Sie sind auf Seite 1von 108

The Business Continuity Institute

Gua de buenas prcticas 2010


Edicin Global

Una gua de gestin para la Implementacin de


Buenas Prcticas en la Gestin de la Continuidad del Negocio
Versin al espaol realizada por
Con el apoyo de

Copyright the Business Continuity Institute.


Cualquier reproduccin o distribucin de la Gua de Buenas Prcticas est prohibida sin el permiso expreso y por escrito de the Business Continuity Institute. Todo el contenido, a menos que
se indique lo contrario es de the Business Continuity Institute. Todas las referencias a la Gua de Buenas Prcticas deben acreditar the Business Continuity Institute.

Contenidos

Contenido
Agradecimientos..................................................................................................................................................................................................................................... 1
Calificaciones Profesionales del BCI............................................................................................................................................................................. 1
Introduccin a la Gua.....................................................................................................................................................................................................................2

Que es la Gestin de Continuidad del Negocio?


Porque tenemos la Gua de Buenas Prcticas GBP?......................................................................................................................

GCN Tendencias y Observaciones................................................................................................................................................................................. 4


No es slo para incidentes fsicos de gran impacto y baja probabilidad
Diversos orgenes de prctica
Que habilidades requiere el profesional de GCN?
GCN: Integrada o Centralizada?
Un gestor dedicado a la GCN no es el nico modelo

La GCN en Contexto........................................................................................................................................................................................................................5
La GCN no es . . .
La GCN es . . .
La GCN y la Resiliencia del Negocio
La GCN y la Gestin de Riesgos
La GCN y la Gestin de Crisis

La GCN, Estndares y Cumplimiento.......................................................................................................................................................................... 7


Qu ha cambiado desde la versin inicial?

Quin debe leer esta Gua?..................................................................................................................................................................................................... 8


Orgenes de la Gestin de Continuidad del Negocio........................................................................................................................... 9
Glosario de Trminos..................................................................................................................................................................................................................... 11
Gua de Buenas Prcticas 2010....................................................................................................................................................................................... 16

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [I]

Contenidos

GCN Gestin de las Prcticas Profesionales


01 Poltica y Gestin del Programa
Ciclo de Vida GCN........................................................................................................................................................................................................................... 20
Visin de la Gestin de la Poltica y el Programa................................................................................................................................... 21
Alineacin de la Poltica de la GCN a la Cultura Organizacional................................................................................................................. 22
Alcance del programa de la GCN y determinacin de sus Alternativas................................................................................................. 23
Desarrollo de la Poltica de GCN............................................................................................................................................................................................ 26
Actividades Externalizadas.......................................................................................................................................................................................................... 27
Revisin del Programa de Gestin de la GCN.............................................................................................................................................................. 28
Asignacin de Responsabilidades........................................................................................................................................................................................... 29
Implementacin de la GCN en la Organizacin......................................................................................................................................................... 30
Gestin de Proyectos........................................................................................................................................................................................................................ 31
Gestin en Curso de la Continuidad del Negocio..................................................................................................................................................... 32
Documentacin de la GCN......................................................................................................................................................................................................... 33

02 Integrar la Gestin de la Continuidad del Negocio en la Cultura


Organizacional
Integrar la GCN en la Cultura de la Organizacin................................................................................................................................. 37
Visin de la Integracin de la GCN en la cultura de la Organizacin.......................................................................................................40
Desarrollo de la GCN dentro de la Cultura de la Organizacin..................................................................................................................... 42
Monitorizacin del Cambio Cultural...................................................................................................................................... 44
Logro del Cambio Cultural a travs de Sistemas de Gestin de Normas.............................................................................................. 45

[II] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Contenidos

GCN Tcnicas de las Prcticas Profesionales


03 Entendimiento de la Organizacin
Entendimiento de la Organizacin.............................................................................................................................................................................47
Anlisis de Impacto en el Negocio........................................................................................................................................................................................48
Anlisis de Requerimientos de Continuidad.................................................................................................................................................................. 52
Evaluacin de Amenazas a travs del Anlisis de Riesgo.................................................................................................................................... 53

04 Determinar la Estrategia de Continuidad del Negocio


Determinar la Estrategia de Continuidad del Negocio................................................................................................................... 57
Identificacin y Seleccin de Estrategias......................................................................................................................................................................... 58
Identificacin y Seleccin de Respuestas Tcticas....................................................................................................................................................61
Consolidacin de Niveles de Recursos...............................................................................................................................................................................64

05 Desarrollar e Implementar una Respuesta de la GCN


Desarrollar e Implementar una Respuesta de la GCN.....................................................................................................................67
Estructura de Respuesta ante un Incidente................................................................................................................................................................... 69
Desarrollo y Gestin de Planes................................................................................................................................................................................................. 71
Planes Estratgicos............................................................................................................................................................................................................................ 76
Planes Tcticos....................................................................................................................................................................................................................................... 78
Planes Operativos............................................................................................................................................................................................................................... 79

06 Ejercitar, Mantener y Revisar la GCN


Ejercitar, Mantener y Revisar la GCN..................................................................................................................................................................... 83
Desarrollar un programa de Ejercicios...............................................................................................................................................................................84
Ejercitar las actividades de la GCN....................................................................................................................................................................................... 87
Mantenimiento de los Planes de la GCN......................................................................................................................................................................... 89
Revisin y Auditora de los Planes de la GCN.............................................................................................................................................................. 90

Informacin de Apoyo
ANEXO 1........................................................................................................................................................................................................................................................95
Consejos para la seleccin adecuada de Opciones Tcticas de Recuperacin

ANEXO 2.................................................................................................................................................................................................................................................... 101


Consejos para la Seleccin de Medidas Alternas para la Mitigacin de Riesgos

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [III]

Agradecimientos
Estas guas reflejan la considerable experiencia acadmica, tcnica y prctica de los integrantes
del Business Continuity Institute - practicantes senior quienes han desarrollado y estructurado el
concepto de la Continuidad del Negocio internacionalmente.
Las Guas de Buenas Prcticas (GBP) 2010 estn encaminadas para ser utilizadas por practicantes,
consultores, auditores y reguladores que posean un conocimiento racional sobre la Gestin de
la Continuidad del Negocio GCN y sus principios bsicos. Las guas no pretenden servir como
gua de principiantes; sin embargo, proveen material excelente para quienes desean convertirse
en practicantes certificados en GCN por medio del modelo de examen CBCI. Quien ingresa a la
disciplina debe tambin trabajar junto con un practicante experto o atender un programa adecuado
de capacitacin.
El trabajo en la GBP 2010 se inici en febrero de 2009 con la conformacin de un equipo de
trabajo y el encuentro de lderes de grupos individuales. Los borradores iniciales se produjeron en
Septiembre de 2009 con revisiones entre los colegas, amplia consulta y evaluaciones durante los
meses de Octubre y Noviembre. Las versiones finales consolidadas fueron acordadas por el Editor
en Jefe durante Diciembre de 2009 y enviadas para su revisin y aprobacin por el Grupo de Anlisis
de Calidad del Concejo de Miembros del BCI en Enero de 2010. La planificacin del diseo final del
trabajo, su publicacin y lanzamiento tuvo lugar durante los meses de Febrero y Marzo de 2010.
El equipo del proyecto estuvo integrado por:
Editor en Jefe: Lyndon Bird FBCI
Revisores jefes: Ian Charters FBCI, Mel Gosling MBCI
Lder del Equipo de Aseguramiento de Calidad: Lesley Grimes MBCI
Secretara del Comit: Jan Gilbert
Soporte Editorial: Lee Glendon
Soporte al Glosario: Mark Pemberty FBCI
Lderes del Grupo de Prctica: Ian Charters FBCI, Steven Cvetkovic SBCI, Mel Gosling MBCI,
Angela Hobley MBCI, Odile Nectoux AMBCI, Anton Wroblewski MBCI.
Adicional a los anteriores, el siguiente equipo de miembros del BCI y su grupo de trabajo,
aportaron su tiempo y rigor intelectual para dirigir revisiones exhaustivas, sugerir mejoras
y realizar pruebas de lectura. Sin su apoyo habramos tenido un documento mucho menos
comprensible.
Howard Booth MBCI, Stacey Farrow MBCI, Debbie Featherstone AMBCI, Achilles
Figueiredo AMBCI, Ulysses Figueiredo MBCI, Ian Griffiths MBCI, Nic Handy MBCI, Gayle
Hedgecock MBCI, Mike Hill FBCI, Doug Kettle MBCI, Penny Killow MBCI, David Lightfoot
MBCI, Jorge Lozano MBCI, James McAlister MBCI, Charlie Maclean-Bristol MBCI, Dominic
Marino AMBCI, Margaret Millet MBCI, Sarah Morgan MBCI, Norman Powell MBCI, MarieHlne Primeau MBCI, Clifford Seow MBCI, Brigitte Theuma MBCI, Pauline Wilson MBCI
y John Worthington MBCI.
El Business Continuity Institute agradece el tiempo y experiencia otorgados de manera
voluntaria por todas las personas relacionadas anteriormente para el desarrollo de las Guas de
Buenas Prcticas para el beneficio del BCI y de la industria de la continuidad del negocio. Todos
quienes contribuyeron al desarrollo de las Guas han acordado que no tienen derechos de autor
o derechos sobre IP para el material, el cual queda como propiedad del Business Continuity
Institute. El diagrama del Ciclo de Vida de la GCN y algunos trminos del glosario se utilizan
agradeciendo al British Standards Institute.

Calificaciones Profesionales del Bci


Aquellos individuos que deseen convertirse en profesionales miembros del BCI, requieren
demostrar competencias en las seis prcticas profesionales. El examen CBCI probar el
conocimiento en la materia de las GBP 2010, a lo largo de las seis reas. Las preguntas se basan
en el contenido de la gua. Los candidatos que tengan xito sern acreditados con la aprobacin o
aprobacin con merito.
Para quienes desean avanzar a niveles profesionales de prctica (AMBCI, SBCI, MBCI O FBCI),
tambin debern demostrar experiencia probada a travs de las prcticas profesionales. El
detalle sobre las necesidades para acreditar experiencia est disponible en www.thebci.org.
Lyndon Bird FBCI
Editor en Jefe
Director Tcnico Internacional
The Business Continuity Institute

Revisada por: Joanne Gagnon AMBCI, Sandra Garcs MBCI, Marcelo Barrera MBCI, Manuel Casas CBCP
Carlos J. Diaz AMBCI.
Realizada por Fundacin Colombian Projects for Life, con el apoyo de: ALCONT Asociacin
Latinoamrica de Continuidad
[1] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

iStockphotos.com/lorrainedarke

The Business Continuity Institute 2010


Traduccin al espaol realizada por: Carlos Vargas CBCP

Introduccin a la Gua
Esta introduccin establece el contexto para la lectura de la Gua Global BCI de
Buenas Prcticas 2010. La prctica profesional de la Gestin de la Continuidad
del Negocio ha cambiado considerablemente desde la creacin del BCI en
1994 y continuar desarrollndose en tanto que su aplicacin y valor sean
reconocidos por una audiencia ms amplia.
El momento de la publicacin de esta Gua nos da una pausa para reflexionar:
estamos experimentando la primera pandemia mundial de gripe del siglo
XXI. Tambin estamos experimentando una crisis econmica global sin
antecedentes en la memoria de la mayora de las personas en este planeta
y estamos llegando a acuerdos de que tenemos nuevas amenazas globales
que incluyen la seguridad energtica, la migracin masiva, la delincuencia
ciberntica y el cambio climtico.
En este contexto de incertidumbre, resulta alentador que la disciplina de GCN
haya demostrado ser capaz de evolucionar, pero an sigue siendo relevante de
cara a estos grandes cambios empresariales y sociales.

BCI Good Practice Guidelines 2010 | GLOBAL EDITION [2]

Introduccin

Qu es la Gestin de la Continuidad del Negocio?


La definicin utilizada en anteriores ediciones de la GBP no ha cambiado y es consistente con la
Norma Britnica BS25999.
La Gestin de la Continuidad del Negocio (GCN) es un proceso holstico que identifica las
amenazas potenciales a una organizacin y los impactos a las operaciones del negocio que
esas amenazas, podran causar si se llegaran a materializar. Proporciona un marco de referencia
para construir la resiliencia organizacional con la capacidad para una respuesta efectiva que
salvaguarde los intereses de las partes interesadas, la reputacin, la marca y las actividades
creadoras de valor.

Por qu tenemos la Gua de Buenas Prcticas GBP?


El valor de la Gua de Buenas Prcticas GBP para los profesionales es que considera no
slo el qu sino tambin el por qu y el cmo, basado en experiencias mundiales
reales de los profesionales de la GCN. La Gua de Buenas Prcticas GBP tambin tiene
la flexibilidad suficiente para identificar tendencias futuras, retos y problemas que los
profesionales todava estn debatiendo.
La Gua de Buenas Prcticas GBP provee una lnea de base y un lenguaje comn para
ayudar a la profesin de la GCN y al desarrollo individual de sus practicantes. Es la base
para el examen de acceso al BCI, y aunque no es la nica publicacin sobre todos los
aspectos relativos a la GCN, proporciona un punto de referencia para las organizaciones
acadmicas y comerciales de la GCN para utilizarla.

La Gestin de Continuidad del Negocio (GCN) es un proceso holstico que identifica


las amenazas potenciales a una organizacin y los impactos a las operaciones
del negocio que esas amenazas, podran causar si se llegaran a materializar.
Proporciona un marco de referencia para construir la resiliencia organizacional con
la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes

[3] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

iStockphotos.com/lorrainedarke

interesadas, la reputacin, la marca y las actividades creadoras de valor.

Introduccin

Gcn Tendencias y Observaciones


No es slo para incidentes fsicos de gran impacto y baja probabilidad
La GCN ya no slo trata sobre cmo gestionar incidentes de gran impacto y baja probabilidad.
Se est convirtiendo en un facilitador esencial de la resiliencia organizacional como parte de
la operacin normal, gracias principalmente a su enfoque en la identificacin y proteccin
de las fuentes de valor dentro de la organizacin. La metodologa tambin est comenzando a
aplicarse para hacer frente a incidentes no fsicos.

Diversos orgenes de prctica


Con mayor conciencia y la adopcin de las prcticas de la GCN alrededor del mundo, la
diversidad de la experiencia de los practicantes se multiplica. Mientras los profesionales
veteranos pueden compartir experiencias en la Tecnologa de la Informacin TI, las fuerzas
armadas, los servicios de emergencia, los nuevos practicantes vienen de empresas de
consultora, aseguramiento de la informacin, riesgo y seguros, cumplimiento y calidad.
Adems con la GCN convertida en un nuevo tema acadmico, estamos empezando a ver el
nivel de crecimiento en la profesin y se espera que esta tendencia aumente en el futuro.

Qu habilidades requiere el profesional de GCN?


El practicante de GCN necesita demostrar buena capacidad de anlisis, slidas habilidades en
planificacin y Gestin de proyectos, habilidades para comunicar e influenciar efectivamente
y entender tcnicas para la valoracin de inversiones. Junto con un amplio entendimiento
funcional de las organizaciones, es esencial para un profesional de la GCN entender el
lenguaje, el modelo de operacin y los procesos de la organizacin donde se aplicar la GCN.

GCN: Integrada o Centralizada?


Durante las primeras fases de la implementacin de la GCN en la organizacin, habr de ser
necesario para los profesionales especialistas en GCN, administrar proyectos, coordinar el
desarrollo de planes, organizar ejercicios y pruebas y validar la capacidad de la GCN.
En una organizacin mucho ms madura en la que estas tcnicas ya estn integradas en los
niveles funcionales, el rol del gestor de la GCN ser el de responsabilizarse de las polticas,
gobierno y actividades de aseguramiento de la calidad, posiblemente reportando a la
jefatura de Gestin de riesgos, auditoria, cumplimiento o a la Direccin General.

Un gestor dedicado a la GCN no es el nico modelo


Por naturaleza, la Gestin de la Continuidad del Negocio GCN es un proceso funcional
y transversal en las organizaciones. Inicialmente, el gestor de la GCN tiene el rol
de facilitador y administrador del programa de la GCN. Los planes para asegurar la
continuidad del negocio son propiedad de las reas de la organizacin que requieren
proteger sus actividades claves generadoras de valor o los activos. El costo del desarrollo y
mantenimiento de los niveles adecuados de preparacin necesitan provenir de estas reas.
Quienes se encuentran involucrados en el proceso de GCN, diferirn de una organizacin
a otra, reflejando su propio modelo organizacional y de negocio. Por ejemplo, las compras
son cada vez ms importantes en los programas de GCN debido a que las cadenas de
suministro se han extendido y se ha incrementado el uso de los servicios de externalizacin
y descentralizacin.
En organizaciones ms pequeas, la GCN es vista como un anexo a una multitud de
disciplinas que incluyen Salud y Seguridad, Seguridad y Tecnologa. Sin embargo, se necesita
reconocer que el enfoque de la GCN se enlaza a un incidente o tipo de evento especfico y

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [4]

Introduccin

no sugiere un enfoque total de la GCN en la organizacin. Tambin es difcil para el profesional


de la GCN que est inmerso dentro de una nica funcin influir ms all con esta funcin. Sin
embargo, para ser eficaz la GCN debe reconocerse por la Alta Direccin como una disciplina del
negocio, adueada por el negocio, coordinada y facilitada de manera centralizada.
La GCN debe iniciarse desde la Direccin por la razn esencial de que la GCN es acerca de lo
ms importante y abarca las actividades sensibles al tiempo. Realizar, por ejemplo, un Anlisis
de Impacto sobre el Negocio (AIN) de abajo hacia arriba, puede entregar un cuadro general
distorsionado y desbalanceado de qu y quin es crtico...

La GCN en Contexto
La GCN no es . . .
La GCN no se trata de todo. Este enfoque demuestra falta de claridad de pensamiento.
La GCN es una herramienta que ayuda a mejorar el desempeo de las organizaciones.
Debemos evitar que se convierta en un ejercicio corporativo ms por chequear. Podemos
ayudarnos al respecto asegurando la aplicacin rigurosa de la GCN para proteger el valor de
una organizacin, pero utilizar nuestras habilidades y tcnicas para enfocarlo en aquello que
es importante y urgente. Un ejemplo es la Cadena de Suministro: No es necesario exigir a
todos los proveedores un programa de la continuidad del negocio como parte del proceso de
suministros: es mejor ir con ms detalle con aquellos que han sido definidos como crticos en el
Anlisis de Impacto sobre el Negocio en lugar de gastar la misma cantidad de tiempo (y tiempo
de los proveedores) de manera indiscriminada.

La GCN es
La GCN y la Resiliencia del Negocio

La Gestin de la Continuidad del Negocio GCN, como una disciplina recin llegada al mundo
de los negocios, claramente no existe desde el principio y, naturalmente, las organizaciones
buscan entender en qu parte su aplicacin generar valor y cmo se integra con otras
actividades que estn soportando los mismos objetivos organizacionales. Tambin tenemos que
reconocer que las organizaciones no estn arrancando de una hoja en blanco: algunos aspectos
de la GCN siempre han estado presentes en las organizaciones, con diferentes nombres.
Las vulnerabilidades en el negocio y en el modelo de operacin de una organizacin pueden
considerarse en siete reas: reputacin, cadena de suministro, informacin y comunicaciones,
sedes e instalaciones, personas, finanzas y clientes. El uso de este modelo sencillo demuestra
a la alta direccin el valor y la naturaleza integradora holstica de la GCN de manera
interfuncional y transversal en la organizacin.
La aplicacin exitosa del Programa de la Gestin de la Continuidad del Negocio GCN
incrementa la resiliencia de la organizacin lo cual contribuye a mejorar su desempeo
corporativo. La resiliencia est ampliamente definida como la capacidad de una organizacin
para absorber, responder y recuperarse de interrupciones. La GCN proporciona de una
forma nica el marco de referencia para entender cmo se genera y mantiene la creacin
de valor dentro de la organizacin y establece una relacin directa con las dependencias o
vulnerabilidades inherentes a la entrega de ese valor.
La resiliencia no se trata fundamentalmente sobre cmo detener o prevenir en primera
instancia la ocurrencia de una interrupcin. La dependencia en la gestin de riesgos o de
seguridad para brindar proteccin integral, inevitablemente generar desconfianza, porque
la mayora de incidentes de la Continuidad del Negocio, por naturaleza, son en gran medida
impredecibles.

[5] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Introduccin

La GCN y la Gestin de Riesgos


En la sala de juntas, la GCN es un elemento contributivo clave para un gobierno corporativo
efectivo. Usualmente est posicionada bajo la Gestin de Riesgos y permite a las partes
interesadas investigar sobre aspectos como:
El modelo corporativo y del negocio de la compaa
Los productos y servicios claves generadores de valor
Dependencias claves, activos y procesos crticos
Cmo la organizacin responder a una prdida o a las amenazas que las genera
Qu tipo de amenazas existen hoy y estarn presentes en el futuro
Evidencia de que los planes de continuidad, funcionarn en la prctica
La Gestin de Riesgos Empresarial en la actualidad es otra disciplina firmemente integrada como
disciplina estratgica en muchas organizaciones grandes. Mientras que la GCN ha evolucionado
a partir del mundo de la Tecnologa y de la recuperacin ante desastres, la Gestin de Riesgos
Empresariales (GRE), ha evolucionado a partir del mundo de los seguros. La metodologa
de la GCN se desarroll en un tiempo en el que la GRE an estaba en su perodo de infancia
y entonces fue necesario incorporar el Anlisis de Riesgos a la metodologa de GCN. En el
mundo actual ms desarrollado de GRE, la Gestin de la Continuidad del Negocio GCN ha sido
errneamente vista por algunos como un tratamiento de los riesgos para todos los eventos de
riesgo operativo, en su mayora de carcter fsico, y caracterizados normalmente como de alto
impacto, baja frecuencia
La GCN no est tampoco para identificar, analizar y reportar todos los riesgos concebibles a
una organizacin, su mercado, clientes, y el amplio mundo en el que opera, ni tampoco para
calcular las probabilidades de ocurrencia de eventos. Es importante notar que la GCN se enfoca
en identificar vulnerabilidades en las organizaciones, especialmente aquellas ligadas al valor
subyacente que soportan y entienden el impacto de su no disponibilidad en el tiempo en la
organizacin.
La Gua de Buenas Prcticas es ambivalente frente a la presencia o ausencia de un sistema de
Gestin de Riesgos en una organizacin. Desde la perspectiva de la GCN, es importante hacer
nfasis en que si un producto o servicio ha sido identificado como crtico en el tiempo, entonces
la respuesta de la GCN es esencial y cualquier otro tratamiento sera ilusorio en su eficacia.

La GCN y la Gestin de Crisis


La metodologa de la GCN est fuertemente ligada con la Gestin de Crisis a travs del
componente Gestin del Incidente. En el contexto de la GCN, los incidentes vienen en
diferentes formas y tamaos e invocarn el plan GCN. Sin embargo, muy pocos incidentes son
designados como crisis. La Gestin de Crisis est vista como el dominio del profesional de
las relaciones pblicas y de las comunicaciones y con el
profesional de la GCN en el rol de apoyo, si est involucrado de alguna manera. La Gestin de
Crisis est vista tambin como la respuesta a eventos tanto fsicos como no fsicos y a diversos
tipos de incidentes como financieros y de daos a la reputacin de la marca.
El vnculo entre la Gestin de Crisis y la de Incidentes, es que la GCN considera cualquier
interrupcin de manera holstica y determina cmo la organizacin responder a la
interrupcin, contina sus actividades y se recupera. Los profesionales de la GCN consideran
que la respuesta a los medios en un incidente o crisis es parte integral de un Programa
completo de la Continuidad del Negocio.
El Plan de Emergencias tambin es relativo a la Gestin de Incidentes. Aqu la diferencia radica
en que el Plan de Emergencias, normalmente es visto como el dominio de los Servicios de
Autoridades locales como polica, bomberos, ambulancias y autoridades locales, ms que el
plan para las organizaciones en general donde el equipo de incidentes podra coordinar con los
equipos de respuesta a la emergencia.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [6]

Introduccin

La GCN, Estndares y Cumplimiento


Desde que fue lanzado el concepto original de la Gua de Buenas Prcticas, una buena
cantidad de estndares nacionales e internacionales han intentado codificar la GCN en la
estructura de la Arquitectura de los Sistemas Estndar de Gestin. La ms extendida hasta
el momento ha sido la norma BS25999 de la British Standards Institute, aunque han surgido
otras (o estn en su etapa final de desarrollo) en los Estados Unidos, Singapur, Australia y
Canad.
Al momento de la redaccin de estas guas, est en desarrollo un nuevo estndar
internacional para la GCN, el ISO22301; tambin se est desarrollando el ISO22399 como
cdigo de prctica, de manera que es difcil saber exactamente cmo se podrn consolidar
todos. La Gua de Buenas Prcticas no pretende competir con los estndares ISO u otros
estndares nacionales. Desde la perspectiva del BCI, es evidente que cualquier estndar
certificable requiere personal competente y experto para disear, implementar y asegurar
el trabajo. Esta Gua de Buenas Prcticas GBP establece las competencias individuales
especficas que son esenciales en la implementacin de un cdigo de prcticas GCN o un
esquema de certificacin para la organizacin.
El BCI siente que la adopcin de la GCN debe estar guiada por la necesidad de altos
niveles de resiliencia en la organizacin y su consecuente funcionamiento antes que por
reguladores y legisladores. Sin embargo, donde existe el cumplimiento de la regulacin para
la continuidad de las operaciones, la GCN es claramente una metodologa probada capaz de
demostrar tal cumplimiento.

Qu ha cambiado desde la versin inicial?


Los principales componentes permanecen iguales, pero algunos han sido refinados en el
lenguaje y se ha puesto ms nfasis en tendencias y aspectos globales. No existe ninguna
referencia cruzada con la BS25999 y no implica correlacin directa entre la GBP2010 y la
norma BS25999 ms all de lo expresado a alto nivel por el modelo del ciclo de vida.
La Gua de Buenas Prcticas GBP2010 todava abarca las seis fases del ciclo de vida de la
GCN pero ahora los interrelaciona ms directamente a lo que se ha definido como Prcticas
Profesionales (PP). Las seis PPs estn subdivididas en dos Prcticas de Gestin y cuatro
Prcticas Tcnicas.
Prcticas de Gestin
Poltica y Gestin del Programa
Integracin de la GCN en la Cultura Organizacional
Prcticas Tcnicas
Entendimiento de la organizacin
Determinacin de la Estrategia GCN
Desarrollo e Implementacin de la Respuesta GCN
Ejercicios, Mantenimiento y Revisin

[7] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Introduccin

Quin debe leer esta Gua?


Esta gua no es slo para aquellos profesionales de GCN que estn buscando una
certificacin profesional. Como un cuerpo de conocimiento, la gua es utilizada como
gua para los cursos de formacin del BCI y sesiones informativas de capacitacin para
los compaeros que necesitan entender mejor la GCN. Dentro de estos compaeros se
pueden incluir desde los profesionales de relaciones pblicas, de Gestin de Crisis, hasta los
profesionales de las cadenas de suministros y personal de recursos humanos.
La GCN no est restringida a algn sector de la industria; de hecho, aplica para todas las
organizaciones codificadas en los cdigos de la Clasificacin Estndar Industrial para las
organizaciones representadas que se revela en todas las categoras de las organizaciones
integrantes del BCI. As mismo, la utilizacin del trmino negocio no significa que la
GCN slo se refiera a las organizaciones con enfoque comercial: el sector del gobierno
puede beneficiarse con la adopcin de las prcticas GCN, lo mismo que las organizaciones
voluntarias y sin nimo de lucro.

iStockphotos.com/lorrainedarke

Mientras la GCN puede demostrar su adopcin saludable en organizaciones de tamaos


mediano y grande, hay un gap reconocido para su adopcin en organizaciones pequeas. No
existe nada corporativo inherente a la GCN; sin embargo, el BCI reconoce que muy pocos
propietarios de negocios pequeos tienen tiempo y recursos suficientes para seguir la GBP
completamente, de tal manera que se han producido materiales alternativos simplificados
basados en la GBP para ayudarlos.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [8]

Introduccin

Orgenes de la Gestin de la Continuidad del Negocio


Los orgenes exactos de la Gestin de la Continuidad del Negocio GCN estn abiertos a varios
debates, pero ciertamente algunos aspectos de su historia estn completamente establecidos.
Los sitios comerciales para la Recuperacin ante Desastres iniciaron en los Estados Unidos al
final de la dcada de los aos 70 lo que inevitablemente cre la demanda de consultora por
parte de terceros. Inicialmente, el objetivo de la consultora fue el Procesamiento de Datos o
Management Information System MIS (luego conocida como IT/ITC) que por su naturaleza,
fue tcnica.
El tema comenz a conocerse como Disaster Recovery Planning (DRP).
Uno de los problemas que inicialmente enfrentaron los pioneros en este nuevo campo fue
la dificultad para convencer a la Alta Direccin sobre la justificacin para hacer inversiones
significativas en algo que probablemente nunca sucedera. Esto condujo al concepto de
Anlisis de Impacto en el Negocio AIN (Business Impact Analysis BIA) para aadir ms enfoque
del Negocio a los procesos.
Las metodologa iniciales para el AIN tuvieron lugar en los Estados Unidos a mediados de los
aos 80 y fueron rpidamente recogidas y tradas a Europa (especialmente al Reino Unido)
y Australia. Por tanto, es cierto que los modelos originales del AIN llevaron a sus primeras
aplicaciones en el amplio mundo de Continuidad del Negocio. Los primeros consultores que
desarrollaron exitosamente las metodologas comerciales para DRP provienen de los Estados
Unidos, pero estos mtodos fueron establecidos y mejorados rpidamente en Europa.
En este punto, es entonces donde radican las diferentes opiniones sobre cmo evolucion
gradualmente la GCN desde el DRP. La visin del BCI se basa en el conocimiento de muchos
profesionales a travs de su experiencia y memoria. No es necesario contar la historia
completa pero lo que s es seguro es que los profesionales activos y nuevos deben beneficiarse
de su conocimiento.
El primer uso conocido del trmino Continuidad de Negocio se hizo travs de Ron Ginn
(quien ms adelante se convirti en el primer presidente del BCI) en 1986, luego de sus
investigaciones en los Estados Unidos y de haber entrevistado a varios profesionales
destacados. Ron escribi un libro titulado Continuity Planning (Plan de Continuidad) que
postula una aplicacin de las herramientas del DRP en un amplio rango de riesgos del negocio
de riesgo y de interrupciones operativas potenciales.
Una organizacin del Reino Unido llamada Survive comenz en 1986 a atender las
necesidades en un foro en el cual las personas encargadas de la Recuperacin ante Desastres
podan compartir su experiencia y conocimiento. Esta organizacin ms tarde se convirti en
proveedora de formacin, eventos y publicaciones, pero su visin inicial de grupo integrador
de redes, fue exitosa. Se establecieron grupos similares en varios pases especialmente de
habla inglesa. Cuando Survive en 1991 decidi dejar las referencias del DRP y renombrarse
The Business Continuity User Group, sto tuvo un impacto significativo en el cambio de la
percepcin que externamente se tena sobre el tema.
Al mismo tiempo, dos de las ms grandes compaas norteamericanas de Recuperacin de
Desastres tambin cambiaron su estrategia con la visin de Continuidad como un mensaje
ms clido y optimista que Recuperacin. Desafortunadamente, se sugiri de manera
errnea que la GCN era otra forma de nombrar DR y posiblemente ello obstaculiz su
crecimiento como una nueva disciplina especialmente en Norteamrica.
Otro desarrollo clave fue el lanzamiento del British Standard for Information Security el
cual, rpidamente se convirti en el estndar ISO17799. Este estndar incluyo en sus captulos
principales la necesidad de la Gestin de la Continuidad del Negocio lo cual se defina en

[9] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Introduccin

trminos de Disponibilidad de Informacin. Esto gener ms confusin en el debate y su


resultado fue que los profesionales reclamaron que la GCN fuera simplemente un subtema
de la Seguridad de la Informacin. Este punto de vista se sostuvo bastante en aquellos pases
en los que la GCN no se haba comenzado a estabilizar en esta etapa, ms obviamente en el
centro y el norte de Europa.
En 1993 Survive configur un grupo de trabajo para estudiar y certificar profesionales
en la continuidad del negocio. Se percibi la necesidad de distinguir entre profesionales
especializados y consultores generales, usualmente con formacin en IT. En los Estados Unidos
por las mismas fechas tuvieron lugar debates similares que condujeron a la formacin del
Disaster Recovery Institute.
El BCI fue fundado en 1994 como resultado directo de las recomendaciones de un grupo
de trabajo de Survive. Durante el desarrollo y lanzamiento del BCI, fue necesario definir
el conjunto de habilidades para medir y juzgar la capacidad de aquellos quienes solicitaron
reconocimiento o calificacin. Originalmente se propuso que deban ser 13 o 14 habilidades,
pero con el tiempo se redujeron a 10 estndares de competencia. Estos estndares de
competencias profesionales fueron desarrollados y acordados mediante esfuerzos cooperados
con el Disaster Recovery Institute (hoy DRII) de Estados Unidos.
Hacia finales del siglo XX, surgi la idea de un enfoque holstico de extremo a extremo. Se
hizo obvio que exista la necesidad de proveer proteccin y resiliencia que abarcara a toda la
organizacin. A pesar del bombo desplegado por la molestia ocasionada por el cambio de
milenio, el trabajo internacional serio realizado por las mayores corporaciones, demostr un
alto nivel de dependencia en pocos proveedores y puntos nicos de falla. Se pens entonces
en encapsular la primera propuesta hecha aos atrs en el concepto de la Continuidad del
Negocio, pero se haba tomado ms de una dcada ganar una mayor escala de entendimiento.
Esto gener iniciativas tales como BS25999 y otros estndares nacionales de GCN viables que
podran estar basados en una solida estructura conceptual.
El Siglo XXI vio con determinacin codificar la Gestin de la Continuidad del Negocio y
clasificarla como parte de la familia de los estndares de Gestin de Sistemas siguiendo el
camino forjado por Calidad, Seguridad de la Informacin y Servicios Ambientales. Esto inicio
con un buen nmero de guas estndar como la PAS56 del Reino Unido, la NFPA 1600 de los
Estados Unidos y varios manuales de Australia y Asia. Los cuerpos regulatorios como el FSA
(Reino Unido), APRA (Australia) y la Reserva Federal (Estados Unidos) fueron tambin activos
en este campo, particularmente despus de la destruccin de las torres gemelas en Nueva
York. En el momento de la publicacin de este documento, existen estndares nacionales
formales en un buen nmero de pases y se espera un estndar ISO. Sin embargo, la entrega
del estndar ISO se ha atrasado debido al deseo de algunos pases de extender el tema e incluir
la Seguridad y la Gestin de Emergencias y de cambiar el nombre de la disciplina a Resiliencia
Operativa. En general, el BCI no est a favor de la dilucin de la esencia de la disciplina de
la GCN, pero apoya la bien intencionada aspiracin que estas disciplinas deben estar mejor
alineadas

El Siglo XXI vi con determinacin codificar la Gestin de Continuidad del


Negocio y clasificarla como parte de la familia de los estndares de Gestin de
Sistemas siguiendo el camino forjado por Calidad, Seguridad de la Informacin
y Servicios Ambientales.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [10]

Introduccin

Glosario de Trminos
Es reconocida la existencia de muchos trminos y definiciones alrededor del mundo que se
relacionan con la GCN o los temas sinrgicos como Gestin de Riesgos y Planificacin de
Emergencia. Sera imposible incluirlos a todos en un glosario pero el BCI intenta mantener
actualizado tanto como sea posible el directorio de tales trminos y sus fuentes, que se
pueden encontrar en www.thebci.org
Los trminos de este glosario se aplican nicamente al contexto en el que son utilizados en
la GBP2010.
Para el propsito de la GBP2010, aplican las siguientes definiciones:
Abreviado

GCN

AIN

[11] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Trmino

Definicin

Aceptacin del Riesgo

Decisin Administrativa para no tomar ninguna


accin de mitigacin del impacto de un riesgo en
particular.

Actividad

Proceso o conjunto de procesos realizados por una


organizacin (o en su nombre) que produce o apoya
uno o ms productos o servicios

Actividad Urgente

Trmino utilizado para cubrir actividades de apoyo


de productos y servicios que necesitan hacerse en
una escala de tiempo muy corta. Otros trminos
como Inmediato o Tiempo Crtico pueden tambin
utilizarse, pero slo Crtico implica actividades
menos urgentes que tambin son menos
importantes.

Activo

Cualquier elemento que tiene valor para la


organizacin.

Gestin de la Continuidad
del Negocio

Proceso holstico de gestin que identifica amenazas


potenciales a la organizacin y los impactos a las
operaciones del negocio que tales amenazas puedan
causar en caso de materializarse y proporciona la
estructura para construir resiliencia organizacional
con capacidad para dar respuesta efectiva protegiendo
los intereses de las partes interesadas, el valor de la
marca, la reputacin y las actividades creadoras de
valor.

Alta Direccin

Persona o grupo de personas que dirigen y


controlan una organizacin a alto nivel. En grandes
organizaciones, se le conoce como La Junta
Directiva, Directores, Ejecutivos o Altos directivos.
En organizaciones pequeas, la Alta Direccin puede
ser los propietarios o un solo propietario.

Amenaza

Causa potencial de un incidente no deseado que


puede resultar en daos a individuos, activos, a un
sistema u organizacin, el ambiente o la comunidad.
Algunas amenazas como el mal tiempo se les conoce
como Peligros.

Anlisis de Impacto en el
negocio

Proceso de analizar las funciones del negocio y el


efecto que una interrupcin del negocio pudiera
causar sobre ellas.

Introduccin

Abreviado

Trmino

Definicin

ARC

Anlisis de Requerimientos
de Continuidad

Proceso de recopilar informacin en la fuente para


reanudar y continuar las actividades del negocio a
un nivel requerido para apoyar las obligaciones y
objetivos de la organizacin.

AR

Anlisis de Riesgos

Proceso formal pero bastante subjetivo de


identificacin, anlisis y evaluacin de riesgos.

Auditor

Persona con la competencia suficiente para


conducir una auditora. Para una auditora de la
GCN, normalmente se requiere una persona con las
calificaciones formales de la auditora de la GCN.

Auditora

Proceso sistemtico, independiente y documentado


para obtener evidencia auditable y evaluarla
objetivamente para determinar el grado en que se
cumplen los criterios de auditora. Los primeros
equipos de auditora son gestionados por la
misma organizacin para revisar la Gestin y otros
propsitos internos y pueden formar la base para
la declaratoria de conformidad de la organizacin.
Los segundos equipos de auditora son gestionados
por entidades que tienen inters en la organizacin
como los clientes u otras personas o entidades en
su nombre. Los terceros equipos de auditora son
gestionados por organizaciones auditoras externas
como las que proporcionan certificaciones o
conformidades a una norma

Auditora Interna

Ver Auditora y en particular los primeros Equipos


de Auditora.

Cadena de Suministro

Proceso articulado que inicia con la adquisicin


de materias primas y se extiende a travs de la
entrega del producto o servicio hasta el usuario
final a lo largo de diferentes modos de transporte.
La cadena de suministro puede incluir proveedores,
vendedores, plantas de fbricas, proveedores
logsticos, centros internos de distribucin,
distribuidores, mayoristas y otras entidades que
llevan al usuario final.

Capacitacin

Actividades implementadas antes de un incidente


que pueden utilizarse para apoyar y mejorar la
mitigacin de, la respuesta a, y la recuperacin de una
interrupcin. Se le conoce tambin como Preparacin.

Ciclo de vida de la Gestin


de la Continuidad del
Negocio

Conjunto de actividades de la Continuidad del


Negocio que colectivamente cubren todos los
aspectos y fases del programa de GCN. El BCI utiliza
el mismo modelo de ciclo de vida que utiliza la
norma BS25999.

Consecuencia

Ver Impacto.

Continuidad del Negocio

Capacidad tctica y estratgica de una organizacin


para planificar y responder a incidentes o interrupciones
del Negocio a fin de continuar las operaciones del
Negocio a un nivel aceptable predefinido.

CN

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [12]

Introduccin

Abreviado

ECN

GR

MPTD

[13] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Trmino

Definicin

Cumplimiento

Es el cumplimiento de un requerimiento en el
contexto de la Gestin de Sistemas.

Direccin para la
Continuidad del Negocio

Conocido tambin como el Comit Directivo, es un


grupo de gestin para dar aviso, gua y direccin al
programa de GCN.

Documento

Informacin y su medio de soporte bien sea


fsico, magntico, electrnico u ptico, disco de
computador o imagen.

Ejercicio

Proceso para ensayar los roles de los integrantes


de los equipos y del grupo de trabajo y probar la
recuperacin o continuidad de los sistemas de una
organizacin (por ejemplo tecnologa, telefona,
Gestin) para demostrar competencia y capacidad
para la continuidad del negocio.

Equipos de Continuidad
del Negocio

Son los equipos estratgicos, tcticos y operativos


que respondern a un incidente y contribuirn de
manera significativa a redactar y probar el Plan de la
Continuidad del Negocio.

Facilidad

Planta, maquinaria, equipo, propiedad, edificaciones,


vehculos, sistemas de informacin, medios de
transporte y otros tems o infraestructura o planta y
sus sistemas relacionados, que tienen una funcin o
servicio distinto y cuantificable.

Gestin de Riesgos

Generalmente incluye el Anlisis, tratamiento y la


evaluacin de riesgos

Impacto

Evento que tiene la capacidad de provocar la prdida


de o la interrupcin de las operaciones, servicios
o funciones de la organizacin, el cual, si no se
administra, puede escalar y convertirse en una
emergencia, crisis o desastre.

Integridad

Garantizar y salvaguardar la exactitud e integridad


de los activos, en particular los registros de datos.

Interrupcin

Evento que interrumpe las operaciones o procesos


normales del negocio bien sea de manera anticipada
(huracanes, inestabilidad poltica) o imprevista
(bloqueos, ataques terroristas, fallas tecnolgicas, o
terremotos).

Invocacin

Declaracin de que una organizacin necesita activar


su Plan de GCN para continuar entregando sus
productos y servicios claves.

Mxima Prdida Tolerable


de Datos

Prdida mxima de informacin (electrnica y


otros datos) que puede tolerar una organizacin.
La edad de la informacin podra hacer imposible
la operacin de recuperacin o el valor de los datos
sera sustancialmente alto como para poner en
riesgo la viabilidad del negocio.

Introduccin

Abreviado

Trmino

Definicin

MPTI

Mximo Perodo Tolerable


de Interrupcin

Es la duracin despus de la cual la viabilidad de la


organizacin estar afectada de manera irreparable
si la entrega del producto o servicio no puede ser
reanudada.

Mejoramiento Continuo

Proceso de mejoramiento del sistema de la


Gestin de la Continuidad del Negocio para lograr
mejoramientos consistentes con la poltica de
la Gestin de la Continuidad del Negocio de la
organizacin.

Mitigacin

Limitacin gestionada de una consecuencia negativa


o de un incidente particular.

No Cumplimiento

Incumplimiento al requerimiento de una obligacin


o expectativa acordada.

Objetivo

Meta general consistente con la poltica que una


organizacin establece para s misma.

Organizacin

Grupo de personas y facilidades con arreglos y


responsabilidades, autoridad y relaciones (por ejemplo
compaa, corporacin, firma, empresa, institucin,
institucin de caridad o asociacin). Una organizacin
puede ser pblica, privada o sin nimo de lucro.

Partes Interesadas

Individuo o grupo de individuos con intereses en el


desempeo o xito de una organizacin Por ejemplo
clientes, socios de negocio, empleados, accionistas,
propietarios, la comunidad local, personal de primera
respuesta, gobierno y entes reguladores.

Peligro

Ver Amenaza.

Prdida

Consecuencia negativa.

PCN

Plan de la Continuidad del


Negocio

Conjunto de documentos de procedimiento e


informacin desarrollada, compilada y mantenida
a disposicin para utilizarlo durante un incidente
para capacitar a la organizacin para continuar con
la entrega de sus productos y servicios crticos a un
nivel aceptable predefinido.

PHVA

Planificar, Hacer, Verificar,


Actuar

El modelo ISO utilizado como estructura en todos los


sistemas estndar de Gestin incluyendo el SGCN.

Poltica

Intenciones y directrices de una organizacin


expresadas por la Alta Direccin. La poltica de la
GCN debe ser consistente con la totalidad de las
polticas de la organizacin y proveer la base para los
objetivos de la Continuidad del Negocio.

Preparacin

Capacitacin.

Prevencin

Medidas contra amenazas especficas que habilitan a


la organizacin evitar una interrupcin.

Procedimiento

Forma especfica de ejecutar una actividad. Todos los


procedimientos deben estar documentados.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [14]

Introduccin

Abreviado

Trmino

Definicin

Proceso

Conjunto de actividades interrelacionadas que


transforman entradas en salidas.

Producto o Servicio

Salida de un proceso. Si al producto se le denomina


servicio, depende de la existencia de un elemento
fsico a la salida. El servicio es el resultado de al
menos una actividad necesariamente realizada
en la interface entre el proveedor y el cliente y ,
generalmente, intangible.

Punto Objetivo de
Recuperacin

Objetivo para el estado y disponibilidad de datos


(electrnicos e impresos) en el inicio del proceso de
recuperacin.

Recursos

Activos, personas, habilidades, informacin,


tecnologa (incluye planta y equipo), locales,
suministros e informacin (electrnica o no) que una
organizacin posee para tener la disponibilidad de
utilizar cuando sea necesario, para operar y alcanzar
sus objetivos.

Registro

Documento que indica los resultados obtenidos o la


evidencia de las actividades desarrolladas.

Resiliencia

Habilidad de una organizacin para resistir al ser


afectada por un incidente.

Riesgo

Combinacin de probabilidad de un evento y su


consecuencia. La GCN se concentra en Amenazas e
Impactos antes que en Riesgos.

Sistema de Gestin

Sistema para establecer la poltica y los objetivos


y para alcanzar esos objetivos (por ejemplo ISO
9001:2008).

SGCN

Sistema de la Gestin de la
Continuidad del Negocio

Parte o la totalidad del sistema que implementa,


opera, monitorea, revisa, mantiene y mejora la
continuidad del negocio.

TOR

Tiempo Objetivo de
Recuperacin

Objetivo de tiempo dentro del cual se reanuda la


entrega de un producto o servicio luego de una
interrupcin.

Tratamiento de Riesgos

Seleccin e implementacin de medidas para


modificar los riesgos.

POR

[15] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Gua de buenas prcticas 2010

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [16]

04 Determining Business Continuity Strategy

iStockphotos.com/lorrainedarke

Poltica y Gestin del Programa

01

Entendimiento de la
Organizacin

nl

aC
u

nizac
rga

Ejercicios,
Mantenimiento
and Revisin

Poltica y Gestin del


programa GCN

Determinar la
Estrategia GCN

ional

Integrar

o
C
la
e
d

idad del Negoci


u
n
i
oe
nt

O
ra
ltu

la G
est
in

Prcticas Profesionales de la GCN

Desarrollo e
Implementacin de
la Respuesta GCN

Ciclo de Vida GCN

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [20]

GCN | Gestin de las Prcticas Profesionales

Poltica y Gestin del Programa


Visin de la Gestin de la Poltica y el Programa

Introduccin
La poltica de la GCN es el documento clave que establece el gobierno y el alcance del programa
GCN y refleja las razones del porqu est siendo implementado la GCN. La poltica proporciona el
contexto en el cual sern implementadas las capacidades requeridas e identifica los principios a los
que la organizacin aspira y contra los cuales su realizacin se pueden auditar.

[21] GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL

Una vez haya sido acordada la poltica, se debe iniciar


un proyecto o una serie de proyectos para capacitar a la
organizacin y comprometerla en las actividades requeridas para
implementarla.
Como parte del proceso de planificacin, en muchas
organizaciones se han emprendido altos niveles de anlisis
de las amenazas para alcanzar los objetivos estratgicos y
operativos de la organizacin. El resultado de este ejercicio puede
proveer un aporte til cuando se establece el contexto total
para el programa de GCN. En algunos ambientes regulados, es
mandatorio realizar un Anlisis de Riesgos de manera formal.
iStockphotos.com/lorrainedarke

Cuando una organizacin se embarca en un programa de GCN,


es poco probable tener establecida una poltica de la GCN o
entender las necesidades que debe tomar para producir una.
Los pasos claves son:
Desarrollar la poltica de la GCN
Alinear la poltica con la estrategia, objetivos y cultura
organizacionales.
Decidir sobre el alcance del programa de GCN.

Poltica y Gestin del Programa 01

Alineacin de la Poltica de la GCN


a la Cultura Organizacional

Opera en ambientes regulados y si es as, cules son las


regulaciones?

Introduccin

Cul es la escala probable de tiempo en la que puede


encontrar proveedores alternos?

Un programa de GCN necesita reflejar la estrategia, objetivos


y cultura de la organizacin para asegurar que el programa es
relevante, efectivo y apropiado.
La organizacin tendr una cultura que puede no estar bien
documentada o articulada por la alta Direccin. Sin embargo,
la estrategia y los objetivos de la organizacin habrn sido
determinados y acordados como parte de los procesos de
planificacin y de presupuesto del negocio.
Es posible que alguna informacin del mercado o de la industria
sea sensible y no pueda ser accesible para el profesional de
GCN. No contar con esta informacin, no puede detener el
programa de GCN que se est llevando a cabo.

Proceso
El proceso bsico utilizado es simplemente hacer preguntas
sobre la organizacin para identificar su estrategia, objetivos y
cultura. Estas preguntas incluyen:
Cul es su misin o la razn de su existencia?
Cules son los objetivos de la organizacin?
Cmo se alcanzan los objetivos?
Cules son los productos y servicios de la organizacin que
permiten alcanzar estos objetivos?
Cul es su direccin o enfoque?
Cules son los planes de crecimiento, reduccin de personal,
restructuracin, adquisicin o disposicin en el corto
mediano y largo plazo?
Se estn desarrollando nuevos productos o servicios y si es
as, cual es su escala de tiempos?
Cul es la escala geogrfica de sus operaciones?
Cul es el nivel de interrupcin geogrfico?
Cul es el nivel de prdida de recursos que quiere o necesita
planificar para sobrevivir?
Cules son las condiciones actual y esperadas del mercado
en el que opera?
Tiene competidores y cmo compite con ellos?
Cul es la reaccin probable de los clientes y competidores si
se interrumpen sus operaciones?
Los competidores tomarn ventaja de una organizacin en
dificultades o los apoyarn (cul de ellos podra proteger la
reputacin del sector)?

Cuenta con muchos proveedores, algunos o uno solo?

Cuenta con muchos clientes, algunos o uno solo?


Los clientes estn dispuestos a pagar una prima por mejorar
el aseguramiento de la entrega?

Mtodos y Tcnicas
Dos tcnicas que se pueden utilizar para identificar la
estrategia, objetivos y cultura de la organizacin, son:
1 Entrevista al equipo de la Alta Direccin
2 Revisin de los documentos generados en la organizacin
Los documentos claves para revisar pueden ser:
Planes de negocio
Planes estratgicos
Reportes anuales
Reportes de Mercadeo
Informacin administrativa actualizada que detalla los
procesos, volmenes, objetivos y donde sea posible,
cuantificar el valor de cada actividad

Revisin
El impacto de la estrategia organizacional sobre el programa
de GCN debe revisarse como mnimo anualmente como parte
de, o al menos coincidir con, los procesos de planificacin
estratgica y operativa del negocio. Las revisiones ms
frecuentes pueden estar dirigidas a cualquiera de lo siguiente:
Restructuraciones o cambios claves del negocio
Expansin /contraccin
Introduccin de nuevos productos
Relocalizacin o consolidacin de locaciones
Un incidente y su recuperacin asociada
Se puede ubicar un procedimiento de alerta para identificar
todos los cambios organizacionales que sean significativos
para asegurar que han sido tomados en cuenta en el programa
de GCN. Esto le permite a la GCN la debida diligencia antes
de realizar el cambio propuesto. Una decisin estratgica del
negocio no ser necesariamente abandonada a causa de la falta
de preparacin, pero esta limitacin podra impactar el valor
econmico del cambio pospuesto.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [22]

GCN | Gestin de las Prcticas Profesionales

Alcance del programa de la GCN y


determinacin de sus Alternativas

Conceptos y Supuestos

Introduccin
El propsito de establecer el alcance es asegurar claramente
qu reas de la organizacin estn incluidas en el programa
de GCN, definido por la identificacin de cuales productos
y servicios estn all. La entrega de productos y servicios es
el enfoque de los criterios claves de xito de la mayora de
organizaciones. Se requiere un entendimiento de la estrategia,
objetivos y cultura organizacional antes determinar el alcance
del programa de GCN y las alternativas a utilizar.
La GCN es un proceso iterativo que inicialmente le permite a
una organizacin implementarlo nicamente en algunas partes
de sta, aunque por anticipado se sabe que se extender a
la totalidad de sus operaciones con el paso del tiempo. Este
enfoque permite eliminar problemas de complejidad, costos y
escala en la implementacin de la GCN en organizaciones de
gran tamao.
Esta seccin explica las alternativas disponibles para la
organizacin para proteger la entrega de sus productos y
servicios e identificar cmo y porqu se pueden seleccionar
varios productos y servicios de la organizacin para la
implementacin inicial de la GCN. Estas alternativas definirn
el alcance del programa de GCN.

En la prctica normal, la decisin sobre el alcance del programa


de GCN es tomada antes que cualquier otro elemento del
ciclo de vida de la GCN. Sin embargo, si la organizacin decide
comprometerse en la implementacin inicial de la GCN basado
en la necesidad de recuperacin percibida para un producto o
servicio especfico, puede decidir realizar un Anlisis de Impacto
en el negocio para confirmar los productos y servicios a incluir
en el alcance inicial (basado en el impacto de la no entrega).
El alcance normalmente est limitado por productos y servicios.
Sin embargo, la locacin tambin puede ser utilizada para
limitar el alcance, permitiendo que la GCN incluya o excluya
uno o ms sitios. No es aceptable o lgico excluir un sitio que
juega un papel importante en la entrega de los productos y
servicios contemplados en el alcance.
La limitacin del alcance debe ser vista como un enfoque tctico
que permite la implementacin de la GCN por etapas a travs
de la organizacin. Si un producto o servicio est identificado
dentro del alcance todas las actividades que soportan su
entrega, deben incluirse dentro del programa de GCN.
La documentacin de Alternativas para cada producto y
servicio est destinada a definir como la organizacin intenta
proteger (o no) su habilidad para mantener su entrega, de
manera que tal decisin est disponible para escrutinio pblico
(por ejemplo clientes o reguladores).
Esto se ilustra en el siguiente diagrama, donde se ha tomado
una decisin para incluir el producto A en el alcance del
programa de GCN y excluir el producto B. Esto significa que las
actividades que soportan la entrega del producto A (Actividad
1, Actividad 2, Actividad 3) estn en el alcance mientras que
las actividades que no soportan la entrega del producto B
(Actividad 4, Actividad 5), estn por fuera del alcance.

Dentro del Alcance

Fuera del Alcance

Producto A

Producto B

Actividad 1

Actividad 3

Actividad 2

[23] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Actividad 5

Actividad 4

Poltica y Gestin del Programa 01

Proceso
El proceso requiere el establecimiento de un grupo de GCN que
le har las recomendaciones a la Alta Direccin.
Este grupo revisar los productos y servicios de la organizacin
contra su estrategia, objetivos, cultura, poltica tica,
requerimientos legales y regulatorios, para considerar la opcin
para cada producto y/o servicio. Si se ha realizado un AIN para
determinar los efectos de una prdida de productos y servicios,
el grupo incluir los resultados del AIN en su revisin.
El grupo proporcionar un reporte de evaluacin que permitir
a la Alta Direccin establecer las prioridades para todos sus
productos y servicios.
Las razones para no incluir un producto o servicio en el
programa de GCN y la respuesta alternativa por la prdida de
ese producto o servicio, necesita documentarse y acordarse con
la Alta Direccin.
Los productos y servicios deben estar identificados con un nivel
apropiado de detalle.
Ejemplos de productos y servicios incluyen:
Un producto o rango de productos manufacturados
Recopilacin de basuras (para una ciudad o municipio)
Soporte Telefnico (para una empresa de software)
Las decisiones sobre cuales productos, servicios o locaciones
deben incluirse dentro del alcance. Pueden tomarse por uno o
varios de los siguientes factores:
Requerimiento de un cliente
Requerimiento regulatorio o estatutario
Percepcin de alto riesgo debido a la proximidad a otros
locales industriales o amenazas fsicas como inundaciones
Productos que proporcionan altos ingresos a la organizacin
Las razones por las que un producto, servicio o locacin pueden
excluirse del alcance, incluyen
Productos o servicios cercanos al final de su ciclo de vida (se
acabaran si se interrumpe el suministro)

Productos o servicios con bajos mrgenes (podran


terminarse o tercerizarse)
Cuando se evala la exclusin del alcance, adicionalmente
se deben considerar los siguientes factores a los impactos
financieros de prdidas:
La visin de las partes interesadas claves
Cualquier dao en la reputacin que puede resultar de la
interrupcin o terminacin de un producto
La relevancia de cualquier anlisis de riesgos
El impacto regulatorio para las actividades reguladas
Si la Continuidad del Negocio es la opcin elegida para un
producto o servicio particular, es necesario entonces, tomar las
medidas adecuadas para asegurar que las diferentes actividades
que apoyan su entrega, puedan continuarse o recuperare dentro
de las escalas de tiempo requeridas.
Para aquellos productos y servicios que se consideran por
fuera del alcance, el riesgo para el negocio por prdida o no
disponibilidad no se mitiga por completo con la GCN y tiene
que manejarse por medios alternos. Las alternativas disponibles
para la Alta Direccin, son:
Aceptacin: aceptar que est en riesgo de interrupcin
Transferir: Transferir el riesgo de interrupcin a un tercero
Cambiar, suspender o acabar el producto o servicio
La implementacin detallada de estas medidas, generalmente
cae dentro de lo que se remite para la Gestin de Riesgos y
no sigue el ciclo de vida completo de la GCN. Sin embargo,
las medidas provistas son acordadas como una estrategia
apropiada del negocio. Estas medidas pueden verse como
soluciones de Continuidad del Negocio y pueden incluirse
dentro del programa GCN.
Lo que constituye una estrategia aceptable de Continuidad del
Negocio puede depender de la organizacin y de cualquier cambio
en sus procesos que sera necesario acomodar (bien sea que se
determine en su avance o se reconozca despus del evento). Ms
notas sobre este tpico se encuentran en el Anexo 2.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [24]

GCN | Gestin de las Prcticas Profesionales

Mtodos y Tcnicas

Resultados y Revisin

Las herramientas que pueden utilizarse para desarrollar las


alternativas de estrategia de la organizacin para productos y
servicios, incluyen:
Anlisis costo/beneficio (incluyendo anlisis de las partes
interesadas, regulacin y legislacin.
Anlisis DOFA (Debilidades/Oportunidades/Fortalezas/
Amenazas).
Planificacin y gestin financiera.
Herramientas para la planificacin de la estrategia.
Referenciacin frente a estndares nacionales e
internacionales.
Anlisis PAST (Poltica/Ambiente/Social/Tcnico).
Tcnicas de anlisis del mercado para determinar la viabilidad
probable del suministro de un producto luego de una
interrupcin.

Los resultados son:


Una estrategia acordada para la proteccin de cada uno de
los productos y servicios de la organizacin.

Al menos una vez cada ao se debe hacer la revisin de la


estrategia organizacional de proteccin de sus productos y
servicios. Sin embargo, los eventos que pueden indicar una
nueva revisin de la estrategia, son:
La revisin del AIN que identifique cambios y prioridades
representativos en los procesos
Un cambio significativo en uno o ms de lo siguiente:
> Actitud de la organizacin frente al riesgo (de pronto
impulsado por un incidente).
> Condiciones del mercado.
> Nuevos productos o servicios.
> Nuevos requerimientos legales o regulatorios.

iStockphotos.com/lorrainedarke

[25] GCN
[25]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

El alcance del programa de GCN que deber documentarse


en la poltica de la GCN.

Poltica y Gestin del Programa 01

Desarrollo de la Poltica de GCN


Introduccin
La poltica de la GCN de una organizacin provee el marco
de referencia alrededor del cual se disea y construye la
capacidad de la GCN. La organizacin, gobierno y gestin de la
implementacin de la GCN, son prerrequisitos para desarrollar
un programa de GCN exitoso. stos se establecen en la poltica
de la GCN que es de propiedad de la Alta Direccin.
El propsito de documentar la poltica de la GCN es comunicar a
las partes interesadas los principios de Continuidad del Negocio
a los que aspira llegar la organizacin.
Como uno de los objetivos de la poltica de la GCN es el de
comunicar, sta debe ser corta, clara, precisa y puntual. Una
poltica muy extensa ser una barrera para la comunicacin.
La poltica debe identificar como mnimo los siguientes
elementos del programa de GCN:
Objetivos
Alcance
Responsabilidades
Mtodos y estndares

Proceso
El proceso para desarrollar la poltica de la GCN incluye:
Identificar y documentar los componentes de la poltica de la
GCN.
Identificar una definicin de la GCN.
Identificar cualquier norma, legislacin o regulacin
relevante que deba estar incluida en la poltica de la GCN.
Identificar cualquier Buena Prctica o poltica de otras
organizaciones que puedan ser su punto de referencia.
Revisar y conducir un anlisis GAP de la poltica actual de la
organizacin (si se considera conveniente) y la poltica externa
de referencia o nuevos requerimientos de la poltica de GCN.
Desarrollar un borrador de la poltica de la GCN nueva o
modificada.
Revisar el borrador de la poltica contra los estndares
organizacionales para polticas similares o relacionadas (por
ejemplo, seguridad de la informacin).

Circular el borrador de la poltica para su consulta.


Modificar el borrador de la poltica, si se considera
conveniente, con base en la retroalimentacin recibida.
Acordar la firma de la poltica de la GCN y una estrategia para su
implementacin por la Alta Direccin de la organizacin.
Publicar y distribuir la poltica utilizando tcnicas y sistemas
adecuados para el control de versiones

Mtodos y Tcnicas
Los mtodos, herramientas y tcnicas para el desarrollo de la
poltica de la GCN incluyen:
Revisin de la poltica actual de la organizacin.
Investigar fuentes externas para tomar como gua, por
ejemplo: regulatoria, legal, buenas prcticas de la industria,
asociaciones profesionales.
Contactar la industria y asociaciones profesionales para
entender los inconvenientes y los controles actuales y en
desarrollo de la GCN.
Identificar y adoptar los componentes de la poltica de la GCN
de otra organizacin que se considere como buena prctica.
Analizar las brechas del estado actual y revisar las polticas
internas y externas para obtener los componentes bsicos de
una poltica nueva o modificada.
Hacer una revisin por profesionales externos de GCN

Resultados y Revisin
La poltica de la GCN incluir (o se har referencia en un
documento subsidiario):
La definicin de la GCN organizacional.
La definicin del alcance del programa de GCN (vase
numeral anterior).
Estructura operativa para la gestin del programa de GCN de
la organizacin.
El conjunto de principios, guas y estndares mnimo de la
GCN.
Identificacin clara de responsabilidades
Si bien todas las polticas de la organizacin deben ser revisadas
en un perodo determinado, muchas cosas podran provocar la
revisin formal de la poltica de la GCN.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [26]

GCN | Gestin de las Prcticas Profesionales

Actividades Externalizadas

Especificacin de requerimientos de la GCN en los trminos


de referencia documentados de licitaciones y contratos.

Introduccin

Acuerdos de Niveles de Servicio (ANS) realistas para


utilizarlos durante incidentes en cualquier organizacin.

Es importante que la poltica de la GCN incluya las actividades


externalizadas. La entrega de productos y servicios de la
organizacin no debe ser interrumpida por una falla de un
tercero o proveedor de materias primas y/o servicios que
se proveen directamente a la organizacin o directamente
al cliente en nombre de sta. Si parte o toda la entrega de
productos y servicios es externalizada, la responsabilidad
para su continuidad permanece en la organizacin. Las
partes interesadas asumirn que la organizacin ha hecho
una seleccin adecuada de sus socios del Negocio y ha
tomado medidas apropiadas para asegurar la entrega. Los
requerimientos estatutarios y regulatorios usualmente
enfatizan que la responsabilidad final por la entrega de los
servicios externalizados recae en la organizacin.

Proceso
El proceso de revisin de los acuerdos de Continuidad del
Negocio de una compaa de externalizacin son similares a los
utilizados para revisar los propios procesos de la organizacin.
Es importante que el acceso a la siguiente informacin est
disponible para su anlisis:
Tendencias de los prospectos externalizadores
La contina adecuacin de las disposiciones en las compaas
externalizadores existentes
La confiabilidad en la externalizacin puede incrementarse por:
Precalificacin de compaas candidatas para la
externalizacin.

[27] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Involucramiento de las compaas de externalizacin en


formacin, capacitacin y ejercicios
La documentacin para apoyar la externalizacin, incluye:
Parmetros mandatorios para la seleccin de compaas
externalizadoras.
Trminos contractuales que deben incluir los derechos para
la organizacin para auditar a la compaa externalizadora.
Acuerdos de Niveles de Servicio.
Documentacin de los resultados de ejercicios

Resultados y Revisin
Los resultados deben ser una cadena de suministros resiliente
que pueda administrar las interrupciones sin impactar
seriamente la entrega de los productos y servicios al cliente.
La revisin de la continuidad del proveedor debe formar parte
significativa del anlisis de las licitaciones cuando los contratos
son adjudicados o renovados. Se recomienda la revisin anual
del funcionamiento del proveedor contra los requerimientos de
continuidad.

Poltica y Gestin del Programa 01

Revisin del Programa


de Gestin de la GCN

La implementacin inicial del Ciclo de Vida de la GCN ser


beneficiosa desde el enfoque de la Gestin como proyecto, pero
como la GCN madura dentro de la organizacin, la Gestin del
programa requiere habilidades para asegurar una preparacin
constante.

Introduccin

Un factor crtico de xito es el nombramiento de personas


competentes para supervisar y gestionar el programa de GCN.

La GCN es un proceso iterativo y necesita ser gestionado


activamente. El objetivo inicial de esta etapa ser el de
completar exitosamente la implementacin del Ciclo de vida de
la GCN, pero la meta de la Gestin del programa de GCN en el
largo plazo, es la de mejorar la capacidad de la organizacin y
por tanto su resiliencia operativa, con iteraciones sucesivas del
Ciclo de Vida de la GCN, como lo muestra el siguiente grfico.

Los elementos claves para la gestin del programa de GCN son:


Asignacin de responsabilidades.
Implementacin de la GCN en la organizacin.
Gestin del Proyecto.
Gestin continua de la Continuidad del Negocio.
Documentacin de la GCN

Integrar
la G
est
in
la G
est
in

Integrar
Poltica y Gestin del
Determinar
laEstrategia BCM
Programa BCM

ional

Integrar

Desarrollo e
Implementacinde la
Respuesta BCM

nizac
rga

la G
est
in

ional

Poltica y Gestin del


Determinar
laEstrategia BCM
Programa BCM

Desarrollo e
Implementacinde la
Respuesta BCM

Poltica y Gestin del


Determinar
laEstrategia BCM
Programa BCM

ional

Integrar

nizac
rga
Poltica y Gestin del
Determinar
laEstrategia BCM
Programa BCM

nizac
rga

la G
est
in

aC
u

nizac
rga
Poltica y Gestin del
Determinar
laEstrategia BCM
Programa BCM

ional

Integrar

nl

ional

aC
u

cio
e

nizac
rga

nl

Ejercicios,
Mantenimiento y
Revisin

d del Nego

Entendimiento dela
Organizacin

Desarrollo e
Implementacinde la
Respuesta BCM

O
ra
ltu

Entendimiento dela
Organizacin

cio
e

O
ra
ltu

Ejercicios,
Mantenimiento y
Revisin

d del Nego

a
inuid

Desarrollo e
Implementacinde la
Respuesta BCM

O
ra
ltu

Ejercicios,
Mantenimiento y
Revisin

Organizacin

Ejercicios,
Mantenimiento y
Revisin

Organizacin

O
ra
ltu

uidad del Negocio


ntin
en
Co
la
la
Cu
de
Entendimiento dela

uidad del Negocio


ntin
en
Co
la
la
Cu
de
Entendimiento dela

Co
la
de

uida
ntin

Ejercicios,
Mantenimiento y
Revisin

uidad del Negocio


ntin
en
Co
la
la
Cu
de
Entendimiento dela
Organizacin

nt
Co
la
de

O
ra
ltu

la G
est
in

Desarrollo e
Implementacinde la
Respuesta BCM

Mejoramiento de la capacidad de GCN de la Organizacin

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [28]

GCN | Gestin de las Prcticas Profesionales

Asignacin de Responsabilidades
Introduccin
Un programa de GCN exitoso depende de la identificacin
de roles yresponsabilidades y autoridad claramente definidos
para gestionar el programa de GCN y su proceso a travs de la
organizacin. Esto deber haber sido establecido en la Poltica
de la GCN.
El propsito de la asignacin de roles y responsabilidades
es asegurar que las tareas requeridas para implementar y
mantener el programa de GCN estn asignadas a individuos
competentes cuyo desempeo pueda monitorizarse.

Conceptos y Supuestos
El programa de GCN necesita estar adecuadamente dotado
de recursos. A menudo sto es fcil de lograr en industrias
reguladas como la banca y las de servicios financieros debido a
que muchas autoridades regulatorias consideran la GCN como
un costo del negocio y sto lo hace mandatorio.
En esta etapa puede definirse la estructura de respuesta que
ser adoptada por una organizacin. A menudo se asume que
quienes han desarrollado los planes son los mejores individuos
para responder a un incidente, pero las personalidades
requeridas para ser lderes y planificadores, a menudo son
contradictorias. Cualquier dificultad en esta rea debe ser
expuesta por un plan realista de ejercicios.

En grandes organizaciones, se puede nombrar un grupo de


trabajo adicional para trabajar con el Administrador de la GCN
para asistirlo con las siguientes actividades:
Conducir ejercicios
Comprometerse con la revisin documental
Apoyar en la implementacin de la GCN
Actuar como coordinador en sus reas
Se pueden conformar grupos adicionales para apoyar el
desarrollo del programa de GCN. Se incluyen:
El Comit Directivo o Junta de la GCN: Es un grupo que dar
consejo, guiar y supervisar la gestin
Equipos de Continuidad del Negocio: Son equipos
estratgicos, tcticos y operativos que respondern
al incidente y contribuirn significativamente con la
documentacin de los Planes de Continuidad del Negocio
Foro de Respuesta a Incidentes: Agrupa representantes de
todos los equipos involucrados en la respuesta al incidente
para resolver problemas de coordinacin. Este grupo
puede ser til para la identificacin de requerimientos de
formacin y ejercicios

Mtodos y Tcnicas
El grupo de trabajo nominado para el programa de GCN debe
tener la formacin apropiada para sus roles. sto se puede
hacer por medio de cursos de formacin internos o externos
y/o por medio de profesionales de GCN externos contratados
para apoyar las primeras etapas de la implementacin.

Quienes han estado involucrados en la implementacin del


programa de GCN pueden estar obligados a proveer liderazgo
durante la respuesta al incidente y los profesionales de la GCN
deben permanecer en estado de disposicin para hacerse cargo
de la Gestin del Incidente si son llamados para poner los planes
en accin. Tendrn el conocimiento detallado de las estrategias
y acciones necesarias para invocarse inmediatamente y pueden
ser necesarios para apoyar la lnea de direccin mediante
actividades de evaluacin e invocacin.

Quienes administran el programa de GCN en grandes


organizaciones deben buscar un nivel de certificacin
de entidades profesionales apropiadas como el Business
Continuity Institute.

Proceso

Resultados y Revisin

Un integrante de la Alta Direccin debe hacer la rendicin de


cuentas sobre la capacidad de la GCN de la organizacin y su
efectividad. Esto asegura que el programa de GCN est dado
en el nivel de importancia correcto en la organizacin con una
mayor posibilidad efectiva de implementacin.

Los roles y responsabilidades dentro el programa de GCN han


sido asignados a individuos que han sido provistos con el nivel
de formacin apropiado. La especificacin de estos roles y
responsabilidades est incluida en la descripcin y los objetivos
de desempeo de los cargos y son entendidos por los individuos
y la organizacin.

Debe nombrarse un individuo para administrar la GCN


quien (en muchas organizaciones) ser conocido como el
Administrador de Continuidad del Negocio. Dependiendo del
tamao de la organizacin, este rol puede ser de tiempo total o
parcial.

[29] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Para asegurar que las tareas de la GCN son efectivas y se


les ha dado el tiempo y esfuerzo apropiados, los roles y
responsabilidades deben integrarse en la descripcin de los
cargos con un proceso de evaluacin.

El nivel y competencia del Equipo de Trabajo de la GCN debe


revisarse anualmente como parte del proceso normal de
evaluacin y puede ser un tpico de la evaluacin anual de
los administradores de la GCN y estar sujeto a un proceso de
auditora.

Poltica y Gestin del Programa 01

Implementacin de la GCN en la
Organizacin
Introduccin
La implementacin de un programa de GCN involucra
la Gestin de un nmero de proyectos relacionados y la
coordinacin de las actividades que lo equilibra:
Sensibilizacin: Eventos que mantienen el entusiasmo para
llevar a cabo el programa de GCN.
Planificacin: Desarrollo de planes para responder a los
incidentes que pudieran no ocurrir.
Medidas de Mitigacin: Implementacin de medidas para
mitigar el impacto de un incidente que pueda ocurrir
mientras el programa est siendo desarrollado.
Ejercicio: Ejercicios para practicar los planes de
contingencia.
sto es exitoso solamente con los recursos adecuados,
incluyendo la asignacin de roles y responsabilidades para
entrenar a los individuos para que se comprometan en las
tareas requeridas en la implementacin y mantenimiento del
programa de GCN.
El propsito de este paso es asegurar que se implementa un
programa de GCN sostenible en la organizacin. Un programa
sostenible es el que se ha ganado el compromiso de la
organizacin y cuenta con estructura y procedimientos en sitio
para asegurar que est mantenido y mejorado y est disponible
para el futuro previsible.

Conceptos y supuestos
La eleccin de las actividades a realizar y en qu orden se har,
depender de la cultura existente y el estado de preparacin
de la organizacin. La nica regla definitiva es que las
decisiones ms importantes sobre las opciones de continuidad
y la estrategia de recuperacin no deben tomarse hasta que se
lleve a cabo la etapa de Entendimiento de la Organizacin.
Para iniciar el programa de GCN se puede utilizar apoyo
externo de consultores con calificaciones y experiencia
apropiadas en la GCN. Esto puede ser rentable por efecto del
ahorro de tiempo y la necesidad de capacitacin externa. La
transferencia de conocimiento al equipo de trabajo dentro de
la empresa, debe ser un objetivo durante este perodo.

Proceso
El proceso de implementacin de la GCN en una organizacin
consiste en:
Proceso de iniciacin.
Planificacin, coordinacin e implementacin de proyectos
de GCN para comprometer la implementacin inicial del
Ciclo de Vida de la GCN:
> Entendimiento de la Organizacin (ver Prctica 3)
> Determinacin de las Estrategias de la GCN (ver Prctica 4)
> Desarrollo de la Respuesta de la GCN (ver Prctica 5)
> Ejercicios, Mantenimiento y Revisin (ver Prctica 6)
Mantener niveles de conciencia.
Gestin continua
El proceso de iniciacin debe estar construido desde las
actividades descritas en otras partes en esta gua. Podra incluir:
Ejercicios de escritorio con los Altos Directivos para
demostrar qu podra suceder ante la ausencia de estructuras
y procedimientos de respuesta a incidentes.
Presentacin de impactos causados por incidentes locales
recientes.
Cuestionarios o entrevistas para determinar el estado actual
de disponibilidad de la organizacin.
Redactar un alcance para el programa.
Desarrollar un alcance de la Poltica de la GCN.
Recopilar datos y seleccionar opciones de continuidad.
Medidas para mitigar amenazas especficas percibidas.
Crear procedimientos para la Gestin de incidentes.
Identificar e implementar medidas de bajo costo
Se debe utilizar la disciplina de Gestin de Proyectos para la
planificacin, coordinacin e implementacin de proyectos de
GCN y se debe monitorizar su avance.
Durante la iniciacin del programa, se debe disponer de tiempo
suficiente para apoyar cada actividad con las habilidades
apropiadas de conocimiento y formacin.

Resultados y Revisin
Al final de la implementacin inicial exitosa del programa de
GCN, la organizacin deber tener:
Un estado inicial de disponibilidad de los procedimientos de
Gestin de incidentes suficientemente demostrado por los
ejercicios de escritorio.
Procedimientos, estructura y habilidades para mantener y
desarrollar la capacidad de la GCN.
En su fase inicial de implementacin, el programa de GCN debe
revisarse al menos mensualmente y completarse dentro de los
hitos definidos.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [30]

GCN | Gestin de las Prcticas Profesionales

Introduccin
Cuando se compromete la implementacin del programa de
GCN en una organizacin se deben adoptar las disciplinas de
Gestin de Proyectos. Los mtodos seleccionados de Gestin
de Proyectos deben ser adecuados al tamao y complejidad de
la organizacin y su implementacin de la GCN.
sto permite el camino para la Gestin del programa en curso una
vez estn definidos los elementos claves. Sin embargo, sta sigue
siendo una disciplina til para los elementos de un programa en
curso que tiene una entrega clara (por ejemplo, el desarrollo de un
evento de concientizacin a travs de la organizacin).
Mientras se identifican claramente los entregables para algunas
tareas de la GCN, muchas otras son menos tangibles haciendo
estrictamente difcil la implementacin de las disciplinas
de Gestin de Proyectos. Por ejemplo. Hay un elemento de
Descubrimiento dentro del AIN que hace difcil la cuantificacin
del tiempo requerido para completarlo.

Proceso
Este documento puede utilizarse para identificar los proyectos
requeridos para completar la implementacin inicial del Ciclo
de Vida del Programa de GCN.
Cada proyecto ser planificado y monitoreado de acuerdo
con el mtodo seleccionado de Gestin de Proyectos y debe
definirse en trminos de:

[31] GCN
[31]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

Objetivos
Alcance
Tareas
Escala de tiempo
Personas involucradas
Entregables
Hitos
El trabajo estimado para algunas etapas del proyecto
depender de los resultados de las etapas previas.
Las disciplinas de Gestin de Proyectos tambin pueden
aplicarse de manera til en otros tems individuales con
entregables claramente definidos dentro del programa de GCN
como:
Desarrollo y Gestin de los ejercicios de la GCN.
Desarrollo y entrega del programa de formacin para el
equipo de trabajo.
Seleccin del proveedor de recursos para continuidad.

Resultados y Revisin
El resultado de este paso es la entrega exitosa del Ciclo de Vida de
la GCN dentro de la cual se han acordado las escalas de tiempo
y los presupuestos como parte de la implementacin inicial del
programa de GCN.

El mtodo de proyecto adoptado debe incluir la revisin del


avance en el suministro de los entregables contra las fechas
predefinidas por los hitos, el trabajo y los costos estimados.

iStockphotos.com/lorrainedarke

Gestin de Proyectos

Poltica y Gestin del Programa 01

Gestin en Curso de la Continuidad del


Negocio
Introduccin
Una vez implementada, la GCN necesita gestionarse en un
ciclo continuo de mejora si se quiere ser eficaz. Esto involucrar
la participacin de varias reas gerenciales, operativas,
administrativas y tcnicas que necesitan estar coordinadas
como se indic en estas Guas.

Conceptos y supuestos
El programa ser gestionado dentro de la estructura de y de
acuerdo con los principios contenidos en la Poltica de la GCN de
la organizacin.
La cantidad de profesionales de GCN y el grupo de trabajo de
otras reas que se puede requerir para apoyar y administrar el
programa, depender del tamao, naturaleza, complejidad y
ubicacin geogrfica de la organizacin.
En organizaciones pequeas, la Gestin en curso de la GCN
puede darse por un solo individuo con otros roles. En grandes
organizaciones, puede haber varios grupos de trabajo con
responsabilidades de tiempo total o parcial. En este ltimo caso,
se puede establecer una jerarqua y el equipo de trabajo podra
requerir las habilidades de direccin (adicionales a las habilidades
propias de la GCN) requeridas por aquellos que administran el
programa de GCN.

Proceso
La Alta Direccin de la organizacin debe:
Nombrar una persona o equipo de personas para la Gestin
del programa de GCN.
Definir el alcance del proceso de Gestin y del programa de
GCN.
Aprobar el presupuesto de continuidad.
Monitorizar la ejecucin del proceso de Gestin.
La persona o equipo de personas nombradas deben (previa
consulta a la Alta Direccin):
Desarrollar y aprobar el proceso y el programa de
planificacin de la GCN.
Determinar los enfoques claves para cada etapa del Ciclo de
Vida de la GCN.
Comprometer o gestionar las actividades de GCN apropiadas
dentro de la organizacin.
Promover la GCN a travs de la organizacin y externamente
donde se considere apropiado.
Gestionar el presupuesto de continuidad.
Mantener la documentacin del programa de GCN.

Investigar el estado actual de disponibilidad de la


organizacin en el mismo sector y el nivel requerido por la
legislacin y la regulacin.
Reportar el estado actual de disponibilidad a la Alta Direccin
sobre una base regular destacando donde hay brechas
identificadas.
Investigar el estado actual de disponibilidad de la
organizacin en el mismo sector y el nivel requerido por la
legislacin y la regulacin.
Reportar el estado actual de disponibilidad a la Alta Direccin
sobre una base regular destacando donde hay brechas
identificadas.
La persona o equipo de personas nombradas pueden (previa
consulta a los directivos del negocio) identificar y entrenar
representantes de la GCN en departamentos operativos o en
otras locaciones para:
Actuar como punto de contacto para los problemas de la
GCN que afectan al departamento o locacin.
Apoyar al departamento para identificar las implicaciones en
la GCN del proceso de cambio.
Apoyar o liderar la recuperacin del departamento o locacin
en el evento de una interrupcin.

Mtodos y Tcnicas
Los mtodos, herramientas y tcnicas para gestionar el
programa de GCN de una organizacin incluyen:
Estas Guas.
Apoyo de profesionales de GCN externos.
Cuadros de mando de auto evaluacin de la GCN.
Evaluaciones anuales de desempeo del personal contratado.
Gestin de la relacin con proveedores y terceros.
Gestin de la relacin de los proveedores de recursos y
servicios con el especialista en la GCN.
Gestin financiera.
Avisos legales y regulatorios
Referenciacin de la GCN de la industria.
Estndares nacionales e internacionales como la norma
BS25999
Auditoras internas y/o independientes a la GCN.
Revisiones y retos.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [32]

BCM | Gestin de las Prcicas Profesionales

El resultado es el mejoramiento continuo de la capacidad de la


GCN.
La revisin puede incluir:
Un programa de GCN claramente definido y documentado que
est acordado por la Alta direccin de la organizacin.
Asegurar la emisin de reportes De la GCN en una frecuencia
determinada.
Estrategia y estndares de la GCN claramente definidos y
documentados.
Proceso de Gestin que forma parte integral del programa y del
Ciclo de Vida de la GCN de la organizacin.
Revisin y provisin de la estrategia de recuperacin de la
organizacin.
Presupuesto anual del programa de GCN.
Reporte de auditora del programa de GCN.
Provisin y mantenimiento de la competencia y capacidad
efectivas de la GCN.
Notificacin exitosa, escalado, invocacin y experiencias de
recuperacin en respuestas a incidentes reales.
El programa de GCN de una organizacin debe ser manejado sobre
una base continua. Debe revisarse por auditores internos o externos
en las escalas de tiempo y frecuencias que ellos determinen.

[33] GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL

Documentacin de la GCN
Introduccin
Una parte importante del proceso de la GCN es la gestin de
su documentacin. Esta necesita llevarse a cabo de una manera
que sea consistente, fcil de entender y proporcionar apoyo
operativo y para las revisiones de auditora. El nivel y tipo de
documentacin debe ser apropiado al tipo y tamao de la
organizacin.
Aunque la documentacin del proceso siempre es importante,
sta tiene especial significancia para las organizaciones que
desean certificarse contra los estndares de GCN emitidos por
entidades de estndares nacionales o internacionales.
Las organizaciones que estn listas para certificarse contra los
sistemas estndar de Gestin ISO establecidos, necesitarn
revisar cmo su documentacin se ajusta a esos estndares.
Las organizaciones que estn intentando certificarse contra un
estndar nacional o internacional de GCN, necesitarn revisar
cmo su documentacin se ajusta a los requerimientos de los
estndares seleccionados.

iStockphotos.com/lorrainedarke

Resultados y Revisin

Poltica y Gestin del Programa 01

Conceptos y Supuestos

Resultados y Revisin

La documentacin de la GCN tiene tres propsitos:


1. Gestionar efectivamente el programa de GCN.

La documentacin actualizada de la GCN. Esto puede incluir:


La poltica de la GCN.

2. Demostrar la gestin efectiva del programa (por ejemplo


durante una auditora).

Roles, responsabilidades y recursos de la GCN.

3. Permitir un apronta y efectiva respuesta a un incidente.

Reportes en curso de los proyectos de GCN.

Aunque es importante mantener la documentacin de la GCN, su


propia presencia no es prueba de la capacidad para responder a
un incidente.

Registros de formacin y competencia para el personal de GCN.

Se debe dar una adecuada formacin al grupo de trabajo en


la operacin de cualquier software propietario o de otras
herramientas utilizadas en el programa. Los responsables del
mantenimiento de los planes deben estar capacitados para
actualizar su documentacin ya que promueve su propiedad y
reduce los gastos indirectos de la Gestin central de la GCN.

Los resultados del Anlisis Continuo de Requerimientos (ACR).

Mtodos y Tcnicas
Las herramientas para la documentacin de la GCN incluyen
procesamiento de documentos, hojas de clculo, herramientas para
diagramas de flujo, bases de datos
y software para Gestin de proyectos, o el uso de un software
propietario especializado. sto tambin puede utilizarse para asegurar
que las copias actuales de la documentacin estn disponibles en
varios sitios de la organizacin. El software especializado puede ofrecer
algunas ventajas en el mantenimiento, pero impone un costo adicional
de formacin durante el programa.
Se debe establecer un sistema de control documental para gestionar:

Usabilidad y accesibilidad.
Aprobacin.
Actualizacin y revisin.
Control de versiones.
Control de distribucin.
Archivado y destruccin de documentos obsoletos.

Definiciones del proyecto para los proyectos de GCN.

Los resultados del Anlisis de Impacto en el negocio (AIN).


Anlisis de amenazas.
Estrategias de la GCN incluyendo documentos que soportan la
seleccin de las estrategias adoptadas.

Consolidacin del nivel de recursos.


Estructura de la respuesta al incidente.
Planes para la Gestin del Incidente.
Planes para la continuidad el Negocio.
Programa de ejercicios.
Programa de concientizacin y formacin.
Acuerdos de Niveles de Servicio (ANS) con clientes y proveedores.
Contratos para servicios de recuperacin con terceros como espacios
de trabajo y resguardo.

Programa de mantenimiento y revisin (auditora) reportes y


acciones correctivas.

El ciclo de revisin de cada documento debe identificarse en las


secciones relacionadas con la creacin y el uso.
La documentacin y sus controles deben revisarse mediante
auditoras internas o externas en las escalas de tiempo que ellos
definan como parte de su propio programa de auditora.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [34]

04 Determining Business Continuity Strategy

iStockphotos.com/lorrainedarke

Integrar la Gestin de la Continuidad del


Negocio en la Cultura Organizacional

02

GCN Gestin de las Prcticas Profesionales

Integrar la GCN en la Cultura


Organizacional
Visin de la Integracin de la GCN en la cultura de la Organizacin
Introduccin

[37] GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL

iStockphotos.com/lorrainedarke

El establecimiento exitoso de la GCN dentro de la cultura de la organizacin depende de


su integracin con la estrategia de la organizacin y la gestin del da a da, as como de su
alineacin con las prioridades del negocio.

Integrar la GCN en la Cultura Organizacional 02

Esto no es nico para la GCN. Otras disciplinas como Calidad, Salud


y Seguridad, Servicios Ambientales, Gestin de Servicios de TI, y
Seguridad de la Informacin tienen exigencias similares sobre ellas y
consecuentemente han utilizado los mismos modelos estndar ISO
aprobados para los sistemas de gestin.
Algunos de los comentarios en esta seccin pueden igualmente
aplicarse a otras disciplinas, pero siempre que ha sido posible, se han
presentado de manera particularmente pertinentes al profesional de
la GCN.

Estos beneficios slo podrn lograrse completamente, si


la cultura de la organizacin entiende la necesidad de la
GCN y promueve activamente su crecimiento dentro de la
organizacin.

Proceso
El proceso para el desarrollo y la integracin sostenible de la GCN en la
cultura de la organizacin, es una iteracin permanente de lo siguiente:

Principios Generales

Evaluacin de la cultura actual de la organizacin.

La cultura organizacional es un proceso dinmico y evolutivo; y


tambin complejo y multifactico. Debe ser refinado y ajustado
constantemente de manera que permita a la organizacin mejorar su
alineacin estratgica y su desempeo en el ambiente en el que opera.
Si la cultura es la apropiada entonces una estrategia efectiva puede ser
implementada.

Entendimiento de a dnde quiere ir la organizacin.

La visin establecida de la cultura organizacional se refleja a menudo


como la combinacin de supuestos, creencias, valores y patrones
de comportamiento que se comparten entre los integrantes de
una organizacin. stos factores usualmente no son entendidos
conscientemente, pero cuando se combinan crean la forma como la
organizacin se ve a s misma, su lugar en el mercado y el ambiente en
el cual opera.
Tratar de dar sentido a estos supuestos no es sencillo. Son
extremadamente difciles de observar bajo cualquier grado de
exactitud. Sin embargo, es justo decir que la forma como aqu se
hacen las cosas, es una idea que ocupar un lugar prominente en
cualquier organizacin formal e informal. Por tanto, facilitar el cambio
en comportamientos es muy difcil de lograr.
Para tener operando un Sistema de Gestin de la Continuidad del
Negocio (SGCN), se debe asegurar que la organizacin puede:
Administrar eficientemente el programa de GCN
Inculcar confianza en sus grupos de inters, especialmente en el
equipo de trabajo y los clientes, en su habilidad para manejar las
interrupciones.
Incrementar su capacidad de respuesta en el tiempo mediante
la inclusin de las implicaciones de la GCN en las decisiones
estratgicas y tcticas en todos los niveles.
Minimizar el impacto y la probabilidad de las interrupciones.

Evaluacin e identificacin de las diferencias entre las dos anteriores.

Esto incluir:
Evaluar el nivel actual de la conciencia de y el compromiso con la
GCN contra el nivel deseado; luego identificar la brecha para la
formacin.
Disear y entregar una campaa para crear conciencia corporativa
y desarrollar las habilidades, el conocimiento y el compromiso
requeridos para asegurar que la GCN sea exitosa.
Verificar que la campaa de sensibilizacin ha logrado los
resultados deseados y monitorizar la sensibilizacin sobre la GCN
en el largo plazo.

Mtodos y Tcnicas
La campaa de sensibilizacin y sus mensajes deben estar hechos a la
medida de las audiencias objetivo. Estas audiencias son tanto internas
(por ejemplo los profesionales de la GCN y el equipo de trabajo en
general) como externas (por ejemplo grupos de inters clave y terceros
que dependen de, o que pueden afectar adversamente, los esfuerzos
propios sobre la GCN de la organizacin). La sensibilizacin externa
es particularmente importante donde la GCN opera en un ambiente
externalizado.
La visin establecida de la cultura organizacional considera que
el cambio estratgico est limitado por patrones rgidos de
comportamiento que estn respaldados por fuertes controles sociales;
y que se manifiestan en valores compartidos, estilos de trabajo y
patrones de conducta. Con frecuencia se describen como esta es la
forma como lo hacemos aqu o lo que tiene que hacer para encajar .

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [38]

GCN Gestin de las Prcticas Profesionales

La experiencia ha mostrado que las iniciativas de cambio


en el comportamiento fallan en generar un compromiso
duradero, a menos que las actitudes y creencias tambin estn
comprometidas.
Una creencia especfica nunca suceder aqu es una
barrera particular para la GCN. Para cambiar realmente los
comportamientos, es necesario influir en las actitudes. Para
influir en las actitudes es necesario desarrollar y establecer
creencias. Luego, lograr el cambio cultural puede ser un proceso
sutil y prolongado.

Comportamientos

Actitudes

Actitudes
comunican
comportamientos

Resultados
Hay un lmite hasta el que cualquier programa puede influir y
alterar la cultura de la organizacin. Intentos por cambiar las
actitudes pueden tener efectos inesperados que pueden ser
contraproducentes o incluso tomar la direccin opuesta a la que
se persegua llegar.
La implementacin de un programa cultural en la GCN no debe
ser subestimada, ya que implica la influencia en los valores,
creencias y comportamientos; y es un reto para la gestin
de cambios importantes que requieren no slo educacin,
formacin, sensibilizacin y participacin, sino fuertes
habilidades de liderazgo de individuos clave.
Las evaluaciones necesitan considerarse cuidadosamente
porque el anlisis raramente es completamente objetivo: las
personas traen consigo toda una serie de supuestos anteriores,
sabidura recibida, formas tradicionales sobre cmo hacer las
cosas, percepciones heredadas del mundo en el que viven y de su
posicin o estatus dentro de ste.
Factores de xito incluyen:

Creencias

Creencias
comunican
Actitudes

En ltima instancia, el xito de integrar un programa de


GCN estar determinado por el grado en que los individuos
cambien sus comportamientos, actitudes y creencias.

[39] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Apoyo visible y continuo de la Alta Direccin. Esto debe incluir


presupuesto adecuado para apoyar la campaa permanente de
sensibilizacin. Tambin es importante ganar el compromiso
de los mandos medios y de los integrantes del equipo de
trabajo operativo quienes se requieren para implementar el
programa de GCN.
Consulta con todos los involucrados en la GCN para el
desarrollo de la campaa. Adems de proporcionar enfoque en
los esfuerzos de sensibilizacin; la consulta en s misma ayuda
a crear conciencia y puede ayudar a preparar el camino para el
compromiso con las nuevas prcticas de trabajo.
Focalizacin en las prioridades de negocio de la organizacin,
relacionando el mensaje de la campaa a los factores
corporativos e individuales.
iStockphotos.com/lorrainedarke

Educacin,
entrenamiento
y sensibilizacin
debenabordarse en
todos los niveles
para lograr efectos
duraderos

Sin embargo, como las personas frecuentemente son


inconscientes de sus juicios culturales y de los supuestos que
subyacen sus maneras de hacer las cosas, una vez la cultura
corporativa se ha establecido, es relativamente resistente al
cambio estratgico - de ah nace la necesidad de un proceso
iterativo continuo para evaluar y retar supuestos y prcticas.

Integrar la GCN en la Cultura Organizacional 02

Evaluacin del Nivel de Sensibilizacin


y Formacin de la GCN
Introduccin
La Poltica de GCN provee el marco de trabajo, que apoya la
necesidad del cambio cultural.
La Poltica de GCN provee el marco de trabajo, que apoya la
necesidad del cambio cultural.
Antes de planificar y disear los componentes de una campaa
de sensibilizacin, es importante entender cul es el nivel de
sensibilizacin existente y cul es el nivel deseado. Tambin es
importante identificar cmo se medir el nivel de sensibilizacin
deseado y cules cambios se manifestarn en la nueva cultura de
GCN.
La competencia y la capacidad de la GCN deben ser apropiadas a la
naturaleza, escala, y complejidad de la organizacin, y por lo tanto
reflejar su cultura y apoyar los objetivos del negocio.
Los niveles de sensibilizacin de la organizacin deben estar en
cambio constante en la medida que entran y salen personas. Eventos
internos y externos pueden conducir a aumentos sbitos en la
conciencia y conocimiento de los temas de la GCN.
En la medida en que stos rpidamente se desvanecen, el
programa de GCN debe estar listo para aprovechar y desarrollar las
oportunidades cuando surgen.
Se deben tener en cuenta las consideraciones para extender el
alcance del programa de sensibilizacin en GCN a los proveedores,
clientes, contratistas y otros grupos de inters de la organizacin.

Conceptos y Supuestos
Se debe buscar una auditora de la sensibilizacin actual en la GCN
para establecer el nivel de conocimiento y compromiso con el
programa de GCN.
Las evidencias se encontrarn principalmente en los patrones de
comportamiento, pero hay otras fuentes dentro de la organizacin.
Aquellos involucrados en hacer la evaluacin de la sensibilizacin
deben tener un buen entendimiento del negocio y de sus objetivos
en la GCN.
Tambin deben tener, o estar en la capacidad de vincular, a quienes
tienen niveles apropiados de competencias en educacin, formacin
y actividades de sensibilizacin; al igual que habilidades adecuadas
de anlisis y relaciones interpersonales.
Como para otras etapas de la campaa de sensibilizacin, esta
actividad requiere la consulta y cooperacin del equipo de trabajo a
lo largo de la organizacin. Desde la Alta Direccin, pasando por los
profesionales de GCN, hasta el equipo de trabajo sin roles especficos
en GCN, pero con la responsabilidad general de hacer su parte
en la GCN. En particular la Alta Direccin, desde el principio, debe
suministrar el apoyo para el trabajo de sensibilizacin tanto en

trminos de recursos materiales y como en el compromiso con la


misin.

Requerimientos de Habilidades y Formacin


La actividad de evaluacin de la sensibilizacin, es efectivamente un
Anlisis de Necesidades de Formacin (ANF) y comprende tres tareas
principales:
1. Establecer el nivel actual de sensibilizacin de la GCN
2. Especificar el nivel deseado de sensibilizacin o formacin y cmo
se medir.
3. Identificar la naturaleza y alcance de La Brecha de Formacin
que debe ser cubierta por la campaa.
Los requerimientos del proyecto o las habilidades del Equipo de
trabajo de GCN incluyen:
Administracin del Programa
Anlisis de Impacto en el negocio
Desarrollo e implementacin de Planes de Continuidad del
Negocio
Gestionar un programa de ejercicios
Se debe suministrar ms educacin general en temas de GCN para el
Equipo de trabajo de GCN involucrado en el programa. Por ejemplo:
Entender las tendencias y nuevos desarrollos en la materia.
Explorar las posibilidades de nuevas tecnologas.
Aprender cmo otras organizaciones estn enfrenando retos
similares.
Para otros roles relacionados con la GCN se pueden requerir
habilidades especficas para la respuesta a incidentes como:
Evacuacin por incendio
Evaluacin de daos
Salvamento
Restauracin de equipo
Liderazgo
Los requerimientos de sensibilizacin para el Equipo de trabajo
general, pueden incluir:
Cmo activar una alarma.
Responder a amenazas especficas.
Qu hacer cuando es evacuado del sitio.
Conocimiento de los planes de recuperacin.
Integracin de sensibilizacin bsica dentro del programa de
induccin al Equipo de trabajo.
Dnde encontrar informacin acerca de la GCN en la organizacin.

Proceso
Establecer el nivel actual de sensibilizacin de la GCN
Esta actividad es un ejercicio de recopilacin de informacin.
El objetivo debe ser el de establecer indicadores estadsticos
sobre cualquier brecha en sensibilizacin y una evaluacin de la
apreciacin de, y el compromiso hacia la GCN en grupos objetivo
del Equipo de trabajo. Las fuentes de informacin deben incluir:
Documentacin: incluye procedimientos y polticas

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [40]

GCN Gestin de las Prcticas Profesionales

Especificar el nivel deseado de sensibilizacin y cmo se


medir
Esta actividad se trata de especificar los comportamientos e
indicadores de desempeo asociados, que confirmarn al negocio
el nivel de satisfaccin sobre la sensibilizacin en la GCN para cada
grupo objetivo del equipo de trabajo. Esta especificacin debe
estar acordada con la Alta Direccin (en trminos del desempeo
corporativo de la GCN) y con los directores y profesionales de la
GCN (en trminos de la viabilidad e integracin con las prcticas
laborales).
Las especificaciones dependern de la naturaleza y el alcance del
negocio, sus esfuerzos y requerimientos para la GCN, pueden
incluir lo siguiente:
Habilidades especficas requeridas para la respuesta de la GCN a
interrupciones.
Prcticas mejoradas de trabajo que apoyen los desarrollos de la
GCN
Un mejor entendimiento de, y material de apoyo para los temas
de la GCN por el Equipo de trabajo en general.
Un perfil ms alto de la GCN en el proceso de toma de
decisiones corporativas, la poltica y la cultura.

Identificar la naturaleza y alcance de la brecha de formacin


que requiere ser cubierta con la campaa de sensibilizacin
Esta actividad requiere la comparacin de resultados de los pasos
descritos anteriormente. La naturaleza y alcance de la brecha en
la formacin debe identificarse en trminos de las temticas de la
GCN que sern tratadas en la campaa y el tipo de entrega que sera
ms efectivo: educacin (informacin), formacin (habilidades) o
sensibilizacin (apreciacin de y compromiso con, la GCN).

[41] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Resultados y Revisiones
Los resultados de la evaluacin de la sensibilizacin deben incluir:
El estado del nivel actual de sensibilizacin y la eficacia del
Equipo de trabajo para apoyar la GCN.
El estado del nivel de sensibilizacin deseado y cmo se medir.
Una definicin de la brecha de formacin incluyendo las
temticas de la GCN que requieren mayor sensibilizacin en
el equipo de trabajo (ya que sto ayudar a definir el mensaje
de la campaa general de sensibilizacin) y el(los) nivel(es) de
competencia en que se encuentra cada grupo objetivo.
La sensibilizacin del Equipo de trabajo puede definirse en uno de
los siguientes cuatro niveles:
1. Incompetencia Inconsciente donde el equipo de trabajo es
inconsciente de los temas de la GCN. No saben lo que no
conocen.
2. Incompetencia Consciente donde el equipo de trabajo es
generalmente consciente de los temas de la GCN, pero conocen
muy poco del detalle de los requerimientos.
3. Competencia Consciente donde el equipo de trabajo es
consciente de los temas de la GCN y es competente (por
ejemplo sigue procedimientos documentados) para apoyar la
GCN.
4. Competencia inconsciente donde el equipo de trabajo es
completamente competente en forma instintiva para aplicar la
GCN en una gran variedad de circunstancias.
La evaluacin de la sensibilizacin debe realizarse al inicio
de la campaa, luego siguiendo el avance de la campaa y
posteriormente de manera peridica como un sistema de
monitoreo a la capacidad. Adicionalmente, las evaluaciones de
sensibilizacin pueden ser necesarias en respuesta a cambios como:
Procesos del Negocio que afecten las prioridades de la GCN
Legislacin o regulacin que afecte los requerimientos de la GCN
Incremento de amenazas y vulnerabilidades a la seguridad
Requerimientos corporativos y de clientes/socios para
disponibilidad de informacin y servicios, incluyendo el
cumplimiento con normas relevantes.
iStockphotos.com/lorrainedarke

corporativas, reportes de respuesta a incidentes y crisis, registros


de pruebas y ejercicios previos de la GCN, sistemas relevantes de
TI y mtricas del negocio.
Retroalimentacin de las personas: incluye entrevistas con la
Alta Direccin y los directores del negocio, grupos enfocados
con profesionales y usuarios finales.
Observacin: incluye revisiones en sitio de las prcticas
actuales de trabajo (por ejemplo, en comparacin con la poltica
corporativa).

Integrar la GCN en la Cultura Organizacional 02

Desarrollo de la GCN dentro de la


Cultura de la Organizacin

cuenta cuando se planifica la estrategia y el cronograma de la


campaa.

Introduccin

El diseo y entrega de educacin, formacin y sensibilizacin


comprenden tres actividades principales:
1. Diseo
2. Planificacin
3. Entrega
Diseo

La Poltica de la GCN suministra el marco de referencia que


apoya los requerimientos para el cambio cultural. Dentro de
las actividades de cultura y sensibilizacin de la GCN, el diseo
y entrega del programa de educacin, cultura y sensibilizacin
debe derivarse del anlisis de brechas de formacin. Las
responsabilidades de los individuos dentro del programa
necesitan asignarse antes de que ste sea diseado. El propsito
de esta actividad es definir los mensajes a ser asimilados por el
equipo de trabajo y seleccionar los medios ms efectivos para
entregarlos.
Las tcnicas que podran utilizarse incluyen:
Formacin: Habilidades especficas relacionadas a la GCN
Educacin: Conocimiento especfico de los temas de la GCN
Sensibilizacin: Conocimiento general de la GCN
Lo temas a ser cubiertos por esas actividades incluyen:
Diseo
Planificacin
Entrega

Conceptos y Supuestos
La educacin, la formacin y la sensibilizacin pueden
entregarse de diferentes maneras. Para el xito de una campaa
de sensibilizacin, es crtica la seleccin de los mtodos ms
apropiados y efectivos para su entrega. La planificacin y el
diseo de la campaa deben ser jerrquicos, iniciando con los
objetivos derivados de la definicin de la Brecha de Formacin
y sus caractersticas constitutivas. Los puntos de aprendizaje
a su vez deben identificarse del conocimiento especfico, las
habilidades y las temticas de sensibilizacin que necesitan ser
asimilados por el equipo de trabajo para cerrar la brecha.
El personal sin responsabilidad especial para la GCN
puede necesitar alcanzar solamente sensibilizacin o un
determinado nivel de competencia para realizar aquellas tareas
relacionadas con la GCN que forman parte de su rol dentro
de la organizacin. Los profesionales de GCN, sin embargo,
deben recibir una ruta de formacin estructurada que les
entregue conocimiento, habilidad y finalmente que le brinde
competencia en la GCN a travs de oportunidades para poner
en prctica sus habilidades.
Tanto el costeo de la campaa como el esfuerzo requerido,
deben ser acordados con la Alta Direccin durante la etapa
inicial del proceso. La disponibilidad del Equipo de trabajo para
atender los eventos de formacin tambin debe tomarse en

Proceso

El diseo en general puede considerar la sensibilizacin en


temas genricos de GCN como el primer paso para crear
inters por formacin formal o por eventos similares donde se
entregue informacin clave.
Despus de los eventos formales de aprendizaje, se debe
proporcionar ms informacin y oportunidades para el mismo,
a travs de por ejemplo: boletines corporativos de noticias,
sitios en la intranet, grupos de discusin y otras actividades.
En el diseo de la campaa se deben completar las siguientes
tareas clave:
Identificar las audiencias.
Identificar los temas en educacin, formacin y
sensibilizacin que sern entregados.
Dar prioridad a los puntos de enseanza que comprenden
los temas sobre educacin, formacin y sensibilizacin en la
GCN.
Seleccionar el orden y los mtodos necesarios de entrega
para los puntos de enseanza prioritarios.
Planificacin
La tarea de planificacin debe considerar las formas ms
rentables para la entrega, y tener en cuenta la disponibilidad del
equipo de trabajo y las prcticas laborales.
Esta tarea tambin debe considerar la difusin de la campaa
en s misma como parte de la directiva de sensibilizacin. Las
actividades clave en esta tarea deben incluir:
Discutir y acordar con la Alta Direccin la campaa
propuesta.
Probar los elementos clave de la campaa con un grupo
seleccionado de directores del negocio y con grupos focalizados
del equipo de trabajo, y definir los criterios de xito.
Planificar la integracin del mensaje de la GCN con una
induccin y formaciones de actualizacin; al igual que su
inclusin en otros formacines del equipo de trabajo.
Realizar pruebas piloto y evaluar los eventos propuestos para
la formacin.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [42]

GCN Gestin de las Prcticas Profesionales

Entrega
La estrategia seleccionada para el programa de educacin,
formacin y sensibilizacin depende de circunstancias individuales;
por consiguiente se pueden ofrecer nicamente las siguientes
recomendaciones generales para estas campaas:

Formaciones internas, incluyendo una induccin especfica y cursos


de actualizacin.
Educacin a distancia (videos obligatorios de formacin bsico,
lecturas)

La campaa debe aumentar la sensibilizacin en los temas de la


GCN en la organizacin y los empleados.

La GCN y ejercicios de manejo de incidentes (internos o externos)

El apoyo de la Alta Direccin hacia la campaa debe ser evidente en


los eventos y los materiales utilizados en la formacin.

Documentos informativos

Se debe ofrecer formacin formal nicamente cuando hay evidencia


de que ha sido aceptada la sensibilizacin en los temas de la GCN.
La asimilacin del conocimiento o las habilidades entregadas por
la formacin, deben evaluarse y cualquier deficiencia debe ser
administrada.
Despus de finalizar las actividades de formacin formal, se deben
realizar esfuerzos en programas de actualizacin de educacin,
formacin y sensibilizacin, para asegurar que el equipo de trabajo
es consciente de las continuas necesidades (y cambios) en la GCN.
Se debe tener disponible un presupuesto para la formacin regular
formal del equipo de trabajo y para continuar el desarrollo del equipo
de trabajo calificado (especializado) en GCN.

Mtodos y Tcnicas
Existen muchas teoras sobre cmo aprenden los adultos y una
correspondiente variedad de estrategias de entrega. Mientras
los profesionales de la GCN pueden facilitar el contenido formal
de la formacin, deben trabajar con expertos en formacin para
desarrollar la estrategia y entregar la campaa.
Es importante reconocer que la sensibilizacin no est limitada
al formacin formal y requiere que la GCN est integrada con las
prcticas laborales. En consecuencia, siempre que sea posible se
deben encontrar oportunidades para incluir la GCN en la agenda.
Los recursos de informacin pueden incluir:

Recursos para la Sensibilizacin:


Peridicos corporativos, boletines, artculos y entrevistas
Visitas a las reas de trabajo en los sitios de recuperacin y a los
centros de manejo de incidentes
Sitios web en la intranet
Ejercicios, simulacros y pruebas de los planes de la GCN de la
organizacin.
Los profesionales de la GCN dentro de la organizacin
Remuneracin y premios mediante el sistema de evaluacin del
desempeo.
Participacin en ejercicios de GCN o eventos reales de otras
organizaciones.
Inclusin de objetivos relacionados con la GCN a travs de los
mecanismos de evaluacin del desempeo de la organizacin.

Resultados
Los entregables de la campaa comprendern un rango de actividades
de aprendizaje, incluyendo formacin presencial, educacin a distancia,
eventos de sensibilizacin, y la promocin de los temas de la GCN en
las prcticas laborales. Claramente, su naturaleza y alcance dependen
de los objetivos especficos de sensibilizacin de la campaa.
Los resultados de la campaa pueden incluir:
Mayor conciencia general de la necesidad del programa de GCN

Sitios Web de GCN

Sensibilizacin sobre la importancia de la GCN para la organizacin


y sus prioridades de negocio.

Libros, peridicos y publicaciones de la industria

Identificacin de un enfoque aceptable para la GCN que puede


integrarse en las prcticas laborales.

Conferencias y seminarios
Recursos de formacin
Cursos externos aprobados de formacin
Programas acadmicos formales de educacin
Foros regionales del BCI y grupos de trabajo
Grupos de trabajo de la industria
Entidades certificadoras

[43] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Mejorar la efectividad en la realizacin de tareas especficas de la


GCN.
Respuestas ms efectivas a los incidentes reales de Continuidad del
Negocio.
Mayores exigencias sobres los profesionales en GCN; por ejemplo
mediante la creciente preocupacin acerca de la GCN por parte de
los directores del negocio.

Integrar la GCN en la Cultura Organizacional 02

Monitorizacin del Cambio Cultural


Introduccin
El propsito de la monitorizacin de la educacin, la formacin
y la sensibilizacin es mantener la efectividad y la calidad de la
campaa, asegurando su circulacin
corporativa con la industria y otros temas pertinentes a la GCN y
asegurar que el nivel requerido de sensibilizacin es alcanzado.
Claramente, tanto el logro global de la campaa como el xito o
fracaso de componentes especficos, deben revisarse para mejorar
continuamente la pertinencia y efectividad de la labor realizada.
De otro lado, la campaa de sensibilizacin debe ser vista como una
tarea continua y se requiere hacer revisiones peridicas para verificar
cualquier esfuerzo requerido para mantener la sensibilizacin en un
nivel aceptable.

Conceptos y Supuestos
La efectividad de la educacin, la formacin y la sensibilizacin
puede medirse en un nmero de niveles: Desempeo mejorado en
los individuos, mejores estndares a lo largo de la organizacin y
aumento del nfasis de la GCN en la cultura corporativa.
Se debe tener cuidado para realizar las preguntas correctas no
solo desde la perspectiva organizacional sino tambin desde
la perspectiva de los individuos para: obtener las respuestas
relevantes, interpretar correctamente los datos y permanecer
atentos a los temas por fuera del mbito central de formacin que
pueden ser relevantes para la cultura de la GCN en general.
El razonamiento detrs de esto es que las respuestas a menudo son
nicas y situacionales y slo a travs de mtodos como entrevistas
semi-estructuradas, observacin del participante y grupos
focalizados, puede evaluarse las complejidades del contexto y la
importancia del entendimiento de las personas. Los profesionales
de la GCN probablemente necesitan asistencia de especialistas en
aprendizaje en este campo.

sensibilizacin). La efectividad de la campaa debe cuantificarse,


siempre que sea posible, en trminos de mejoramiento del
negocio.
Monitoreo peridico de la sensibilizacin. La Alta Direccin debe
estar preparada para presupuestar regularmente en ejercicios de
evaluacin y posibles acciones posteriores.

Mtodos y Tcnicas
La evaluacin puede tomar muchas formas. La evaluacin efectiva
combinar una variedad de mtodos de corto y largo plazo,
revisando tanto la forma y el contenido de la campaa misma
como su efecto sobre la GCN dentro de la organizacin.
Siempre que sea posible, los resultados de la evaluacin deben
expresarse en trminos de los beneficios de la campaa para
el negocio. Especficamente, la evaluacin de los cursos de
formacin puede incluir discusiones, concursos y exmenes cortos
durante el curso para verificar y alinear la enseanza al vuelo.
Formatos de Evaluacin del Curso pueden utilizarse para mejorar
la estructura del curso, el contenido y la entrega. La evaluacin
de un curso debe basarse en una serie de sesiones ms que en una
sola.

Resultados y Revisiones
Las revisiones deben incluir una variedad de reportes para los
niveles apropiados dentro de la organizacin. Deben considerar a la
Alta Direccin, directores relevantes del negocio, profesionales de
la GCN y proveedores de formacin.
La evaluacin de la campaa debe hacerse durante y despus de
que se ha realizado la mayor parte de la campaa para permitir la
realineacin de la estrategia y revisar si la campaa ha alcanzado
su objetivo general de reducir la brecha de formacin identificada
en la evaluacin inicial de la sensibilizacin.
Los resultados de la evaluacin de la campaa deben reportarse
al Equipo de trabajo a travs de los canales corporativos y pueden
incluir:
Identificacin de requerimientos adicionales en educacin,

formacin y sensibilizacin.
Proceso

Solicitar y recopilar la retroalimentacin sobre formaciones


especficas. Mientras algunas formaciones pueden ser exitosas
y otras menos, es importante ir en busca de las tendencias de
fondo como por ejemplo, mdulos especficos dentro de un
curso que constantemente genera crticas.
Monitorizar la efectividad. La retroalimentacin en el corto
plazo puede proveer informacin sobre los componentes de
una campaa y permitir su mejoramiento; pero el efecto
de la campaa en el largo plazo es ms importante y puede
manifestarse en trminos menos tangibles (por ejemplo: mayor

Identificacin de oportunidades de desarrollo para los

profesionales de la GCN.
Mejoramiento de las prcticas laborales.

Se debe realizar una auditora regular al programa de


sensibilizacin de manera que las deficiencias puedan ser
identificadas y tratadas.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [44]

GCN Gestin de las Prcticas Profesionales

Logro del Cambio Cultural a travs de


Sistemas de Gestin de Normas
Introduccin
Aunque la implementacin de un Sistema de Gestin de
la Continuidad del Negocio formal (SGCN) no resulta por
s mismo en un cambio cultural, s provee algunos de los
prerrequisitos para su xito. Estos son:
Compromiso de la Alta Direccin.
Un proceso formal de medicin del desempeo.
La necesidad de demostrar lo bien que se ha integrado la GCN.

Procesos especficos para apoyar el programa de GCN.


Recursos incluyendo presupuesto, tiempo e instalaciones.
A BCMS uses the Plan-Do-Check-Act (PDCA) cycle which is
common to all ISO management systems.
Planificar

Establecer la poltica, objetivos y el alcance del programa

Hacer

Implementar el programa de GCN

Verificar

Realizar auditora interna y revisin de la gestin del SGCN

Actuar

Implementar los resultados de la revisin

Aseguramiento de la calidad y exactitud de la documentacin.


Aseguramiento de los procesos y procedimientos mandatorios.
Involucramiento de una amplia gama de individuos en todos los
niveles.
Necesidades de formacin y presupuestos apropiados que se
establezcan.

Aunque la norma ISO pretende ser aplicable a todas las


organizaciones, hay una intencin clara de no suponer que un
SGCN debe tener un diseo uniforme. Corresponde a cada
organizacin disear un SGCN apropiado a sus necesidades y a los
requerimientos de las partes interesadas.

Certificacin
Un sistema de gestin para la GCN puede ser definido como
parte general del sistema de gestin (de la organizacin) que
establece, implementa, opera, monitorea, revisa, mantiene
y mejora la Continuidad del Negocio. Esto implica que el
sistema tiene:
Una poltica.
Personas con responsabilidades definidas para la GCN.
Procesos de gestin para apoyar la poltica.
Un conjunto de documentacin para proporcionar evidencias
al proceso de auditora.

[45] GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL

La certificacin de una organizacin contra una norma formal


no garantiza que se puedan administrar exitosamente todas las
interrupciones; tan solo que han sido llevados a cabo los aspectos
del proceso de GCN que pueden ser objetivamente auditados.
Sin embargo, la naturaleza rigurosa de alcanzar la certificacin
somete a la organizacin a un nivel de exposicin considerable
de la GCN y puede construir sensibilizacin sobre el tema en
todos sus niveles. La certificacin, as como el cumplimiento
regulatorio, no significan por derecho propio el cambio de cultura,
sino que tiene una influencia positiva general, ya que requiere a la
organizacin ser muy clara sobre su Poltica y objetivos de la GCN
y cmo los comunica al equipo de trabajo.

iStockphotos.com/lorrainedarke

Sistemas de Gestin

iStockphotos.com/lorrainedarke

Entendimiento de la Organizacin

03

GCN Tcnicas de las Prcticas Profesionales

Entendimiento de la Organizacin
Introduccin

[47] GCN
[47]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

iStockphotos.com/lorrainedarke

El Entendimiento de la Organizacin es la prctica profesional dentro del Ciclo de Vida


de la GCN que revisa la organizacin en trminos de cules son sus objetivos, cmo trabaja
funcionalmente y las limitaciones del entorno en el que opera. La informacin recopilada hace
posible determinar cmo se prepara mejor la organizacin para ser capaz de administrar las
interrupciones que de otra forma podran daarla seria o fatalmente.

Entendimiento de la Organizacin 03

Como se describi en la seccin de la Poltica de GCN, la


organizacin debe tomar una decisin previa y clara sobre si el
SGCN abarcar toda la organizacin o solo ciertos productos
o servicios. Esto establece el alcance de las etapas de Anlisis
de Impacto en el negocio AIN (Business Impact Analysis BIA),
Anlisis de Requerimientos de Continuidad ARC y la Evaluacin de
Amenazas.

Las herramientas para el entendimiento de su negocio para el


propsito de la Continuidad del Negocio, son:
Anlisis de Impacto en el negocio (AIN): Para evaluar el impacto,
en el tiempo, de una interrupcin sobre la capacidad de la
organizacin para operar.
Anlisis de Requerimientos de Continuidad ARC: Para estimar los
recursos, instalaciones y servicios externos que cada actividad
requerir en la reanudacin y retorno a la normalidad luego de
una interrupcin.
Evaluacin de Amenazas por medio del Anlisis de Riesgo: Para
estimar la probabilidad y el impacto de amenazas conocidas sobre
funciones especficas.
El AIN identifica la urgencia de cada actividad realizada por
la organizacin, mediante la evaluacin del impacto en el
tiempo de una interrupcin de esta actividad en la entrega
de los productos y servicios. Esta informacin es utilizada
para identificar las ventanas de tiempo para las estrategias
apropiadas de continuidad y reanudacin, para cada actividad
individualmente y en relacin de unas con otras.
El ARC proporciona la informacin que permitir determinar
la escala (tamao y nmero) de las medidas de continuidad
apropiadas.
La Evaluacin de Amenazas por medio del Anlisis de Riesgo
ayuda a identificar las causas potenciales de una interrupcin
en la organizacin, la probabilidad de ocurrencia y el impacto si
esa amenaza ocurre. Pueden ser identificadas entonces medidas
que intenten reducir la probabilidad de ocurrencia o reducir el
impacto de un incidente derivado de estas amenazas especficas.
Dentro del Programa de GCN esta etapa debe enfocarse en las
amenazas inherentes a las actividades del negocio identificadas
en los resultados del AIN como las ms urgentes en lugar de
todas las amenazas a la organizacin.
La asignacin de tiempo y presupuesto entre la provisin
de instalaciones de recuperacin y las medidas para mitigar
amenazas especficas debe decidirse por experiencia y juicio, ya
que no existen frmulas o reglas para guiar esta decisin.
Un profundo entendimiento de la GCN de la organizacin por
medio de estas tcnicas puede a menudo, resaltar ineficiencias
del negocio que de otro modo no seran evidentes para la Alta
Direccin.

Anlisis de Impacto en el Negocio


Introduccin
El Anlisis de Impacto en el Negocio AIN es el fundamento
sobre el que se construye todo el proceso de la GCN. Identifica,
cuantifica y califica los impactos al negocio de las prdidas,
interrupciones o interferencias en las actividades del negocio
en una organizacin y proporciona la informacin a partir de
la cual se pueden determinar las estrategias de continuidad
adecuadas.
Un AIN puede utilizarse para identificar las escalas de tiempo y
el grado de impacto de una interrupcin en diferentes niveles
de una organizacin. Por ejemplo, para examinar el efecto de:
Estrategia: La prdida de la capacidad para entregar cada
producto o servicio - con el fin de apoyar la decisin del alcance
del programa de GCN.
Tctica: Una interrupcin de las actividades internas o externas
que pueda impedir la entrega de productos y servicios - Con el
fin de suministrar informacin para la seleccin de las opciones
de continuidad y sus requerimientos de recursos.
Operativas: La interrupcin de las actividades de un rea
del negocio - con el fin de apoyar la preparacin de un plan
detallado para el departamento.

Principios
Es necesario obtener el apoyo total de la Alta Direccin antes de
intentar el Anlisis de Impacto en el Negocio. Es poco probable que
los directores estn preparados para dedicar tiempo a este ejercicio
a menos que est demostrado el apoyo de la Alta Direccin.
La decisin sobre qu productos y servicios estn dentro del alcance
del programa de GCN, se debe haber tomado antes de llevar a cabo
el AIN y debe estar documentada en la poltica del Programa de
Gestin de la Continuidad del Negocio GCN. De manera alterna, el
mtodo del AIN puede utilizarse para entender el impacto de la
falla en la entrega de productos o servicios y puede utilizarse para
decidir el alcance del programa de GCN.
Una vez que se ha definido el alcance, el AIN se enfoca en las
actividades (que apoyan esos productos y servicios) identificando
aquellas cuya falla podra amenazar ms rpidamente la entrega.
stas tienden a ser actividades operativas que interactan
directamente con los clientes u otras organizaciones externas. Sin
embargo, estas actividades pueden depender para su entrega del
apoyo de otros procesos internos o externos, los cuales tambin
deben ser analizados.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [48]

GCN Tcnicas de las Prcticas Profesionales

Ejemplos de actividades estratgicas incluyen:


Direccin
Proyectos
Planificacin
Ejemplos de actividades tcticas incluyen:
TI (con excepcin de los proveedores de servicios de TI en los
que sto puede ser un servicio externo)
Recursos humanos
Servicios de apoyo externo como los servicios pblicos
Ejemplos de actividades operativas incluyen:
Servicio al cliente
Ventas
Produccin
Visitas a domicilio
Recopilacin de basuras

Propsito
El propsito de un Anlisis de Impacto en el negocio para cada
actividad, producto o servicio, es:
Documentar los impactos en el tiempo que puedan resultar
de su prdida o interrupcin.
Identificar el Mximo Perodo Tolerable de Interrupcin
(MPTI) y por tanto las prioridades de recuperacin (ver
conceptos a continuacin).
Identificar las dependencias (internas y externas) que se
requieren para permitir que la actividad opere eficazmente.
Es posible (y deseable) que el AIN se utilice para determinar el
impacto de interrupcin ante cambios mayores en el negocio
como:
Introduccin de nuevos productos, procesos o tecnologas.
Reubicacin o cambio en la distribucin geogrfica del
negocio.
Un cambio significativo en la operacin del negocio,
estructura o las jerarquas del Equipo de trabajo.

Suministro de informacin a individuos u otras organizaciones

Un nuevo proveedor importante o un contrato de


externalizacin.

La Alta Direccin debe identificar los planes futuros ms


importantes para la organizacin que puedan afectar los
impactos a ser evaluados en el AIN.

Esto puede permitir a la organizacin tomar ventaja de los


cambios para aumentar su resiliencia o mejorar su capacidad de
recuperacin.

[49] GCN
[49]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

Entendimiento de la Organizacin 03

Conceptos y Supuestos
Conceptos
Mximo Perodo Tolerable de Interrupcin (MPTI): Es el tiempo

luego del cual la viabilidad de una organizacin (ocasionada


por una prdida financiera o reputacional) ser afectada
irreparablemente si la entrega de un producto o servicio en
particular no puede reanudarse.
Los factores que pueden considerarse en la estimacin del MPTI,
incluyen:
> El impacto sobre el Equipo de trabajo o el bienestar pblico.
> El impacto de las violaciones de obligaciones legales o
requerimientos regulatorios.
> Impacto reputacional
> Dao a la viabilidad financiera
> Deterioro en la calidad del producto o servicio
> Dao ambiental

> Otros factores especficas para la organizacin


La estacionalidad (temporadas) y la variabilidad pueden afectar
el MPTI. Como ejemplos, un cierre financiero de final de ao
puede reducir la tolerancia a que la actividad financiera est por
fuera; mientras que un contrato nico con sanciones significativas
relacionadas con el tiempo puede reducir la tolerancia a estar
por fuera para una serie de actividades dentro de la organizacin
durante la vigencia del contrato.

Terminologa
Es necesario tener cuidado con el uso de la palabra crtica.
Desafortunadamente, para quienes no estn familiarizados
con la terminologa de la GCN, crtica es interpretado como
importante, conduciendo a malos entendidos cuando se recopila
la informacin para el AIN y la incorrecta interpretacin de que
las tcticas de recuperacin y los planes no se requieren para
actividades no crticas.
Una vez comprobado el MPTI para cada actividad, a menudo es
conveniente vincular las actividades con requerimientos similares
de recuperacin. A veces, las organizaciones llaman a estos
grupos de acuerdo con la ventana de tiempo de recuperacin
(por ejemplo, un da, dos das, una semana, etc.); otros utilizan
el trmino crtica (o misin crtica) para aquellas actividades
requeridas en los

iStockphotos.com/lorrainedarke

primeros das. Sera mejor utilizar trminos menos ambiguos;


con significados asociados al tiempo, como momento crtico,
momento delicado, prioritario y urgente.

Supuestos
Se supone que el trabajo complejo e interrelacionado de la
organizacin puede ser entendido mediante el anlisis separado de
las actividades de la organizacin.
Donde ya existen medidas implementadas de resiliencia (como
sitios alternos de operacin), se debe asumir que se encuentran en
funcionamiento.

El MPTI puede ser difcil de determinar para las funciones


estacionales (temporadas) o peridicas, como los procesos de
fin de ao y los proyectos. En tales casos, el anlisis de impacto
debe centrarse en una interrupcin de la actividad durante uno
de estos picos, es decir, durante el perodo ms perjudicial.
Si bien muchas actividades son dependientes de la operacin
continua de los proveedores, puede no ser posible averiguar las
capacidades de servicio y recuperacin de estas organizaciones.
Sensibilidad (Confidencialidad) de la Informacin
Es posible que alguna informacin sea confidencial dentro del
mercado o la industria, y por lo tanto en algunas organizaciones
sta no ser visible al profesional de la GCN. No contar con esta
informacin no debe detener las acciones del AIN que se estn
desarrollando, sin embargo puede impactar la exactitud de los
resultados finales.

Proceso
Alcance y Extensin
Identificar la relacin entre las diferentes partes de la
organizacin ya que esto puede afectar el MPTI.
Cuando una organizacin cuenta con mltiples sedes, puede
ser necesario decidir sobre la mxima extensin geogrfica
de la interrupcin o la magnitud de la prdida de recursos que
la organizacin quiere, necesita, o planea para sobrevivir a fin
de cuantificar el impacto. Esto debe estar documentado en la
poltica de GCN y puede estar determinado por:
> La extensin geogrfica (o de mercado/rea de clientes).
> Requerimientos regulatorios o legales.
> Productos, nichos de mercado o requerimientos especficos
de los clientes.
Si la extensin del AIN va a tomar un tiempo prolongado,
considerar inicialmente limitar su alcance a un subconjunto de
productos y servicios. Los restantes pueden ser cubiertos en
un AIN posterior.
Aprobar los Trminos de Referencia para el AIN con el
patrocinador del proyecto.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [50]

GCN Tcnicas de las Prcticas Profesionales

Anlisis de Impacto en el Negocio


Identificar las actividades del negocio en toda la organizacin
(las cuales pueden atravesar varios departamentos)
Identificar los dueos de los procesos.
Identificar el Equipo de trabajo adecuado al que se le puede
solicitar informacin sobre los procesos del negocio (expertos
en la materia)
Identificar cmo una interrupcin puede resultar en dao
a la reputacin, los activos o la posicin financiera de la
organizacin.
Cuantificar la ventana de tiempo dentro de la cual la
interrupcin de cada actividad del negocio se convierte en
inaceptable para la organizacin, debido a la interrupcin en la
entrega de sus productos y servicios.
La recopilacin de datos para el Anlisis de Requerimientos de
Continuidad (ver ms adelante) puede ser realizada al mismo
tiempo.

Informes
Obtener la aprobacin del dueo del proceso para confirmar la
exactitud de la informacin en el AIN.
Obtener el apoyo del Patrocinador de la GCN sobre las
conclusiones del AIN.

El formato para la recopilacin de datos debe estar determinado


por la forma en la que los resultados sern presentados.
La informacin requerida para establecer la urgencia del
desempeo de la actividad que est siendo analizada, incluye:

> Cuanto tiempo toma la actividad en completarse.


> Localidades desde las que se realiza la actividad.
> Factores que influyen sobre la actividad. Por ejemplo:
perodos pico, reportes regulatorios.
> Impacto de una interrupcin a esta actividad sobre otras
dentro de la organizacin.
> Tiempo que la organizacin puede permanecer sin sta actividad.
> Cualquier alternativa disponible
> La ventana de tiempo dentro de la que la actividad debe ser reanudada.
Los factores a considerar, incluyen:
Volmenes (por ejemplo, llamadas por hora, salidas en la lnea
de produccin).
Acuerdos de Niveles de Servicio (ANS), contratos,
requerimientos regulatorios o legales.
Los mtodos, herramientas y tcnicas para realizar el Anlisis de
Impacto en el negocio AIN, incluyen:
Talleres
Cuestionarios (impresos o por medio de software especializado)
Entrevistas estructuradas y no estructuradas.

Como gua general:

Recopilacin de Datos
No existe una metodologa de talla nica que se ajuste a la
recopilacin de datos para el AIN. Los mtodos pueden variar de
un sector de la industria a otro y de un profesional a otro. Cada
industria tiene sus propias necesidades especficas por contenido,
tipo de informacin, profundidad y cobertura. Sin embargo, los
principios bsicos que se deben considerar son:
El objetivo del AIN es recopilar informacin para apoyar la
seleccin de las estrategias de continuidad ms apropiadas.
Esto est determinado por la urgencia con la cual cada actividad
necesita ser reanudada.

[51] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Los talleres pueden suministrar resultados rpidos y una oportunidad


para lograr una vinculacin activa con el programa, siempre y cuando
haya compromiso de todos los departamentos y participantes.

Los cuestionarios suministran grandes cantidades de datos pero la

calidad de la informacin puede ser cuestionable si no se completa de


forma confiable.

Las entrevistas pueden suministrar muy buena informacin pero

consumen bastante tiempo y sus resultados pueden variar en cuanto a


formato y detalle.

La combinacin de los mtodos enunciados puede entregar excelentes


resultados proporcionando un nivel apropiado de detalle y un formato
estndar de reporte de resultados que apoyar la consistencia en los
registros y el anlisis de la informacin a lo largo de las diferentes
funciones.

iStockphotos.com/lorrainedarke

Mtodos y Tcnicas

Entendimiento de la Organizacin 03

Software
Existe una variedad de productos de software disponibles para
conducir un Anlisis de Impacto en el Negocio que pueden ser
tiles, pero no esenciales. Los beneficios clave de utilizar una
herramienta de software incluyen la facilidad de anlisis de
resultados, almacenamiento de informacin y la presentacin
de informes; su uso no elimina la necesidad de entrevistas con, e
involucramiento de, los individuos expertos en la actividad que
est siendo analizada.

Informes
Toda organizacin tiene su estilo propio para la presentacin de
informes. Como requisito, el formato de informe elegido por la
organizacin debe estar establecido y acordado en el momento en
que se define el alcance de la actividad, debido a que el formato de
presentacin final puede impactar la forma como la informacin se
recopila, se compara, se analiza y se presenta.

Resultados y Revisin
Los resultados de un Anlisis de Impacto en el Negocio son:
Una lista de las actividades que contribuyen con la entrega de
productos y servicios dentro del alcance.
El Mximo Perodo Tolerable de Interrupcin (MPTI) y su
justificacin para cada actividad. Este determinar los tiempos
requeridos de las estrategias de recuperacin.
Dependencias de la actividad: internas y externas.

Las buenas prcticas dictan que un Anlisis de Impacto en el


negocio debe ser revisado como mnimo anualmente, pero con
ms frecuencia en caso de:
Cambios mayores en el negocio.

Anlisis de Requerimientos de
Continuidad
Introduccin
El Anlisis de Requerimientos de Continuidad (ARC) recopila
informacin de los recursos requeridos para reanudar y
continuar las actividades del negocio que apoyan los objetivos y
obligaciones de la organizacin. Este paso usualmente se realiza
al mismo tiempo que se est reuniendo la informacin del AIN.
Su propsito es:
Suministrar la informacin de los recursos con los cuales se
puede determinar o recomendar una estrategia apropiada de
recuperacin.
Identificar los requerimientos de recursos resultantes de la
dependencia que existe interna y externamente sobre la
actividad.

Conceptos y Supuestos
Requerimientos de Continuidad
A menudo se asume que los recursos requeridos luego de una
interrupcin sern una parte de los utilizados durante la operacin
normal, al menos por un perodo de tiempo. Sin embargo, en
algunos casos, los recursos necesarios en las primeras etapas de la
recuperacin pueden ser mayores que los utilizados normalmente,
con el fin de hacer frente a retrasos. Por ejemplo, en un call center
puede necesitarse

Cambios significativos en los procesos, instalaciones o


tecnologa al interior del negocio.

personal adicional para atender las llamadas extras despus de una


interrupcin y los sistemas de TI de soporte pueden requerir mayor
capacidad para atender ste nmero adicional de usuarios.

Cambios significativos en el ambiente externo del negocio, tales


como el mercado o el cambio en la regulacin.

Mxima Prdida Tolerable de Datos

El proceso del AIN no necesita repetirse en su totalidad en


cada revisin. Solamente aquellas actividades afectadas
por el cambio organizacional necesitan ser revisadas
detalladamente. Otras actividades pueden requerir una
revisin por muestreo y confirmacin de los resultados
previos del AIN.

Es la prdida de datos actualizados (electrnicos y otros) por la


cual una organizacin podra estar inhabilitada para recuperar
su capacidad operativa. La antigedad de los datos podra hacer
imposible las operaciones o el valor de los datos perdidos podra ser
sustancial.
Algunas actividades pueden estar habilitadas para operar
adecuadamente sin datos o con datos de varias semanas atrs.
Otras actividades no pueden tolerar la prdida de datos.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [52]

GCN Tcnicas de las Prcticas Profesionales

Proceso
Recopilacin de Datos
Su propsito es cuantificar los recursos requeridos a travs del tiempo
para mantener las funciones del negocio dentro de un nivel aceptable
y dentro del Mximo Perodo Tolerable de Interrupcin. Se debe tener
en cuenta cualquier actividad adicional que se pueda generar por la
interrupcin y la necesidad de eliminar los retrasos. Las siguientes
categoras de recursos pueden ser consideradas:

Personas: Nmero, habilidades, etc.


Instalaciones: Ubicacin, tamao, etc.
Tecnologa
Informacin
Equipo
Suministros
Informes
Obtener la aprobacin del dueo del proceso para confirmar la
exactitud de la informacin.

Obtener el apoyo del Patrocinador de la GCN sobre las


conclusiones.

Presentar a la Alta Direccin para determinar si los resultados

sern impactados por cualquier cambio propuesto en el negocio


y para aprobar el paso a la etapa de diseo de la estrategia.

Continuar con el desarrollo de la estrategia de la GCN.


Existe una cantidad de mtodos, herramientas y tcnicas para llevar a
cabo un Anlisis de Requerimientos de Continuidad, que incluyen:
Talleres

Cuestionarios (impresos o por medio de software especializado)


Entrevistas (estructuradas o no estructuradas) que usualmente se
realizan de manera simultnea con el AIN.

Resultados y Revisin
Los resultados del Anlisis de Requerimientos de Continuidad, son:

El entendimiento de los recursos requeridos durante el tiempo

posterior a la reanudacin para proporcionar los niveles de servicio


acordados. Puede ser un simple nmero o una combinacin compleja
asociada al tiempo desde el inicio hasta la restauracin total.

Evaluacin de Amenazas a travs del


Anlisis de Riesgos
Introduccin
El propsito de la evaluacin de amenazas es identificar
las medidas que se pueden implementar para reducir la
probabilidad y el impacto de la interrupcin de las actividades
ms urgentes de la organizacin, si se materializa el riesgo.
Previamente se debe haber completado un AIN, para identificar las
actividades ms urgentes de la organizacin.
El proceso de evaluar las amenazas utiliza las tcnicas de Anlisis
de Riesgo para identificar concentraciones inaceptables de
riesgo en las actividades y los puntos nicos de falla; e identificar
las medidas que pueden ser implementadas para minimizar su
probabilidad de interrupcin. El AIN documenta los impactos en
el tiempo que pueden resultar de la interrupcin del negocio, e
identifica tanto la urgencia de la entrega del producto y servicio
como la de las actividades que habilitarn dicha entrega. Esto
permite que las medidas de mitigacin se destinen a las actividades
ms urgentes de la organizacin, mejorando de esta forma el
retorno esperado de la inversin y minimicen el impacto durante la
interrupcin.
Muchas organizaciones tienen una funcin de Gestin de Riegos
bien establecida, mantienen un registro corporativo de riesgos
y tienen el Anlisis de Riesgo integrado en la organizacin en la
medida en que todos sus directores deben evaluar los riesgos
como parte de sus prcticas y procedimientos normales. Por lo
tanto, la valoracin de amenazas puede ya estar disponible para
las actividades de la organizacin. Sin embargo, la existencia de la
funcin de Gestin de Riesgo no es prerrequisito para un programa
efectivo de GCN.
En algunos pases y sectores, la utilizacin del Anlisis de Riesgos
es mandatoria. Esto conducir a una evaluacin formal de riesgos
y la consideracin de las medidas apropiadas para transferir,
aceptar, reducir o evitar los riesgos. Sin embargo, la evaluacin de
amenazas como parte de la GCN no es lo mismo que realizar un
Anlisis de Riesgos. Utilizar las tcnicas de anlisis de riesgo como
parte de la GCN puede informar a un programa de Gestin de
Riesgos que est operando, pero ste no es su objetivo primario.

Modelos de Gestin de Riesgo

Esta informacin alimenta directamente la etapa de Estrategia de


Continuidad del Negocio. Los requerimientos de recursos proveern
informacin para evaluar soluciones alternas de recuperacin.

Existen muchos modelos de Gestin de Riesgo de uso comn,


algunos de naturaleza general y otros que han sido completamente
desarrollados para una industria o sector especfico. Virtualmente,
todos esos modelos involucran la identificacin de amenazas (o
peligros) especficas y utilizan una frmula para calcular un valor
de riesgo basado en la probabilidad de la amenaza y el impacto de
la amenaza (si sta se materializa).

El Anlisis de Requerimientos de Continuidad debe ser revisado junto


con el AIN.

Valor del Riesgo = Impacto de la Amenaza x Probabilidad de la Amenaza

Identificacin de las interdependencias: actividades (internas y

externas) que deben estar en funcionamiento para mantener los niveles


de servicio acordados.

[53] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

La frmula ms sencilla es:

Entendimiento de la Organizacin 03

Otros modelos utilizan frmulas ms complejas e incluyen el nivel


de mitigacin ya implementado. Algunos modelos de riesgo se
ordenan por el anlisis de la capacidad para controlar ese riesgo.
Esta frmula prioriza las amenazas ms fciles de controlar bajo
el argumento de que esto dar el mejor retorno sobre la inversin
de tiempo y dinero, pero lo hacen ignorando muchos impactos
externos significativos.
Mientras son razonablemente efectivos en el tratamiento
de riesgos en Operacin Normal, muchos profesionales de
Continuidad de Negocio creen que estos mtodos y tcnicas de
anlisis de riesgo tienen graves deficiencias en la evaluacin de
riesgos operativos catastrficos porque:
Es imposible identificar todas las amenazas.
La estimacin de la probabilidad es una conjetura o estn
basada en informacin histrica.
La probabilidad de ocurrencia de un evento depende del
perodo de tiempo en evaluacin. Entre mayor sea el perodo
de tiempo es ms probable la ocurrencia del evento.
Las escalas numricas ms utilizadas para clasificar
probabilidad e impacto (por ejemplo: 1 para bajo, 2 para
medio, 3 para alto), sobreestiman el impacto de los eventos
menores y no pueden utilizarse para calcular una medida
comparativa de riesgo. (Por ejemplo: un riesgo de baja
probabilidad y alto impacto tiene el mismo valor que un riesgo
con alta probabilidad con bajo impacto?).
El uso de una escala numrica para asignar un valor a los
impactos no puede reflejar adecuadamente la importancia
relativa de activos menos cuantificables como la reputacin.
El Apetito de Riesgo o la Tolerancia al Riesgo de la
organizacin es la cantidad de riesgo que una organizacin
est preparada para aceptar y restringe el nivel de accin que
se tomar para controlar las amenazas identificadas.

Proceso
Los pasos clave en la evaluacin de amenazas, son:
Registre las amenazas internas y externas que pueden
causar interrupcin a las actividades ms urgentes de la
organizacin, definidas en el AIN.
Determine el sistema de calificacin para impactos y
probabilidades. Acuerde el enfoque con la Alta Direccin.
Estime el impacto de cada amenaza, sobre la organizacin,
utilizando el sistema de calificacin acordado.
Calcule el riesgo de cada amenaza mediante la combinacin
de la calificacin de su impacto y probabilidad, segn una
frmula acordada.
Revise los resultados de las calificaciones del anlisis de
riesgo.
Priorice las amenazas por nivel de riesgo.
Identifique las reas inaceptables de riesgo o los puntos
nicos de falla.
Si la organizacin cuenta con un programa de Gestin de
Riesgo, entregue los resultados de la evaluacin de amenazas
a la persona responsable del programa.
Recomiende las acciones que puedan tomarse para reducir la
amenaza de interrupcin sobre las actividades ms urgentes
de la organizacin.

iStockphotos.com/lorrainedarke

Las anteriores deficiencias demuestran lo difcil que es medir


el riesgo y por lo tanto, especificar estos parmetros con
cualquier certeza.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [54]

GCN Tcnicas de las Prcticas Profesionales

Mtodos y Tcnicas
Si la organizacin tiene establecida una funcin de Gestin de
Riesgo, considere la utilizacin del mtodo o tcnica establecidos
de evaluacin de riesgos para la valoracin de la amenazas.
Se pueden obtener muchos sistemas de calificacin para la
evaluacin de riesgos de la literatura publicada.
As como se eligen sistemas de calificacin para la evaluacin de
riesgos para impactos y probabilidades, los mtodos y tcnicas que
pueden utilizarse para identificar y evaluar amenazas, incluyen:
Registros de riesgos de la organizacin (si existen).
Identificacin de las amenazas internas y externas de fuentes
apropiadas.
Anlisis de eventos por el mtodo del rbol (Event tree analysis).
Anlisis de fallas por el mtodo del rbol (Fault tree analysis).
Anlisis de los grupos de inters.
Planificacin de escenarios.
Amenazas identificadas durante el proceso del AIN.
Incidentes previos experimentados por la organizacin, el sector de
la industria o el vecindario.
Peligros locales conocidos: naturales o de origen humano.
Ubicacin geogrfica.
Anlisis de redes de trabajo.

Las probabilidades pueden analizarse utilizando:

internacionales; muchas de ellas publican guas y buenas prcticas.


Seguir recomendaciones de seguridad de la informacin de diversas
entidades de Seguridad de la Informacin y de Tecnologas de
Comunicacin de Informacin nacionales o internacionales. Las
normas ISO27001 e ISO27002 brindan valiosas guas a seguir.
Los sistemas de monitoreo pueden suministrar aviso oportuno sobre
fallas de los servicios pblicos, fallas en los equipos y de amenazas
de interrupcin.
Aspersores y sistemas de extincin de incendios.
Redes de comunicaciones resilientes para eliminar los puntos nicos
de falla.

Las soluciones propuestas deben ser evaluadas utilizando el


anlisis de la relacin Costo/Beneficio.

Resultados y Revisin
Los resultados de la evaluacin de amenazas son:
Un listado de amenazas que pueden causar la interrupcin de las
actividades ms urgentes de la organizacin, priorizadas por el nivel
de impacto.
La identificacin de los puntos nicos de falla inaceptables.
Recomendaciones sobre acciones a ser tomadas para reducir la
amenaza de interrupcin sobre las actividades ms urgentes de la
organizacin.

Las amenazas a las actividades ms urgentes de la organizacin


deben ser reevaluadas anualmente o con ms frecuencia si:

Estadsticas de los seguros

Ha sido actualizado el AIN

Estadsticas publicadas sobre frecuencias de desastres.

Hay un cambio significativo en los procesos internos, las

Las tcnicas y medidas especficas de reduccin de amenazas


que pueden adoptarse, incluyen:

Hay un cambio significativo en el ambiente externo del negocio

Seguir recomendaciones sobre seguridad fsica de diversas


asociaciones profesionales de seguridad nacionales e

[55] GCN Gua de Buenas Prcticas


Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

instalaciones o la tecnologa del negocio.

como el mercado o cambios regulatorios.

iStockphotos.com/lorrainedarke

Determinar la Estrategia de la Continuidad


del Negocio

04

GCN Tcnicas de las Prcticas Profesionales

Determinar la Estrategia de la
Continuidad del Negocio
Introduccin

[57] GCN
[57]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

iStockphotos.com/lorrainedarke

Determinar la Estrategia de la Continuidad del Negocio es la prctica profesional dentro del


Ciclo de Vida de la GCN que determina cules estrategias cumplirn con la Poltica de la GCN
y los requerimientos organizacionales; y selecciona las respuestas tcticas de las opciones
disponibles.

Determinar la Estrategia de la Continuidad del Negocio 04

Determinar la Estrategia de Continuidad del Negocio


utiliza la informacin obtenida del anlisis en la etapa de
Entendimiento de la Organizacin del proceso de GCN
para identificar y seleccionar las opciones de recuperacin y
continuidad. Esto permitir entrar en funcionamiento a las
actividades de la organizacin despus de una interrupcin,
antes de que la supervivencia de la organizacin est
amenazada por su prdida. Se compone de tres elementos:
1. Identificacin y Seleccin de las Estrategias.
2. Identificacin y Seleccin de las de las Respuestas Tcticas a
partir de las Opciones Disponibles.
3. Consolidacin para Nivelar Recursos.

Principios Generales
La Identificacin y Seleccin de Estrategias idetermina las
estrategias que estn disponibles para apoyar la entrega
continua de los productos y servicios de la organizacin dentro
de sus Mximo Perodo Tolerable de Interrupcin (MPTI) y
Mxima Prdida Tolerable de Datos (MPTD) previamente
definidos. Evala las ventajas y desventajas de cada estrategia,
acuerda las estrategias ms apropiadas para investigaciones
tcticas posteriores y cumple con el Tiempo Objetivo de
Recuperacin (TOR) y el Punto Objetivo de Recuperacin (POR)
para cada producto y servicio.
La Identificacin y Seleccin de las Respuestas Tcticas a
partir de las Opciones Disponibles establece las tcticas que
estn disponibles dentro de las estrategias seleccionadas
para cada actividad que la organizacin realiza para entregar
sus productos y servicios; identifica los costos y dificultades
asociados con cada tctica; selecciona las tcticas ms
apropiadas para la actividad; y confirma que los recursos
suministrados cumplirn los requerimientos de recuperacin y
reanudarn la actividad en un TOR que es menor a su MPTI y un
POR que es menor a su MPTD.
La Consolidacin para Nivelar Recursos rene todos los
recursos que van a ser suministrados a travs de las estrategias
y tcticas seleccionadas para ofrecer una visin consolidada de
los requerimientos de recursos. Esto se utiliza para validar que
las estrategias y tcticas son viables cuando son vistas desde
una perspectiva global, y aprovechar el apalancamiento cuando
se compran servicios comerciales de continuidad de negocio a
terceras partes.

Identificacin y Seleccin de Estrategias


Introduccin
La organizacin necesita seleccionar las estrategias de GCN que la
permitan proteger la entrega continua de sus productos y servicios.
Esta seccin abarca la identificacin y seleccin de estas estrategias.
Una cantidad de parmetros previamente establecidos sern
usados como ayuda para identificar y seleccionar las estrategias
apropiadas. El MPTI es el tiempo luego del cual la viabilidad de
una organizacin ser irreparablemente afectada si no se puede
reanudar la entrega de un producto o servicio.
El tiempo objetivo para reanudar la entrega de un producto o
servicio despus de su interrupcin, se conoce como su Tiempo
Objetivo de Recuperacin (TOR).
La Mxima Prdida Tolerable de Datos (MPTD) es la prdida de
informacin actualizada (electrnica y de otro tipo) por la cual
una organizacin puede ser incapaz de recuperar su capacidad
operativa. La edad o el valor de los datos perdidos pueden hacer
imposible la reanudacin de sus operaciones. El tiempo objetivo
para el peor caso de prdida de datos, es conocido como su Punto
Objetivo de Recuperacin (POR).
Un AIN y un ARC actualizado suministrarn el MPTI y el MPTD para
cada producto y servicio dentro del alcance del programa de GCN.
Estos tambin cuantificarn los requerimientos de recuperacin
para las actividades que apoyan la entrega de productos y
servicios.
Los parmetros TOR y POR para cada producto y servicio son
definidos en esta seccin. Esto conduce a la seleccin de las
estrategias de GCN ms apropiadas.

Conceptos
Es necesario establecer las estrategias de recuperacin y las
opciones de soporte tctico, para determinar cual permitir a la
organizacin reanudar sus operaciones en una ventana de tiempo
que cumpla tanto con el TOR como con el POR para cada producto
y servicio.
Para hacer esto de manera efectiva, se deben considerar ciertos
conceptos con algn nivel de profundidad:

Balance entre Costo y Velocidad de Recuperacin

En muy raras ocasiones, cuando el costo no es una consideracin,


sera posible definir e implementar una solucin perfecta. Sin
embargo, en la prctica normal de
los negocios, siempre hay una compensacin entre el costo y la
velocidad de recuperacin, la cual necesita ser balanceada cuando
se selecciona la estrategia ms apropiada. En muchas situaciones,
es cierto que a menor TOR mayor es el costo para la organizacin,
mientras que a menor TOR es ms barata la solucin. Por supuesto
que un TOR prolongado incrementa la posibilidad de que la
recuperacin no se logre dentro del MPTI.
Consecuentemente, la organizacin siempre debe buscar el balance
entre la capacidad de recuperacin contra unos costos alcanzables
y razonables.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [58]

GCN Tcnicas de las Prcticas Profesionales

Distancia de Separacin y el Concepto de Off-site


Para mejorar su continuidad, una organizacin puede: mantener
copias duplicadas de sus recursos vitales, utilizar mltiples
proveedores, tener una rplica de sus operaciones en diferentes
ubicaciones o tener sitios alternos para su recuperacin. Como
muchos incidentes con frecuencia generan prdida de acceso a, o
dao a un rea geogrfica o ubicacin, existe la necesidad de estar
a una distancia adecuada de separacin entre los recursos originales
y los duplicados, los diferentes proveedores, las operaciones
replicadas o el sitio principal y el sitio alterno de recuperacin.
Como los incidentes pueden resultar en la destruccin completa de
un lugar, es necesario asegurarse que los registros vitales en medio
electrnico y en papel estn duplicados en otra ubicacin separada
geogrficamente, de manera que les permita ser:

Proceso
Es necesario realizar el siguiente proceso para cada producto o
servicio dentro del alcance del Programa de GCN:
Identificar el MPTI y decidir sobre el TOR, de manera que el TOR
sea menor que el MPTI.

Identificar el MPTD y decidir sobre el POR, de manera que el


POR sea menor que el MPTD.

Si hay algunas estrategias operando, conducir un Anlisis


de Brechas para comparar el desempeo actual contra el
desempeo requerido.

Identificar las estrategias adecuadas que permitan alcanzar el


TOR

Accesibles rpidamente

Analizar las estrategias por efectividad y costo.

Recuperables para su uso dentro de una ventana de tiempo


definida.

Suministrar a la Alta Direccin la evaluacin de las estrategias y

A pesar que una mayor dispersin geogrfica por lo general disminuye


la probabilidad de que dos sitios sean afectados por el mismo incidente,
no existe distancia mnima o correcta para la separacin. De hecho
para algunas amenazas, como pandemias y virus informticos globales,
la distancia de separacin no proporciona ninguna proteccin contra la
probabilidad de que se experimente incidentes simultneos.

Obtener el acuerdo de la Alta Direccin sobre las estrategias


a utilizar. stas deben incluir la asignacin financiera y de
recursos para determinar e implementar las opciones tcticas
que sern aceptables para cada actividad que apoya el producto
o servicio.

Para muchos incidentes fsicos convencionales, algunos cientos de


metros probablemente proporcionen proteccin limitada debido a la
forma como los servicios de emergencia usan barreras y suspenden o
redireccionan el flujo del trfico. Algunas organizaciones pueden utilizar
su mercado o rea de jurisdiccin para definir el lmite de su dispersin;
otras pueden seleccionar la alternativa pragmtica de situar un sitio
alterno dentro del lmite de que tan lejos juzgan que su Equipo de
Trabajo puede viajar.

Diferentes Fases de Recuperacin


Hay tres fases o niveles a considerar cuando se identifican y
seleccionan las estrategias para recuperar la entrega de un
producto o servicio despus de una interrupcin:
1. Continuidad: Para un nivel inicial mnimo aceptable.
2. Recuperacin: Para un nivel sostenible.
3. Reanudacin: Regreso al nivel normal.
Se requiere una Estrategia de Continuidad para cada producto
o servicio, pero las estrategias de Recuperacin y Reanudacin,
pueden no ser necesarias. Ejemplos de tales situaciones se incluyen
cuando:

El TOR est medido en semanas.


El nivel mnimo aceptable es muy cercano o igual al nivel sostenible.
La organizacin puede desear utilizar el incidente como una

oportunidad para cambiar la forma como opera, en cuyo caso puede


ser apropiado esperar hasta despus del incidente para determinar
las estrategias de Recuperacin y Reanudacin.

[59] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

una recomendacin.

Alcance
Las estrategias deben incluir las siguientes consideraciones:
Sitios distribuidos (Operacin Distribuida)
Replicacin
Instalaciones de Reserva
Trabajo subcontratado
Adquisiciones posteriores al incidente
Seguros
No hacer nada
Sitios Distribuidos (Operacin Distribuida)

Requiere llevar a cabo las actividades de entrega del producto


o servicio en dos o ms sitios geogrficamente separados, de
manera que las operaciones puedan ser alternadas de un sitio al
otro. Ambos sitios estn activos. A pesar de que esta estrategia
usualmente entrega un alto grado de resiliencia, puede ser muy
costosa y no proteger a la organizacin si el incidente tiene alcance
global como una pandemia o un virus informtico. Esta estrategia
es apropiada cuando el TOR est dado en minutos u horas en lugar
de das.

Replicacin

Una variacin a los sitios distribuidos (operacin distribuida) es


replicar la capacidad de realizar todas las actividades requeridas
en otro sitio geogrficamente separado y movilizar a las personas

Determinar la Estrategia de la Continuidad del Negocio 04

al sitio alterno luego del incidente. Un sitio est activo y el otro


inactivo. Las instalaciones pueden ser obtenidas de un tercero o
provistas por la misma organizacin.
Esta estrategia puede ser apropiada cuando el TOR es mayor a
unas cuantas horas y menor a un da, siempre y cuando el Equipo
de Trabajo pueda desplazarse lo suficientemente rpido al sitio
alterno para reanudar la entrega del producto o servicio dentro
del TOR. Sin embargo, esta estrategia se basa en que el Equipo de
Trabajo puede y est dispuesto a trabajar lejos del sitio normal
durante lo que podra ser un periodo prolongado de tiempo.

Instalaciones de Reserva

Cuando el TOR es mayor a un da, una estrategia adecuada puede


ser la de tener disponible unas instalaciones de reserva que se
pueden poner en funcionamiento dentro del TOR. De nuevo, esta
podra ser una instalacin obtenida de un tercero o proporcionada
por la misma organizacin. Esto es particularmente adecuado
cuando una instalacin ha sido cerrada temporalmente, pero
con la capacidad de ser puesta en funcionamiento en el corto
plazo. Tambin se basa en que el equipo de trabajo puede y est
dispuesto a trabajar lejos de su sitio normal durante lo que podra
ser un perodo prolongado de tiempo.

Trabajo Subcontratado

iStockphotos.com/lorrainedarke

Algunas o todas las actividades necesarias para entregar un


producto o servicio pueden ser objeto de subcontratacin con
terceros. Para los productos y servicios que tienen un TOR corto,
estos acuerdos de subcontratacin necesitan ser establecidos de
antemano; pero para productos y servicios que tienen un TOR largo

podra ser posible esperar hasta despus del incidente antes de


entrar en un contrato.
La subcontratacin puede ser particularmente conveniente para
la fabricacin, donde el costo adicional de tener diversos sitios,
rplicas o instalaciones de reserva podra ser demasiado costoso. Sin
embargo, en algunas situaciones, la nica opcin de la
subcontratacin puede ser el uso de otra organizacin que opera en
el mismo mercado, la cual podra ser un competidor.
Si el TOR es menor a un da o dos y los arreglos para subcontratar
se han establecido de antemano, la estrategia de mantener diseos,
plantillas e inventarios de piezas y materias primas en, o cerca de
sitio del subcontratista, puede ser una estrategia apropiada.

Adquisiciones posteriores al Incidente


Para productos y servicios que tienen su TOR medido en das
o semanas, una estrategia adecuada puede ser simplemente
tener una lista de los requerimientos y de los proveedores que
los puedan suministrar en el corto plazo. Se deben ordenar
las instalaciones necesarias despus de que el incidente ha
sucedido.
Esta no sera una estrategia adecuada para un producto o
servicio que requiere equipo especializado, instalaciones o
habilidades que son difciles de obtener.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [60]

GCN Tcnicas de las Prcticas Profesionales

Seguros
Los seguros, cuando estn contratados de manera apropiada,
proporcionan compensacin financiera por la prdida de activos,
el incremento de los costos de trabajo, la reanudacin de los
negocios y proteccin por las responsabilidades legales asociadas.
Sin embargo, es poco probable dar cobertura a la totalidad de
los costos de un incidente, incluyendo la prdida de clientes, el
impacto de valor para los accionistas o la prdida de reputacin e
imagen de la marca. Por lo tanto es importante, que las opciones
de continuidad seleccionadas sean coherentes con la cobertura de
los seguros de la organizacin.
La cobertura de Interrupcin del Negocio (IN) es la ms
estrechamente relacionada con la GCN, pero es importante
tener en cuenta que por lo general esta slo cubre las prdidas
del negocio que estn asociadas a otras prdidas asegurables
(como la prdida de edificaciones). Ms recientemente, algunas
aseguradoras han comenzado dar cobertura a un mayor nmero de
interrupciones tales como fallas del proveedor.
Para las PYMES (pequeas y medianas empresas), los seguros
pueden proporcionar algn apoyo til despus de la prdida de
personas clave debido a su muerte, lesin o renuncia.

No hacer nada
En situaciones en las que el TOR est calculado en meses,
puede ser aceptable la espera hasta despus del incidente para
decidir sobre la estrategia para recuperar un producto o servicio,
especialmente si la entrega del producto o servicio no requiere:
equipo especializado, instalaciones o habilidades que son difciles
de obtener.

Resultados y Revisin
El principal entregable es un conjunto de estrategias de GCN
que ha sido acordado con la Alta Direccin para cada producto
y servicio dentro del alcance del programa de GCN; adems de
un acuerdo para proporcionar los recursos para establecer las
opciones tcticas para alcanzar los objetivos estratgicos.
Se debe llevar a cabo una revisin de las estrategias de la
GCN despus de haber sido probada cualquier capacidad de
recuperacin, y por lo menos una vez al ao despus de una
actualizacin del AIN y del ARC. Un cambio significativo en
cualquiera de los siguientes aspectos tambin debe llevar a la
revisin de las estrategias de la GCN:

Condiciones del mercado


Adquisiciones o fusiones
Productos o servicios
Requerimientos regulatorios o legales
Exigencias de los clientes

Identificacin y Seleccin de
Respuestas Tcticas
Introduccin
El propsito de este paso es seleccionar las opciones tcticas
apropiadas de continuidad para cada actividad que apoya la
entrega de los productos y servicios de la organizacin, y para
identificar que necesita hacerse para implementar las opciones
seleccionadas. Estas tcticas estarn basadas en las estrategias de
la GCN seleccionadas para cada producto o servicio.
Las tcticas apropiadas para cada actividad necesitaran seleccionarse
para cubrir los requerimientos en las reas relevantes de:

Personas (habilidades y conocimiento)


Ubicaciones (edificios e instalaciones)
Recursos
> Tecnologa de la Informacin
> Telecomunicaciones
> Informacin no electrnica (impresa)
> Equipo
Proveedores (productos y servicios suministrados por terceros)
Para organizaciones manufactureras, es necesario prestar
especial atencin a:

> Procesos de produccin


> Materiales, logstica e inventarios
> Energa y servicios pblicos
Para realizar esta etapa, se deben tener disponibles los parmetros
de TOR y POR con el ARC actualizado que identifique los
requerimientos de recuperacin. Tambin
deben estar disponibles las estrategias de GCN acordadas para
cada producto y servicio.

Conceptos
Determinar las tcticas de recuperacin y seleccionar las soluciones
apropiadas a partir de las opciones disponibles es la parte ms
detallada del Ciclo de Vida de la GCN. Esto debido a que es:
a) La parte del proceso que probablemente incurrir en la mayora
de los gastos
b) La parte fundamental de la infraestructura tcnica y operativa
que se necesita para hacer viables los planes en la prctica.

Para hacer esto eficientemente es necesario considerar ciertos


conceptos con alguna profundidad:
Se debe tener en consideracin lo siguiente:
Alcance de la planificacin
Actividades urgentes
Tiempos Objetivos de recuperacin para las actividades
Opciones de acuerdo al tiempo

[61] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Determinar la Estrategia de la Continuidad del Negocio 04

Confiabilidad
Revaluacin de estrategias
Costos contra beneficios
Sitios de terceros para recuperacin
Necesidades de los diferentes grupos de inters
Exigencias de los servicios de emergencia civil
Alcance de la Planificacin
El alcance y el detalle que se requiere al planificar las tcticas
de cada actividad, depender de la urgencia con la que se les
requiera y de la complejidad de la reanudacin.
Actividades urgentes
No todas las actividades asociadas a un producto o servicio
necesariamente tienen que estar en funcionamiento dentro del
TOR para los productos o servicios y en grandes organizaciones,
la magnitud y la dificultad para determinar las opciones de la
continuidad de todas las actividades sera poco prctico. Por
estas razones, la definicin de las opciones de continuidad debe
concentrarse en las actividades ms urgentes. Estas se han
identificado durante la AIN, y generalmente consistirn en aquellas
actividades en las que la MPTI de los productos y servicios a los que
soportan, y por lo tanto el TOR, es relativamente corto.

Tiempo Objetivo de Recuperacin para las actividades


Cuando una actividad tiene que estar en operacin para garantizar
la entrega de un producto o servicio, el TOR para esa actividad
debe ser menor o igual al TOR del producto o servicio que soporta.

Opciones de acuerdo al tiempo

Las opciones de continuidad de las actividades pueden cambiar


con el tiempo en la medida en que la actividad se pasa por los tres
niveles de recuperacin:

1 Continuidad inicial: a un nivel mnimo aceptable


2 Recuperacin: a un nivel sostenible
3 Reanudacin: volver al nivel normal
Confiabilidad

Cuando las opciones contempladas involucran la provisin de


servicios por terceros, a menudo hay que tomar una decisin
de gestin entre el costo y la confiabilidad del proveedor. Las
promesas pueden variar desde acuerdos verbales de reciprocidad
de los mejores esfuerzos a niveles de servicio formalizados
contractualmente. Cuanto ms corto sea el TOR, la confiabilidad
se convierte en lo ms importante para la entrega.

Revaluacin de estrategias

No es raro encontrar que existe la necesidad de re-evaluar las


estrategias de GCN para un producto o servicio una vez que se han

revisado las opciones tcticas de continuidad para las actividades


que apoyan su entrega.

Anlisis Costo-beneficio

Es difcil utilizar el anlisis convencional de costo-beneficio para


justificar el costo de las medidas de proteccin o de continuidad
porque se requiere realizar supuestos sobre la probabilidad de
ocurrencia de los incidentes. Las industrias manufactureras y de
servicios que proveen a otras empresas pueden ser capaces de
sustentar que se puede lograr aumentar las ventas o mejorar los
mrgenes, mediante la demostracin de las capacidades de la GCN
(por ejemplo, mejorar la confiabilidad) a sus clientes y por tanto
muestran un beneficio en comparacin con los costos. Esto es ms
difcil de demostrar cuando el servicio es no comercial o se presta
como un servicio pblico.

Sitios de terceros para recuperacin

Los arreglos de sitios con terceros estn ampliamente disponibles


en muchos pases.
Las opciones varan ampliamente y se discuten con mayor detalle
en el Anexo 1.

Necesidades de los diferentes grupos de inters

Existen muchas personas y grupos afectados por un incidente. Por


ejemplo, en un gran incendio puede haber contratistas heridos,
residentes locales evacuados de sus viviendas y las empresas
locales tienen que cerrar por razones de seguridad o sufrir una
reduccin en su comercio. Deben estar entendidos los niveles de
responsabilidad de la organizacin (tanto legales como morales)
para estos grupos.
La organizacin debe asegurar que las necesidades de los diversos
grupos de inters estn satisfechas al seleccionar las opciones de
continuidad, de lo contrario, pueden obstaculizar los esfuerzos
posteriores de recuperacin. Por ejemplo, los residentes locales
podran presionar a las autoridades locales para negar el permiso
para la reconstruccin en un sitio daado.

Exigencias de los servicios de proteccin civil

La organizacin debe estar familiarizada con los procedimientos de


los servicios de emergencias locales y el contacto con estos grupos
por adelantado puede proporcionar informacin til para ayudar a
seleccionar las opciones tcticas.
Las organizaciones de respuesta a las emergencias civiles deben
implementar su propio programa de GCN para garantizar que la
interrupcin de sus instalaciones no constituye un obstculo para
el servicio de respuesta que debe proporcionar a la comunidad. En
muchos pases, la planificacin de la GCN es un requisito legal para
los servicios de proteccin civil.

Proceso
El proceso incluye los siguientes pasos:

Identificar las actividades a incluir para cada producto o servicio.


Determinar el TOR y el POR para cada actividad de acuerdo con el
producto o servicio que sta apoya.
Identificar las opciones tcticas para cada actividad.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [62]

GCN Tcnicas de las Prcticas Profesionales

Alcance
El alcance de esta parte del proceso es complejo y exigente. A
menudo, podr ser necesario contar con asesoramiento tcnico
de expertos en otros campos, en particular para empresas
manufactureras. Por lo general, especialistas en compras y
suministros, manejo de inventarios y planificacin de la capacidad
podran necesitarse para ayudar a definir las tcticas ms
apropiadas.
En trminos generales, el profesional de la GCN necesita asegurar
que las siguientes reas estn contempladas en cualquier solucin
tctica:

Personas
Edificaciones
Recursos
Proveedores
Debido a las grandes diferencias en los tipos de negocios que
implementarn la GCN, no es posible una Gua como sta para
que sealar cules tcticas sern las adecuadas para cada empresa,
sector o ubicacin geogrfica. Sin embargo, el Anexo 1 suministra
recomendaciones relevantes que podrn ayudar en el proceso de
seleccin y decisin.
A pesar de que las opciones seleccionadas necesitan trabajar

[63] GCN
[63]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

de manera aislada (por ejemplo, en el evento que la prdida


es nicamente un sistema de informacin o una sola lnea de
produccin), tambin necesitan trabajar conjuntamente (por
ejemplo cuando un edificio se pierde en un desastre que destruye
todos los recursos en el edificio, deja algunos integrantes
del equipo de trabajo no disponibles para laborar y tambin
interrumpe el servicio de un proveedor local crtico).

Resultados y Revisiones
Los resultados y entregables de esta etapa son:
Un conjunto de opciones tcticas de continuidad aprobadas por
la Alta Direccin.

Financiacin y recursos aprobados para implementar las


opciones tcticas acordadas.

La relacin de proyectos para la implementacin de las opciones


tcticas acordadas.
Otro resultado puede ser la reevaluacin de las estrategias de GCN
seleccionadas para un producto o servicio, si las opciones tcticas
demuestran no estar disponibles o ser costosas.
Al menos cada 12 meses se debe hacer una revisin para asegurar
que ha sido seleccionada la opcin de continuidad ms apropiada
para cada actividad urgente e importante, y despus de cualquier
cambio en las estrategias de la GCN sobre cualquier producto o
servicio que apoya la actividad.
Cualquier cambio significativo en los siguientes aspectos tambin
puede implicar una revisin:

Las habilidades requeridas para realizar la actividad.


Las edificaciones en las cuales se lleva a cabo la actividad.
Los recursos utilizados por la actividad (particularmente TI).
Los proveedores de los que depende la actividad.

iStockphotos.com/lorrainedarke

Analizar las opciones por efectividad y costo


Entregar a la Alta Direccin una evaluacin de las opciones y
recomendaciones.
> Obtener un acuerdo con la Alta Direccin sobre las tcticas
a utilizar incluyendo las disposiciones financieras y de
recursos para su implementacin.
> Identificar los proyectos de la implementacin para cada
tctica seleccionada.

Determinar la Estrategia de la Continuidad del Negocio 04

Consolidacin de Niveles de Recursos


Introduccin
El propsito de consolidar los niveles de recursos es:
Asegurar que las tcticas seleccionadas son consistentes a lo

largo de la organizacin.
Asegurar que las tcticas seleccionadas no generan conflicto
entre s (por ejemplo que diferentes actividades no se planeen
para utilizar los mismos recursos internos para la recuperacin).
Determinar la mejor forma para obtener los requerimientos
externos (por ejemplo los sitios de recuperacin proporcionados
por terceros).
Apoyar en la definicin del nmero y estructura de los Planes de
Continuidad de Negocio.

Despus de haber seleccionado las opciones tcticas de


continuidad ms apropiadas para cada actividad importante y
urgente, es necesario consolidar los requerimientos de recursos
de las tcticas.

Conceptos y Supuestos
A menudo se asume que los servicios requeridos estarn
disponibles comercialmente. En muchos pases este no es
necesariamente el caso y algunos gobiernos no permitirn a las
organizaciones obtener tales servicios fuera de sus fronteras.
Cuando los servicios de recuperacin de terceros, requeridos por
las tcticas consolidadas, no estn disponibles; esto llevar a la
organizacin a reevaluar tanto las estrategias de BCM como las
opciones tcticas continuidad.
Un resultado de esta situacin, puede ser que la organizacin
decida suministrar sus propias instalaciones de recuperacin
y ofrecerlas para compartirlas comercialmente con otras
organizaciones que se enfrentan al mismo dilema. Este
enfoque es particularmente relevante en pases en los que
los proveedores de estos servicios an no han establecido su
presencia comercial.

Proceso
Este proceso est compuesto por los siguientes pasos:
Agregar los requerimientos de recuperacin de las opciones
tcticas de continuidad seleccionadas.

Verificar que las tcticas seleccionadas son consistentes a lo


largo de la organizacin.

Validar que las tcticas seleccionadas no generan conflictos

entre s.
Verificar que los requerimientos consolidados de recuperacin
con los terceros se pueden obtener.
Reevaluar las opciones tcticas de continuidad si se encuentran
inconsistentes o generan conflictos.
Suministrar a la Alta Direccin una evaluacin de los
requerimientos consolidados.
Obtener un acuerdo con la Alta Direccin para cualquier
cambio de las tcticas a utilizar incluyendo las disposiciones de
financiacin y de recursos para su implementacin.
Actualizar los proyectos identificados para implementar las
opciones tcticas acordadas, segn se requiera.
Establecer los proyectos para implementar las opciones tcticas
acordadas.

Resultados y Revisin
Los resultados y entregables de la Consolidacin para Nivelar
Recursos, son:
El listado de proyectos para implementar las opciones
tcticas acordadas.
El listado consolidado de los requerimientos de recursos de
terceros para utilizarlo en la compra de los recursos.
Detalles de las tcticas y de los requerimientos de recursos de
recuperacin que se utilizarn en el desarrollo de los Planes
de Continuidad del Negocio.
La Consolidacin para Nivelar Recursos debe revisarse
siempre que se presente un cambio en las opciones tcticas
seleccionadas para una actividad.
Tambin debe revisarse cuando haya un cambio en la
organizacin que pueda afectar el suministro de los recursos de
recuperacin provistos internamente y cuando se renueven los
contratos de recuperacin con terceros. Esto puede resultar en
un cambio tanto de la estrategia de recuperacin como en los
medios tcticos para su entrega.

Cuando los servicios de recuperacin de terceros, requeridos por las tcticas


consolidadas, no estn disponibles; esto llevar a la organizacin a reevaluar tanto
las estrategias de BCM como las opciones tcticas continuidad

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [64]

[65] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

iStockphotos.com/lorrainedarke

Desarrollar e Implementar una Respuesta


de la GCN

05

GCN Tcnicas de las Prcticas Profesionales

Desarrollar e Implementar una


Respuesta de la GCN
Introduccin
Desarrollar e implementar una Respuesta de la GCN es la prctica profesional
dentro del Ciclo de vida de la GCN que implementa las estrategias acordadas
a travs del proceso de desarrollar un conjunto de Planes de Continuidad del
Negocio.
El objetivo de los diferentes planes que abarca esta etapa es identificar, en la medida de lo posible, las acciones
y recursos necesarios para permitir a la organizacin manejar una interrupcin sin importar su causa; y retornar
a un estado en el que los procesos normales de negocio se puedan reanudar.

[67] GCN
[67]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

Desarrollar e Implementar una Respuesta de la GCN 05

Los requerimientos clave para una respuesta efectiva son:


Un procedimiento claro de escalado y control del incidente
(estructura de respuesta a incidentes)
Comunicacin con los grupos de inters
Planes para reanudar las actividades interrumpidas
Estos resultados pueden lograrse de diferentes maneras y con
diferentes estructuras; y cualquiera que sea la estructura adoptada,
es importante que la estrategia seleccionada sea adecuada para la
cultura de la organizacin.
Las acciones descritas en los planes no estn destinadas a
cubrir todas las eventualidades, dado que por su naturaleza,
todos los incidentes son diferentes. Los procedimientos pueden
necesitar adaptarse a un evento especfico que ha ocurrido y a las
oportunidades que ste puede haber abierto.

Principios Generales
Aunque el trmino Plan de Continuidad del Negocio (PCN) implica
un solo documento, en realidad abarca un nmero de actividades
diferentes y usualmente estar conformado por mltiples planes.
El PCN puede existir a cualquier nivel de la organizacin y puede
bajar a cualquier nivel de detalle procedimental. Puede abarcar
la organizacin completa o una parte de ella; y puede estar
definido para el mbito de productos, servicios, instalaciones,
divisiones, departamentos y en circunstancias especiales para
escenarios particulares. Sin embargo, existen cinco tipos de planes
que corresponden a cinco etapas superpuestas de respuesta y
cualquiera de ellos puede aparecer en cualquier PCN a cualquier
nivel. Las cinco etapas, son:
1. Respuesta a la emergencia: Respuesta inmediata a una
emergencia como por ejemplo un Plan de Evacuacin.
2. Gestin del Incidente: La gestin de respuesta al incidente como
por ejemplo un Plan de Comunicaciones en Crisis.
3. Continuidad: La respuesta inicial del negocio para asegurar que
las actividades esenciales pueden continuar operando a un nivel
mnimo aceptable.
4. Recuperacin: Un plan para recuperar actividades a un nivel
sostenible.
5. Reanudacin: Un plan para reanudar las operaciones a lo que la
organizacin define como normal.

La naturaleza de la mayora de las actividades del negocio puede


clasificarse como estratgica, tctica u operativa; los profesionales
de Continuidad del Negocio deben reconocer que los tres
elementos usualmente estn presentes en algn grado dentro de
todos los PCNs. Es importante que los PCNs abarquen los tres
niveles y sus problemas asociados. Sin embargo, no existe una
definicin absoluta de qu es estratgico, qu es tctico y qu es
operativo. Como estas son vistas, es determinado usualmente ms
por el contexto que por la teora. Esto significa que no existe una
solucin nica sobre cmo estructurar los planes. Esto tambin
muestra que tanto la experiencia general en el negocio como el
conocimiento de la GCN necesitan combinarse para encontrar la
estructura ptima para una organizacin en particular.

Tipos de Planes
El trmino Plan de Continuidad del Negocio PCN puede
definirse como:

El conjunto de procedimientos documentados e


informacin que ha sido desarrollada, recopilada y
mantenida a disposicin para su uso durante un incidente,
para permitir a la organizacin continuar con la entrega
de sus actividades ms importantes y urgentes a un nivel
aceptable predefinido.
Existen otros trminos de uso comn, los cuales corresponden
a formas especializadas del PCN. Aunque se evidencia dentro
de la definicin genrica anterior, los planes de Respuesta a la
Emergencia y los Planes de Gestin de Incidentes en algunas
organizaciones se administran de manera separada de la GCN.
En algunas organizaciones, los departamentos de la Tecnologa
de la Informacin y las Comunicaciones TIC an se refieren a sus
planes como Planes de Recuperacin de Desastres PRD.

Otros nombres para planes especializados, son:


Plan de Gestin de Crisis

Plan de Respuesta a Medios


Plan de Retiro de Producto
Plan para Pandemias
Plan de Continuidad de las Operaciones
En el contexto de esta gua, todos los planes (cualquiera sea su
denominacin), se ajustan a la definicin genrica considerada para los PCN.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [68]

GCN Tcnicas de las Prcticas Profesionales

Estructura de Respuesta ante un Incidente


Introduccin
Independiente de la causa del incidente que genera una
interrupcin o impacto en el negocio, debe estar en
funcionamiento una estructura de respuesta ante incidentes
documentada y completamente entendida. Esta estructura
abarcar tres tipos o niveles de actividades de gestin:

1. Estratgica
2. Tctica
3. Operativa

La estructura de respuesta adoptada por una organizacin necesita


manejar todos los niveles, y para cada plan que se desarrolle e
implemente como parte de la estructura, es necesario establecer un
equipo de respuesta con procedimientos claros para el escalado y
control.
Un ejemplo de esto, es la tcnica utilizada por los Servicios de
Emergencia del Reino Unido, quienes definen estos tres niveles de
respuesta al incidente como Oro, Plata y Bronce. La forma como
se aplican las responsabilidades de este modelo a la estructura de
respuesta de una organizacin, se muestra en el siguiente grfico.
(ver ms abajo)
Este modelo es solo un ejemplo de una adecuada estructura de
respuesta, aunque la caracterstica esencial de cualquier modelo de
respuesta es la necesidad de escalar informacin hacia arriba y de
comunicar decisiones hacia abajo. El enfoque es particularmente
efectivo en las dos fases iniciales asociadas con la implementacin
del PCN: Respuesta a la Emergencia y Gestin del Incidente.

Oro

Planes de Gestin de Incidentes (PGI)


Aunque este plan es parte del proceso de Planificacin de la
Continuidad del Negocio, se le considera como un nico PCN por
derecho propio. Este plan tiene algunas caractersticas especiales
que lo diferencian de los planes tcticos y operativos, los cuales
conforman la mayor parte de los planes del portafolio de PCNs.
Este plan est definido como:

Un plan de accin documentado para ser utilizado al


presentase un incidente. Incluye las personas clave, los
recursos, los servicios y las acciones necesarias para
implementar el proceso de la Gestin de Incidentes.
Este es un PCN de nivel Estratgico que define cmo deben
abordarse y gestionarse por parte de la alta Direccin los
problemas estratgicos derivados de un incidente mayor. El plan
tambin puede utilizarse en los casos en que el incidente no est
completamente dentro del alcance del programa de la GCN. Este
puede incluir crisis no resultantes de interrupciones como tomas
hostiles, exposicin a noticias negativas de los medios y aquellos
en los que el impacto afecta un rea mayor a la considerada por la
estrategia de la GCN, como el caso de las emergencias nacionales.
La respuesta a los medios sobre cualquier incidente, usualmente
se gestiona a nivel estratgico, aunque algunas organizaciones
pueden gestionarla a un nivel tctico.
El PGI en algunas ocasiones es conocido como el Plan de
Gestin de Crisis; sin embargo, reportar en los medios que una
organizacin ha invocado a su Equipo de Gestin de Crisis,
pueden llevar a la gente a pensar que la organizacin est en una
crisis. El trmino Incidente tiene connotaciones menos negativas
por lo que se le prefiere en este documento.

Estratgico

Escalamiento

Control

Plata

Bronce

[69] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Equipo de Respuesta
Estratgica

Tctico

Equipo de Respuesta
Tctica

Operacional

Equipo de Respuesta
Operacional

Desarrollar e Implementar una Respuesta de la GCN 05

Planes de Nivel Tctico

Lnea de Tiempo

Los planes de nivel tctico conforman la mayor parte del


portafolio de PCN. Estos planes estn dirigidos para controlar
la interrupcin del negocio o las prdidas desde la respuesta
inicial hasta el momento en que las operaciones de negocio son
recuperadas; y se basan en las Estrategias de la Continuidad
del Negocio acordadas. Un plan de nivel tctico coordina la
recuperacin, asegurando que las operaciones cubiertas por el
plan, trabajen para un objetivo comn y que donde los recursos
son escasos, estos son asignados a las actividades ms urgentes.

Los equipos de respuesta en los tres niveles, no necesariamente


requieren invocar sus planes de manera simultnea. La invocacin
puede iniciar a nivel operativo y escalar al nivel estratgico. De
manera alterna, la invocacin puede iniciar a nivel estratgico
y descender en cascada a los equipos operativos. En la medida
en que la organizacin inicia su recuperacin y restaura sus
operaciones normales, es probable que el equipo estratgico sea el
primero en retirarse, seguido por los equipos tcticos y por ltimo
los equipos operativos.

Donde existe una gran cantidad de planes de nivel operacional,


uno de los roles del equipo de respuesta tctica es resolver los
conflictos entre estos planes para asegurar una recuperacin
coordinada. Los planes de nivel tctico pueden cambiar las
prioridades acordadas y las estrategias de recuperacin para
tomar en cuenta cambios estacionales (temporadas) y en las
condiciones del negocio; o por instruccin de la Alta Direccin.
Si el evento se produce por fuera del alcance de los supuestos en
los que se basan los planes tcticos, la situacin debe escalarse
a la Alta Direccin quienes gestionan los problemas de nivel
estratgico.

Planes de Nivel Operativo


Los planes de nivel operativo estn diseados para la reanudacin de
las funciones del negocio desde el inicio del incidente hasta la fase de
regreso a la Operacin Normal. Se basan en los requerimientos de
recuperacin y las tcticas de continuidad del Negocio acordados; y
establecen los procesos y procedimientos para la recuperacin de las
actividades en los niveles acordados de operacin.
Para los departamentos que gestionan infraestructura, los planes
de nivel operativo suministran la estructura para restaurar los
servicios existentes o suministrar instalaciones alternas para apoyar
la recuperacin de otras unidades del negocio. Los planes tambin
pueden elaborarse para otros servicios de apoyo como Recursos
Humanos que pueden tener un rol especializado en el apoyo a la
recuperacin o proporcionar asesora especializada.

Proceso
Estos niveles de respuesta proveen un modelo adecuado
para organizaciones de cualquier tamao, pero necesitan
implementarse de manera que se ajusten a la estructura de gestin
y a la cultura de la organizacin. A continuacin se presentan
ejemplos de cmo los niveles pueden ser implementados en
diferentes tipos de organizaciones.

Organizaciones Pequeas con una Sede nica


En organizaciones pequeas con una sede nica, todos los niveles
de repuesta pueden ser implementados como un solo plan con
un nico equipo de respuesta que cubra todos los aspectos
estratgicos, tcticos y operativos de la respuesta.

Organizaciones de tamao Mediano


En organizaciones de tamao mediano, los niveles de respuesta
pueden implementarse de la siguiente forma:
Estratgico: Un PMI con un equipo de respuesta conformado por

la Alta Direccin.

Tctico: Un nico PCN que abarque la recuperacin de todas

las operaciones de la organizacin, con un equipo de respuesta


conformado por la direccin operativa.

Operativo: cubierto por el PCN (con excepcin de la Tecnologa

de la Informacin y las Comunicaciones, que requiere de detalles


tcnicos y tiene su propio plan de recuperacin operativo con un
equipo de respuesta tcnico de TIC).

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [70]

GCN Tcnicas de las Prcticas Profesionales

Organizaciones Grandes
En organizaciones grandes los niveles de respuesta pueden
implementarse de la siguiente manera:
Estratgico: Un PMI con un equipo de respuesta conformado por
la Alta Direccin.
Tctico: Un determinado nmero de PCNs, cada uno abarcando
una divisin principal, producto, servicio o instalacin, y cada
uno con su propio equipo de respuesta conformado por la
direccin operativa responsable de las reas cubiertas por el
PCN.
Operativo: Cubierto por PCNs individuales (con excepcin de las
principales funciones de apoyo de Tecnologa de la Informacin
y las Comunicaciones, Finanzas, Instalaciones y Recursos
Humanos, cada una de las cuales cuenta con su propio equipo
especializado de respuesta).

Grandes Organizaciones Multinacionales


En grandes organizaciones multinacionales los niveles de
respuesta pueden implementarse de la siguiente manera:
Estratgico: Un PGI global con el equipo de respuesta
conformado por la Alta Direccin con responsabilidades
globales y un PGI para cada territorio con el equipo de respuesta
compuesto por la Alta Direccin de cada territorio.
Tctico: Cada territorio tiene un determinado nmero de PCNs
cada uno abarcando grandes divisiones, servicios o instalaciones;
y con su propio equipo de respuesta conformado por la gerencia
operativa responsable de las reas cubiertas por el PCN.
Operativo: Cada departamento o sede cubierto por un PCN
que tiene su propio detalle del plan de respuesta operativo con
su propio equipo de respuesta conformado por los gerentes
operativos del departamento o sede y planes separados
para las principales funciones de apoyo: Informacin y las
Comunicaciones, Finanzas, Instalaciones y Recursos Humanos
cada uno con su propio equipo de respuesta especializado.

Los planes de nivel operativo estn


diseados para la reanudacin de las
funciones del negocio desde el inicio del
incidente hasta la fase de regreso a la
Operacin Normal.

[71] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Desarrollo y Gestin de Planes


Introduccin
La estructura seleccionada para la respuesta al incidente, la
estrategia de la GCN y el tamao y diversidad del negocio,
determinarn la cantidad y tipo de planes para poner en marcha.
Idealmente, los planes tcticos y operativos no se desarrollarn
hasta tanto la organizacin no haya definido y acordado su
estrategia; aunque para organizaciones sin arreglos operando,
la respuesta a nivel estratgico (normalmente el PGI) puede
implementarse de antemano para proporcionar proteccin limitada
en el nterin.
Cada plan siempre debe contener supuestos sobre la magnitud
mxima del incidente en trminos de extensin, duracin o el
equipo de trabajo afectado.

Proceso
Los pasos clave en el desarrollo de un plan incluyen:
Establecer un dueo.
Definir los objetivos y el alcance.
Desarrollar y aprobar un proceso de desarrollo para el plan y
para el programa.
Crear un equipo de planificacin.
Crear un equipo de respuesta.
Acordar las responsabilidades del equipo de respuesta y su
relacin con otros planes y equipos de respuesta (estratgica,
tctica y operativa).
Definir la estructura, formato, componentes y contenido del
plan.
Definir las estrategias, como instalaciones alternas, sobre las
que se basa el plan.
Recopilar informacin para confeccionar el plan.
Generar un borrador del plan.
Circular el borrador del plan para consulta y revisin.
Recopilar la retroalimentacin de la consulta.
Modificar el plan segn sea el caso.
Acordar y validar el plan, por ejemplo utilizndolo en un
ejercicio.
Acordar un programa de ejercicios y mantenimiento continuo
del plan para asegurar que permanece actualizado.

Desarrollar e Implementar una Respuesta de la GCN 05

Mtodos y Tcnicas

Contenido

Los mtodos, herramientas y tcnicas para facilitar el desarrollo


de planes, incluyen:
Planificacin del escenario.
Entrevistas (estructuradas y no estructuradas).
Listas de verificacin.
Sesiones de trabajo (talleres).
Amenazas identificadas.
Incidentes previos.
Riesgos locales conocidos.

Todos los planes bien sea que operen a nivele estratgico, tctico u
operativo, deben contener un nmero de elementos similares:

Formato y Contenido
Los planes deben ser concisos y fciles de leer. Pueden ser de
diseo modular de manera que se puedan suministrar slo
las secciones separadas a los equipos que lo requieran. Si se
adopta este modelo, es importante que alguien asuma el rol
de coordinacin global.
Se puede adoptar una serie de mtodos y tcnicas para
desarrollar los planes; stas se describen ms adelante en
este captulo. Sin embargo, cualquiera que sea el mtodo
utilizado, los planes no deben desarrollarse de manera aislada
y cualquier persona que tenga un rol identificado, debe
consultarse durante la etapa de desarrollo.

Propsito.
Alcance.
Objetivos.
Supuestos.
Estructura para la gestin del incidente (para la organizacin
como un todo).
Responsabilidades del equipo de respuesta.
Integrantes del equipo de respuesta.
Responsabilidades individuales para los integrantes del
equipo de respuesta.
Instrucciones para la invocacin.
Autoridad para invocar.
Instrucciones para el equipo de movilizacin
Ubicacin de la salas de reuniones del equipo (centro de
comando)
Comunicaciones (que abarquen a los equipos de trabajo,
grupos de inters, clientes, medios, entre otros).
Listas de actividades.
Informacin clave de etapas previas del Ciclo de Vida de la
GCN.
Datos de contacto (usualmente se dejan como anexos).

iStockphotos.com/lorrainedarke

El plan debe contener las instrucciones iniciales para su accin y


para las acciones o decisiones especficas que el equipo necesite
tomar.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [72]

GCN Tcnicas de las Prcticas Profesionales

Roles y Responsabilidades
Los roles del equipo y de individuos especficos deben estar
documentados; y cada rol debe tener identificado su suplente.
Las responsabilidades para el equipo o los individuos
nombrados, pueden incluir:
Lder del Equipo: es quien debe asegurar que el equipo de
respuesta est asignado adecuadamente y ser capaz de
realizar designaciones de ser necesario.
Comunicaciones internas: acordar el cronograma de
reanudacin con otros equipos de respuesta.
Comunicaciones externas: con grupos de inters y medios.
Operaciones.
Soporte tcnico.
Apoyo administrativo.
Personal de Registro (Logger): mantener el registro (bitcora)
de las decisiones a lo largo del incidente.

Instrucciones para la Invocacin/Movilizacin


Las circunstancias bajo las cuales el equipo ser activado deben
estar documentadas y las personas autorizadas para realizar
la invocacin deben estar definidas. Sin embargo, debido a la
naturaleza de los incidentes, se debe permitir flexibilidad y en
caso de duda fomentar la accin, dado que es ms fcil detener un
equipo que activarlo despus de que el incidente ha evolucionado.
Los medios por los cuales el equipo ser activado deben estar
documentados de manera que las decisiones puedan tomarse en
el tiempo ms corto posible. Dependiendo de la naturaleza del
incidente el equipo puede reunirse continuamente, una o varias
veces al da.

Sala de Reuniones
Para desastres de gran magnitud o para organizaciones muy
dispersas geogrficamente, puede ser apropiado utilizar el
concepto de un Equipo de Gestin de Incidentes virtual con
un Centro de Comando virtual; siempre y cuando pueda ser
garantizada las capacidades de telecomunicaciones y el acceso
compartido a la informacin crtica.

[73] GCN
[73]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

De antemano, el equipo debe acordar un nmero de posibles sitios


de reunin favoreciendo aquellos que cuentan con los recursos
requeridos. En una invocacin, el primer notificado debe identificar
el sitio ms adecuado y un sitio alterno de reserva, con base en la
informacin disponible.
Se deben predefinir al menos dos sitios que actuarn como Centro
de Comando (Centro de Gestin del Incidente o sala de control).
Probablemente uno est ubicado en el sitio donde normalmente
opera el equipo de respuesta, pero el otro debe ser externo.
La sede externa no tiene que ser de propiedad de la organizacin.
Con acuerdos previos, un hotel 24 horas puede estar disponible
para suministrar todos los servicios requeridos por la mayora de
las organizaciones.
Se debe considerar cmo utilizar el espacio de la mejor forma para
las necesidades de:

Comunicaciones: entrantes y salientes.


Registro y grabacin de eventos, acciones y problemas.
Monitoreo de radiodifusin.
Control de ingreso

Recursos
Se deben considerar los siguientes recursos:
Tableros y marcadores para escribir.
Telfonos, incluyendo al menos uno con lnea de salida
externa y un sistema de grabacin de llamadas.
Servicio de atencin / lnea de ayuda.
Comunicadores mviles, telfonos celulares, fax, correo
electrnico e internet.
Equipos de monitoreo de televisin y radio.
Papelera de oficina.
Un medio para el registro de todas las acciones.
Alimentacin / servicio de cafetera.
Instalaciones locales o cercanas para dormir.
Se puede mantener hardware e informacin, fuera de las
instalaciones, en el sitio alterno; en una caja fuerte denominada
caja de batalla, Piata (grab bag) o caja de recuperacin.

Desarrollar e Implementar una Respuesta de la GCN 05

Actividades de las Personas

Coordinacin con los Servicios de Emergencia

Las organizaciones tienen la responsabilidad (las cuales pueden


estar obligadas legalmente) de salvaguardar el bienestar de sus
empleados, contratistas, visitantes y clientes. Todas las estrategias
de la GCN deben tener en cuenta los aspectos de bienestar durante
el incidente y durante la fase de recuperacin. Es ms probable la
cooperacin voluntaria por parte de las personas, ante exigencias
extras, si se atienden sus necesidades de bienestar.

Se debe asignar un equipo con un nivel adecuado de experiencia y


autoridad para servir como enlace con los servicios de emergencia
en el momento de su llegada al sitio y posteriormente segn se
requiera.

Situaciones a considerar:
Las necesidades especiales incluyen:
> Embarazo
> Discapacidad
> Responsabilidades familiares
Manejo de situaciones relacionadas con lesiones graves o
fallecimientos (en consulta con los servicios de emergencia y
de acuerdo con las regulaciones y costumbres locales).

Mientras tanto en el sitio, las instrucciones de los servicios de


emergencia tienen prioridad sobre las dadas por los propios
equipos de trabajo de la organizacin.

iStockphotos.com/lorrainedarke

Durante un incidente, uno o ms individuos deben asumir la


responsabilidad por:
Evacuacin del sitio.
Conteo de los funcionarios, contratistas y visitantes.
Comunicaciones en sitio con el equipo de trabajo y otros.
Comunicacin con el contacto de emergencias o familiares
cercanos.
Servicios de traslado.
Asistencia en transporte.
Creacin de una lnea de ayuda al equipo de trabajo.
Subsecuentemente existen necesidades adicionales que
incluyen:
Acomodacin temporal.
Servicios de asesora y rehabilitacin: este puede
proporcionarse como parte del paquete de salud de cada
empleado.
Necesidades de bienestar en sitios alternos:
> Necesidades especiales.
> Alimentacin / servicio de cafetera.
> Personal de seguridad y servicios seguridad fsica.
> Transporte y accesibilidad.
> Formacin apropiada sobre los equipos de reemplazo.

A los servicios de emergencia se les debe proveer informacin


sobre la ubicacin de vctimas, el estado de la situacin y cualquier
peligro conocido que puedan encontrar.

Tan pronto los servicios de emergencia se han marchado, la


organizacin retoma la responsabilidad por la seguridad de su
propia sede.

Comunicacin
Puede requerirse realizar comunicaciones con los siguientes
grupos:
Grupo de trabajo, parientes, amigos y contactos de
emergencia.
Clientes.
Proveedores.
Integrantes o sectores de la poblacin.
Accionistas, inversionistas, integrantes de la junta directiva o
propietarios.
Otros sectores de la organizacin.
Autoridades regulatorias.
Medios: peridicos nacionales y locales, radio, televisin,
internet y otros medios.
Las responsabilidades del equipo de respuesta para comunicarse
con cada uno de estos grupos deben estar acordadas de antemano
como parte del desarrollo de la estructura de respuesta al
incidente.

Medios
El plan de nivel estratgico debe indicar cmo la organizacin
gestionar las comunicaciones con los medios. Pero todos
los planes deben incluir una referencia al plan de medios y las
instrucciones al equipo de trabajo sobre lo que deben hacer en
caso de ser abordados por los medios. Los planes tambin deben
contener informacin sobre las acciones que debe realizar el
equipo de trabajo, si estn involucrados en un incidente que
probablemente atraiga la atencin de los medios y a quien deben
informar.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [74]

GCN Tcnicas de las Prcticas Profesionales

Los mtodos y tcnicas que se deben utilizar para asegurar la


calidad de los planes, incluyen:
Verificar que los planes reflejen la informacin recogida y
documentada de las etapas previas del proceso de la GCN.
Verificar que los planes reflejan las estrategias acordadas de
la GCN.
Verificar que el estilo de los planes refleja la cultura de la
organizacin.
Revisar la mejor manera de mantener los nmeros de
contacto y si stos deben o no estar incluidos en los planes.
Revisar la utilizacin de nombres de individuos y/o nombres
de cargos en los planes (el uso de nombres puede llevar a
cambios frecuentes al plan).
Considerar la forma de acortar el plan si ste ha quedado
muy extenso.
Verificar que los planes se ajustan a los estndares de control
de documentos acordados para la GCN.
Verificar que las secciones del plan estn en una secuencia
lgica.
Invitar a alguien que no conozca los planes para que los lea y

[75] GCN
[75]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

seale cualquier detalle o informacin adicional que se pueda


necesitar para implementarlos.
Verificar que los planes se puedan leer: aunque los diseos y
formatos pueden variar de una empresa a otra, hay una serie
de consejos que se pueden adoptar para hacer que los planes
sean fciles de usar; tales como usar separadores, papel de
colores y anexos).
Asegurarse de que los planes no contienen informacin
innecesaria.

Resultados y Revisin
El resultado de este proceso es un conjunto de planes
actualizados y efectivos que abarcan la respuesta estratgica,
tctica y operativa a los incidentes que pudieran causar
interrupciones importantes a las operaciones de la
organizacin.
El programa de la GCN debe identificar un rgimen de
mantenimiento y cualquier cambio que surja de ste, requiere
ser incorporado al proceso de planificacin para asegurar que
los planes y procedimientos se mantienen actualizados.

iStockphotos.com/lorrainedarke

Aseguramiento de Calidad

Desarrollar e Implementar una Respuesta de la GCN 05

Planes Estratgicos
Introduccin
Aunque los principios bsicos y el enfoque para desarrollar los PCN
son similares en todos los casos, se necesitan diferentes grados
de nfasis para los diferentes niveles de planes. La necesidad de
involucrar a la Alta Direccin en el desarrollo e implementacin
de los PCN es esencial tanto para la respuesta inmediata exitosa
como para la Continuidad del Negocio en curso. Casos de estudio
de incidentes mayores sugieren que la rpida y eficaz gestin de
una crisis es el factor ms importante para proteger la marca de la
organizacin de los daos financieros y de la reputacin.
Algunos incidentes requerirn una respuesta de nivel estratgico
que no resulta de la interrupcin de las actividades (por ejemplo
aquellas amenazas que solo involucran a la reputacin) y por tanto
no involucran la respuesta completa del PCN. Sin embargo, cuando
se requiere la respuesta completa del PCN, existe la necesidad de
involucrar al equipo de nivel estratgico, aunque slo sea para que
tome conciencia de la situacin en caso de que se le escale.
Para organizaciones que no cuentan con planes en curso, el primer
elemento a desarrollar puede ser un plan de nivel estratgico,
que producir una cantidad limitada de proteccin mientras se
desarrollan otros planes. Los trminos utilizados
en estas guas para los diferentes tipos de planes no se aplican
universalmente, de manera que es importante que la organizacin
seleccione los nombres que se ajusten a su propia cultura y
estructura y que se incluyan los roles descritos.

Mtodos y Tcnicas
Se pueden utilizar plantillas para apoyar la implementacin de
los procedimientos estndar.

Contenidos
Como por naturaleza todas las crisis son diferentes, un plan de
nivel estratgico es un conjunto de recursos y componentes que
puede ser til para el equipo encargado de activar el plan y debe
incluir un elemento de comunicaciones.
El contenido tambin depender de la naturaleza y complejidad
de la organizacin, pero debe incluir muchos de los elementos
relacionados.

El plan estratgico puede contener material de referencia de


las estrategias de las diferentes partes de la organizacin o
informacin genrica de cmo recuperarse de prdidas de las
edificaciones, o de la prdida de la Infraestructura Tecnolgica.
Esto no significa la micro-gestin del incidente, pero informa al
equipo sobre cmo se llevar a cabo la recuperacin y las escalas
de tiempo en que pueden estar involucrados.

Responsabilidades
Los integrantes del equipo estratgico de respuesta son
los guardianes de la reputacin de la organizacin y tienen
la responsabilidad de ajustar la estrategia de recuperacin
de la organizacin si la reputacin se ve amenazada. Las
responsabilidades especficas del equipo de respuesta estratgica
incluyen:

Definir la poltica de recuperacin.


Establecer los objetivos estratgicos de respuesta al
incidente.
Elaborar una estrategia de largo plazo.
Gestionar las comunicaciones, en particular con los medios
(ver enseguida).
Aprobar los gastos significativos.
Monitorear el progreso total de recuperacin.
Identificar y maximizar las oportunidades derivadas del
incidente.
Asegurar que la recuperacin est en concordancia con los
intereses de largo plazo de la organizacin.
Aprobar las declaraciones a los medios antes de su emisin y
monitorear y realizar los ajustes necesarios a la estrategia de
medios.
Asegurar la salud financiera de la organizacin.
Asegurar que cualquier recuperacin rene los requisitos
legales de la organizacin.

Recursos
Los recursos especficos que se deben considerar para su uso por el
equipo estratgico, adicionales a los identificados al inicio de todos
los planes, incluyen:
Instalaciones dotadas para Tv/radio, para apoyar las entrevistas.
Lnea de comunicaciones y cmara para transmitir las
entrevistas y video conferencias directamente a las estaciones
difusoras.
Un lugar separado y cercano a las instalaciones para recibir a la
prensa.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [76]

GCN Tcnicas de las Prcticas Profesionales

El plan de medios debe conducir a la organizacin sobre la manera


como gestionar las comunicaciones con los medios. El plan puede
estar incluido dentro del Plan de nivel Estratgico o Tctico o
puede existir como un documento separado.

El plan de medios debe incluir:


Definir de antemano quien(es) ser(n) el(los) portavoz(ces)
asegurando que:
> La persona ha sido entrenada en este rol.
> Existen suficientes personas para informar a los medios en
un sitio central as como en el sitio del incidente.
> Existe un vocero tcnico si se considera apropiado
Si se considera apropiado, trabajar con especialistas como
empresas de relaciones pblicas para desarrollar la respuesta de la
organizacin a los medios y considerar la retencin de la empresa
para utilizarla durante el incidente. Si es posible, desarrollar
una relacin con las personas claves de los medios antes de un
incidente.

Identificar las audiencias:


> Las posibles audiencias deben estar segmentadas y
enseguida aplicar el mtodo ms adecuado para poner el
mensaje a cada uno, por ejemplo; radio local, peridicos
nacionales.
La respuesta a cada mtodo, debe monitorearse y revisarse. Esto
puede incluir el monitoreo de medios/recorte de servicios.
Considerar los posibles mensajes:
> Desarrollar preguntas y respuestas para los incidentes ms probables.

[77] GCN
[77]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

> Desarrollar un modelo de texto en la organizacin que


pueda salir a describir la organizacin en declaraciones a
los medios.
> Develop contact lists for media organizations
Desarrollar un proceso para declaraciones a los medios y
cmo ser aprobado y comunicado a los medios.
Documentar cmo las declaraciones se comunicarn a lo
largo de la organizacin.

Resultados y Revisin
Los resultados del proceso de planeacin estratgica incluyen:
Un plan que apoya el rol de la Alta Direccin de la organizacin
durante una crisis.
Un plan para gestionar las comunicaciones con los medios y las
partes interesadas durante una crisis.
La demostracin de preparacin para una gestin efectiva con
los medios, el mercado, los clientes, las partes interesadas y los
entes reguladores.
Cumplimiento de los requerimientos estatutarios, regulatorios y
ticos.
Se debe realizar una revisin o auditora alineada con la revisin de
otras estrategias, planes y soluciones relacionadas con la GCN y la
Gestin de Incidentes.
La revisin del plan puede realizarse por cambios mayores en el
negocio, cambios en la Alta Direccin o cambios significativos en el
entorno operativo externo de la organizacin.

iStockphotos.com/lorrainedarke

Plan de Medios

Desarrollar e Implementar una Respuesta de la GCN 05

Planes Tcticos
Introduction
Los planes de nivel tctico son la forma ms comn del PCN.
Renen la respuesta de la organizacin a la interrupcin de las
actividades del negocio, facilitando su reanudacin. Quienes
utilizan estos planes, deben estar capacitados para analizar la
informacin de los equipos de respuesta a los impactos provocados
por el incidente, seleccionar e implementar estrategias adecuadas
de los planes disponibles, dirigir la reanudacin de las reas de
negocio de acuerdo con las prioridades acordadas y aprobar la
entrega de informacin al equipo estratgico.
El contenido de un plan de nivel tctico vara de una organizacin
a otra y tiene diferentes niveles de detalle basado en la cultura
organizacional y en la complejidad tcnica de las soluciones. Rara
vez es posible documentar un plan tctico efectivo, a menos
que los elementos claves de la estrategia de recuperacin estn
disponibles o muy avanzados en su planificacin.

Mtodos y Tcnicas
El plan debe estar orientado a la accin rpida y fcil. No debe
incluir documentacin que no se necesaria durante un incidente.
Un plan de nivel tctico siempre contiene supuestos relacionados
con la escala del incidente (en trminos de extensin, duracin o
impacto al equipo de trabajo). Si la magnitud del incidente excede
los supuestos, entonces debe escalarse al equipo de respuesta
estratgica.

Los pasos especficos en el desarrollo de planes tcticos


incluyen:
Nombrar una persona para gestionar el desarrollo de la
totalidad de planes tcticos.
Desarrollar un proceso de planificacin y un cronograma
de trabajo. Siempre que sea posible, se debe iniciar con los
planes para las actividades ms urgentes del negocio.
Decidir la estructura, formato, componentes y contenido de
los planes.
Desarrollar un plan general o plantilla para fomentar la
estandarizacin documental pero que permita variaciones
individuales donde se requiera.

Existe una amplia gama de productos de software disponibles para


apoyar la construccin y mantenimiento de los planes, pero no
son esenciales. El uso de software normal de oficina (procesador
de textos y hoja de clculo) puede ser suficiente y es ms fcil para
todo el personal ya que su utilizacin no requiere entrenamiento
especial. Sin embargo, un software personalizado puede ofrecer
importantes beneficios en el mantenimiento y la integridad
referencial del plan.

Contenido
Los planes tcticos deben contener suficiente informacin para
permitir la respuesta tctica de los equipos para continuar o
recuperar las actividades del negocio contempladas en el plan.
Deben incluir procedimientos detallados para los equipos, para:

Responder a la convocatoria.
Tomar decisiones.
Movilizar recursos.
Iniciar las actividades de recuperacin.
Recibir informacin de otros equipos.
Reportar el estado al equipo estratgico.
Para otros puntos que se puedan incluir en su totalidad, ver
seccin Formato y Contenido Pg 72.

Responsabilidades
Las responsabilidades especficas para los equipos tcticos de
recuperacin pueden incluir:
Coordinacin y monitoreo del nivel de recuperacin de las
operaciones.
Asignacin de los recursos disponibles a los equipos
operativos.
Cambio en las prioridades acordadas y en las estrategias de
recuperacin teniendo en cuenta los cambios estacionales,
las condiciones del negocio o las condiciones de la direccin a
nivel estratgico.
Coordinacin de las ms importantes funciones de Apoyo
(Tecnologa de la Informacin y las Comunicaciones,
Finanzas, Instalaciones y Recursos Humanos).
Recibir o buscar informacin de otros equipos de respuesta.
Reportar al equipo estratgico de respuesta.
Movilizar a los terceros proveedores de servicios de
salvamento y recuperacin.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [78]

GCN Tcnicas de las Prcticas Profesionales

Requerimiento de Recursos
Una lista de los recursos que deben estar disponibles, podra
incluir:










Personal.
Propiedades.
Instalaciones y proveedores.
Tecnologa, comunicaciones y datos.
Seguridad.
Proveedores.
Transporte y logstica.
Requerimientos de bienestar.
Pagos debidos a gastos de emergencia.
Informacin de contacto para el acceso a los recursos.
Requerimientos de recursos para la reanudacin de cada
actividad.
La informacin vital podra incluir:
Informacin de clientes.
Detalles de contactos.
Documentos legales: Contratos, plizas de seguros.
Acuerdos de Niveles de Servicio (ANS).

Resultados y Revisin
La revisin del proceso de planeacin tctica incluye:
Los planes de nivel tctico deben ser aprobados por la Alta
Direccin.
La estructura dentro de la cual puedan trabajar los planes.
Alguna informacin incluida dentro de los planes tcticos
debe revisarse en lnea con la poltica de la GCN. El resto de la
informacin debe revisarse anualmente de manera formal y
probarse mediante ejercicios.
Otros factores que conducen a revisiones, son:
Cambios significativos en la tecnologa y/o las
comunicaciones.
Cambios mayores en los procesos del negocio.
Cambios significativos en los grupos de trabajo.
Cambio de proveedores de las soluciones de la GCN.

Planes Operativos
Introduccin
Los planes tcticos se volvern rpidamente difciles de manejar
si todos los procedimientos de recuperacin estn incluidos en un
documento nico. Cuando ste
es el caso, los planes de respuesta y recuperacin de cada unidad
de negocio deben elaborarse en uno o ms planes operativos
separados que se convierten en la responsabilidad de la unidad de
negocio a la que se refieren.
Los planes operativos abarcan la respuesta al incidente para
cada departamento o unidad de negocio. Ejemplos de planes
operativos son:

Un plan para reanudar las funciones de un departamento


dentro de una escala de tiempo predefinida.
Procedimientos para apoyar al equipo de respuesta al
incidente, generalmente dirigido por un departamento de
Servicios que se ocupa del incidente especfico y su impacto
fsico.
Un plan de respuesta de Recursos Humanos a los problemas
de bienestar durante un incidente.
Un plan logstico de respuesta de la Tecnologa de la
Informacin a la prdida y posterior reanudacin de los
servicios de Tecnologa de la Informacin al negocio
La complejidad y urgencia de los procesos del negocio pueden
determinar si un plan operativo abarca una sola actividad o un
departamento que abarca varias actividades.
Asimismo, los planes operativos pueden estar apoyados por ms
planes detallados para respuestas, lugares o equipos especficos.
Debido a los numerosos vnculos entre los planes tcticos y los
de respuesta operativa, los planes tcticos se deben elaborar, por
lo menos en sus principales aspectos, antes de finalizar los planes
operativos.

Mtodos y Tcnicas
Los planes deben estar orientados a la rpida accin y por tanto
deben facilitar su rapidez en la implementacin. No deben incluir
documentacin que no se requiera durante un incidente.
Los pasos especficos del proceso de planificacin y desarrollo de
planes operativos incluyen:

Nombramiento de una persona que gestione todas las


actividades del desarrollo de los planes operativos.

Los planes operativos abarcan la respuesta al incidente para cada departamento


o unidad de negocio

[79] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Desarrollar e Implementar una Respuesta de la GCN 05

Nombramiento de un representante de cada unidad de negocio


para que desarrolle sus planes individuales.

Desarrollar un proceso de planificacin y un cronograma de

trabajo. En la medida en que sea posible, se debe iniciar con los


planes de las actividades ms crticas del negocio.

Definir estructura, formato, componentes y contenido de los


planes.

Desarrollar un plan general o una plantilla para fomentar

la estandarizacin de la documentacin, pero que permita


variaciones individuales a cada plan cuando se considere
pertinente.

Asegurar que las unidades de negocio asignan funcionarios para


cumplir con las funciones dentro de sus planes.

Gestionar el desarrollo de los planes dentro de las unidades de


negocio.

Circular el plan para consulta, revisin y desempeo por dentro,


y donde sea necesario, por fuera de la unidad de negocio.

Recopilar la retroalimentacin de la consulta.


Modificar el plan segn sea el caso.
Validar el plan mediante ejercicios.
Documentar todas las interrelaciones entre los planes tcticos y
los planes operativos.

Conducir un anlisis de requerimiento de recursos a lo largo de

todos los planes para definir los requerimientos de recursos para


apoyar las diferentes funciones.

Contenido
Los planes operativos especficos pueden incluir instrucciones sobre:

Instalaciones.
Bienestar del equipo de trabajo.
Reanudacin de las unidades de negocio.
Recuperacin de desastres de la Tecnologa de la Informacin.
Los anteriores planes pueden incluir procedimientos apropiados
e informacin como:
Planes de evacuacin de edificios y refugio seguro.
Planes para amenaza de bomba.

Puntos de evacuacin (incluyendo sitios alternos o exteriores


a la edificacin).
Servicios de emergencia de enlace.
Redistribucin del personal y de los visitantes.
Salvamento de recursos y asistencia contratada.
Circunstancias que se deben escalar.
Recursos humanos y problemas de bienestar.
Obligaciones en salud y seguridad.
Procedimientos para el conteo de los funcionarios.
Procedimientos para contactar a los funcionarios.
Asesora para la rehabilitacin de recursos.
Criterios de escalamiento.
Procedimientos para el escalamiento a los equipos del nivel
tctico.
Contactos de los equipos tcticos para la respuesta inicial.
Contactos de los integrantes de los equipos.
Reanudacin del plan para cada actividad.
> Nmero de funcionarios.
> Contactos claves.
> Procedimientos para la reanudacin de las actividades del
negocio.
> Actividades prioritarias.
> Procedimientos especiales.
> Problemas del trabajo en curso.
> Consumibles requeridos.

Resultados y Revisin
Los resultados del proceso de planificacin operativa incluyen:
Planes operativos documentados para todas las unidades de
negocio.
Criterios y procedimientos para el escalamiento de
problemas de cada unidad de negocio.
Roles de GCN claramente definidos dentro de las unidades
de negocio.
Los planes operativos deben ser revisados si existen cambios mayores
en los procesos de negocio o la tecnologa, cambios dentro de las
unidades de negocio y cuando se hacen cambios a los planes de nivel
tctico.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [80]

04 Determining Business Continuity Strategy

iStockphotos.com/lorrainedarke

Ejercitar, Mantener y Revisar la GCN

06

GCN Tcnicas de las Prcticas Profesionales

Ejercitar, Mantener
y Revisar la GCN
Introduccin
Ejercitar, Mantener y Revisar la GCN es la prctica
profesional dentro del ciclo de Vida de la GCN que
busca asegurar el mejoramiento continuo, a travs
de acciones en curso y programadas. Las actividades
realizadas en esta seccin estn respaldadas por
la poltica de la GCN discutida en la prctica
profesional Numero 1.
Principios Generales

[83] GCN
[83]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

iStockphotos.com/lorrainedarke

La mayora de organizaciones se desenvuelven en ambientes dinmicos


y estn sujetas a cambios en cuanto a personas, procesos, mercado,
riesgos, entorno, geografa y estrategias de negocio. Para asegurar que
la capacidad de la GCN contine reflejando la naturaleza, magnitud
y complejidad de la organizacin que apoya, debe ser precisa; estar
actualizada, completa, ejercitada ; y ser entendida por todos los
integrantes y grupos de inters.

Ejercitar, Mantener y Revisar la GCN 06

Desarrollar un Programa de Ejercicios


Introduccin
El propsito de un programa de ejercicios es asegurar que en un
periodo de tiempo:
Se verifique toda la informacin contenida en los planes.
Todos los planes son probados.
Todo el personal involucrado en los planes (incluyendo
suplentes) es capacitado.
La capacidad de la Gestin de la Continuidad del Negocio GCN no
puede considerarse confiable hasta tanto no haya sido ejercitada.
Un programa de ejercicios debe enfocarse en maximizar los
beneficios del negocio mientras minimiza sus interrupciones. Se
requiere un Programa de Ejercicios planificado para asegurar que
todos los aspectos relacionados con el personal y los planes han
sido ejercitados durante un periodo de tiempo, evitando as la
interrupcin total del negocio.
El ejercicio puede tomar varias formas, que incluyen pruebas
tcnicas, pruebas de escritorio (pruebas de recorrido) y simulacros
completos en vivo. Sin importar qu tan bien se haya diseado la
Estrategia de la GCN o el Plan de Continuidad del Negocio PCN,
una serie slida y realista de ejercicios identificar situaciones y
supuestos que requieren atencin.
El tiempo y los recursos usados para ejercitar los PCNs son
elementos fundamentales de todo el proceso, ya que desarrollan
competencia, generan confianza y transmiten conocimientos que
son esenciales en tiempos de crisis.
Validar la capacidad de recuperacin tcnica es un elemento
importante de un programa de ejercicios, pero igualmente, un
elemento clave es el rol de las personas. El programa debe asegurar
que sus niveles de habilidad, conocimiento de su rol, gestin de los
recursos y toma de decisiones se ejercitan en un ambiente seguro.
Mientras que un servicio puede ser externalizado, la rendicin
de cuentas de la Continuidad del Negocio no puede serlo. La
externalizacin del servicio deber garantizar que los proveedores
pueden enfrentar la interrupcin. Idealmente, la GCN formar
parte del contrato de externalizacin e incluir un programa
compartido de ejercicios aplicable a los objetivos de recuperacin
del cliente.
La poltica de la GCN debe explicar en trminos generales las
responsabilidades por el programa de ejercicios.

Proceso
Discutir con la Alta Direccin cualquier aspecto identificado de

debilidad y el beneficio que podran obtener de la visibilidad que


brinda un ejercicio.

Relacionar todos los procesos de recuperacin asociados con


las actividades que se probarn (por ejemplo asignacin de
recursos, datos de contacto, reubicacin).

Definir el tipo de ejercicio ms adecuado para cada proceso.


Revisar la documentacin de soporte, si el ejercicio ya se

ha realizado en el pasado, para evitar repetir escenarios o


personas y para identificar actividades que requieren ejercicios
adicionales.

Relacionar todas las personas o grupos involucrados en cada


proceso.

Elaborar un cronograma de actividades que asegure que durante


un perodo determinado, todo el personal relevante haga parte
de los ejercicios.

El programa de ejercicios debe incluir actividades adecuadas


para ejercitar varios elementos de la estrategia de GCN
implementada. Estas pueden incluir:
Tcnicas: funciona el equipo?
Procedimientos: los procedimientos son correctos?
Logstica: los procedimientos funcionan conjuntamente en
forma lgica?
Oportunidad: los procedimientos pueden alcanzar el
Tiempo Objetivo de Recuperacin TOR para cada actividad?
Administrativo: los procedimientos son gestionables?
Personal: las personas involucradas son las adecuadas
y cuentan con las habilidades, autoridad y experiencia
requeridas?

Un programa de ejercicios debe


enfocarse en maximizar los beneficios
del negocio mientras minimiza sus
interrupciones.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [84]

GCN Tcnicas de las Prcticas Profesionales

Mtodos y Tcnicas
Para ser exitoso, un Programa de Ejercicios debe iniciar de manera sencilla y escalarse gradualmente.
Tipo de Prueba

Proceso

Participantes

Frecuencia

Complejidad

De Escritorio

Verificar la estructura y el
contenido del plan

Autor del plan

Alta

Baja

Guiada
(Walk Through)

Discutir los aspectos tericos del


plan para verificar que es utilizable

Autor del plan


Usuarios del plan

Simulacin

Utilizar el plan para realizar un


respuesta terica al incidente

Facilitador
Usuarios del plan
Otros requeridos como los
observadores

Prueba Unitaria

Confirmar que el procedimiento de


recuperacin de un componente
tecnolgico funciona

Usuarios del procedimiento o


tecnologa
Otros requeridos como los tcnicos

Ensayo Unitario

Practicar un procedimiento de
recuperacin o la recuperacin de
un componente tecnolgico
siguiendo un guin

Usuarios del procedimiento o


tecnologa
Otros requeridos como los tcnicos

Prueba de
extremo
a extremo

Confirmar que funciona la


recuperacin de un rea completa
de la organizacin (un proceso de
negocio, producto o servicio o
tecnologas interconectadas)

Los integrantes del rea de la


organizacin o aquellos que se
requieran para el proceso de
negocio, producto o servicio o
usuarios de las tecnologas
interconectadas.
Otros requeridos como los tcnicos

Ensayo total

Practicar la recuperacin de un
rea completa de la organizacin
(un proceso de negocio, producto o
servicio o tecnologas
interconectadas siguiendo un
guin.

Todos los integrantes del rea de


la organizacin o aquellos que se
requieran para el proceso de
negocio, producto o servicio o
usuarios de las tecnologas
interconectadas.
Otros requeridos como los tcnicos

[85] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Baja
Alta

Ejercitar, Mantener y Revisar la GCN 06

Frecuencia
La frecuencia de un programa de ejercicios de la GCN
depende de la naturaleza, magnitud y complejidad de la
organizacin. Cada integrante de la organizacin involucrado
en la infraestructura de respuesta al incidente, debe estar
involucrado en un ejercicio, por lo menos una vez cada 12
meses. Otros eventos que pueden requerir la programacin de
un ejercicio, incluyen:
Un cambio significativo en los procesos, el grupo de trabajo o
la tecnologa.
Un cambio mayor en el ambiente externo del negocio

Costo de los Programas de Ejercicios

ejercicios depende del tipo de ejercicios seleccionados. Es


importante entender que, as como se incrementa el costo,
incrementar la complejidad en el tipo de ejercicio tambin
implica mayor riesgo para la organizacin.
Es importante reconocer que el programa de ejercicios puede
ser costoso y en algunos casos incluso crea riesgo operacional
adicional a la organizacin. Claramente ejercicios en pequea
escala como pruebas de escritorio no tienen ningn riesgo real
de interrupcin operacional y slo implicaciones limitadas
en costos; mientras que una prueba completa que involucre
el cierre de las instalaciones principales y la reubicacin del
grupo de trabajo, es tanto costoso para organizar como tiene el
potencial (podra fallar) de dejar expuesto el negocio.
El siguiente diagrama muestra como se interrelacionan el costo,
la complejidad y el riesgo:

El costo probable de organizar y ejecutar un programa de

Costo, Complejidad, Riesgo

Costo
Completos

Alto Riesgo

Ensayos y Ejercicios
Grandes
Ensayos y Ejercicios
Medianos

Ensayos y Ejercicios
Pequeos
Simulacin
Prueba Guiada
Prueba de Escritorio

Bajo Riesgo
Complejidad

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [86]

BCM | Technical Professional Practices

Introduccin
Ejercitar es una palabra genrica utilizada aqu para describir el
ejercicio de Planesde Continuidad del Negocio PCN; ensayos de los
integrantes de los equipos (de continuidad) y del equipo de trabajo; y
pruebas de tecnologa y de procedimientos.
Existen tres trminos de uso general:
1 Prueba de escritorio: Tericamente consiste en probar la
capacidad sin adoptar ninguna accin fsica real. Un ejemplo
es un caso basado en un escenario, en el que se examinan las
habilidades para la toma de decisiones durante un incidente.
2 Ensayo / Simulacro: Consiste en practicar una serie de
procedimientos o tecnologas que requieren acciones fsicas.
Esto se logra mediante el seguimiento de un guion para impartir
conocimiento y familiarizacin. Un ejemplo es un simulacro de
incendio.
3 Prueba: Consiste en una validacin para ver si funciona un
procedimiento o tecnologa, donde el resultado puede ser
exitoso o fallido (para el procedimiento o tecnologa; no para
individuos). Generalmente se utiliza cuando el procedimiento o
tecnologa est siendo evaluado, a menudo, contra una ventana
de tiempo objetivo. Un ejemplo es la recuperacin de un servidor
a partir de cintas de respaldo dentro de un nmero de horas
determinado.
Independientemente del trmino utilizado, es importante demostrar
que un ejercicio es una oportunidad para medir la calidad de la
planificacin, la competencia de los individuos y la eficacia de la
capacidad; en lugar de una simple evaluacin de exitoso o fallido.
Una actitud positiva hacia el ejercicio de la GCN hace el proceso
ms aceptable y permite que las fortalezas sean reconocidas y que
las debilidades sean vistas como oportunidades de mejora ms que
como crticas.

Resaltar los supuestos que deben ser cuestionados.


Proveer informacin.
Generar confianza en los participantes del ejercicio.
Desarrollar el equipo de trabajo.
Aumentar la sensibilizacin en Continuidad de Negocio en toda
la organizacin.
Probar la efectividad y los tiempos de los procedimientos
recuperacin.

Conceptos y Supuestos
Con el fin de que cualquier prueba sea til, debe cumplir con los
siguientes criterios: Rigurosidad, realismo y exposicin mnima.
Estos tres criterios suelen tener requerimientos contradictorios
y pueden requerir que se llegue a un acuerdo entre ellos.

Rigurosidad
El ejercicio debe sentirse tan real como sea posible. Las pruebas
deben ser llevadas a cabo utilizando los mismos procedimientos
y mtodos que seran usados en eventos reales. Esto es lo
ideal, pero puede que no sea posible ejecutar ciertas pruebas
sin alteraciones a los procedimientos en vivo. Esto aplica
especialmente a las pruebas tcnicas.

Realismo
La utilidad de una prueba se reduce por la seleccin de un
escenario no realista. El establecimiento de un escenario de
negocios realista ayuda para asegurar que los participantes se
involucren plenamente en el caso, y que finalmente obtengan
ms de ste. La seleccin de un escenario ms realista tambin
ayudar a demostrar la viabilidad de los planes. Es esencial que el
facilitador del ejercicio trabaje con hechos reales para asegurar
que los participantes obtengan el mximo provecho del ejercicio,
a travs del realismo del escenario y el material de apoyo.

Propsito

Exposicin Mnima

El propsito de los ejercicios es:


Evaluar la competencia actual de la organizacin en la GCN.
Identificar reas de mejora o de carencia de informacin.

Las pruebas pueden poner el negocio en un nivel de mayor riesgo.


El facilitador del ejercicio debe asegurar que:
Se minimiza la interrupcin.

[87] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

iStockphotos.com/lorrainedarke

Ejercitar las actividades de la GCN

Ejercitar, Mantener y Revisar la GCN 06

El riesgo de que algo salga mal es entendido por la Alta


Direccin.
El negocio entiende y acepta el riesgo.

Para pruebas tcnicas ms complejas, el facilitador del ejercicio


debe asegurar que existen puntos acordados de Parada/
Arranque en las etapas clave a lo largo de la prueba, y planes
adecuados de retorno en caso de que las cosas salgan mal.
Para los ejercicios de escritorio o en vivo, el facilitador debe
tener la capacidad para detener el evento si el equipo est
tomando decisiones que no son apropiadas en el escenario.
Se debe acordar un cdigo de Parada en caso que ocurra un
incidente real durante el ejercicio.
Aunque en algunos casos es necesario conducir una prueba no
anunciada (por ejemplo, un rbol de llamadas en horario no
laboral), es ms probable que los ejercicios a gran escala sean
anunciados a los participantes claves. El tiempo de advertencia
dado y el nmero de participantes con pre-notificados se

reducirn en la medida en que la organizacin va ganando ms


confianza en sus capacidades.

Externalizacin
Cuando la entrega de un producto o servicio ha sido
externalizada, la responsabilidad por los ejercicios permanece
en la organizacin original. La organizacin debe asegurar, a
travs de los ejercicios, que el tercero es capaz de cumplir con
sus obligaciones. Otros proveedores de materiales crticos
de las actividades identificadas en el Anlisis de Impacto en el
negocio (AIN)) se les debe solicitar que demuestren su capacidad
de recuperacin en su propio negocio y ms concretamente, en
relacin con el servicio que proporcionan a la organizacin. Los
ejercicios de las actividades externalizadas deben asegurarse
a travs de Acuerdos de Niveles de Servicio (ANS). Se debe
tener cuidado de revisar las implicaciones en la continuidad de
cualquier clusula de fuerza mayor en los contratos con los
proveedores.

Proceso
PruebaTcnica

Escenario del Ejercicio

Acordar el alcance y los objetivos de la prueba.

Acordar el alcance y los objetivos del ejercicio con la Alta Direccin.

Si se requiere, acordar el presupuesto para


la prueba.

Acordar el presupuesto para la prueba.

Asignar el personal apropiado para la


tarea.

Acordar con los gestores apropiados de la organizacin y con los proveedores de logstica y
servicios requeridos para facilitar que el ejercicio se lleve a cabo.

Disear un escenario simple y una serie


de supuestos que pongan en contexto la
prueba.

Preparar un escenario adecuado, realista y detallado, que incluya aspectos como fecha, hora,
carga de trabajo actual, condiciones polticas y econmicas y las aspectos de temporalidad /
estacionalidad.
Asegurar que los participantes requeridos estn disponibles.

Elaborar un Anlisis de Riesgos de la


prueba para minimizar el riesgo de un
impacto sobre las operaciones reales.

Elaborar un Anlisis de Riesgos del ejercicio para minimizar el riesgo de un impacto sobre las
operaciones reales.
Preparar cuaestionarios breves para los observadores para su utilizacin durante el ejercicio,
para capturar las lecciones aprendidas.
Hacer ejercicios previos y entregar informacin breve a los participantes.

Realizar la prueba y registrar los resultados.

Realizar el ejercicio y comparar las observaciones

Analizar y reportar los resultados

Interrogar a los participantes inmediatamente despus del ejercicio


Programa una fecha y hora para una entrevista formal

Abordar los problemas encontrados

Utilizar los resultados del interrogatorio para elaborar el Informe y las recomendaciones postejercicio. Preparar un informe libre de problemas durante e inmediatamente realizada la prueba.
Distribuir informes a los participantes y la Alta Direccin.
Crear un plan de accin para implementar las recomendaciones del informe post ejercicio

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [88]

GCN Tcnicas de las Prcticas Profesionales

Mtodos y Tcnicas
Los participantes involucrados en los ejercicios de escritorio o
escenarios de ejercicios pueden incluir:










Facilitador(es).
Observador(es).
Proveedores de recursos tcnicos y servicios especializados.
Representantes de seguros.
Servicios de emergencia.
Seguridad.
Funcionarios de las autoridades locales de emergencia.
Comunicaciones y relaciones pblicas.
Expertos en la materia.
Proveedores de productos/servicios del negocio.
Proveedores de servicios externalizados.

Resultados y Revisin
Los resultados de ejercitar los procesos de la GCN incluyen:
Validacin que son efectivas las estrategias de continuidad del
Negocio.
Confirmar que los integrantes del equipo y el grupo de
trabajo estn familiarizados con sus roles, funciones,
responsabilidades y autoridad en la respuesta al incidente.
Validar los aspectos tcnicos, logsticos y administrativos de
los Planes de Continuidad del Negocio.
Confirmacin de la infraestructura de recuperacin (centro
de comando, reas de trabajo, recursos de recuperacin de la
tecnologa y las comunicaciones, etc.).
Conformacin de la disponibilidad del equipo de trabajo y los
procesos para su reubicacin.
Documentacin de los resultados del ejercicio en un reporte
post ejercicio para la Alta Direccin, auditores, aseguradores,
reguladores y otros interesados.
Documentacin y solucin de los problemas surgidos durante
el ejercicio.
Mayor conocimiento de los procedimientos de emergencia.
Mayor conocimiento del significado de la GCN.
Oportunidad de identificar deficiencias y mejoras en el
Sistema de Gestin de la Continuidad del Negocio SGCN.

[89] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Mantenimiento de los Planes de la GCN


Introduccin
El Programa de Mantenimiento de la GCN asegura que la
organizacin est preparada para gestionar incidentes a pesar
de los cambios constantes que toda organizacin experimenta.
Para ser eficaz, el Programa de Mantenimiento de la GCN debe
incorporarse dentro de los procesos normales de la gestin de la
organizacin en lugar de ser una estructura separada que puede
ser ignorada u olvidada.
Un cambio eficaz en la gestin de los procesos es prerrequisito
para el mantenimiento del programa de la GCN. Muchos de los
problemas que aparecen en los anlisis y los ejercicios son el
resultado de los cambios internos dentro de la organizacin o el
equipo de trabajo, las instalaciones o la tecnologa.

Proceso
Se debe establecer un proceso formal para el Mantenimiento de
la Continuidad del Negocio para asegurar que todos los grupos
de inters tienen y conocen las partes relevantes y actualizadas
del PCN.
El proceso debe incluir un mecanismo para marcar y revisar los
cambios internos para:
Los procesos del Negocio.
La Tecnologa.
El equipo de trabajo.
Los productos y servicios.
El entorno legal o regulatorio.
Esta revisin puede ser originada por el proceso de gestor de
cambios resaltando el cambio, a travs de un plan de accin
por los puntos de aprendizaje posteriores al ejercicio o por los
informes de auditora.
Otras actividades en este proceso incluyen:
Revisar y cuestionar los supuestos hechos en el Anlisis de
Impacto en el negocio AIN sobre el entorno en el que opera la
organizacin.
Determinar si los objetivos de tiempo han cambiado desde la
ltima revisin.
Revisar la idoneidad y disponibilidad de los servicios externos
que se pueden requerir como la restauracin de activos, sitios
de recuperacin y subcontratos.
Revisar los preparativos de los Planes de Continuidad del Negocio
de los proveedores de componentes crticos frente al tiempo.
Proporcionar formacin apropiada, capacitacin y/o
comunicacin cuando sea aplicable.
Analizar si los cambios y modificaciones generan necesidades
de formacin, capacitacin y/o comunicacin.
Distribuir la poltica, estrategias, soluciones, procesos y planes
de la GCN actualizados a los principales interesados bajo el
proceso formal de control de cambios (versiones)

Ejercitar, Mantener y Revisar la GCN 06

Mtodos y Tcnicas
Cada propietario es responsable de la actualizacin de sus
planes y de los datos dinmicos como: nmeros de contacto del
equipo de trabajo en horarios no laborales, tareas del equipo,
notificacin y detalles de contacto con proveedores as como el
contenido de la caja de seguridad para continuidad The Battle
Box.
Las secciones de los planes se actualizan en frecuencias que
van desde mensual hasta anualmente de acuerdo con la
programacin definida en la seccin de mantenimiento de los
BCP. Los meses apropiados para la actualizacin tambin se
especifican en la seccin de mantenimiento de los BCP.
La fecha de la ltima actualizacin debe estar claramente
mostrada al inicio de cada plan para proporcionar una auditoria
efectiva.

Resultados y Revisin
Los resultados del desarrollo del programa de Mantenimiento
del Programa de la GCN, incluyen:
El programa de mantenimiento de la GCN documentado y
monitoreado.
El reporte claramente definido y documentado (que incluya
recomendaciones) aprobado por la Alta Direccin.
El Plan de Accin de Mantenimiento claramente definido y
documentado (que incluya recomendaciones) aprobado por
la Alta Direccin.
Estrategias, soluciones y Planes de Continuidad del Negocio
efectivos y actualizados.
La frecuencia del Programa de Mantenimiento de la GCN
depende de la naturaleza, escala y ritmo de los cambios del
negocio. El mantenimiento probablemente se requiera:
Cuando existen cambios mayores en los procesos del
negocio.
Despus de un ejercicio o prueba.
Despus de las recomendaciones de mejoramiento por parte
de la auditoria.
De acuerdo con la programacin definida en el Plan de
Mantenimiento de la GCN.
Despus de una activacin real del plan, cuando se
incorporan las lecciones aprendidas

Revisin y Auditora de los Planes de la


GCN
Introduccin
Existen varias formas de revisar un programa de la GCN que
incluyen auto evaluacin (en primer lugar), auditora interna
(en segundo lugar) y auditora externa (en tercer lugar).
Un proceso formal de auditora asegura que una organizacin
tiene un programa efectivo de Continuidad del Negocio.
La auditora de la GCN tiene cinco funciones claves:
1. Validar el cumplimiento con las polticas y normas de la
organizacin.
2. Revisar las soluciones de la GCN de la organizacin.
3. Validar la cobertura organizacional de los planes de la GCN.
4. Verificar que se llevan a cabo actividades de ejercicios y
mantenimiento apropiadas.
5. Resaltar las deficiencias y problemas y asegurar su solucin.
La auditora se disea para verificar que los procesos se han
seguido de manera correcta y no que las soluciones adoptadas
sean necesariamente las correctas.
La auditora o revisin debe realizarse contra la poltica de la
GCN y las normas apropiadas identificadas por sta.
La auditora debe realizarse sobre una base regular tal como lo
definen las polticas de gobierno y auditora de la organizacin.
Para la GCN, se recomienda que los periodos entre auditora no
deben exceder los dos aos. Dentro de la organizacin, la autoauditoria o Monitoreo del desempeo se puede realizar con
mayor frecuencia por los propietarios de los planes.
La funcin de la GCN en s misma, debe estar sujeta
peridicamente a un proceso de Aseguramiento de Calidad.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [90]

GCN Tcnicas de las Prcticas Profesionales

Conceptos y Supuestos
Este enfoque de auditora supone que si el proceso se ejecuta
de manera correcta y apropiada, el resultado debe proporcionar
evidencia de la capacidad y competencia de la GCN. Se asume
tambin que existe una serie de normas disponibles que
proporcionan la estructura adecuada para la auditora. Estas
incluyen:
Estndares Nacionales como la BS25999-1 cdigo de prctica
y la BS25999-2 especificacin; El Estndar de Singapore SS540,
el Estndar Americano NFPA 1600 y los estndares que estn
por salir a partir de los estndares de Australia y de la Sociedad
Americana para la Seguridad Industrial (American Society for
Industrial Security ASIS).
Requerimientos regulatorios de las autoridades reguladoras
financieras locales, muchas de las cuales por su naturaleza son
de carcter internacional y se basan en principios de alto nivel
para la Gestin de la Continuidad del Negocio GCN, tratados en
el foro del Acuerdo de Basilea para la supervisin de la banca.
Requerimientos legislativos como el Protocolo para
Contingencias Civiles del Reino Unido (2004).
Guas de Buenas Prcticas para la industria (como las BCI
GPG 2010) u otras especificas para el sector al que pertenece
la organizacin.
Estndares relacionados con la Industria como la ISO/IEC
27001 (Seguridad de la Informacin) y la BS25777:2008
(Gestin de la Continuidad de la Tecnologa de la Informacin
y las Telecomunicaciones).
Se est desarrollando una norma internacional de
certificacin para la Continuidad Operacional por parte de la
ISO bajo el cdigo de referencia ISO22301 con soporte en el
cdigo de prctica ISO22399 (tambin en desarrollo)

Proceso
La auditoria de la GCN es un proceso complejo y requiere
su interaccin con un amplio rango de roles operativos y de
gestin desde la perspectiva tcnica y del negocio.
El proceso de auditora de la GCN incluye:
Desarrollo del Plan de Auditoria de la GCN. Que debe incluir:
> Identificar el tipo de auditora a realizar. Por ejemplo:
cumplimiento, gestin/control de proyectos, estudio de
factibilidad, debida diligencia o investigacin

[91] GCN
[91]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL

> Identificar los objetivos de la auditoria los cuales, en parte


pueden estar guiados y gobernados (o restringidos) por
requerimientos legales o regulatorios.
> Identificar la estructura de normas de auditora para
utilizar. Esta estructura puede estar gobernada o
restringida por requerimientos legales o regulatorios.
Definir el alcance de la auditora:
> Determinar el gobierno corporativo, cumplimiento u otro
tpico a auditar.
> Determinar el rea/departamento/sitio de la organizacin
que se va a auditar
Definir el enfoque de la auditora:
> Las actividades de auditora que se llevarn a cabo; por
ejemplo: cuestionarios, entrevistas personales, revisin
documental/revisin de las soluciones.
> Calendario de actividades y fechas de ejecucin
> Identificar los criterios (estndares) para la evaluacin de
la auditora.
> Determinar requisitos especficos de experiencia en la
materia o la ayuda de terceros para llevar a cabo la auditora.
Revisar y recopilar informacin a travs de las actividades de
la GCN.
Compilar y resumir las notas de las entrevistas, cuestionarios
y otras fuentes.
Identificar las brechas en nivel y contenido de la informacin
recopilada para realizar entrevistas adicionales o de
seguimiento cuando se estime conveniente.
Obtener y comparar documentacin relevante (por ejemplo
el AIN) con datos de entrevistas y otras fuentes como
ejercicios guiados, inspecciones fsicas, muestreo.
Referenciar las fuentes secundarias; por ejemplo normas,
regulaciones y guas de buenas prcticas para validar los
hallazgos preliminares.
Generar una opinin que refleje los intereses del patrocinador de
la auditora y las medidas establecidas por las fuentes externas
como las regulatorias, legales y los estndares de la industria.
> Asignar una ponderacin de riesgo a cada tem auditado para
distinguir entre los hallazgos de riesgo alto, medio o bajo.
> Definir los criterios para clasificar los hallazgos usando
niveles de clasificacin predefinidos, categorizados
claramente diferenciados.
Proporcionar un borrador del informe de la auditora para
discusin con los interesados claves.

Ejercitar, Mantener y Revisar la GCN 06

Proporcionar un informe de auditora que incorpore las


recomendaciones as como las respuestas de la auditora
cuando persisten diferencias de opinin.
Proporcionar un plan de accin con medidas correctivas
acordadas que incluya tiempos para la implementacin de
las recomendaciones acordadas por la auditora. Este debe
ser un elemento clave del programa de mantenimiento de la
GCN.
Suministrar un programa de monitoreo (adicional al
programa de mantenimiento de la GCN) para asegurar
que el plan de accin de la auditora dirigido a subsanar las
deficiencia materiales, se implementa dentro de los tiempos
acordados.
El proceso de Aseguramiento de Calidad de la GCN incluye:
Definicin de roles, responsabilidades y autoridad.
Definicin de Indicadores Claves de Desempeo (ICD):
Objetivos, metas de medicin y estndares.
Definir los factores de xito
Incorporar los ICD en los trminos de los contratos externos
y en las evaluaciones internas anuales.
Evaluar y revisar el desempeo contra ICDs, los objetivos,
metas de medicin y los estndares definidos por la industria.
Proporcionar un plan de accin con medidas correctivas

Mtodos y Tcnicas
Los mtodos utilizados por la auditora deben estar
determinados por quienes realizan la auditoria y cumplir con
las polticas internas de la organizacin.
La auto-evaluacin o Monitoreo del Desempeo realizados
dentro del programa de la GCN puede utilizar indicadores de
desempeo como:
Nmero de meses desde el ltimo ejercicio.
Nmero de casos pendientes de solucin desde el ltimo
ejercicio.
Integridad de la documentacin del plan de la GCN.
Nmero de meses desde el ltimo AIN.

Nmero de casos pendientes de solucin desde el ltimo


AIN.
Nuevas aplicaciones de la Tecnologa de la Informacin
analizadas para su inclusin en la gestin/planes de la GCN.
Nuevos cambios o procesos del negocio analizados para su
inclusin en la gestin/planes de la GCN.
Adecuacin/viabilidad de los datos dinmicos de los Equipos
de Recuperacin: integrantes, nmeros telefnicos de
contacto, listas de proveedores para notificacin, asignacin
de puestos de trabajo en el sitio de recuperacin.
Creacin del presupuesto para la implementacin y
mantenimiento de la GCN.
Responsabilidades para el control presupuestal.
Cuadros de mando para asegurar la auto-evaluacin
Las Evaluaciones de Calidad pueden provenir de:
Anlisis y revisin de documentos
Entrevistas con el equipo de trabajo y grupos de inters clave

Resultados y Revisin
Los resultados del proceso de auditora de la GCN incluyen:
El reporte independiente de la auditoria acordado y aprobado
por la Alta Direccin.
El plan de accin con medidas correctivas acordado y
aprobado por la Alta Direccin.
El resultado de una calificacin desfavorable del desempeo
ser:
> La aceptacin por parte de la alta direccin de los planes
de la GCN como inadecuados.
> La iniciacin de la revisin de la GCN realizada por
un profesional en GCN para apoyar al equipo en el
mejoramiento de su posicin.
El resultado del proceso de auto-evaluacin puede ser:
Mejoramiento en la gestin del programa de la GCN.
La poltica relacionada a la frecuencia de las auditoras debe
estar claramente definida y documentada en la Poltica y las
Normas de Auditora de la organizacin.

GCN Gua de Buenas Prcticas 2010 | EDICIN


EDICIN GLOBAL [92]

GCN | Gestin de las Prcticas Profesionales

[93] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Informacin de Apoyo
La informacin contenida en las pginas
siguientes proporciona asesora y orientacin
ms detallada sobre varios aspectos relativos
a la GCN pero no constituye parte de las
Prcticas Profesionales para efectos de la
certificacin para la membreca del BCI

Informacin de Apoyo

ANEXO 1
Consejos para la seleccin
adecuada de Opciones Tcticas de
Recuperacin
Personal
Como un antecedente para identificar y seleccionar las
opciones tcticas para el personal empleado dentro de la
organizacin, se incluye identificar las habilidades claves
y el conocimiento requerido. Esto puede hacerse ms
efectivamente durante la etapa del Entendimiento de
la organizacin a lo largo del proceso de recopilacin de
informacin en la gestin de la continuidad del negocio.
Las opciones tcticas para la prdida o ausencia de personal en
la organizacin incluyen:
Identificar y documentar en detalle al personal que cuenta
con las habilidades y conocimientos clave.
Capacitar personal para que adquiera conocimiento y
habilidades adicionales.
Documentar los procesos claves que permitan al personal
asumir responsabilidades con las que no se sientan
familiarizados.
Mantener un listado de aquellos ex-empleados con
habilidades y conocimientos, para que puedan ser llamados
si la situacin as lo requiere.
Utilizar personal de los contratistas con habilidades y
conocimiento relevantes. (puede ser a travs de acuerdos
contractuales o manteniendo una lista actualizada de
contratistas que cumplan con los requerimientos).
Separar geogrficamente a los individuos o grupos con
habilidades y conocimiento clave.
Tercerizar una parte del trabajo que requiera habilidades
y conocimiento clave a los contratistas que tengan la
capacidad de tomar control del trabajo en un periodo de
tiempo corto una vez hayan sido notificados

Instalaciones

La seleccin de opciones por la prdida de o exclusin de las


instalaciones est influenciada por diferentes factores (algunos
de los cuales no pueden ser identificados hasta despus de que
ocurre algn incidente). Estos factores incluyen:
Costos.
Los TOR (Tiempo Objetivo de Recuperacin) de las
actividades afectadas.

[95] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

La disposicin que muestre el personal en caso de


reubicacin o viaje.
Nmero, tamao, extensin geogrfica y la naturaleza
misma de las instalaciones dentro de la organizacin.
La disposicin de aceptar mayores niveles de riesgo.
Consecuencias geogrficas derivadas del incidente.
La cantidad de personal que deba ser reubicado.
La disponibilidad de espacio en otros lugares de trabajo
dentro de la organizacin.
La disponibilidad de establecimientos locales.
La naturaleza y el tipo de instalaciones requeridas para los
establecimientos alternos.
La necesidad de acceso a sistemas computacionales.
La necesidad y disponibilidad para acceder a las
telecomunicaciones.
La naturaleza y tamao de los predios cercanos a los
establecimientos afectados
No existen guas simples o nicas que puedan utilizarse de manera
apropiada para la seleccin de opciones en caso de prdida de las
instalaciones, aunque en muchos casos las opciones con tiempos
cortos de recuperacin son ms costosas que aquellas que toman
ms tiempo en recuperarse. Las organizaciones que proveen
servicios a una localidad en particular como instituciones pblicas
o empresas de negocios vinculadas a los mercados locales,
pueden estar limitadas a escoger diferentes alternativas segn la
necesidad o cercana que sus clientes demanden.
Las opciones tcticas utilizadas para la prdida de instalaciones
incluyen:
Utilizacin de espacios disponibles en distintos sitios dentro de
la organizacin (stos puede incluir salas de juntas, espacios de
capacitacin y conferencias, comedores, etc.)
El incremento de la densidad de personal en algunos lugares de
la organizacin, esto se refiere a movilizacin o traslado.
Desplazar personal de la empresa que represente menor
urgencia en actividades y utilizar esos lugares disponibles para
otras actividades prioritarias en la organizacin. (Para esta
opcin se debe tener mucho cuidado con el trabajo retrasado y
menos urgente que est suspendido, porque puede convertirse
en trabajo inmanejable).
El trabajo remoto o a distancia: Incluye el concepto de trabajo
en casa, adems del trabajo en otros lugares fuera de la
organizacin como por ejemplo hoteles. Trabajar desde casa
puede ser una solucin muy eficaz pero se debe tener cuidado
a la hora de asegurar que los temas de Salud y Seguridad sean
abordados de manera correcta; adems se deben tener los
equipos de TI con licencias adecuadas del software que se
suministra; la cobertura de red y el soporte tcnico deben ser
suficientes y deben estar disponibles.
Acuerdos recprocos con otras organizaciones para tener
acceso a sus instalaciones. Se debe tener especial cuidado a
la hora de establecer dichos acuerdos con el fin de garantizar

Informacin de Apoyo

que est permitido realizar pruebas y procedimientos con sus


respectivas revisiones peridicas, que determinen si el espacio
necesario todava est disponible o no.
Utilizar una lista actualizada de establecimientos disponibles o
de proveedores potenciales de establecimientos que permitan
encontrar alternativas despus de algn incidente. (Esta opcin
es adecuada para actividades con TOR relativamente largos y
est usualmente referida como Ad-hoc).
Contratacin con terceros para proveer sitios de recuperacin.
Adquirir y acondicionar establecimientos adicionales que
estn listos para su utilizacin cuando se requieran para la
recuperacin (puede variar entre mantener una instalacin
desocupada que requiere acondicionamiento, hasta tener una
instalacin completamente equipada).
Prefabricar temporalmente instalaciones provisionales (casas
rodantes, cabinas, etc.). Esto requiere de disponibilidad de
tierra adecuada; puede tomar varios das la construccin y
puede requerir una preparacin importante; adems en la
preparacin podran necesitarse fuentes de energa, agua y
telecomunicaciones.
Alojamiento mvil: puede entrar en funcionamiento
rpidamente, pero puede presentar espacio limitado e incluso
necesitar servicios o fuentes de energa y alimentos.
Traslado de las actividades pero no del personal a otros lugares
que hayan sido acondicionados para realizar la actividad
(conocidas tambin como lugares diversos).
Sitios de rplica: la actividad es transferida a una o varias
locaciones alternas en las cuales el personal y las instalaciones
ya estn preparadas para continuar con la carga de trabajo
Esta ltima opcin suele ser normalmente las ms costosa de
implementar (debido a los costos que implica la sincronizacin
de los sistemas con la informacin en mltiples lugares as como
los gastos indirectos de apoyo a mltiples sitios y recursos), sin
embargo provee la solucin apropiada en donde es necesaria la
reanudacin rpida. Para ser una opcin viable de recuperacin,
estos sitios no deben tener ningn punto de falla y deben tener una
separacin geogrfica apropiada.

Recursos

Adems de las opciones descritas a continuacin, los servicios


de restauracin de bienes son proporcionados por una serie de
compaas especializadas quienes pueden minimizar los daos
causados por incendios o inundaciones que afecten documentos,
libros, medios electrnicos y equipos entre otros activos. Estas
firmas pueden proveer un sistema de registro y asesoramiento
antes del incidente, y tambin estn disponibles para ayudar
cuando sea solicitado cuando ocurra un incidente.
Recursos Tecnologa de la Informacin (IT)
El costo de las opciones tcticas disponibles para la recuperacin
de la Tecnologa de la Informacin representa una relacin inversa
entre el TOR y los costos de recuperacin (cuando menor sea el

TOR mayor ser el costo). Esto puede inducir a la organizacin


a replantear los TOR de sus actividades (igualmente de sus
productos y servicios) y a partir de sto estimar el costo de
recuperacin de la Tecnologa de la Informacin segn su TOR
asociado.
Las opciones tcticas disponibles para la prdida de Tecnologa de la
Informacin, que no son mutuamente excluyentes sino que por el
contrario se encuentren mezcladas o asociadas, incluyen:
Copias de seguridad: Copias de seguridad de la informacin
contenida en los sistemas de cmputo, y almacenamiento de
las copias de seguridad en un lugar y locacin segura que est
separada geogrficamente de los sistemas de cmputo en los
que se mantiene la informacin original.
Ad-hoc: Esperar hasta que la Tecnologa de la Informacin se
pierda y luego obtener remplazo de los equipos si es necesario,
recuperando los sistemas de informacin desde las copias
establecidas previamente (esta opcin genera un costo bajo
pero representa un alto riesgo y es adecuada cuando los
TOR se encuentran en das o incluso semanas, o cuando los
equipos de remplazo estn fcilmente disponibles adems de
que la reconfiguracin de la Tecnologa de la Informacin sea
relativamente sencilla).
Acuerdos de soporte: Establecer acuerdos de soporte con
los contratistas que permitan remplazar equipos de TI en
tiempos predeterminados, adems de definir previamente las
configuraciones, recuperando la informacin del sistema desde
las copias de seguridad.
Equipos en espera: Tener equipos de repuesto destinados
como sustitutos de los originales (as estn o no configurados),
que puedan ser utilizados cuando el equipamiento original se
pierda, contando con la recuperacin de la informacin a partir
de las copias de seguridad. Dichos equipos de repuesto deben
permanecer almacenados preferiblemente en sitios diferentes
a los originales para disminuir el riesgo de que stos tambin
resulten afectados.
Duplicar los equipos: Tener duplicado completo de los equipos
configurados previamente con sistemas adecuados que puedan
utilizarse si los equipos originales se pierden, y una vez ms
recuperando la informacin a partir de las copias de seguridad.
Equipos de los contratistas: Firmar contratos con los
contratistas para que permitan utilizar sus equipos ubicados en
el sitio de ellos, con los sistemas y la informacin recuperados
desde las copias de seguridad.
Replicar los sistemas: Tener rplicas de los equipos, de los
sistemas y de la informacin que puedan ser almacenados
dentro de la organizacin misma o en el lugar donde los
contratistas se ubiquen (un sitio alterno geogrficamente
separado del centro de cmputo principal, mejorar la
posibilidad de que las rplicas sean utilizadas cuando sean
necesarias) y pueden tomar la forma de:

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [96]

Informacin de Apoyo

> Replicacin continua: Cuando la informacin est siendo


replicada continuamente desde los sistemas originales de
informacin (tericamente con esta estrategia no habr
prdida de informacin).
> Espejo y/o sombra: Cuando los cambios en la informacin
original del sistema son plasmados en la rplica (hay
prdidas mnimas de informacin).
> Registro de la rplica: En este caso los cambios en
la informacin original del sistema son registrados
y almacenados antes de ser enviados a la rplica
(dependiendo de los plazos establecidos, la prdida de
informacin puede ser medida en minutos u horas).
> Copias de seguridad: Cuando una copia de seguridad
es tomada del sistema original y luego es copiada a la
rplica (los ltimos cambios hechos en el original pueden
perderse)
El plazo de entrega previsto para la adquisicin de los equipos
despus de algn incidente debe ser tenido en cuenta a la
hora de escoger las opciones tcticas para la Tecnologa de la
Informacin. Este tiempo de espera puede ser mayor para las
organizaciones menos preparadas que adems estn buscando
el mismo equipo.
Cualquier forma de acuerdo verbal hecho con un proveedor
para mantener las reservas, debe ser tratada como acuerdo no
contractual.
Las condiciones utilizadas usualmente incluyen:
Suscripciones sindicadas o compartidas: se considera un rea
de trabajo cuando un suscriptor paga por el uso compartido
de las instalaciones y es provedo siempre y cuando otro
suscriptor no se encuentra utilizndolas dado que solicit la
activacin del sitio con anterioridad- (sta es la opcin menos
costosa, pero puede implicar una alta posibilidad de que el
espacio no est disponible cuando se requiera).
Zona de exclusin: Representa un tipo de exclusividad a la
hora de compartir alojamiento, donde un suscriptor puede
escoger excluir otros suscriptores dentro del rea de trabajo,
por ubicacin geogrfica y/o segn el tipo de industria. Sin
embargo esto no reduce el riesgo de compartir reas con
otros suscriptores no excluidos. (Se debe tener especial
cuidado para no confundirse entre los trminos Zona de
exclusin incidental la cual es el rea que est excluida al
pblico en casos de emergencia o durante un incidente).
Garantizado: Un rea de trabajo que ofrezca al suscriptor la
opcin de tener cierto porcentaje de alojamiento garantizado
del total de espacio disponible ofrecido para todos los
suscriptores (por ejemplo, un suscriptor puede contratar 200
espacios con garanta del 25% lo que significa que tendr 50
espacios en el evento que existan otras peticiones de espacios).
Espacio Dedicado: Es el rea de trabajo donde el suscriptor
tiene uso exclusivo. Es la opcin ms costosa y representa

[97] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

el menor riesgo de indisponibilidad cuando se le necesite y


es utilizada generalmente cuando se requiere un RTO rpido
para funciones que generen alto valor, donde se necesiten
equipos especiales o en los casos en donde compartir el
espacio no sea posible
Para reas compartidas, generalmente la relacin industrial
es mximo entre 10 y 40 a 1 (por ejemplo en un caso extremo
cada escritorio es vendido hasta en 40 veces su precio). Los
peligros asociados con esto y los parmetros aceptables para
una organizacin, deben estar claramente definidos dentro de
su estrategia y no deben dejarse a ningn tipo de negociaciones
contractuales individuales.
Actualmente existen dos mtodos principales sobre los
cuales un proveedor asignar los recursos disponibles a los
suscriptores durante una urgencia colectiva:
Primeros en llegar, primeros en ser atendidos (Orden de
llegada): para el primer suscriptor que solicite el servicio
estarn disponibles todos los recursos; los recursos sobrantes
estarn disponibles para los suscriptores que vayan llegando.
Compartir equitativamente: Los recursos disponibles sern
asignados en la proporcin suscrita
Es evidente que la disponibilidad de reas garantizadas y
dedicadas en las mismas instalaciones, cuando se hacen
invocaciones mltiples, puede hacer compleja la asignacin de
recursos y a veces generan desafos contractuales.
Es necesario recordar tambin que nicamente debido a que
un incidente ocurre no significa que regular, estatutariamente
o gracias a las normas de negocios, deba ser suspendida la
gestin de la informacin. Existen algunos parmetros claves
para hacer frente si las operaciones estn siendo transferidas a
los contratistas. stos incluyen:
Confidencialidad: Se deben tomar medidas para asegurarse
que los niveles de confidencialidad de la informacin sean
mantenidos todo el tiempo.
Integridad: A menos que las copias de seguridad
sean utilizadas al mismo tiempo en varios sistemas
interconectados, la data puede perder integridad a travs de
diferentes Bases de Datos cuando se restaure la informacin
(por ejemplo, una nueva transaccin puede estar presente
en la Base de Datos pero el correspondiente nuevo cliente
puede no estar en la Base de Datos de clientes si aquella se
replic primero), el tiempo debe ser asignado dentro del TOR
para permitir la sincronizacin, y otros asuntos que surjan y
deban resolverse para que no se vea afectada la recuperacin.
Disponibilidad: Asegurar que la informacin est disponible
en el tiempo requerido para alcanzar el TOR de cada
actividad utilizando la informacin (se debe notar que
existen requerimientos estatutarios predefinidos para el
acceso a la documentacin e informacin con unos tiempos

Informacin de Apoyo

medidos especficos siguiendo las consultas pblicas o de las


autoridades)
Las opciones tcticas para la Tecnologa de la Informacin necesitan
ser revisadas en conjunto con las opciones dispuestas para las
instalaciones y las telecomunicaciones, con el fin de permitir a los
usuarios tener acceso a los sistemas computacionales que sean
necesarios para las actividades que estn siendo recuperadas. sto
se debe a que el tiempo que toma instalar las nuevas lneas de
comunicaciones para las sedes alternas, pueden variar ampliamente
tomando hasta tres meses en algunos pases. Algunos proveedores
de tales servicios tambin pueden brindar apoyo para remplazar el
personal si fuera necesario. Las empresas que prestan este servicio
son conocidas como Recuperacin de reas de Trabajo.
Las aplicaciones web y los beneficios prometidos de Nube
Computacional ubicando los sistemas que activan esas
aplicaciones en sitios geogrficamente separados de las
instalaciones de las actividades que utilizan esos sistemas,
mejorarn la disponibilidad. Esto permitir a los usuarios
que necesiten esas aplicaciones poder realizar las actividades
necesarias desde cualquier lugar que tenga conexin a internet.
Sin embargo, se deben tomar las medidas necesarias para
asegurarse que la informacin solo sea utilizada por quienes
tengan acceso a sta (puede funcionar por ejemplo el uso de una
Red Privada Virtual RPV-).
Recursos Telecomunicaciones
La relacin que existe entre la telefona y la informacin
manejada desde la red VoIP (Voz sobre IP), crea nuevas
oportunidades y aspectos de continuidad, a partir del uso
conjunto que se le da a las redes telefnicas y los correos
electrnicos usualmente utilizados como herramientas de
comunicacin si alguna de las dos falla. Estas herramientas
deben ser exhaustivamente analizadas para asegurar la mnima
interrupcin e impacto.
Las opciones tcticas utilizadas cuando existen prdidas de
comunicacin telefnica incluyen:
Desvo automtico de llamadas.
Desvo manual de llamadas.
Grabaciones que permitan a los clientes llamar a otros
nmeros telefnicos.
Emitir notificaciones al personal y otras dependencias
internas acerca de nmeros alternos para llamar.
Nmeros no geogrficos.
Gestin de los servicios de red.
Redes inalmbricas
Uso de telfonos mviles: Aunque esto no garantiza que las
redes mviles no se puedan afectar o estn recargadas (como
consecuencia del incidente)
Usualmente los telfonos pueden ser desviados en el corto plazo
y en los casos donde el TOR de las actividades que requieren
telfonos est medido en das, puede ser una opcin aceptable
esperar el redireccionamiento de los telfonos hasta despus

de un incidente que provoca la interrupcin. Sin embargo el


redireccionamiento no planificado de la telefona a instalaciones
alternas puede no ser posible dentro de los tiempos aceptables, en
especial durante incidentes de amplio cubrimiento.
La mayora de proveedores de telecomunicaciones ofrecen, con un
cargo adicional, un portafolio de soluciones amplio y flexible que
permite direccionar rpida o instantneamente las llamadas de un
sitio a otro u otros sitios. Esta opcin es bastante acertada cuando
los TOR de las actividades que requieran lneas telefnicas estn
dados en horas antes que en das y cuando el impacto en la prdida
de telefona sea muy grande.
Se debe tener mucho cuidado redireccionando las lneas
telefnicas de tal forma que se pueda asegurar la suficiente
capacidad de respuesta a la cantidad de llamadas recibidas (por
ejemplo, el redireccionamiento de un nmero muy grande de
lneas utilizadas dentro de un Call-center ocupado a un solo
telfono, no puede hacerse porque sto significar que muchas
de las llamadas no sern atendidas). Es importante tambin
manejar adecuadamente el problema logstico que se deriva del
manejo de llamadas durante un incidente; una vez hayan sido
redireccionadas se necesita que deben abordarse para asegurar
que los receptores de las desviaciones estn debidamente
capacitados para manejar adecuadamente las llamadas en
flujos pico.
Las opciones tcticas para la prdida de informacin de
comunicaciones incluyen.
Duplicar las lneas de comunicacin (es importante que no
queden puntos de falla).
Utilizar internet (para sistemas de informacin que se
puedan utilizar a travs de internet).
Reubicar el personal que necesite utilizar sistemas de
informacin, a sitios en los cuales an estn operando las
redes de comunicaciones de datos
Han tenido rpido crecimiento, particularmente en Asia, los
Procesos de Externalizacin de Negocios (PEN); en donde
normalmente se incluye un centro de
operaciones y una oficina de procesamiento. La integracin de
la informacin y la telefona inteligente en un lugar externo
implica importantes retos de recuperacin. Los PTN basados
en call-centres usualmente tienen un TOR corto y contractual,
lo cual significa que dos o ms centros geogrficamente
separados compartiendo la carga de llamadas son parte
integral de la respuesta y previene la prdida de informacin de
telecomunicaciones.
Debido a la organizacin tpica del personal en esta clase de
modelos de negocio e instalaciones, un periodo sostenido de
interrupcin del servicio puede presentar un reto importante
en recursos humanos cuando el personal no quiera o no sea
posible reubicarse debido a las grandes distancias en algunos

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [98]

Informacin de Apoyo

pases. Sin embargo con la llegada de nuevas habilidades a partir


de las llamadas, un incidente impactante en una sola locacin
que es parte del modelo del campus, puede resultar en que
algunas llamadas sean desviadas a agentes con habilidades
similares y conocimientos en otra locacin.
Recursos Documentacin Impresa
Muchas organizaciones an dependen de la informacin
registrada en documentos y para estos casos existen algunas
opciones tcticas las cuales deben ser identificadas y
seleccionadas en caso de prdida de informacin.
Las opciones tcticas para la recuperacin por prdidas de
documentos impresos incluyen:
No hacer nada, aceptar la prdida.
Copiar los documentos impresos y almacenarlos en un
sitio geogrficamente distinto de los lugares originales de
almacenamiento.
Escanear los documentos impresos y guardarlos en imgenes
electrnicas (los registros electrnicos pueden estar
almacenadas en el mismo sitio donde estn guardadas las
copias de seguridad o pueden estar almacenadas en otros
sitios separados geogrficamente)
Recrear los documentos impresos como mejor sea posible,
a partir de la informacin suministrada por el personal, los
clientes y otras partes interesadas
El almacenamiento electrnico de registros puede gestionarse
desde la organizacin misma o tambin a travs de una amplia
variedad de proveedores (usualmente denominados bvedas
de informacin). Los registros copiados pueden enviarse fuera
de la empresa por medio de recopilacin fsica o por medio de
almacenamiento o por medio de transmisin electrnica de
datos hacia los nuevos lugares de almacenamiento.
El lugar de almacenamiento debe estar suficientemente lejos
del sitio original para asegurar que no sea afectado por algn
incidente, pero tampoco debe estar demasiado lejos ya que el
acceso puede incrementar los tiempos de recuperacin y el TOR
que hayan sido dispuestos inicialmente para la recuperacin.
Algunos documentos requieren ser continuamente trabajados
y requieren plazos cortos, otros necesitan ser archivados con
fines legales o reglamentarios, por lo que guardarlos fuera de la
organizacin puede ser ms adecuado. Cuando hay auditorias o
evaluaciones, es imperativo que dentro de la organizacin exista
claridad y pleno conocimiento sobre las polticas y estrategia
del manejo de los datos, las cuales pueden ser alineadas o
modificadas para cumplir con los propsitos de la recuperacin.
La recuperacin de la documentacin despus de un incidente
puede no ser posible, o puede tomar mucho tiempo debido al
dao causado por un incendio o inundacin, adems se puede
dificultar cuando no se tiene identificada la informacin que

[99] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

hace falta; es por esto que las organizaciones que dependen


de documentacin fsica deben implementar medidas para
protegerse en caso de que estos documentos se pierdan. Dentro
de dichas estrategias se encuentra el uso de cabinas resistentes al
fuego, extintores, cajas fuertes o bvedas las cuales son efectivas
para almacenar la documentacin ms utilizada e importante.
Sin embargo en algunos casos aunque la documentacin se
conserve en las bvedas o cajas de seguridad despus del
incidente, el acceso a stas es imposible (ste fue el caso del
incidente en las torres gemelas en la ciudad de Nueva York en el
ao 2001)
En algunos pases y lugares del mundo la documentacin
contractual original, es la nica legalmente aceptada.
Recursos Equipo General
The options for the loss of equipment are similar to those listed
above for the loss of IT equipment:
Ad-hoc: Esperar hasta que los equipos se pierdan despus
del incidente y luego remplazarlos si se requiere (esta opcin
representa el costo ms bajo y es adecuada cuando los TOR
estn calculados para semanas o das o los equipos de repuesto
estn disponibles).
Acuerdos de soporte: Establecer acuerdos de soporte con los
contratistas durante tiempos especficos predefinidos, para
garantizar equipos de repuesto cuando sean necesarios (en
ocasiones se refiere a contratos de envo inmediato).
Equipos en espera: Tener equipos de repuesto inactivos es una
opcin de remplazo de los equipos originales despus de algn
incidente (se recomienda almacenar estos equipos en sitios
geogrficamente diferentes a los sitios originales para tener una
mayor oportunidad de su disponibilidad cuando se les requiera).
Duplicar los equipos: Un duplicado completo de los equipos
dentro de la organizacin pueden ser muy til en caso de
prdida del equipo principal (una vez ms, es recomendable
guardar estos equipos en un sitio diferente al sitio en donde se
encuentran los equipos principales, para evitar que tambin se
afecten).
Equipos de los contratistas: Se recomienda hacer acuerdos con
los contratistas para poder utilizar sus equipos localizados en
sus sitios

Inquietudes especiales para la Industria


Manufacturera
Procesos de produccin
A menudo en los procesos de produccin industrial es comn
encontrar equipos muy especializados. Desafortunadamente
existen pocas opciones en caso de prdida de dichos equipos ya
que stos necesitan largos tiempos para su remplazo y adems
generalmente son muy costosos, lo que imposibilita construirles
duplicados.

Informacin de Apoyo

Sin embargo existen algunas opciones que pueden ser


consideradas, stas incluyen:
Hacerles mantenimiento en sitio o a travs de contratos de
mantenimiento con niveles de servicio garantizados.
Utilizar subcontratistas o empresas de la competencia que
empleen equipos con configuraciones similares.
Mantener repuestos disponibles de las piezas ms importantes
de los equipos almacenados en lugares geogrficamente
separados de los equipos originales lo que mejorara la
posibilidad de tenerlos disponibles cuando se requieran.
Mantener algunos equipos viejos como equipos de emergencia
o para partes (de nuevo, se deben mantener estos equipos
en sitios geogrficamente separados lo que mejorara la
posibilidad de tenerlos disponibles cuando se requieran).
Cambiar algunos procesos para utilizar ms eficientemente el
equipo disponible
Existen algunos problemas asociados a la consecucin de equipos
nicos o equipos poco comunes:
La posibilidad de que no est actualizado o el repuesto no est
disponible.
Un nuevo repuesto puede requerir la capacitacin del equipo
de trabajo para poder ponerlo en funcionamiento.
Un nuevo repuesto puede ser incompatible con otros equipos
o puede requerir la consecucin de diferentes materiales para
poner en funcionamiento el equipo afectado
Las multinacionales manufactureras tienen una estrategia global
que consiste en construir una red que permita la facilidad de
operacin a lo largo de todos los territorios en donde operan.
Como consecuencia de la dispersin geogrfica (producir el
mismo producto en ms de un sitio), se incrementa la resiliencia
a una gran variedad de incidentes, pero se deben contemplar
los problemas y costos que genere la logstica y la distribucin;
adems se debe tener en cuenta la afectacin a las economas de
escala.
Subcontratacin: Aunque la mayora de los procesos de
manufactura pueden ser nicos en las industrias, existen
usualmente varios sub-procesos que pueden ser realizados por
otras empresas. La compaa afectada puede firmar algunos
subcontratos para poder terminar sus productos mientras sus
propias instalaciones estn indisponibles. Esta estrategia es
raramente alcanzable de manera rpida si no se cuenta con una
preparacin adecuada debido a que toma bastante tiempo el
alistamiento de ambas empresas.
Materiales, Logstica, e inventario
Las opciones que existen en casos de prdida de materiales e
inventarios, son:
Almacenar reservas y suministros adicionales en otras
instalaciones; estas pueden ser las instalaciones de los
contratistas, sitios de envo o sitios de recuperacin de terceros

(pero se debe tener especial atencin con algunos materiales


e inventarios que pueden degradarse con el paso del tiempo y
necesitan rotacin regular o que los cambios en los procesos
puedan hacer que se almacenen materiales de manera
redundante).
Acuerdos con los contratistas para la entrega de materiales y
suministros en tiempos cortos.
Desviacin de las entregas Justo a Tiempo a otras locaciones.
Transferencia de procesos de sub-ensamblaje a locaciones
alternativas propias o a las instalaciones de los contratistas
Energa y servicios pblicos
En caso de prdida de energa, las opciones incluyen:
Sistemas de Energa Ininterrumpida (Uninterruptible Power
Supply UPS): Que cubren tiempos cortos de energa y
permiten el apagado seguro de los equipos (particularmente
computadores).
Generadores de energa de respaldo en espera: Que operen
de manera manual o automtica cuando hay fallas de potencia
elctrica para la proteccin de los edificios o equipos cuando
hay cortes prolongados de energa (sin embargo estos
generadores deben ser revisados y probados peridicamente
para asegurar su funcionamiento cuando se les requiera).
Generadores porttiles: Tenerlos disponibles para cuando
sea necesario; tambin se puede tener el servicio contratado
o bajo demanda (sto podra estar sujeto a la disponibilidad
de equipos y en casos de emergencias colectivas puede
complicarse o imposibilitarse su consecucin)
Para las industrias manufactureras ser esencial la disponibilidad
del suministro de agua potable tanto para el uso del personal
como para los procesos de manufactura. Otros servicios (como
gas y combustibles), tambin son esenciales y los proveedores de
todos estos bienes deben estar involucrados dentro de la Gestin
de la Continuidad del Negocio.
Recursos Proveedores y suministros
Las opciones existentes para la prdida de proveedores incluyen:
Dobles o mltiples fuentes que permitan el abastecimiento
de suministros.
Identificar y aceptar previamente distintas alternativas de
proveedores.
Establecer las obligaciones contractuales con los contratistas
como parte de la implementacin de la GCN.
Evaluar la capacidad de Gestin de la Continuidad del
Negocio de los proveedores para abastecer los productos
y servicios, lo cual debe incluir evidencias de ejercicios y
pruebas exitosos.
Mantener inventarios de repuesto o de amortizacin.
Establecer clusulas de penalizacin a los proveedores en los
contratos de suministro (aunque esta opcin no protege en
caso de quiebra del proveedor)

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [100]

Informacin de Apoyo

ANEXO 2
Consejos para la Seleccin
de Medidas Alternas para la
Mitigacin de Riesgos
Para los productos y servicios que se considera estn por fuera
del alcance del sistema de gestin de la Continuidad del Negocio,
o el riesgo para el negocio de su prdida o no disponibilidad no es
mitigable mediante la utilizacin del modelo del Ciclo de Vida de
la GCN y debe gestionarse por medios alternativos. Las opciones
disponibles para la Alta Direccin, son:
Aceptacin: Aceptar que se est en riesgo de interrupcin.
Transferencia: Transferir a terceros el riesgo de interrupcin.
Cambio, suspensin o terminacin del producto o servicio
Aceptacin
Si se considera muy alto el costo de la GCN completo o
el riesgo es considerado menor (debido a la interrupcin
probablemente se cree tener un menor impacto) luego el riesgo
debe ser aceptado.
En este caso la organizacin debe optar por no hacer nada, o
poner en marcha algunas medidas que puedan contrarrestar el
riesgo. Dentro de estas medidas se incluyen:
Capacidad para la gestin de incidentes.
Medidas de proteccin contra amenazas que tengan alta
probabilidad, tal como un incendio.
Enfocarse hacia el fortalecimiento: Para sitios con nico
proceso de manufactura o cuando las instalaciones son
nicas, la estrategia de reubicacin no es posible de aplicar.
En estos casos todos los esfuerzos deben ser enfocados en
la minimizacin de amenazas especficas. Si ocurre lo peor,
la nica salida que tiene la organizacin ser permitir su
restablecimiento aunque tome mucho tiempo
La aceptacin del riesgo y la determinacin del apetito de riesgo
de la organizacin estn sujetas a que no es posible determinar
cientficamente un valor para un riesgo operativo, por lo que
una organizacin no puede medir con precisin su apetito
al riesgo de manera terica. Si una organizacin tiene como
objetivo protegerse contra amenazas especficas percibidas,
entonces el costo total de las medidas puede exceder el costo
de la estrategia de la Continuidad del Negocio.

[101] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL

Transferencia
El riesgo puede ser transferible a terceros quienes tambin
pueden estar ms capacitados para gestionarlo.
Estas medidas incluyen:
Externalizacin: Cada vez ms organizaciones estn
tercerizando sus procesos y actividades crticas en busca
de la creacin de organizaciones virtuales. La transferencia
del riesgo est asociada muchas veces a la externalizacin.
Es importante recordar que el riesgo de la reputacin de la
organizacin y la imagen de la marca no puede trasladarse;
el riesgo es siempre responsabilidad de la organizacin
misma y esta responsabilidad no puede caer en los
contratistas o en los proveedores.
Descentralizacin: Utilizar los recursos propios de la
organizacin o proveedores externalizados alejados de
los centros de negocios que introducen complicaciones
adicionales de seguridad, riesgos ambientales y polticos
que pueden atraer la atencin e inters de los clientes y
reguladores.
Seguros: La transferencia de algunos costos causados por
un incidente deben ser asegurados. Sin embargo, en caso de
un incidente la cobertura que brinda el seguro se representa
en dinero que puede ser utilizado por la organizacin
perjudicada, pero en este caso, sta no es una solucin por
s sola
La organizacin puede sufrir daos en su infraestructura o su
reputacin o estar sujeta a sanciones como resultado de fallas
de la compaa a la cual ha sido tercer izada.
Cambio, suspensin y terminacin
Cambiar algunos procesos puede brindar tantas oportunidades
de continuidad dentro de la organizacin como el cliente quiera.
Sin embargo la entrega se hace de otra forma, usualmente
tercerizando toda o parte de la operacin. Por ejemplo una
industria manufacturera puede convertirse en distribuidora
importando o vendiendo productos bajo su propia marca.
Interrumpir o vender partes del negocio puede ser apropiado
cuando el negocio restante sea viable y pueda crear espacio
para recuperacin o si un producto o servicio est llegando al
final de su vida til. Esta tambin es una estrategia adecuada
en casos donde una organizacin no est dispuesta a aprobar
un presupuesto para la recuperacin de la capacidad de una
filial. Existen riegos con la aplicacin de esta estrategia, si
la reputacin del negocio restante es opacada por la parte
suspendida.
Si estas opciones no estn de acuerdo con el cliente, la
organizacin se enfrenta a posibles litigios que afectan su
reputacin en caso de que la entrega despus del incidente no
cumpla con las expectativas del cliente.

GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL [102]

iStockphotos.com/lorrainedarke

Business Continuity Institute


10 Southview Park
Marsack Street
Caversham
Berkshire RG4 5AF
United Kingdom

Das könnte Ihnen auch gefallen