guia continuidad negocios

of 108/108
Una guía de gestión para la Implementación de Buenas Prácticas en la Gestión de la Continuidad del Negocio GUíA DE BUENAS PRáCTICAS 2010 The Business Continuity Institute Edición Global Versión al español realizada por Con el apoyo de

Post on 09-Dec-2015

57 views

Category:

Documents

6 download

Embed Size (px)

DESCRIPTION

guía de continuidad de negocios

TRANSCRIPT

  • Una gua de gestin para la Implementacin deBuenas Prcticas en la Gestin de la Continuidad del Negocio

    GUa de BUeNas PrCtICas 2010The Business Continuity Institute

    edicin Global

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

    Versin al espaol realizada por

    Con el apoyo de

  • Copyright the Business Continuity Institute. Cualquier reproduccin o distribucin de la Gua de Buenas Prcticas est prohibida sin el permiso expreso y por escrito de the Business Continuity Institute. Todo el contenido, a menos que se indique lo contrario es de the Business Continuity Institute. Todas las referencias a la Gua de Buenas Prcticas deben acreditar the Business Continuity Institute.

  • GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [I]

    Contenido

    Agradecimientos .................................................................................................................................................................................................................................... 1

    Calificaciones Profesionales del BCI ............................................................................................................................................................................ 1Introduccin a la Gua ....................................................................................................................................................................................................................2

    Que es la Gestin de Continuidad del Negocio?Porque tenemos la Gua de Buenas Prcticas GBP? .....................................................................................................................

    GCN Tendencias y Observaciones................................................................................................................................................................................. 4No es slo para incidentes fsicos de gran impacto y baja probabilidadDiversos orgenes de prcticaQue habilidades requiere el profesional de GCN?GCN: Integrada o Centralizada? Un gestor dedicado a la GCN no es el nico modelo

    La GCN en Contexto .......................................................................................................................................................................................................................5La GCN no es . . .La GCN es . . .La GCN y la Resiliencia del NegocioLa GCN y la Gestin de RiesgosLa GCN y la Gestin de Crisis

    La GCN, Estndares y Cumplimiento .........................................................................................................................................................................7Qu ha cambiado desde la versin inicial?

    Quin debe leer esta Gua? .................................................................................................................................................................................................... 8

    Orgenes de la Gestin de Continuidad del Negocio .......................................................................................................................... 9

    Glosario de Trminos .................................................................................................................................................................................................................... 11

    Gua de Buenas Prcticas 2010 ...................................................................................................................................................................................... 16

    Contenidos

  • [II] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    GCN Gestin de las Prcticas Profesionales

    01 Poltica y Gestin del ProgramaCiclo de Vida GCN .......................................................................................................................................................................................................................... 20

    Visin de la Gestin de la Poltica y el Programa................................................................................................................................... 21alineacin de la Poltica de la GCN a la Cultura Organizacional ................................................................................................................22

    alcance del programa de la GCN y determinacin de sus alternativas ................................................................................................23

    desarrollo de la Poltica de GCN ...........................................................................................................................................................................................26

    actividades externalizadas ......................................................................................................................................................................................................... 27

    revisin del Programa de Gestin de la GCN .............................................................................................................................................................28

    asignacin de responsabilidades ..........................................................................................................................................................................................29

    Implementacin de la GCN en la Organizacin ........................................................................................................................................................30

    Gestin de Proyectos .......................................................................................................................................................................................................................31

    Gestin en Curso de la Continuidad del Negocio .................................................................................................................................................... 32

    documentacin de la GCN.........................................................................................................................................................................................................33

    02 Integrar la Gestin de la Continuidad del Negocio en la Cultura OrganizacionalIntegrar la GCN en la Cultura de la Organizacin ................................................................................................................................37

    Visin de la Integracin de la GCN en la cultura de la Organizacin ......................................................................................................40

    desarrollo de la GCN dentro de la Cultura de la Organizacin ....................................................................................................................42

    Monitorizacin del Cambio Cultural ..................................................................................................................................... 44

    Logro del Cambio Cultural a travs de sistemas de Gestin de Normas .............................................................................................45

    Contenidos

  • GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [III]

    GCN Tcnicas de las Prcticas Profesionales

    03 Entendimiento de la OrganizacinEntendimiento de la Organizacin ............................................................................................................................................................................47

    anlisis de Impacto en el Negocio .......................................................................................................................................................................................48

    anlisis de requerimientos de Continuidad ................................................................................................................................................................. 52

    evaluacin de amenazas a travs del anlisis de riesgo ...................................................................................................................................53

    04 Determinar la Estrategia de Continuidad del NegocioDeterminar la Estrategia de Continuidad del Negocio ..................................................................................................................57

    Identificacin y seleccin de estrategias ........................................................................................................................................................................58

    Identificacin y seleccin de respuestas tcticas....................................................................................................................................................61

    Consolidacin de Niveles de recursos ..............................................................................................................................................................................64

    05 Desarrollar e Implementar una Respuesta de la GCNDesarrollar e Implementar una Respuesta de la GCN ....................................................................................................................67

    estructura de respuesta ante un Incidente ..................................................................................................................................................................69

    desarrollo y Gestin de Planes ................................................................................................................................................................................................71

    Planes estratgicos ........................................................................................................................................................................................................................... 76

    Planes tcticos ...................................................................................................................................................................................................................................... 78

    Planes Operativos .............................................................................................................................................................................................................................. 79

    06 Ejercitar, Mantener y Revisar la GCNEjercitar, Mantener y Revisar la GCN ....................................................................................................................................................................83

    desarrollar un programa de ejercicios ..............................................................................................................................................................................84

    ejercitar las actividades de la GCN ......................................................................................................................................................................................87

    Mantenimiento de los Planes de la GCN ........................................................................................................................................................................89

    revisin y auditora de los Planes de la GCN .............................................................................................................................................................90

    Informacin de ApoyoANEXO 1 .......................................................................................................................................................................................................................................................95

    Consejos para la seleccin adecuada de Opciones tcticas de recuperacin

    ANEXO 2 ...................................................................................................................................................................................................................................................101Consejos para la seleccin de Medidas alternas para la Mitigacin de riesgos

    Contenidos

  • [1] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Agradecimientosestas guas reflejan la considerable experiencia acadmica, tcnica y prctica de los integrantes del Business Continuity Institute - practicantes senior quienes han desarrollado y estructurado el concepto de la Continuidad del Negocio internacionalmente.

    Las Guas de Buenas Prcticas (GBP) 2010 estn encaminadas para ser utilizadas por practicantes, consultores, auditores y reguladores que posean un conocimiento racional sobre la Gestin de la Continuidad del Negocio GCN y sus principios bsicos. Las guas no pretenden servir como gua de principiantes; sin embargo, proveen material excelente para quienes desean convertirse en practicantes certificados en GCN por medio del modelo de examen CBCI. Quien ingresa a la disciplina debe tambin trabajar junto con un practicante experto o atender un programa adecuado de capacitacin.

    el trabajo en la GBP 2010 se inici en febrero de 2009 con la conformacin de un equipo de trabajo y el encuentro de lderes de grupos individuales. Los borradores iniciales se produjeron en septiembre de 2009 con revisiones entre los colegas, amplia consulta y evaluaciones durante los meses de Octubre y Noviembre. Las versiones finales consolidadas fueron acordadas por el editor en Jefe durante diciembre de 2009 y enviadas para su revisin y aprobacin por el Grupo de anlisis de Calidad del Concejo de Miembros del BCI en enero de 2010. La planificacin del diseo final del trabajo, su publicacin y lanzamiento tuvo lugar durante los meses de Febrero y Marzo de 2010.

    el equipo del proyecto estuvo integrado por:editor en Jefe: Lyndon Bird FBCIrevisores jefes: Ian Charters FBCI, Mel Gosling MBCILder del equipo de aseguramiento de Calidad: Lesley Grimes MBCIsecretara del Comit: Jan Gilbertsoporte editorial: Lee Glendonsoporte al Glosario: Mark Pemberty FBCILderes del Grupo de Prctica: Ian Charters FBCI, steven Cvetkovic sBCI, Mel Gosling MBCI, angela Hobley MBCI, Odile Nectoux aMBCI, anton Wroblewski MBCI.

    adicional a los anteriores, el siguiente equipo de miembros del BCI y su grupo de trabajo, aportaron su tiempo y rigor intelectual para dirigir revisiones exhaustivas, sugerir mejoras y realizar pruebas de lectura. sin su apoyo habramos tenido un documento mucho menos comprensible.

    Howard Booth MBCI, stacey Farrow MBCI, debbie Featherstone aMBCI, achilles Figueiredo aMBCI, Ulysses Figueiredo MBCI, Ian Griffiths MBCI, Nic Handy MBCI, Gayle Hedgecock MBCI, Mike Hill FBCI, doug Kettle MBCI, Penny Killow MBCI, david Lightfoot MBCI, Jorge Lozano MBCI, James Mcalister MBCI, Charlie Maclean-Bristol MBCI, dominic Marino aMBCI, Margaret Millet MBCI, sarah Morgan MBCI, Norman Powell MBCI, Marie-Hlne Primeau MBCI, Clifford seow MBCI, Brigitte theuma MBCI, Pauline Wilson MBCI y John Worthington MBCI.

    el Business Continuity Institute agradece el tiempo y experiencia otorgados de manera voluntaria por todas las personas relacionadas anteriormente para el desarrollo de las Guas de Buenas Prcticas para el beneficio del BCI y de la industria de la continuidad del negocio. todos quienes contribuyeron al desarrollo de las Guas han acordado que no tienen derechos de autor o derechos sobre IP para el material, el cual queda como propiedad del Business Continuity Institute. el diagrama del Ciclo de Vida de la GCN y algunos trminos del glosario se utilizan agradeciendo al British standards Institute.

    Calificaciones Profesionales del BCI aquellos individuos que deseen convertirse en profesionales miembros del BCI, requieren demostrar competencias en las seis prcticas profesionales. el examen CBCI probar el conocimiento en la materia de las GBP 2010, a lo largo de las seis reas. Las preguntas se basan en el contenido de la gua. Los candidatos que tengan xito sern acreditados con la aprobacin o aprobacin con merito.

    Para quienes desean avanzar a niveles profesionales de prctica (AMBCI, SBCI, MBCI O FBCI), tambin debern demostrar experiencia probada a travs de las prcticas profesionales. El detalle sobre las necesidades para acreditar experiencia est disponible en www.thebci.org.

    Lyndon Bird FBCI

    Editor en Jefe Director Tcnico InternacionalThe Business Continuity Institute

    the Business Continuity Institute 2010traduccin al espaol realizada por: Carlos Vargas CBCP

    revisada por: Joanne Gagnon aMBCI, sandra Garcs MBCI, Marcelo Barrera MBCI, Manuel Casas CBCP Carlos J. diaz aMBCI.

    realizada por Fundacin Colombian Projects for Life, con el apoyo de: aLCONt asociacin Latinoamrica de Continuidad

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • Introduccin a la GuaEsta introduccin establece el contexto para la lectura de la Gua Global BCI de Buenas Prcticas 2010. La prctica profesional de la Gestin de la Continuidad del Negocio ha cambiado considerablemente desde la creacin del BCI en 1994 y continuar desarrollndose en tanto que su aplicacin y valor sean reconocidos por una audiencia ms amplia.

    El momento de la publicacin de esta Gua nos da una pausa para reflexionar: estamos experimentando la primera pandemia mundial de gripe del siglo XXI. Tambin estamos experimentando una crisis econmica global sin antecedentes en la memoria de la mayora de las personas en este planeta y estamos llegando a acuerdos de que tenemos nuevas amenazas globales que incluyen la seguridad energtica, la migracin masiva, la delincuencia ciberntica y el cambio climtico.

    En este contexto de incertidumbre, resulta alentador que la disciplina de GCN haya demostrado ser capaz de evolucionar, pero an sigue siendo relevante de cara a estos grandes cambios empresariales y sociales.

    BCI Good Practice Guidelines 2010 | GLOBAL EDITION [2]

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • Introduccin

    Qu es la Gestin de la Continuidad del Negocio?La definicin utilizada en anteriores ediciones de la GBP no ha cambiado y es consistente con la Norma Britnica Bs25999.

    La Gestin de la Continuidad del Negocio (GCN) es un proceso holstico que identifica las amenazas potenciales a una organizacin y los impactos a las operaciones del negocio que esas amenazas, podran causar si se llegaran a materializar. Proporciona un marco de referencia para construir la resiliencia organizacional con la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes interesadas, la reputacin, la marca y las actividades creadoras de valor.

    Por qu tenemos la Gua de Buenas Prcticas GBP?el valor de la Gua de Buenas Prcticas GBP para los profesionales es que considera no slo el qu sino tambin el por qu y el cmo, basado en experiencias mundiales reales de los profesionales de la GCN. La Gua de Buenas Prcticas GBP tambin tiene la flexibilidad suficiente para identificar tendencias futuras, retos y problemas que los profesionales todava estn debatiendo.

    La Gua de Buenas Prcticas GBP provee una lnea de base y un lenguaje comn para ayudar a la profesin de la GCN y al desarrollo individual de sus practicantes. es la base para el examen de acceso al BCI, y aunque no es la nica publicacin sobre todos los aspectos relativos a la GCN, proporciona un punto de referencia para las organizaciones acadmicas y comerciales de la GCN para utilizarla.

    [3] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    La Gestin de Continuidad del Negocio (GCN) es un proceso holstico que identifica

    las amenazas potenciales a una organizacin y los impactos a las operaciones

    del negocio que esas amenazas, podran causar si se llegaran a materializar.

    Proporciona un marco de referencia para construir la resiliencia organizacional con

    la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes

    interesadas, la reputacin, la marca y las actividades creadoras de valor.

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • Introduccin

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [4]

    GCN tendencias y Observaciones

    No es slo para incidentes fsicos de gran impacto y baja probabilidadLa GCN ya no slo trata sobre cmo gestionar incidentes de gran impacto y baja probabilidad. se est convirtiendo en un facilitador esencial de la resiliencia organizacional como parte de la operacin normal, gracias principalmente a su enfoque en la identificacin y proteccin de las fuentes de valor dentro de la organizacin. La metodologa tambin est comenzando a aplicarse para hacer frente a incidentes no fsicos.

    diversos orgenes de prcticaCon mayor conciencia y la adopcin de las prcticas de la GCN alrededor del mundo, la diversidad de la experiencia de los practicantes se multiplica. Mientras los profesionales veteranos pueden compartir experiencias en la tecnologa de la Informacin tI, las fuerzas armadas, los servicios de emergencia, los nuevos practicantes vienen de empresas de consultora, aseguramiento de la informacin, riesgo y seguros, cumplimiento y calidad. adems con la GCN convertida en un nuevo tema acadmico, estamos empezando a ver el nivel de crecimiento en la profesin y se espera que esta tendencia aumente en el futuro.

    Qu habilidades requiere el profesional de GCN?el practicante de GCN necesita demostrar buena capacidad de anlisis, slidas habilidades en planificacin y Gestin de proyectos, habilidades para comunicar e influenciar efectivamente y entender tcnicas para la valoracin de inversiones. Junto con un amplio entendimiento funcional de las organizaciones, es esencial para un profesional de la GCN entender el lenguaje, el modelo de operacin y los procesos de la organizacin donde se aplicar la GCN.

    GCN: Integrada o Centralizada? durante las primeras fases de la implementacin de la GCN en la organizacin, habr de ser necesario para los profesionales especialistas en GCN, administrar proyectos, coordinar el desarrollo de planes, organizar ejercicios y pruebas y validar la capacidad de la GCN.

    en una organizacin mucho ms madura en la que estas tcnicas ya estn integradas en los niveles funcionales, el rol del gestor de la GCN ser el de responsabilizarse de las polticas, gobierno y actividades de aseguramiento de la calidad, posiblemente reportando a la jefatura de Gestin de riesgos, auditoria, cumplimiento o a la direccin General.

    Un gestor dedicado a la GCN no es el nico modeloPor naturaleza, la Gestin de la Continuidad del Negocio GCN es un proceso funcional y transversal en las organizaciones. Inicialmente, el gestor de la GCN tiene el rol de facilitador y administrador del programa de la GCN. Los planes para asegurar la continuidad del negocio son propiedad de las reas de la organizacin que requieren proteger sus actividades claves generadoras de valor o los activos. el costo del desarrollo y mantenimiento de los niveles adecuados de preparacin necesitan provenir de estas reas.

    Quienes se encuentran involucrados en el proceso de GCN, diferirn de una organizacin a otra, reflejando su propio modelo organizacional y de negocio. Por ejemplo, las compras son cada vez ms importantes en los programas de GCN debido a que las cadenas de suministro se han extendido y se ha incrementado el uso de los servicios de externalizacin y descentralizacin.

    en organizaciones ms pequeas, la GCN es vista como un anexo a una multitud de disciplinas que incluyen salud y seguridad, seguridad y tecnologa. sin embargo, se necesita reconocer que el enfoque de la GCN se enlaza a un incidente o tipo de evento especfico y

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • [5] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Introduccin

    no sugiere un enfoque total de la GCN en la organizacin. tambin es difcil para el profesional de la GCN que est inmerso dentro de una nica funcin influir ms all con esta funcin. sin embargo, para ser eficaz la GCN debe reconocerse por la alta direccin como una disciplina del negocio, adueada por el negocio, coordinada y facilitada de manera centralizada.

    La GCN debe iniciarse desde la direccin por la razn esencial de que la GCN es acerca de lo ms importante y abarca las actividades sensibles al tiempo. realizar, por ejemplo, un anlisis de Impacto sobre el Negocio (aIN) de abajo hacia arriba, puede entregar un cuadro general distorsionado y desbalanceado de qu y quin es crtico...

    La GCN en ContextoLa GCN no es . . .La GCN no se trata de todo. este enfoque demuestra falta de claridad de pensamiento. La GCN es una herramienta que ayuda a mejorar el desempeo de las organizaciones. debemos evitar que se convierta en un ejercicio corporativo ms por chequear. Podemos ayudarnos al respecto asegurando la aplicacin rigurosa de la GCN para proteger el valor de una organizacin, pero utilizar nuestras habilidades y tcnicas para enfocarlo en aquello que es importante y urgente. Un ejemplo es la Cadena de suministro: No es necesario exigir a todos los proveedores un programa de la continuidad del negocio como parte del proceso de suministros: es mejor ir con ms detalle con aquellos que han sido definidos como crticos en el anlisis de Impacto sobre el Negocio en lugar de gastar la misma cantidad de tiempo (y tiempo de los proveedores) de manera indiscriminada.

    La GCN esLa GCN y la resiliencia del NegocioLa Gestin de la Continuidad del Negocio GCN, como una disciplina recin llegada al mundo de los negocios, claramente no existe desde el principio y, naturalmente, las organizaciones buscan entender en qu parte su aplicacin generar valor y cmo se integra con otras actividades que estn soportando los mismos objetivos organizacionales. tambin tenemos que reconocer que las organizaciones no estn arrancando de una hoja en blanco: algunos aspectos de la GCN siempre han estado presentes en las organizaciones, con diferentes nombres.

    Las vulnerabilidades en el negocio y en el modelo de operacin de una organizacin pueden considerarse en siete reas: reputacin, cadena de suministro, informacin y comunicaciones, sedes e instalaciones, personas, finanzas y clientes. el uso de este modelo sencillo demuestra a la alta direccin el valor y la naturaleza integradora holstica de la GCN de manera interfuncional y transversal en la organizacin.

    La aplicacin exitosa del Programa de la Gestin de la Continuidad del Negocio GCN incrementa la resiliencia de la organizacin lo cual contribuye a mejorar su desempeo corporativo. La resiliencia est ampliamente definida como la capacidad de una organizacin para absorber, responder y recuperarse de interrupciones. La GCN proporciona de una forma nica el marco de referencia para entender cmo se genera y mantiene la creacin de valor dentro de la organizacin y establece una relacin directa con las dependencias o vulnerabilidades inherentes a la entrega de ese valor.

    La resiliencia no se trata fundamentalmente sobre cmo detener o prevenir en primera instancia la ocurrencia de una interrupcin. La dependencia en la gestin de riesgos o de seguridad para brindar proteccin integral, inevitablemente generar desconfianza, porque la mayora de incidentes de la Continuidad del Negocio, por naturaleza, son en gran medida impredecibles.

  • Introduccin

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [6]

    La GCN y la Gestin de riesgosen la sala de juntas, la GCN es un elemento contributivo clave para un gobierno corporativo efectivo. Usualmente est posicionada bajo la Gestin de riesgos y permite a las partes interesadas investigar sobre aspectos como: Elmodelocorporativoydelnegociodelacompaa Losproductosyserviciosclavesgeneradoresdevalor Dependenciasclaves,activosyprocesoscrticos Cmolaorganizacinresponderaunaprdidaoalasamenazasquelasgenera Qutipodeamenazasexistenhoyyestarnpresentesenelfuturo Evidenciadequelosplanesdecontinuidad,funcionarnenlaprctica

    La Gestin de riesgos empresarial en la actualidad es otra disciplina firmemente integrada como disciplina estratgica en muchas organizaciones grandes. Mientras que la GCN ha evolucionado a partir del mundo de la tecnologa y de la recuperacin ante desastres, la Gestin de riesgos empresariales (Gre), ha evolucionado a partir del mundo de los seguros. La metodologa de la GCN se desarroll en un tiempo en el que la Gre an estaba en su perodo de infancia y entonces fue necesario incorporar el anlisis de riesgos a la metodologa de GCN. en el mundo actual ms desarrollado de Gre, la Gestin de la Continuidad del Negocio GCN ha sido errneamente vista por algunos como un tratamiento de los riesgos para todos los eventos de riesgo operativo, en su mayora de carcter fsico, y caracterizados normalmente como de alto impacto, baja frecuenciaLa GCN no est tampoco para identificar, analizar y reportar todos los riesgos concebibles a una organizacin, su mercado, clientes, y el amplio mundo en el que opera, ni tampoco para calcular las probabilidades de ocurrencia de eventos. es importante notar que la GCN se enfoca en identificar vulnerabilidades en las organizaciones, especialmente aquellas ligadas al valor subyacente que soportan y entienden el impacto de su no disponibilidad en el tiempo en la organizacin.La Gua de Buenas Prcticas es ambivalente frente a la presencia o ausencia de un sistema de Gestin de riesgos en una organizacin. desde la perspectiva de la GCN, es importante hacer nfasis en que si un producto o servicio ha sido identificado como crtico en el tiempo, entonces la respuesta de la GCN es esencial y cualquier otro tratamiento sera ilusorio en su eficacia.

    La GCN y la Gestin de CrisisLa metodologa de la GCN est fuertemente ligada con la Gestin de Crisis a travs del componente Gestin del Incidente. en el contexto de la GCN, los incidentes vienen en diferentes formas y tamaos e invocarn el plan GCN. sin embargo, muy pocos incidentes son designados como crisis. La Gestin de Crisis est vista como el dominio del profesional de las relaciones pblicas y de las comunicaciones y con el

    profesional de la GCN en el rol de apoyo, si est involucrado de alguna manera. La Gestin de Crisis est vista tambin como la respuesta a eventos tanto fsicos como no fsicos y a diversos tipos de incidentes como financieros y de daos a la reputacin de la marca.

    el vnculo entre la Gestin de Crisis y la de Incidentes, es que la GCN considera cualquier interrupcin de manera holstica y determina cmo la organizacin responder a la interrupcin, contina sus actividades y se recupera. Los profesionales de la GCN consideran que la respuesta a los medios en un incidente o crisis es parte integral de un Programa completo de la Continuidad del Negocio.

    el Plan de emergencias tambin es relativo a la Gestin de Incidentes. aqu la diferencia radica en que el Plan de emergencias, normalmente es visto como el dominio de los servicios de autoridades locales como polica, bomberos, ambulancias y autoridades locales, ms que el plan para las organizaciones en general donde el equipo de incidentes podra coordinar con los equipos de respuesta a la emergencia.

  • [7] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Introduccin

    La GCN, estndares y Cumplimientodesde que fue lanzado el concepto original de la Gua de Buenas Prcticas, una buena cantidad de estndares nacionales e internacionales han intentado codificar la GCN en la estructura de la arquitectura de los sistemas estndar de Gestin. La ms extendida hasta el momento ha sido la norma Bs25999 de la British standards Institute, aunque han surgido otras (o estn en su etapa final de desarrollo) en los estados Unidos, singapur, australia y Canad.

    al momento de la redaccin de estas guas, est en desarrollo un nuevo estndar internacional para la GCN, el IsO22301; tambin se est desarrollando el IsO22399 como cdigo de prctica, de manera que es difcil saber exactamente cmo se podrn consolidar todos. La Gua de Buenas Prcticas no pretende competir con los estndares IsO u otros estndares nacionales. desde la perspectiva del BCI, es evidente que cualquier estndar certificable requiere personal competente y experto para disear, implementar y asegurar el trabajo. esta Gua de Buenas Prcticas GBP establece las competencias individuales especficas que son esenciales en la implementacin de un cdigo de prcticas GCN o un esquema de certificacin para la organizacin.

    el BCI siente que la adopcin de la GCN debe estar guiada por la necesidad de altos niveles de resiliencia en la organizacin y su consecuente funcionamiento antes que por reguladores y legisladores. sin embargo, donde existe el cumplimiento de la regulacin para la continuidad de las operaciones, la GCN es claramente una metodologa probada capaz de demostrar tal cumplimiento.

    Qu ha cambiado desde la versin inicial?Los principales componentes permanecen iguales, pero algunos han sido refinados en el lenguaje y se ha puesto ms nfasis en tendencias y aspectos globales. No existe ninguna referencia cruzada con la Bs25999 y no implica correlacin directa entre la GBP2010 y la norma Bs25999 ms all de lo expresado a alto nivel por el modelo del ciclo de vida.

    La Gua de Buenas Prcticas GBP2010 todava abarca las seis fases del ciclo de vida de la GCN pero ahora los interrelaciona ms directamente a lo que se ha definido como Prcticas Profesionales (PP). Las seis PPs estn subdivididas en dos Prcticas de Gestin y cuatro Prcticas tcnicas.

    Prcticas de Gestin PolticayGestindelPrograma

    IntegracindelaGCNenlaCulturaOrganizacional

    Prcticas Tcnicas Entendimientodelaorganizacin

    DeterminacindelaEstrategiaGCN

    DesarrolloeImplementacindelaRespuestaGCN

    Ejercicios,MantenimientoyRevisin

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • Introduccin

    Quin debe leer esta Gua?esta gua no es slo para aquellos profesionales de GCN que estn buscando una certificacin profesional. Como un cuerpo de conocimiento, la gua es utilizada como gua para los cursos de formacin del BCI y sesiones informativas de capacitacin para los compaeros que necesitan entender mejor la GCN. dentro de estos compaeros se pueden incluir desde los profesionales de relaciones pblicas, de Gestin de Crisis, hasta los profesionales de las cadenas de suministros y personal de recursos humanos.

    La GCN no est restringida a algn sector de la industria; de hecho, aplica para todas las organizaciones codificadas en los cdigos de la Clasificacin estndar Industrial para las organizaciones representadas que se revela en todas las categoras de las organizaciones integrantes del BCI. as mismo, la utilizacin del trmino negocio no significa que la GCN slo se refiera a las organizaciones con enfoque comercial: el sector del gobierno puede beneficiarse con la adopcin de las prcticas GCN, lo mismo que las organizaciones voluntarias y sin nimo de lucro.

    Mientras la GCN puede demostrar su adopcin saludable en organizaciones de tamaos mediano y grande, hay un gap reconocido para su adopcin en organizaciones pequeas. No existe nada corporativo inherente a la GCN; sin embargo, el BCI reconoce que muy pocos propietarios de negocios pequeos tienen tiempo y recursos suficientes para seguir la GBP completamente, de tal manera que se han producido materiales alternativos simplificados basados en la GBP para ayudarlos.

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [8]

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • [9] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Introduccin

    Orgenes de la Gestin de la Continuidad del NegocioLos orgenes exactos de la Gestin de la Continuidad del Negocio GCN estn abiertos a varios debates, pero ciertamente algunos aspectos de su historia estn completamente establecidos. Los sitios comerciales para la recuperacin ante desastres iniciaron en los estados Unidos al final de la dcada de los aos 70 lo que inevitablemente cre la demanda de consultora por parte de terceros. Inicialmente, el objetivo de la consultora fue el Procesamiento de datos o Management Information system MIs (luego conocida como It/ItC) que por su naturaleza, fue tcnica.

    el tema comenz a conocerse como disaster recovery Planning (drP).

    Uno de los problemas que inicialmente enfrentaron los pioneros en este nuevo campo fue la dificultad para convencer a la alta direccin sobre la justificacin para hacer inversiones significativas en algo que probablemente nunca sucedera. esto condujo al concepto de anlisis de Impacto en el Negocio aIN (Business Impact analysis BIa) para aadir ms enfoque del Negocio a los procesos.

    Las metodologa iniciales para el aIN tuvieron lugar en los estados Unidos a mediados de los aos 80 y fueron rpidamente recogidas y tradas a europa (especialmente al reino Unido) y australia. Por tanto, es cierto que los modelos originales del aIN llevaron a sus primeras aplicaciones en el amplio mundo de Continuidad del Negocio. Los primeros consultores que desarrollaron exitosamente las metodologas comerciales para drP provienen de los estados Unidos, pero estos mtodos fueron establecidos y mejorados rpidamente en europa.

    en este punto, es entonces donde radican las diferentes opiniones sobre cmo evolucion gradualmente la GCN desde el drP. La visin del BCI se basa en el conocimiento de muchos profesionales a travs de su experiencia y memoria. No es necesario contar la historia completa pero lo que s es seguro es que los profesionales activos y nuevos deben beneficiarse de su conocimiento.

    el primer uso conocido del trmino Continuidad de Negocio se hizo travs de ron Ginn (quien ms adelante se convirti en el primer presidente del BCI) en 1986, luego de sus investigaciones en los estados Unidos y de haber entrevistado a varios profesionales destacados. ron escribi un libro titulado Continuity Planning (Plan de Continuidad) que postula una aplicacin de las herramientas del drP en un amplio rango de riesgos del negocio de riesgo y de interrupciones operativas potenciales.

    Una organizacin del reino Unido llamada survive comenz en 1986 a atender las necesidades en un foro en el cual las personas encargadas de la recuperacin ante desastres podan compartir su experiencia y conocimiento. esta organizacin ms tarde se convirti en proveedora de formacin, eventos y publicaciones, pero su visin inicial de grupo integrador de redes, fue exitosa. se establecieron grupos similares en varios pases especialmente de habla inglesa. Cuando survive en 1991 decidi dejar las referencias del drP y renombrarse the Business Continuity User Group, sto tuvo un impacto significativo en el cambio de la percepcin que externamente se tena sobre el tema.

    al mismo tiempo, dos de las ms grandes compaas norteamericanas de recuperacin de desastres tambin cambiaron su estrategia con la visin de Continuidad como un mensaje ms clido y optimista que recuperacin. desafortunadamente, se sugiri de manera errnea que la GCN era otra forma de nombrar dr y posiblemente ello obstaculiz su crecimiento como una nueva disciplina especialmente en Norteamrica.

    Otro desarrollo clave fue el lanzamiento del British standard for Information security el cual, rpidamente se convirti en el estndar IsO17799. este estndar incluyo en sus captulos principales la necesidad de la Gestin de la Continuidad del Negocio lo cual se defina en

  • Introduccin

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [10]

    trminos de disponibilidad de Informacin. esto gener ms confusin en el debate y su resultado fue que los profesionales reclamaron que la GCN fuera simplemente un subtema de la seguridad de la Informacin. este punto de vista se sostuvo bastante en aquellos pases en los que la GCN no se haba comenzado a estabilizar en esta etapa, ms obviamente en el centro y el norte de europa.

    en 1993 survive configur un grupo de trabajo para estudiar y certificar profesionales en la continuidad del negocio. se percibi la necesidad de distinguir entre profesionales especializados y consultores generales, usualmente con formacin en It. en los estados Unidos por las mismas fechas tuvieron lugar debates similares que condujeron a la formacin del disaster recovery Institute.

    el BCI fue fundado en 1994 como resultado directo de las recomendaciones de un grupo de trabajo de survive. durante el desarrollo y lanzamiento del BCI, fue necesario definir el conjunto de habilidades para medir y juzgar la capacidad de aquellos quienes solicitaron reconocimiento o calificacin. Originalmente se propuso que deban ser 13 o 14 habilidades, pero con el tiempo se redujeron a 10 estndares de competencia. estos estndares de competencias profesionales fueron desarrollados y acordados mediante esfuerzos cooperados con el disaster recovery Institute (hoy drII) de estados Unidos.

    Hacia finales del siglo XX, surgi la idea de un enfoque holstico de extremo a extremo. se hizo obvio que exista la necesidad de proveer proteccin y resiliencia que abarcara a toda la organizacin. a pesar del bombo desplegado por la molestia ocasionada por el cambio de milenio, el trabajo internacional serio realizado por las mayores corporaciones, demostr un alto nivel de dependencia en pocos proveedores y puntos nicos de falla. se pens entonces en encapsular la primera propuesta hecha aos atrs en el concepto de la Continuidad del Negocio, pero se haba tomado ms de una dcada ganar una mayor escala de entendimiento. esto gener iniciativas tales como Bs25999 y otros estndares nacionales de GCN viables que podran estar basados en una solida estructura conceptual.

    el siglo XXI vio con determinacin codificar la Gestin de la Continuidad del Negocio y clasificarla como parte de la familia de los estndares de Gestin de sistemas siguiendo el camino forjado por Calidad, seguridad de la Informacin y servicios ambientales. esto inicio con un buen nmero de guas estndar como la Pas56 del reino Unido, la NFPa 1600 de los estados Unidos y varios manuales de australia y asia. Los cuerpos regulatorios como el Fsa (reino Unido), aPra (australia) y la reserva Federal (estados Unidos) fueron tambin activos en este campo, particularmente despus de la destruccin de las torres gemelas en Nueva York. en el momento de la publicacin de este documento, existen estndares nacionales formales en un buen nmero de pases y se espera un estndar IsO. sin embargo, la entrega del estndar IsO se ha atrasado debido al deseo de algunos pases de extender el tema e incluir la seguridad y la Gestin de emergencias y de cambiar el nombre de la disciplina a resiliencia Operativa. en general, el BCI no est a favor de la dilucin de la esencia de la disciplina de la GCN, pero apoya la bien intencionada aspiracin que estas disciplinas deben estar mejor alineadas

    El Siglo XXI vi con determinacin codificar la Gestin de Continuidad del

    Negocio y clasificarla como parte de la familia de los estndares de Gestin de

    Sistemas siguiendo el camino forjado por Calidad, Seguridad de la Informacin

    y Servicios Ambientales.

  • [11] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Introduccin

    Glosario de trminoses reconocida la existencia de muchos trminos y definiciones alrededor del mundo que se relacionan con la GCN o los temas sinrgicos como Gestin de riesgos y Planificacin de emergencia. sera imposible incluirlos a todos en un glosario pero el BCI intenta mantener actualizado tanto como sea posible el directorio de tales trminos y sus fuentes, que se pueden encontrar en www.thebci.org

    Los trminos de este glosario se aplican nicamente al contexto en el que son utilizados en la GBP2010.

    Para el propsito de la GBP2010, aplican las siguientes definiciones:

    Abreviado Trmino Definicin

    Aceptacin del Riesgo decisin administrativa para no tomar ninguna accin de mitigacin del impacto de un riesgo en particular.

    Actividad Proceso o conjunto de procesos realizados por una organizacin (o en su nombre) que produce o apoya uno o ms productos o servicios

    Actividad Urgente trmino utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros trminos como Inmediato o tiempo Crtico pueden tambin utilizarse, pero slo Crtico implica actividades menos urgentes que tambin son menos importantes.

    Activo Cualquier elemento que tiene valor para la organizacin.

    GCN Gestin de la Continuidad del Negocio

    Proceso holstico de gestin que identifica amenazas potenciales a la organizacin y los impactos a las operaciones del negocio que tales amenazas puedan causar en caso de materializarse y proporciona la estructura para construir resiliencia organizacional con capacidad para dar respuesta efectiva protegiendo los intereses de las partes interesadas, el valor de la marca, la reputacin y las actividades creadoras de valor.

    Alta Direccin Persona o grupo de personas que dirigen y controlan una organizacin a alto nivel. en grandes organizaciones, se le conoce como La Junta directiva, directores, ejecutivos o altos directivos. en organizaciones pequeas, la alta direccin puede ser los propietarios o un solo propietario.

    Amenaza Causa potencial de un incidente no deseado que puede resultar en daos a individuos, activos, a un sistema u organizacin, el ambiente o la comunidad. algunas amenazas como el mal tiempo se les conoce como Peligros.

    AIN Anlisis de Impacto en el negocio

    Proceso de analizar las funciones del negocio y el efecto que una interrupcin del negocio pudiera causar sobre ellas.

  • Introduccin

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [12]

    Abreviado Trmino Definicin

    ARC Anlisis de Requerimientos de Continuidad

    Proceso de recopilar informacin en la fuente para reanudar y continuar las actividades del negocio a un nivel requerido para apoyar las obligaciones y objetivos de la organizacin.

    AR Anlisis de Riesgos Proceso formal pero bastante subjetivo de identificacin, anlisis y evaluacin de riesgos.

    Auditor Persona con la competencia suficiente para conducir una auditora. Para una auditora de la GCN, normalmente se requiere una persona con las calificaciones formales de la auditora de la GCN.

    Auditora Proceso sistemtico, independiente y documentado para obtener evidencia auditable y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de auditora. Los primeros equipos de auditora son gestionados por la misma organizacin para revisar la Gestin y otros propsitos internos y pueden formar la base para la declaratoria de conformidad de la organizacin. Los segundos equipos de auditora son gestionados por entidades que tienen inters en la organizacin como los clientes u otras personas o entidades en su nombre. Los terceros equipos de auditora son gestionados por organizaciones auditoras externas como las que proporcionan certificaciones o conformidades a una norma

    Auditora Interna Ver auditora y en particular los primeros equipos de auditora.

    Cadena de Suministro Proceso articulado que inicia con la adquisicin de materias primas y se extiende a travs de la entrega del producto o servicio hasta el usuario final a lo largo de diferentes modos de transporte. La cadena de suministro puede incluir proveedores, vendedores, plantas de fbricas, proveedores logsticos, centros internos de distribucin, distribuidores, mayoristas y otras entidades que llevan al usuario final.

    Capacitacin actividades implementadas antes de un incidente que pueden utilizarse para apoyar y mejorar la mitigacin de, la respuesta a, y la recuperacin de una interrupcin. se le conoce tambin como Preparacin.

    Ciclo de vida de la Gestin de la Continuidad del Negocio

    Conjunto de actividades de la Continuidad del Negocio que colectivamente cubren todos los aspectos y fases del programa de GCN. el BCI utiliza el mismo modelo de ciclo de vida que utiliza la norma Bs25999.

    Consecuencia Ver Impacto.

    CN Continuidad del Negocio Capacidad tctica y estratgica de una organizacin para planificar y responder a incidentes o interrupciones del Negocio a fin de continuar las operaciones del Negocio a un nivel aceptable predefinido.

  • [13] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Introduccin

    Abreviado Trmino Definicin

    Cumplimiento es el cumplimiento de un requerimiento en el contexto de la Gestin de sistemas.

    Direccin para la Continuidad del Negocio

    Conocido tambin como el Comit directivo, es un grupo de gestin para dar aviso, gua y direccin al programa de GCN.

    Documento Informacin y su medio de soporte bien sea fsico, magntico, electrnico u ptico, disco de computador o imagen.

    Ejercicio Proceso para ensayar los roles de los integrantes de los equipos y del grupo de trabajo y probar la recuperacin o continuidad de los sistemas de una organizacin (por ejemplo tecnologa, telefona, Gestin) para demostrar competencia y capacidad para la continuidad del negocio.

    ECN Equipos de Continuidad del Negocio

    son los equipos estratgicos, tcticos y operativos que respondern a un incidente y contribuirn de manera significativa a redactar y probar el Plan de la Continuidad del Negocio.

    Facilidad Planta, maquinaria, equipo, propiedad, edificaciones, vehculos, sistemas de informacin, medios de transporte y otros tems o infraestructura o planta y sus sistemas relacionados, que tienen una funcin o servicio distinto y cuantificable.

    GR Gestin de Riesgos Generalmente incluye el anlisis, tratamiento y la evaluacin de riesgos

    Impacto evento que tiene la capacidad de provocar la prdida de o la interrupcin de las operaciones, servicios o funciones de la organizacin, el cual, si no se administra, puede escalar y convertirse en una emergencia, crisis o desastre.

    Integridad Garantizar y salvaguardar la exactitud e integridad de los activos, en particular los registros de datos.

    Interrupcin evento que interrumpe las operaciones o procesos normales del negocio bien sea de manera anticipada (huracanes, inestabilidad poltica) o imprevista (bloqueos, ataques terroristas, fallas tecnolgicas, o terremotos).

    Invocacin declaracin de que una organizacin necesita activar su Plan de GCN para continuar entregando sus productos y servicios claves.

    MPTD Mxima Prdida Tolerable de Datos

    Prdida mxima de informacin (electrnica y otros datos) que puede tolerar una organizacin. La edad de la informacin podra hacer imposible la operacin de recuperacin o el valor de los datos sera sustancialmente alto como para poner en riesgo la viabilidad del negocio.

  • Introduccin

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [14]

    Abreviado Trmino Definicin

    MPTI Mximo Perodo Tolerable de Interrupcin

    es la duracin despus de la cual la viabilidad de la organizacin estar afectada de manera irreparable si la entrega del producto o servicio no puede ser reanudada.

    Mejoramiento Continuo Proceso de mejoramiento del sistema de la Gestin de la Continuidad del Negocio para lograr mejoramientos consistentes con la poltica de la Gestin de la Continuidad del Negocio de la organizacin.

    Mitigacin Limitacin gestionada de una consecuencia negativa o de un incidente particular.

    No Cumplimiento Incumplimiento al requerimiento de una obligacin o expectativa acordada.

    Objetivo Meta general consistente con la poltica que una organizacin establece para s misma.

    Organizacin Grupo de personas y facilidades con arreglos y responsabilidades, autoridad y relaciones (por ejemplo compaa, corporacin, firma, empresa, institucin, institucin de caridad o asociacin). Una organizacin puede ser pblica, privada o sin nimo de lucro.

    Partes Interesadas Individuo o grupo de individuos con intereses en el desempeo o xito de una organizacin Por ejemplo clientes, socios de negocio, empleados, accionistas, propietarios, la comunidad local, personal de primera respuesta, gobierno y entes reguladores.

    Peligro Ver amenaza.

    Prdida Consecuencia negativa.

    PCN Plan de la Continuidad del Negocio

    Conjunto de documentos de procedimiento e informacin desarrollada, compilada y mantenida a disposicin para utilizarlo durante un incidente para capacitar a la organizacin para continuar con la entrega de sus productos y servicios crticos a un nivel aceptable predefinido.

    PHVA Planificar, Hacer, Verificar, Actuar

    el modelo IsO utilizado como estructura en todos los sistemas estndar de Gestin incluyendo el sGCN.

    Poltica Intenciones y directrices de una organizacin expresadas por la alta direccin. La poltica de la GCN debe ser consistente con la totalidad de las polticas de la organizacin y proveer la base para los objetivos de la Continuidad del Negocio.

    Preparacin Capacitacin.

    Prevencin Medidas contra amenazas especficas que habilitan a la organizacin evitar una interrupcin.

    Procedimiento Forma especfica de ejecutar una actividad. todos los procedimientos deben estar documentados.

  • [15] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Abreviado Trmino Definicin

    Proceso Conjunto de actividades interrelacionadas que transforman entradas en salidas.

    Producto o Servicio salida de un proceso. si al producto se le denomina servicio, depende de la existencia de un elemento fsico a la salida. el servicio es el resultado de al menos una actividad necesariamente realizada en la interface entre el proveedor y el cliente y , generalmente, intangible.

    POR Punto Objetivo de Recuperacin

    Objetivo para el estado y disponibilidad de datos (electrnicos e impresos) en el inicio del proceso de recuperacin.

    Recursos activos, personas, habilidades, informacin, tecnologa (incluye planta y equipo), locales, suministros e informacin (electrnica o no) que una organizacin posee para tener la disponibilidad de utilizar cuando sea necesario, para operar y alcanzar sus objetivos.

    Registro documento que indica los resultados obtenidos o la evidencia de las actividades desarrolladas.

    Resiliencia Habilidad de una organizacin para resistir al ser afectada por un incidente.

    Riesgo Combinacin de probabilidad de un evento y su consecuencia. La GCN se concentra en amenazas e Impactos antes que en riesgos.

    Sistema de Gestin sistema para establecer la poltica y los objetivos y para alcanzar esos objetivos (por ejemplo IsO 9001:2008).

    SGCN Sistema de la Gestin de la Continuidad del Negocio

    Parte o la totalidad del sistema que implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.

    TOR Tiempo Objetivo de Recuperacin

    Objetivo de tiempo dentro del cual se reanuda la entrega de un producto o servicio luego de una interrupcin.

    Tratamiento de Riesgos seleccin e implementacin de medidas para modificar los riesgos.

    Introduccin

  • GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [16]

    GUa de BUeNas PrCtICas 2010

  • 04 Determining Business Continuity Strategy

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • Poltica y Gestin del Program

    a

    01

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [20]

    Prcticas Profesionales de la GCN

    Inte

    grar

    la G

    esti

    n de l

    a Cont

    inuidad del Negocio en la Cultura O

    rganizacional

    Poltica y Gestin del programa GCN

    ejercicios, Mantenimiento

    and revisin

    determinar la estrategia GCN

    desarrollo e Implementacin de la respuesta GCN

    entendimiento de la Organizacin

    Ciclo de Vida GCN

  • GCN | Gestin de las Prcticas Profesionales

    [21] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL[21] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Cuando una organizacin se embarca en un programa de GCN, es poco probable tener establecida una poltica de la GCN o entender las necesidades que debe tomar para producir una. Los pasos claves son: DesarrollarlapolticadelaGCN

    Alinearlapolticaconlaestrategia,objetivosyculturaorganizacionales.

    DecidirsobreelalcancedelprogramadeGCN.

    Una vez haya sido acordada la poltica, se debe iniciar un proyecto o una serie de proyectos para capacitar a la organizacin y comprometerla en las actividades requeridas para implementarla.Como parte del proceso de planificacin, en muchas organizaciones se han emprendido altos niveles de anlisis de las amenazas para alcanzar los objetivos estratgicos y operativos de la organizacin. el resultado de este ejercicio puede proveer un aporte til cuando se establece el contexto total para el programa de GCN. en algunos ambientes regulados, es mandatorio realizar un anlisis de riesgos de manera formal.

    Introduccin

    La poltica de la GCN es el documento clave que establece el gobierno y el alcance del programa GCN y refleja las razones del porqu est siendo implementado la GCN. La poltica proporciona el contexto en el cual sern implementadas las capacidades requeridas e identifica los principios a los que la organizacin aspira y contra los cuales su realizacin se pueden auditar.

    Poltica y Gestin del ProgramaVisin de la Gestin de la Poltica y el Programa

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • Poltica y Gestin del Programa 01

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [22]

    alineacin de la Poltica de la GCN a la Cultura Organizacional

    IntroduccinUn programa de GCN necesita reflejar la estrategia, objetivos y cultura de la organizacin para asegurar que el programa es relevante, efectivo y apropiado.

    La organizacin tendr una cultura que puede no estar bien documentada o articulada por la alta direccin. sin embargo, la estrategia y los objetivos de la organizacin habrn sido determinados y acordados como parte de los procesos de planificacin y de presupuesto del negocio.

    es posible que alguna informacin del mercado o de la industria sea sensible y no pueda ser accesible para el profesional de GCN. No contar con esta informacin, no puede detener el programa de GCN que se est llevando a cabo.

    Procesoel proceso bsico utilizado es simplemente hacer preguntas sobre la organizacin para identificar su estrategia, objetivos y cultura. estas preguntas incluyen: Culessumisinolarazndesuexistencia?

    Culessonlosobjetivosdelaorganizacin?

    Cmosealcanzanlosobjetivos?

    Culessonlosproductosyserviciosdelaorganizacinquepermiten alcanzar estos objetivos?

    Culessudireccinoenfoque?

    Culessonlosplanesdecrecimiento,reduccindepersonal,restructuracin, adquisicin o disposicin en el corto mediano y largo plazo?

    Seestndesarrollandonuevosproductososerviciosysiesas, cual es su escala de tiempos?

    Culeslaescalageogrficadesusoperaciones?

    Culeselniveldeinterrupcingeogrfico?

    Culeselniveldeprdidaderecursosquequiereonecesitaplanificar para sobrevivir?

    Culessonlascondicionesactualyesperadasdelmercadoen el que opera?

    Tienecompetidoresycmocompiteconellos?

    Culeslareaccinprobabledelosclientesycompetidoressise interrumpen sus operaciones?

    Loscompetidorestomarnventajadeunaorganizacinendificultades o los apoyarn (cul de ellos podra proteger la reputacin del sector)?

    Operaenambientesreguladosysiesas,culessonlasregulaciones?

    Cuentaconmuchosproveedores,algunosounosolo?

    Culeslaescalaprobabledetiempoenlaquepuedeencontrar proveedores alternos?

    Cuentaconmuchosclientes,algunosounosolo?

    Losclientesestndispuestosapagarunaprimapormejorarel aseguramiento de la entrega?

    Mtodos y tcnicas dos tcnicas que se pueden utilizar para identificar la estrategia, objetivos y cultura de la organizacin, son:1 entrevista al equipo de la alta direccin2 revisin de los documentos generados en la organizacin

    Los documentos claves para revisar pueden ser: Planesdenegocio

    Planesestratgicos

    Reportesanuales

    ReportesdeMercadeo

    Informacinadministrativaactualizadaquedetallalosprocesos, volmenes, objetivos y donde sea posible, cuantificar el valor de cada actividad

    revisinel impacto de la estrategia organizacional sobre el programa de GCN debe revisarse como mnimo anualmente como parte de, o al menos coincidir con, los procesos de planificacin estratgica y operativa del negocio. Las revisiones ms frecuentes pueden estar dirigidas a cualquiera de lo siguiente: Restructuracionesocambiosclavesdelnegocio

    Expansin/contraccin

    Introduccindenuevosproductos

    Relocalizacinoconsolidacindelocaciones

    Unincidenteysurecuperacinasociada

    se puede ubicar un procedimiento de alerta para identificar todos los cambios organizacionales que sean significativos para asegurar que han sido tomados en cuenta en el programa de GCN. esto le permite a la GCN la debida diligencia antes de realizar el cambio propuesto. Una decisin estratgica del negocio no ser necesariamente abandonada a causa de la falta de preparacin, pero esta limitacin podra impactar el valor econmico del cambio pospuesto.

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • GCN | Gestin de las Prcticas Profesionales

    [23] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    alcance del programa de la GCN y determinacin de sus alternativas

    Introduccinel propsito de establecer el alcance es asegurar claramente qu reas de la organizacin estn incluidas en el programa de GCN, definido por la identificacin de cuales productos y servicios estn all. La entrega de productos y servicios es el enfoque de los criterios claves de xito de la mayora de organizaciones. se requiere un entendimiento de la estrategia, objetivos y cultura organizacional antes determinar el alcance del programa de GCN y las alternativas a utilizar.

    La GCN es un proceso iterativo que inicialmente le permite a una organizacin implementarlo nicamente en algunas partes de sta, aunque por anticipado se sabe que se extender a la totalidad de sus operaciones con el paso del tiempo. este enfoque permite eliminar problemas de complejidad, costos y escala en la implementacin de la GCN en organizaciones de gran tamao.

    esta seccin explica las alternativas disponibles para la organizacin para proteger la entrega de sus productos y servicios e identificar cmo y porqu se pueden seleccionar varios productos y servicios de la organizacin para la implementacin inicial de la GCN. estas alternativas definirn el alcance del programa de GCN.

    Conceptos y supuestos en la prctica normal, la decisin sobre el alcance del programa de GCN es tomada antes que cualquier otro elemento del ciclo de vida de la GCN. sin embargo, si la organizacin decide comprometerse en la implementacin inicial de la GCN basado en la necesidad de recuperacin percibida para un producto o servicio especfico, puede decidir realizar un anlisis de Impacto en el negocio para confirmar los productos y servicios a incluir en el alcance inicial (basado en el impacto de la no entrega).

    el alcance normalmente est limitado por productos y servicios. sin embargo, la locacin tambin puede ser utilizada para limitar el alcance, permitiendo que la GCN incluya o excluya uno o ms sitios. No es aceptable o lgico excluir un sitio que juega un papel importante en la entrega de los productos y servicios contemplados en el alcance.

    La limitacin del alcance debe ser vista como un enfoque tctico que permite la implementacin de la GCN por etapas a travs de la organizacin. si un producto o servicio est identificado dentro del alcance todas las actividades que soportan su entrega, deben incluirse dentro del programa de GCN.

    La documentacin de alternativas para cada producto y servicio est destinada a definir como la organizacin intenta proteger (o no) su habilidad para mantener su entrega, de manera que tal decisin est disponible para escrutinio pblico (por ejemplo clientes o reguladores).

    esto se ilustra en el siguiente diagrama, donde se ha tomado una decisin para incluir el producto a en el alcance del programa de GCN y excluir el producto B. esto significa que las actividades que soportan la entrega del producto a (actividad 1, actividad 2, actividad 3) estn en el alcance mientras que las actividades que no soportan la entrega del producto B (actividad 4, actividad 5), estn por fuera del alcance.

    Dentro del Alcance Fuera del Alcance

    Producto A Producto B

    Actividad 1 Actividad 3 Actividad 5

    Actividad 2 Actividad 4

  • GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [24]

    Procesoel proceso requiere el establecimiento de un grupo de GCN que le har las recomendaciones a la alta direccin.este grupo revisar los productos y servicios de la organizacin contra su estrategia, objetivos, cultura, poltica tica, requerimientos legales y regulatorios, para considerar la opcin para cada producto y/o servicio. si se ha realizado un aIN para determinar los efectos de una prdida de productos y servicios, el grupo incluir los resultados del aIN en su revisin.el grupo proporcionar un reporte de evaluacin que permitir a la alta direccin establecer las prioridades para todos sus productos y servicios.Las razones para no incluir un producto o servicio en el programa de GCN y la respuesta alternativa por la prdida de ese producto o servicio, necesita documentarse y acordarse con la alta direccin.Los productos y servicios deben estar identificados con un nivel apropiado de detalle.

    ejemplos de productos y servicios incluyen: Unproductoorangodeproductosmanufacturados

    Recopilacindebasuras(paraunaciudadomunicipio)

    SoporteTelefnico(paraunaempresadesoftware)

    Las decisiones sobre cuales productos, servicios o locaciones deben incluirse dentro del alcance. Pueden tomarse por uno o varios de los siguientes factores: Requerimientodeuncliente

    Requerimientoregulatoriooestatutario

    Percepcindealtoriesgodebidoalaproximidadaotroslocales industriales o amenazas fsicas como inundaciones

    Productosqueproporcionanaltosingresosalaorganizacin

    Las razones por las que un producto, servicio o locacin pueden excluirse del alcance, incluyen Productososervicioscercanosalfinaldesuciclodevida(se

    acabaran si se interrumpe el suministro)

    Productososerviciosconbajosmrgenes(podranterminarse o tercerizarse)

    Cuando se evala la exclusin del alcance, adicionalmente se deben considerar los siguientes factores a los impactos financieros de prdidas: Lavisindelaspartesinteresadasclaves

    Cualquierdaoenlareputacinquepuederesultardelainterrupcin o terminacin de un producto

    Larelevanciadecualquieranlisisderiesgos

    Elimpactoregulatorioparalasactividadesreguladas

    si la Continuidad del Negocio es la opcin elegida para un producto o servicio particular, es necesario entonces, tomar las medidas adecuadas para asegurar que las diferentes actividades que apoyan su entrega, puedan continuarse o recuperare dentro de las escalas de tiempo requeridas.

    Para aquellos productos y servicios que se consideran por fuera del alcance, el riesgo para el negocio por prdida o no disponibilidad no se mitiga por completo con la GCN y tiene que manejarse por medios alternos. Las alternativas disponibles para la alta direccin, son:

    Aceptacin:aceptarqueestenriesgodeinterrupcin

    Transferir:Transferirelriesgodeinterrupcinauntercero

    Cambiar,suspenderoacabarelproductooservicio

    La implementacin detallada de estas medidas, generalmente cae dentro de lo que se remite para la Gestin de riesgos y no sigue el ciclo de vida completo de la GCN. sin embargo, las medidas provistas son acordadas como una estrategia apropiada del negocio. estas medidas pueden verse como soluciones de Continuidad del Negocio y pueden incluirse dentro del programa GCN.

    Lo que constituye una estrategia aceptable de Continuidad del Negocio puede depender de la organizacin y de cualquier cambio en sus procesos que sera necesario acomodar (bien sea que se determine en su avance o se reconozca despus del evento). Ms notas sobre este tpico se encuentran en el anexo 2.

    Poltica y Gestin del Programa 01

  • [25] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Mtodos y tcnicas Las herramientas que pueden utilizarse para desarrollar las alternativas de estrategia de la organizacin para productos y servicios, incluyen: Anlisiscosto/beneficio(incluyendoanlisisdelaspartes

    interesadas, regulacin y legislacin. AnlisisDOFA(Debilidades/Oportunidades/Fortalezas/

    amenazas). Planificacinygestinfinanciera.

    Herramientasparalaplanificacindelaestrategia.

    Referenciacinfrenteaestndaresnacionaleseinternacionales.

    AnlisisPAST(Poltica/Ambiente/Social/Tcnico).

    Tcnicasdeanlisisdelmercadoparadeterminarlaviabilidadprobable del suministro de un producto luego de una interrupcin.

    resultados y revisinLos resultados son: Unaestrategiaacordadaparalaproteccindecadaunode

    los productos y servicios de la organizacin.

    ElalcancedelprogramadeGCNquedeberdocumentarseen la poltica de la GCN.

    al menos una vez cada ao se debe hacer la revisin de la estrategia organizacional de proteccin de sus productos y servicios. sin embargo, los eventos que pueden indicar una nueva revisin de la estrategia, son: LarevisindelAINqueidentifiquecambiosyprioridades

    representativos en los procesos Uncambiosignificativoenunoomsdelosiguiente:

    > actitud de la organizacin frente al riesgo (de pronto impulsado por un incidente).

    > Condiciones del mercado.> Nuevos productos o servicios.> Nuevos requerimientos legales o regulatorios.

    GCN | Gestin de las Prcticas Profesionales

    [25] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [26]

    desarrollo de la Poltica de GCN

    IntroduccinLa poltica de la GCN de una organizacin provee el marco de referencia alrededor del cual se disea y construye la capacidad de la GCN. La organizacin, gobierno y gestin de la implementacin de la GCN, son prerrequisitos para desarrollar un programa de GCN exitoso. stos se establecen en la poltica de la GCN que es de propiedad de la alta direccin.

    el propsito de documentar la poltica de la GCN es comunicar a las partes interesadas los principios de Continuidad del Negocio a los que aspira llegar la organizacin.Como uno de los objetivos de la poltica de la GCN es el de comunicar, sta debe ser corta, clara, precisa y puntual. Una poltica muy extensa ser una barrera para la comunicacin.La poltica debe identificar como mnimo los siguientes elementos del programa de GCN: Objetivos

    Alcance

    Responsabilidades

    Mtodosyestndares

    Proceso el proceso para desarrollar la poltica de la GCN incluye: Identificarydocumentarloscomponentesdelapolticadela

    GCN. IdentificarunadefinicindelaGCN.

    Identificarcualquiernorma,legislacinoregulacinrelevante que deba estar incluida en la poltica de la GCN.

    IdentificarcualquierBuenaPrcticaopolticadeotrasorganizaciones que puedan ser su punto de referencia.

    RevisaryconducirunanlisisGAPdelapolticaactualdelaorganizacin (si se considera conveniente) y la poltica externa de referencia o nuevos requerimientos de la poltica de GCN.

    DesarrollarunborradordelapolticadelaGCNnuevaomodificada.

    Revisarelborradordelapolticacontralosestndaresorganizacionales para polticas similares o relacionadas (por ejemplo, seguridad de la informacin).

    Circularelborradordelapolticaparasuconsulta.

    Modificarelborradordelapoltica,siseconsideraconveniente, con base en la retroalimentacin recibida.

    AcordarlafirmadelapolticadelaGCNyunaestrategiaparasuimplementacin por la alta direccin de la organizacin.

    Publicarydistribuirlapolticautilizandotcnicasysistemasadecuados para el control de versiones

    Mtodos y tcnicas Los mtodos, herramientas y tcnicas para el desarrollo de la poltica de la GCN incluyen: Revisindelapolticaactualdelaorganizacin.

    Investigarfuentesexternasparatomarcomogua,porejemplo: regulatoria, legal, buenas prcticas de la industria, asociaciones profesionales.

    Contactarlaindustriayasociacionesprofesionalesparaentender los inconvenientes y los controles actuales y en desarrollo de la GCN.

    IdentificaryadoptarloscomponentesdelapolticadelaGCNde otra organizacin que se considere como buena prctica.

    Analizarlasbrechasdelestadoactualyrevisarlaspolticasinternas y externas para obtener los componentes bsicos de una poltica nueva o modificada.

    HacerunarevisinporprofesionalesexternosdeGCN

    resultados y revisinLa poltica de la GCN incluir (o se har referencia en un documento subsidiario): LadefinicindelaGCNorganizacional.

    LadefinicindelalcancedelprogramadeGCN(vasenumeral anterior).

    EstructuraoperativaparalagestindelprogramadeGCNdela organizacin.

    Elconjuntodeprincipios,guasyestndaresmnimodelaGCN.

    Identificacinclaraderesponsabilidades

    si bien todas las polticas de la organizacin deben ser revisadas en un perodo determinado, muchas cosas podran provocar la revisin formal de la poltica de la GCN.

    Poltica y Gestin del Programa 01

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [26]

    isto

    ckph

    otos

    .com

    /lor

    rain

    edar

    ke

  • [27] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    actividades externalizadas

    Introduccin es importante que la poltica de la GCN incluya las actividades externalizadas. La entrega de productos y servicios de la organizacin no debe ser interrumpida por una falla de un tercero o proveedor de materias primas y/o servicios que se proveen directamente a la organizacin o directamente al cliente en nombre de sta. si parte o toda la entrega de productos y servicios es externalizada, la responsabilidad para su continuidad permanece en la organizacin. Las partes interesadas asumirn que la organizacin ha hecho una seleccin adecuada de sus socios del Negocio y ha tomado medidas apropiadas para asegurar la entrega. Los requerimientos estatutarios y regulatorios usualmente enfatizan que la responsabilidad final por la entrega de los servicios externalizados recae en la organizacin.

    Proceso el proceso de revisin de los acuerdos de Continuidad del Negocio de una compaa de externalizacin son similares a los utilizados para revisar los propios procesos de la organizacin.es importante que el acceso a la siguiente informacin est disponible para su anlisis: Tendenciasdelosprospectosexternalizadores

    Lacontinaadecuacindelasdisposicionesenlascompaasexternalizadores existentes

    La confiabilidad en la externalizacin puede incrementarse por: Precalificacindecompaascandidatasparala

    externalizacin.

    EspecificacinderequerimientosdelaGCNenlostrminosde referencia documentados de licitaciones y contratos.

    AcuerdosdeNivelesdeServicio(ANS)realistasparautilizarlos durante incidentes en cualquier organizacin.

    Involucramientodelascompaasdeexternalizacinenformacin, capacitacin y ejercicios

    La documentacin para apoyar la externalizacin, incluye: Parmetrosmandatoriosparalaseleccindecompaas

    externalizadoras. Trminoscontractualesquedebenincluirlosderechospara

    la organizacin para auditar a la compaa externalizadora. AcuerdosdeNivelesdeServicio.

    Documentacindelosresultadosdeejercicios

    resultados y revisin Los resultados deben ser una cadena de suministros resiliente que pueda administrar las interrupciones sin impactar seriamente la entrega de los productos y servicios al cliente.

    La revisin de la continuidad del proveedor debe formar parte significativa del anlisis de las licitaciones cuando los contratos son adjudicados o renovados. se recomienda la revisin anual del funcionamiento del proveedor contra los requerimientos de continuidad.

    GCN | Gestin de las Prcticas Profesionales

  • Poltica y Gestin del Programa 01

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [28]

    revisin del Programa de Gestin de la GCN

    Introduccin La GCN es un proceso iterativo y necesita ser gestionado activamente. el objetivo inicial de esta etapa ser el de completar exitosamente la implementacin del Ciclo de vida de la GCN, pero la meta de la Gestin del programa de GCN en el largo plazo, es la de mejorar la capacidad de la organizacin y por tanto su resiliencia operativa, con iteraciones sucesivas del Ciclo de Vida de la GCN, como lo muestra el siguiente grfico.

    La implementacin inicial del Ciclo de Vida de la GCN ser beneficiosa desde el enfoque de la Gestin como proyecto, pero como la GCN madura dentro de la organizacin, la Gestin del programa requiere habilidades para asegurar una preparacin constante.

    Un factor crtico de xito es el nombramiento de personas competentes para supervisar y gestionar el programa de GCN.

    Los elementos claves para la gestin del programa de GCN son:

    Asignacinderesponsabilidades.

    ImplementacindelaGCNenlaorganizacin.

    GestindelProyecto.

    GestincontinuadelaContinuidaddelNegocio.

    DocumentacindelaGCN

    Mejoramiento de la capacidad de GCN de la Organizacin

    Inte

    grar

    la G

    esti

    n de l

    a Cont

    inuidad del Negocio en la Cultura O

    rganizacional

    Poltica y Gestin del Programa BCM

    ejercicios, Mantenimiento y

    revisin

    determinar laestrategia BCM

    desarrollo e Implementacinde la

    respuesta BCM

    entendimiento dela Organizacin

    Inte

    grar

    la G

    esti

    n de l

    a Cont

    inuidad del Negocio en la Cultura O

    rganizacional

    Poltica y Gestin del Programa BCM

    ejercicios, Mantenimiento y

    revisin

    determinar laestrategia BCM

    desarrollo e Implementacinde la

    respuesta BCM

    entendimiento dela Organizacin

    Inte

    grar

    la G

    esti

    n de l

    a Cont

    inuidad del Negocio en la Cultura O

    rganizacional

    Poltica y Gestin del Programa BCM

    ejercicios, Mantenimiento y

    revisin

    determinar laestrategia BCM

    desarrollo e Implementacinde la

    respuesta BCM

    entendimiento dela Organizacin

    Inte

    grar

    la G

    esti

    n de l

    a Cont

    inuidad del Negocio en la Cultura O

    rganizacional

    Poltica y Gestin del Programa BCM

    ejercicios, Mantenimiento y

    revisin

    determinar laestrategia BCM

    desarrollo e Implementacinde la

    respuesta BCM

    entendimiento dela Organizacin

    Inte

    grar

    la G

    esti

    n de l

    a Cont

    inuidad del Negocio en la Cultura O

    rganizacional

    Poltica y Gestin del Programa BCM

    ejercicios, Mantenimiento y

    revisin

    determinar laestrategia BCM

    desarrollo e Implementacinde la

    respuesta BCM

    entendimiento dela Organizacin

  • GCN | Gestin de las Prcticas Profesionales

    [29] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    asignacin de responsabilidades

    Introduccin Un programa de GCN exitoso depende de la identificacin de roles yresponsabilidades y autoridad claramente definidos para gestionar el programa de GCN y su proceso a travs de la organizacin. esto deber haber sido establecido en la Poltica de la GCN.

    el propsito de la asignacin de roles y responsabilidades es asegurar que las tareas requeridas para implementar y mantener el programa de GCN estn asignadas a individuos competentes cuyo desempeo pueda monitorizarse.

    Conceptos y supuestos el programa de GCN necesita estar adecuadamente dotado de recursos. a menudo sto es fcil de lograr en industrias reguladas como la banca y las de servicios financieros debido a que muchas autoridades regulatorias consideran la GCN como un costo del negocio y sto lo hace mandatorio.

    en esta etapa puede definirse la estructura de respuesta que ser adoptada por una organizacin. a menudo se asume que quienes han desarrollado los planes son los mejores individuos para responder a un incidente, pero las personalidades requeridas para ser lderes y planificadores, a menudo son contradictorias. Cualquier dificultad en esta rea debe ser expuesta por un plan realista de ejercicios.

    Quienes han estado involucrados en la implementacin del programa de GCN pueden estar obligados a proveer liderazgo durante la respuesta al incidente y los profesionales de la GCN deben permanecer en estado de disposicin para hacerse cargo de la Gestin del Incidente si son llamados para poner los planes en accin. tendrn el conocimiento detallado de las estrategias y acciones necesarias para invocarse inmediatamente y pueden ser necesarios para apoyar la lnea de direccin mediante actividades de evaluacin e invocacin.

    Proceso Un integrante de la alta direccin debe hacer la rendicin de cuentas sobre la capacidad de la GCN de la organizacin y su efectividad. esto asegura que el programa de GCN est dado en el nivel de importancia correcto en la organizacin con una mayor posibilidad efectiva de implementacin.

    debe nombrarse un individuo para administrar la GCN quien (en muchas organizaciones) ser conocido como el administrador de Continuidad del Negocio. dependiendo del tamao de la organizacin, este rol puede ser de tiempo total o parcial.

    en grandes organizaciones, se puede nombrar un grupo de trabajo adicional para trabajar con el administrador de la GCN para asistirlo con las siguientes actividades: Conducirejercicios

    Comprometerseconlarevisindocumental

    ApoyarenlaimplementacindelaGCN

    Actuarcomocoordinadorensusreas

    se pueden conformar grupos adicionales para apoyar el desarrollo del programa de GCN. se incluyen: ElComitDirectivooJuntadelaGCN:Esungrupoquedar

    consejo, guiar y supervisar la gestin EquiposdeContinuidaddelNegocio:Sonequipos

    estratgicos, tcticos y operativos que respondern al incidente y contribuirn significativamente con la documentacin de los Planes de Continuidad del Negocio

    ForodeRespuestaaIncidentes:Agruparepresentantesdetodos los equipos involucrados en la respuesta al incidente para resolver problemas de coordinacin. Este grupo puede ser til para la identificacin de requerimientos de formacin y ejercicios

    Mtodos y tcnicas el grupo de trabajo nominado para el programa de GCN debe tener la formacin apropiada para sus roles. sto se puede hacer por medio de cursos de formacin internos o externos y/o por medio de profesionales de GCN externos contratados para apoyar las primeras etapas de la implementacin.

    Quienes administran el programa de GCN en grandes organizaciones deben buscar un nivel de certificacin de entidades profesionales apropiadas como el Business Continuity Institute.

    Para asegurar que las tareas de la GCN son efectivas y se les ha dado el tiempo y esfuerzo apropiados, los roles y responsabilidades deben integrarse en la descripcin de los cargos con un proceso de evaluacin.

    resultados y revisinLos roles y responsabilidades dentro el programa de GCN han sido asignados a individuos que han sido provistos con el nivel de formacin apropiado. La especificacin de estos roles y responsabilidades est incluida en la descripcin y los objetivos de desempeo de los cargos y son entendidos por los individuos y la organizacin.

    el nivel y competencia del equipo de trabajo de la GCN debe revisarse anualmente como parte del proceso normal de evaluacin y puede ser un tpico de la evaluacin anual de los administradores de la GCN y estar sujeto a un proceso de auditora.

  • Poltica y Gestin del Programa 01

    GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [30]

    Implementacin de la GCN en la Organizacin

    Introduccin La implementacin de un programa de GCN involucra la Gestin de un nmero de proyectos relacionados y la coordinacin de las actividades que lo equilibra:

    Sensibilizacin:Eventosquemantienenelentusiasmoparallevar a cabo el programa de GCN.

    Planificacin:Desarrollodeplanespararesponderalosincidentes que pudieran no ocurrir.

    MedidasdeMitigacin:Implementacindemedidasparamitigar el impacto de un incidente que pueda ocurrir mientras el programa est siendo desarrollado.

    Ejercicio:Ejerciciosparapracticarlosplanesdecontingencia.

    sto es exitoso solamente con los recursos adecuados, incluyendo la asignacin de roles y responsabilidades para entrenar a los individuos para que se comprometan en las tareas requeridas en la implementacin y mantenimiento del programa de GCN.

    el propsito de este paso es asegurar que se implementa un programa de GCN sostenible en la organizacin. Un programa sostenible es el que se ha ganado el compromiso de la organizacin y cuenta con estructura y procedimientos en sitio para asegurar que est mantenido y mejorado y est disponible para el futuro previsible.

    Conceptos y supuestos La eleccin de las actividades a realizar y en qu orden se har, depender de la cultura existente y el estado de preparacin de la organizacin. La nica regla definitiva es que las decisiones ms importantes sobre las opciones de continuidad y la estrategia de recuperacin no deben tomarse hasta que se lleve a cabo la etapa de entendimiento de la Organizacin.

    Para iniciar el programa de GCN se puede utilizar apoyo externo de consultores con calificaciones y experiencia apropiadas en la GCN. esto puede ser rentable por efecto del ahorro de tiempo y la necesidad de capacitacin externa. La transferencia de conocimiento al equipo de trabajo dentro de la empresa, debe ser un objetivo durante este perodo.

    Proceso el proceso de implementacin de la GCN en una organizacin consiste en: Procesodeiniciacin.

    Planificacin,coordinacineimplementacindeproyectosde GCN para comprometer la implementacin inicial del Ciclo de Vida de la GCN:> entendimiento de la Organizacin (ver Prctica 3)> determinacin de las estrategias de la GCN (ver Prctica 4)> desarrollo de la respuesta de la GCN (ver Prctica 5)> ejercicios, Mantenimiento y revisin (ver Prctica 6)

    Mantenernivelesdeconciencia.

    Gestincontinua

    el proceso de iniciacin debe estar construido desde las actividades descritas en otras partes en esta gua. Podra incluir: EjerciciosdeescritorioconlosAltosDirectivospara

    demostrar qu podra suceder ante la ausencia de estructuras y procedimientos de respuesta a incidentes.

    Presentacindeimpactoscausadosporincidenteslocalesrecientes.

    Cuestionariosoentrevistasparadeterminarelestadoactualde disponibilidad de la organizacin.

    Redactarunalcanceparaelprograma.

    DesarrollarunalcancedelaPolticadelaGCN.

    Recopilardatosyseleccionaropcionesdecontinuidad.

    Medidasparamitigaramenazasespecficaspercibidas.

    CrearprocedimientosparalaGestindeincidentes.

    Identificareimplementarmedidasdebajocosto

    se debe utilizar la disciplina de Gestin de Proyectos para la planificacin, coordinacin e implementacin de proyectos de GCN y se debe monitorizar su avance.

    durante la iniciacin del programa, se debe disponer de tiempo suficiente para apoyar cada actividad con las habilidades apropiadas de conocimiento y formacin.

    resultados y revisinal final de la implementacin inicial exitosa del programa de GCN, la organizacin deber tener: Unestadoinicialdedisponibilidaddelosprocedimientosde

    Gestin de incidentes suficientemente demostrado por los ejercicios de escritorio.

    Procedimientos,estructurayhabilidadesparamantenerydesarrollar la capacidad de la GCN.

    en su fase inicial de implementacin, el programa de GCN debe revisarse al menos mensualmente y completarse dentro de los hitos definidos.

  • GCN | Gestin de las Prcticas Profesionales

    [31] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

    Gestin de Proyectos

    Introduccin Cuando se compromete la implementacin del programa de GCN en una organizacin se deben adoptar las disciplinas de Gestin de Proyectos. Los mtodos seleccionados de Gestin de Proyectos deben ser adecuados al tamao y complejidad de la organizacin y su implementacin de la GCN.

    sto permite el camino para la Gestin del programa en curso una vez estn definidos los elementos claves. sin embargo, sta sigue siendo una disciplina til para los elementos de un programa en curso que tiene una entrega clara (por ejemplo, el desarrollo de un evento de concientizacin a travs de la organizacin).

    Mientras se identifican claramente los entregables para alg