GESTIN EN LA CONTINUIDAD DEL NEGOCIO: EL MODELO PHVA

ANA MARA PUENTES SILVA

FUNDACIN UNIVERSITARIA JUAN DE CASTELLANOS ESPECIALIZACIN SEGURIDAD DE LA INFORMACIN TUNJA 2014

GESTIN EN LA CONTINUIDAD DEL NEGOCIO: EL MODELO PHVA

ANA MARIA PUENTES SILVA

PRESENTADO AL INGENIERO JOHN ALEXANDER BOHADADIRECTOR DE PROYECTO

FUNDACIN UNIVERSITARIA JUAN DE CASTELLANOSESPECIALIZACIN SEGURIDAD DE INFORMACIN TUNJA 2014

Nota de aceptacin

Firma del jurado

Firma del jurado

Tunja, 28 de febrero de 2014

AGRADECIMIENTOS

Esta investigacin nunca se hubiera hecho realidad sin el apoyo, consejos y contribuciones realizadas por numerosas personas.

En primer lugar a Dios, y a todas las personas que desde pequea me inculcaron el valor de aprender y de la constancia en el trabajo, sobre todo a mis padres y profesores.

En segundo lugar Agradezco al ingeniero John Alexander Bohada decano de la facultad de ingeniera/especializacin de seguridad en la informacin de la fundacin universitaria Juan de Castellanos por sus consejos y correcciones realizadas sobre el estilo y los contenidos.

TABLA DE CONTENIDO

RESUMEN9ABSTRACT101.INTRODUCCIN111.1.JUSTIFICACIN111.2.PROBLEMA121.3.OBJETIVOS121.3.1.OBJETIVO GENERAL121.3.2.OBJETIVOS ESPECFICOS121.4.ORGANIZACIN DEL DOCUMENTO132.SISTEMAS DE GESTIN DE CONTINUIDAD DEL NEGOCIO142.1.Gestin de continuidad del negocio en una organizacin142.2.Gestin de continuidad del negocio en el mundo142.3.Empresa que enfrentaron situaciones adversas por no contar con un plan de continuidad del negocio182.3.1.PHILIPS182.3.2.TORRES GEMELAS193.1.Definicin del modelo PHVA203.2.Etapas del modelo PHVA213.2.1. Planear: diagnostico y diseo:243.2.1.1. Gobierno y estructura243.2.1.2. Anlisis de riesgos263.2.1.3. Anlisis de impacto del negocio (BIA)283.2.2. Hacer: implementacin y ejecucin313.2.2.1 Estrategias de continuidad del negocio313.2.2.2. Desarrollo de los planes de continuidad de negocio343.2.3. Verificar: monitoreo y medicin413.2.4. Actuar: mejoramiento continuo453.2.4.1. Mantenimiento y actualizacin454.EMPRESAS QUE HAN IMPLEMENTADO PLAN DE CONTINUIDAD DEL NEGOCIO BASNDOSE EN EL MODELO PHVA484.1. BANESCO (Banco Universal, Caracas Venezuela)484.2.Asociacin de Bancos en Mxico484.3.CITIGROUP (Computer world, 2007)494.4.Bouygues Construction (Microsoft, 2008)504.5.BANXICO (Banco de Mxico ,2008)504.6.BANORTE514.7.COMPAREX ESPAA S.A. (The availability architects)514.8.WAL MART STORES INC.525.DISCUSIN536.CONCLUSIONES557.BIBLIOGRAFA56

TABLA DE CONTENIDO DE TABLAS

Tabla 1. Fases del sistema de gestin de continuidad del negocio..23Tabla 2. Descripcin de tipos de anlisis de riesgos.28Tabla 3. Tipos de ejercicios y pruebas para la BCM..47

TABLA DE CONTENIDO DE FIGURAS

Figura 1. . Sistema de gestin de continuidad del negocio...............................16Figura 2. Tabulacin de las encuestas realizada por el UK a los gerentes de diferentes empresas que cuentan con plan de contingencia.........18Figura 3. Cese de operaciones.....19Figura 4. Modelo PHVA segn la ISO 9000:2000.........22Figura 5. Ciclo de vida del sistema de gestin de continuidad del negocio..25Figura 6. Gobierno de la gestin de continuidad de negocio...26Figura 7. Despliegue de los equipos hacia los planes de continuidad...39Figura 8. Fases y tareas de un plan de continuidad de negocio.....41Figura 9. Elementos del plan de continuidad de negocios......42Figura 10. Auditorias.......49Figura 11. Fases de la auditoria........50

RESUMEN Un Sistema de Gestin de la Continuidad del Negocio permite revisar constantemente los riesgos del negocio y el conocer el grado real de preparacin para responder ante situaciones imprevistas, ayudando a minimizar el impacto en el negocio de las posibles interrupciones. La capacidad de una organizacin para recuperarse de un desastre est directamente relacionada con el grado de planificacin de la continuidad de negocio que ha tenido lugar antes del desastre [1]. Planes de continuidad del negocio son fundamentales para el funcionamiento continuo de todo tipo de empresas. Ms importante todava, estos planes estn adquiriendo mayor importancia a medida que las empresas se vuelven cada vez ms dependientes de la tecnologa para hacer negocios.

ABSTRACTA system of management of the continuity of the business allows you to constantly review the risks of the business and know the real degree of readiness to respond to unforeseen situations, helping to minimize the impact on the business of possible disruptions. The ability of an organization to recover from a disaster is directly related to the degree of continuity planning business that has taken place before the disaster.Business continuity plans are essential for the continuous in all types of businesses. More important still, these plans are growing in importance as companies dependent on the technology become increasingly to do business.

1. INTRODUCCIN

El Sistema de Gestin de Continuidad de Negocio (SGCN) es una parte integral de las buenas prcticas de gestin y un elemento esencial para la buena direccin corporativa; es genrica e independiente de cualquier sector industrial, social o econmico; es un proceso iterativo que consta de etapas que, cuando se realizan en secuencia, permiten la mejora continua en la toma de decisiones [2]. El enfoque de esta monografa apunta a la elaboracin de un estado del arte sobre la gestin de continuidad del negocio y el modelo Planificar-Hacer-Verificar-Actuar (PHVA) [3] para aquellas organizaciones que quieren implementar planes de contingencia y poder salvar su negocio de cualquier tipo de amenaza que est presente. La gestin de continuidad de negocio, debera formar parte de la cultura de una organizacin, debera estar radicada en los procesos, en la filosofa y las prcticas para que as se logre que todos en la organizacin se involucren con la continuidad de negocio, de forma eficiente y se tiene ms probabilidad de alcanzar sus objetivos, de hacerlo a menor costo y de satisfacer y exceder las expectativas y requerimientos de las partes interesadas, al mismo tiempo preparndose para afrontar desastres catastrficos.1.1. JUSTIFICACINEl Sistema de Gestin de Continuidad de Negocio (SGCN) consiste en una preparacin proactiva de la organizacin frente a contingencias, mediante el desarrollo de mecanismos para restaurar los procesos clave, protegiendo el servicio al cliente y por ende la reputacin de la compaa [4].Si la empresa llegase a perder su informacin generara crisis financiera, perdida de datos de clientes, proveedores, etc. Es por eso que esta monografa consiste en la elaboracin de un estado del arte sobre gestin de continuidad del negocio y el modelo PHVA para aquellas organizaciones que quieran implementar planes de contingencia y salvar su negocio de cualquier amenaza y as mantener la continuidad de sus operaciones y servicios.Desde el punto de vista del especialista en seguridad de la informacin estar en capacidad de minimizar el riesgo asociado a la perdida de integridad, confidencialidad y disponibilidad de la informacin, elaborando planes de contingencia mediante la adaptacin, desarrollo e implementacin de mejores prcticas. 1.2. PROBLEMA A nivel de investigacin sobre gestin de continuidad del negocio se ha visto que la informacin suele casi siempre enfocarse en su definicin como tal y es muy raro ver cuando las fuentes nos muestran informacin completa sobre continuidad del negocio.La problemtica de este tema de investigacin se debe a que las fuentes nos muestran un concepto general el cual nos aporta informacin muy limitada, que no nos suele ayudar al enfoque empresarial. Por tanto, la organizacin que quera perdurar necesita desarrollar procesos internos enfocados en garantizar la continuidad de negocio, que incluyan a las partes interesadas y a la comunidad en general, as como tambin los procesos, la infraestructura y las herramientas tecnolgicas utilizadas por dicha organizacin. 1.3. OBJETIVOS1.3.1. OBJETIVO GENERAL

Elaborar un estado del arte sobre la gestin de la continuidad del negocio y particularmente en el modelo PHVA.1.3.2. OBJETIVOS ESPECFICOS

Investigar y analizar lo referente a gestin en la continuidad del negocio Investigar y describir el modelo PHVA y su funcionamiento Realizar una discusin sobre la importancia de utilizar planes de continuidad del negocio y en especial, el modelo PHVA1.4. ORGANIZACIN DEL DOCUMENTOEsta monografa est organizada por 3 captulos: El primer captulo est conformado por sistemas de gestin de continuidad del negocio, dentro de este captulo tenemos los subtemas gestin de continuidad del negocio en una organizacin, Gestin de continuidad del negocio en el mundo y empresas que enfrentaron situaciones adversas por no contar con un plan de continuidad del negocio.El segundo captulo est conformado por el modelo PHVA dentro de este captulo tenemos los subtemas definicin del modelo phva, Etapas o fases del modelo PHVA.El tercer captulo habla sobre las empresas que han implementado planes de contingencia basados en el modelo PHVA

2. SISTEMAS DE GESTIN DE CONTINUIDAD DEL NEGOCIO

2.1. Gestin de continuidad del negocio en una organizacinLa presencia de diferentes tipos de riesgo sumando a la falta de procesos organizacionales sistemticos encargados de identificarlos y gestionarlos se convierte en una de las principales causas por las cuales se presentan siniestros en las organizaciones, llegando, incluso, a provocar su desaparicin del mercado. Por tanto, la organizacin que quera perdurar necesita desarrollar procesos internos enfocados en garantizar la continuidad de negocio, que incluyan a las partes interesadas y a la comunidad en general, as como tambin los procesos, la infraestructura y las herramientas tecnolgicas utilizadas por dicha organizacin. Es por eso que esta monografa est enfocada dentro del modelo planificar-hacer-verificar-actuar (PHVA) [3] de los sistemas de gestin, con el fin de apoyar la gestin de la direccin de la organizacin y as mantener la continuidad de sus operaciones y servicios. Figura 1. Sistema de gestin de continuidad del negocio

Fuente: http://adsitexto.blogspot.com/2013/04/fundamentos-de-calidad.html2.2. Gestin de continuidad del negocio en el mundo

Un estudio realizado por el Emergency Management Forum (Oak Ridge Regional Emergency Management, 2009) en Estados Unidos dice lo siguiente: de cada 100 empresas que afrontan un desastre sin contar con un Plan de Continuidad del Negocio, el 43% nunca reabren, 51% sobrevive pero estn fuera del mercado en 2 aos y slo el 6% logra sobrevivir a largo plazo.

Apoyado en los resultados de este estudio, es necesario poner en marcha medidas que nos permitan estar preparados ante los cambios que un incidente pueda ocasionar a nuestro negocio. La globalizacin y los cambios tecnolgicos son slo algunos de los elementos que marcan el ritmo de planeacin que debe tener una organizacin.El empresario debe pensar de forma activa, agregando integridad, disponibilidad y confiabilidad a todos los procesos crticos de negocio desde el principio. Tener una respuesta rpida a las emergencias y lograr una recuperacin eficiente slo se logra con una adecuada planeacin y control de la continuidad del negocio [4].

A nivel mundial existen organizaciones especializadas en el apoyo a este tema. Dentro de las ms sobresalientes estn:

A nivel de consultara: Deloitte, KPMG, Risk Mxico, Price Water House Coopers. A nivel de servicios de apoyo, como hardware, software, sitios alternos o centro de llamadas: IBM, EMC, Symantec, Veritas, CITRIX, CISCO. A nivel de disciplina: Business Continuity Institute (BCI), Business Standar Institute (BSI), Disaster Recovery Institute Internacional (DRII), COBIT, ISO17799, NIST-SP800-34-BCP, ITIL, NFPA [5].

En 2004, el Cartered Management Institute realiz una encuesta sobre las empresas que cuentan con un Plan de Continuidad del Negocio (Angela Martn, 2004). La encuesta tuvo como finalidad explorar el alcance y naturaleza de sus planes. Esta encuesta fue realizada en el Reino Unido a 461 Gerentes y entre los resultados ms importantes tenemos los siguientes:

Las causas de interrupcin, segn ese estudio, son mostradas en la Figura 1. Donde el 25% corresponde a prdida de capacidad de IT, el 23% a Fallas de Telecomunicaciones y el 20% a Fallas Humanas.

Figura 2. Tabulacin de las encuestas realizada por el UK a los gerentes de diferentes empresas que cuentan con plan de contingencia

Fuente: http://www.channelplanet.com/index.php?idcategoria=12410, consultado el 1 Octubre 2009.

As mismo, el cese de operaciones se muestra en la Figura 2, donde el 16% corresponde a Publicidad negativa, el 12% Interrupciones de la cadena de suministro, el 10% Inundaciones y vientos fuertes, el 8% Daos en la reputacin e imagen corporativa, el 8% Salud de los empleados, el 7% Presin de grupos de protesta, el 7% Conflictos militares y con 1% Daos ocasionados por el terrorismo

Figura 3. Cese de operaciones Fuente:http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/5394/TESIS%20MORALES%20BRACHO%20YESENIA%20LIZBETH.pdf?sequence=1

Dentro de las estrategias para cuidar la imagen de las empresas y darle continuidad a las comunicaciones, tenemos que el 66% Se enfocan en mantener las comunicaciones de voz, el 53% Acceso a Internet, el 46% Aplicaciones en tiempo real y con un 38% Acceso a la informacin Histrica. De las empresas que fueron encuestadas, slo 47% tiene un Plan de Continuidad del Negocio [6].

SunGard (2003), lder mundial en servicios de Continuidad del Negocio, nos habla sobre la Importancia que tiene solicitar servicios de outsourcing para el manejo del tema de continuidad del negocio, obteniendo como resultado liberar al personal interno para que sea ms dedicado a las operaciones relacionadas con el negocio. Adems de tener acceso a capacidades y materiales de clase mundial, permite compartir riesgos, permite flexibilidad ante cambios del mercado.

Sobre el costo de Down time por hora, SunGard (2003) nos comenta las siguientes cifras, segn el conocimiento que tiene de sus clientes, el de Telecomunicaciones es de US$780,000, Bancos US$360,000, Fiduciario US$240,000, Otros US$180,000 [7].

Estos datos evidencian que si las empresas no establecen planes de contingencia pueden llegar al fracaso e incluso a la quiebra.2.3. Empresa que enfrentaron situaciones adversas por no contar con un plan de continuidad del negocio2.3.1. PHILIPSPhilips no contaba con un Plan de Continuidad del Negocio. Despus del Incendio en una planta de produccin de chips de Philips Semiconductors caus el cierre por seis semanas. Las perdidas obtenidas en las seis semanas fueron mucho ms de lo que hubiera invertido en un Plan de Continuidad del Negocio [8].

2.3.2. TORRES GEMELASLas torres gemelas no contaban con un plan de de continuidad del negocio despus del ataque terrorista que se vio en vuelta, causo pedidas financieras, perdidas de informacin muy valiosa e incluso genero crisis financiera en Espaa.

3. MODELO PHVA3.1. Definicin del modelo PHVAEl ciclo de mejora continua Planificar- hacer-Verificar-Actuar fue desarrollado inicialmente en la dcada de 1920 por Walter Shewhart, y fue popularizado por W, Edwars Deming. Por esta razn es frecuentemente conocido como el Ciclo de Deming. Dentro del contexto de un Sistema de Gestin de la Calidad, el PHVA es un ciclo dinmico que puede desarrollarse dentro de cada proceso de la organizacin y en el sistema de procesos como un todo. Est ntimamente asociado con la planificacin, implementacin, control y mejora continua, tanto en la realizacin del producto como en otros procesos del SGC.El mantenimiento y la mejora continua de la capacidad del proceso puede lograrse aplicando el concepto de PHVA en todos los niveles dentro de la organizacin, esto aplica por igual a los procesos estratgicos de alto nivel, tales como la planificacin de los Sistemas de Gestin de la Calidad o la revisin por la direccin, y a las actividades operacionales simples llevadas a cabo como una parte de los procesos de realizacin del producto. El enfoque basado en procesos indica que todos los procesos como las auditoras internas, la revisin por la direccin el anlisis de datos y el proceso de gestin de recursos, entre otros, pueden ser gestionados utilizando como base el ciclo de mejora continua PHVA [9].La Norma ISO 9001:2000 explica que el ciclo PHVA aplica a los procesos tal y como se muestra en la figura 4 [10].

Figura 4. Modelo PHVA segn la ISO 9000:2000

Fuente: http://johnnavas.galeon.com/productos1002127.html

3.2. Etapas del modelo PHVAEn la Tabla 1 se muestra el ciclo de vida del SGCN, enmarcado dentro del ciclo PHVA, el cual est compuesto por cuatro fases bsicas, dentro de las cuales se incorporan los componentes claves del sistema que lo hacen modular, flexible y adaptable a la dinmica de la organizacin y su entorno. Estas son [11]:Tabla 1. Fases del sistema de gestin de continuidad del negocioFase- Modelo (PHVA)Descripcin

Planear: diagnostico y diseo: Procesos Gobierno y estructura Anlisis de riesgos Anlisis de impacto del negocio (BIA) Diseo global del programaEn esta fase se dimensiona el SGCN identificando las caractersticas ms relevantes de la organizacin. Sus necesidades particulares, los riesgos existentes, su nivel de exposicin y control, as como los impactos producto de la materializacin de dichos riesgos.

As mismo, se definen planes de accin a corto, mediano y largo plazo y se disean las estrategias de continuidad que sern implementadas, con caractersticas de confiabilidad, disponibilidad, seguridad y recuperabilidad, por medio las cuales se definirn los recursos mnimos requeridos para la reanudacin y recuperacin de los procesos crticos del negocio.

Hacer: implementacin y ejecucin: Implementacin de estrategias Desarrollo e implementacin de planes de continuidad de operaciones, respuesta a emergencia y manejo de crisisEn esta fase busca aplicar las estrategias y planes diseados, con el fin de obtener los resultados planificados; en esta fase se debera llevar a cabo la sensibilizacin del SGCN.Tambin se definen los equipos de continuidad del negocio que actuaran en las distintas instancias de una situacin de contingencia y se desarrollaran los diferentes tipos de planes que integran el SGCN.

Finalmente, se divulgara el programa en la organizacin y se implementaran esquemas de formacin y entrenamiento para sus miembros.

Verificar: monitoreo y medicin Pruebas y ejerciciosDurante esta fase de efectuar el seguimiento a la implementacin de las estrategias seleccionadas, adems se realizan las respectivas mediciones para detectar las desviaciones e identificar las oportunidades de mejora que se deben documentar y que son el insumo para la fase del sistema.

Actuar: mejoramiento continuo Mantenimiento y actualizacin Auditorias En esta fase se consolidan las oportunidades de mejora y corrigen las desviaciones documentadas en la fase anterior.

Las oportunidades de mejora deben considerar el cumplimiento de los requisitos y el aprovechamiento de los recursos, para luego plasmarlas en planes o programas de trabajo con asignacin de recursos, responsables y posibles fechas de cumplimiento, para as lograr el ajuste y la optimizacin del SGCN y entrar en el ciclo de mejora continua-

Fuente: gua tcnica colombiana

Figura 5. Ciclo de vida del sistema de gestin de continuidad del negocio

Fuente: http://dexconsultores.blogspot.com/2013/06/ntc-iso-223012012-gestion-de-la.html

Es importante tener en cuenta como el SGCN integra diferentes factores, los cuales podran ser generadores de riesgo para la organizacin, afectando la continuidad del negocio. 3.2.1. Planear: diagnostico y diseo:3.2.1.1. Gobierno y estructuraUno de los elementos claves en el SGCN es la definicin de un marco de referencia del gobierno para su administracin, que sea la base fundamental para encaminar y orientar el desarrollo permanente de la disciplina de continuidad que deben adquirir todos aquellos que de una u otra forma son responsables de mantenerla [12]. Las polticas, al igual que los procesos, son la base fundamental para alcanzar un ambiente ptimo en las organizaciones que buscan mantener la continuidad de las operaciones claves de la organizacin.El gobierno requiere de una estructura organizacional que oriente de manera general el desarrollo permanente de la continuidad en la organizacin, para que se visualicen los elementos que componen el SGCN, tales como los tecnolgicos, operativos, de salvamento y administracin de incidentes en general. La continuidad del negocio es responsabilidad de todos los miembros de la organizacin y la gestin de la continuidad requiere de la presencia de un lder que motive y desarrolle las condiciones necesarias con el apoyo de la alta direccin [13]. Figura 6. Gobierno de la gestin de continuidad de negocio

Fuente: NTC-5722:2000

La alta direccin de la organizacin debera evidenciar su compromiso con el SGCN manteniendo y respetando el modelo PHVA para diagnosticar, implementar, verificar y establecer planes de mejoramiento que alimenten al sistema en forma permanente, as: Mediante el establecimiento de una o varias polticas del SGCN Asegurando que se establezcan los objetivos y planes del SGCN Estableciendo la estructura organizacional, las funciones, los roles y las responsabilidades en el tema de continuidad del negocio. Comunicando a la organizacin la importancia de cumplir los objetivos y la poltica de la continuidad de negocio, sus responsabilidades legales, y la necesidad de la mejora continua. Asignando los recursos suficientes para mantener, operar y mejorar el modelo PHVA del sistema de gestin de continuidad. Asegurando que se realizan las verificaciones o auditoras internas del SGCN [14].3.2.1.2. Anlisis de riesgos

El anlisis de riesgos consiste en identificar las amenazas sobre estos activos y su probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que las citadas amenazas pueden provocar sobre la disponibilidad de los mismos.[15]Si bien existen diversas metodologas de anlisis de riesgos (MAGERIT, OCTAVE), e incluso herramientas que ayudan a automatizar el proceso (EAR/PILAR), todas ellas siguen la siguiente secuencia de accin: Identificar activos: para cada una de las actividades crticas de la organizacin, es necesario identificar y valorar los activos involucrados. La mayor parte de esta tarea debiera haber sido completada en el BIA. identificar y evaluar las amenazas sobre los activos identificados previamente y su probabilidad de que sucedan. Aunque existen di-versas tipologas de amenazas, algunos ejemplos de ellas son fuego, inundacin, fallo elctrico, absentismo laboral, huelgas, etc. Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las cuales pueden ser explotadas por las amenazas. Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad del activo y provoque dao sobre el mismo. Calcular el riesgo como la probabilidad de que se produzca un impacto determinado en la organizacin.[16]El proceso de anlisis de riesgos puede ser abordado de forma cualitativa, cuantitativa o incluso mezcla de ambos. En la siguiente tabla se describen los 2 tipos de anlisis de riesgos junto con las ventajas e inconvenientes asociados a los mismos [16]. Tabla 2. Descripcin de tipos de anlisis de riesgosTipo de Anlisis de riesgosDescripcin ventajasInconvenientes

Cualitativo Basado en clasificaciones descriptivas y subjetivas del negocio Sencillez Rapidez Equilibrio

subjetividad

Cuantitativo Basado en trminos monetarios Exactitud integridadComplejidad para estimar costes reales

Fuente: el autor

Independientemente de la metodologa o de las herramientas empleadas para el anlisis de riesgos, el resultado del proceso ser un mapa de riesgos que permite identificar y priorizar aquellos que pueden provocar una paralizacin de las actividades de negocio de la organizacin o de los recursos crticos sobre los cuales dichas actividades estn soportadas.Qu puede hacer la organizacin ante los riesgos que ha identificado? Existen diferentes opciones para hacer frente a los mismos: Aceptar el riesgo: la organizacin conoce el riesgo y decide asumirlo sin tomar ninguna accin al respecto, bien porque no tiene capacidad o bien porque el coste para mitigar el riesgo es desproporcionado para los beneficios que aporta. Transferir el riesgo: como por ejemplo a travs de la subcontratacin de servicios o mediante la contratacin de un seguro de cobertura, de forma que si el riesgo se materializa exista una compensacin externa que lo mitigue. Reducir el riesgo a niveles aceptables por la organizacin: mediante el diseo y la implantacin de controles o medidas preventivas o que atenen los impactos y las consecuencias del mismo. Evitar el riesgo: mediante la eliminacin del mismo (por ejemplo a travs de la reingeniera de procesos o incluso suspendiendo la actividad que origina el riesgo sin penalizar los objetivos de negocio de la organizacin) [17].Las distintas opciones para hacer frente a los riesgos pueden ser utilizadas simultneamente, si bien es destacable que no todos los riesgos pueden ser reducidos o prevenidos a un nivel aceptable. La continuidad de negocio constituye por s misma una estrategia o una opcin de respuesta para hacer frente a aquellos riesgos que pueden interrumpir las operaciones de la organizacin.3.2.1.3. Anlisis de impacto del negocio (BIA)

El anlisis de impacto al negocio inicia con la identificacin de las funciones y procesos crticos de la organizacin, con el fin de determinar el impacto asociado a los riesgos que pueden afectar la continuidad del negocio.La estimacin del impacto debera tener en cuenta aspectos tangibles e intangibles, los cuales deben estar expresados en trminos cuantitativos y cualitativos [18].Como aspectos tangibles se pueden considerar, entre otros, los siguientes: Disminucin de las utilidades Penalidades y multas Disminucin en la productividad Y como intangibles: Costo de oportunidad Reconstruccin de la imagen y credibilidad de la organizacin Perdida de informacin [19].Objetivos del BIA Evaluar impactos de interrupcin/tiempo Determinar impactos financieros y operacionales Determinar la criticidad de tiempo para los procesos de negocio, funciones, departamentos y areas de trabajo considerando toda la organizacin. Determinar las caractersticas del momento crtico [20].Beneficios del BIA Reducir la responsabilidad legal Minimizar las posibles prdidas econmicas Disminuir la exposicin de la imagen Reducir la interrupcin de las operaciones normales Asegura la estabilidad de la empresa Asegurar un recuperacin ordenada Minimizar los valores seguros Incrementa la proteccin de activos Garantiza la seguridad del personal, de los clientes y socios Cumple con las disposiciones legales y normativas [20].Hay trminos fundamentales que se asocian tpicamente al BIAMAO Maximum Aceptable Outage (Interrupcin mxima aceptable): tiempo que tomara para que los efectos adversos que puedan surgir como consecuencia de no proporcionar un producto o servicio o la no realizacin de una actividad, sean inaceptables [21].MTPD Maximum tolerable period of disruption (Perodo mximo tolerable de interrupcin): tiempo que tomara para que los efectos adversos que puedan surgir como consecuencia de no proporcionar un producto o servicio o la no realizacin de una actividad, lleguen a ser inaceptables [22].MBCO minimum business continuity objective (objetivo mnimo de continuidad del negocio): Nivel mnimo de servicios o productos y que sera aceptable para la organizacin para lograr sus objetivos durante una interrupcin. [23]RPO recovery point objective (punto objetivo de recuperacin): punto en que la informacin utilizada por una actividad debe ser restaurada para que la actividad reanude operaciones. [24]RTO recovery time objective (tiempo objetivo de recuperacin): perodo de tiempo despus de un incidente en el que: el producto o servicio debe reanudarse, la actividad debe reanudarse o los recursos debe ser recuperados [25]

Etapas del anlisis de impacto al negocio:Identificar los procesos crticos del negocio: en esta etapa se identifican las funciones y procesos crticos del negocio, sus entradas y resultados y la relacin que tiene con otros procesos de la organizacin, de tal forma que se logre identificar la dependencia e influencia que la funcin o el proceso analizado tiene con otras funciones y procesos. La elaboracin de matrices y mapas de procesos, entre otras herramientas, permite conocer ms a fondo el funcionamiento de la organizacin. Valorar el impacto operativo y financiero: el impacto cuantitativo est compuesto de todas aquellas prdidas econmicas que puedan reflejarse en un costo para la organizacin. Es importante tener en cuenta las perdidas entendidas como un menor valor en el ingreso y tambin como una disminucin en el patrimonio y capital de la organizacin; igualmente se debe valorar el impacto econmico producto de gastos extras en los que sea necesario incurrir en un evento que amenace la continuidad de negocio.Determinar los tiempos objetivos de recuperacin: para cada uno de los procesos en evaluacin, se establecer un objetivo de tiempo de recuperacin y un objetivo de punto de recuperacin. Para este ltimo se recomienda identificar la informacin de forma automtica y/o manual, en caso de ser necesario.Priorizar los procesos para su recuperacin: a partir de esta etapa se establece la prioridad de los procesos para la recuperacin. All se da la clasificacin final de criticidad de los procesos, de modo que sea posible elegir cules de ellos sern recuperados y restaurados ante una situacin de crisis, es decir se establece la secuencia de recuperacin para los procesos elegidos.Determinar los recursos mnimos de recuperacin: es necesario identificar los recursos que estan asociados a los procesos crticos en relacin con aspectos antrpicos, tecnolgicos, ambientales y documentales, etc. Se define la secuencia de recuperacin de dichos recursos acorde con la prioridad de procesos y los tiempos de recuperacin establecidos.Identificar previamente las estrategias: se debera identificar previamente las posibles estrategias necesarias para reanudar los procesos crticos, incluyendo aquellas estrategias que permitirn darle continuidad a la operacin, aun sin soporte tecnolgico [26].3.2.2. Hacer: implementacin y ejecucin3.2.2.1 Estrategias de continuidad del negocio

Las estrategias de continuidad de negocio se basan en elegir la mejor opcion u opciones, desde el punto de vista econmico, tcnico u operativo, para gestionar la continuidad de los procesos crticos, partiendo del anlisis de riesgo y el resultado obtenido del anlisis de impacto del negocio. Estos son los insumos necesarios para desarrollar la estrategia de continuidad, la cual debera definir su alcance y estar enfocada de manera prioritaria a los procesos que tengan alto impacto y/o alto riesgo [27].Aspectos por tener en cuenta para la eleccin de las estrategias: Identificacin de alternativas internas y externas Anlisis de factibilidad (tcnica y operativa) de implementacin de las diferentes alternativas de continuidad identificadas Anlisis de relacin costo-beneficio de la estrategia y presentar dicho anlisis a la alta direccin, con el fin de tomar decisiones. Anlisis de objetivos de punto de respuesta (RPO) y objetivos de tiempo de respuesta (RTO) ms conveniente para la organizacin [27].Estrategias genricas para la continuidad del negocio1. Reduccin del riesgo: actividad dirigida a evitar que ocurran eventos adversos o al menos, mitigar sus consecuencias.

Las actividades que se realicen dentro del marco de la reduccin del riesgo deben conllevar un esfuerzo claro y explicito por reducir la posibilidad de ocurrencia de eventos adversos y/o la consecuencia derivada de los mismos. Existen dos formas de reduccin del riesgo: Prevencin: conjunto de acciones cuyo objeto es impedir la ocurrencia de eventos adversos, ya sean naturales, tecnolgicos o antrpicos. La prevencin reduce el riesgo disminuyendo la probabilidad de ocurrencia de los eventos adversos. Mitigacin: conjunto de acciones cuyo objeto es reducir los efectos o consecuencias derivadas de la ocurrencia de eventos adversos. En mitigacin, la inversin es una accin destinada a modificar: Las caractersticas de un fenmeno, con el fin de reducir las consecuencias del mismo. Las caractersticas intrnsecas de un sistema biolgico, fsico, social u organizacional, a fin de reducir su vulnerabilidad. Reducir los efectos no deseados sobre vidas y propiedades.

2. Manejo de eventos adversos: la mejor manera de enfrentar los eventos adversos es preverlos. Existen dos alternativas para el manejo de eventos adversos: Preparacin: conjunto de medidas y acciones para reducir al mismo la prdida de vidas humanas y otros daos, organizando oportuna y eficazmente la respuesta y la rehabilitacin. A este componente corresponden, entre otras, las siguientes actividades: Definicin de las funciones de las areas operativas o unidades de negocio (planes). Inventario de recursos fsicos, humanos y financieros (planes) Capacitacin e informacin al personal, acerca de riesgos e instrucciones a cumplir en caso de un evento adverso. Instalacin de elementos de alerta, tales como detectores, sensores y redes de monitoreo. Ejercicios de simulacin y simulacros

Respuesta: acciones llevadas a cabo ante un evento adverso y que tienen por objeto salvar vidas, reducir el sufrimiento y disminuir prdidas.

3. Recuperacin: proceso de restablecimiento de las condiciones normales de operacin de la organizacin. Existen dos alternativas de recuperacin: Rehabilitacin: recuperacin, a corto plazo y en forma transitoria, de los servicios bsicos de subsistencia e inicio de la reparacin del dao; inicia con poner en funcionamiento los procesos estratgicos de la organizacin. Reconstruccin: proceso de reparacin, a mediano y largo plazo, del dao, a un nivel de desarrollo superior al existente antes del evento. Mediante la reconstruccin se logra la solucin permanente de los problemas de riesgos anteriores a la ocurrencia del evento adverso y el mejoramiento de la calidad de vida de la continuidad.

4. Transferencia del riesgo: transferir el riesgo involucra que otra organizacin asuma todo el riesgo o comparta parte de l. Usualmente por medio de un contrato. Las formas ms comunes de compartir riesgos son la subcontratacin, la contratacin externa, los seguros, si es aplicable. En algunos casos el uso de instrumentos financieros para compartir, proteger contra los riesgos econmicos antes de que ocurra un evento adverso o una perdida.

5. Planificacin anticipada: la organizacin puede contemplar dentro de su planificacin anticipada las siguientes opciones:

Centro de operaciones alterno y propio: asegura a la compaa instalaciones, las cuales estarn disponibles durante todos los desastres que se puedan presentar y que, por su condicin, se utilizaran para realizar pruebas en el momento en que se considere necesario. Acuerdo de ayuda mutua: este acuerdo se puede realizar con organizaciones del mismo sector o grupo econmico, compartiendo recursos y buscando as minimizar los costos. Acuerdos con proveedores: este acuerdo se puede establecer en el contrato con el proveedor; la razn por la cual es viable est asociada directamente a la efectividad del proveedor y a su conocimiento en relacin con el producto o servicio suministrado. Empresas de servicios especializados: al tener el centro de operaciones alterno bajo la custodia de una empresa de servicio especializada en el tema, el soporte tcnico de operacin, comunicacin de datos y planificacin est garantizando. Adicionalmente, las empresas de servicio especializados cuentan con una instalacin normalmente idnea, soluciones y costos a la medida de la organizacin [28].3.2.2.2. Desarrollo de los planes de continuidad de negocio

Una vez la organizacin ha analizado su exposicin al riesgo, el impacto directo al negocio y ha evaluado estrategias que le permitan continuar con su operacin normal, debera elaborar y formalizar los planes de continuidad de negocio.Todas las actividades que deberan realizarse durante una situacin de crisis, se convierten en un proyecto complejo en el que interviene en numerosas funciones y personas, se administran gran cantidad de recursos y se aplican numerosos procedimientos tanto tcnicos como operativos. Esta investigacin se traduce en planes de continuidad de negocios, los cuales se deberan activar y ejecutar en tiempos muy breves, por lo que las actividades deberan estar planificadas con rigor. Estos planes son planes estratgicos definidos por la alta direccin, los cuales se desarrollan para conseguir una restauracin progresiva y gil de los servicios afectados por una interrupcin total o parcial de la capacidad operativa de la organizacin. Un plan de continuidad del negocio busca establecer como una organizacin puede continuar con sus operaciones en el evento que se produzca una interrupcin; la responsabilidad que este exista, este bien dimensionando y cuente con los recursos necesarios para llevarse a cabo [29].Para la elaboracin y desarrollo de los planes de continuidad de negocios, se deben tener en cuenta los siguientes elementos:1. identificacin de escenarios: es importante tener claro cul o cules son los escenarios de falla que se pretende cubrir con el plan, es decir, puede disearse para cubrir un evento de falla del sistema de informacin o de una lnea de produccin, puede estar enfocado a cubrir la ausencia del personal clave, la perdida de las instalaciones fsicas o la destruccin total.2. Seleccin del recurso humano: posteriormente se definirn los grupos humanos que estarn al frente de las actividades. En forma general se presentan algunos ejemplos de los equipos y sus roles. Que dependiendo del tamao de la organizacin se podran establecer:

Equipo directivo: est conformado por la alta direccin y es encargado de dar la instruccin para activar los planes de continuidad del negocio.

Algunos de los roles que cumple el equipo directivo son: Equipo de manejo de crisis: conformado por el personal encargado de brindar informacin a los medios de comunicaciones y a las partes interesadas, adems de tomar el control del evento que gnero la crisis. Equipo de unidades de negocio: conformado por el representante de la alta direccin responsable de una unidad de negocio especifica y el personal clave para ejecutar las funciones de esta. El equipo debe estar alineado con la estructura organizacional.

Equipos funcionales: conformado por el personal de la organizacin asignado para ejecutar las actividades asociadas a los planes de continuidad especficos y liderado por el miembro del equipo de unidad de negocios responsable del proceso.

Algunos de los roles que cumple el equipo funcional son: Equipos funcionales de tecnologa: conformado por el personal del rea de tecnologa encargado de ejecutar los planes de continuidad del negocio ej.: soporte tcnico, comunicaciones y redes, etc. Equipos de logstica: conformado por el personal del rea administrativa responsable de realizar la movilizacin del personal, la coordinacin de la alimentacin y disponibilidad de instalaciones etc.

Figura 7. Despliegue de los equipos hacia los planes de continuidad Fuente: gua tcnica de Colombia

3. Definicin de actividades del plan: cada uno de los equipos debera tener su propio plan y a la vez contar con uno general que involucre las actividades de todos frente al mismo escenario.

Los integrantes de cada uno de los equipos deberan definir, con base en su conocimiento ante un evento inesperado, de la siguiente manera: Antes del evento Evaluacin del incidente Declaracin de la contingencia Activacin de los planes Regreso a la normalidad [30].Un plan de continuidad de negocios debera conjugar los tres elementos de cualquier sistema de proteccin: seguridad, eficiencia y costo, y por otra parte los elementos que aseguren la necesaria coordinacin entre los diferentes planes con que la organizacin cuenta para cada uno de sus procesos.Entre los diferentes aspectos que deben tenerse en cuenta para el desarrollo de un plan de continuidad de negocios estan los siguientes: Establecimiento de un grupo de trabajo para el desarrollo y posterior implantacin del plan. Este grupo se configura durante situaciones normales y no despus. Definicin de equipos de actuacin y nombramiento de responsables de cada equipo Priorizacin de actividades para recuperar las distintas areas en el menor tiempo posible. Definicin de tareas y secuencia en que se deben realizar. uso de recursos alternativos asignacin de responsabilidades al resto de personas que vayan a componer los equipos de actuacinFases y tareas que deberan contemplar el plan sonFigura 8. Fases y tareas de un plan de continuidad de negocio

Fuente: gua tcnica de Colombia

4. elementos del plan de continuidad de negocio: un plan de continuidad involucra a los responsables de los procesos de soporte y a los responsables de las operaciones en la organizacin. El recurso humano responsable de estos procesos, los procesos que deben ser atendidos y las localidades externas que sern utilizadas para garantizar la continuidad de las operaciones forman parte de los elementos bsicos que se requieren para construir un plan de continuidad de negocio [31]

Personal (gerente) Localidades ProcesosFigura 9. Elementos del plan de continuidad de negocios

Fuente: gua tcnica de Colombia

5. Tipos de planes: los planes de continuidad del negocio contienen las medidas tcnicas, humanas y de procedimientos necesarios para garantizar la continuidad de las operaciones en la organizacin; los planes son desarrollados en casos particulares y aplicados a departamentos, procesos especficos.

Dada su importancia, alcance y orientacin, podemos mencionar tres principales tipos de planes: plan de manejo de crisis, plan de recuperacin de desastres y plan de atencin de emergencias.

A. Plan de manejo de crisis: es un plan global, cuyo objetivo primordial es garantizar que la organizacin pueda tomar el control de las situaciones adversas, manejando adecuadamente la comunicacin interna y externa. Este plan suele estar liderado por la Alta Direccin y su importancia radica en proteger la imagen y generar un ambiente apropiado para la ejecucin posterior de los planes de operacin del negocio. B. Plan de recuperacin de desastres: son los planes que buscan la recuperacin y la continuidad tecnolgica, es decir, cubren escenarios de falla relacionados con servidores, aplicativos informticos, base de datos, comunicaciones, seguridad de la informacin, etc. Estos planes son diseados y ejecutados por personal de procesos tecnolgicos.C. Plan de atencin de emergencias: son los planes enfocados a atender situaciones que representen emergencias (atentados, incendios, desastres naturales, etc.) para la organizacin, en los cuales busca la proteccin de las vidas y de los activos. Usualmente involucra personal de varias areas y elementos de seguridad industrial y salud ocupacional, por ejemplo, brigadas de primeros auxilios [32].

6. Resultados del desarrollo de un plan de continuidad del negocioEl plan de continuidad del negocio busca reducir las consecuencias de un evento adverso a niveles aceptables y aprobados por la alta direccin.

A travs de este plan tambin se busca que se identifiquen los procesos de alto impacto. Esta identificacin debe incluir a todas las unidades o funciones, o ambas, y debe evaluar todos los aspectos de la organizacin.

El resultado del desarrollo del plan de continuidad del negocio es un documento cuya informacin requiere incluir como mnimo los siguientes elementos: Las responsabilidades de cada una de las personas que ejecutan las acciones de recuperacin. Los recursos que se necesitan para recuperar, reanudar, continuar o restaurar las funciones de negocio. Los sitios alternos donde se reanudaran las funciones corporativas, de negocios y operacionales. El momento cuando deben reanudaran las funciones y operaciones del negocio. Los procedimientos detallados de recuperacin, rehabilitacin, continuidad y restauracin [33].

Es primordial contar con un plan de continuidad del negocio confiable, actualizado y ejecutable, para que la organizacin pueda responder en forma ordenada y recuperarse de una crisis, o desastre, con el fin de alcanzar los requisitos de recuperacin establecidos. 3.2.3. Verificar: monitoreo y medicin

Pruebas y ejercicios: Las pruebas pueden ejecutarse por diversos mtodos: Pruebas. Utilizados cuando el procedimiento est siendo probado continuamente. Ensayos. Son la prctica de un procedimiento especfico el cual requiere el seguimiento de un script para impartir conocimiento. Ejercicios. Est basado en un escenario, es decir eventos que desean ser analizados y sus consecuencias. [11]

Sin importar el tipo de prueba, la repeticin y conjunto de actividades que la fundamentan permiten identificar detalles o situaciones que requieren atencin.

Es necesario demostrar la efectividad del BCM probando mediante ejercicios: losRoles del personal clave, capacidad de recuperacin, conocimiento y toma de decisiones en situaciones de crisis.

El tiempo y los recursos necesarios para las pruebas y ejercicios de BCM son parte fundamental del proceso as como infundir confianza y conocimiento necesario a los participantes. Se debe probar la eficiencia de las pruebas en trminos de severidad, realismo y mnima exposicin, trminos que se describen a continuacin:

Complejidad. Las pruebas pueden llevarse a cabo con los mismos procedimientos y mtodos que son ejecutados a diario e irlos incrementando a fin de llegar a eventos lo ms cercano a la realidad. Por lo tanto la complejidad de una prueba demostrar que el negocio est preparado para responder a cualquier riesgo. Realismo. La utilidad de una prueba radica en seleccionar escenarios reales. La simulacin de un evento demuestra la viabilidad del BCM en cualquier circunstancia. Exposicin. Las pruebas pueden desarrollarse en el lugar del negocio o en instalaciones alternas, dependiendo la complejidad de la prueba y el nmero de participantes en ella, el diseo de la prueba demostrar: Una prueba simple de mnimo riesgo de la interrupcin de las operaciones. Una prueba compleja expondr el riesgo de la interrupcin de las operaciones [26].

Las Pruebas y ejercicios se llevan a cabo con la finalidad de cumplir los siguientes objetivos: Garantizar que la documentacin prevista para ser usada durante eventos o situaciones de crisis sea validada por la prctica y la evaluacin. Mantener vigente la documentacin de Administracin de la Continuidad del Negocio creada en las etapas del ciclo de vida del proceso de BCM. Asegurar que los planes se alineen a los objetivos del negocio, mediante prcticas, auditorias y procesos de auto-evaluacin. Cumplir con los requerimientos de los procesos clave del negocio (RTO&RPO). Familiarizar a los equipos con el proceso de Pruebas de BCM. Satisfacer los requerimientos legales y de auditora interna [28].

En las diferentes Pruebas que se pueden realizar, tenemos las siguientes: Prueba de escritorio. Esta prueba permite evaluar un plan sin necesidad de realizar la prueba fuera del edificio. Este tipo de ejercicio debe realizarse a manera de verificar la consistencia del plan con respecto a algn escenario de interrupcin. Este tipo de prueba permite validar los datos de los planes Prueba funcional. En esta prueba se evala la efectividad de los planes que integran el BCM, recreando los procesos de negocio y la participacin de los usuarios desde un sitio alterno. Ejercicio Completo. Permite evaluar la continuidad de las operaciones para un escenario de desastre mayor en el cual se simulara un procesamiento desde el sitio alterno definido en la estrategia de recuperacin. Este tipo de prueba permite validar todos los planes de contingencia de manera integrada. [28]

En la siguiente tabla se muestra ms detalle de cada una de estas pruebas: Tabla 3. Tipos de ejercicios y pruebas para la BCNTIPO DE PRUEBA ELEMENTOSACTIVIDADES PARTICIPANTES

PRUEBA DE ESCRITORIO auditoria validacin verificacinRevisar y validarel contenido del plan Dueo del plan Autor del plan Auditor del plan

PRUEBA FUNCIONAL Escenario Lugar alterno Controles Tiempo de duracin Activacin del plan Componentes Individuales Componentes integradosMover de lugar y recrear los procesos de negocio y las funciones de los participantes desde un sitio alterno Empleados en un rea de negocio especifica Instalaciones Coordinadores Observadores Reguladores

PRUEBA EJERCICIO COMPLETO Escenario Lugar alterno Controles Tiempo de duracin Activacin del plan Componentes Individuales Componentes integradosCerrar totalmente la empresa y cambiar la localizacin de los procesos del negocio Todos los empleados Instalaciones Coordinadores Observadores Reguladores

Fuente: Ana Mara puentes

Una vez realizado el ejercicio o prueba, se deben probar los resultados con base en los cuestionarios de revisin. Para este proceso es necesario ordenar todas las evidencias recolectadas despus de la prueba o ejercicio.

Se propone elaborar una reunin con los participantes de la prueba, en la que sea de fcil visualizacin a travs de grficas comparativas entre resultados anteriores contra los actuales.3.2.4. Actuar: mejoramiento continuo3.2.4.1. Mantenimiento y actualizacin

El mantenimiento y la actualizacin de los planes se deberan realizar mediante la evaluacin de los elementos del plan entre otros aspectos del SGCN.El mantenimiento y actualizacin de los planes de continuidad deberan contar con el apoyo de la alta direccin, con los recursos requeridos y considerar este proceso como un asunto primordial [34].Responsabilidades del mantenimiento y actualizacin Para lograr que un plan se mantenga actualizando y permita la recuperacin ante un evento no deseado es indispensable determinar claramente las responsabilidades de las personas involucradas en el sistema de gestin de continuidad sobre su mantenimiento, entre las cuales debera tenerse en cuenta como mnimo las siguientes: Personal responsable del SGCN: tiene como funcin coordinar, dirigir y controlar el mantenimiento del plan, adems de identificar los cambios que se presenten en la organizacin y que puedan afectar el plan de continuidad de negocio.Auditores: son los responsables de examinar el plan para determinar si cumple con los objetivos y la poltica del SGCN, si es adecuado a los propsitos de la organizacin y se encuentra actualizado.Dueos del plan: responsables por el mantenimiento detallado del plan y por el establecimiento de los procedimientos de actualizacin, as como de las revisiones peridicas del plan de continuidad de negocio y la frecuencia con que se realizaran dichas revisiones.Grupos de trabajo: responsables por el mantenimiento de las secciones del grupo y el monitoreo de las actividades. Alta direccin: responsable de la revisin y aprobacin del plan [35].Para lograr una actualizacin efectiva de los planes, es necesario que cada tarea de actualizacin tenga un responsable, se establezcan fechas lmites para las actualizaciones, que se valide la terminacin de cada tarea y se asegure que los cambios realizados como resultado de una prueba o ejercicio sean implementados3.2.4.2. AuditoriasLa auditoria es una herramienta eficiente y fiable que proporciona informacin sobre la cual una organizacin puede actuar para mejorar su desempeo. El desarrollo de la auditoria se basa en la validacin de los requisitos solicitados por el SGCN y la existencia de los mismos en la organizacin. Esto genera un hallazgo, que comparando con los objetivos de la auditoria genera, as mismo, una conclusin de la auditoria. Figura 10. Auditorias

Fuente: ISO-IEC 27006

Dentro del proceso de auditora se llevan a cabo las siguientes fases: Figura 11. Fases de la auditoria

Fuente: Ana Mara puentesComo resultado de la auditoria se obtienen hallazgos y conclusiones que generalmente se dividen en: Debilidades Fortalezas Aspectos por mejorar[37]Si se establece CONTINUIDADObtendremos Polticas de continuidad Planes Formacin Mantenimiento y actualizacin

4. EMPRESAS QUE HAN IMPLEMENTADO PLAN DE CONTINUIDAD DEL NEGOCIO BASNDOSE EN EL MODELO PHVA

Para la presente monografa se analizaron 8 empresas las cuales 5 corresponden a Bancos, 1 corresponde a una empresa financiera, 1 corresponde a una empresa especializada en obras civiles, y la ultima corresponde a una empresa encargada en software, consultoras y servicios, Se escogieron estas empresas por cuanto son las de mayor riesgo en la gestin de continuidad del negocio: 4.1. BANESCO (Banco Universal, Caracas Venezuela)

En el 2005, el Banco Universal de Caracas comenz con el desarrollo de su programa de Continuidad del Negocio con la asesora de proveedores como IBM, Unisys, Espieira & Asociados utilizando las metodologas DRII y BCI. Generando en el primer ao la definicin de la estrategia de Continuidad del Negocio.En el 2006 se empez la elaboracin del Anlisis de Impacto al Negocio, El Plan de Manejo de Crisis y el Plan de Manejo de Incidentes. Se elabor un estudio sobre las posibles alternativas para los centros Alternos de Operacin (cmputo, registros vitales, crisis y trabajo alterno).En 2007 se elabor el Plan de Pruebas, se actualizaron los Anlisis de Impacto al Negocio y los Planes de Continuidad del Negocio.En 2008 se incluy un escenario de falla elctrica al estudio de riesgos, con lo cual se modific el Plan de Pruebas y se agreg el Plan de Sensibilizacin a todo el personal.En 2009 se actualiz el BIA y se implant una herramienta WEB para automatizar el proceso [38].4.2. Asociacin de Bancos en Mxico

Frente a la reciente epidemia de gripe porcina presentada en Abril de 2009, la Asociacin de Bancos en Mxico activ el Plan de Continuidad del Negocio, el cual incluy las siguientes Medidas:

Continuidad en el Sistema de Pagos. Los bancos promovieron el uso de canales alternos para la realizacin de operaciones bancarias: ATMs, Banca Telefnica e Internet. En sucursales y edificios Corporativos se adoptaron medidas sanitarias para evitar el contagio de empleados y clientes. Detectando al personal crtico, se organiz la distribucin de personal entre edificios. Se pusieron en marcha planes de comunicacin entre empleados y clientes como: carteles, correo electrnico, lnea de atencin telefnica, intranet, entre otros. Continuidad de servicios Financieros. En caso de agravarse la situacin, se planeaba facilitar la operacin de clientes del sistema de manera indistinta en las sucursales de cualquier banco.

Las medidas anteriormente citadas, dieron como resultado el cuidado de la salud de las personas involucradas en el escenario de riesgo [39].4.3. CITIGROUP (Computer world, 2007)

Despus de 3 aos de contrato con IBM, Cititgruop, una de las mayores entidades financieras del mundo por capitalizacin burstil, ha renovado su contrato con el proveedor de servicios de continuidad del negocio.

El proveedor le ofrece 712 lugares equipados para tareas especficas que desarrolla el personal de Citi. Los lugares tienen adems, los servicios de telefona digital, distribucin de llamadas y grabacin de voz. El servicio le ofrece los sitios alternos en Madrid y Barcelona para poder retomar sus actividades en un escenario de Crisis [40].4.4. Bouygues Construction (Microsoft, 2008)

Bouygues Construction, empresa especializada en obras civiles y contratos elctricos y de mantenimiento, cuenta con un personal de 51,100 empleados distribuidos en 80 pases. En el 2006 la empresa implemento la virtualizacin con Microsoft Server 2005 RD Service pack 1.

El objetivo es reducir el nmero de servidores en el centro de datos que tienen en Paris, con esto buscan mejorar el Proceso de Recuperacin de Desastres. Estn utilizando el sistema operativo de Windows Server 2008 Enterprise con tecnologa de virtualizacin de Hyper-V Microsoft System center virtual machina manager 2008. Se espera incrementar el tiempo de actividad de aplicaciones del negocio [41].4.5. BANXICO (Banco de Mxico ,2008)

En Septiembre de 2008 BANXICO public un anlisis que lleva por ttulo Continuidad del Negocio en los Sistemas de Pagos de Latinoamrica y el Caribe en el cual se evaluaron siete bancos de pases diferentes, dentro de los resultados obtenidos por el anlisis, destacan los siguientes:

Todos los pases pueden recuperar su principal sistema de pagos el mismo da del incidente. Dos pases reportan un RTO de 3 horas o menos. En casi todos los pases, excepto uno, existen mecanismos de comunicacin bien definidos que permiten informar al personal de eventos de contingencia y coordinar los planes de recuperacin o movilizacin al sitio alterno. Todos los pases cuentan con sitios alternos de operacin. Todos los pases cuentan con infraestructura tecnolgica recomendada (respaldo de datos, replicacin de operaciones, etc.) Cinco de siete pases cuentan con una identificacin de escenarios que pueden afectar las operaciones del Banco. Slo dos pases cuenta con formalizacin de roles y revisiones peridicas al Plan. Algunos de los pases an no han llevado a cabo pruebas a sus planes [42]. 4.6. BANORTE

En 2006 BANORTE anunci la creacin de ms avanzado esquema de recuperacin de infraestructura informtica, as como la disponibilidad e integridad de la informacin de los clientes y operaciones de forma inmediata, despus de ocurrido un incidente.El Plan de Continuidad del Negocio adoptado por BANORTE, est soportado con el servicio de proveedores como: Hitachi Data Systems, Sun Microsystems, Telmex e IBM de Mxico [43].4.7. COMPAREX ESPAA S.A. (The availability architects)

En febrero de 2005 tuvo lugar un incendio en el Edificio de Windsor, dnde estaban los servidores centrales, despus de 6 horas todo el inmueble quedo devastado. Ante esta situacin Comparex activa sus Planes de Continuidad del Negocio. Dentro de las estrategias que puso a pruebas estn: Backups de informacin, lugares de trabajo para que los empleados puedan reanudar sus operaciones desde otro sitio, accesando a las aplicaciones crticas utilizando como base de acceso el internet, infraestructura que le permiti la comunicacin de voz y datos entre los centros.

El Plan de continuidad del Negocio le permiti a la organizacin poder reaccionar la misma noche del incendio, se identificaron los elementos tecnolgicos (servidores, sistemas de almacenamiento, puestos de trabajo conectados a la red, comunicaciones, etc.) que se encontraban disponibles y en funcionamiento, as como los inactivos. Se recurri a las copias de informacin que la organizacin tena en resguardo en Madrid y Barcelona, verificando si poda hacerse la recuperacin completa al ltimo da hbil de actividad. Se activ el alquiler de las oficinas alternas, dotndolas de equipo necesario para trabajar, se contact a los clientes notificndoles la situacin de la compaa, definir el plan de comunicacin. El plan resulto un xito para la compaa [44].4.8. WAL MART STORES INC.

En Agosto del 2005 cuando Katrina cambi su categora de tormenta tropical a huracn, Jason Jackson, Director de Continuidad del Negocio de Wal-Mart cambio su ubicacin al centro de comando de emergencias de Wal-Mart. Dos das despus cuando el huracn lleg a Florida,Jackson estaba acompaado de 50 gerentes y personal de apoyo, antes de que el huracn tocara tierra en el Golfo de Mxico, Jackson orden a las bodegas de Wal-Mart entregar provisiones a reas de almacenamiento designadas para tener la capacidad de abastecer a las tiendas cuando fuera posible.Cuando el sistema computarizado que actualiza los inventarios de la zona de Wal-Mart quedo sin seal, Jackson atendi las llamadas de las tiendas para saber lo que necesitaban, para el siguiente martes, camiones de Wal-Mart fueron a abastecer generadores y toneladas de hielo seco a lo largo de las tiendas ubicadas en el golfo.Inicialmente 126 sucursales fueron cerrados por encontrarse en el paso de Katrina, a pesar de las prdidas reportadas por las tiendas, 15 das despus, todas a excepcin de 15 tiendas, volvieron a abrir sus puertas [45].

5. DISCUSINPara la elaboracin y desarrollo de los planes de continuidad de negocios, se deben tener en cuenta los siguientes elementos: identificacin de escenarios Seleccin del recurso humano Definicin de actividades del plan: dentro de este elemento se incluye las Fases y tareas que deberan contemplar el plan como lo son: planificacin con una tarea de participacin de la direccin, designacin del grupo de trabajo y el desarrollo y aprobacin del plan. Acciones de emergencia con una tarea de alerta y activacin y evaluacin de daos. Proceso alterno con una tarea de dar soluciones alternas. Proceso de recuperacin con una tarea de recuperacin de actividades. Fin de la emergencia con una tarea de un informe final de la emergencia y por ultimo Gestin del plan con una tarea de programas de pruebas, mantenimiento y de auditora elementos del plan de continuidad de negocio los cuales forman parte el personal, las localidades y los procesos. Tipos de planes Dada su importancia, alcance y orientacin, podemos mencionar tres principales tipos de planes: plan de manejo de crisis, plan de recuperacin de desastres y plan de atencin de emergencias. Resultados del desarrollo de un plan de continuidad del negocioLa necesidad de proteger la informacin crtica exige a las empresas disear planes para prever situaciones de desastre y reaccionar ante ellasEs importante Invertir en Planes de Continuidad de Negocio esto ayuda a la gestin de la continuidad de negocio en cualquier empresa. Es necesario saber que el plan de continuidad de negocio tiene que ser entendible y sencillo de utilizar y conservar.

Un plan de continuidad de negocio debe cubrir, al menos, lo ms importante de la organizacin, debe establecer claramente quines formaran parte del mismo, sus funciones, responsabilidades y autoridad.

Un plan de continuidad de negocio no se produce ante cualquier incidente de seguridad, sino en situaciones de crisis y/o emergencia.

La definicin y ejecucin de un plan de continuidad de negocio debe realizarse en muchas ocasiones en diferentes fases dentro de la organizacin.

El modelo PHVA est enfocado por 4 fases los cuales son: Planear: dentro de esta fase tenemos gobierno y estructura, anlisis de riesgos y el anlisis de impacto al negocio. Hacer: dentro de esta fase tenemos la implementacin de estrategias y el desarrollo de los planes de continuidad. Verificar: dentro de esta fase tenemos las pruebas y ejercicios Actuar: dentro de esta fase tenemos mantenimiento y actualizacin y auditorias. La importancia que tiene la aplicabilidad el modelo PHVA en las empresas es que brinda una solucin que realmente permite mantener la competitividad de los productos y servicios, mejora la calidad, reduce los costos, mejora la productividad, aumenta la participacin de mercado, provee nuevos puestos de trabajo y aumenta la rentabilidad de la empresa.Con la aplicacin de este modelo, el proceso no termina cuando se logra el resultado deseado, sino que ms bien, se inicia un nuevo reto no slo para el responsable de cada proceso, sino tambin para la propia organizacin. Adems, permite identificar las oportunidades de mejora y se aplican anlisis con mtodos ms simples y eficientes para reducir costos, y mejorar la calidad de los productos y los servicios.

6. CONCLUSIONES La adopcin de un SGCN es una decisin estratgica de la organizacin, ya que depende de las necesidades y objetivos, requisitos de seguridad, los procesos empleados y el tamao y estructura de la organizacin. Los resultados de la ejecucin de este modelo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participacin del mercado y aumentando la rentabilidad de la empresa u organizacin. El desempeo por parte de una organizacin de un plan de continuidad de negocio no se produce ante cualquier incidente de seguridad, sino en situaciones de crisis y/o emergencia. Es importante mencionar que la validacin de esta investigacin es terica, ya que no es posible esperar a implementar este sistema de gestin de continuidad del negocio aplicando el modelo PHVA para que las organizaciones puedan efectuar planes de contingencia ante cualquier amenaza y ver los resultados. Ms adelante se busca que esta investigacin sirva para llevarse a cabo en las organizaciones, con la finalidad de validar los resultados de esta investigacin.

7. BIBLIOGRAFA

[1]. Salazar Sols Carlos tomada de: http://www.solis.com.ve/que-es-un-sistema-de-gestion-de-continuidad-de-negocio/

[2]. Sistema de Gestin de Continuidad del Negocio (SGCN). Tomada de: http://www.femp.es/files/566-100-archivo/Manual%20RSE.pdf.

[3]. modelo Planificar-Hacer-Verificar-Actuar (PHVA). Tomada de: http://digibug.ugr.es/bitstream/10481/15411/1/19563085.pdf

[4]. Sistema de gestin de Continuidad del negocio. Tomada de: https://www.positiva.gov.co/positiva/Sistema-Integrado-de-Gestion/Paginas/Continuidad-de-Negocio.aspx.

[5]. Oak Ridge Regional Emergency Management (2009), Emergency Management tomada de: http://www.oakridge.doe.gov/external/Home/PublicActivities/EmergencyManagementForum/tabid/ 307/Default.aspx, consultado el: 1 de octubre de 2009 [6]. Catalogo de organismo y agencias de cooperacin internacional tomada de:http://www.sre.gob.mx/coordinacionpolitica/images/stories/documentos_gobiernos/catalogos/agenciasci

[7]. Martn Angela (2004), Las empresas siguen concentrando sus planes de continuidad del negocio en torno a su capacidad de Tecnologas de Informacin (IT), tomada de: http://www.channelplanet.com/index.php?idcategoria=12410, consultado el 1 Octubre 2009.

[8]. Morales Yesenia Repositorio digital instituto politcnico nacional tomada de: http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/5394/TESIS%20MORALES%20BRACHO%20YESENIA%20LIZBETH.pdf?sequence=1

[9]. Respuestas a emergencia y continuidad. Tomada de: http://www.sela.org/attach/258/default/Di18_Respuesta_a_emergencias_y_continuidad_Sector_asegurador_Luis_Bravo_Asesor.pdf

[10]. Uso de las normas ISO y el ciclo PHVA. Tomada de: http://johnnavas.galeon.com/productos1002127.html

[11]. Norma ISO 9001:2000

[12]. NTC-ISO-IEC 17799. Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de practica la gestin de la seguridad de la informacin.

[13]. NTC-ISO-IEC 17799. Tecnologa de la informacin. Tcnicas de seguridad. Cdigo de practica la gestin de la seguridad de la informacin.

[14]. NTC-ISO-IEC 27001. Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de gestin de la seguridad de la informacin

[15]. BS 25999-1:2006 Gestin de continuidad de negocio cdigos de practicas

[16]. BS 25999-2:2007. Especificaciones para la continuidad de negocio

[17]. Pass 77:2006 IT servicio de continuidad de negocio.

[18]. Pass 56:2003. Gua para la gestin de la continuidad del negocio

[19]. Inteco cert tomada de: Http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/.

[20]. Disaster Recovery Institute International tomada de: http://www.drii.org

[21]. BIA business impact analysis tomada de: http://www.sisteseg.com/files/Microsoft_Word__BIA_BUSINESS_IMPACT_ANALYSIS.pdf

[22]. Seguridad de la informacin en Colombia. Anlisis de impacto de negocios tomada de: http://seguridadinformacioncolombia.blogspot.com/2010/05/analisis-de-impacto-de-negocios.html

[23]. Edgar tauta. Gestin de continuidad de negocio.2013

[24]. Maximum Acceptable Outage (Definition) tomada de: http://www.riskythinking.com/glossary/maximum_acceptable_outage.php

[25]. MTPD Maximum tolerable period of disruption. Tomada de: http://www.continuitycentral.com/feature0845.html

[26]. MBCO minimum business continuity Objective. Tomada de: http://www.goh-moh-heng.com/

[27]. RPO recovery point Objective, RTO recovery time Objective tomada de: http://www.praxiom.com/iso-22301-definitions.htm

[28]. Manual de administracin del plan de continuidad de negocios

[29]. BS 25999. Especificaciones para la continuidad de negocio

[30]. ISO 22301 SGCN tomada de: http://pecb.org/iso22301es/

[31].Planeacin tomada de: http://www.virtual.unal.edu.co/cursos/sedes/manizales/4010014/Contenidos/Capitulos%20PDF/CAPITULOS%201%20AL%204.pdf

[32]. Deloitte Gua para la elaboracin de planes de continuidad de gestin TIC

[33]. Planes de continuidad de negocio Technology and security Risk service. Tomada de: http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-MU_archivos/E&Y.pdf

[34]. NFPA 1600: 2007 Normas para desastres, gestin de emergencias y de continuidad de negocio.

[35]. Espieira, Sheldon y Asociados. Boletn de asesora gerencial. Desarrollo de un plan de contingencia. Tomada de: https://www.pwc.com/ve/es/asesoria-gerencial/boletin/assets/boletin-advisory-edicion-09-2008.pdf

[36]. NTC-5722:2009

[37]. ISO-IEC 27006 information Technology rerirements for bodies providing audit and certification of information security management systems.

[38]. Morales Yesenia Repositorio digital instituto politcnico nacional tomada de: http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/5394/TESIS%20MORALES%20BRACHO%20YESENIA%20LIZBETH.pdf?sequence=1

[39]. Banesco Banco Universal tomada de: http://banesco-prod-cdn.s3.amazonaws.com/wpcontent/uploads/2012/03/informe_segundo_semestre_2008_espanol61.pdf

[40]. The Grill: Citigroup Green IT director Michelle Erickson tomada de: http://www.computerworld.com/s/article/331868/Michelle_Erickson

[41].Bouygues Construction Microsoft xito tomada de: https://www.microsoft.com/spain/virtualizacion/casestudies/business-continuity/default.mspx

[42]. CNN expansin banco de Mxico tomada de: http://www.cnnexpansion.com/economia/2008/07/30/banco-de-mexico-espera-inflacion-de-6

[43]. Grupo financiero Banorte tomada de: http://www.banorte.com/pv_obj_cache/pv_obj_id_849C1EAE756F214588ECF68DAAE266E6A1B70200/filename/Reporte_Anual_GFNorte_2006_CNBV.pdf

[44]. Lafaya, Y. (2005), COMPAREX Casos de xito, Disponible en:Http://www.comparex.es/download/CASO_DE_EXITO_WINDSOR_CPX.pdf, consultado el 26 de febrero

[45]. Wal-Mart store Inc. convirtindose en la empresa ms grande del mundo tomada de: http://biblio3.url.edu.gt/Publi/Libros/ADMestrategicaypolitica/22-09.pdf

8. GLOSARIO

BS 25999:2006 (British Standard en ingls) primera norma britnica para la gestin de continuidad de negocio. Desarrollada por un amplio grupo de expertos representativos de sectores de la industria y la administracin. Proporciona la base para comprender, desarrollar e implantar la continuidad de negocio en una organizacin. Est previsto que se convierta en ISO 22301. Comprende dos partes Parte 1: Cdigo de buenas prcticas y recomendaciones para Gestin de Continuidad de Negocio (parte que sustituye al PAS 56). Parte 2: publicada el 20 de Noviembre de 2007, como norma certificable establece los requisitos para implementar un Sistema de Gestin de Continuidad de Negocio. ISO/IEC 27002:2005 cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin. Es la antigua ISO 17799 y comprende un apartado dedicado especialmente a la continuidad de negocio. PAS 77:2006 (Publicly Available Specification en ingls) gua de buenas prcticas de la continuidad de los servicios de tecnologas de la informacin (TI) emitida por British Standards Institute (BSI). En esta norma se establecen los principios y tcnicas recomendadas para la Gestin de la continuidad de los servicios tecnolgicos. ISO/IEC 20000 gestin de los servicios relacionados con las tecnologas de la informacin. Amenaza: eventos que, aprovechando una vulnerabilidad, pueden desencadenar un incidente en la empresa, produciendo daos materiales o prdidas inmateriales en sus activos. Dentro de eventos se consideran tanto acciones, como interrupciones o falta de accin. Anlisis de Impacto en el Negocio o Business Impact Analysis (BIA por sus siglas en ingls): proceso de anlisis de las actividades de negocio y las consecuencias que una interrupcin sobre las mismas puede provocar en la organizacin. Anlisis de Riesgos: proceso de identificacin, anlisis y evaluacin de riesgos. EAR/PILAR: herramienta de anlisis de riesgos que implementa la metodologa Magerit, desarrollada por el Centro Criptolgico Nacional (CCN www.ccn-cert.cni.es) y de amplia utilizacin en la administracin pblica espaola. Impacto: consecuencia evaluada de una interrupcin. Incidente: cualquier evento que no forma parte de la operacin estndar de un servicio y que causa, o puede causar una interrupcin o una reduccin de la calidad de ese servicio. ISO: Organizacin Internacional para la Estandarizacin (www.iso.or), es el encargado de promover el desarrollo de las normas internacionales industriales y comerciales conocidas como normas ISO. Magerit: metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica (disponible en http://www. csi.map.es/csi/pg5m20.htm). OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, por sus siglas en ingls): es un conjunto de herramientas, tcnicas y mtodos (desarrollados por el CERT Coordination Center del Software Engineering Institute de la Universidad Carnegie Mellon de Pensilvania, Estados Unidos) empleados para el anlisis de riesgos tecnolgicos (disponible en http://www.cert.org/octave/.) Plan de continuidad de Negocio (PCN) o Business Continuity Plan (BCP por sus siglas en ingls) es un conjunto de directrices, criterios, normas de actuacin y herramientas organizativas que, ante la ocurrencia de una contingencia que provocase la interrupcin de alguna o todas las reas de negocio de una organizacin, permiten la recuperacin de la operatividad de las mismas en el menor tiempo posible, de modo que las prdidas econmicas ocasionadas sean mnimas. Plan de recuperacin ante desastres (PRD) o Disaster Recovery Plan (DRP por sus siglas en ingls): constituye una parte del Plan de Continuidad de Negocio en aquellas compaas que dispongan de infraestructura tecnolgica para soportar sus operaciones y, de forma anloga al Plan de Continuidad de Negocio, consta de todas las prcticas necesarias que, en caso de desastre, permiten recuperar en el menor tiempo posible el entorno tecnolgico (sistemas, aplicaciones e infraestructuras) que soporta las actividades de una organizacin. P unto de Recuperacin Objetivo RPO (Recovery Point Objective por sus siglas en ingls): cantidad de informacin que la organizacin puede llegar a perder como consecuencia de un desastre. Marca desde un punto de vista tecnolgico la estrategia de realizacin de copias de seguridad de la informacin. Riesgo: probabilidad de que una amenaza aproveche y explote una debilidad asociada a un proceso/activo/recurso provocando dao sobre el mismo. Tiempo de Recuperacin Objetivo - RTO (Recovery Time Objective por sus siglas en ingls): variable temporal dentro de la cual una actividad de negocio debe ser recuperada despus de un desastre. Tiempo Mximo Permitido de Recuperacin MTD (Maximum Tolerable Down time por sus siglas en ingls): periodo de tiempo (medido en segundos, minutos, horas o incluso meses en funcin de la actividad) asociado a la paralizacin de una actividad que, una vez superado, la viabilidad de la organizacin se ver amenazada irrevocablemente. Vulnerabilidad: debilidad o falta de control asociada a un proceso o recurso que puede ser explotada provocando un dao sobre dicho proceso. Un ejemplo de vulnerabilidad es el hecho de que una organizacin no disponga de medidas fsicas que impidan el acceso a sus instalaciones a personal no autorizado.