar.

Política y Gestión del ProgramaVisión de la Gestión de la Política y el Programa

isto

ckph

otos

.com

/lor

rain

edar

ke

Política y Gestión del Programa – 01


alineación de la Política de la GCN a la Cultura Organizacional

IntroducciónUn programa de GCN necesita reflejar la estrategia, objetivos y cultura de la organización para asegurar que el programa es relevante, efectivo y apropiado.

La organización tendrá una cultura que puede no estar bien documentada o articulada por la alta dirección. sin embargo, la estrategia y los objetivos de la organización habrán sido determinados y acordados como parte de los procesos de planificación y de presupuesto del negocio.

es posible que alguna información del mercado o de la industria sea sensible y no pueda ser accesible para el profesional de GCN. No contar con esta información, no puede detener el programa de GCN que se está llevando a cabo.

Procesoel proceso básico utilizado es simplemente hacer preguntas sobre la organización para identificar su estrategia, objetivos y cultura. estas preguntas incluyen: • Cuálessumisiónolarazóndesuexistencia?• Cuálessonlosobjetivosdelaorganización?• Cómosealcanzanlosobjetivos?• Cuálessonlosproductosyserviciosdelaorganizaciónque

permiten alcanzar estos objetivos?• Cuálessudirecciónoenfoque?• Cuálessonlosplanesdecrecimiento,reduccióndepersonal,

restructuración, adquisición o disposición en el corto mediano y largo plazo?

• Seestándesarrollandonuevosproductososerviciosysiesasí, cual es su escala de tiempos?

• Cuáleslaescalageográficadesusoperaciones?

• Cuáleselniveldeinterrupcióngeográfico?

• Cuáleselniveldepérdidaderecursosquequiereonecesitaplanificar para sobrevivir?

• Cuálessonlascondicionesactualyesperadasdelmercadoen el que opera?

• Tienecompetidoresycómocompiteconellos?

• Cuáleslareacciónprobabledelosclientesycompetidoressise interrumpen sus operaciones?

• Loscompetidorestomaránventajadeunaorganizaciónendificultades o los apoyarán (cuál de ellos podría proteger la reputación del sector)?

• Operaenambientesreguladosysiesasí,cuálessonlasregulaciones?

• Cuentaconmuchosproveedores,algunosounosolo?

• Cuáleslaescalaprobabledetiempoenlaquepuedeencontrar proveedores alternos?

• Cuentaconmuchosclientes,algunosounosolo?

• Losclientesestándispuestosapagarunaprimapormejorarel aseguramiento de la entrega?

Métodos y técnicas dos técnicas que se pueden utilizar para identificar la estrategia, objetivos y cultura de la organización, son:1 entrevista al equipo de la alta dirección2 revisión de los documentos generados en la organización

Los documentos claves para revisar pueden ser:• Planesdenegocio• Planesestratégicos• Reportesanuales• ReportesdeMercadeo• Informaciónadministrativaactualizadaquedetallalos

procesos, volúmenes, objetivos y donde sea posible, cuantificar el valor de cada actividad

revisiónel impacto de la estrategia organizacional sobre el programa de GCN debe revisarse como mínimo anualmente como parte de, o al menos coincidir con, los procesos de planificación estratégica y operativa del negocio. Las revisiones más frecuentes pueden estar dirigidas a cualquiera de lo siguiente: • Restructuracionesocambiosclavesdelnegocio• Expansión/contracción• Introduccióndenuevosproductos• Relocalizaciónoconsolidacióndelocaciones• Unincidenteysurecuperaciónasociada

se puede ubicar un procedimiento de alerta para identificar todos los cambios organizacionales que sean significativos para asegurar que han sido tomados en cuenta en el programa de GCN. esto le permite a la GCN la debida diligencia antes de realizar el cambio propuesto. Una decisión estratégica del negocio no será necesariamente abandonada a causa de la falta de preparación, pero esta limitación podría impactar el valor económico del cambio pospuesto.

isto

ckph

otos

.com

/lor

rain

edar

ke



alcance del programa de la GCN y determinación de sus alternativas

Introducciónel propósito de establecer el alcance es asegurar claramente qué áreas de la organización están incluidas en el programa de GCN, definido por la identificación de cuales productos y servicios están allí. La entrega de productos y servicios es el enfoque de los criterios claves de éxito de la mayoría de organizaciones. se requiere un entendimiento de la estrategia, objetivos y cultura organizacional antes determinar el alcance del programa de GCN y las alternativas a utilizar.

La GCN es un proceso iterativo que inicialmente le permite a una organización implementarlo únicamente en algunas partes de ésta, aunque por anticipado se sabe que se extenderá a la totalidad de sus operaciones con el paso del tiempo. este enfoque permite eliminar problemas de complejidad, costos y escala en la implementación de la GCN en organizaciones de gran tamaño.

esta sección explica las alternativas disponibles para la organización para proteger la entrega de sus productos y servicios e identificar cómo y porqué se pueden seleccionar varios productos y servicios de la organización para la implementación inicial de la GCN. estas alternativas definirán el alcance del programa de GCN.

Conceptos y supuestos en la práctica normal, la decisión sobre el alcance del programa de GCN es tomada antes que cualquier otro elemento del ciclo de vida de la GCN. sin embargo, si la organización decide comprometerse en la implementación inicial de la GCN basado en la necesidad de recuperación percibida para un producto o servicio específico, puede decidir realizar un análisis de Impacto en el negocio para confirmar los productos y servicios a incluir en el alcance inicial (basado en el impacto de la no entrega).

el alcance normalmente está limitado por productos y servicios. sin embargo, la locación también puede ser utilizada para limitar el alcance, permitiendo que la GCN incluya o excluya uno o más sitios. No es aceptable o lógico excluir un sitio que juega un papel importante en la entrega de los productos y servicios contemplados en el alcance.

La limitación del alcance debe ser vista como un enfoque táctico que permite la implementación de la GCN por etapas a través de la organización. si un producto o servicio está identificado dentro del alcance todas las actividades que soportan su entrega, deben incluirse dentro del programa de GCN.

La documentación de “alternativas” para cada producto y servicio está destinada a definir como la organización intenta proteger (o no) su habilidad para mantener su entrega, de manera que tal decisión está disponible para escrutinio público (por ejemplo clientes o reguladores).

esto se ilustra en el siguiente diagrama, donde se ha tomado una decisión para incluir el producto a en el alcance del programa de GCN y excluir el producto B. esto significa que las actividades que soportan la entrega del producto a (actividad 1, actividad 2, actividad 3) están en el alcance mientras que las actividades que no soportan la entrega del producto B (actividad 4, actividad 5), están por fuera del alcance.

Dentro del Alcance Fuera del Alcance

Producto A Producto B

Actividad 1 Actividad 3 Actividad 5

Actividad 2 Actividad 4


Procesoel proceso requiere el establecimiento de un grupo de GCN que le hará las recomendaciones a la alta dirección.este grupo revisará los productos y servicios de la organización contra su estrategia, objetivos, cultura, política ética, requerimientos legales y regulatorios, para considerar la opción para cada producto y/o servicio. si se ha realizado un aIN para determinar los efectos de una pérdida de productos y servicios, el grupo incluirá los resultados del aIN en su revisión.el grupo proporcionará un reporte de evaluación que permitirá a la alta dirección establecer las prioridades para todos sus productos y servicios.Las razones para no incluir un producto o servicio en el programa de GCN y la respuesta alternativa por la pérdida de ese producto o servicio, necesita documentarse y acordarse con la alta dirección.Los productos y servicios deben estar identificados con un nivel apropiado de detalle.

ejemplos de productos y servicios incluyen: • Unproductoorangodeproductosmanufacturados• Recopilacióndebasuras(paraunaciudadomunicipio)• SoporteTelefónico(paraunaempresadesoftware)

Las decisiones sobre cuales productos, servicios o locaciones deben incluirse dentro del alcance. Pueden tomarse por uno o varios de los siguientes factores: • Requerimientodeuncliente• Requerimientoregulatoriooestatutario• Percepcióndealtoriesgodebidoalaproximidadaotros

locales industriales o amenazas físicas como inundaciones• Productosqueproporcionanaltosingresosalaorganización

Las razones por las que un producto, servicio o locación pueden excluirse del alcance, incluyen • Productososervicioscercanosalfinaldesuciclodevida(se

acabarían si se interrumpe el suministro)

• Productososerviciosconbajosmárgenes(podríanterminarse o tercerizarse)

Cuando se evalúa la exclusión del alcance, adicionalmente se deben considerar los siguientes factores a los impactos financieros de pérdidas: • Lavisióndelaspartesinteresadasclaves• Cualquierdañoenlareputaciónquepuederesultardela

interrupción o terminación de un producto • Larelevanciadecualquieranálisisderiesgos• Elimpactoregulatorioparalasactividadesreguladas

si la Continuidad del Negocio es la opción elegida para un producto o servicio particular, es necesario entonces, tomar las medidas adecuadas para asegurar que las diferentes actividades que apoyan su entrega, puedan continuarse o recuperare dentro de las escalas de tiempo requeridas.

Para aquellos productos y servicios que se consideran por fuera del alcance, el riesgo para el negocio por pérdida o no disponibilidad no se mitiga por completo con la GCN y tiene que manejarse por medios alternos. Las alternativas disponibles para la alta dirección, son:

• Aceptación:aceptarqueestáenriesgodeinterrupción• Transferir:Transferirelriesgodeinterrupciónauntercero• Cambiar,suspenderoacabarelproductooservicio

La implementación detallada de estas medidas, generalmente cae dentro de lo que se remite para la Gestión de riesgos y no sigue el ciclo de vida completo de la GCN. sin embargo, las medidas provistas son acordadas como una estrategia apropiada del negocio. estas medidas pueden verse como soluciones de Continuidad del Negocio y pueden incluirse dentro del programa GCN.

Lo que constituye una estrategia aceptable de Continuidad del Negocio puede depender de la organización y de cualquier cambio en sus procesos que sería necesario acomodar (bien sea que se determine en su avance o se reconozca después del evento). Más notas sobre este tópico se encuentran en el anexo 2.



Métodos y técnicas Las herramientas que pueden utilizarse para desarrollar las alternativas de estrategia de la organización para productos y servicios, incluyen: • Análisiscosto/beneficio(incluyendoanálisisdelaspartes

interesadas, regulación y legislación.• AnálisisDOFA(Debilidades/Oportunidades/Fortalezas/

amenazas).• Planificaciónygestiónfinanciera.• Herramientasparalaplanificacióndelaestrategia.• Referenciaciónfrenteaestándaresnacionalese

internacionales.• AnálisisPAST(Política/Ambiente/Social/Técnico).• Técnicasdeanálisisdelmercadoparadeterminarlaviabilidad

probable del suministro de un producto luego de una interrupción.

resultados y revisiónLos resultados son: • Unaestrategiaacordadaparalaproteccióndecadaunode

los productos y servicios de la organización.

• ElalcancedelprogramadeGCNquedeberádocumentarseen la política de la GCN.

al menos una vez cada año se debe hacer la revisión de la estrategia organizacional de protección de sus productos y servicios. sin embargo, los eventos que pueden indicar una nueva revisión de la estrategia, son: • LarevisióndelAINqueidentifiquecambiosyprioridades

representativos en los procesos • Uncambiosignificativoenunoomásdelosiguiente:

> actitud de la organización frente al riesgo (de pronto impulsado por un incidente).

> Condiciones del mercado.> Nuevos productos o servicios.> Nuevos requerimientos legales o regulatorios.



isto

ckph

otos

.com

/lor

rain

edar

ke


desarrollo de la Política de GCN

IntroducciónLa política de la GCN de una organización provee el marco de referencia alrededor del cual se diseña y construye la capacidad de la GCN. La organización, gobierno y gestión de la implementación de la GCN, son prerrequisitos para desarrollar un programa de GCN exitoso. Éstos se establecen en la política de la GCN que es de propiedad de la alta dirección.

el propósito de documentar la política de la GCN es comunicar a las partes interesadas los principios de Continuidad del Negocio a los que aspira llegar la organización.Como uno de los objetivos de la política de la GCN es el de comunicar, ésta debe ser corta, clara, precisa y puntual. Una política muy extensa será una barrera para la comunicación.La política debe identificar como mínimo los siguientes elementos del programa de GCN:• Objetivos• Alcance• Responsabilidades• Métodosyestándares

Proceso el proceso para desarrollar la política de la GCN incluye: • Identificarydocumentarloscomponentesdelapolíticadela

GCN.• IdentificarunadefinicióndelaGCN.• Identificarcualquiernorma,legislaciónoregulación

relevante que deba estar incluida en la política de la GCN.• IdentificarcualquierBuenaPrácticaopolíticadeotras

organizaciones que puedan ser su punto de referencia.• RevisaryconducirunanálisisGAPdelapolíticaactualdela

organización (si se considera conveniente) y la política externa de referencia o nuevos requerimientos de la política de GCN.

• DesarrollarunborradordelapolíticadelaGCNnuevaomodificada.

• Revisarelborradordelapolíticacontralosestándaresorganizacionales para políticas similares o relacionadas (por ejemplo, seguridad de la información).

• Circularelborradordelapolíticaparasuconsulta.• Modificarelborradordelapolítica,siseconsidera

conveniente, con base en la retroalimentación recibida.• AcordarlafirmadelapolíticadelaGCNyunaestrategiaparasu

implementación por la alta dirección de la organización.• Publicarydistribuirlapolíticautilizandotécnicasysistemas

adecuados para el control de versiones

Métodos y técnicas Los métodos, herramientas y técnicas para el desarrollo de la política de la GCN incluyen: • Revisióndelapolíticaactualdelaorganización.• Investigarfuentesexternasparatomarcomoguía,por

ejemplo: regulatoria, legal, buenas prácticas de la industria, asociaciones profesionales.

• Contactarlaindustriayasociacionesprofesionalesparaentender los inconvenientes y los controles actuales y en desarrollo de la GCN.

• IdentificaryadoptarloscomponentesdelapolíticadelaGCNde otra organización que se considere como buena práctica.

• Analizarlasbrechasdelestadoactualyrevisarlaspolíticasinternas y externas para obtener los componentes básicos de una política nueva o modificada.

• HacerunarevisiónporprofesionalesexternosdeGCN

resultados y revisiónLa política de la GCN incluirá (o se hará referencia en un documento subsidiario): • LadefinicióndelaGCNorganizacional.• LadefinicióndelalcancedelprogramadeGCN(véase

numeral anterior).• EstructuraoperativaparalagestióndelprogramadeGCNde

la organización.• Elconjuntodeprincipios,guíasyestándaresmínimodela

GCN.• Identificaciónclaraderesponsabilidades

si bien todas las políticas de la organización deben ser revisadas en un período determinado, muchas cosas podrían provocar la revisión formal de la política de la GCN.



isto

ckph

otos

.com

/lor

rain

edar

ke


actividades externalizadas

Introducción es importante que la política de la GCN incluya las actividades externalizadas. La entrega de productos y servicios de la organización no debe ser interrumpida por una falla de un tercero o proveedor de materias primas y/o servicios que se proveen directamente a la organización o directamente al cliente en nombre de ésta. si parte o toda la entrega de productos y servicios es externalizada, la responsabilidad para su continuidad permanece en la organización. Las partes interesadas asumirán que la organización ha hecho una selección adecuada de sus socios del Negocio y ha tomado medidas apropiadas para asegurar la entrega. Los requerimientos estatutarios y regulatorios usualmente enfatizan que la responsabilidad final por la entrega de los servicios externalizados recae en la organización.

Proceso el proceso de revisión de los acuerdos de Continuidad del Negocio de una compañía de externalización son similares a los utilizados para revisar los propios procesos de la organización.es importante que el acceso a la siguiente información esté disponible para su análisis: • Tendenciasdelosprospectosexternalizadores• Lacontinúaadecuacióndelasdisposicionesenlascompañías

externalizadores existentes

La confiabilidad en la externalización puede incrementarse por: • Precalificacióndecompañíascandidatasparala

externalización.

• EspecificaciónderequerimientosdelaGCNenlostérminosde referencia documentados de licitaciones y contratos.

• AcuerdosdeNivelesdeServicio(ANS)realistasparautilizarlos durante incidentes en cualquier organización.

• Involucramientodelascompañíasdeexternalizaciónenformación, capacitación y ejercicios

La documentación para apoyar la externalización, incluye: • Parámetrosmandatoriosparalaseleccióndecompañías

externalizadoras.• Términoscontractualesquedebenincluirlosderechospara

la organización para auditar a la compañía externalizadora.• AcuerdosdeNivelesdeServicio.• Documentacióndelosresultadosdeejercicios

resultados y revisión Los resultados deben ser una cadena de suministros resiliente que pueda administrar las interrupciones sin impactar seriamente la entrega de los productos y servicios al cliente.

La revisión de la continuidad del proveedor debe formar parte significativa del análisis de las licitaciones cuando los contratos son adjudicados o renovados. se recomienda la revisión anual del funcionamiento del proveedor contra los requerimientos de continuidad.




revisión del Programa de Gestión de la GCN

Introducción La GCN es un proceso iterativo y necesita ser gestionado activamente. el objetivo inicial de esta etapa será el de completar exitosamente la implementación del Ciclo de vida de la GCN, pero la meta de la Gestión del programa de GCN en el largo plazo, es la de mejorar la capacidad de la organización y por tanto su resiliencia operativa, con iteraciones sucesivas del Ciclo de Vida de la GCN, como lo muestra el siguiente gráfico.

La implementación inicial del Ciclo de Vida de la GCN será beneficiosa desde el enfoque de la Gestión como proyecto, pero como la GCN madura dentro de la organización, la Gestión del programa requiere habilidades para asegurar una preparación constante.

Un factor crítico de éxito es el nombramiento de personas competentes para supervisar y gestionar el programa de GCN.

Los elementos claves para la gestión del programa de GCN son:

• Asignaciónderesponsabilidades.• ImplementacióndelaGCNenlaorganización.• GestióndelProyecto.• GestióncontinuadelaContinuidaddelNegocio.• DocumentacióndelaGCN

Mejoramiento de la capacidad de GCN de la Organización

Inte

grar

la G

estió


Política y Gestión del Programa BCM

ejercicios, Mantenimiento y

revisión

determinar laestrategia BCM

desarrollo e Implementaciónde la

respuesta BCM

entendimiento dela Organización

Inte

grar

la G

estió




revisión



respuesta BCM


Inte

grar

la G

estió




revisión



respuesta BCM


Inte

grar

la G

estió




revisión



respuesta BCM


Inte

grar

la G

estió




revisión



respuesta BCM




asignación de responsabilidades

Introducción Un programa de GCN exitoso depende de la identificación de roles yresponsabilidades y autoridad claramente definidos para gestionar el programa de GCN y su proceso a través de la organización. esto deberá haber sido establecido en la Política de la GCN.

el propósito de la asignación de roles y responsabilidades es asegurar que las tareas requeridas para implementar y mantener el programa de GCN están asignadas a individuos competentes cuyo desempeño pueda monitorizarse.

Conceptos y supuestos el programa de GCN necesita estar adecuadamente dotado de recursos. a menudo ésto es fácil de lograr en industrias reguladas como la banca y las de servicios financieros debido a que muchas autoridades regulatorias consideran la GCN como un costo del negocio y ésto lo hace mandatorio.

en esta etapa puede definirse la estructura de respuesta que será adoptada por una organización. a menudo se asume que quienes han desarrollado los planes son los mejores individuos para responder a un incidente, pero las personalidades requeridas para ser líderes y planificadores, a menudo son contradictorias. Cualquier dificultad en esta área debe ser expuesta por un plan realista de ejercicios.

Quienes han estado involucrados en la implementación del programa de GCN pueden estar obligados a proveer liderazgo durante la respuesta al incidente y los profesionales de la GCN deben permanecer en estado de disposición para hacerse cargo de la Gestión del Incidente si son llamados para poner los planes en acción. tendrán el conocimiento detallado de las estrategias y acciones necesarias para invocarse inmediatamente y pueden ser necesarios para apoyar la línea de dirección mediante actividades de evaluación e invocación.

Proceso Un integrante de la alta dirección debe hacer la rendición de cuentas sobre la capacidad de la GCN de la organización y su efectividad. esto asegura que el programa de GCN está dado en el nivel de importancia correcto en la organización con una mayor posibilidad efectiva de implementación.

debe nombrarse un individuo para administrar la GCN quien (en muchas organizaciones) será conocido como el administrador de Continuidad del Negocio. dependiendo del tamaño de la organización, este rol puede ser de tiempo total o parcial.

en grandes organizaciones, se puede nombrar un grupo de trabajo adicional para trabajar con el administrador de la GCN para asistirlo con las siguientes actividades: • Conducirejercicios• Comprometerseconlarevisióndocumental• ApoyarenlaimplementacióndelaGCN• Actuarcomocoordinadorensusáreasse pueden conformar grupos adicionales para apoyar el desarrollo del programa de GCN. se incluyen: • ElComitéDirectivooJuntadelaGCN:Esungrupoquedará

consejo, guiará y supervisará la gestión• EquiposdeContinuidaddelNegocio:Sonequipos

estratégicos, tácticos y operativos que responderán al incidente y contribuirán significativamente con la documentación de los Planes de Continuidad del Negocio

• ForodeRespuestaaIncidentes:Agruparepresentantesdetodos los equipos involucrados en la respuesta al incidente para resolver problemas de coordinación. Este grupo puede ser útil para la identificación de requerimientos de formación y ejercicios

Métodos y técnicas el grupo de trabajo nominado para el programa de GCN debe tener la formación apropiada para sus roles. Ésto se puede hacer por medio de cursos de formación internos o externos y/o por medio de profesionales de GCN externos contratados para apoyar las primeras etapas de la implementación.

Quienes administran el programa de GCN en grandes organizaciones deben buscar un nivel de certificación de entidades profesionales apropiadas como el Business Continuity Institute.

Para asegurar que las tareas de la GCN son efectivas y se les ha dado el tiempo y esfuerzo apropiados, los roles y responsabilidades deben integrarse en la descripción de los cargos con un proceso de evaluación.

resultados y revisiónLos roles y responsabilidades dentro el programa de GCN han sido asignados a individuos que han sido provistos con el nivel de formación apropiado. La especificación de estos roles y responsabilidades está incluida en la descripción y los objetivos de desempeño de los cargos y son entendidos por los individuos y la organización.

el nivel y competencia del equipo de trabajo de la GCN debe revisarse anualmente como parte del proceso normal de evaluación y puede ser un tópico de la evaluación anual de los administradores de la GCN y estar sujeto a un proceso de auditoría.



Implementación de la GCN en la Organización

Introducción La implementación de un programa de GCN involucra la Gestión de un número de proyectos relacionados y la coordinación de las actividades que lo equilibra:

• Sensibilización:Eventosquemantienenelentusiasmoparallevar a cabo el programa de GCN.

• Planificación:Desarrollodeplanespararesponderalosincidentes que pudieran no ocurrir.

• MedidasdeMitigación:Implementacióndemedidasparamitigar el impacto de un incidente que pueda ocurrir mientras el programa está siendo desarrollado.

• Ejercicio:Ejerciciosparapracticarlosplanesdecontingencia.

Ésto es exitoso solamente con los recursos adecuados, incluyendo la asignación de roles y responsabilidades para entrenar a los individuos para que se comprometan en las tareas requeridas en la implementación y mantenimiento del programa de GCN.

el propósito de este paso es asegurar que se implementa un programa de GCN sostenible en la organización. Un programa sostenible es el que se ha ganado el compromiso de la organización y cuenta con estructura y procedimientos en sitio para asegurar que está mantenido y mejorado y está disponible para el futuro previsible.

Conceptos y supuestos La elección de las actividades a realizar y en qué orden se hará, dependerá de la cultura existente y el estado de preparación de la organización. La única regla definitiva es que las decisiones más importantes sobre las opciones de continuidad y la estrategia de recuperación no deben tomarse hasta que se lleve a cabo la etapa de “entendimiento de la Organización”.

Para iniciar el programa de GCN se puede utilizar apoyo externo de consultores con calificaciones y experiencia apropiadas en la GCN. esto puede ser rentable por efecto del ahorro de tiempo y la necesidad de capacitación externa. La transferencia de conocimiento al equipo de trabajo dentro de la empresa, debe ser un objetivo durante este período.

Proceso el proceso de implementación de la GCN en una organización consiste en:• Procesodeiniciación.• Planificación,coordinacióneimplementacióndeproyectos

de GCN para comprometer la implementación inicial del Ciclo de Vida de la GCN:> entendimiento de la Organización (ver Práctica 3)> determinación de las estrategias de la GCN (ver Práctica 4)> desarrollo de la respuesta de la GCN (ver Práctica 5)> ejercicios, Mantenimiento y revisión (ver Práctica 6)

• Mantenernivelesdeconciencia.• Gestióncontinua

el proceso de iniciación debe estar construido desde las actividades descritas en otras partes en esta guía. Podría incluir: • EjerciciosdeescritorioconlosAltosDirectivospara

demostrar qué podría suceder ante la ausencia de estructuras y procedimientos de respuesta a incidentes.

• Presentacióndeimpactoscausadosporincidenteslocalesrecientes.

• Cuestionariosoentrevistasparadeterminarelestadoactualde disponibilidad de la organización.

• Redactarunalcanceparaelprograma.• DesarrollarunalcancedelaPolíticadelaGCN.• Recopilardatosyseleccionaropcionesdecontinuidad.• Medidasparamitigaramenazasespecíficaspercibidas.• CrearprocedimientosparalaGestióndeincidentes.• Identificareimplementarmedidasdebajocosto

se debe utilizar la disciplina de Gestión de Proyectos para la planificación, coordinación e implementación de proyectos de GCN y se debe monitorizar su avance.

durante la iniciación del programa, se debe disponer de tiempo suficiente para apoyar cada actividad con las habilidades apropiadas de conocimiento y formación.

resultados y revisiónal final de la implementación inicial exitosa del programa de GCN, la organización deberá tener: • Unestadoinicialdedisponibilidaddelosprocedimientosde

Gestión de incidentes suficientemente demostrado por los ejercicios de escritorio.

• Procedimientos,estructurayhabilidadesparamantenerydesarrollar la capacidad de la GCN.

en su fase inicial de implementación, el programa de GCN debe revisarse al menos mensualmente y completarse dentro de los hitos definidos.



Gestión de Proyectos

Introducción Cuando se compromete la implementación del programa de GCN en una organización se deben adoptar las disciplinas de Gestión de Proyectos. Los métodos seleccionados de Gestión de Proyectos deben ser adecuados al tamaño y complejidad de la organización y su implementación de la GCN.

Ésto permite el camino para la Gestión del programa en curso una vez están definidos los elementos claves. sin embargo, ésta sigue siendo una disciplina útil para los elementos de un programa en curso que tiene una entrega clara (por ejemplo, el desarrollo de un evento de concientización a través de la organización).

Mientras se identifican claramente los entregables para algunas tareas de la GCN, muchas otras son menos tangibles haciendo estrictamente difícil la implementación de las disciplinas de Gestión de Proyectos. Por ejemplo. Hay un elemento de “descubrimiento” dentro del aIN que hace difícil la cuantificación del tiempo requerido para completarlo.

Proceso este documento puede utilizarse para identificar los proyectos requeridos para completar la implementación inicial del Ciclo de Vida del Programa de GCN.Cada proyecto será planificado y monitoreado de acuerdo con el método seleccionado de Gestión de Proyectos y debe definirse en términos de:

• Objetivos• Alcance• Tareas• Escaladetiempo• Personasinvolucradas• Entregables• Hitosel trabajo estimado para algunas etapas del proyecto dependerá de los resultados de las etapas previas.Las disciplinas de Gestión de Proyectos también pueden aplicarse de manera útil en otros ítems individuales con entregables claramente definidos dentro del programa de GCN como: • DesarrolloyGestióndelosejerciciosdelaGCN.• Desarrolloyentregadelprogramadeformaciónparael

equipo de trabajo.• Seleccióndelproveedorderecursosparacontinuidad.

resultados y revisiónel resultado de este paso es la entrega exitosa del Ciclo de Vida de la GCN dentro de la cual se han acordado las escalas de tiempo y los presupuestos como parte de la implementación inicial del programa de GCN.

el método de proyecto adoptado debe incluir la revisión del avance en el suministro de los entregables contra las fechas predefinidas por los hitos, el trabajo y los costos estimados.


isto

ckph

otos

.com

/lor

rain

edar

ke



Gestión en Curso de la Continuidad del Negocio

Introducción Una vez implementada, la GCN necesita gestionarse en un ciclo continuo de mejora si se quiere ser eficaz. esto involucrará la participación de varias áreas gerenciales, operativas, administrativas y técnicas que necesitan estar coordinadas como se indicó en estas Guías.

Conceptos y supuestosel programa será gestionado dentro de la estructura de y de acuerdo con los principios contenidos en la Política de la GCN de la organización.

La cantidad de profesionales de GCN y el grupo de trabajo de otras áreas que se puede requerir para apoyar y administrar el programa, dependerá del tamaño, naturaleza, complejidad y ubicación geográfica de la organización.

en organizaciones pequeñas, la Gestión en curso de la GCN puede darse por un solo individuo con otros roles. en grandes organizaciones, puede haber varios grupos de trabajo con responsabilidades de tiempo total o parcial. en este último caso, se puede establecer una jerarquía y el equipo de trabajo podría requerir las habilidades de dirección (adicionales a las habilidades propias de la GCN) requeridas por aquellos que administran el programa de GCN.

Proceso La alta dirección de la organización debe:•NombrarunapersonaoequipodepersonasparalaGestión

del programa de GCN.•DefinirelalcancedelprocesodeGestiónydelprogramade

GCN.•Aprobarelpresupuestodecontinuidad.•MonitorizarlaejecucióndelprocesodeGestión.

La persona o equipo de personas nombradas deben (previa consulta a la alta dirección):

•Desarrollaryaprobarelprocesoyelprogramadeplanificación de la GCN.

•DeterminarlosenfoquesclavesparacadaetapadelCiclodeVida de la GCN.

•ComprometerogestionarlasactividadesdeGCNapropiadasdentro de la organización.

•PromoverlaGCNatravésdelaorganizaciónyexternamentedonde se considere apropiado.

•Gestionarelpresupuestodecontinuidad.•MantenerladocumentacióndelprogramadeGCN.

•Investigarelestadoactualdedisponibilidaddelaorganización en el mismo sector y el nivel requerido por la legislación y la regulación.

•ReportarelestadoactualdedisponibilidadalaAltaDirecciónsobre una base regular destacando donde hay brechas identificadas.

• Investigar el estado actual de disponibilidad de la organización en el mismo sector y el nivel requerido por la legislación y la regulación.

• reportar el estado actual de disponibilidad a la alta dirección sobre una base regular destacando donde hay brechas identificadas.

La persona o equipo de personas nombradas pueden (previa consulta a los directivos del negocio) identificar y entrenar representantes de la GCN en departamentos operativos o en otras locaciones para:

• actuar como punto de contacto para los problemas de la GCN que afectan al departamento o locación.

• apoyar al departamento para identificar las implicaciones en la GCN del proceso de cambio.

• apoyar o liderar la recuperación del departamento o locación en el evento de una interrupción.

Métodos y técnicasLos métodos, herramientas y técnicas para gestionar el programa de GCN de una organización incluyen:•EstasGuías.

•ApoyodeprofesionalesdeGCNexternos.

•CuadrosdemandodeautoevaluacióndelaGCN.

•Evaluacionesanualesdedesempeñodelpersonalcontratado.

•Gestióndelarelaciónconproveedoresyterceros.

•Gestióndelarelacióndelosproveedoresderecursosyservicios con el especialista en la GCN.

•Gestiónfinanciera.

•Avisoslegalesyregulatorios

•ReferenciacióndelaGCNdelaindustria.

• estándares nacionales e internacionales como la norma Bs25999

• auditorías internas y/o independientes a la GCN.

• revisiones y retos.

isto

ckph

otos

.com

/lor

rain

edar

ke


resultados y revisiónel resultado es el mejoramiento continuo de la capacidad de la GCN.La revisión puede incluir:•Un programa de GCN claramente definido y documentado que está acordado por la alta dirección de la organización.

• asegurar la emisión de reportes de la GCN en una frecuencia determinada.

•estrategia y estándares de la GCN claramente definidos y documentados.

•Proceso de Gestión que forma parte integral del programa y del Ciclo de Vida de la GCN de la organización.

•revisión y provisión de la estrategia de recuperación de la organización.

•Presupuesto anual del programa de GCN.

•reporte de auditoría del programa de GCN.

•Provisión y mantenimiento de la competencia y capacidad efectivas de la GCN.

•Notificación exitosa, escalado, invocación y experiencias de recuperación en respuestas a incidentes reales.

el programa de GCN de una organización debe ser manejado sobre una base continua. debe revisarse por auditores internos o externos en las escalas de tiempo y frecuencias que ellos determinen.

documentación de la GCN

Introducción Una parte importante del proceso de la GCN es la gestión de su documentación. esta necesita llevarse a cabo de una manera que sea consistente, fácil de entender y proporcionar apoyo operativo y para las revisiones de auditoría. el nivel y tipo de documentación debe ser apropiado al tipo y tamaño de la organización.

aunque la documentación del proceso siempre es importante, ésta tiene especial significancia para las organizaciones que desean certificarse contra los estándares de GCN emitidos por entidades de estándares nacionales o internacionales.

Las organizaciones que están listas para certificarse contra los sistemas estándar de Gestión IsO establecidos, necesitarán revisar cómo su documentación se ajusta a esos estándares.

Las organizaciones que están intentando certificarse contra un estándar nacional o internacional de GCN, necesitarán revisar cómo su documentación se ajusta a los requerimientos de los estándares seleccionados.

BCM | Gestión de las Prácicas Profesionales


isto

ckph

otos

.com

/lor

rain

edar

ke



Conceptos y supuestosLa documentación de la GCN tiene tres propósitos: 1. Gestionar efectivamente el programa de GCN.

2. demostrar la gestión efectiva del programa (por ejemplo durante una auditoría).

3. Permitir un apronta y efectiva respuesta a un incidente.

aunque es importante mantener la documentación de la GCN, su propia presencia no es prueba de la capacidad para responder a un incidente.

se debe dar una adecuada formación al grupo de trabajo en la operación de cualquier software propietario o de otras herramientas utilizadas en el programa. Los responsables del mantenimiento de los planes deben estar capacitados para actualizar su documentación ya que promueve su propiedad y reduce los gastos indirectos de la Gestión central de la GCN.

Métodos y técnicas Las herramientas para la documentación de la GCN incluyen procesamiento de documentos, hojas de cálculo, herramientas para diagramas de flujo, bases de datos

y software para Gestión de proyectos, o el uso de un software propietario especializado. Ésto también puede utilizarse para asegurar que las copias actuales de la documentación están disponibles en varios sitios de la organización. el software especializado puede ofrecer algunas ventajas en el mantenimiento, pero impone un costo adicional de formación durante el programa.

se debe establecer un sistema de control documental para gestionar:

•Usabilidadyaccesibilidad.

•Aprobación.

•Actualizaciónyrevisión.

•Controldeversiones.

•Controldedistribución.

•Archivadoydestruccióndedocumentosobsoletos.

resultados y revisiónLa documentación actualizada de la GCN. esto puede incluir: • La política de la GCN.

• roles, responsabilidades y recursos de la GCN.

• definiciones del proyecto para los proyectos de GCN.

• reportes en curso de los proyectos de GCN.

• registros de formación y competencia para el personal de GCN.

• Los resultados del análisis de Impacto en el negocio (aIN).

• Los resultados del análisis Continuo de requerimientos (aCr).

• análisis de amenazas.

• estrategias de la GCN incluyendo documentos que soportan la selección de las estrategias adoptadas.

• Consolidación del nivel de recursos.

• estructura de la respuesta al incidente.

• Planes para la Gestión del Incidente.

• Planes para la continuidad el Negocio.

• Programa de ejercicios.

• Programa de concientización y formación.

• acuerdos de Niveles de servicio (aNs) con clientes y proveedores.

•Contratos para servicios de recuperación con terceros como espacios de trabajo y resguardo.

• Programa de mantenimiento y revisión (auditoría) reportes y acciones correctivas.

el ciclo de revisión de cada documento debe identificarse en las secciones relacionadas con la creación y el uso.

La documentación y sus controles deben revisarse mediante auditorías internas o externas en las escalas de tiempo que ellos definan como parte de su propio programa de auditoría.


isto

ckph

otos

.com

/lor

rain

edar

ke


isto

ckph

otos

.com

/lor

rain

edar

ke

02

isto

ckph

otos

.com

/lor

rain

edar

ke

Integrar la Gestión de la C

ontinuidad del N

egocio en la Cultura O

rganizacional

[37] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL[37] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL


isto

ckph

otos

.com

/lor

rain

edar

ke

Integrar la GCN en la Cultura OrganizacionalVisión de la Integración de la GCN en la cultura de la Organización

Introducción

El establecimiento exitoso de la GCN dentro de la cultura de la organización depende de su integración con la estrategia de la organización y la gestión del día a día, así como de su alineación con las prioridades del negocio.


esto no es único para la GCN. Otras disciplinas como Calidad, salud y seguridad, servicios ambientales, Gestión de servicios de tI, y seguridad de la Información tienen exigencias similares sobre ellas y consecuentemente han utilizado los mismos modelos estándar IsO aprobados para los sistemas de gestión.

algunos de los comentarios en esta sección pueden igualmente aplicarse a otras disciplinas, pero siempre que ha sido posible, se han presentado de manera particularmente pertinentes al profesional de la GCN.

Principios GeneralesLa cultura organizacional es un proceso dinámico y evolutivo; y también complejo y multifacético. debe ser refinado y ajustado constantemente de manera que permita a la organización mejorar su alineación estratégica y su desempeño en el ambiente en el que opera. si la cultura es la apropiada entonces una estrategia efectiva puede ser implementada.

La visión establecida de la cultura organizacional se refleja a menudo como la combinación de supuestos, creencias, valores y patrones de comportamiento que se comparten entre los integrantes de una organización. Éstos factores usualmente no son entendidos conscientemente, pero cuando se combinan crean la forma como la organización se ve a sí misma, su lugar en el mercado y el ambiente en el cual opera.

tratar de dar sentido a estos supuestos no es sencillo. son extremadamente difíciles de observar bajo cualquier grado de exactitud. sin embargo, es justo decir que “la forma como aquí se hacen las cosas”, es una idea que ocupará un lugar prominente en cualquier organización formal e informal. Por tanto, facilitar el cambio en comportamientos es muy difícil de lograr.

Para tener operando un sistema de Gestión de la Continuidad del Negocio (sGCN), se debe asegurar que la organización puede:•AdministrareficientementeelprogramadeGCN

•Inculcarconfianzaensusgruposdeinterés,especialmenteenelequipo de trabajo y los clientes, en su habilidad para manejar las interrupciones.

•Incrementarsucapacidadderespuestaeneltiempomediantela inclusión de las implicaciones de la GCN en las decisiones estratégicas y tácticas en todos los niveles.

•Minimizarelimpactoylaprobabilidaddelasinterrupciones.

estos beneficios sólo podrán lograrse completamente, si la cultura de la organización entiende la necesidad de la GCN y promueve activamente su crecimiento dentro de la organización.

Procesoel proceso para el desarrollo y la integración sostenible de la GCN en la cultura de la organización, es una iteración permanente de lo siguiente:

•Evaluacióndelaculturaactualdelaorganización.

•Entendimientodeadóndequiereirlaorganización.

•Evaluacióneidentificacióndelasdiferenciasentrelasdosanteriores.

esto incluirá:•Evaluarelnivelactualdelaconcienciadeyelcompromisoconla

GCN contra el nivel deseado; luego identificar la brecha para la formación.

•Diseñaryentregarunacampañaparacrearconcienciacorporativay desarrollar las habilidades, el conocimiento y el compromiso requeridos para asegurar que la GCN sea exitosa.

•Verificarquelacampañadesensibilizaciónhalogradolosresultados deseados y monitorizar la sensibilización sobre la GCN en el largo plazo.

Métodos y técnicasLa campaña de sensibilización y sus mensajes deben estar hechos a la medida de las audiencias objetivo. estas audiencias son tanto internas (por ejemplo los profesionales de la GCN y el equipo de trabajo en general) como externas (por ejemplo grupos de interés clave y terceros que dependen de, o que pueden afectar adversamente, los esfuerzos propios sobre la GCN de la organización). La sensibilización externa es particularmente importante donde la GCN opera en un ambiente externalizado.

La visión establecida de la cultura organizacional considera que el cambio estratégico está limitado por patrones rígidos de comportamiento que están respaldados por fuertes controles sociales; y que se manifiestan en valores compartidos, estilos de trabajo y patrones de conducta. Con frecuencia se describen como “esta es la forma como lo hacemos aquí” o “lo que tiene que hacer para encajar ”.

Integrar la GCN en la Cultura Organizacional – 02

isto

ckph

otos

.com

/lor

rain

edar

ke


La experiencia ha mostrado que las iniciativas de cambio en el comportamiento fallan en generar un compromiso duradero, a menos que las actitudes y creencias también estén comprometidas.

Una creencia específica “nunca sucederá aquí” es una barrera particular para la GCN. Para cambiar realmente los comportamientos, es necesario influir en las actitudes. Para influir en las actitudes es necesario desarrollar y establecer creencias. Luego, lograr el cambio cultural puede ser un proceso sutil y prolongado.

en última instancia, el éxito de integrar un programa de GCN estará determinado por el grado en que los individuos cambien sus comportamientos, actitudes y creencias.

sin embargo, como las personas frecuentemente son inconscientes de sus juicios culturales y de los supuestos que subyacen sus maneras de hacer las cosas, una vez la cultura corporativa se ha establecido, es relativamente resistente al cambio estratégico - de ahí nace la necesidad de un proceso iterativo continuo para evaluar y retar supuestos y prácticas.

resultadosHay un límite hasta el que cualquier programa puede influir y alterar la cultura de la organización. Intentos por cambiar las actitudes pueden tener efectos inesperados que pueden ser contraproducentes o incluso tomar la dirección opuesta a la que se perseguía llegar.La implementación de un programa cultural en la GCN no debe ser subestimada, ya que implica la influencia en los valores, creencias y comportamientos; y es un reto para la gestión de cambios importantes que requieren no sólo educación, formación, sensibilización y participación, sino fuertes habilidades de liderazgo de individuos clave.Las evaluaciones necesitan considerarse cuidadosamente porque el análisis raramente es completamente objetivo: las personas traen consigo toda una serie de supuestos anteriores, sabiduría recibida, formas tradicionales sobre cómo hacer las cosas, percepciones heredadas del mundo en el que viven y de su posición o estatus dentro de éste.

Factores de éxito incluyen:

• apoyo visible y continuo de la alta dirección. esto debe incluir presupuesto adecuado para apoyar la campaña permanente de sensibilización. también es importante ganar el compromiso de los mandos medios y de los integrantes del equipo de trabajo operativo quienes se requieren para implementar el programa de GCN.

• ConsultacontodoslosinvolucradosenlaGCNparaeldesarrollo de la campaña. además de proporcionar enfoque en los esfuerzos de sensibilización; la consulta en sí misma ayuda a crear conciencia y puede ayudar a preparar el camino para el compromiso con las nuevas prácticas de trabajo.

•Focalizaciónenlasprioridadesdenegociodelaorganización,relacionando el mensaje de la campaña a los factores corporativos e individuales.


educación, entrenamiento y sensibilización debenabordarse en todos los niveles para lograr efectos duraderos

Creenciascomunicanactitudes

Comportamientos

Actitudes

Creencias

actitudescomunicancomportamientos

isto

ckph

otos

.com

/lor

rain

edar

ke


evaluación del Nivel de sensibilizacióny Formación de la GCN

IntroducciónLa Política de GCN provee el marco de trabajo, que apoya la necesidad del cambio cultural.

La Política de GCN provee el marco de trabajo, que apoya la necesidad del cambio cultural.

antes de planificar y diseñar los componentes de una campaña de sensibilización, es importante entender cuál es el nivel de sensibilización existente y cuál es el nivel deseado. también es importante identificar cómo se medirá el nivel de sensibilización deseado y cuáles cambios se manifestarán en la nueva cultura de GCN.

La competencia y la capacidad de la GCN deben ser apropiadas a la naturaleza, escala, y complejidad de la organización, y por lo tanto reflejar su cultura y apoyar los objetivos del negocio.Los niveles de sensibilización de la organización deben estar en cambio constante en la medida que entran y salen personas. eventos internos y externos pueden conducir a aumentos súbitos en la conciencia y conocimiento de los temas de la GCN.

en la medida en que éstos rápidamente se desvanecen, el programa de GCN debe estar listo para aprovechar y desarrollar las oportunidades cuando surgen.

se deben tener en cuenta las consideraciones para extender el alcance del programa de sensibilización en GCN a los proveedores, clientes, contratistas y otros grupos de interés de la organización.

Conceptos y supuestosse debe buscar una auditoría de la sensibilización actual en la GCN para establecer el nivel de conocimiento y compromiso con el programa de GCN.

Las evidencias se encontrarán principalmente en los patrones de comportamiento, pero hay otras fuentes dentro de la organización. aquellos involucrados en hacer la evaluación de la sensibilización deben tener un buen entendimiento del negocio y de sus objetivos en la GCN.

también deben tener, o estar en la capacidad de vincular, a quienes tienen niveles apropiados de competencias en educación, formación y actividades de sensibilización; al igual que habilidades adecuadas de análisis y relaciones interpersonales.

Como para otras etapas de la campaña de sensibilización, esta actividad requiere la consulta y cooperación del equipo de trabajo a lo largo de la organización. desde la alta dirección, pasando por los profesionales de GCN, hasta el equipo de trabajo sin roles específicos en GCN, pero con la responsabilidad general de “hacer su parte” en la GCN. en particular la alta dirección, desde el principio, debe suministrar el apoyo para el trabajo de sensibilización tanto en

términos de recursos materiales y como en el compromiso con la misión.

requerimientos de Habilidades y FormaciónLa actividad de evaluación de la sensibilización, es efectivamente un análisis de Necesidades de Formación (aNF) y comprende tres tareas principales: 1. establecer el nivel actual de sensibilización de la GCN2. especificar el nivel deseado de sensibilización o formación y cómo

se medirá.

3. Identificar la naturaleza y alcance de “La Brecha de Formación” que debe ser cubierta por la campaña.

Los requerimientos del proyecto o las habilidades del equipo de trabajo de GCN incluyen:•AdministracióndelPrograma

•AnálisisdeImpactoenelnegocio

•DesarrolloeimplementacióndePlanesdeContinuidaddelNegocio

•Gestionarunprogramadeejercicios

se debe suministrar más educación general en temas de GCN para el equipo de trabajo de GCN involucrado en el programa. Por ejemplo:

•Entenderlastendenciasynuevosdesarrollosenlamateria.

•Explorarlasposibilidadesdenuevastecnologías.

•Aprendercómootrasorganizacionesestánenfrenandoretossimilares.

Para otros roles relacionados con la GCN se pueden requerir habilidades específicas para la respuesta a incidentes como:

•Evacuaciónporincendio•Evaluacióndedaños•Salvamento•Restauracióndeequipo•LiderazgoLos requerimientos de sensibilización para el equipo de trabajo

general, pueden incluir:•Cómoactivarunaalarma.•Responderaamenazasespecíficas.•Quéhacercuandoesevacuadodelsitio.•Conocimientodelosplanesderecuperación.•Integracióndesensibilizaciónbásicadentrodelprogramade

inducción al equipo de trabajo.•DóndeencontrarinformaciónacercadelaGCNenlaorganización.

Proceso

Establecer el nivel actual de sensibilización de la GCNesta actividad es un ejercicio de recopilación de información. el objetivo debe ser el de establecer indicadores estadísticos sobre cualquier brecha en sensibilización y una evaluación de la apreciación de, y el compromiso hacia la GCN en grupos objetivo del equipo de trabajo. Las fuentes de información deben incluir:

•Documentación: incluye procedimientos y políticas


isto

ckph

otos

.com

/lor

rain

edar

ke


corporativas, reportes de respuesta a incidentes y crisis, registros de pruebas y ejercicios previos de la GCN, sistemas relevantes de tI y métricas del negocio.

• Retroalimentacióndelaspersonas:incluyeentrevistasconlaAlta Dirección y los directores del negocio, grupos enfocados con profesionales y usuarios finales.

•Observación:incluyerevisiones“ensitio”delasprácticasactuales de trabajo (por ejemplo, en comparación con la política corporativa).

Especificar el nivel deseado de sensibilización y cómo se mediráesta actividad se trata de especificar los comportamientos e indicadores de desempeño asociados, que confirmarán al negocio el nivel de satisfacción sobre la sensibilización en la GCN para cada grupo objetivo del equipo de trabajo. esta especificación debe estar acordada con la alta dirección (en términos del desempeño corporativo de la GCN) y con los directores y profesionales de la GCN (en términos de la viabilidad e integración con las prácticas laborales).

Las especificaciones dependerán de la naturaleza y el alcance del negocio, sus esfuerzos y requerimientos para la GCN, pueden incluir lo siguiente:

•HabilidadesespecíficasrequeridasparalarespuestadelaGCNainterrupciones.

•PrácticasmejoradasdetrabajoqueapoyenlosdesarrollosdelaGCN

•Unmejorentendimientode,ymaterialdeapoyoparalostemasde la GCN por el equipo de trabajo en general.

•UnperfilmásaltodelaGCNenelprocesodetomadedecisiones corporativas, la política y la cultura.

Identificar la naturaleza y alcance de la brecha de formación que requiere ser cubierta con la campaña de sensibilización esta actividad requiere la comparación de resultados de los pasos descritos anteriormente. La naturaleza y alcance de la brecha en la formación debe identificarse en términos de las temáticas de la GCN que serán tratadas en la campaña y el tipo de entrega que sería más efectivo: educación (información), formación (habilidades) o sensibilización (apreciación de y compromiso con, la GCN).

resultados y revisionesLos resultados de la evaluación de la sensibilización deben incluir:

•Elestadodelnivelactualdesensibilizaciónylaeficaciadelequipo de trabajo para apoyar la GCN.

•Elestadodelniveldesensibilizacióndeseadoycómosemedirá.

•Unadefinicióndelabrechadeformaciónincluyendolastemáticas de la GCN que requieren mayor sensibilización en el equipo de trabajo (ya que ésto ayudará a definir el mensaje de la campaña general de sensibilización) y el(los) nivel(es) de competencia en que se encuentra cada grupo objetivo.

La sensibilización del equipo de trabajo puede definirse en uno de los siguientes cuatro niveles:

1. “Incompetencia Inconsciente” donde el equipo de trabajo es inconsciente de los temas de la GCN. No saben lo que no conocen.

2. “Incompetencia Consciente” donde el equipo de trabajo es generalmente consciente de los temas de la GCN, pero conocen muy poco del detalle de los requerimientos.

3. “Competencia Consciente” donde el equipo de trabajo es consciente de los temas de la GCN y es competente (por ejemplo sigue procedimientos documentados) para apoyar la GCN.

4. “Competencia inconsciente” donde el equipo de trabajo es completamente competente en forma instintiva para aplicar la GCN en una gran variedad de circunstancias.

La evaluación de la sensibilización debe realizarse al inicio de la campaña, luego siguiendo el avance de la campaña y posteriormente de manera periódica como un sistema de monitoreo a la capacidad. adicionalmente, las evaluaciones de sensibilización pueden ser necesarias en respuesta a cambios como:

•ProcesosdelNegocioqueafectenlasprioridadesdelaGCN

•LegislaciónoregulaciónqueafectelosrequerimientosdelaGCN

•Incrementodeamenazasyvulnerabilidadesalaseguridad

•Requerimientoscorporativosydeclientes/sociosparadisponibilidad de información y servicios, incluyendo el cumplimiento con normas relevantes.


isto

ckph

otos

.com

/lor

rain

edar

ke


desarrollo de la GCN dentro de la Cultura de la Organización

IntroducciónLa Política de la GCN suministra el marco de referencia que apoya los requerimientos para el cambio cultural. dentro de las actividades de cultura y sensibilización de la GCN, el diseño y entrega del programa de educación, cultura y sensibilización debe derivarse del análisis de brechas de formación. Las responsabilidades de los individuos dentro del programa necesitan asignarse antes de que éste sea diseñado. el propósito de esta actividad es definir los mensajes a ser asimilados por el equipo de trabajo y seleccionar los medios más efectivos para entregarlos.

Las técnicas que podrían utilizarse incluyen:•Formación:HabilidadesespecíficasrelacionadasalaGCN•Educación:ConocimientoespecíficodelostemasdelaGCN•Sensibilización:ConocimientogeneraldelaGCNLotemasasercubiertosporesasactividadesincluyen:•Diseño•Planificación•Entrega

Conceptos y supuestosLa educación, la formación y la sensibilización pueden entregarse de diferentes maneras. Para el éxito de una campaña de sensibilización, es crítica la selección de los métodos más apropiados y efectivos para su entrega. La planificación y el diseño de la campaña deben ser jerárquicos, iniciando con los objetivos derivados de la definición de la Brecha de Formación y sus características constitutivas. Los puntos de aprendizaje a su vez deben identificarse del conocimiento específico, las habilidades y las temáticas de sensibilización que necesitan ser asimilados por el equipo de trabajo para cerrar la brecha.

el personal sin responsabilidad especial para la GCN puede necesitar alcanzar solamente sensibilización o un determinado nivel de competencia para realizar aquellas tareas relacionadas con la GCN que forman parte de su rol dentro de la organización. Los profesionales de GCN, sin embargo, deben recibir una ruta de formación estructurada que les entregue conocimiento, habilidad y finalmente que le brinde competencia en la GCN a través de oportunidades para poner en práctica sus habilidades.

tanto el costeo de la campaña como el esfuerzo requerido, deben ser acordados con la alta dirección durante la etapa inicial del proceso. La disponibilidad del equipo de trabajo para atender los eventos de formación también debe tomarse en

cuenta cuando se planifica la estrategia y el cronograma de la campaña.

Procesoel diseño y entrega de educación, formación y sensibilización comprenden tres actividades principales:1. diseño2. Planificación3. entregadiseño

el diseño en general puede considerar la sensibilización en temas genéricos de GCN como el primer paso para crear interés por formación formal o por eventos similares donde se entregue información clave.

después de los eventos formales de aprendizaje, se debe proporcionar más información y oportunidades para el mismo, a través de por ejemplo: boletines corporativos de noticias, sitios en la intranet, grupos de discusión y otras actividades. en el diseño de la campaña se deben completar las siguientes tareas clave:

•Identificarlasaudiencias.•Identificarlostemaseneducación,formacióny

sensibilización que serán entregados.•Darprioridadalospuntosdeenseñanzaquecomprenden

los temas sobre educación, formación y sensibilización en la GCN.

•Seleccionarelordenylosmétodosnecesariosdeentregapara los puntos de enseñanza prioritarios.

PlanificaciónLa tarea de planificación debe considerar las formas más rentables para la entrega, y tener en cuenta la disponibilidad del equipo de trabajo y las prácticas laborales.

esta tarea también debe considerar la difusión de la campaña en sí misma como parte de la directiva de sensibilización. Las actividades clave en esta tarea deben incluir:

•DiscutiryacordarconlaAltaDirecciónlacampañapropuesta.

•Probarloselementosclavedelacampañaconungruposeleccionado de directores del negocio y con grupos focalizados del equipo de trabajo, y definir los criterios de éxito.

•PlanificarlaintegracióndelmensajedelaGCNconunainducción y formaciones de actualización; al igual que su inclusión en otros formaciónes del equipo de trabajo.

•Realizarpruebaspilotoyevaluarloseventospropuestosparala formación.


isto

ckph

otos

.com

/lor

rain

edar

ke


EntregaLa estrategia seleccionada para el programa de educación, formación y sensibilización depende de circunstancias individuales; por consiguiente se pueden ofrecer únicamente las siguientes recomendaciones generales para estas campañas:

•LacampañadebeaumentarlasensibilizaciónenlostemasdelaGCN en la organización y los empleados.

•ElapoyodelaAltaDirecciónhacialacampañadebeserevidenteenlos eventos y los materiales utilizados en la formación.

•Sedebeofrecerformaciónformalúnicamentecuandohayevidenciade que ha sido aceptada la sensibilización en los temas de la GCN.

•Laasimilacióndelconocimientoolashabilidadesentregadasporla formación, deben evaluarse y cualquier deficiencia debe ser administrada.

•Despuésdefinalizarlasactividadesdeformaciónformal,sedebenrealizar esfuerzos en programas de actualización de educación, formación y sensibilización, para asegurar que el equipo de trabajo es consciente de las continuas necesidades (y cambios) en la GCN.

se debe tener disponible un presupuesto para la formación regular formal del equipo de trabajo y para continuar el desarrollo del equipo de trabajo calificado (especializado) en GCN.

Métodos y técnicasexisten muchas teorías sobre cómo aprenden los adultos y una correspondiente variedad de estrategias de entrega. Mientras los profesionales de la GCN pueden facilitar el contenido formal de la formación, deben trabajar con expertos en formación para desarrollar la estrategia y entregar la campaña.es importante reconocer que la sensibilización no está limitada al formación formal y requiere que la GCN esté integrada con las prácticas laborales. en consecuencia, siempre que sea posible se deben encontrar oportunidades para incluir la GCN en la agenda.

Los recursos de información pueden incluir:•SitiosWebdeGCN

•Libros,periódicosypublicacionesdelaindustria

•Conferenciasyseminarios

•Recursosdeformación

•Cursosexternosaprobadosdeformación

•Programasacadémicosformalesdeeducación

•ForosregionalesdelBCIygruposdetrabajo

•Gruposdetrabajodelaindustria

•Entidadescertificadoras

•Formacionesinternas,incluyendounainducciónespecíficaycursosde actualización.

•Educaciónadistancia(videosobligatoriosdeformaciónbásico,lecturas)

•LaGCNyejerciciosdemanejodeincidentes(internosoexternos)

recursos para la sensibilización:•Documentosinformativos

•Periódicoscorporativos,boletines,artículosyentrevistas

•Visitasalasáreasdetrabajoenlossitiosderecuperaciónyaloscentros de manejo de incidentes

•Sitioswebenlaintranet

•Ejercicios,simulacrosypruebasdelosplanesdelaGCNdelaorganización.

•LosprofesionalesdelaGCNdentrodelaorganización

•Remuneraciónypremiosmedianteelsistemadeevaluacióndeldesempeño.

•ParticipaciónenejerciciosdeGCNoeventosrealesdeotrasorganizaciones.

•InclusióndeobjetivosrelacionadosconlaGCNatravésdelosmecanismos de evaluación del desempeño de la organización.

resultados Los entregables de la campaña comprenderán un rango de actividades de aprendizaje, incluyendo formación presencial, educación a distancia, eventos de sensibilización, y la promoción de los temas de la GCN en las prácticas laborales. Claramente, su naturaleza y alcance dependen de los objetivos específicos de sensibilización de la campaña.

Los resultados de la campaña pueden incluir:•MayorconcienciageneraldelanecesidaddelprogramadeGCN

•SensibilizaciónsobrelaimportanciadelaGCNparalaorganizacióny sus prioridades de negocio.

•IdentificacióndeunenfoqueaceptableparalaGCNquepuedeintegrarse en las prácticas laborales.

•MejorarlaefectividadenlarealizacióndetareasespecíficasdelaGCN.

•RespuestasmásefectivasalosincidentesrealesdeContinuidaddelNegocio.

•MayoresexigenciassobreslosprofesionalesenGCN;porejemplomediante la creciente preocupación acerca de la GCN por parte de los directores del negocio.



Monitorización del Cambio Cultural

Introducciónel propósito de la monitorización de la educación, la formación y la sensibilización es mantener la efectividad y la calidad de la campaña, asegurando su circulación

corporativa con la industria y otros temas pertinentes a la GCN y asegurar que el nivel requerido de sensibilización es alcanzado.

Claramente, tanto el logro global de la campaña como el éxito o fracaso de componentes específicos, deben revisarse para mejorar continuamente la pertinencia y efectividad de la labor realizada.

de otro lado, la campaña de sensibilización debe ser vista como una tarea continua y se requiere hacer revisiones periódicas para verificar cualquier esfuerzo requerido para mantener la sensibilización en un nivel aceptable.

Conceptos y supuestosLa efectividad de la educación, la formación y la sensibilización puede medirse en un número de niveles: desempeño mejorado en los individuos, mejores estándares a lo largo de la organización y aumento del énfasis de la GCN en la cultura corporativa.

se debe tener cuidado para realizar las preguntas correctas no solo desde la perspectiva organizacional sino también desde la perspectiva de los individuos para: obtener las respuestas relevantes, interpretar correctamente los datos y permanecer atentos a los temas por fuera del ámbito central de formación que pueden ser relevantes para la cultura de la GCN en general.

el razonamiento detrás de esto es que las respuestas a menudo son únicas y situacionales y sólo a través de métodos como entrevistas semi-estructuradas, observación del participante y grupos focalizados, puede evaluarse las complejidades del contexto y la importancia del entendimiento de las personas. Los profesionales de la GCN probablemente necesitan asistencia de especialistas en aprendizaje en este campo.

Proceso•Solicitaryrecopilarlaretroalimentaciónsobreformaciones

específicas. Mientras algunas formaciones pueden ser exitosas y otras menos, es importante ir en busca de las tendencias de fondo como por ejemplo, módulos específicos dentro de un curso que constantemente genera críticas.

•Monitorizarlaefectividad.Laretroalimentaciónenelcortoplazo puede proveer información sobre los componentes de una campaña y permitirá su mejoramiento; pero el efecto de la campaña en el largo plazo es más importante y puede manifestarse en términos menos tangibles (por ejemplo: mayor

sensibilización). La efectividad de la campaña debe cuantificarse, siempre que sea posible, en términos de mejoramiento del negocio.

•Monitoreoperiódicodelasensibilización.LaAltaDireccióndebeestar preparada para presupuestar regularmente en ejercicios de evaluación y posibles acciones posteriores.

Métodos y técnicasLa evaluación puede tomar muchas formas. La evaluación efectiva combinará una variedad de métodos de corto y largo plazo, revisando tanto la forma y el contenido de la campaña misma como su efecto sobre la GCN dentro de la organización.

siempre que sea posible, los resultados de la evaluación deben expresarse en términos de los beneficios de la campaña para el negocio. específicamente, la evaluación de los cursos de formación puede incluir discusiones, concursos y exámenes cortos durante el curso para verificar y alinear la enseñanza “al vuelo”. Formatos de evaluación del Curso pueden utilizarse para mejorar la estructura del curso, el contenido y la entrega. La evaluación de un curso debe basarse en una serie de sesiones más que en una sola.

resultados y revisionesLas revisiones deben incluir una variedad de reportes para los niveles apropiados dentro de la organización. deben considerar a la alta dirección, directores relevantes del negocio, profesionales de la GCN y proveedores de formación.La evaluación de la campaña debe hacerse durante y después de que se ha realizado la mayor parte de la campaña para permitir la realineación de la estrategia y revisar si la campaña ha alcanzado su objetivo general de reducir la brecha de formación identificada en la evaluación inicial de la sensibilización.Los resultados de la evaluación de la campaña deben reportarse al equipo de trabajo a través de los canales corporativos y pueden incluir:

• Identificación de requerimientos adicionales en educación, formación y sensibilización.

• Identificación de oportunidades de desarrollo para los profesionales de la GCN.

• Mejoramiento de las prácticas laborales.

se debe realizar una auditoría regular al programa de sensibilización de manera que las deficiencias puedan ser identificadas y tratadas.




Logro del Cambio Cultural a través de sistemas de Gestión de Normas

Introducciónaunque la implementación de un sistema de Gestión de la Continuidad del Negocio formal (sGCN) no resulta por sí mismo en un cambio cultural, sí provee algunos de los prerrequisitos para su éxito. estos son:•CompromisodelaAltaDirección.

•Unprocesoformaldemedicióndeldesempeño.

•LanecesidaddedemostrarlobienquesehaintegradolaGCN.

•Aseguramientodelacalidadyexactituddeladocumentación.

•Aseguramientodelosprocesosyprocedimientosmandatorios.

•Involucramientodeunaampliagamadeindividuosentodoslosniveles.

•Necesidadesdeformaciónypresupuestosapropiadosqueseestablezcan.

sistemas de Gestión Un sistema de gestión para la GCN puede ser definido como parte general del sistema de gestión (de la organización) que establece, implementa, opera, monitorea, revisa, mantiene y mejora la Continuidad del Negocio. esto implica que el sistema tiene: • Una política.

• Personas con responsabilidades definidas para la GCN.

• Procesos de gestión para apoyar la política.• Un conjunto de documentación para proporcionar evidencias

al proceso de auditoría.

• Procesos específicos para apoyar el programa de GCN.

• recursos incluyendo presupuesto, tiempo e instalaciones.

a BCMs uses the Plan-do-Check-act (PdCa) cycle which is common to all IsO management systems.

Planificar establecer la política, objetivos y el alcance del programa

Hacer Implementar el programa de GCN

Verificar realizar auditoría interna y revisión de la gestión del sGCN

Actuar Implementar los resultados de la revisión

aunque la norma IsO pretende ser aplicable a todas las organizaciones, hay una intención clara de no suponer que un sGCN debe tener un diseño uniforme. Corresponde a cada organización diseñar un sGCN apropiado a sus necesidades y a los requerimientos de las partes interesadas.

Certificación La certificación de una organización contra una norma formal no garantiza que se puedan administrar exitosamente todas las interrupciones; tan solo que han sido llevados a cabo los aspectos del proceso de GCN que pueden ser objetivamente auditados.

sin embargo, la naturaleza rigurosa de alcanzar la certificación somete a la organización a un nivel de exposición considerable de la GCN y puede construir sensibilización sobre el tema en todos sus niveles. La certificación, así como el cumplimiento regulatorio, no significan por derecho propio el cambio de cultura, sino que tiene una influencia positiva general, ya que requiere a la organización ser muy clara sobre su Política y objetivos de la GCN y cómo los comunica al equipo de trabajo.



isto

ckph

otos

.com

/lor

rain

edar

ke

isto

ckph

otos

.com

/lor

rain

edar

ke

Entendimiento de la O

rganización

03

isto

ckph

otos

.com

/lor

rain

edar

ke

isto

ckph

otos

.com

/lor

rain

edar

ke




Entendimiento de la Organización

Introducción

El “Entendimiento de la Organización” es la práctica profesional dentro del Ciclo de Vida de la GCN que revisa la organización en términos de cuáles son sus objetivos, cómo trabaja funcionalmente y las limitaciones del entorno en el que opera. La información recopilada hace posible determinar cómo se prepara mejor la organización para ser capaz de administrar las interrupciones que de otra forma podrían dañarla seria o fatalmente.

isto

ckph

otos

.com

/lor

rain

edar

ke


Como se describió en la sección de la Política de GCN, la organización debe tomar una decisión previa y clara sobre si el sGCN abarcará toda la organización o solo ciertos productos o servicios. esto establece el alcance de las etapas de análisis de Impacto en el negocio aIN (Business Impact analysis BIa), análisis de requerimientos de Continuidad arC y la evaluación de amenazas.

Las herramientas para el entendimiento de su negocio para el propósito de la Continuidad del Negocio, son:• análisis de Impacto en el negocio (aIN): Para evaluar el impacto,

en el tiempo, de una interrupción sobre la capacidad de la organización para operar.

• análisis de requerimientos de Continuidad arC: Para estimar los recursos, instalaciones y servicios externos que cada actividad requerirá en la reanudación y retorno a la normalidad luego de una interrupción.

•evaluación de amenazas por medio del análisis de riesgo: Para estimar la probabilidad y el impacto de amenazas conocidas sobre funciones específicas.

el aIN identifica la urgencia de cada actividad realizada por la organización, mediante la evaluación del impacto en el tiempo de una interrupción de esta actividad en la entrega de los productos y servicios. esta información es utilizada para identificar las ventanas de tiempo para las estrategias apropiadas de continuidad y reanudación, para cada actividad individualmente y en relación de unas con otras.

el arC proporciona la información que permitirá determinar la escala (tamaño y número) de las medidas de continuidad apropiadas.

La evaluación de amenazas por medio del análisis de riesgo ayuda a identificar las causas potenciales de una interrupción en la organización, la probabilidad de ocurrencia y el impacto si esa amenaza ocurre. Pueden ser identificadas entonces medidas que intenten reducir la probabilidad de ocurrencia o reducir el impacto de un incidente derivado de estas amenazas específicas.

dentro del Programa de GCN esta etapa debe enfocarse en las amenazas inherentes a las actividades del negocio identificadas en los resultados del aIN como las más urgentes en lugar de todas las amenazas a la organización.

La asignación de tiempo y presupuesto entre la provisión de instalaciones de recuperación y las medidas para mitigar amenazas específicas debe decidirse por experiencia y juicio, ya que no existen fórmulas o reglas para guiar esta decisión.

Un profundo entendimiento de la GCN de la organización por medio de estas técnicas puede a menudo, resaltar ineficiencias del negocio que de otro modo no serían evidentes para la alta dirección.

análisis de Impacto en el Negocio

Introducciónel análisis de Impacto en el Negocio aIN es el fundamento sobre el que se construye todo el proceso de la GCN. Identifica, cuantifica y califica los impactos al negocio de las pérdidas, interrupciones o interferencias en las actividades del negocio en una organización y proporciona la información a partir de la cual se pueden determinar las estrategias de continuidad adecuadas.

Un aIN puede utilizarse para identificar las escalas de tiempo y el grado de impacto de una interrupción en diferentes niveles de una organización. Por ejemplo, para examinar el efecto de:• estrategia: La pérdida de la capacidad para entregar cada

producto o servicio - con el fin de apoyar la decisión del alcance del programa de GCN.

• táctica: Una interrupción de las actividades internas o externas que pueda impedir la entrega de productos y servicios - Con el fin de suministrar información para la selección de las opciones de continuidad y sus requerimientos de recursos.

• Operativas: La interrupción de las actividades de un área del negocio - con el fin de apoyar la preparación de un plan detallado para el departamento.

Principioses necesario obtener el apoyo total de la alta dirección antes de intentar el análisis de Impacto en el Negocio. es poco probable que los directores estén preparados para dedicar tiempo a este ejercicio a menos que esté demostrado el apoyo de la alta dirección.

La decisión sobre qué productos y servicios están dentro del alcance del programa de GCN, se debe haber tomado antes de llevar a cabo el aIN y debe estar documentada en la política del Programa de Gestión de la Continuidad del Negocio GCN. de manera alterna, el método del aIN puede utilizarse para entender el impacto de la

falla en la entrega de productos o servicios y puede utilizarse para decidir el alcance del programa de GCN.

Una vez que se ha definido el alcance, el aIN se enfoca en las actividades (que apoyan esos productos y servicios) identificando aquellas cuya falla podría amenazar más rápidamente la entrega. Éstas tienden a ser actividades “operativas” que interactúan directamente con los clientes u otras organizaciones externas. sin embargo, estas actividades pueden depender para su entrega del apoyo de otros procesos internos o externos, los cuales también deben ser analizados.

Entendimiento de la Organización – 03

isto

ckph

otos

.com

/lor

rain

edar

ke


ejemplos de actividades estratégicas incluyen:•Dirección

•Proyectos

•Planificación

ejemplos de actividades tácticas incluyen:•TI(conexcepcióndelosproveedoresdeserviciosdeTIenlos

que ésto puede ser un servicio externo)

•Recursoshumanos

•Serviciosdeapoyoexternocomolosserviciospúblicos

ejemplos de actividades operativas incluyen:•Servicioalcliente

•Ventas

•Producción

•Visitasadomicilio

•Recopilacióndebasuras

•Suministrodeinformaciónaindividuosuotrasorganizaciones

La alta dirección debe identificar los planes futuros más importantes para la organización que puedan afectar los impactos a ser evaluados en el aIN.

Propósitoel propósito de un análisis de Impacto en el negocio para cada actividad, producto o servicio, es:•Documentarlosimpactoseneltiempoquepuedanresultar

de su pérdida o interrupción.

•IdentificarelMáximoPeríodoTolerabledeInterrupción(MPtI) y por tanto las prioridades de recuperación (ver conceptos a continuación).

•Identificarlasdependencias(internasyexternas)queserequieren para permitir que la actividad opere eficazmente.

es posible (y deseable) que el aIN se utilice para determinar el impacto de interrupción ante cambios mayores en el negocio como:•Introduccióndenuevosproductos,procesosotecnologías.

•Reubicaciónocambioenladistribucióngeográficadelnegocio.

•Uncambiosignificativoenlaoperacióndelnegocio,estructura o las jerarquías del equipo de trabajo.

•Unnuevoproveedorimportanteouncontratodeexternalización.

esto puede permitir a la organización tomar ventaja de los cambios para aumentar su resiliencia o mejorar su capacidad de recuperación.



isto

ckph

otos

.com

/lor

rain

edar

ke


Conceptos y supuestos

Conceptos• Máximo Período tolerable de Interrupción (MPtI): es el tiempo

luego del cual la viabilidad de una organización (ocasionada por una pérdida financiera o reputacional) será afectada irreparablemente si la entrega de un producto o servicio en particular no puede reanudarse.

Los factores que pueden considerarse en la estimación del MPtI, incluyen:> el impacto sobre el equipo de trabajo o el bienestar público.> el impacto de las violaciones de obligaciones legales o

requerimientos regulatorios.

> Impacto reputacional

> daño a la viabilidad financiera

> deterioro en la calidad del producto o servicio

> daño ambiental

> Otros factores específicas para la organización

•La estacionalidad (temporadas) y la variabilidad pueden afectar el MPtI. Como ejemplos, un cierre financiero de final de año puede reducir la tolerancia a que la actividad financiera esté por fuera; mientras que un contrato único con sanciones significativas relacionadas con el tiempo puede reducir la tolerancia a estar por fuera para una serie de actividades dentro de la organización durante la vigencia del contrato.

Terminología es necesario tener cuidado con el uso de la palabra “crítica”. desafortunadamente, para quienes no están familiarizados con la terminología de la GCN, “crítica” es interpretado como “importante”, conduciendo a malos entendidos cuando se recopila la información para el aIN y la incorrecta interpretación de que las tácticas de recuperación y los planes no se requieren para actividades “no críticas”.

Una vez comprobado el MPtI para cada actividad, a menudo es conveniente vincular las actividades con requerimientos similares de recuperación. a veces, las organizaciones llaman a estos grupos de acuerdo con la ventana de tiempo de recuperación (por ejemplo, un día, dos días, una semana, etc.); otros utilizan el término “crítica” (o “misión crítica”) para aquellas actividades requeridas en los

primeros días. sería mejor utilizar términos menos ambiguos; con significados asociados al tiempo, como ‘momento crítico’, ‘momento delicado’, ‘prioritario’ y ‘urgente’.

Supuestos•Sesuponequeeltrabajocomplejoeinterrelacionadodela

organización puede ser entendido mediante el análisis separado de las actividades de la organización.

•Dondeyaexistenmedidasimplementadasderesiliencia(comositios alternos de operación), se debe asumir que se encuentran en funcionamiento.

el MPtI puede ser difícil de determinar para las funciones estacionales (temporadas) o periódicas, como los procesos de fin de año y los proyectos. en tales casos, el análisis de impacto debe centrarse en una interrupción de la actividad durante uno de estos picos, es decir, durante el período más perjudicial.si bien muchas actividades son dependientes de la operación continua de los proveedores, puede no ser posible averiguar las capacidades de servicio y recuperación de estas organizaciones.

Sensibilidad (Confidencialidad) de la Informaciónes posible que alguna información sea confidencial dentro del mercado o la industria, y por lo tanto en algunas organizaciones ésta no será visible al profesional de la GCN. No contar con esta información no debe detener las acciones del aIN que se están desarrollando, sin embargo puede impactar la exactitud de los resultados finales.

Proceso

Alcance y Extensión• Identificar la relación entre las diferentes partes de la

organización ya que esto puede afectar el MPtI.•Cuando una organización cuenta con múltiples sedes, puede

ser necesario decidir sobre la máxima extensión geográfica de la interrupción o la magnitud de la pérdida de recursos que la organización quiere, necesita, o planea para sobrevivir a fin de cuantificar el impacto. esto debe estar documentado en la política de GCN y puede estar determinado por:

> La extensión geográfica (o de mercado/área de clientes). > requerimientos regulatorios o legales. > Productos, nichos de mercado o requerimientos específicos

de los clientes.• si la extensión del aIN va a tomar un tiempo prolongado,

considerar inicialmente limitar su alcance a un subconjunto de productos y servicios. Los restantes pueden ser cubiertos en un aIN posterior.

•aprobar los términos de referencia para el aIN con el patrocinador del proyecto.



isto

ckph

otos

.com

/lor

rain

edar

ke


Análisis de Impacto en el Negocio•Identificarlasactividadesdelnegocioentodalaorganización

(las cuales pueden atravesar varios departamentos)

•Identificarlosdueñosdelosprocesos.

•IdentificarelEquipodetrabajoadecuadoalqueselepuedesolicitar información sobre los procesos del negocio (expertos en la materia)

•Identificarcómounainterrupciónpuederesultarendañoa la reputación, los activos o la posición financiera de la organización.

•Cuantificarlaventanadetiempodentrodelacuallainterrupción de cada actividad del negocio se convierte en inaceptable para la organización, debido a la interrupción en la entrega de sus productos y servicios.

•LarecopilacióndedatosparaelAnálisisdeRequerimientosdeContinuidad (ver más adelante) puede ser realizada al mismo tiempo.

Informes•Obtenerlaaprobacióndeldueñodelprocesoparaconfirmarla

exactitud de la información en el aIN.

•ObtenerelapoyodelPatrocinadordelaGCNsobrelasconclusiones del aIN.

Métodos y técnicas

Recopilación de DatosNo existe una metodología “de talla única” que se ajuste a la recopilación de datos para el aIN. Los métodos pueden variar de un sector de la industria a otro y de un profesional a otro. Cada industria tiene sus propias necesidades específicas por contenido, tipo de información, profundidad y cobertura. sin embargo, los principios básicos que se deben considerar son:• el objetivo del aIN es recopilar información para apoyar la

selección de las estrategias de continuidad más apropiadas. esto está determinado por la urgencia con la cual cada actividad necesita ser reanudada.

• el formato para la recopilación de datos debe estar determinado por la forma en la que los resultados serán presentados.

• La información requerida para establecer la urgencia del desempeño de la actividad que está siendo analizada, incluye:> Cuanto tiempo toma la actividad en completarse.> Localidades desde las que se realiza la actividad.> Factores que influyen sobre la actividad. Por ejemplo:

períodos pico, reportes regulatorios.> Impacto de una interrupción a esta actividad sobre otras

dentro de la organización. > tiempo que la organización puede permanecer sin ésta actividad.> Cualquier alternativa disponible > La ventana de tiempo dentro de la que la actividad debe ser reanudada.

Los factores a considerar, incluyen:•Volúmenes(porejemplo,llamadasporhora,salidasenlalínea

de producción).

•AcuerdosdeNivelesdeServicio(ANS),contratos,requerimientos regulatorios o legales.

Los métodos, herramientas y técnicas para realizar el análisis de Impacto en el negocio aIN, incluyen:• talleres

• Cuestionarios (impresos o por medio de software especializado)

• entrevistas estructuradas y no estructuradas.

Como guía general:• Los talleres pueden suministrar resultados rápidos y una oportunidad

para lograr una vinculación activa con el programa, siempre y cuando haya compromiso de todos los departamentos y participantes.

• Los cuestionarios suministran grandes cantidades de datos pero la calidad de la información puede ser cuestionable si no se completa de forma confiable.

• Las entrevistas pueden suministrar muy buena información pero consumen bastante tiempo y sus resultados pueden variar en cuanto a formato y detalle.

• La combinación de los métodos enunciados puede entregar excelentes resultados proporcionando un nivel apropiado de detalle y un formato estándar de reporte de resultados que apoyará la consistencia en los registros y el análisis de la información a lo largo de las diferentes funciones.


isto

ckph

otos

.com

/lor

rain

edar

ke


Softwareexiste una variedad de productos de software disponibles para conducir un análisis de Impacto en el Negocio que pueden ser útiles, pero no esenciales. Los beneficios clave de utilizar una herramienta de software incluyen la facilidad de análisis de resultados, almacenamiento de información y la presentación de informes; su uso no elimina la necesidad de entrevistas con, e involucramiento de, los individuos expertos en la actividad que está siendo analizada.

Informestoda organización tiene su estilo propio para la presentación de informes. Como requisito, el formato de informe elegido por la organización debe estar establecido y acordado en el momento en que se define el alcance de la actividad, debido a que el formato de presentación final puede impactar la forma como la información se recopila, se compara, se analiza y se presenta.

resultados y revisiónLos resultados de un análisis de Impacto en el Negocio son:•Unalistadelasactividadesquecontribuyenconlaentregade

productos y servicios dentro del alcance.

•ElMáximoPeríodoTolerabledeInterrupción(MPTI)ysujustificación para cada actividad. este determinará los tiempos requeridos de las estrategias de recuperación.

•Dependenciasdelaactividad:internasyexternas.

Las buenas prácticas dictan que un análisis de Impacto en el negocio debe ser revisado como mínimo anualmente, pero con más frecuencia en caso de:• Cambios mayores en el negocio.

• Cambios significativos en los procesos, instalaciones o tecnología al interior del negocio.

• Cambios significativos en el ambiente externo del negocio, tales como el mercado o el cambio en la regulación.

el proceso del aIN no necesita repetirse en su totalidad en cada revisión. solamente aquellas actividades afectadas por el cambio organizacional necesitan ser revisadas detalladamente. Otras actividades pueden requerir una revisión por muestreo y confirmación de los resultados previos del aIN.

análisis de requerimientos de Continuidad

Introducciónel análisis de requerimientos de Continuidad (arC) recopila información de los recursos requeridos para reanudar y continuar las actividades del negocio que apoyan los objetivos y obligaciones de la organización. este paso usualmente se realiza al mismo tiempo que se está reuniendo la información del aIN.

su propósito es:• suministrar la información de los recursos con los cuales se

puede determinar o recomendar una estrategia apropiada de recuperación.

• Identificar los requerimientos de recursos resultantes de la dependencia que existe interna y externamente sobre la actividad.

Conceptos y supuestos

Requerimientos de Continuidada menudo se asume que los recursos requeridos luego de una interrupción serán una parte de los utilizados durante la operación normal, al menos por un período de tiempo. sin embargo, en algunos casos, los recursos necesarios en las primeras etapas de la recuperación pueden ser mayores que los utilizados normalmente, con el fin de hacer frente a retrasos. Por ejemplo, en un call center puede necesitarse

personal adicional para atender las llamadas extras después de una interrupción y los sistemas de tI de soporte pueden requerir mayor capacidad para atender éste número adicional de usuarios.

Máxima Pérdida Tolerable de Datos es la pérdida de datos actualizados (electrónicos y otros) por la cual una organización podría estar inhabilitada para recuperar su capacidad operativa. La antigüedad de los datos podría hacer imposible las operaciones o el valor de los datos perdidos podría ser sustancial.

algunas actividades pueden estar habilitadas para operar adecuadamente sin datos o con datos de varias semanas atrás. Otras actividades no pueden tolerar la pérdida de datos.



isto

ckph

otos

.com

/lor

rain

edar

ke


Proceso

Recopilación de Datossu propósito es cuantificar los recursos requeridos a través del tiempo para mantener las funciones del negocio dentro de un nivel aceptable y dentro del Máximo Período tolerable de Interrupción. se debe tener en cuenta cualquier actividad adicional que se pueda generar por la interrupción y la necesidad de eliminar los retrasos. Las siguientes categorías de recursos pueden ser consideradas:

• Personas: Número, habilidades, etc.

• Instalaciones: Ubicación, tamaño, etc.

• tecnología

• Información

• equipo

• suministros

Informes• Obtener la aprobación del dueño del proceso para confirmar la

exactitud de la información.

• Obtener el apoyo del Patrocinador de la GCN sobre las conclusiones.

• Presentar a la alta dirección para determinar si los resultados serán impactados por cualquier cambio propuesto en el negocio y para aprobar el paso a la etapa de diseño de la estrategia.

•Continuar con el desarrollo de la estrategia de la GCN.

existe una cantidad de métodos, herramientas y técnicas para llevar a cabo un análisis de requerimientos de Continuidad, que incluyen:•talleres

• Cuestionarios (impresos o por medio de software especializado)

• entrevistas (estructuradas o no estructuradas) que usualmente se realizan de manera simultánea con el aIN.

resultados y revisiónLos resultados del análisis de requerimientos de Continuidad, son:•el entendimiento de los recursos requeridos durante el tiempo

posterior a la reanudación para proporcionar los niveles de servicio acordados. Puede ser un simple número o una combinación compleja asociada al tiempo desde el inicio hasta la restauración total.

•Identificación de las interdependencias: actividades (internas y externas) que deben estar en funcionamiento para mantener los niveles de servicio acordados.

esta información alimenta directamente la etapa de estrategia de Continuidad del Negocio. Los requerimientos de recursos proveerán información para evaluar soluciones alternas de recuperación.

el análisis de requerimientos de Continuidad debe ser revisado junto con el aIN.

evaluación de amenazas a través del análisis de riesgos

Introducciónel propósito de la evaluación de amenazas es identificar las medidas que se pueden implementar para reducir la probabilidad y el impacto de la interrupción de las actividades más urgentes de la organización, si se materializa el riesgo.

Previamente se debe haber completado un aIN, para identificar las actividades más urgentes de la organización.

el proceso de evaluar las amenazas utiliza las técnicas de análisis de riesgo para identificar concentraciones inaceptables de riesgo en las actividades y los puntos únicos de falla; e identificar las medidas que pueden ser implementadas para minimizar su probabilidad de interrupción. el aIN documenta los impactos en el tiempo que pueden resultar de la interrupción del negocio, e identifica tanto la urgencia de la entrega del producto y servicio como la de las actividades que habilitarán dicha entrega. esto permite que las medidas de mitigación se destinen a las actividades más urgentes de la organización, mejorando de esta forma el retorno esperado de la inversión y minimicen el impacto durante la interrupción.

Muchas organizaciones tienen una función de Gestión de riegos bien establecida, mantienen un registro corporativo de riesgos y tienen el análisis de riesgo integrado en la organización en la medida en que todos sus directores deben evaluar los riesgos como parte de sus prácticas y procedimientos normales. Por lo tanto, la valoración de amenazas puede ya estar disponible para las actividades de la organización. sin embargo, la existencia de la función de Gestión de riesgo no es prerrequisito para un programa efectivo de GCN.

en algunos países y sectores, la utilización del análisis de riesgos es mandatoria. esto conducirá a una evaluación formal de riesgos y la consideración de las medidas apropiadas para transferir, aceptar, reducir o evitar los riesgos. sin embargo, la evaluación de amenazas como parte de la GCN no es lo mismo que realizar un análisis de riesgos. Utilizar las técnicas de análisis de riesgo como parte de la GCN puede informar a un programa de Gestión de riesgos que esté operando, pero éste no es su objetivo primario.

Modelos de Gestión de riesgoexisten muchos modelos de Gestión de riesgo de uso común, algunos de naturaleza general y otros que han sido completamente desarrollados para una industria o sector específico. Virtualmente, todos esos modelos involucran la identificación de amenazas (o peligros) específicas y utilizan una fórmula para calcular un valor de riesgo basado en la probabilidad de la amenaza y el impacto de la amenaza (si ésta se materializa).

La fórmula más sencilla es:

• Valor del riesgo = Impacto de la amenaza x Probabilidad de la amenaza


isto

ckph

otos

.com

/lor

rain

edar

ke


Otros modelos utilizan fórmulas más complejas e incluyen el nivel de mitigación ya implementado. algunos modelos de riesgo se ordenan por el análisis de la capacidad para controlar ese riesgo. esta fórmula prioriza las amenazas más fáciles de controlar bajo el argumento de que esto dará el mejor retorno sobre la inversión de tiempo y dinero, pero lo hacen ignorando muchos impactos externos significativos.

Mientras son razonablemente efectivos en el tratamiento de riesgos en “Operación Normal”, muchos profesionales de Continuidad de Negocio creen que estos métodos y técnicas de análisis de riesgo tienen graves deficiencias en la evaluación de riesgos operativos catastróficos porque:

• es imposible identificar todas las amenazas.

• La estimación de la probabilidad es una conjetura o están basada en información histórica.

• La probabilidad de ocurrencia de un evento depende del período de tiempo en evaluación. entre mayor sea el período de tiempo es más probable la ocurrencia del evento.

•Las escalas numéricas más utilizadas para clasificar probabilidad e impacto (por ejemplo: 1 para bajo, 2 para medio, 3 para alto), sobreestiman el impacto de los eventos menores y no pueden utilizarse para calcular una medida comparativa de riesgo. (Por ejemplo: un riesgo de baja probabilidad y alto impacto tiene el mismo valor que un riesgo con alta probabilidad con bajo impacto?).

• el uso de una escala numérica para asignar un valor a los impactos no puede reflejar adecuadamente la importancia relativa de activos menos cuantificables como la reputación.

•el “apetito de riesgo” o la “tolerancia al riesgo” de la organización es la cantidad de riesgo que una organización está preparada para aceptar y restringe el nivel de acción que se tomará para controlar las amenazas identificadas.

Las anteriores deficiencias demuestran lo difícil que es medir el riesgo y por lo tanto, especificar estos parámetros con cualquier certeza.

ProcesoLos pasos clave en la evaluación de amenazas, son:• registre las amenazas internas y externas que pueden

causar interrupción a las actividades más urgentes de la organización, definidas en el aIN.

• determine el sistema de calificación para impactos y probabilidades. acuerde el enfoque con la alta dirección.

• estime el impacto de cada amenaza, sobre la organización, utilizando el sistema de calificación acordado.

• Calcule el riesgo de cada amenaza mediante la combinación de la calificación de su impacto y probabilidad, según una fórmula acordada.

• revise los resultados de las calificaciones del análisis de riesgo.

• Priorice las amenazas por nivel de riesgo.• Identifique las áreas inaceptables de riesgo o los puntos

únicos de falla.• si la organización cuenta con un programa de Gestión de

riesgo, entregue los resultados de la evaluación de amenazas a la persona responsable del programa.

• recomiende las acciones que puedan tomarse para reducir la amenaza de interrupción sobre las actividades más urgentes de la organización.


isto

ckph

otos

.com

/lor

rain

edar

ke


Métodos y técnicassi la organización tiene establecida una función de Gestión de riesgo, considere la utilización del método o técnica establecidos de evaluación de riesgos para la valoración de la amenazas.

se pueden obtener muchos sistemas de calificación para la evaluación de riesgos de la literatura publicada.

así como se eligen sistemas de calificación para la evaluación de riesgos para impactos y probabilidades, los métodos y técnicas que pueden utilizarse para identificar y evaluar amenazas, incluyen:

•Registrosderiesgosdelaorganización(siexisten).

•Identificacióndelasamenazasinternasyexternasdefuentesapropiadas.

•Análisisdeeventosporelmétododelárbol(Eventtreeanalysis).

•Análisisdefallasporelmétododelárbol(Faulttreeanalysis).

•Análisisdelosgruposdeinterés.

•Planificacióndeescenarios.

•AmenazasidentificadasduranteelprocesodelAIN.

•Incidentespreviosexperimentadosporlaorganización,elsectordela industria o el vecindario.

•Peligroslocalesconocidos:naturalesodeorigenhumano.

•Ubicacióngeográfica.

•Análisisderedesdetrabajo.

Las probabilidades pueden analizarse utilizando:• estadísticas de los seguros

• estadísticas publicadas sobre frecuencias de desastres.

Las técnicas y medidas específicas de reducción de amenazas que pueden adoptarse, incluyen:• seguir recomendaciones sobre seguridad física de diversas

asociaciones profesionales de seguridad nacionales e

internacionales; muchas de ellas publican guías y buenas prácticas.

• seguir recomendaciones de seguridad de la información de diversas entidades de seguridad de la Información y de tecnologías de Comunicación de Información nacionales o internacionales. Las normas IsO27001 e IsO27002 brindan valiosas guías a seguir.

• Los sistemas de monitoreo pueden suministrar aviso oportuno sobre fallas de los servicios públicos, fallas en los equipos y de amenazas de interrupción.

• aspersores y sistemas de extinción de incendios.

• redes de comunicaciones resilientes para eliminar los puntos únicos de falla.

Las soluciones propuestas deben ser evaluadas utilizando el análisis de la relación Costo/Beneficio.

resultados y revisiónLos resultados de la evaluación de amenazas son:• Un listado de amenazas que pueden causar la interrupción de las

actividades más urgentes de la organización, priorizadas por el nivel de impacto.

• La identificación de los puntos únicos de falla inaceptables.

• recomendaciones sobre acciones a ser tomadas para reducir la amenaza de interrupción sobre las actividades más urgentes de la organización.

Las amenazas a las actividades más urgentes de la organización deben ser reevaluadas anualmente o con más frecuencia si:• Ha sido actualizado el aIN

• Hay un cambio significativo en los procesos internos, las instalaciones o la tecnología del negocio.

• Hay un cambio significativo en el ambiente externo del negocio como el mercado o cambios regulatorios.



isto

ckph

otos

.com

/lor

rain

edar

ke

Determ

inar la Estrategia de la Continuidad

del Negocio

04

isto

ckph

otos

.com

/lor

rain

edar

ke



Determinar la Estrategia de la Continuidad del NegocioIntroducción

“Determinar la Estrategia de la Continuidad del Negocio” es la práctica profesional dentro del Ciclo de Vida de la GCN que determina cuáles estrategias cumplirán con la Política de la GCN y los requerimientos organizacionales; y selecciona las respuestas tácticas de las opciones disponibles.


isto

ckph

otos

.com

/lor

rain

edar

ke


“determinar la estrategia de Continuidad del Negocio” utiliza la información obtenida del análisis en la etapa de “entendimiento de la Organización” del proceso de GCN para identificar y seleccionar las opciones de recuperación y continuidad. esto permitirá entrar en funcionamiento a las actividades de la organización después de una interrupción, antes de que la supervivencia de la organización esté amenazada por su pérdida. se compone de tres elementos:

1. Identificación y selección de las estrategias.

2. Identificación y selección de las de las respuestas tácticas a partir de las Opciones disponibles.

3. Consolidación para Nivelar recursos.

Principios GeneralesLa Identificación y Selección de Estrategias idetermina las estrategias que están disponibles para apoyar la entrega continua de los productos y servicios de la organización dentro de sus Máximo Período tolerable de Interrupción (MPtI) y Máxima Pérdida tolerable de datos (MPtd) previamente definidos. evalúa las ventajas y desventajas de cada estrategia, acuerda las estrategias más apropiadas para investigaciones tácticas posteriores y cumple con el tiempo Objetivo de recuperación (tOr) y el Punto Objetivo de recuperación (POr) para cada producto y servicio.

La Identificación y selección de las respuestas tácticas a partir de las Opciones disponibles establece las tácticas que están disponibles dentro de las estrategias seleccionadas para cada actividad que la organización realiza para entregar sus productos y servicios; identifica los costos y dificultades asociados con cada táctica; selecciona las tácticas más apropiadas para la actividad; y confirma que los recursos suministrados cumplirán los requerimientos de recuperación y reanudarán la actividad en un tOr que es menor a su MPtI y un POr que es menor a su MPtd.

La Consolidación para Nivelar recursos reúne todos los recursos que van a ser suministrados a través de las estrategias y tácticas seleccionadas para ofrecer una visión consolidada de los requerimientos de recursos. esto se utiliza para validar que las estrategias y tácticas son viables cuando son vistas desde una perspectiva global, y aprovechar el apalancamiento cuando se compran servicios comerciales de continuidad de negocio a terceras partes.

Identificación y selección de estrategias

IntroducciónLa organización necesita seleccionar las estrategias de GCN que la permitan proteger la entrega continua de sus productos y servicios. esta sección abarca la identificación y selección de estas estrategias.

Una cantidad de parámetros previamente establecidos serán usados como ayuda para identificar y seleccionar las estrategias apropiadas. el MPtI es el tiempo luego del cual la viabilidad de una organización será irreparablemente afectada si no se puede reanudar la entrega de un producto o servicio.

el tiempo objetivo para reanudar la entrega de un producto o servicio después de su interrupción, se conoce como su tiempo Objetivo de recuperación (tOr).

La Máxima Pérdida tolerable de datos (MPtd) es la pérdida de información actualizada (electrónica y de otro tipo) por la cual una organización puede ser incapaz de recuperar su capacidad operativa. La edad o el valor de los datos perdidos pueden hacer imposible la reanudación de sus operaciones. el tiempo objetivo para el peor caso de pérdida de datos, es conocido como su Punto Objetivo de recuperación (POr).

Un aIN y un arC actualizado suministrarán el MPtI y el MPtd para cada producto y servicio dentro del alcance del programa de GCN. estos también cuantificarán los requerimientos de recuperación para las actividades que apoyan la entrega de productos y servicios.

Los parámetros tOr y POr para cada producto y servicio son definidos en esta sección. esto conduce a la selección de las estrategias de GCN más apropiadas.

Conceptos es necesario establecer las estrategias de recuperación y las opciones de soporte táctico, para determinar cual permitirá a la organización reanudar sus operaciones en una ventana de tiempo que cumpla tanto con el tOr como con el POr para cada producto y servicio.

Para hacer esto de manera efectiva, se deben considerar ciertos conceptos con algún nivel de profundidad:

Balance entre Costo y Velocidad de Recuperaciónen muy raras ocasiones, cuando el costo no es una consideración, sería posible definir e implementar una solución perfecta. sin embargo, en la práctica normal de

los negocios, siempre hay una compensación entre el costo y la velocidad de recuperación, la cual necesita ser balanceada cuando se selecciona la estrategia más apropiada. en muchas situaciones, es cierto que a menor tOr mayor es el costo para la organización, mientras que a menor tOr es más barata la solución. Por supuesto que un tOr prolongado incrementa la posibilidad de que la recuperación no se logre dentro del MPtI.

Consecuentemente, la organización siempre debe buscar el balance entre la capacidad de recuperación contra unos costos alcanzables y razonables.

Determinar la Estrategia de la Continuidad del Negocio – 04

isto

ckph

otos

.com

/lor

rain

edar

ke


Distancia de Separación y el Concepto de “Off-site”Para mejorar su continuidad, una organización puede: mantener copias duplicadas de sus recursos vitales, utilizar múltiples proveedores, tener una réplica de sus operaciones en diferentes ubicaciones o tener sitios alternos para su recuperación. Como muchos incidentes con frecuencia generan pérdida de acceso a, o daño a un área geográfica o ubicación, existe la necesidad de estar a una distancia adecuada de separación entre los recursos originales y los duplicados, los diferentes proveedores, las operaciones replicadas o el sitio principal y el sitio alterno de recuperación.

Como los incidentes pueden resultar en la destrucción completa de un lugar, es necesario asegurarse que los registros vitales en medio electrónico y en papel estén duplicados en otra ubicación separada geográficamente, de manera que les permita ser:

•Accesiblesrápidamente

•Recuperablesparasuusodentrodeunaventanadetiempodefinida.

a pesar que una mayor dispersión geográfica por lo general disminuye la probabilidad de que dos sitios sean afectados por el mismo incidente, no existe distancia “mínima” o “correcta” para la separación. de hecho para algunas amenazas, como pandemias y virus informáticos globales, la distancia de separación no proporciona ninguna protección contra la probabilidad de que se experimente incidentes simultáneos.

Para muchos incidentes físicos convencionales, algunos cientos de metros probablemente proporcionen protección limitada debido a la forma como los servicios de emergencia usan barreras y suspenden o redireccionan el flujo del tráfico. algunas organizaciones pueden utilizar su mercado o área de jurisdicción para definir el límite de su dispersión; otras pueden seleccionar la alternativa pragmática de situar un sitio alterno dentro del límite de que tan lejos juzgan que su equipo de trabajo puede viajar.

Diferentes Fases de RecuperaciónHay tres fases o niveles a considerar cuando se identifican y seleccionan las estrategias para recuperar la entrega de un producto o servicio después de una interrupción:1. Continuidad: Para un nivel inicial mínimo aceptable.

2. recuperación: Para un nivel sostenible.

3. reanudación: regreso al nivel normal.

se requiere una estrategia de Continuidad para cada producto o servicio, pero las estrategias de recuperación y reanudación, pueden no ser necesarias. ejemplos de tales situaciones se incluyen cuando:

• el tOr está medido en semanas.

• el nivel mínimo aceptable es muy cercano o igual al nivel sostenible.

• La organización puede desear utilizar el incidente como una oportunidad para cambiar la forma como opera, en cuyo caso puede ser apropiado esperar hasta después del incidente para determinar las estrategias de recuperación y reanudación.

Procesoes necesario realizar el siguiente proceso para cada producto o servicio dentro del alcance del Programa de GCN:

• Identificar el MPtI y decidir sobre el tOr, de manera que el tOr sea menor que el MPtI.

• Identificar el MPtd y decidir sobre el POr, de manera que el POr sea menor que el MPtd.

• si hay algunas estrategias operando, conducir un “análisis de Brechas” para comparar el desempeño actual contra el desempeño requerido.

• Identificar las estrategias adecuadas que permitan alcanzar el tOr

• analizar las estrategias por efectividad y costo.

• suministrar a la alta dirección la evaluación de las estrategias y una recomendación.

Obtener el acuerdo de la alta dirección sobre las estrategias a utilizar. Éstas deben incluir la asignación financiera y de recursos para determinar e implementar las opciones tácticas que serán aceptables para cada actividad que apoya el producto o servicio.

alcanceLas estrategias deben incluir las siguientes consideraciones:•Sitiosdistribuidos(OperaciónDistribuida)

•Replicación

•InstalacionesdeReserva

•Trabajosubcontratado

•Adquisicionesposterioresalincidente

•Seguros

•Nohacernada

Sitios Distribuidos (Operación Distribuida)requiere llevar a cabo las actividades de entrega del producto o servicio en dos o más sitios geográficamente separados, de manera que las operaciones puedan ser alternadas de un sitio al otro. ambos sitios están activos. a pesar de que esta estrategia usualmente entrega un alto grado de resiliencia, puede ser muy costosa y no proteger a la organización si el incidente tiene alcance global como una pandemia o un virus informático. esta estrategia es apropiada cuando el tOr está dado en minutos u horas en lugar de días.

Replicación Una variación a los sitios distribuidos (operación distribuida) es replicar la capacidad de realizar todas las actividades requeridas en otro sitio geográficamente separado y movilizar a las personas


isto

ckph

otos

.com

/lor

rain

edar

ke


al sitio alterno luego del incidente. Un sitio está activo y el otro inactivo. Las instalaciones pueden ser obtenidas de un tercero o provistas por la misma organización.

esta estrategia puede ser apropiada cuando el tOr es mayor a unas cuantas horas y menor a un día, siempre y cuando el equipo de trabajo pueda desplazarse lo suficientemente rápido al sitio alterno para reanudar la entrega del producto o servicio dentro del tOr. sin embargo, esta estrategia se basa en que el equipo de trabajo puede y está dispuesto a trabajar lejos del sitio normal durante lo que podría ser un periodo prolongado de tiempo.

Instalaciones de ReservaCuando el tOr es mayor a un día, una estrategia adecuada puede ser la de tener disponible unas instalaciones de reserva que se pueden poner en funcionamiento dentro del tOr. de nuevo, esta podría ser una instalación obtenida de un tercero o proporcionada por la misma organización. esto es particularmente adecuado cuando una instalación ha sido cerrada temporalmente, pero con la capacidad de ser puesta en funcionamiento en el corto plazo. también se basa en que el equipo de trabajo puede y está dispuesto a trabajar lejos de su sitio normal durante lo que podría ser un período prolongado de tiempo.

Trabajo Subcontratadoalgunas o todas las actividades necesarias para entregar un producto o servicio pueden ser objeto de subcontratación con terceros. Para los productos y servicios que tienen un tOr corto, estos acuerdos de subcontratación necesitan ser establecidos de antemano; pero para productos y servicios que tienen un tOr largo

podría ser posible esperar hasta después del incidente antes de entrar en un contrato.

La subcontratación puede ser particularmente conveniente para la fabricación, donde el costo adicional de tener diversos sitios, réplicas o instalaciones de reserva podría ser demasiado costoso. sin embargo, en algunas situaciones, la única opción de la

subcontratación puede ser el uso de otra organización que opera en el mismo mercado, la cual podría ser un competidor.

si el tOr es menor a un día o dos y los arreglos para subcontratar se han establecido de antemano, la estrategia de mantener diseños, plantillas e inventarios de piezas y materias primas en, o cerca de sitio del subcontratista, puede ser una estrategia apropiada.

Adquisiciones posteriores al IncidentePara productos y servicios que tienen su tOr medido en días o semanas, una estrategia adecuada puede ser simplemente tener una lista de los requerimientos y de los proveedores que los puedan suministrar en el corto plazo. se deben ordenar las instalaciones necesarias después de que el incidente ha sucedido.

esta no sería una estrategia adecuada para un producto o servicio que requiere equipo especializado, instalaciones o habilidades que son difíciles de obtener.



isto

ckph

otos

.com

/lor

rain

edar

ke


SegurosLos seguros, cuando están contratados de manera apropiada, proporcionan compensación financiera por la pérdida de activos, el incremento de los costos de trabajo, la reanudación de los negocios y protección por las responsabilidades legales asociadas. sin embargo, es poco probable dar cobertura a la totalidad de los costos de un incidente, incluyendo la pérdida de clientes, el impacto de valor para los accionistas o la pérdida de reputación e imagen de la marca. Por lo tanto es importante, que las opciones de continuidad seleccionadas sean coherentes con la cobertura de los seguros de la organización.

La cobertura de Interrupción del Negocio (IN) es la más estrechamente relacionada con la GCN, pero es importante tener en cuenta que por lo general esta sólo cubre las pérdidas del negocio que están asociadas a otras pérdidas asegurables (como la pérdida de edificaciones). Más recientemente, algunas aseguradoras han comenzado dar cobertura a un mayor número de interrupciones tales como fallas del proveedor.

Para las PYMes (pequeñas y medianas empresas), los seguros pueden proporcionar algún apoyo útil después de la pérdida de personas clave debido a su muerte, lesión o renuncia.

No hacer nadaen situaciones en las que el tOr está calculado en meses, puede ser aceptable la espera hasta después del incidente para decidir sobre la estrategia para recuperar un producto o servicio, especialmente si la entrega del producto o servicio no requiere: equipo especializado, instalaciones o habilidades que son difíciles de obtener.

resultados y revisiónel principal entregable es un conjunto de estrategias de GCN que ha sido acordado con la alta dirección para cada producto y servicio dentro del alcance del programa de GCN; además de un acuerdo para proporcionar los recursos para establecer las opciones tácticas para alcanzar los objetivos estratégicos.

se debe llevar a cabo una revisión de las estrategias de la GCN después de haber sido probada cualquier capacidad de recuperación, y por lo menos una vez al año después de una actualización del aIN y del arC. Un cambio significativo en cualquiera de los siguientes aspectos también debe llevar a la revisión de las estrategias de la GCN:

• Condiciones del mercado

• adquisiciones o fusiones

• Productos o servicios

• requerimientos regulatorios o legales

• exigencias de los clientes

Identificación y selección de respuestas tácticas

Introducciónel propósito de este paso es seleccionar las opciones tácticas apropiadas de continuidad para cada actividad que apoya la entrega de los productos y servicios de la organización, y para identificar que necesita hacerse para implementar las opciones seleccionadas. estas tácticas estarán basadas en las estrategias de la GCN seleccionadas para cada producto o servicio.

Las tácticas apropiadas para cada actividad necesitaran seleccionarse para cubrir los requerimientos en las áreas relevantes de:

•Personas(habilidadesyconocimiento)•Ubicaciones(edificioseinstalaciones)•Recursos

> tecnología de la Información> telecomunicaciones> Información no electrónica (impresa)> equipo

• Proveedores (productos y servicios suministrados por terceros)• Para organizaciones manufactureras, es necesario prestar

especial atención a:> Procesos de producción> Materiales, logística e inventarios> energía y servicios públicos

Para realizar esta etapa, se deben tener disponibles los parámetros de tOr y POr con el arC actualizado que identifique los requerimientos de recuperación. también

deben estar disponibles las estrategias de GCN acordadas para cada producto y servicio.

Conceptos determinar las tácticas de recuperación y seleccionar las soluciones apropiadas a partir de las opciones disponibles es la parte más detallada del Ciclo de Vida de la GCN. esto debido a que es:

a) La parte del proceso que probablemente incurrirá en la mayoría de los gastos

b) La parte fundamental de la infraestructura técnica y operativa que se necesita para hacer viables los planes en la práctica.

Para hacer esto eficientemente es necesario considerar ciertos conceptos con alguna profundidad:

se debe tener en consideración lo siguiente:•Alcancedelaplanificación

•Actividadesurgentes

•TiemposObjetivosderecuperaciónparalasactividades

•Opcionesdeacuerdoaltiempo




•Confiabilidad

•Revaluacióndeestrategias

•Costoscontrabeneficios

•Sitiosdetercerospararecuperación

•Necesidadesdelosdiferentesgruposdeinterés

•Exigenciasdelosserviciosdeemergenciacivil

Alcance de la Planificaciónel alcance y el detalle que se requiere al planificar las tácticas de cada actividad, dependerá de la urgencia con la que se les requiera y de la complejidad de la reanudación.

Actividades urgentesNo todas las actividades asociadas a un producto o servicio necesariamente tienen que estar en funcionamiento dentro del tOr para los productos o servicios y en grandes organizaciones, la magnitud y la dificultad para determinar las opciones de la continuidad de todas las actividades sería poco práctico. Por estas razones, la definición de las opciones de continuidad debe concentrarse en las actividades más urgentes. estas se han identificado durante la aIN, y generalmente consistirán en aquellas actividades en las que la MPtI de los productos y servicios a los que soportan, y por lo tanto el tOr, es relativamente corto.

Tiempo Objetivo de Recuperación para las actividadesCuando una actividad tiene que estar en operación para garantizar la entrega de un producto o servicio, el tOr para esa actividad debe ser menor o igual al tOr del producto o servicio que soporta.

Opciones de acuerdo al tiempoLas opciones de continuidad de las actividades pueden cambiar con el tiempo en la medida en que la actividad se pasa por los tres niveles de recuperación: 1 Continuidad inicial: a un nivel mínimo aceptable

2 recuperación: a un nivel sostenible

3 reanudación: volver al nivel normal

ConfiabilidadCuando las opciones contempladas involucran la provisión de servicios por terceros, a menudo hay que tomar una decisión de gestión entre el costo y la confiabilidad del proveedor. Las promesas pueden variar desde acuerdos verbales de reciprocidad de “los mejores esfuerzos” a niveles de servicio formalizados contractualmente. Cuanto más corto sea el tOr, la confiabilidad se convierte en lo más importante para la entrega.

Revaluación de estrategiasNo es raro encontrar que existe la necesidad de re-evaluar las estrategias de GCN para un producto o servicio una vez que se han

revisado las opciones tácticas de continuidad para las actividades que apoyan su entrega.

Análisis Costo-beneficioes difícil utilizar el análisis convencional de costo-beneficio para justificar el costo de las medidas de protección o de continuidad porque se requiere realizar supuestos sobre la probabilidad de ocurrencia de los incidentes. Las industrias manufactureras y de servicios que proveen a otras empresas pueden ser capaces de sustentar que se puede lograr aumentar las ventas o mejorar los márgenes, mediante la demostración de las capacidades de la GCN (por ejemplo, mejorar la confiabilidad) a sus clientes y por tanto muestran un beneficio en comparación con los costos. esto es más difícil de demostrar cuando el servicio es no comercial o se presta como un servicio público.

Sitios de terceros para recuperaciónLos arreglos de sitios con terceros están ampliamente disponibles en muchos países.

Las opciones varían ampliamente y se discuten con mayor detalle en el anexo 1.

Necesidades de los diferentes grupos de interés existen muchas personas y grupos afectados por un incidente. Por ejemplo, en un gran incendio puede haber contratistas heridos, residentes locales evacuados de sus viviendas y las empresas locales tienen que cerrar por razones de seguridad o sufrir una reducción en su comercio. deben estar entendidos los niveles de responsabilidad de la organización (tanto legales como morales) para estos grupos.

La organización debe asegurar que las necesidades de los diversos grupos de interés están satisfechas al seleccionar las opciones de continuidad, de lo contrario, pueden obstaculizar los esfuerzos posteriores de recuperación. Por ejemplo, los residentes locales podrían presionar a las autoridades locales para negar el permiso para la reconstrucción en un sitio dañado.

Exigencias de los servicios de protección civil La organización debe estar familiarizada con los procedimientos de los servicios de emergencias locales y el contacto con estos grupos por adelantado puede proporcionar información útil para ayudar a seleccionar las opciones tácticas.

Las organizaciones de respuesta a las emergencias civiles deben implementar su propio programa de GCN para garantizar que la interrupción de sus instalaciones no constituye un obstáculo para el servicio de respuesta que debe proporcionar a la comunidad. en muchos países, la planificación de la GCN es un requisito legal para los servicios de protección civil.

Procesoel proceso incluye los siguientes pasos:• Identificar las actividades a incluir para cada producto o servicio.

• determinar el tOr y el POr para cada actividad de acuerdo con el producto o servicio que ésta apoya.

• Identificar las opciones tácticas para cada actividad.



•Analizarlasopcionesporefectividadycosto•EntregaralaAltaDirecciónunaevaluacióndelasopcionesy

recomendaciones.> Obtener un acuerdo con la alta dirección sobre las tácticas

a utilizar incluyendo las disposiciones financieras y de recursos para su implementación.

> Identificar los proyectos de la implementación para cada táctica seleccionada.

alcanceel alcance de esta parte del proceso es complejo y exigente. a menudo, podrá ser necesario contar con asesoramiento técnico de expertos en otros campos, en particular para empresas manufactureras. Por lo general, especialistas en compras y suministros, manejo de inventarios y planificación de la capacidad podrían necesitarse para ayudar a definir las tácticas más apropiadas.

en términos generales, el profesional de la GCN necesita asegurar que las siguientes áreas están contempladas en cualquier solución táctica:•Personas

•Edificaciones

•Recursos

•Proveedores

debido a las grandes diferencias en los tipos de negocios que implementarán la GCN, no es posible una Guía como ésta para que señalar cuáles tácticas serán las adecuadas para cada empresa, sector o ubicación geográfica. sin embargo, el anexo 1 suministra recomendaciones relevantes que podrán ayudar en el proceso de selección y decisión.

a pesar de que las opciones seleccionadas necesitan trabajar

de manera aislada (por ejemplo, en el evento que la pérdida es únicamente un sistema de información o una sola línea de producción), también necesitan trabajar conjuntamente (por ejemplo cuando un edificio se pierde en un desastre que destruye todos los recursos en el edificio, deja algunos integrantes del equipo de trabajo no disponibles para laborar y también interrumpe el servicio de un proveedor local crítico).

resultados y revisionesLos resultados y entregables de esta etapa son:• Un conjunto de opciones tácticas de continuidad aprobadas por

la alta dirección.

• Financiación y recursos aprobados para implementar las opciones tácticas acordadas.

• La relación de proyectos para la implementación de las opciones tácticas acordadas.

Otro resultado puede ser la reevaluación de las estrategias de GCN seleccionadas para un producto o servicio, si las opciones tácticas demuestran no estar disponibles o ser costosas.al menos cada 12 meses se debe hacer una revisión para asegurar que ha sido seleccionada la opción de continuidad más apropiada para cada actividad urgente e importante, y después de cualquier cambio en las estrategias de la GCN sobre cualquier producto o servicio que apoya la actividad.Cualquier cambio significativo en los siguientes aspectos también puede implicar una revisión:• Las habilidades requeridas para realizar la actividad.

• Las edificaciones en las cuales se lleva a cabo la actividad.

• Los recursos utilizados por la actividad (particularmente tI).

• Los proveedores de los que depende la actividad.


isto

ckph

otos

.com

/lor

rain

edar

ke



Consolidación de Niveles de recursos

Introducciónel propósito de consolidar los niveles de recursos es:• asegurar que las tácticas seleccionadas son consistentes a lo

largo de la organización.• asegurar que las tácticas seleccionadas no generan conflicto

entre sí (por ejemplo que diferentes actividades no se planeen para utilizar los mismos recursos internos para la recuperación).

• determinar la mejor forma para obtener los requerimientos externos (por ejemplo los sitios de recuperación proporcionados por terceros).

• apoyar en la definición del número y estructura de los Planes de Continuidad de Negocio.

después de haber seleccionado las opciones tácticas de continuidad más apropiadas para cada actividad importante y urgente, es necesario consolidar los requerimientos de recursos de las tácticas.

Conceptos y supuestosa menudo se asume que los servicios requeridos estarán disponibles comercialmente. en muchos países este no es necesariamente el caso y algunos gobiernos no permitirán a las organizaciones obtener tales servicios fuera de sus fronteras.

Cuando los servicios de recuperación de terceros, requeridos por las tácticas consolidadas, no están disponibles; esto llevará a la organización a reevaluar tanto las estrategias de BCM como las opciones tácticas continuidad.

Un resultado de esta situación, puede ser que la organización decida suministrar sus propias instalaciones de recuperación y ofrecerlas para compartirlas comercialmente con otras organizaciones que se enfrentan al mismo dilema. este enfoque es particularmente relevante en países en los que los proveedores de estos servicios aún no han establecido su presencia comercial.

Procesoeste proceso está compuesto por los siguientes pasos:•agregar los requerimientos de recuperación de las opciones

tácticas de continuidad seleccionadas.• Verificar que las tácticas seleccionadas son consistentes a lo

largo de la organización.•Validar que las tácticas seleccionadas no generan conflictos

entre sí.•Verificar que los requerimientos consolidados de recuperación

con los terceros se pueden obtener.• reevaluar las opciones tácticas de continuidad si se encuentran

inconsistentes o generan conflictos.• suministrar a la alta dirección una evaluación de los

requerimientos consolidados.• Obtener un acuerdo con la alta dirección para cualquier

cambio de las tácticas a utilizar incluyendo las disposiciones de financiación y de recursos para su implementación.

• actualizar los proyectos identificados para implementar las opciones tácticas acordadas, según se requiera.

•establecer los proyectos para implementar las opciones tácticas acordadas.

resultados y revisiónLos resultados y entregables de la Consolidación para Nivelar recursos, son:• el listado de proyectos para implementar las opciones

tácticas acordadas.• el listado consolidado de los requerimientos de recursos de

terceros para utilizarlo en la compra de los recursos.• detalles de las tácticas y de los requerimientos de recursos de

recuperación que se utilizarán en el desarrollo de los Planes de Continuidad del Negocio.

La Consolidación para Nivelar recursos debe revisarse siempre que se presente un cambio en las opciones tácticas seleccionadas para una actividad.

también debe revisarse cuando haya un cambio en la organización que pueda afectar el suministro de los recursos de recuperación provistos internamente y cuando se renueven los contratos de recuperación con terceros. esto puede resultar en un cambio tanto de la estrategia de recuperación como en los medios tácticos para su entrega.


Cuando los servicios de recuperación de terceros, requeridos por las tácticas

consolidadas, no están disponibles; esto llevará a la organización a reevaluar tanto

las estrategias de BCM como las opciones tácticas continuidad

isto

ckph

otos

.com

/lor

rain

edar

ke


isto

ckph

otos

.com

/lor

rain

edar

ke

Desarrollar e Im

plementar una Respuesta

de la GC

N

05

isto

ckph

otos

.com

/lor

rain

edar

ke



Desarrollar e Implementar una Respuesta de la GCNIntroducción

“Desarrollar e implementar una Respuesta de la GCN” es la práctica profesional dentro del Ciclo de vida de la GCN que implementa las estrategias acordadas a través del proceso de desarrollar un conjunto de Planes de Continuidad del Negocio.el objetivo de los diferentes planes que abarca esta etapa es identificar, en la medida de lo posible, las acciones y recursos necesarios para permitir a la organización manejar una interrupción sin importar su causa; y retornar a un estado en el que los procesos normales de negocio se puedan reanudar.



Los requerimientos clave para una respuesta efectiva son:•Unprocedimientoclarodeescaladoycontroldelincidente

(estructura de respuesta a incidentes)

•Comunicaciónconlosgruposdeinterés

•Planesparareanudarlasactividadesinterrumpidas

estos resultados pueden lograrse de diferentes maneras y con diferentes estructuras; y cualquiera que sea la estructura adoptada, es importante que la estrategia seleccionada sea adecuada para la cultura de la organización.

Las acciones descritas en los planes no están destinadas a cubrir todas las eventualidades, dado que por su naturaleza, todos los incidentes son diferentes. Los procedimientos pueden necesitar adaptarse a un evento específico que ha ocurrido y a las oportunidades que éste puede haber abierto.

Principios Generalesaunque el término Plan de Continuidad del Negocio (PCN) implica un solo documento, en realidad abarca un número de actividades diferentes y usualmente estará conformado por múltiples planes. el PCN puede existir a cualquier nivel de la organización y puede bajar a cualquier nivel de detalle procedimental. Puede abarcar la organización completa o una parte de ella; y puede estar definido para el ámbito de productos, servicios, instalaciones, divisiones, departamentos y en circunstancias especiales para escenarios particulares. sin embargo, existen cinco tipos de planes que corresponden a cinco etapas superpuestas de respuesta y cualquiera de ellos puede aparecer en cualquier PCN a cualquier nivel. Las cinco etapas, son:1. respuesta a la emergencia: respuesta inmediata a una

emergencia como por ejemplo un Plan de evacuación.

2. Gestión del Incidente: La gestión de respuesta al incidente como por ejemplo un Plan de Comunicaciones en Crisis.

3. Continuidad: La respuesta inicial del negocio para asegurar que las actividades esenciales pueden continuar operando a un nivel mínimo aceptable.

4. recuperación: Un plan para recuperar actividades a un nivel sostenible.

5. reanudación: Un plan para reanudar las operaciones a lo que la organización define como “normal”.

La naturaleza de la mayoría de las actividades del negocio puede clasificarse como estratégica, táctica u operativa; los profesionales de Continuidad del Negocio deben reconocer que los tres elementos usualmente están presentes en algún grado dentro de todos los PCN´s. es importante que los PCN´s abarquen los tres niveles y sus problemas asociados. sin embargo, no existe una definición absoluta de qué es estratégico, qué es táctico y qué es operativo. Como estas son vistas, es determinado usualmente más por el contexto que por la teoría. esto significa que no existe una solución única sobre cómo estructurar los planes. esto también muestra que tanto la experiencia general en el negocio como el conocimiento de la GCN necesitan combinarse para encontrar la estructura óptima para una organización en particular.

tipos de Planesel término Plan de Continuidad del Negocio PCN puede definirse como:

El conjunto de procedimientos documentados e información que ha sido desarrollada, recopilada y mantenida a disposición para su uso durante un incidente, para permitir a la organización continuar con la entrega de sus actividades más importantes y urgentes a un nivel aceptable predefinido.

existen otros términos de uso común, los cuales corresponden a formas especializadas del PCN. aunque se evidencia dentro de la definición genérica anterior, los planes de respuesta a la emergencia y los Planes de Gestión de Incidentes en algunas organizaciones se administran de manera separada de la GCN.

en algunas organizaciones, los departamentos de la tecnología de la Información y las Comunicaciones tIC aún se refieren a sus planes como Planes de recuperación de desastres Prd.

Otros nombres para planes especializados, son:•PlandeGestióndeCrisis

•PlandeRespuestaaMedios

•PlandeRetirodeProducto

•PlanparaPandemias

•PlandeContinuidaddelasOperaciones

en el contexto de esta guía, todos los planes (cualquiera sea su denominación), se ajustan a la definición genérica considerada para los PCN.

Desarrollar e Implementar una Respuesta de la GCN – 05



estructura de respuesta ante un Incidente

IntroducciónIndependiente de la causa del incidente que genera una interrupción o impacto en el negocio, debe estar en funcionamiento una estructura de respuesta ante incidentes documentada y completamente entendida. esta estructura abarcará tres tipos o niveles de actividades de gestión:1. estratégica2. táctica

3. Operativa

La estructura de respuesta adoptada por una organización necesita manejar todos los niveles, y para cada plan que se desarrolle e implemente como parte de la estructura, es necesario establecer un equipo de respuesta con procedimientos claros para el escalado y control.

Un ejemplo de esto, es la técnica utilizada por los servicios de emergencia del reino Unido, quienes definen estos tres niveles de respuesta al incidente como Oro, Plata y Bronce. La forma como se aplican las responsabilidades de este modelo a la estructura de respuesta de una organización, se muestra en el siguiente gráfico. (ver más abajo)

este modelo es solo un ejemplo de una adecuada estructura de respuesta, aunque la característica esencial de cualquier modelo de respuesta es la necesidad de escalar información hacia arriba y de comunicar decisiones hacia abajo. el enfoque es particularmente efectivo en las dos fases iniciales asociadas con la implementación del PCN: respuesta a la emergencia y Gestión del Incidente.

Planes de Gestión de Incidentes (PGI)aunque este plan es parte del proceso de Planificación de la Continuidad del Negocio, se le considera como un único PCN por derecho propio. este plan tiene algunas características especiales que lo diferencian de los planes tácticos y operativos, los cuales conforman la mayor parte de los planes del portafolio de PCN´s. este plan está definido como:

Un plan de acción documentado para ser utilizado al presentase un incidente. Incluye las personas clave, los recursos, los servicios y las acciones necesarias para implementar el proceso de la Gestión de Incidentes.

este es un PCN de nivel estratégico que define cómo deben abordarse y gestionarse por parte de la alta dirección los problemas estratégicos derivados de un incidente mayor. el plan también puede utilizarse en los casos en que el incidente no está completamente dentro del alcance del programa de la GCN. este puede incluir crisis no resultantes de interrupciones como tomas hostiles, exposición a noticias negativas de los medios y aquellos en los que el impacto afecta un área mayor a la considerada por la estrategia de la GCN, como el caso de las emergencias nacionales.

La respuesta a los medios sobre cualquier incidente, usualmente se gestiona a nivel estratégico, aunque algunas organizaciones pueden gestionarla a un nivel táctico.

el PGI en algunas ocasiones es conocido como el “Plan de Gestión de Crisis”; sin embargo, reportar en los medios que una organización ha invocado a su “equipo de Gestión de Crisis”, pueden llevar a la gente a pensar que la organización está en una crisis. el término “Incidente” tiene connotaciones menos negativas por lo que se le prefiere en este documento.


Oro Estratégico Equipo de RespuestaEstratégica

Plata Táctico Equipo de RespuestaTáctica

Bronce Operacional Equipo de RespuestaOperacional

esca

lam

ient

o

Control


Planes de Nivel tácticoLos planes de nivel táctico conforman la mayor parte del portafolio de PCN. estos planes están dirigidos para controlar la interrupción del negocio o las pérdidas desde la respuesta inicial hasta el momento en que las operaciones de negocio son recuperadas; y se basan en las estrategias de la Continuidad del Negocio acordadas. Un plan de nivel táctico coordina la recuperación, asegurando que las operaciones cubiertas por el plan, trabajen para un objetivo común y que donde los recursos son escasos, estos son asignados a las actividades más urgentes.

donde existe una gran cantidad de planes de nivel operacional, uno de los roles del equipo de respuesta táctica es resolver los conflictos entre estos planes para asegurar una recuperación coordinada. Los planes de nivel táctico pueden cambiar las prioridades acordadas y las estrategias de recuperación para tomar en cuenta cambios estacionales (temporadas) y en las condiciones del negocio; o por instrucción de la alta dirección.

si el evento se produce por fuera del alcance de los supuestos en los que se basan los planes tácticos, la situación debe escalarse a la alta dirección quienes gestionan los problemas de nivel estratégico.

Planes de Nivel OperativoLos planes de nivel operativo están diseñados para la reanudación de las funciones del negocio desde el inicio del incidente hasta la fase de regreso a la “Operación Normal”. se basan en los requerimientos de recuperación y las tácticas de continuidad del Negocio acordados; y establecen los procesos y procedimientos para la recuperación de las actividades en los niveles acordados de operación.

Para los departamentos que gestionan infraestructura, los planes de nivel operativo suministran la estructura para restaurar los servicios existentes o suministrar instalaciones alternas para apoyar la recuperación de otras unidades del negocio. Los planes también pueden elaborarse para otros servicios de apoyo como recursos Humanos que pueden tener un rol especializado en el apoyo a la recuperación o proporcionar asesoría especializada.

Línea de tiempoLos equipos de respuesta en los tres niveles, no necesariamente requieren invocar sus planes de manera simultánea. La invocación puede iniciar a nivel operativo y escalar al nivel estratégico. de manera alterna, la invocación puede iniciar a nivel estratégico y descender en cascada a los equipos operativos. en la medida en que la organización inicia su recuperación y restaura sus operaciones normales, es probable que el equipo estratégico sea el primero en retirarse, seguido por los equipos tácticos y por último los equipos operativos.

Procesoestos niveles de respuesta proveen un modelo adecuado para organizaciones de cualquier tamaño, pero necesitan implementarse de manera que se ajusten a la estructura de gestión y a la cultura de la organización. a continuación se presentan ejemplos de cómo los niveles pueden ser implementados en diferentes tipos de organizaciones.

Organizaciones Pequeñas con una Sede Única en organizaciones pequeñas con una sede única, todos los niveles de repuesta pueden ser implementados como un solo plan con un único equipo de respuesta que cubra todos los aspectos estratégicos, tácticos y operativos de la respuesta.

Organizaciones de tamaño Mediano en organizaciones de tamaño mediano, los niveles de respuesta pueden implementarse de la siguiente forma:• estratégico: Un PMI con un equipo de respuesta conformado por

la alta dirección.

• táctico: Un único PCN que abarque la recuperación de todas las operaciones de la organización, con un equipo de respuesta conformado por la dirección operativa.

• Operativo: cubierto por el PCN (con excepción de la tecnología de la Información y las Comunicaciones, que requiere de detalles técnicos y tiene su propio plan de recuperación operativo con un equipo de respuesta técnico de tIC).




Organizaciones Grandes en organizaciones grandes los niveles de respuesta pueden implementarse de la siguiente manera:•Estratégico:UnPMIconunequipoderespuestaconformadopor

la alta dirección.

•Táctico:UndeterminadonúmerodePCN´s,cadaunoabarcandouna división principal, producto, servicio o instalación, y cada uno con su propio equipo de respuesta conformado por la dirección operativa responsable de las áreas cubiertas por el PCN.

•Operativo:CubiertoporPCN´sindividuales(conexcepcióndelasprincipales funciones de apoyo de tecnología de la Información y las Comunicaciones, Finanzas, Instalaciones y recursos Humanos, cada una de las cuales cuenta con su propio equipo especializado de respuesta).

Grandes Organizaciones Multinacionales en grandes organizaciones multinacionales los niveles de respuesta pueden implementarse de la siguiente manera:• estratégico: Un PGI global con el equipo de respuesta

conformado por la alta dirección con responsabilidades globales y un PGI para cada territorio con el equipo de respuesta compuesto por la alta dirección de cada territorio.

•táctico: Cada territorio tiene un determinado número de PCN´s cada uno abarcando grandes divisiones, servicios o instalaciones; y con su propio equipo de respuesta conformado por la gerencia operativa responsable de las áreas cubiertas por el PCN.

• Operativo: Cada departamento o sede cubierto por un PCN que tiene su propio detalle del plan de respuesta operativo con su propio equipo de respuesta conformado por los gerentes operativos del departamento o sede y planes separados para las principales funciones de apoyo: Información y las Comunicaciones, Finanzas, Instalaciones y recursos Humanos cada uno con su propio equipo de respuesta especializado.

desarrollo y Gestión de Planes

IntroducciónLa estructura seleccionada para la respuesta al incidente, la estrategia de la GCN y el tamaño y diversidad del negocio, determinarán la cantidad y tipo de planes para poner en marcha.

Idealmente, los planes tácticos y operativos no se desarrollarán hasta tanto la organización no haya definido y acordado su estrategia; aunque para organizaciones sin arreglos operando, la respuesta a nivel estratégico (normalmente el PGI) puede implementarse de antemano para proporcionar protección limitada en el ínterin.

Cada plan siempre debe contener supuestos sobre la magnitud máxima del incidente en términos de extensión, duración o el equipo de trabajo afectado.

ProcesoLos pasos clave en el desarrollo de un plan incluyen:•Establecerundueño.•Definirlosobjetivosyelalcance.•Desarrollaryaprobarunprocesodedesarrolloparaelplany

para el programa.•Crearunequipodeplanificación.•Crearunequipoderespuesta.•Acordarlasresponsabilidadesdelequipoderespuestaysu

relación con otros planes y equipos de respuesta (estratégica, táctica y operativa).

•Definirlaestructura,formato,componentesycontenidodelplan.

•Definirlasestrategias,comoinstalacionesalternas,sobrelasque se basa el plan.

•Recopilarinformaciónparaconfeccionarelplan.•Generarunborradordelplan.•Circularelborradordelplanparaconsultayrevisión.•Recopilarlaretroalimentacióndelaconsulta.•Modificarelplansegúnseaelcaso.•Acordaryvalidarelplan,porejemploutilizándoloenun

ejercicio.•Acordarunprogramadeejerciciosymantenimientocontinuo

del plan para asegurar que permanece actualizado.


Los planes de nivel operativo están

diseñados para la reanudación de las

funciones del negocio desde el inicio del

incidente hasta la fase de regreso a la

“Operación Normal”.

isto

ckph

otos

.com

/lor

rain

edar

ke


Métodos y técnicasLos métodos, herramientas y técnicas para facilitar el desarrollo de planes, incluyen:• Planificacióndelescenario.•Entrevistas(estructuradasynoestructuradas).• Listasdeverificación.•Sesionesdetrabajo(talleres).•Amenazasidentificadas.•Incidentesprevios.•Riesgoslocalesconocidos.

Formato y ContenidoLos planes deben ser concisos y fáciles de leer. Pueden ser de diseño modular de manera que se puedan suministrar sólo las secciones separadas a los equipos que lo requieran. si se adopta este modelo, es importante que alguien asuma el rol de coordinación global.

se puede adoptar una serie de métodos y técnicas para desarrollar los planes; éstas se describen más adelante en este capítulo. sin embargo, cualquiera que sea el método utilizado, los planes no deben desarrollarse de manera aislada y cualquier persona que tenga un rol identificado, debe consultarse durante la etapa de desarrollo.

Contenidotodos los planes bien sea que operen a nivele estratégico, táctico u operativo, deben contener un número de elementos similares:•Propósito.•Alcance.•Objetivos.•Supuestos.•Estructuraparalagestióndelincidente(paralaorganización

como un todo).•Responsabilidadesdelequipoderespuesta.•Integrantesdelequipoderespuesta.•Responsabilidadesindividualesparalosintegrantesdel

equipo de respuesta.•Instruccionesparalainvocación.•Autoridadparainvocar.•Instruccionesparaelequipodemovilización•Ubicacióndelasalasdereunionesdelequipo(centrode

comando)•Comunicaciones(queabarquenalosequiposdetrabajo,

grupos de interés, clientes, medios, entre otros).•Listasdeactividades.•InformaciónclavedeetapaspreviasdelCiclodeVidadela

GCN.•Datosdecontacto(usualmentesedejancomoanexos).el plan debe contener las instrucciones iniciales para su acción y para las acciones o decisiones específicas que el equipo necesite tomar.



isto

ckph

otos

.com

/lor

rain

edar

ke


roles y responsabilidades Los roles del equipo y de individuos específicos deben estar documentados; y cada rol debe tener identificado su suplente.

Las responsabilidades para el equipo o los individuos nombrados, pueden incluir:• LíderdelEquipo:esquiendebeasegurarqueelequipode

respuesta está asignado adecuadamente y ser capaz de realizar designaciones de ser necesario.

• Comunicacionesinternas:acordarelcronogramadereanudación con otros equipos de respuesta.

• Comunicacionesexternas:congruposdeinterésymedios.• Operaciones.• Soportetécnico.• Apoyoadministrativo.• PersonaldeRegistro(Logger):mantenerelregistro(bitácora)

de las decisiones a lo largo del incidente.

Instrucciones para la Invocación/MovilizaciónLas circunstancias bajo las cuales el equipo será activado deben estar documentadas y las personas autorizadas para realizar la invocación deben estar definidas. sin embargo, debido a la naturaleza de los incidentes, se debe permitir flexibilidad y en caso de duda fomentar la acción, dado que es más fácil detener un equipo que activarlo después de que el incidente ha evolucionado.

Los medios por los cuales el equipo será activado deben estar documentados de manera que las decisiones puedan tomarse en el tiempo más corto posible. dependiendo de la naturaleza del incidente el equipo puede reunirse continuamente, una o varias veces al día.

Sala de ReunionesPara desastres de gran magnitud o para organizaciones muy dispersas geográficamente, puede ser apropiado utilizar el concepto de un equipo de Gestión de Incidentes virtual con un Centro de Comando virtual; siempre y cuando pueda ser garantizada las capacidades de telecomunicaciones y el acceso compartido a la información crítica.

de antemano, el equipo debe acordar un número de posibles sitios de reunión favoreciendo aquellos que cuentan con los recursos requeridos. en una invocación, el primer notificado debe identificar el sitio más adecuado y un sitio alterno de reserva, con base en la información disponible.se deben predefinir al menos dos sitios que actuarán como Centro de Comando (Centro de Gestión del Incidente o sala de control). Probablemente uno esté ubicado en el sitio donde normalmente opera el equipo de respuesta, pero el otro debe ser externo.La sede externa no tiene que ser de propiedad de la organización. Con acuerdos previos, un hotel 24 horas puede estar disponible para suministrar todos los servicios requeridos por la mayoría de las organizaciones.se debe considerar cómo utilizar el espacio de la mejor forma para las necesidades de:

• Comunicaciones:entrantesysalientes.• Registroygrabacióndeeventos,accionesyproblemas.• Monitoreoderadiodifusión.• Controldeingreso

recursosse deben considerar los siguientes recursos:• Tablerosymarcadoresparaescribir.• Teléfonos,incluyendoalmenosunoconlíneadesalida

externa y un sistema de grabación de llamadas.• Serviciodeatención/líneadeayuda.• Comunicadoresmóviles,teléfonoscelulares,fax,correo

electrónico e internet.• Equiposdemonitoreodetelevisiónyradio.• Papeleríadeoficina.• Unmedioparaelregistrodetodaslasacciones.• Alimentación/serviciodecafetería.• Instalacioneslocalesocercanasparadormir.se puede mantener hardware e información, fuera de las instalaciones, en el sitio alterno; en una caja fuerte denominada “caja de batalla”, “Piñata (grab bag)” o “caja de recuperación”.



isto

ckph

otos

.com

/lor

rain

edar

ke


actividades de las PersonasLas organizaciones tienen la responsabilidad (las cuales pueden estar obligadas legalmente) de salvaguardar el bienestar de sus empleados, contratistas, visitantes y clientes. todas las estrategias de la GCN deben tener en cuenta los aspectos de bienestar durante el incidente y durante la fase de recuperación. es más probable la cooperación voluntaria por parte de las personas, ante exigencias extras, si se atienden sus necesidades de bienestar.

situaciones a considerar:• Lasnecesidadesespecialesincluyen:

> embarazo> discapacidad> responsabilidades familiares

• Manejodesituacionesrelacionadasconlesionesgravesofallecimientos (en consulta con los servicios de emergencia y de acuerdo con las regulaciones y costumbres locales).

durante un incidente, uno o más individuos deben asumir la responsabilidad por:• Evacuacióndelsitio.• Conteodelosfuncionarios,contratistasyvisitantes.• Comunicacionesensitioconelequipodetrabajoyotros.• Comunicaciónconelcontactodeemergenciasofamiliares

cercanos.• Serviciosdetraslado.• Asistenciaentransporte.• Creacióndeunalíneadeayudaalequipodetrabajo.subsecuentemente existen necesidades adicionales que incluyen:• Acomodacióntemporal.• Serviciosdeasesoríayrehabilitación:estepuede

proporcionarse como parte del paquete de salud de cada empleado.

• Necesidadesdebienestarensitiosalternos:> Necesidades especiales.> alimentación / servicio de cafetería.> Personal de seguridad y servicios seguridad física.> transporte y accesibilidad.> Formación apropiada sobre los equipos de reemplazo.

Coordinación con los Servicios de Emergenciase debe asignar un equipo con un nivel adecuado de experiencia y autoridad para servir como enlace con los servicios de emergencia en el momento de su llegada al sitio y posteriormente según se requiera.

a los servicios de emergencia se les debe proveer información sobre la ubicación de víctimas, el estado de la situación y cualquier peligro conocido que puedan encontrar.

Mientras tanto en el sitio, las instrucciones de los servicios de emergencia tienen prioridad sobre las dadas por los propios equipos de trabajo de la organización.

tan pronto los servicios de emergencia se han marchado, la organización retoma la responsabilidad por la seguridad de su propia sede.

ComunicaciónPuede requerirse realizar comunicaciones con los siguientes grupos:• Grupodetrabajo,parientes,amigosycontactosde

emergencia.• Clientes.• Proveedores.• Integrantesosectoresdelapoblación.• Accionistas,inversionistas,integrantesdelajuntadirectivao

propietarios.• Otrossectoresdelaorganización.• Autoridadesregulatorias.•Medios:periódicosnacionalesylocales,radio,televisión,

internet y otros medios.Las responsabilidades del equipo de respuesta para comunicarse con cada uno de estos grupos deben estar acordadas de antemano como parte del desarrollo de la estructura de respuesta al incidente.

Mediosel plan de nivel estratégico debe indicar cómo la organización gestionará las comunicaciones con los medios. Pero todos los planes deben incluir una referencia al plan de medios y las instrucciones al equipo de trabajo sobre lo que deben hacer en caso de ser abordados por los medios. Los planes también deben contener información sobre las acciones que debe realizar el equipo de trabajo, si están involucrados en un incidente que probablemente atraiga la atención de los medios y a quien deben informar.



isto

ckph

otos

.com

/lor

rain

edar

ke


aseguramiento de CalidadLos métodos y técnicas que se deben utilizar para asegurar la calidad de los planes, incluyen:• Verificarquelosplanesreflejenlainformaciónrecogiday

documentada de las etapas previas del proceso de la GCN.• Verificarquelosplanesreflejanlasestrategiasacordadasde

la GCN.• Verificarqueelestilodelosplanesreflejalaculturadela

organización.• Revisarlamejormanerademantenerlosnúmerosde

contacto y si éstos deben o no estar incluidos en los planes.• Revisarlautilizacióndenombresdeindividuosy/onombres

de cargos en los planes (el uso de nombres puede llevar a cambios frecuentes al plan).

• Considerarlaformadeacortarelplansiéstehaquedadomuy extenso.

• Verificarquelosplanesseajustanalosestándaresdecontrolde documentos acordados para la GCN.

• Verificarquelasseccionesdelplanestánenunasecuencialógica.

• Invitaraalguienquenoconozcalosplanesparaquelosleay

señale cualquier detalle o información adicional que se pueda necesitar para implementarlos.

• Verificarquelosplanessepuedanleer:aunquelosdiseñosyformatos pueden variar de una empresa a otra, hay una serie de consejos que se pueden adoptar para hacer que los planes sean fáciles de usar; tales como usar separadores, papel de colores y anexos).

• Asegurarsedequelosplanesnocontieneninformacióninnecesaria.

resultados y revisiónel resultado de este proceso es un conjunto de planes actualizados y efectivos que abarcan la respuesta estratégica, táctica y operativa a los incidentes que pudieran causar interrupciones importantes a las operaciones de la organización.

el programa de la GCN debe identificar un régimen de mantenimiento y cualquier cambio que surja de éste, requiere ser incorporado al proceso de planificación para asegurar que los planes y procedimientos se mantienen actualizados.



isto

ckph

otos

.com

/lor

rain

edar

ke


Planes estratégicos

Introducciónaunque los principios básicos y el enfoque para desarrollar los PCN son similares en todos los casos, se necesitan diferentes grados de énfasis para los diferentes niveles de planes. La necesidad de involucrar a la alta dirección en el desarrollo e implementación de los PCN es esencial tanto para la respuesta inmediata exitosa como para la Continuidad del Negocio en curso. Casos de estudio de incidentes mayores sugieren que la rápida y eficaz gestión de una crisis es el factor más importante para proteger la marca de la organización de los daños financieros y de la reputación.

algunos incidentes requerirán una respuesta de nivel estratégico que no resulta de la interrupción de las actividades (por ejemplo aquellas amenazas que solo involucran a la reputación) y por tanto no involucran la respuesta completa del PCN. sin embargo, cuando se requiere la respuesta completa del PCN, existe la necesidad de involucrar al equipo de nivel estratégico, aunque sólo sea para que tome conciencia de la situación en caso de que se le escale.

Para organizaciones que no cuentan con planes en curso, el primer elemento a desarrollar puede ser un plan de nivel estratégico, que producirá una cantidad limitada de protección mientras se desarrollan otros planes. Los términos utilizados

en estas guías para los diferentes tipos de planes no se aplican universalmente, de manera que es importante que la organización seleccione los nombres que se ajusten a su propia cultura y estructura y que se incluyan los roles descritos.

Métodos y técnicasse pueden utilizar plantillas para apoyar la implementación de los procedimientos estándar.

ContenidosComo por naturaleza todas las crisis son diferentes, un plan de nivel estratégico es un conjunto de recursos y componentes que puede ser útil para el equipo encargado de activar el plan y debe incluir un elemento de comunicaciones.

el contenido también dependerá de la naturaleza y complejidad de la organización, pero debe incluir muchos de los elementos relacionados.

el plan estratégico puede contener material de referencia de las estrategias de las diferentes partes de la organización o información genérica de cómo recuperarse de pérdidas de las edificaciones, o de la pérdida de la Infraestructura tecnológica. esto no significa la micro-gestión del incidente, pero informa al equipo sobre cómo se llevará a cabo la recuperación y las escalas de tiempo en que pueden estar involucrados.

responsabilidades Los integrantes del equipo estratégico de respuesta son los guardianes de la reputación de la organización y tienen la responsabilidad de ajustar la estrategia de recuperación de la organización si la reputación se ve amenazada. Las responsabilidades específicas del equipo de respuesta estratégica incluyen:• Definirlapolíticaderecuperación.• Establecerlosobjetivosestratégicosderespuestaal

incidente.• Elaborarunaestrategiadelargoplazo.• Gestionarlascomunicaciones,enparticularconlosmedios

(ver enseguida).• Aprobarlosgastossignificativos.• Monitorearelprogresototalderecuperación.• Identificarymaximizarlasoportunidadesderivadasdel

incidente.• Asegurarquelarecuperaciónestáenconcordanciaconlos

intereses de largo plazo de la organización.• Aprobarlasdeclaracionesalosmediosantesdesuemisióny

monitorear y realizar los ajustes necesarios a la estrategia de medios.

• Asegurarlasaludfinancieradelaorganización.• Asegurarquecualquierrecuperaciónreúnelosrequisitos

legales de la organización.

recursosLos recursos específicos que se deben considerar para su uso por el equipo estratégico, adicionales a los identificados al inicio de todos los planes, incluyen:• InstalacionesdotadasparaTv/radio,paraapoyarlasentrevistas.• Líneadecomunicacionesycámaraparatransmitirlas

entrevistas y video conferencias directamente a las estaciones difusoras.

• Unlugarseparadoycercanoalasinstalacionespararecibiralaprensa.



isto

ckph

otos

.com

/lor

rain

edar

ke


Plan de Mediosel plan de medios debe conducir a la organización sobre la manera como gestionará las comunicaciones con los medios. el plan puede estar incluido dentro del Plan de nivel estratégico o táctico o puede existir como un documento separado.

el plan de medios debe incluir:• Definirdeantemanoquien(es)será(n)el(los)portavoz(ces)

asegurando que:> La persona ha sido entrenada en este rol.> existen suficientes personas para informar a los medios en

un sitio central así como en el sitio del incidente.> existe un vocero técnico si se considera apropiado

si se considera apropiado, trabajar con especialistas como empresas de relaciones públicas para desarrollar la respuesta de la organización a los medios y considerar la retención de la empresa para utilizarla durante el incidente. si es posible, desarrollar una relación con las personas claves de los medios antes de un incidente.

• Identificarlasaudiencias:> Las posibles audiencias deben estar segmentadas y

enseguida aplicar el método más adecuado para poner el mensaje a cada uno, por ejemplo; radio local, periódicos nacionales.

La respuesta a cada método, debe monitorearse y revisarse. esto puede incluir el monitoreo de medios/recorte de servicios.

• Considerarlosposiblesmensajes:> desarrollar preguntas y respuestas para los incidentes más probables.

> desarrollar un modelo de texto en la organización que pueda salir a describir la organización en declaraciones a los medios.

> develop contact lists for media organizations• Desarrollarunprocesoparadeclaracionesalosmediosy

cómo será aprobado y comunicado a los medios.• Documentarcómolasdeclaracionessecomunicaránalo

largo de la organización.

resultados y revisiónLos resultados del proceso de planeación estratégica incluyen:• UnplanqueapoyaelroldelaAltaDireccióndelaorganización

durante una crisis.• Unplanparagestionarlascomunicacionesconlosmediosylas

partes interesadas durante una crisis.• Lademostracióndepreparaciónparaunagestiónefectivacon

los medios, el mercado, los clientes, las partes interesadas y los entes reguladores.

• Cumplimientodelosrequerimientosestatutarios,regulatoriosyéticos.

se debe realizar una revisión o auditoría alineada con la revisión de otras estrategias, planes y soluciones relacionadas con la GCN y la Gestión de Incidentes.

La revisión del plan puede realizarse por cambios mayores en el negocio, cambios en la alta dirección o cambios significativos en el entorno operativo externo de la organización.



isto

ckph

otos

.com

/lor

rain

edar

ke


Planes tácticos

IntroductionLos planes de nivel táctico son la forma más común del PCN. reúnen la respuesta de la organización a la interrupción de las actividades del negocio, facilitando su reanudación. Quienes utilizan estos planes, deben estar capacitados para analizar la información de los equipos de respuesta a los impactos provocados por el incidente, seleccionar e implementar estrategias adecuadas de los planes disponibles, dirigir la reanudación de las áreas de negocio de acuerdo con las prioridades acordadas y aprobar la entrega de información al equipo estratégico.

el contenido de un plan de nivel táctico varía de una organización a otra y tiene diferentes niveles de detalle basado en la cultura organizacional y en la complejidad técnica de las soluciones. rara vez es posible documentar un plan táctico efectivo, a menos que los elementos claves de la estrategia de recuperación estén disponibles o muy avanzados en su planificación.

Métodos y técnicasel plan debe estar orientado a la acción rápida y fácil. No debe incluir documentación que no se necesaria durante un incidente.

Un plan de nivel táctico siempre contiene supuestos relacionados con la escala del incidente (en términos de extensión, duración o impacto al equipo de trabajo). si la magnitud del incidente excede los supuestos, entonces debe escalarse al equipo de respuesta estratégica.

Los pasos específicos en el desarrollo de planes tácticos incluyen:• Nombrarunapersonaparagestionareldesarrollodela

totalidad de planes tácticos.• Desarrollarunprocesodeplanificaciónyuncronograma

de trabajo. siempre que sea posible, se debe iniciar con los planes para las actividades más urgentes del negocio.

• Decidirlaestructura,formato,componentesycontenidodelos planes.

• Desarrollarunplangeneraloplantillaparafomentarlaestandarización documental pero que permita variaciones individuales donde se requiera.

existe una amplia gama de productos de software disponibles para apoyar la construcción y mantenimiento de los planes, pero no son esenciales. el uso de software normal de oficina (procesador de textos y hoja de cálculo) puede ser suficiente y es más fácil para todo el personal ya que su utilización no requiere entrenamiento especial. sin embargo, un software personalizado puede ofrecer importantes beneficios en el mantenimiento y la integridad referencial del plan.

ContenidoLos planes tácticos deben contener suficiente información para permitir la respuesta táctica de los equipos para continuar o recuperar las actividades del negocio contempladas en el plan.

deben incluir procedimientos detallados para los equipos, para:

• Responderalaconvocatoria.• Tomardecisiones.• Movilizarrecursos.• Iniciarlasactividadesderecuperación.• Recibirinformacióndeotrosequipos.• Reportarelestadoalequipoestratégico.Para otros puntos que se puedan incluir en su totalidad, ver sección “Formato y Contenido” Pg 72.

responsabilidadesLas responsabilidades específicas para los equipos tácticos de recuperación pueden incluir:• Coordinaciónymonitoreodelnivelderecuperacióndelas

operaciones.• Asignacióndelosrecursosdisponiblesalosequipos

operativos.• Cambioenlasprioridadesacordadasyenlasestrategiasde

recuperación teniendo en cuenta los cambios estacionales, las condiciones del negocio o las condiciones de la dirección a nivel estratégico.

• CoordinacióndelasmásimportantesfuncionesdeApoyo(tecnología de la Información y las Comunicaciones, Finanzas, Instalaciones y recursos Humanos).

• Recibirobuscarinformacióndeotrosequiposderespuesta.• Reportaralequipoestratégicoderespuesta.• Movilizaralostercerosproveedoresdeserviciosde

salvamento y recuperación.



isto

ckph

otos

.com

/lor

rain

edar

ke


requerimiento de recursosUna lista de los recursos que deben estar disponibles, podría incluir:

• Personal.• Propiedades.• Instalacionesyproveedores.• Tecnología,comunicacionesydatos.• Seguridad.• Proveedores.• Transporteylogística.• Requerimientosdebienestar.• Pagosdebidosagastosdeemergencia.• Informacióndecontactoparaelaccesoalosrecursos.• Requerimientosderecursosparalareanudacióndecada

actividad.La información vital podría incluir:• Informacióndeclientes.• Detallesdecontactos.• Documentoslegales:Contratos,pólizasdeseguros.• AcuerdosdeNivelesdeServicio(ANS).

resultados y revisiónLa revisión del proceso de planeación táctica incluye:• LosplanesdeniveltácticodebenseraprobadosporlaAlta

dirección.• Laestructuradentrodelacualpuedantrabajarlosplanes.alguna información incluida dentro de los planes tácticos debe revisarse en línea con la política de la GCN. el resto de la información debe revisarse anualmente de manera formal y probarse mediante ejercicios.

Otros factores que conducen a revisiones, son:• Cambiossignificativosenlatecnologíay/olas

comunicaciones.• Cambiosmayoresenlosprocesosdelnegocio.• Cambiossignificativosenlosgruposdetrabajo.• CambiodeproveedoresdelassolucionesdelaGCN.

Planes Operativos

IntroducciónLos planes tácticos se volverán rápidamente difíciles de manejar si todos los procedimientos de recuperación están incluidos en un documento único. Cuando éste

es el caso, los planes de respuesta y recuperación de cada unidad de negocio deben elaborarse en uno o más planes operativos separados que se convierten en la responsabilidad de la unidad de negocio a la que se refieren.

Los planes operativos abarcan la respuesta al incidente para cada departamento o unidad de negocio. ejemplos de planes operativos son:

• Unplanparareanudarlasfuncionesdeundepartamentodentro de una escala de tiempo predefinida.

• Procedimientosparaapoyaralequipoderespuestaalincidente, generalmente dirigido por un departamento de servicios que se ocupa del incidente específico y su impacto físico.

• UnplanderespuestadeRecursosHumanosalosproblemasde bienestar durante un incidente.

• UnplanlogísticoderespuestadelaTecnologíadelaInformación a la pérdida y posterior reanudación de los servicios de tecnología de la Información al negocio

La complejidad y urgencia de los procesos del negocio pueden determinar si un plan operativo abarca una sola actividad o un departamento que abarca varias actividades.

asimismo, los planes operativos pueden estar apoyados por más planes detallados para respuestas, lugares o equipos específicos.

debido a los numerosos vínculos entre los planes tácticos y los de respuesta operativa, los planes tácticos se deben elaborar, por lo menos en sus principales aspectos, antes de finalizar los planes operativos.

Métodos y técnicasLos planes deben estar orientados a la rápida acción y por tanto deben facilitar su rapidez en la implementación. No deben incluir documentación que no se requiera durante un incidente.Los pasos específicos del proceso de planificación y desarrollo de planes operativos incluyen:

• Nombramientodeunapersonaquegestionetodaslasactividades del desarrollo de los planes operativos.


“Los planes operativos abarcan la respuesta al incidente para cada departamento

o unidad de negocio”


• Nombramiento de un representante de cada unidad de negocio para que desarrolle sus planes individuales.

• desarrollar un proceso de planificación y un cronograma de trabajo. en la medida en que sea posible, se debe iniciar con los planes de las actividades más críticas del negocio.

• definir estructura, formato, componentes y contenido de los planes.

• desarrollar un plan general o una plantilla para fomentar la estandarización de la documentación, pero que permita variaciones individuales a cada plan cuando se considere pertinente.

• asegurar que las unidades de negocio asignan funcionarios para cumplir con las funciones dentro de sus planes.

• Gestionar el desarrollo de los planes dentro de las unidades de negocio.

• Circular el plan para consulta, revisión y desempeño por dentro, y donde sea necesario, por fuera de la unidad de negocio.

• recopilar la retroalimentación de la consulta.

• Modificar el plan según sea el caso.

• Validar el plan mediante ejercicios.

• documentar todas las interrelaciones entre los planes tácticos y los planes operativos.

• Conducir un análisis de requerimiento de recursos a lo largo de todos los planes para definir los requerimientos de recursos para apoyar las diferentes funciones.

ContenidoLos planes operativos específicos pueden incluir instrucciones sobre:

• Instalaciones.• Bienestardelequipodetrabajo.• Reanudacióndelasunidadesdenegocio.• RecuperacióndedesastresdelaTecnologíadelaInformación.Los anteriores planes pueden incluir procedimientos apropiados e información como:• Planesdeevacuacióndeedificiosyrefugioseguro.• Planesparaamenazadebomba.

• Puntosdeevacuación(incluyendositiosalternosoexterioresa la edificación).

• Serviciosdeemergenciadeenlace.• Redistribucióndelpersonalydelosvisitantes.• Salvamentoderecursosyasistenciacontratada.• Circunstanciasquesedebenescalar.• Recursoshumanosyproblemasdebienestar.• Obligacionesensaludyseguridad.• Procedimientosparaelconteodelosfuncionarios.• Procedimientosparacontactaralosfuncionarios.• Asesoríaparalarehabilitaciónderecursos.• Criteriosdeescalamiento.• Procedimientosparaelescalamientoalosequiposdelnivel

táctico.• Contactosdelosequipostácticosparalarespuestainicial.• Contactosdelosintegrantesdelosequipos.• Reanudacióndelplanparacadaactividad.

> Número de funcionarios.> Contactos claves.> Procedimientos para la reanudación de las actividades del

negocio.> actividades prioritarias.> Procedimientos especiales.> Problemas del trabajo en curso.> Consumibles requeridos.

resultados y revisiónLos resultados del proceso de planificación operativa incluyen:• Planesoperativosdocumentadosparatodaslasunidadesde

negocio.• Criteriosyprocedimientosparaelescalamientode

problemas de cada unidad de negocio.• RolesdeGCNclaramentedefinidosdentrodelasunidades

de negocio.Los planes operativos deben ser revisados si existen cambios mayores en los procesos de negocio o la tecnología, cambios dentro de las unidades de negocio y cuando se hacen cambios a los planes de nivel táctico.



isto

ckph

otos

.com

/lor

rain

edar

ke

Ejercitar, Mantener y Revisar la G

CN

06

isto

ckph

otos

.com

/lor

rain

edar

ke


Ejercitar, Mantener

y Revisar la GCN



Introducción

“Ejercitar, Mantener y Revisar la GCN” es la práctica profesional dentro del ciclo de Vida de la GCN que busca asegurar el mejoramiento continuo, a través de acciones en curso y programadas. Las actividades realizadas en esta sección están respaldadas por la política de la GCN discutida en la práctica profesional Numero 1.

Principios GeneralesLa mayoría de organizaciones se desenvuelven en ambientes dinámicos y están sujetas a cambios en cuanto a personas, procesos, mercado, riesgos, entorno, geografía y estrategias de negocio. Para asegurar que la capacidad de la GCN continúe reflejando la naturaleza, magnitud y complejidad de la organización que apoya, debe ser precisa; estar actualizada, completa, ejercitada ; y ser entendida por todos los integrantes y grupos de interés.

isto

ckph

otos

.com

/lor

rain

edar

ke


desarrollar un Programa de ejercicios

Introducciónel propósito de un programa de ejercicios es asegurar que en un periodo de tiempo:• Severifiquetodalainformacióncontenidaenlosplanes.• Todoslosplanessonprobados.• Todoelpersonalinvolucradoenlosplanes(incluyendo

suplentes) es capacitado.La capacidad de la Gestión de la Continuidad del Negocio GCN no puede considerarse confiable hasta tanto no haya sido ejercitada. Un programa de ejercicios debe enfocarse en maximizar los beneficios del negocio mientras minimiza sus interrupciones. se requiere un Programa de ejercicios planificado para asegurar que todos los aspectos relacionados con el personal y los planes han sido ejercitados durante un periodo de tiempo, evitando así la interrupción total del negocio.

el ejercicio puede tomar varias formas, que incluyen pruebas técnicas, pruebas de escritorio (pruebas de recorrido) y simulacros completos en vivo. sin importar qué tan bien se haya diseñado la estrategia de la GCN o el Plan de Continuidad del Negocio PCN, una serie sólida y realista de ejercicios identificará situaciones y supuestos que requieren atención.

el tiempo y los recursos usados para ejercitar los PCN´s son elementos fundamentales de todo el proceso, ya que desarrollan competencia, generan confianza y transmiten conocimientos que son esenciales en tiempos de crisis.

Validar la capacidad de recuperación técnica es un elemento importante de un programa de ejercicios, pero igualmente, un elemento clave es el rol de las personas. el programa debe asegurar que sus niveles de habilidad, conocimiento de su rol, gestión de los recursos y toma de decisiones se ejercitan en un ambiente seguro.

Mientras que un servicio puede ser externalizado, la rendición de cuentas de la Continuidad del Negocio no puede serlo. La externalización del servicio deberá garantizar que los proveedores pueden enfrentar la interrupción. Idealmente, la GCN formará parte del contrato de externalización e incluirá un programa compartido de ejercicios aplicable a los objetivos de recuperación del cliente.

La política de la GCN debe explicar en términos generales las responsabilidades por el programa de ejercicios.

Proceso• discutir con la alta dirección cualquier aspecto identificado de

debilidad y el beneficio que podrían obtener de la visibilidad que brinda un ejercicio.

• relacionar todos los procesos de recuperación asociados con las actividades que se probarán (por ejemplo asignación de recursos, datos de contacto, reubicación).

• definir el tipo de ejercicio más adecuado para cada proceso.

• revisar la documentación de soporte, si el ejercicio ya se ha realizado en el pasado, para evitar repetir escenarios o personas y para identificar actividades que requieren ejercicios adicionales.

• relacionar todas las personas o grupos involucrados en cada proceso.

• elaborar un cronograma de actividades que asegure que durante un período determinado, todo el personal relevante haga parte de los ejercicios.

el programa de ejercicios debe incluir actividades adecuadas para ejercitar varios elementos de la estrategia de GCN implementada. estas pueden incluir:• Técnicas:¿funciona el equipo?• Procedimientos: ¿los procedimientos son correctos?• Logística: ¿los procedimientos funcionan conjuntamente en

forma lógica?• Oportunidad:¿los procedimientos pueden alcanzar el

tiempo Objetivo de recuperación tOr para cada actividad?• Administrativo: ¿los procedimientos son gestionables?• Personal:¿las personas involucradas son las adecuadas

y cuentan con las habilidades, autoridad y experiencia requeridas?

Ejercitar, Mantener y Revisar la GCN– 06


Un programa de ejercicios debe

enfocarse en maximizar los beneficios

del negocio mientras minimiza sus

interrupciones.

isto

ckph

otos

.com

/lor

rain

edar

ke


Métodos y técnicasPara ser exitoso, un Programa de ejercicios debe iniciar de manera sencilla y escalarse gradualmente.

Tipo de Prueba Proceso Participantes Frecuencia Complejidad

De Escritorio Verificar la estructura y elcontenido del plan

autor del plan alta

Baja

Baja

alta

Guiada(Walk Through)

discutir los aspectos teóricos delplan para verificar que es utilizable

autor del planUsuarios del plan

Simulación Utilizar el plan para realizar unrespuesta teórica al incidente

FacilitadorUsuarios del planOtros requeridos como losobservadores

Prueba Unitaria Confirmar que el procedimiento derecuperación de un componentetecnológico funciona

Usuarios del procedimiento otecnologíaOtros requeridos como los técnicos

Ensayo Unitario Practicar un procedimiento derecuperación o la recuperación deun componente tecnológicosiguiendo un guión

Usuarios del procedimiento otecnologíaOtros requeridos como los técnicos

Prueba de extremoa extremo

Confirmar que funciona larecuperación de un área completade la organización (un proceso denegocio, producto o servicio otecnologías interconectadas)

Los integrantes del área de laorganización o aquellos que serequieran para el proceso denegocio, producto o servicio ousuarios de las tecnologíasinterconectadas.Otros requeridos como los técnicos

Ensayo total Practicar la recuperación de unárea completa de la organización(un proceso de negocio, producto oservicio o tecnologíasinterconectadas siguiendo unguión.

todos los integrantes del área dela organización o aquellos que serequieran para el proceso denegocio, producto o servicio ousuarios de las tecnologíasinterconectadas.Otros requeridos como los técnicos



FrecuenciaLa frecuencia de un programa de ejercicios de la GCN depende de la naturaleza, magnitud y complejidad de la organización. Cada integrante de la organización involucrado en la infraestructura de respuesta al incidente, debe estar involucrado en un ejercicio, por lo menos una vez cada 12 meses. Otros eventos que pueden requerir la programación de un ejercicio, incluyen:

• Uncambiosignificativoenlosprocesos,elgrupodetrabajoola tecnología.

• Uncambiomayorenelambienteexternodelnegocio

Costo de los Programas de ejerciciosel costo probable de organizar y ejecutar un programa de

ejercicios depende del tipo de ejercicios seleccionados. es importante entender que, así como se incrementa el costo, incrementar la complejidad en el tipo de ejercicio también implica mayor riesgo para la organización.

es importante reconocer que el programa de ejercicios puede ser costoso y en algunos casos incluso crea riesgo operacional adicional a la organización. Claramente ejercicios en pequeña escala como pruebas de escritorio no tienen ningún riesgo real de interrupción operacional y sólo implicaciones limitadas en costos; mientras que una prueba completa que involucre el cierre de las instalaciones principales y la reubicación del grupo de trabajo, es tanto costoso para organizar como tiene el potencial (podría fallar) de dejar expuesto el negocio.

el siguiente diagrama muestra como se interrelacionan el costo, la complejidad y el riesgo:



Costo, Complejidad, Riesgo

Costo

Complejidad

Prueba de escritorio

Prueba Guiada

simulación

ensayos y ejerciciosMedianos

ensayos y ejerciciosGrandes

Completosalto riesgo

Bajo riesgo

ensayos y ejerciciosPequeños


ejercitar las actividades de la GCN

Introducciónejercitar es una palabra genérica utilizada aquí para describir el ejercicio de Planesde Continuidad del Negocio PCN; ensayos de los integrantes de los equipos (de continuidad) y del equipo de trabajo; y pruebas de tecnología y de procedimientos.existen tres términos de uso general:

1 Prueba de escritorio: teóricamente consiste en probar la capacidad sin adoptar ninguna acción física real. Un ejemplo es un caso basado en un escenario, en el que se examinan las habilidades para la toma de decisiones durante un incidente.

2 Ensayo/Simulacro: Consiste en practicar una serie de procedimientos o tecnologías que requieren acciones físicas. esto se logra mediante el seguimiento de un guion para impartir conocimiento y familiarización. Un ejemplo es un simulacro de incendio.

3 Prueba: Consiste en una validación para ver si funciona un procedimiento o tecnología, donde el resultado puede ser “exitoso” o “fallido” (para el procedimiento o tecnología; no para individuos). Generalmente se utiliza cuando el procedimiento o tecnología está siendo evaluado, a menudo, contra una ventana de tiempo objetivo. Un ejemplo es la recuperación de un servidor a partir de cintas de respaldo dentro de un número de horas determinado.

Independientemente del término utilizado, es importante demostrar que un ejercicio es una oportunidad para medir la calidad de la planificación, la competencia de los individuos y la eficacia de la capacidad; en lugar de una simple evaluación de “exitoso o fallido”.

Una actitud positiva hacia el ejercicio de la GCN hace el proceso más aceptable y permite que las fortalezas sean reconocidas y que las debilidades sean vistas como oportunidades de mejora más que como críticas.

Propósitoel propósito de los ejercicios es:

• EvaluarlacompetenciaactualdelaorganizaciónenlaGCN.• Identificaráreasdemejoraodecarenciadeinformación.

• Resaltarlossupuestosquedebensercuestionados.• Proveerinformación.• Generarconfianzaenlosparticipantesdelejercicio.• Desarrollarelequipodetrabajo.• AumentarlasensibilizaciónenContinuidaddeNegocioentoda

la organización.• Probarlaefectividadylostiemposdelosprocedimientos

recuperación.

Conceptos y supuestosCon el fin de que cualquier prueba sea útil, debe cumplir con los siguientes criterios: rigurosidad, realismo y exposición mínima. estos tres criterios suelen tener requerimientos contradictorios y pueden requerir que se llegue a un acuerdo entre ellos.

Rigurosidad

el ejercicio debe sentirse tan real como sea posible. Las pruebas deben ser llevadas a cabo utilizando los mismos procedimientos y métodos que serían usados en eventos reales. esto es lo ideal, pero puede que no sea posible ejecutar ciertas pruebas sin alteraciones a los procedimientos “en vivo”. esto aplica especialmente a las pruebas técnicas.

Realismo

La utilidad de una prueba se reduce por la selección de un escenario no realista. el establecimiento de un escenario de negocios realista ayuda para asegurar que los participantes se involucren plenamente en el caso, y que finalmente obtengan más de éste. La selección de un escenario más realista también ayudará a demostrar la viabilidad de los planes. es esencial que el facilitador del ejercicio trabaje con hechos reales para asegurar que los participantes obtengan el máximo provecho del ejercicio, a través del realismo del escenario y el material de apoyo.

Exposición Mínima

Las pruebas pueden poner el negocio en un nivel de mayor riesgo. el facilitador del ejercicio debe asegurar que:

• Seminimizalainterrupción.

BCM | Technical Professional Practices

isto

ckph

otos

.com

/lor

rain

edar

ke


• ElriesgodequealgosalgamalesentendidoporlaAltadirección.

• Elnegocioentiendeyaceptaelriesgo.

Para pruebas técnicas más complejas, el facilitador del ejercicio debe asegurar que existen puntos acordados de Parada/arranque en las etapas clave a lo largo de la prueba, y planes adecuados de retorno en caso de que las cosas salgan mal.

Para los ejercicios de escritorio o en vivo, el facilitador debe tener la capacidad para detener el evento si el equipo está tomando decisiones que no son apropiadas en el escenario.

se debe acordar un código de “Parada” en caso que ocurra un incidente real durante el ejercicio.

aunque en algunos casos es necesario conducir una prueba no anunciada (por ejemplo, un árbol de llamadas en horario no laboral), es más probable que los ejercicios a gran escala sean anunciados a los participantes claves. el tiempo de advertencia dado y el número de participantes con pre-notificados se

reducirán en la medida en que la organización va ganando más confianza en sus capacidades.

externalizaciónCuando la entrega de un producto o servicio ha sido externalizada, la responsabilidad por los ejercicios permanece en la organización original. La organización debe asegurar, a través de los ejercicios, que el tercero es capaz de cumplir con sus obligaciones. Otros proveedores de materiales críticos ó de las actividades identificadas en el análisis de Impacto en el negocio (aIN)) se les debe solicitar que demuestren su capacidad de recuperación en su propio negocio y más concretamente, en relación con el servicio que proporcionan a la organización. Los ejercicios de las actividades externalizadas deben asegurarse a través de acuerdos de Niveles de servicio (aNs). se debe tener cuidado de revisar las implicaciones en la continuidad de cualquier cláusula de “fuerza mayor” en los contratos con los proveedores.


PruebaTécnica Escenario del Ejercicio

acordar el alcance y los objetivos de la prueba. acordar el alcance y los objetivos del ejercicio con la alta dirección.

si se requiere, acordar el presupuesto para la prueba.

acordar el presupuesto para la prueba.

asignar el personal apropiado para la tarea.

acordar con los gestores apropiados de la organización y con los proveedores de logística y servicios requeridos para facilitar que el ejercicio se lleve a cabo.

diseñar un escenario simple y una serie de supuestos que pongan en contexto la prueba.

Preparar un escenario adecuado, realista y detallado, que incluya aspectos como fecha, hora, carga de trabajo actual, condiciones políticas y económicas y las aspectos de temporalidad / estacionalidad.asegurar que los participantes requeridos están disponibles.

elaborar un análisis de riesgos de la prueba para minimizar el riesgo de un impacto sobre las operaciones reales.

elaborar un análisis de riesgos del ejercicio para minimizar el riesgo de un impacto sobre las operaciones reales.

Preparar cuaestionarios breves para los observadores para su utilización durante el ejercicio, para capturar las lecciones aprendidas.

Hacer ejercicios previos y entregar información breve a los participantes.

realizar la prueba y registrar los resultados. realizar el ejercicio y comparar las observaciones

analizar y reportar los resultados Interrogar a los participantes inmediatamente después del ejercicio

Programa una fecha y hora para una entrevista formal

abordar los problemas encontrados Utilizar los resultados del interrogatorio para elaborar el Informe y las recomendaciones post-ejercicio. Preparar un informe libre de problemas durante e inmediatamente realizada la prueba.

distribuir informes a los participantes y la alta dirección.

Crear un plan de acción para implementar las recomendaciones del informe post ejercicio

Proceso

isto

ckph

otos

.com

/lor

rain

edar

ke


Métodos y técnicasLos participantes involucrados en los ejercicios de escritorio o escenarios de ejercicios pueden incluir:

• Facilitador(es).• Observador(es).• Proveedoresderecursostécnicosyserviciosespecializados.• Representantesdeseguros.• Serviciosdeemergencia.• Seguridad.• Funcionariosdelasautoridadeslocalesdeemergencia.• Comunicacionesyrelacionespúblicas.• Expertosenlamateria.• Proveedoresdeproductos/serviciosdelnegocio.• Proveedoresdeserviciosexternalizados.

resultados y revisiónLos resultados de ejercitar los procesos de la GCN incluyen:• Validaciónquesonefectivaslasestrategiasdecontinuidaddel

Negocio.• Confirmarquelosintegrantesdelequipoyelgrupode

trabajo están familiarizados con sus roles, funciones, responsabilidades y autoridad en la respuesta al incidente.

• Validarlosaspectostécnicos,logísticosyadministrativosdelos Planes de Continuidad del Negocio.

• Confirmacióndelainfraestructuraderecuperación(centrode comando, áreas de trabajo, recursos de recuperación de la tecnología y las comunicaciones, etc.).

• Conformacióndeladisponibilidaddelequipodetrabajoylosprocesos para su reubicación.

• Documentacióndelosresultadosdelejercicioenunreportepost ejercicio para la alta dirección, auditores, aseguradores, reguladores y otros interesados.

• Documentaciónysolucióndelosproblemassurgidosduranteel ejercicio.

• Mayorconocimientodelosprocedimientosdeemergencia.• MayorconocimientodelsignificadodelaGCN.• Oportunidaddeidentificardeficienciasymejorasenel

sistema de Gestión de la Continuidad del Negocio sGCN.

Mantenimiento de los Planes de la GCN

Introducciónel Programa de Mantenimiento de la GCN asegura que la organización está preparada para gestionar incidentes a pesar de los cambios constantes que toda organización experimenta. Para ser eficaz, el Programa de Mantenimiento de la GCN debe incorporarse dentro de los procesos normales de la gestión de la organización en lugar de ser una estructura separada que puede ser ignorada u olvidada.

Un cambio eficaz en la gestión de los procesos es prerrequisito para el mantenimiento del programa de la GCN. Muchos de los problemas que aparecen en los análisis y los ejercicios son el resultado de los cambios internos dentro de la organización o el equipo de trabajo, las instalaciones o la tecnología.

Procesose debe establecer un proceso formal para el Mantenimiento de la Continuidad del Negocio para asegurar que todos los grupos de interés tienen y conocen las partes relevantes y actualizadas del PCN.el proceso debe incluir un mecanismo para marcar y revisar los cambios internos para:• LosprocesosdelNegocio.• LaTecnología.• Elequipodetrabajo.• Losproductosyservicios.• Elentornolegaloregulatorio.esta revisión puede ser originada por el proceso de gestor de cambios resaltando el cambio, a través de un plan de acción por “los puntos de aprendizaje posteriores al ejercicio” o por los informes de auditoría.Otras actividades en este proceso incluyen:• RevisarycuestionarlossupuestoshechosenelAnálisisde

Impacto en el negocio aIN sobre el entorno en el que opera la organización.

• Determinarsilosobjetivosdetiempohancambiadodesdelaúltima revisión.

• Revisarlaidoneidadydisponibilidaddelosserviciosexternosque se pueden requerir como la restauración de activos, sitios de recuperación y subcontratos.

• RevisarlospreparativosdelosPlanesdeContinuidaddelNegociode los proveedores de componentes críticos frente al tiempo.

• Proporcionarformaciónapropiada,capacitacióny/ocomunicación cuando sea aplicable.

• Analizarsiloscambiosymodificacionesgenerannecesidadesde formación, capacitación y/o comunicación.

• Distribuirlapolítica,estrategias,soluciones,procesosyplanesde la GCN actualizados a los principales interesados bajo el proceso formal de control de cambios (versiones)



Métodos y técnicasCada propietario es responsable de la actualización de sus planes y de los datos dinámicos como: números de contacto del equipo de trabajo en horarios no laborales, tareas del equipo, notificación y detalles de contacto con proveedores así como el contenido de la caja de seguridad para continuidad ‘‘the Battle Box’’.

Las secciones de los planes se actualizan en frecuencias que van desde mensual hasta anualmente de acuerdo con la programación definida en la sección de mantenimiento de los BCP. Los meses apropiados para la actualización también se especifican en la sección de mantenimiento de los BCP.

La fecha de la última actualización debe estar claramente mostrada al inicio de cada plan para proporcionar una auditoria efectiva.

resultados y revisiónLos resultados del desarrollo del programa de Mantenimiento del Programa de la GCN, incluyen:• ElprogramademantenimientodelaGCNdocumentadoy

monitoreado.• Elreporteclaramentedefinidoydocumentado(queincluya

recomendaciones) aprobado por la alta dirección.• ElPlandeAccióndeMantenimientoclaramentedefinidoy

documentado (que incluya recomendaciones) aprobado por la alta dirección.

• Estrategias,solucionesyPlanesdeContinuidaddelNegocioefectivos y actualizados.

La frecuencia del Programa de Mantenimiento de la GCN depende de la naturaleza, escala y ritmo de los cambios del negocio. el mantenimiento probablemente se requiera:• Cuandoexistencambiosmayoresenlosprocesosdel

negocio.• Despuésdeunejerciciooprueba.• Despuésdelasrecomendacionesdemejoramientoporparte

de la auditoria.• DeacuerdoconlaprogramacióndefinidaenelPlande

Mantenimiento de la GCN.• Despuésdeunaactivaciónrealdelplan,cuandose

incorporan las lecciones aprendidas

revisión y auditoría de los Planes de la GCN

Introducciónexisten varias formas de revisar un programa de la GCN que incluyen auto evaluación (en primer lugar), auditoría interna (en segundo lugar) y auditoría externa (en tercer lugar).

Un proceso formal de auditoría asegura que una organización tiene un programa efectivo de Continuidad del Negocio.

La auditoría de la GCN tiene cinco funciones claves:1. Validar el cumplimiento con las políticas y normas de la

organización.2. revisar las soluciones de la GCN de la organización.3. Validar la cobertura organizacional de los planes de la GCN.4. Verificar que se llevan a cabo actividades de ejercicios y

mantenimiento apropiadas.5. resaltar las deficiencias y problemas y asegurar su solución.La auditoría se diseña para verificar que los procesos se han seguido de manera correcta y no que las soluciones adoptadas sean necesariamente las correctas.

La auditoría o revisión debe realizarse contra la política de la GCN y las normas apropiadas identificadas por ésta.

La auditoría debe realizarse sobre una base regular tal como lo definen las políticas de gobierno y auditoría de la organización. Para la GCN, se recomienda que los periodos entre auditoría no deben exceder los dos años. dentro de la organización, la auto-auditoria o “Monitoreo del desempeño” se puede realizar con mayor frecuencia por los propietarios de los planes.

La función de la GCN en sí misma, debe estar sujeta periódicamente a un proceso de aseguramiento de Calidad.




Conceptos y supuestoseste enfoque de auditoría supone que si el proceso se ejecuta de manera correcta y apropiada, el resultado debe proporcionar evidencia de la capacidad y competencia de la GCN. se asume también que existe una serie de normas disponibles que proporcionan la estructura adecuada para la auditoría. estas incluyen:

• EstándaresNacionalescomolaBS25999-1códigodeprácticay la Bs25999-2 especificación; el estándar de singapore ss540, el estándar americano NFPa 1600 y los estándares que están por salir a partir de los estándares de australia y de la sociedad americana para la seguridad Industrial (american society for Industrial security asIs).

• Requerimientosregulatoriosdelasautoridadesreguladorasfinancieras locales, muchas de las cuales por su naturaleza son de carácter internacional y se basan en principios de alto nivel para la Gestión de la Continuidad del Negocio GCN, tratados en el foro del acuerdo de Basilea para la supervisión de la banca.

• RequerimientoslegislativoscomoelProtocoloparaContingencias Civiles del reino Unido (2004).

• GuíasdeBuenasPrácticasparalaindustria(comolasBCIGPG 2010) u otras especificas para el sector al que pertenece la organización.

• EstándaresrelacionadosconlaIndustriacomolaISO/IEC27001 (seguridad de la Información) y la Bs25777:2008 (Gestión de la Continuidad de la tecnología de la Información y las telecomunicaciones).

• Seestádesarrollandounanormainternacionaldecertificación para la Continuidad Operacional por parte de la IsO bajo el código de referencia IsO22301 con soporte en el código de práctica IsO22399 (también en desarrollo)

ProcesoLa auditoria de la GCN es un proceso complejo y requiere su interacción con un amplio rango de roles operativos y de gestión desde la perspectiva técnica y del negocio.el proceso de auditoría de la GCN incluye:• DesarrollodelPlandeAuditoriadelaGCN.Quedebeincluir:

> Identificar el tipo de auditoría a realizar. Por ejemplo: cumplimiento, gestión/control de proyectos, estudio de factibilidad, debida diligencia o investigación

> Identificar los objetivos de la auditoria los cuales, en parte pueden estar guiados y gobernados (o restringidos) por requerimientos legales o regulatorios.

> Identificar la estructura de normas de auditoría para utilizar. esta estructura puede estar gobernada o restringida por requerimientos legales o regulatorios.

• Definirelalcancedelaauditoría:> determinar el gobierno corporativo, cumplimiento u otro

tópico a auditar.> determinar el área/departamento/sitio de la organización

que se va a auditar• Definirelenfoquedelaauditoría:

> Las actividades de auditoría que se llevarán a cabo; por ejemplo: cuestionarios, entrevistas personales, revisión documental/revisión de las soluciones.

> Calendario de actividades y fechas de ejecución> Identificar los criterios (estándares) para la evaluación de

la auditoría.> determinar requisitos específicos de experiencia en la

materia o la ayuda de terceros para llevar a cabo la auditoría.• Revisaryrecopilarinformaciónatravésdelasactividadesde

la GCN.• Compilaryresumirlasnotasdelasentrevistas,cuestionarios

y otras fuentes.• Identificarlasbrechasennivelycontenidodelainformación

recopilada para realizar entrevistas adicionales o de seguimiento cuando se estime conveniente.

• Obtenerycomparardocumentaciónrelevante(porejemploel aIN) con datos de entrevistas y otras fuentes como ejercicios guiados, inspecciones físicas, muestreo.

• Referenciarlasfuentessecundarias;porejemplonormas,regulaciones y “guías de buenas prácticas” para validar los hallazgos preliminares.

• Generarunaopiniónquereflejelosinteresesdelpatrocinadordela auditoría y las medidas establecidas por las fuentes externas como las regulatorias, legales y los estándares de la industria.> asignar una ponderación de riesgo a cada ítem auditado para

distinguir entre los hallazgos de riesgo alto, medio o bajo.> definir los criterios para clasificar los hallazgos usando

niveles de clasificación predefinidos, categorizados claramente diferenciados.

• Proporcionar un borrador del informe de la auditoría para discusión con los interesados claves.




• Proporcionaruninformedeauditoríaqueincorporelasrecomendaciones así como las respuestas de la auditoría cuando persisten diferencias de opinión.

• Proporcionarunplandeacciónconmedidascorrectivasacordadas que incluya tiempos para la implementación de las recomendaciones acordadas por la auditoría. este debe ser un elemento clave del programa de mantenimiento de la GCN.

• Suministrarunprogramademonitoreo(adicionalalprograma de mantenimiento de la GCN) para asegurar que el plan de acción de la auditoría dirigido a subsanar las deficiencia materiales, se implementa dentro de los tiempos acordados.

el proceso de aseguramiento de Calidad de la GCN incluye:• Definiciónderoles,responsabilidadesyautoridad.• DefinicióndeIndicadoresClavesdeDesempeño(ICD):

Objetivos, metas de medición y estándares.• Definirlosfactoresdeéxito• IncorporarlosICDenlostérminosdeloscontratosexternos

y en las evaluaciones internas anuales.• EvaluaryrevisareldesempeñocontraICDs,losobjetivos,

metas de medición y los estándares definidos por la industria.• Proporcionarunplandeacciónconmedidascorrectivas

Métodos y técnicasLos métodos utilizados por la auditoría deben estar determinados por quienes realizan la auditoria y cumplir con las políticas internas de la organización.La auto-evaluación o “Monitoreo del desempeño” realizados dentro del programa de la GCN puede utilizar indicadores de desempeño como:• Númerodemesesdesdeelúltimoejercicio.• Númerodecasospendientesdesolucióndesdeelúltimo

ejercicio.• IntegridaddeladocumentacióndelplandelaGCN.• NúmerodemesesdesdeelúltimoAIN.

• NúmerodecasospendientesdesolucióndesdeelúltimoaIN.

• NuevasaplicacionesdelaTecnologíadelaInformaciónanalizadas para su inclusión en la gestión/planes de la GCN.

• Nuevoscambiosoprocesosdelnegocioanalizadosparasuinclusión en la gestión/planes de la GCN.

• Adecuación/viabilidaddelosdatosdinámicosdelosEquiposde recuperación: integrantes, números telefónicos de contacto, listas de proveedores para notificación, asignación de puestos de trabajo en el sitio de recuperación.

• Creacióndelpresupuestoparalaimplementaciónymantenimiento de la GCN.

• Responsabilidadesparaelcontrolpresupuestal.• Cuadrosdemandoparaasegurarlaauto-evaluaciónLas evaluaciones de Calidad pueden provenir de:• Análisisyrevisióndedocumentos• Entrevistasconelequipodetrabajoygruposdeinterésclave

resultados y revisiónLos resultados del proceso de auditoría de la GCN incluyen:• Elreporteindependientedelaauditoriaacordadoyaprobado

por la alta dirección.• Elplandeacciónconmedidascorrectivasacordadoy

aprobado por la alta dirección.• Elresultadodeunacalificacióndesfavorabledeldesempeño

será:> La aceptación por parte de la alta dirección de los planes

de la GCN como “inadecuados”.> La iniciación de la revisión de la GCN realizada por

un profesional en GCN para apoyar al equipo en el mejoramiento de su posición.

el resultado del proceso de auto-evaluación puede ser:• MejoramientoenlagestióndelprogramadelaGCN.La política relacionada a la frecuencia de las auditorías debe estar claramente definida y documentada en “la Política y las Normas de auditoría” de la organización.



La información contenida en las páginas siguientes proporciona asesoría y orientación más detallada sobre varios aspectos relativos a la GCN pero no constituye parte de las Prácticas Profesionales para efectos de la certificación para la membrecía del BCI

Información de A

poyo


ANEXO 1

Consejos para la selección adecuada de Opciones tácticas de recuperación

PersonalComo un antecedente para identificar y seleccionar las opciones tácticas para el personal empleado dentro de la organización, se incluye identificar las habilidades claves y el conocimiento requerido. esto puede hacerse más efectivamente durante la etapa del “entendimiento de la organización” a lo largo del proceso de recopilación de información en la gestión de la continuidad del negocio.Las opciones tácticas para la pérdida o ausencia de personal en la organización incluyen:• Identificarydocumentarendetallealpersonalquecuenta

con las habilidades y conocimientos clave.• Capacitarpersonalparaqueadquieraconocimientoy

habilidades adicionales.• Documentarlosprocesosclavesquepermitanalpersonal

asumir responsabilidades con las que no se sientan familiarizados.

• Mantenerunlistadodeaquellosex-empleadosconhabilidades y conocimientos, para que puedan ser llamados si la situación así lo requiere.

• Utilizarpersonaldeloscontratistasconhabilidadesyconocimiento relevantes. (puede ser a través de acuerdos contractuales o manteniendo una lista actualizada de contratistas que cumplan con los requerimientos).

• Separargeográficamentealosindividuosogruposconhabilidades y conocimiento clave.

• Tercerizarunapartedeltrabajoquerequierahabilidadesy conocimiento clave a los contratistas que tengan la capacidad de tomar control del trabajo en un periodo de tiempo corto una vez hayan sido notificados

Instalaciones La selección de opciones por la pérdida de o exclusión de las instalaciones está influenciada por diferentes factores (algunos de los cuales no pueden ser identificados hasta después de que ocurre algún incidente). estos factores incluyen:• Costos.• LosTOR(TiempoObjetivodeRecuperación)delas

actividades afectadas.

• Ladisposiciónquemuestreelpersonalencasodereubicación o viaje.

• Número,tamaño,extensióngeográficaylanaturalezamisma de las instalaciones dentro de la organización.

• Ladisposicióndeaceptarmayoresnivelesderiesgo.• Consecuenciasgeográficasderivadasdelincidente.• Lacantidaddepersonalquedebaserreubicado.• Ladisponibilidaddeespacioenotroslugaresdetrabajo

dentro de la organización.• Ladisponibilidaddeestablecimientoslocales.• Lanaturalezayeltipodeinstalacionesrequeridasparalos

establecimientos alternos.• Lanecesidaddeaccesoasistemascomputacionales.• Lanecesidadydisponibilidadparaaccederalas

telecomunicaciones.• Lanaturalezaytamañodelospredioscercanosalos

establecimientos afectadosNo existen guías simples o únicas que puedan utilizarse de manera apropiada para la selección de opciones en caso de pérdida de las instalaciones, aunque en muchos casos las opciones con tiempos cortos de recuperación son más costosas que aquellas que toman más tiempo en recuperarse. Las organizaciones que proveen servicios a una localidad en particular como instituciones públicas o empresas de negocios vinculadas a los mercados locales, pueden estar limitadas a escoger diferentes alternativas según la necesidad o cercanía que sus clientes demanden.Las opciones tácticas utilizadas para la pérdida de instalaciones incluyen:• Utilizacióndeespaciosdisponiblesendistintossitiosdentrode

la organización (éstos puede incluir salas de juntas, espacios de capacitación y conferencias, comedores, etc.)

• Elincrementodeladensidaddepersonalenalgunoslugaresdela organización, esto se refiere a movilización o traslado.

• Desplazarpersonaldelaempresaquerepresentemenorurgencia en actividades y utilizar esos lugares disponibles para otras actividades prioritarias en la organización. (Para esta opción se debe tener mucho cuidado con el trabajo retrasado y menos urgente que esté suspendido, porque puede convertirse en trabajo inmanejable).

• Eltrabajoremotooadistancia:Incluyeelconceptode“trabajoen casa”, además del trabajo en otros lugares fuera de la organización como por ejemplo hoteles. trabajar desde casa puede ser una solución muy eficaz pero se debe tener cuidado a la hora de asegurar que los temas de salud y seguridad sean abordados de manera correcta; además se deben tener los equipos de tI con licencias adecuadas del software que se suministra; la cobertura de red y el soporte técnico deben ser suficientes y deben estar disponibles.

• Acuerdosrecíprocosconotrasorganizacionesparateneracceso a sus instalaciones. se debe tener especial cuidado a la hora de establecer dichos acuerdos con el fin de garantizar

Información de Apoyo


que está permitido realizar pruebas y procedimientos con sus respectivas revisiones periódicas, que determinen si el espacio necesario todavía está disponible o no.

• Utilizarunalistaactualizadadeestablecimientosdisponiblesode proveedores potenciales de establecimientos que permitan encontrar alternativas después de algún incidente. (esta opción es adecuada para actividades con tOr relativamente largos y está usualmente referida como “ad-hoc”).

• Contratacióncontercerosparaproveersitiosderecuperación.• Adquiriryacondicionarestablecimientosadicionalesque

estén listos para su utilización cuando se requieran para la recuperación (puede variar entre mantener una instalación desocupada que requiere acondicionamiento, hasta tener una instalación completamente equipada).

• Prefabricartemporalmenteinstalacionesprovisionales(casasrodantes, cabinas, etc.). esto requiere de disponibilidad de tierra adecuada; puede tomar varios días la construcción y puede requerir una preparación importante; además en la preparación podrían necesitarse fuentes de energía, agua y telecomunicaciones.

• Alojamientomóvil:puedeentrarenfuncionamientorápidamente, pero puede presentar espacio limitado e incluso necesitar servicios o fuentes de energía y alimentos.

• Trasladodelasactividadesperonodelpersonalaotroslugaresque hayan sido acondicionados para realizar la actividad (conocidas también como “lugares diversos”).

• Sitiosderéplica:laactividadestransferidaaunaovariaslocaciones alternas en las cuales el personal y las instalaciones ya estén preparadas para continuar con la carga de trabajo

esta última opción suele ser normalmente las más costosa de implementar (debido a los costos que implica la sincronización de los sistemas con la información en múltiples lugares así como los gastos indirectos de apoyo a múltiples sitios y recursos), sin embargo provee la solución apropiada en donde es necesaria la reanudación rápida. Para ser una opción viable de recuperación, estos sitios no deben tener ningún punto de falla y deben tener una separación geográfica apropiada.

Recursosademás de las opciones descritas a continuación, los servicios de restauración de bienes son proporcionados por una serie de compañías especializadas quienes pueden minimizar los daños causados por incendios o inundaciones que afecten documentos, libros, medios electrónicos y equipos entre otros activos. estas firmas pueden proveer un sistema de registro y asesoramiento antes del incidente, y también están disponibles para ayudar cuando sea solicitado cuando ocurra un incidente.

Recursos – Tecnología de la Información (IT)el costo de las opciones tácticas disponibles para la recuperación de la tecnología de la Información representa una relación inversa entre el tOr y los costos de recuperación (cuando menor sea el

tOr mayor será el costo). esto puede inducir a la organización a replantear los tOr de sus actividades (igualmente de sus productos y servicios) y a partir de ésto estimar el costo de recuperación de la tecnología de la Información según su tOr asociado.

Las opciones tácticas disponibles para la pérdida de tecnología de la Información, que no son mutuamente excluyentes sino que por el contrario se encuentren mezcladas o asociadas, incluyen:

• Copiasdeseguridad:Copias de seguridad de la información contenida en los sistemas de cómputo, y almacenamiento de las copias de seguridad en un lugar y locación segura que esté separada geográficamente de los sistemas de cómputo en los que se mantiene la información original.

• Ad-hoc:esperar hasta que la tecnología de la Información se pierda y luego obtener remplazo de los equipos si es necesario, recuperando los sistemas de información desde las copias establecidas previamente (esta opción genera un costo bajo pero representa un alto riesgo y es adecuada cuando los tOr se encuentran en días o incluso semanas, o cuando los equipos de remplazo están fácilmente disponibles además de que la reconfiguración de la tecnología de la Información sea relativamente sencilla).

• Acuerdosdesoporte:establecer acuerdos de soporte con los contratistas que permitan remplazar equipos de tI en tiempos predeterminados, además de definir previamente las configuraciones, recuperando la información del sistema desde las copias de seguridad.

• Equiposenespera:tener equipos de repuesto destinados como sustitutos de los originales (así estén o no configurados), que puedan ser utilizados cuando el equipamiento original se pierda, contando con la recuperación de la información a partir de las copias de seguridad. dichos equipos de repuesto deben permanecer almacenados preferiblemente en sitios diferentes a los originales para disminuir el riesgo de que éstos también resulten afectados.

• Duplicarlosequipos:tener duplicado completo de los equipos configurados previamente con sistemas adecuados que puedan utilizarse si los equipos originales se pierden, y una vez más recuperando la información a partir de las copias de seguridad.

• Equiposdeloscontratistas:Firmar contratos con los contratistas para que permitan utilizar sus equipos ubicados en el sitio de ellos, con los sistemas y la información recuperados desde las copias de seguridad.

• Replicarlossistemas:tener réplicas de los equipos, de los sistemas y de la información que puedan ser almacenados dentro de la organización misma o en el lugar donde los contratistas se ubiquen (un sitio alterno geográficamente separado del centro de cómputo principal, mejorará la posibilidad de que las réplicas sean utilizadas cuando sean necesarias) y pueden tomar la forma de:




> replicación continua: Cuando la información está siendo replicada continuamente desde los sistemas originales de información (teóricamente con esta estrategia no habrá pérdida de información).

> espejo y/o sombra: Cuando los cambios en la información original del sistema son plasmados en la réplica (hay pérdidas mínimas de información).

> registro de la réplica: en este caso los cambios en la información original del sistema son registrados y almacenados antes de ser enviados a la réplica (dependiendo de los plazos establecidos, la pérdida de información puede ser medida en minutos u horas).

> Copias de seguridad: Cuando una copia de seguridad es tomada del sistema original y luego es copiada a la réplica (los últimos cambios hechos en el original pueden perderse)

el plazo de entrega previsto para la adquisición de los equipos después de algún incidente debe ser tenido en cuenta a la hora de escoger las opciones tácticas para la tecnología de la Información. este tiempo de espera puede ser mayor para las organizaciones menos preparadas que además estén buscando el mismo equipo.

Cualquier forma de acuerdo verbal hecho con un proveedor para mantener las reservas, debe ser tratada como acuerdo no contractual.

Las condiciones utilizadas usualmente incluyen:

• Suscripciones sindicadas o compartidas: se considera un área de trabajo cuando un suscriptor paga por el uso compartido de las instalaciones y es proveído siempre y cuando otro suscriptor no se encuentra utilizándolas –dado que solicitó la activación del sitio con anterioridad- (ésta es la opción menos costosa, pero puede implicar una alta posibilidad de que el espacio no esté disponible cuando se requiera).

• Zonadeexclusión: representa un tipo de exclusividad a la hora de compartir alojamiento, donde un suscriptor puede escoger excluir otros suscriptores dentro del área de trabajo, por ubicación geográfica y/o según el tipo de industria. sin embargo esto no reduce el riesgo de compartir áreas con otros suscriptores no excluidos. (se debe tener especial cuidado para no confundirse entre los términos “Zona de exclusión incidental” la cual es el área que está excluida al público en casos de emergencia o durante un incidente).

• Garantizado: Un área de trabajo que ofrezca al suscriptor la opción de tener cierto porcentaje de alojamiento garantizado del total de espacio disponible ofrecido para todos los suscriptores (por ejemplo, un suscriptor puede contratar 200 espacios con garantía del 25% lo que significa que tendrá 50 espacios en el evento que existan otras peticiones de espacios).

• EspacioDedicado:es el área de trabajo donde el suscriptor tiene uso exclusivo. es la opción más costosa y representa

el menor riesgo de indisponibilidad cuando se le necesite y es utilizada generalmente cuando se requiere un rtO rápido para funciones que generen alto valor, donde se necesiten equipos especiales o en los casos en donde compartir el espacio no sea posible

Para áreas compartidas, generalmente la relación industrial es máximo entre 10 y 40 a 1 (por ejemplo en un caso extremo cada escritorio es vendido hasta en 40 veces su precio). Los peligros asociados con esto y los parámetros aceptables para una organización, deben estar claramente definidos dentro de su estrategia y no deben dejarse a ningún tipo de negociaciones contractuales individuales.

actualmente existen dos métodos principales sobre los cuales un proveedor asignará los recursos disponibles a los suscriptores durante una urgencia colectiva:

• Primeros en llegar, primeros en ser atendidos (Orden de llegada): para el primer suscriptor que solicite el servicio estarán disponibles todos los recursos; los recursos sobrantes estarán disponibles para los suscriptores que vayan llegando.

• Compartirequitativamente: Los recursos disponibles serán asignados en la proporción suscrita

es evidente que la disponibilidad de áreas “garantizadas” y “dedicadas” en las mismas instalaciones, cuando se hacen invocaciones múltiples, puede hacer compleja la asignación de recursos y a veces generan desafíos contractuales.

es necesario recordar también que únicamente debido a que un incidente ocurre no significa que regular, estatutariamente o gracias a las normas de negocios, deba ser suspendida la gestión de la información. existen algunos parámetros claves para hacer frente si las operaciones están siendo transferidas a los contratistas. Éstos incluyen:

• Confidencialidad: se deben tomar medidas para asegurarse que los niveles de confidencialidad de la información sean mantenidos todo el tiempo.

• Integridad: a menos que las copias de seguridad sean utilizadas al mismo tiempo en varios sistemas interconectados, la data puede perder integridad a través de diferentes Bases de datos cuando se restaure la información (por ejemplo, una nueva transacción puede estar presente en la Base de datos pero el correspondiente nuevo cliente puede no estar en la Base de datos de clientes si aquella se replicó primero), el tiempo debe ser asignado dentro del tOr para permitir la sincronización, y otros asuntos que surjan y deban resolverse para que no se vea afectada la recuperación.

• Disponibilidad: asegurar que la información está disponible en el tiempo requerido para alcanzar el tOr de cada actividad utilizando la información (se debe notar que existen requerimientos estatutarios predefinidos para el acceso a la documentación e información con unos tiempos



medidos específicos siguiendo las consultas públicas o de las autoridades)

Las opciones tácticas para la tecnología de la Información necesitan ser revisadas en conjunto con las opciones dispuestas para las instalaciones y las telecomunicaciones, con el fin de permitir a los usuarios tener acceso a los sistemas computacionales que sean necesarios para las actividades que están siendo recuperadas. Ésto se debe a que el tiempo que toma instalar las nuevas líneas de comunicaciones para las sedes alternas, pueden variar ampliamente tomando hasta tres meses en algunos países. algunos proveedores de tales servicios también pueden brindar apoyo para remplazar el personal si fuera necesario. Las empresas que prestan este servicio son conocidas como recuperación de áreas de trabajo.

Las aplicaciones web y los beneficios prometidos de Nube Computacional ubicando los sistemas que activan esas aplicaciones en sitios geográficamente separados de las instalaciones de las actividades que utilizan esos sistemas, mejorarán la disponibilidad. esto permitirá a los usuarios que necesiten esas aplicaciones poder realizar las actividades necesarias desde cualquier lugar que tenga conexión a internet. sin embargo, se deben tomar las medidas necesarias para asegurarse que la información solo sea utilizada por quienes tengan acceso a ésta (puede funcionar por ejemplo el uso de una red Privada Virtual –rPV-).

Recursos – TelecomunicacionesLa relación que existe entre la telefonía y la información manejada desde la red VoIP (Voz sobre IP), crea nuevas oportunidades y aspectos de continuidad, a partir del uso conjunto que se le da a las redes telefónicas y los correos electrónicos usualmente utilizados como herramientas de comunicación si alguna de las dos falla. estas herramientas deben ser exhaustivamente analizadas para asegurar la mínima interrupción e impacto.Las opciones tácticas utilizadas cuando existen pérdidas de comunicación telefónica incluyen:• Desvíoautomáticodellamadas.• Desvíomanualdellamadas.• Grabacionesquepermitanalosclientesllamaraotros

números telefónicos.• Emitirnotificacionesalpersonalyotrasdependencias

internas acerca de números alternos para llamar.• Númerosnogeográficos.• Gestióndelosserviciosdered.• Redesinalámbricas• Usodeteléfonosmóviles:Aunqueestonogarantizaquelas

redes móviles no se puedan afectar o estén recargadas (como consecuencia del incidente)

Usualmente los teléfonos pueden ser desviados en el corto plazo y en los casos donde el tOr de las actividades que requieren teléfonos esté medido en días, puede ser una opción aceptable esperar el redireccionamiento de los teléfonos hasta después

de un incidente que provoca la interrupción. sin embargo el redireccionamiento no planificado de la telefonía a instalaciones alternas puede no ser posible dentro de los tiempos aceptables, en especial durante incidentes de amplio cubrimiento.

La mayoría de proveedores de telecomunicaciones ofrecen, con un cargo adicional, un portafolio de soluciones amplio y flexible que permite direccionar rápida o instantáneamente las llamadas de un sitio a otro u otros sitios. esta opción es bastante acertada cuando los tOr de las actividades que requieran líneas telefónicas estén dados en horas antes que en días y cuando el impacto en la pérdida de telefonía sea muy grande.

se debe tener mucho cuidado redireccionando las líneas telefónicas de tal forma que se pueda asegurar la suficiente capacidad de respuesta a la cantidad de llamadas recibidas (por ejemplo, el redireccionamiento de un número muy grande de líneas utilizadas dentro de un Call-center ocupado a un solo teléfono, no puede hacerse porque ésto significará que muchas de las llamadas no serán atendidas). es importante también manejar adecuadamente el problema logístico que se deriva del manejo de llamadas durante un incidente; una vez hayan sido redireccionadas se necesita que deben abordarse para asegurar que los receptores de las desviaciones están debidamente capacitados para manejar adecuadamente las llamadas en flujos pico.

Las opciones tácticas para la pérdida de información de comunicaciones incluyen.

• Duplicarlaslíneasdecomunicación(esimportantequenoqueden puntos de falla).

• Utilizarinternet(parasistemasdeinformaciónquesepuedan utilizar a través de internet).

• Reubicarelpersonalquenecesiteutilizarsistemasdeinformación, a sitios en los cuales aún estén operando las redes de comunicaciones de datos

Han tenido rápido crecimiento, particularmente en asia, los Procesos de externalización de Negocios (PeN); en donde normalmente se incluye un centro de

operaciones y una oficina de procesamiento. La integración de la información y la telefonía inteligente en un lugar externo implica importantes retos de recuperación. Los PtN basados en call-centres usualmente tienen un tOr corto y contractual, lo cual significa que dos o más centros geográficamente separados compartiendo la carga de llamadas son parte integral de la respuesta y previene la pérdida de información de telecomunicaciones. debido a la organización típica del personal en esta clase de modelos de negocio e instalaciones, un periodo sostenido de interrupción del servicio puede presentar un reto importante en recursos humanos cuando el personal no quiera o no sea posible reubicarse debido a las grandes distancias en algunos



países. sin embargo con la llegada de nuevas habilidades a partir de las llamadas, un incidente impactante en una sola locación que es parte del modelo del campus, puede resultar en que algunas llamadas sean desviadas a agentes con habilidades similares y conocimientos en otra locación.

Recursos –Documentación ImpresaMuchas organizaciones aún dependen de la información registrada en documentos y para estos casos existen algunas opciones tácticas las cuales deben ser identificadas y seleccionadas en caso de pérdida de información.

Las opciones tácticas para la recuperación por pérdidas de documentos impresos incluyen:

• Nohacernada,aceptarlapérdida.• Copiarlosdocumentosimpresosyalmacenarlosenun

sitio geográficamente distinto de los lugares originales de almacenamiento.

• Escanearlosdocumentosimpresosyguardarlosenimágeneselectrónicas (los registros electrónicos pueden estar almacenadas en el mismo sitio donde estén guardadas las copias de seguridad o pueden estar almacenadas en otros sitios separados geográficamente)

• Recrearlosdocumentosimpresoscomomejorseaposible,a partir de la información suministrada por el personal, los clientes y otras partes interesadas

el almacenamiento electrónico de registros puede gestionarse desde la organización misma o también a través de una amplia variedad de proveedores (usualmente denominados bóvedas de información). Los registros copiados pueden enviarse fuera de la empresa por medio de recopilación física o por medio de almacenamiento o por medio de transmisión electrónica de datos hacia los nuevos lugares de almacenamiento.

el lugar de almacenamiento debe estar suficientemente lejos del sitio original para asegurar que no sea afectado por algún incidente, pero tampoco debe estar demasiado lejos ya que el acceso puede incrementar los tiempos de recuperación y el tOr que hayan sido dispuestos inicialmente para la recuperación. algunos documentos requieren ser continuamente trabajados y requieren plazos cortos, otros necesitan ser archivados con fines legales o reglamentarios, por lo que guardarlos fuera de la organización puede ser más adecuado. Cuando hay auditorias o evaluaciones, es imperativo que dentro de la organización exista claridad y pleno conocimiento sobre las políticas y estrategia del manejo de los datos, las cuales pueden ser alineadas o modificadas para cumplir con los propósitos de la recuperación.

La recuperación de la documentación después de un incidente puede no ser posible, o puede tomar mucho tiempo debido al daño causado por un incendio o inundación, además se puede dificultar cuando no se tiene identificada la información que

hace falta; es por esto que las organizaciones que dependen de documentación física deben implementar medidas para protegerse en caso de que estos documentos se pierdan. dentro de dichas estrategias se encuentra el uso de cabinas resistentes al fuego, extintores, cajas fuertes o bóvedas las cuales son efectivas para almacenar la documentación más utilizada e importante. sin embargo en algunos casos aunque la documentación se conserve en las bóvedas o cajas de seguridad después del incidente, el acceso a éstas es imposible (éste fue el caso del incidente en las torres gemelas en la ciudad de Nueva York en el año 2001)

en algunos países y lugares del mundo la documentación contractual original, es la única legalmente aceptada.

Recursos – Equipo Generalthe options for the loss of equipment are similar to those listed above for the loss of It equipment:

• Ad-hoc: esperar hasta que los equipos se pierdan después del incidente y luego remplazarlos si se requiere (esta opción representa el costo más bajo y es adecuada cuando los tOr están calculados para semanas o días o los equipos de repuesto estén disponibles).

• Acuerdosdesoporte: establecer acuerdos de soporte con los contratistas durante tiempos específicos predefinidos, para garantizar equipos de repuesto cuando sean necesarios (en ocasiones se refiere a contratos de “envío inmediato”).

• Equiposenespera:tener equipos de repuesto inactivos es una opción de remplazo de los equipos originales después de algún incidente (se recomienda almacenar estos equipos en sitios geográficamente diferentes a los sitios originales para tener una mayor oportunidad de su disponibilidad cuando se les requiera).

• Duplicarlosequipos: Un duplicado completo de los equipos dentro de la organización pueden ser muy útil en caso de pérdida del equipo principal (una vez más, es recomendable guardar estos equipos en un sitio diferente al sitio en donde se encuentran los equipos principales, para evitar que también se afecten).

• Equiposdeloscontratistas: se recomienda hacer acuerdos con los contratistas para poder utilizar sus equipos localizados en sus sitios

Inquietudes especiales para la IndustriaManufacturera

Procesos de produccióna menudo en los procesos de producción industrial es común encontrar equipos muy especializados. desafortunadamente existen pocas opciones en caso de pérdida de dichos equipos ya que éstos necesitan largos tiempos para su remplazo y además generalmente son muy costosos, lo que imposibilita construirles duplicados.



sin embargo existen algunas opciones que pueden ser consideradas, éstas incluyen:• Hacerlesmantenimientoensitiooatravésdecontratosde

mantenimiento con niveles de servicio garantizados.• Utilizarsubcontratistasoempresasdelacompetenciaque

empleen equipos con configuraciones similares.• Mantenerrepuestosdisponiblesdelaspiezasmásimportantes

de los equipos almacenados en lugares geográficamente separados de los equipos originales lo que mejorara la posibilidad de tenerlos disponibles cuando se requieran.

• Manteneralgunosequiposviejoscomoequiposdeemergenciao para partes (de nuevo, se deben mantener estos equipos en sitios geográficamente separados lo que mejorara la posibilidad de tenerlos disponibles cuando se requieran).

• Cambiaralgunosprocesosparautilizarmáseficientementeelequipo disponible

existen algunos problemas asociados a la consecución de equipos únicos o equipos poco comunes:• Laposibilidaddequenoestéactualizadooelrepuestonoesté

disponible.• Unnuevorepuestopuederequerirlacapacitacióndelequipo

de trabajo para poder ponerlo en funcionamiento.• Unnuevorepuestopuedeserincompatibleconotrosequipos

o puede requerir la consecución de diferentes materiales para poner en funcionamiento el equipo afectado

Las multinacionales manufactureras tienen una estrategia global que consiste en construir una red que permita la facilidad de operación a lo largo de todos los territorios en donde operan. Como consecuencia de la dispersión geográfica (producir el mismo producto en más de un sitio), se incrementa la resiliencia a una gran variedad de incidentes, pero se deben contemplar los problemas y costos que genere la logística y la distribución; además se debe tener en cuenta la afectación a las economías de escala.subcontratación: aunque la mayoría de los procesos de manufactura pueden ser únicos en las industrias, existen usualmente varios sub-procesos que pueden ser realizados por otras empresas. La compañía afectada puede firmar algunos subcontratos para poder terminar sus productos mientras sus propias instalaciones están indisponibles. esta estrategia es raramente alcanzable de manera rápida si no se cuenta con una preparación adecuada debido a que toma bastante tiempo el alistamiento de ambas empresas.

Materiales, Logística, e inventarioLas opciones que existen en casos de pérdida de materiales e inventarios, son:• Almacenarreservasysuministrosadicionalesenotras

instalaciones; estas pueden ser las instalaciones de los contratistas, sitios de envío o sitios de recuperación de terceros

(pero se debe tener especial atención con algunos materiales e inventarios que pueden degradarse con el paso del tiempo y necesitan rotación regular o que los cambios en los procesos puedan hacer que se almacenen materiales de manera redundante).

• Acuerdosconloscontratistasparalaentregadematerialesysuministros en tiempos cortos.

• Desviacióndelasentregas“JustoaTiempo”aotraslocaciones.• Transferenciadeprocesosdesub-ensamblajealocaciones

alternativas propias o a las instalaciones de los contratistas

Energía y servicios públicosen caso de pérdida de energía, las opciones incluyen:• SistemasdeEnergíaIninterrumpida(UninterruptiblePower

Supply – UPS): Que cubren tiempos cortos de energía y permiten el apagado seguro de los equipos (particularmente computadores).

• Generadoresdeenergíaderespaldoenespera: Que operen de manera manual o automática cuando hay fallas de potencia eléctrica para la protección de los edificios o equipos cuando hay cortes prolongados de energía (sin embargo estos generadores deben ser revisados y probados periódicamente para asegurar su funcionamiento cuando se les requiera).

• Generadoresportátiles: tenerlos disponibles para cuando sea necesario; también se puede tener el servicio contratado o bajo demanda (ésto podría estar sujeto a la disponibilidad de equipos y en casos de emergencias colectivas puede complicarse o imposibilitarse su consecución)

Para las industrias manufactureras será esencial la disponibilidad del suministro de agua potable tanto para el uso del personal como para los procesos de manufactura. Otros servicios (como gas y combustibles), también son esenciales y los proveedores de todos estos bienes deben estar involucrados dentro de la Gestión de la Continuidad del Negocio.

Recursos – Proveedores y suministrosLas opciones existentes para la pérdida de proveedores incluyen:• Doblesomúltiplesfuentesquepermitanelabastecimiento

de suministros.• Identificaryaceptarpreviamentedistintasalternativasde

proveedores.• Establecerlasobligacionescontractualesconloscontratistas

como parte de la implementación de la GCN.• EvaluarlacapacidaddeGestióndelaContinuidaddel

Negocio de los proveedores para abastecer los productos y servicios, lo cual debe incluir evidencias de ejercicios y pruebas exitosos.

• Mantenerinventariosderepuestoodeamortización.• Establecercláusulasdepenalizaciónalosproveedoresenlos

contratos de suministro (aunque esta opción no protege en caso de quiebra del proveedor)


ANEXO 2

Consejos para la selección de Medidas alternas para la Mitigación de riesgosPara los productos y servicios que se considera están por fuera del alcance del sistema de gestión de la Continuidad del Negocio, o el riesgo para el negocio de su pérdida o no disponibilidad no es mitigable mediante la utilización del modelo del Ciclo de Vida de la GCN y debe gestionarse por medios alternativos. Las opciones disponibles para la alta dirección, son:• Aceptación:Aceptarqueseestáenriesgodeinterrupción.• Transferencia:Transferiraterceroselriesgodeinterrupción.• Cambio,suspensiónoterminacióndelproductooservicio

Aceptación si se considera muy alto el costo de la GCN completo o el riesgo es considerado menor (debido a la interrupción probablemente se cree tener un menor impacto) luego el riesgo debe ser aceptado.

en este caso la organización debe optar por no hacer nada, o poner en marcha algunas medidas que puedan contrarrestar el riesgo. dentro de estas medidas se incluyen:

• Capacidadparalagestióndeincidentes.• Medidasdeproteccióncontraamenazasquetenganalta

probabilidad, tal como un incendio.• Enfocarsehaciaelfortalecimiento:Parasitiosconúnico

proceso de manufactura o cuando las instalaciones son únicas, la estrategia de reubicación no es posible de aplicar. en estos casos todos los esfuerzos deben ser enfocados en la minimización de amenazas específicas. si ocurre lo peor, la única salida que tiene la organización será permitir su restablecimiento aunque tome mucho tiempo

La aceptación del riesgo y la determinación del apetito de riesgo de la organización están sujetas a que no es posible determinar científicamente un valor para un riesgo operativo, por lo que una organización no puede medir con precisión su apetito al riesgo de manera teórica. si una organización tiene como objetivo protegerse contra amenazas específicas percibidas, entonces el costo total de las medidas puede exceder el costo de la estrategia de la Continuidad del Negocio.

Transferenciael riesgo puede ser transferible a terceros quienes también pueden estar más capacitados para gestionarlo.estas medidas incluyen: • Externalización: Cada vez más organizaciones están

tercerizando sus procesos y actividades críticas en busca de la creación de organizaciones virtuales. La transferencia del riesgo está asociada muchas veces a la externalización. es importante recordar que el riesgo de la reputación de la organización y la imagen de la marca no puede trasladarse; el riesgo es siempre responsabilidad de la organización misma y esta responsabilidad no puede caer en los contratistas o en los proveedores.

• Descentralización: Utilizar los recursos propios de la organización o proveedores externalizados alejados de los centros de negocios que introducen complicaciones adicionales de seguridad, riesgos ambientales y políticos que pueden atraer la atención e interés de los clientes y reguladores.

• Seguros:La transferencia de algunos costos causados por un incidente deben ser asegurados. sin embargo, en caso de un incidente la cobertura que brinda el seguro se representa en dinero que puede ser utilizado por la organización perjudicada, pero en este caso, ésta no es una solución por sí sola

La organización puede sufrir daños en su infraestructura o su reputación o estar sujeta a sanciones como resultado de fallas de la compañía a la cual ha sido tercer izada.

Cambio, suspensión y terminación Cambiar algunos procesos puede brindar tantas oportunidades de continuidad dentro de la organización como el cliente quiera. sin embargo la entrega se hace de otra forma, usualmente tercerizando toda o parte de la operación. Por ejemplo una industria manufacturera puede convertirse en distribuidora importando o vendiendo productos bajo su propia marca.

Interrumpir o vender partes del negocio puede ser apropiado cuando el negocio restante sea viable y pueda crear espacio para recuperación o si un producto o servicio está llegando al final de su vida útil. esta también es una estrategia adecuada en casos donde una organización no está dispuesta a aprobar un presupuesto para la recuperación de la capacidad de una filial. existen riegos con la aplicación de esta estrategia, si la reputación del negocio restante es opacada por la parte suspendida.

si estas opciones no están de acuerdo con el cliente, la organización se enfrenta a posibles litigios que afectan su reputación en caso de que la entrega después del incidente no cumpla con las expectativas del cliente.


Business Continuity Institute10 Southview ParkMarsack StreetCavershamBerkshire RG4 5AFUnited Kingdom

isto

ckph

otos

.com

/lor

rain

edar

ke

Download - Guia Continuidad Negocios

Top Related