Beruflich Dokumente
Kultur Dokumente
Contenidos
Contenido
Agradecimientos..................................................................................................................................................................................................................................... 1
Calificaciones Profesionales del BCI............................................................................................................................................................................. 1
Introduccin a la Gua.....................................................................................................................................................................................................................2
La GCN en Contexto........................................................................................................................................................................................................................5
La GCN no es . . .
La GCN es . . .
La GCN y la Resiliencia del Negocio
La GCN y la Gestin de Riesgos
La GCN y la Gestin de Crisis
Contenidos
Contenidos
Informacin de Apoyo
ANEXO 1........................................................................................................................................................................................................................................................95
Consejos para la seleccin adecuada de Opciones Tcticas de Recuperacin
Agradecimientos
Estas guas reflejan la considerable experiencia acadmica, tcnica y prctica de los integrantes
del Business Continuity Institute - practicantes senior quienes han desarrollado y estructurado el
concepto de la Continuidad del Negocio internacionalmente.
Las Guas de Buenas Prcticas (GBP) 2010 estn encaminadas para ser utilizadas por practicantes,
consultores, auditores y reguladores que posean un conocimiento racional sobre la Gestin de
la Continuidad del Negocio GCN y sus principios bsicos. Las guas no pretenden servir como
gua de principiantes; sin embargo, proveen material excelente para quienes desean convertirse
en practicantes certificados en GCN por medio del modelo de examen CBCI. Quien ingresa a la
disciplina debe tambin trabajar junto con un practicante experto o atender un programa adecuado
de capacitacin.
El trabajo en la GBP 2010 se inici en febrero de 2009 con la conformacin de un equipo de
trabajo y el encuentro de lderes de grupos individuales. Los borradores iniciales se produjeron en
Septiembre de 2009 con revisiones entre los colegas, amplia consulta y evaluaciones durante los
meses de Octubre y Noviembre. Las versiones finales consolidadas fueron acordadas por el Editor
en Jefe durante Diciembre de 2009 y enviadas para su revisin y aprobacin por el Grupo de Anlisis
de Calidad del Concejo de Miembros del BCI en Enero de 2010. La planificacin del diseo final del
trabajo, su publicacin y lanzamiento tuvo lugar durante los meses de Febrero y Marzo de 2010.
El equipo del proyecto estuvo integrado por:
Editor en Jefe: Lyndon Bird FBCI
Revisores jefes: Ian Charters FBCI, Mel Gosling MBCI
Lder del Equipo de Aseguramiento de Calidad: Lesley Grimes MBCI
Secretara del Comit: Jan Gilbert
Soporte Editorial: Lee Glendon
Soporte al Glosario: Mark Pemberty FBCI
Lderes del Grupo de Prctica: Ian Charters FBCI, Steven Cvetkovic SBCI, Mel Gosling MBCI,
Angela Hobley MBCI, Odile Nectoux AMBCI, Anton Wroblewski MBCI.
Adicional a los anteriores, el siguiente equipo de miembros del BCI y su grupo de trabajo,
aportaron su tiempo y rigor intelectual para dirigir revisiones exhaustivas, sugerir mejoras
y realizar pruebas de lectura. Sin su apoyo habramos tenido un documento mucho menos
comprensible.
Howard Booth MBCI, Stacey Farrow MBCI, Debbie Featherstone AMBCI, Achilles
Figueiredo AMBCI, Ulysses Figueiredo MBCI, Ian Griffiths MBCI, Nic Handy MBCI, Gayle
Hedgecock MBCI, Mike Hill FBCI, Doug Kettle MBCI, Penny Killow MBCI, David Lightfoot
MBCI, Jorge Lozano MBCI, James McAlister MBCI, Charlie Maclean-Bristol MBCI, Dominic
Marino AMBCI, Margaret Millet MBCI, Sarah Morgan MBCI, Norman Powell MBCI, MarieHlne Primeau MBCI, Clifford Seow MBCI, Brigitte Theuma MBCI, Pauline Wilson MBCI
y John Worthington MBCI.
El Business Continuity Institute agradece el tiempo y experiencia otorgados de manera
voluntaria por todas las personas relacionadas anteriormente para el desarrollo de las Guas de
Buenas Prcticas para el beneficio del BCI y de la industria de la continuidad del negocio. Todos
quienes contribuyeron al desarrollo de las Guas han acordado que no tienen derechos de autor
o derechos sobre IP para el material, el cual queda como propiedad del Business Continuity
Institute. El diagrama del Ciclo de Vida de la GCN y algunos trminos del glosario se utilizan
agradeciendo al British Standards Institute.
Revisada por: Joanne Gagnon AMBCI, Sandra Garcs MBCI, Marcelo Barrera MBCI, Manuel Casas CBCP
Carlos J. Diaz AMBCI.
Realizada por Fundacin Colombian Projects for Life, con el apoyo de: ALCONT Asociacin
Latinoamrica de Continuidad
[1] GCN Gua de Buenas Prcticas 2010 | EDICIN GLOBAL
iStockphotos.com/lorrainedarke
Introduccin a la Gua
Esta introduccin establece el contexto para la lectura de la Gua Global BCI de
Buenas Prcticas 2010. La prctica profesional de la Gestin de la Continuidad
del Negocio ha cambiado considerablemente desde la creacin del BCI en
1994 y continuar desarrollndose en tanto que su aplicacin y valor sean
reconocidos por una audiencia ms amplia.
El momento de la publicacin de esta Gua nos da una pausa para reflexionar:
estamos experimentando la primera pandemia mundial de gripe del siglo
XXI. Tambin estamos experimentando una crisis econmica global sin
antecedentes en la memoria de la mayora de las personas en este planeta
y estamos llegando a acuerdos de que tenemos nuevas amenazas globales
que incluyen la seguridad energtica, la migracin masiva, la delincuencia
ciberntica y el cambio climtico.
En este contexto de incertidumbre, resulta alentador que la disciplina de GCN
haya demostrado ser capaz de evolucionar, pero an sigue siendo relevante de
cara a estos grandes cambios empresariales y sociales.
Introduccin
iStockphotos.com/lorrainedarke
Introduccin
Introduccin
La GCN en Contexto
La GCN no es . . .
La GCN no se trata de todo. Este enfoque demuestra falta de claridad de pensamiento.
La GCN es una herramienta que ayuda a mejorar el desempeo de las organizaciones.
Debemos evitar que se convierta en un ejercicio corporativo ms por chequear. Podemos
ayudarnos al respecto asegurando la aplicacin rigurosa de la GCN para proteger el valor de
una organizacin, pero utilizar nuestras habilidades y tcnicas para enfocarlo en aquello que
es importante y urgente. Un ejemplo es la Cadena de Suministro: No es necesario exigir a
todos los proveedores un programa de la continuidad del negocio como parte del proceso de
suministros: es mejor ir con ms detalle con aquellos que han sido definidos como crticos en el
Anlisis de Impacto sobre el Negocio en lugar de gastar la misma cantidad de tiempo (y tiempo
de los proveedores) de manera indiscriminada.
La GCN es
La GCN y la Resiliencia del Negocio
La Gestin de la Continuidad del Negocio GCN, como una disciplina recin llegada al mundo
de los negocios, claramente no existe desde el principio y, naturalmente, las organizaciones
buscan entender en qu parte su aplicacin generar valor y cmo se integra con otras
actividades que estn soportando los mismos objetivos organizacionales. Tambin tenemos que
reconocer que las organizaciones no estn arrancando de una hoja en blanco: algunos aspectos
de la GCN siempre han estado presentes en las organizaciones, con diferentes nombres.
Las vulnerabilidades en el negocio y en el modelo de operacin de una organizacin pueden
considerarse en siete reas: reputacin, cadena de suministro, informacin y comunicaciones,
sedes e instalaciones, personas, finanzas y clientes. El uso de este modelo sencillo demuestra
a la alta direccin el valor y la naturaleza integradora holstica de la GCN de manera
interfuncional y transversal en la organizacin.
La aplicacin exitosa del Programa de la Gestin de la Continuidad del Negocio GCN
incrementa la resiliencia de la organizacin lo cual contribuye a mejorar su desempeo
corporativo. La resiliencia est ampliamente definida como la capacidad de una organizacin
para absorber, responder y recuperarse de interrupciones. La GCN proporciona de una
forma nica el marco de referencia para entender cmo se genera y mantiene la creacin
de valor dentro de la organizacin y establece una relacin directa con las dependencias o
vulnerabilidades inherentes a la entrega de ese valor.
La resiliencia no se trata fundamentalmente sobre cmo detener o prevenir en primera
instancia la ocurrencia de una interrupcin. La dependencia en la gestin de riesgos o de
seguridad para brindar proteccin integral, inevitablemente generar desconfianza, porque
la mayora de incidentes de la Continuidad del Negocio, por naturaleza, son en gran medida
impredecibles.
Introduccin
Introduccin
Introduccin
iStockphotos.com/lorrainedarke
Introduccin
Introduccin
Introduccin
Glosario de Trminos
Es reconocida la existencia de muchos trminos y definiciones alrededor del mundo que se
relacionan con la GCN o los temas sinrgicos como Gestin de Riesgos y Planificacin de
Emergencia. Sera imposible incluirlos a todos en un glosario pero el BCI intenta mantener
actualizado tanto como sea posible el directorio de tales trminos y sus fuentes, que se
pueden encontrar en www.thebci.org
Los trminos de este glosario se aplican nicamente al contexto en el que son utilizados en
la GBP2010.
Para el propsito de la GBP2010, aplican las siguientes definiciones:
Abreviado
GCN
AIN
Trmino
Definicin
Actividad
Actividad Urgente
Activo
Gestin de la Continuidad
del Negocio
Alta Direccin
Amenaza
Anlisis de Impacto en el
negocio
Introduccin
Abreviado
Trmino
Definicin
ARC
Anlisis de Requerimientos
de Continuidad
AR
Anlisis de Riesgos
Auditor
Auditora
Auditora Interna
Cadena de Suministro
Capacitacin
Consecuencia
Ver Impacto.
CN
Introduccin
Abreviado
ECN
GR
MPTD
Trmino
Definicin
Cumplimiento
Es el cumplimiento de un requerimiento en el
contexto de la Gestin de Sistemas.
Direccin para la
Continuidad del Negocio
Documento
Ejercicio
Equipos de Continuidad
del Negocio
Facilidad
Gestin de Riesgos
Impacto
Integridad
Interrupcin
Invocacin
Introduccin
Abreviado
Trmino
Definicin
MPTI
Mejoramiento Continuo
Mitigacin
No Cumplimiento
Objetivo
Organizacin
Partes Interesadas
Peligro
Ver Amenaza.
Prdida
Consecuencia negativa.
PCN
PHVA
Poltica
Preparacin
Capacitacin.
Prevencin
Procedimiento
Introduccin
Abreviado
Trmino
Definicin
Proceso
Producto o Servicio
Punto Objetivo de
Recuperacin
Recursos
Registro
Resiliencia
Riesgo
Sistema de Gestin
SGCN
Sistema de la Gestin de la
Continuidad del Negocio
TOR
Tiempo Objetivo de
Recuperacin
Tratamiento de Riesgos
POR
iStockphotos.com/lorrainedarke
01
Entendimiento de la
Organizacin
nl
aC
u
nizac
rga
Ejercicios,
Mantenimiento
and Revisin
Determinar la
Estrategia GCN
ional
Integrar
o
C
la
e
d
O
ra
ltu
la G
est
in
Desarrollo e
Implementacin de
la Respuesta GCN
Introduccin
La poltica de la GCN es el documento clave que establece el gobierno y el alcance del programa
GCN y refleja las razones del porqu est siendo implementado la GCN. La poltica proporciona el
contexto en el cual sern implementadas las capacidades requeridas e identifica los principios a los
que la organizacin aspira y contra los cuales su realizacin se pueden auditar.
Introduccin
Proceso
El proceso bsico utilizado es simplemente hacer preguntas
sobre la organizacin para identificar su estrategia, objetivos y
cultura. Estas preguntas incluyen:
Cul es su misin o la razn de su existencia?
Cules son los objetivos de la organizacin?
Cmo se alcanzan los objetivos?
Cules son los productos y servicios de la organizacin que
permiten alcanzar estos objetivos?
Cul es su direccin o enfoque?
Cules son los planes de crecimiento, reduccin de personal,
restructuracin, adquisicin o disposicin en el corto
mediano y largo plazo?
Se estn desarrollando nuevos productos o servicios y si es
as, cual es su escala de tiempos?
Cul es la escala geogrfica de sus operaciones?
Cul es el nivel de interrupcin geogrfico?
Cul es el nivel de prdida de recursos que quiere o necesita
planificar para sobrevivir?
Cules son las condiciones actual y esperadas del mercado
en el que opera?
Tiene competidores y cmo compite con ellos?
Cul es la reaccin probable de los clientes y competidores si
se interrumpen sus operaciones?
Los competidores tomarn ventaja de una organizacin en
dificultades o los apoyarn (cul de ellos podra proteger la
reputacin del sector)?
Mtodos y Tcnicas
Dos tcnicas que se pueden utilizar para identificar la
estrategia, objetivos y cultura de la organizacin, son:
1 Entrevista al equipo de la Alta Direccin
2 Revisin de los documentos generados en la organizacin
Los documentos claves para revisar pueden ser:
Planes de negocio
Planes estratgicos
Reportes anuales
Reportes de Mercadeo
Informacin administrativa actualizada que detalla los
procesos, volmenes, objetivos y donde sea posible,
cuantificar el valor de cada actividad
Revisin
El impacto de la estrategia organizacional sobre el programa
de GCN debe revisarse como mnimo anualmente como parte
de, o al menos coincidir con, los procesos de planificacin
estratgica y operativa del negocio. Las revisiones ms
frecuentes pueden estar dirigidas a cualquiera de lo siguiente:
Restructuraciones o cambios claves del negocio
Expansin /contraccin
Introduccin de nuevos productos
Relocalizacin o consolidacin de locaciones
Un incidente y su recuperacin asociada
Se puede ubicar un procedimiento de alerta para identificar
todos los cambios organizacionales que sean significativos
para asegurar que han sido tomados en cuenta en el programa
de GCN. Esto le permite a la GCN la debida diligencia antes
de realizar el cambio propuesto. Una decisin estratgica del
negocio no ser necesariamente abandonada a causa de la falta
de preparacin, pero esta limitacin podra impactar el valor
econmico del cambio pospuesto.
Conceptos y Supuestos
Introduccin
El propsito de establecer el alcance es asegurar claramente
qu reas de la organizacin estn incluidas en el programa
de GCN, definido por la identificacin de cuales productos
y servicios estn all. La entrega de productos y servicios es
el enfoque de los criterios claves de xito de la mayora de
organizaciones. Se requiere un entendimiento de la estrategia,
objetivos y cultura organizacional antes determinar el alcance
del programa de GCN y las alternativas a utilizar.
La GCN es un proceso iterativo que inicialmente le permite a
una organizacin implementarlo nicamente en algunas partes
de sta, aunque por anticipado se sabe que se extender a
la totalidad de sus operaciones con el paso del tiempo. Este
enfoque permite eliminar problemas de complejidad, costos y
escala en la implementacin de la GCN en organizaciones de
gran tamao.
Esta seccin explica las alternativas disponibles para la
organizacin para proteger la entrega de sus productos y
servicios e identificar cmo y porqu se pueden seleccionar
varios productos y servicios de la organizacin para la
implementacin inicial de la GCN. Estas alternativas definirn
el alcance del programa de GCN.
Producto A
Producto B
Actividad 1
Actividad 3
Actividad 2
Actividad 5
Actividad 4
Proceso
El proceso requiere el establecimiento de un grupo de GCN que
le har las recomendaciones a la Alta Direccin.
Este grupo revisar los productos y servicios de la organizacin
contra su estrategia, objetivos, cultura, poltica tica,
requerimientos legales y regulatorios, para considerar la opcin
para cada producto y/o servicio. Si se ha realizado un AIN para
determinar los efectos de una prdida de productos y servicios,
el grupo incluir los resultados del AIN en su revisin.
El grupo proporcionar un reporte de evaluacin que permitir
a la Alta Direccin establecer las prioridades para todos sus
productos y servicios.
Las razones para no incluir un producto o servicio en el
programa de GCN y la respuesta alternativa por la prdida de
ese producto o servicio, necesita documentarse y acordarse con
la Alta Direccin.
Los productos y servicios deben estar identificados con un nivel
apropiado de detalle.
Ejemplos de productos y servicios incluyen:
Un producto o rango de productos manufacturados
Recopilacin de basuras (para una ciudad o municipio)
Soporte Telefnico (para una empresa de software)
Las decisiones sobre cuales productos, servicios o locaciones
deben incluirse dentro del alcance. Pueden tomarse por uno o
varios de los siguientes factores:
Requerimiento de un cliente
Requerimiento regulatorio o estatutario
Percepcin de alto riesgo debido a la proximidad a otros
locales industriales o amenazas fsicas como inundaciones
Productos que proporcionan altos ingresos a la organizacin
Las razones por las que un producto, servicio o locacin pueden
excluirse del alcance, incluyen
Productos o servicios cercanos al final de su ciclo de vida (se
acabaran si se interrumpe el suministro)
Mtodos y Tcnicas
Resultados y Revisin
iStockphotos.com/lorrainedarke
[25] GCN
[25]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Proceso
El proceso para desarrollar la poltica de la GCN incluye:
Identificar y documentar los componentes de la poltica de la
GCN.
Identificar una definicin de la GCN.
Identificar cualquier norma, legislacin o regulacin
relevante que deba estar incluida en la poltica de la GCN.
Identificar cualquier Buena Prctica o poltica de otras
organizaciones que puedan ser su punto de referencia.
Revisar y conducir un anlisis GAP de la poltica actual de la
organizacin (si se considera conveniente) y la poltica externa
de referencia o nuevos requerimientos de la poltica de GCN.
Desarrollar un borrador de la poltica de la GCN nueva o
modificada.
Revisar el borrador de la poltica contra los estndares
organizacionales para polticas similares o relacionadas (por
ejemplo, seguridad de la informacin).
Mtodos y Tcnicas
Los mtodos, herramientas y tcnicas para el desarrollo de la
poltica de la GCN incluyen:
Revisin de la poltica actual de la organizacin.
Investigar fuentes externas para tomar como gua, por
ejemplo: regulatoria, legal, buenas prcticas de la industria,
asociaciones profesionales.
Contactar la industria y asociaciones profesionales para
entender los inconvenientes y los controles actuales y en
desarrollo de la GCN.
Identificar y adoptar los componentes de la poltica de la GCN
de otra organizacin que se considere como buena prctica.
Analizar las brechas del estado actual y revisar las polticas
internas y externas para obtener los componentes bsicos de
una poltica nueva o modificada.
Hacer una revisin por profesionales externos de GCN
Resultados y Revisin
La poltica de la GCN incluir (o se har referencia en un
documento subsidiario):
La definicin de la GCN organizacional.
La definicin del alcance del programa de GCN (vase
numeral anterior).
Estructura operativa para la gestin del programa de GCN de
la organizacin.
El conjunto de principios, guas y estndares mnimo de la
GCN.
Identificacin clara de responsabilidades
Si bien todas las polticas de la organizacin deben ser revisadas
en un perodo determinado, muchas cosas podran provocar la
revisin formal de la poltica de la GCN.
Actividades Externalizadas
Introduccin
Proceso
El proceso de revisin de los acuerdos de Continuidad del
Negocio de una compaa de externalizacin son similares a los
utilizados para revisar los propios procesos de la organizacin.
Es importante que el acceso a la siguiente informacin est
disponible para su anlisis:
Tendencias de los prospectos externalizadores
La contina adecuacin de las disposiciones en las compaas
externalizadores existentes
La confiabilidad en la externalizacin puede incrementarse por:
Precalificacin de compaas candidatas para la
externalizacin.
Resultados y Revisin
Los resultados deben ser una cadena de suministros resiliente
que pueda administrar las interrupciones sin impactar
seriamente la entrega de los productos y servicios al cliente.
La revisin de la continuidad del proveedor debe formar parte
significativa del anlisis de las licitaciones cuando los contratos
son adjudicados o renovados. Se recomienda la revisin anual
del funcionamiento del proveedor contra los requerimientos de
continuidad.
Introduccin
Integrar
la G
est
in
la G
est
in
Integrar
Poltica y Gestin del
Determinar
laEstrategia BCM
Programa BCM
ional
Integrar
Desarrollo e
Implementacinde la
Respuesta BCM
nizac
rga
la G
est
in
ional
Desarrollo e
Implementacinde la
Respuesta BCM
ional
Integrar
nizac
rga
Poltica y Gestin del
Determinar
laEstrategia BCM
Programa BCM
nizac
rga
la G
est
in
aC
u
nizac
rga
Poltica y Gestin del
Determinar
laEstrategia BCM
Programa BCM
ional
Integrar
nl
ional
aC
u
cio
e
nizac
rga
nl
Ejercicios,
Mantenimiento y
Revisin
d del Nego
Entendimiento dela
Organizacin
Desarrollo e
Implementacinde la
Respuesta BCM
O
ra
ltu
Entendimiento dela
Organizacin
cio
e
O
ra
ltu
Ejercicios,
Mantenimiento y
Revisin
d del Nego
a
inuid
Desarrollo e
Implementacinde la
Respuesta BCM
O
ra
ltu
Ejercicios,
Mantenimiento y
Revisin
Organizacin
Ejercicios,
Mantenimiento y
Revisin
Organizacin
O
ra
ltu
Co
la
de
uida
ntin
Ejercicios,
Mantenimiento y
Revisin
nt
Co
la
de
O
ra
ltu
la G
est
in
Desarrollo e
Implementacinde la
Respuesta BCM
Asignacin de Responsabilidades
Introduccin
Un programa de GCN exitoso depende de la identificacin
de roles yresponsabilidades y autoridad claramente definidos
para gestionar el programa de GCN y su proceso a travs de la
organizacin. Esto deber haber sido establecido en la Poltica
de la GCN.
El propsito de la asignacin de roles y responsabilidades
es asegurar que las tareas requeridas para implementar y
mantener el programa de GCN estn asignadas a individuos
competentes cuyo desempeo pueda monitorizarse.
Conceptos y Supuestos
El programa de GCN necesita estar adecuadamente dotado
de recursos. A menudo sto es fcil de lograr en industrias
reguladas como la banca y las de servicios financieros debido a
que muchas autoridades regulatorias consideran la GCN como
un costo del negocio y sto lo hace mandatorio.
En esta etapa puede definirse la estructura de respuesta que
ser adoptada por una organizacin. A menudo se asume que
quienes han desarrollado los planes son los mejores individuos
para responder a un incidente, pero las personalidades
requeridas para ser lderes y planificadores, a menudo son
contradictorias. Cualquier dificultad en esta rea debe ser
expuesta por un plan realista de ejercicios.
Mtodos y Tcnicas
El grupo de trabajo nominado para el programa de GCN debe
tener la formacin apropiada para sus roles. sto se puede
hacer por medio de cursos de formacin internos o externos
y/o por medio de profesionales de GCN externos contratados
para apoyar las primeras etapas de la implementacin.
Proceso
Resultados y Revisin
Implementacin de la GCN en la
Organizacin
Introduccin
La implementacin de un programa de GCN involucra
la Gestin de un nmero de proyectos relacionados y la
coordinacin de las actividades que lo equilibra:
Sensibilizacin: Eventos que mantienen el entusiasmo para
llevar a cabo el programa de GCN.
Planificacin: Desarrollo de planes para responder a los
incidentes que pudieran no ocurrir.
Medidas de Mitigacin: Implementacin de medidas para
mitigar el impacto de un incidente que pueda ocurrir
mientras el programa est siendo desarrollado.
Ejercicio: Ejercicios para practicar los planes de
contingencia.
sto es exitoso solamente con los recursos adecuados,
incluyendo la asignacin de roles y responsabilidades para
entrenar a los individuos para que se comprometan en las
tareas requeridas en la implementacin y mantenimiento del
programa de GCN.
El propsito de este paso es asegurar que se implementa un
programa de GCN sostenible en la organizacin. Un programa
sostenible es el que se ha ganado el compromiso de la
organizacin y cuenta con estructura y procedimientos en sitio
para asegurar que est mantenido y mejorado y est disponible
para el futuro previsible.
Conceptos y supuestos
La eleccin de las actividades a realizar y en qu orden se har,
depender de la cultura existente y el estado de preparacin
de la organizacin. La nica regla definitiva es que las
decisiones ms importantes sobre las opciones de continuidad
y la estrategia de recuperacin no deben tomarse hasta que se
lleve a cabo la etapa de Entendimiento de la Organizacin.
Para iniciar el programa de GCN se puede utilizar apoyo
externo de consultores con calificaciones y experiencia
apropiadas en la GCN. Esto puede ser rentable por efecto del
ahorro de tiempo y la necesidad de capacitacin externa. La
transferencia de conocimiento al equipo de trabajo dentro de
la empresa, debe ser un objetivo durante este perodo.
Proceso
El proceso de implementacin de la GCN en una organizacin
consiste en:
Proceso de iniciacin.
Planificacin, coordinacin e implementacin de proyectos
de GCN para comprometer la implementacin inicial del
Ciclo de Vida de la GCN:
> Entendimiento de la Organizacin (ver Prctica 3)
> Determinacin de las Estrategias de la GCN (ver Prctica 4)
> Desarrollo de la Respuesta de la GCN (ver Prctica 5)
> Ejercicios, Mantenimiento y Revisin (ver Prctica 6)
Mantener niveles de conciencia.
Gestin continua
El proceso de iniciacin debe estar construido desde las
actividades descritas en otras partes en esta gua. Podra incluir:
Ejercicios de escritorio con los Altos Directivos para
demostrar qu podra suceder ante la ausencia de estructuras
y procedimientos de respuesta a incidentes.
Presentacin de impactos causados por incidentes locales
recientes.
Cuestionarios o entrevistas para determinar el estado actual
de disponibilidad de la organizacin.
Redactar un alcance para el programa.
Desarrollar un alcance de la Poltica de la GCN.
Recopilar datos y seleccionar opciones de continuidad.
Medidas para mitigar amenazas especficas percibidas.
Crear procedimientos para la Gestin de incidentes.
Identificar e implementar medidas de bajo costo
Se debe utilizar la disciplina de Gestin de Proyectos para la
planificacin, coordinacin e implementacin de proyectos de
GCN y se debe monitorizar su avance.
Durante la iniciacin del programa, se debe disponer de tiempo
suficiente para apoyar cada actividad con las habilidades
apropiadas de conocimiento y formacin.
Resultados y Revisin
Al final de la implementacin inicial exitosa del programa de
GCN, la organizacin deber tener:
Un estado inicial de disponibilidad de los procedimientos de
Gestin de incidentes suficientemente demostrado por los
ejercicios de escritorio.
Procedimientos, estructura y habilidades para mantener y
desarrollar la capacidad de la GCN.
En su fase inicial de implementacin, el programa de GCN debe
revisarse al menos mensualmente y completarse dentro de los
hitos definidos.
Introduccin
Cuando se compromete la implementacin del programa de
GCN en una organizacin se deben adoptar las disciplinas de
Gestin de Proyectos. Los mtodos seleccionados de Gestin
de Proyectos deben ser adecuados al tamao y complejidad de
la organizacin y su implementacin de la GCN.
sto permite el camino para la Gestin del programa en curso una
vez estn definidos los elementos claves. Sin embargo, sta sigue
siendo una disciplina til para los elementos de un programa en
curso que tiene una entrega clara (por ejemplo, el desarrollo de un
evento de concientizacin a travs de la organizacin).
Mientras se identifican claramente los entregables para algunas
tareas de la GCN, muchas otras son menos tangibles haciendo
estrictamente difcil la implementacin de las disciplinas
de Gestin de Proyectos. Por ejemplo. Hay un elemento de
Descubrimiento dentro del AIN que hace difcil la cuantificacin
del tiempo requerido para completarlo.
Proceso
Este documento puede utilizarse para identificar los proyectos
requeridos para completar la implementacin inicial del Ciclo
de Vida del Programa de GCN.
Cada proyecto ser planificado y monitoreado de acuerdo
con el mtodo seleccionado de Gestin de Proyectos y debe
definirse en trminos de:
[31] GCN
[31]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Objetivos
Alcance
Tareas
Escala de tiempo
Personas involucradas
Entregables
Hitos
El trabajo estimado para algunas etapas del proyecto
depender de los resultados de las etapas previas.
Las disciplinas de Gestin de Proyectos tambin pueden
aplicarse de manera til en otros tems individuales con
entregables claramente definidos dentro del programa de GCN
como:
Desarrollo y Gestin de los ejercicios de la GCN.
Desarrollo y entrega del programa de formacin para el
equipo de trabajo.
Seleccin del proveedor de recursos para continuidad.
Resultados y Revisin
El resultado de este paso es la entrega exitosa del Ciclo de Vida de
la GCN dentro de la cual se han acordado las escalas de tiempo
y los presupuestos como parte de la implementacin inicial del
programa de GCN.
iStockphotos.com/lorrainedarke
Gestin de Proyectos
Conceptos y supuestos
El programa ser gestionado dentro de la estructura de y de
acuerdo con los principios contenidos en la Poltica de la GCN de
la organizacin.
La cantidad de profesionales de GCN y el grupo de trabajo de
otras reas que se puede requerir para apoyar y administrar el
programa, depender del tamao, naturaleza, complejidad y
ubicacin geogrfica de la organizacin.
En organizaciones pequeas, la Gestin en curso de la GCN
puede darse por un solo individuo con otros roles. En grandes
organizaciones, puede haber varios grupos de trabajo con
responsabilidades de tiempo total o parcial. En este ltimo caso,
se puede establecer una jerarqua y el equipo de trabajo podra
requerir las habilidades de direccin (adicionales a las habilidades
propias de la GCN) requeridas por aquellos que administran el
programa de GCN.
Proceso
La Alta Direccin de la organizacin debe:
Nombrar una persona o equipo de personas para la Gestin
del programa de GCN.
Definir el alcance del proceso de Gestin y del programa de
GCN.
Aprobar el presupuesto de continuidad.
Monitorizar la ejecucin del proceso de Gestin.
La persona o equipo de personas nombradas deben (previa
consulta a la Alta Direccin):
Desarrollar y aprobar el proceso y el programa de
planificacin de la GCN.
Determinar los enfoques claves para cada etapa del Ciclo de
Vida de la GCN.
Comprometer o gestionar las actividades de GCN apropiadas
dentro de la organizacin.
Promover la GCN a travs de la organizacin y externamente
donde se considere apropiado.
Gestionar el presupuesto de continuidad.
Mantener la documentacin del programa de GCN.
Mtodos y Tcnicas
Los mtodos, herramientas y tcnicas para gestionar el
programa de GCN de una organizacin incluyen:
Estas Guas.
Apoyo de profesionales de GCN externos.
Cuadros de mando de auto evaluacin de la GCN.
Evaluaciones anuales de desempeo del personal contratado.
Gestin de la relacin con proveedores y terceros.
Gestin de la relacin de los proveedores de recursos y
servicios con el especialista en la GCN.
Gestin financiera.
Avisos legales y regulatorios
Referenciacin de la GCN de la industria.
Estndares nacionales e internacionales como la norma
BS25999
Auditoras internas y/o independientes a la GCN.
Revisiones y retos.
Documentacin de la GCN
Introduccin
Una parte importante del proceso de la GCN es la gestin de
su documentacin. Esta necesita llevarse a cabo de una manera
que sea consistente, fcil de entender y proporcionar apoyo
operativo y para las revisiones de auditora. El nivel y tipo de
documentacin debe ser apropiado al tipo y tamao de la
organizacin.
Aunque la documentacin del proceso siempre es importante,
sta tiene especial significancia para las organizaciones que
desean certificarse contra los estndares de GCN emitidos por
entidades de estndares nacionales o internacionales.
Las organizaciones que estn listas para certificarse contra los
sistemas estndar de Gestin ISO establecidos, necesitarn
revisar cmo su documentacin se ajusta a esos estndares.
Las organizaciones que estn intentando certificarse contra un
estndar nacional o internacional de GCN, necesitarn revisar
cmo su documentacin se ajusta a los requerimientos de los
estndares seleccionados.
iStockphotos.com/lorrainedarke
Resultados y Revisin
Conceptos y Supuestos
Resultados y Revisin
Mtodos y Tcnicas
Las herramientas para la documentacin de la GCN incluyen
procesamiento de documentos, hojas de clculo, herramientas para
diagramas de flujo, bases de datos
y software para Gestin de proyectos, o el uso de un software
propietario especializado. sto tambin puede utilizarse para asegurar
que las copias actuales de la documentacin estn disponibles en
varios sitios de la organizacin. El software especializado puede ofrecer
algunas ventajas en el mantenimiento, pero impone un costo adicional
de formacin durante el programa.
Se debe establecer un sistema de control documental para gestionar:
Usabilidad y accesibilidad.
Aprobacin.
Actualizacin y revisin.
Control de versiones.
Control de distribucin.
Archivado y destruccin de documentos obsoletos.
iStockphotos.com/lorrainedarke
02
iStockphotos.com/lorrainedarke
Proceso
El proceso para el desarrollo y la integracin sostenible de la GCN en la
cultura de la organizacin, es una iteracin permanente de lo siguiente:
Principios Generales
Esto incluir:
Evaluar el nivel actual de la conciencia de y el compromiso con la
GCN contra el nivel deseado; luego identificar la brecha para la
formacin.
Disear y entregar una campaa para crear conciencia corporativa
y desarrollar las habilidades, el conocimiento y el compromiso
requeridos para asegurar que la GCN sea exitosa.
Verificar que la campaa de sensibilizacin ha logrado los
resultados deseados y monitorizar la sensibilizacin sobre la GCN
en el largo plazo.
Mtodos y Tcnicas
La campaa de sensibilizacin y sus mensajes deben estar hechos a la
medida de las audiencias objetivo. Estas audiencias son tanto internas
(por ejemplo los profesionales de la GCN y el equipo de trabajo en
general) como externas (por ejemplo grupos de inters clave y terceros
que dependen de, o que pueden afectar adversamente, los esfuerzos
propios sobre la GCN de la organizacin). La sensibilizacin externa
es particularmente importante donde la GCN opera en un ambiente
externalizado.
La visin establecida de la cultura organizacional considera que
el cambio estratgico est limitado por patrones rgidos de
comportamiento que estn respaldados por fuertes controles sociales;
y que se manifiestan en valores compartidos, estilos de trabajo y
patrones de conducta. Con frecuencia se describen como esta es la
forma como lo hacemos aqu o lo que tiene que hacer para encajar .
Comportamientos
Actitudes
Actitudes
comunican
comportamientos
Resultados
Hay un lmite hasta el que cualquier programa puede influir y
alterar la cultura de la organizacin. Intentos por cambiar las
actitudes pueden tener efectos inesperados que pueden ser
contraproducentes o incluso tomar la direccin opuesta a la que
se persegua llegar.
La implementacin de un programa cultural en la GCN no debe
ser subestimada, ya que implica la influencia en los valores,
creencias y comportamientos; y es un reto para la gestin
de cambios importantes que requieren no slo educacin,
formacin, sensibilizacin y participacin, sino fuertes
habilidades de liderazgo de individuos clave.
Las evaluaciones necesitan considerarse cuidadosamente
porque el anlisis raramente es completamente objetivo: las
personas traen consigo toda una serie de supuestos anteriores,
sabidura recibida, formas tradicionales sobre cmo hacer las
cosas, percepciones heredadas del mundo en el que viven y de su
posicin o estatus dentro de ste.
Factores de xito incluyen:
Creencias
Creencias
comunican
Actitudes
Educacin,
entrenamiento
y sensibilizacin
debenabordarse en
todos los niveles
para lograr efectos
duraderos
Conceptos y Supuestos
Se debe buscar una auditora de la sensibilizacin actual en la GCN
para establecer el nivel de conocimiento y compromiso con el
programa de GCN.
Las evidencias se encontrarn principalmente en los patrones de
comportamiento, pero hay otras fuentes dentro de la organizacin.
Aquellos involucrados en hacer la evaluacin de la sensibilizacin
deben tener un buen entendimiento del negocio y de sus objetivos
en la GCN.
Tambin deben tener, o estar en la capacidad de vincular, a quienes
tienen niveles apropiados de competencias en educacin, formacin
y actividades de sensibilizacin; al igual que habilidades adecuadas
de anlisis y relaciones interpersonales.
Como para otras etapas de la campaa de sensibilizacin, esta
actividad requiere la consulta y cooperacin del equipo de trabajo a
lo largo de la organizacin. Desde la Alta Direccin, pasando por los
profesionales de GCN, hasta el equipo de trabajo sin roles especficos
en GCN, pero con la responsabilidad general de hacer su parte
en la GCN. En particular la Alta Direccin, desde el principio, debe
suministrar el apoyo para el trabajo de sensibilizacin tanto en
Proceso
Establecer el nivel actual de sensibilizacin de la GCN
Esta actividad es un ejercicio de recopilacin de informacin.
El objetivo debe ser el de establecer indicadores estadsticos
sobre cualquier brecha en sensibilizacin y una evaluacin de la
apreciacin de, y el compromiso hacia la GCN en grupos objetivo
del Equipo de trabajo. Las fuentes de informacin deben incluir:
Documentacin: incluye procedimientos y polticas
Resultados y Revisiones
Los resultados de la evaluacin de la sensibilizacin deben incluir:
El estado del nivel actual de sensibilizacin y la eficacia del
Equipo de trabajo para apoyar la GCN.
El estado del nivel de sensibilizacin deseado y cmo se medir.
Una definicin de la brecha de formacin incluyendo las
temticas de la GCN que requieren mayor sensibilizacin en
el equipo de trabajo (ya que sto ayudar a definir el mensaje
de la campaa general de sensibilizacin) y el(los) nivel(es) de
competencia en que se encuentra cada grupo objetivo.
La sensibilizacin del Equipo de trabajo puede definirse en uno de
los siguientes cuatro niveles:
1. Incompetencia Inconsciente donde el equipo de trabajo es
inconsciente de los temas de la GCN. No saben lo que no
conocen.
2. Incompetencia Consciente donde el equipo de trabajo es
generalmente consciente de los temas de la GCN, pero conocen
muy poco del detalle de los requerimientos.
3. Competencia Consciente donde el equipo de trabajo es
consciente de los temas de la GCN y es competente (por
ejemplo sigue procedimientos documentados) para apoyar la
GCN.
4. Competencia inconsciente donde el equipo de trabajo es
completamente competente en forma instintiva para aplicar la
GCN en una gran variedad de circunstancias.
La evaluacin de la sensibilizacin debe realizarse al inicio
de la campaa, luego siguiendo el avance de la campaa y
posteriormente de manera peridica como un sistema de
monitoreo a la capacidad. Adicionalmente, las evaluaciones de
sensibilizacin pueden ser necesarias en respuesta a cambios como:
Procesos del Negocio que afecten las prioridades de la GCN
Legislacin o regulacin que afecte los requerimientos de la GCN
Incremento de amenazas y vulnerabilidades a la seguridad
Requerimientos corporativos y de clientes/socios para
disponibilidad de informacin y servicios, incluyendo el
cumplimiento con normas relevantes.
iStockphotos.com/lorrainedarke
Introduccin
Conceptos y Supuestos
La educacin, la formacin y la sensibilizacin pueden
entregarse de diferentes maneras. Para el xito de una campaa
de sensibilizacin, es crtica la seleccin de los mtodos ms
apropiados y efectivos para su entrega. La planificacin y el
diseo de la campaa deben ser jerrquicos, iniciando con los
objetivos derivados de la definicin de la Brecha de Formacin
y sus caractersticas constitutivas. Los puntos de aprendizaje
a su vez deben identificarse del conocimiento especfico, las
habilidades y las temticas de sensibilizacin que necesitan ser
asimilados por el equipo de trabajo para cerrar la brecha.
El personal sin responsabilidad especial para la GCN
puede necesitar alcanzar solamente sensibilizacin o un
determinado nivel de competencia para realizar aquellas tareas
relacionadas con la GCN que forman parte de su rol dentro
de la organizacin. Los profesionales de GCN, sin embargo,
deben recibir una ruta de formacin estructurada que les
entregue conocimiento, habilidad y finalmente que le brinde
competencia en la GCN a travs de oportunidades para poner
en prctica sus habilidades.
Tanto el costeo de la campaa como el esfuerzo requerido,
deben ser acordados con la Alta Direccin durante la etapa
inicial del proceso. La disponibilidad del Equipo de trabajo para
atender los eventos de formacin tambin debe tomarse en
Proceso
Entrega
La estrategia seleccionada para el programa de educacin,
formacin y sensibilizacin depende de circunstancias individuales;
por consiguiente se pueden ofrecer nicamente las siguientes
recomendaciones generales para estas campaas:
Documentos informativos
Mtodos y Tcnicas
Existen muchas teoras sobre cmo aprenden los adultos y una
correspondiente variedad de estrategias de entrega. Mientras
los profesionales de la GCN pueden facilitar el contenido formal
de la formacin, deben trabajar con expertos en formacin para
desarrollar la estrategia y entregar la campaa.
Es importante reconocer que la sensibilizacin no est limitada
al formacin formal y requiere que la GCN est integrada con las
prcticas laborales. En consecuencia, siempre que sea posible se
deben encontrar oportunidades para incluir la GCN en la agenda.
Los recursos de informacin pueden incluir:
Resultados
Los entregables de la campaa comprendern un rango de actividades
de aprendizaje, incluyendo formacin presencial, educacin a distancia,
eventos de sensibilizacin, y la promocin de los temas de la GCN en
las prcticas laborales. Claramente, su naturaleza y alcance dependen
de los objetivos especficos de sensibilizacin de la campaa.
Los resultados de la campaa pueden incluir:
Mayor conciencia general de la necesidad del programa de GCN
Conferencias y seminarios
Recursos de formacin
Cursos externos aprobados de formacin
Programas acadmicos formales de educacin
Foros regionales del BCI y grupos de trabajo
Grupos de trabajo de la industria
Entidades certificadoras
Conceptos y Supuestos
La efectividad de la educacin, la formacin y la sensibilizacin
puede medirse en un nmero de niveles: Desempeo mejorado en
los individuos, mejores estndares a lo largo de la organizacin y
aumento del nfasis de la GCN en la cultura corporativa.
Se debe tener cuidado para realizar las preguntas correctas no
solo desde la perspectiva organizacional sino tambin desde
la perspectiva de los individuos para: obtener las respuestas
relevantes, interpretar correctamente los datos y permanecer
atentos a los temas por fuera del mbito central de formacin que
pueden ser relevantes para la cultura de la GCN en general.
El razonamiento detrs de esto es que las respuestas a menudo son
nicas y situacionales y slo a travs de mtodos como entrevistas
semi-estructuradas, observacin del participante y grupos
focalizados, puede evaluarse las complejidades del contexto y la
importancia del entendimiento de las personas. Los profesionales
de la GCN probablemente necesitan asistencia de especialistas en
aprendizaje en este campo.
Mtodos y Tcnicas
La evaluacin puede tomar muchas formas. La evaluacin efectiva
combinar una variedad de mtodos de corto y largo plazo,
revisando tanto la forma y el contenido de la campaa misma
como su efecto sobre la GCN dentro de la organizacin.
Siempre que sea posible, los resultados de la evaluacin deben
expresarse en trminos de los beneficios de la campaa para
el negocio. Especficamente, la evaluacin de los cursos de
formacin puede incluir discusiones, concursos y exmenes cortos
durante el curso para verificar y alinear la enseanza al vuelo.
Formatos de Evaluacin del Curso pueden utilizarse para mejorar
la estructura del curso, el contenido y la entrega. La evaluacin
de un curso debe basarse en una serie de sesiones ms que en una
sola.
Resultados y Revisiones
Las revisiones deben incluir una variedad de reportes para los
niveles apropiados dentro de la organizacin. Deben considerar a la
Alta Direccin, directores relevantes del negocio, profesionales de
la GCN y proveedores de formacin.
La evaluacin de la campaa debe hacerse durante y despus de
que se ha realizado la mayor parte de la campaa para permitir la
realineacin de la estrategia y revisar si la campaa ha alcanzado
su objetivo general de reducir la brecha de formacin identificada
en la evaluacin inicial de la sensibilizacin.
Los resultados de la evaluacin de la campaa deben reportarse
al Equipo de trabajo a travs de los canales corporativos y pueden
incluir:
Identificacin de requerimientos adicionales en educacin,
formacin y sensibilizacin.
Proceso
profesionales de la GCN.
Mejoramiento de las prcticas laborales.
Hacer
Verificar
Actuar
Certificacin
Un sistema de gestin para la GCN puede ser definido como
parte general del sistema de gestin (de la organizacin) que
establece, implementa, opera, monitorea, revisa, mantiene
y mejora la Continuidad del Negocio. Esto implica que el
sistema tiene:
Una poltica.
Personas con responsabilidades definidas para la GCN.
Procesos de gestin para apoyar la poltica.
Un conjunto de documentacin para proporcionar evidencias
al proceso de auditora.
iStockphotos.com/lorrainedarke
Sistemas de Gestin
iStockphotos.com/lorrainedarke
Entendimiento de la Organizacin
03
Entendimiento de la Organizacin
Introduccin
[47] GCN
[47]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
iStockphotos.com/lorrainedarke
Entendimiento de la Organizacin 03
Principios
Es necesario obtener el apoyo total de la Alta Direccin antes de
intentar el Anlisis de Impacto en el Negocio. Es poco probable que
los directores estn preparados para dedicar tiempo a este ejercicio
a menos que est demostrado el apoyo de la Alta Direccin.
La decisin sobre qu productos y servicios estn dentro del alcance
del programa de GCN, se debe haber tomado antes de llevar a cabo
el AIN y debe estar documentada en la poltica del Programa de
Gestin de la Continuidad del Negocio GCN. De manera alterna, el
mtodo del AIN puede utilizarse para entender el impacto de la
falla en la entrega de productos o servicios y puede utilizarse para
decidir el alcance del programa de GCN.
Una vez que se ha definido el alcance, el AIN se enfoca en las
actividades (que apoyan esos productos y servicios) identificando
aquellas cuya falla podra amenazar ms rpidamente la entrega.
stas tienden a ser actividades operativas que interactan
directamente con los clientes u otras organizaciones externas. Sin
embargo, estas actividades pueden depender para su entrega del
apoyo de otros procesos internos o externos, los cuales tambin
deben ser analizados.
Propsito
El propsito de un Anlisis de Impacto en el negocio para cada
actividad, producto o servicio, es:
Documentar los impactos en el tiempo que puedan resultar
de su prdida o interrupcin.
Identificar el Mximo Perodo Tolerable de Interrupcin
(MPTI) y por tanto las prioridades de recuperacin (ver
conceptos a continuacin).
Identificar las dependencias (internas y externas) que se
requieren para permitir que la actividad opere eficazmente.
Es posible (y deseable) que el AIN se utilice para determinar el
impacto de interrupcin ante cambios mayores en el negocio
como:
Introduccin de nuevos productos, procesos o tecnologas.
Reubicacin o cambio en la distribucin geogrfica del
negocio.
Un cambio significativo en la operacin del negocio,
estructura o las jerarquas del Equipo de trabajo.
[49] GCN
[49]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Entendimiento de la Organizacin 03
Conceptos y Supuestos
Conceptos
Mximo Perodo Tolerable de Interrupcin (MPTI): Es el tiempo
Terminologa
Es necesario tener cuidado con el uso de la palabra crtica.
Desafortunadamente, para quienes no estn familiarizados
con la terminologa de la GCN, crtica es interpretado como
importante, conduciendo a malos entendidos cuando se recopila
la informacin para el AIN y la incorrecta interpretacin de que
las tcticas de recuperacin y los planes no se requieren para
actividades no crticas.
Una vez comprobado el MPTI para cada actividad, a menudo es
conveniente vincular las actividades con requerimientos similares
de recuperacin. A veces, las organizaciones llaman a estos
grupos de acuerdo con la ventana de tiempo de recuperacin
(por ejemplo, un da, dos das, una semana, etc.); otros utilizan
el trmino crtica (o misin crtica) para aquellas actividades
requeridas en los
iStockphotos.com/lorrainedarke
Supuestos
Se supone que el trabajo complejo e interrelacionado de la
organizacin puede ser entendido mediante el anlisis separado de
las actividades de la organizacin.
Donde ya existen medidas implementadas de resiliencia (como
sitios alternos de operacin), se debe asumir que se encuentran en
funcionamiento.
Proceso
Alcance y Extensin
Identificar la relacin entre las diferentes partes de la
organizacin ya que esto puede afectar el MPTI.
Cuando una organizacin cuenta con mltiples sedes, puede
ser necesario decidir sobre la mxima extensin geogrfica
de la interrupcin o la magnitud de la prdida de recursos que
la organizacin quiere, necesita, o planea para sobrevivir a fin
de cuantificar el impacto. Esto debe estar documentado en la
poltica de GCN y puede estar determinado por:
> La extensin geogrfica (o de mercado/rea de clientes).
> Requerimientos regulatorios o legales.
> Productos, nichos de mercado o requerimientos especficos
de los clientes.
Si la extensin del AIN va a tomar un tiempo prolongado,
considerar inicialmente limitar su alcance a un subconjunto de
productos y servicios. Los restantes pueden ser cubiertos en
un AIN posterior.
Aprobar los Trminos de Referencia para el AIN con el
patrocinador del proyecto.
Informes
Obtener la aprobacin del dueo del proceso para confirmar la
exactitud de la informacin en el AIN.
Obtener el apoyo del Patrocinador de la GCN sobre las
conclusiones del AIN.
Recopilacin de Datos
No existe una metodologa de talla nica que se ajuste a la
recopilacin de datos para el AIN. Los mtodos pueden variar de
un sector de la industria a otro y de un profesional a otro. Cada
industria tiene sus propias necesidades especficas por contenido,
tipo de informacin, profundidad y cobertura. Sin embargo, los
principios bsicos que se deben considerar son:
El objetivo del AIN es recopilar informacin para apoyar la
seleccin de las estrategias de continuidad ms apropiadas.
Esto est determinado por la urgencia con la cual cada actividad
necesita ser reanudada.
iStockphotos.com/lorrainedarke
Mtodos y Tcnicas
Entendimiento de la Organizacin 03
Software
Existe una variedad de productos de software disponibles para
conducir un Anlisis de Impacto en el Negocio que pueden ser
tiles, pero no esenciales. Los beneficios clave de utilizar una
herramienta de software incluyen la facilidad de anlisis de
resultados, almacenamiento de informacin y la presentacin
de informes; su uso no elimina la necesidad de entrevistas con, e
involucramiento de, los individuos expertos en la actividad que
est siendo analizada.
Informes
Toda organizacin tiene su estilo propio para la presentacin de
informes. Como requisito, el formato de informe elegido por la
organizacin debe estar establecido y acordado en el momento en
que se define el alcance de la actividad, debido a que el formato de
presentacin final puede impactar la forma como la informacin se
recopila, se compara, se analiza y se presenta.
Resultados y Revisin
Los resultados de un Anlisis de Impacto en el Negocio son:
Una lista de las actividades que contribuyen con la entrega de
productos y servicios dentro del alcance.
El Mximo Perodo Tolerable de Interrupcin (MPTI) y su
justificacin para cada actividad. Este determinar los tiempos
requeridos de las estrategias de recuperacin.
Dependencias de la actividad: internas y externas.
Anlisis de Requerimientos de
Continuidad
Introduccin
El Anlisis de Requerimientos de Continuidad (ARC) recopila
informacin de los recursos requeridos para reanudar y
continuar las actividades del negocio que apoyan los objetivos y
obligaciones de la organizacin. Este paso usualmente se realiza
al mismo tiempo que se est reuniendo la informacin del AIN.
Su propsito es:
Suministrar la informacin de los recursos con los cuales se
puede determinar o recomendar una estrategia apropiada de
recuperacin.
Identificar los requerimientos de recursos resultantes de la
dependencia que existe interna y externamente sobre la
actividad.
Conceptos y Supuestos
Requerimientos de Continuidad
A menudo se asume que los recursos requeridos luego de una
interrupcin sern una parte de los utilizados durante la operacin
normal, al menos por un perodo de tiempo. Sin embargo, en
algunos casos, los recursos necesarios en las primeras etapas de la
recuperacin pueden ser mayores que los utilizados normalmente,
con el fin de hacer frente a retrasos. Por ejemplo, en un call center
puede necesitarse
Proceso
Recopilacin de Datos
Su propsito es cuantificar los recursos requeridos a travs del tiempo
para mantener las funciones del negocio dentro de un nivel aceptable
y dentro del Mximo Perodo Tolerable de Interrupcin. Se debe tener
en cuenta cualquier actividad adicional que se pueda generar por la
interrupcin y la necesidad de eliminar los retrasos. Las siguientes
categoras de recursos pueden ser consideradas:
Resultados y Revisin
Los resultados del Anlisis de Requerimientos de Continuidad, son:
Entendimiento de la Organizacin 03
Proceso
Los pasos clave en la evaluacin de amenazas, son:
Registre las amenazas internas y externas que pueden
causar interrupcin a las actividades ms urgentes de la
organizacin, definidas en el AIN.
Determine el sistema de calificacin para impactos y
probabilidades. Acuerde el enfoque con la Alta Direccin.
Estime el impacto de cada amenaza, sobre la organizacin,
utilizando el sistema de calificacin acordado.
Calcule el riesgo de cada amenaza mediante la combinacin
de la calificacin de su impacto y probabilidad, segn una
frmula acordada.
Revise los resultados de las calificaciones del anlisis de
riesgo.
Priorice las amenazas por nivel de riesgo.
Identifique las reas inaceptables de riesgo o los puntos
nicos de falla.
Si la organizacin cuenta con un programa de Gestin de
Riesgo, entregue los resultados de la evaluacin de amenazas
a la persona responsable del programa.
Recomiende las acciones que puedan tomarse para reducir la
amenaza de interrupcin sobre las actividades ms urgentes
de la organizacin.
iStockphotos.com/lorrainedarke
Mtodos y Tcnicas
Si la organizacin tiene establecida una funcin de Gestin de
Riesgo, considere la utilizacin del mtodo o tcnica establecidos
de evaluacin de riesgos para la valoracin de la amenazas.
Se pueden obtener muchos sistemas de calificacin para la
evaluacin de riesgos de la literatura publicada.
As como se eligen sistemas de calificacin para la evaluacin de
riesgos para impactos y probabilidades, los mtodos y tcnicas que
pueden utilizarse para identificar y evaluar amenazas, incluyen:
Registros de riesgos de la organizacin (si existen).
Identificacin de las amenazas internas y externas de fuentes
apropiadas.
Anlisis de eventos por el mtodo del rbol (Event tree analysis).
Anlisis de fallas por el mtodo del rbol (Fault tree analysis).
Anlisis de los grupos de inters.
Planificacin de escenarios.
Amenazas identificadas durante el proceso del AIN.
Incidentes previos experimentados por la organizacin, el sector de
la industria o el vecindario.
Peligros locales conocidos: naturales o de origen humano.
Ubicacin geogrfica.
Anlisis de redes de trabajo.
Resultados y Revisin
Los resultados de la evaluacin de amenazas son:
Un listado de amenazas que pueden causar la interrupcin de las
actividades ms urgentes de la organizacin, priorizadas por el nivel
de impacto.
La identificacin de los puntos nicos de falla inaceptables.
Recomendaciones sobre acciones a ser tomadas para reducir la
amenaza de interrupcin sobre las actividades ms urgentes de la
organizacin.
iStockphotos.com/lorrainedarke
04
Determinar la Estrategia de la
Continuidad del Negocio
Introduccin
[57] GCN
[57]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
iStockphotos.com/lorrainedarke
Principios Generales
La Identificacin y Seleccin de Estrategias idetermina las
estrategias que estn disponibles para apoyar la entrega
continua de los productos y servicios de la organizacin dentro
de sus Mximo Perodo Tolerable de Interrupcin (MPTI) y
Mxima Prdida Tolerable de Datos (MPTD) previamente
definidos. Evala las ventajas y desventajas de cada estrategia,
acuerda las estrategias ms apropiadas para investigaciones
tcticas posteriores y cumple con el Tiempo Objetivo de
Recuperacin (TOR) y el Punto Objetivo de Recuperacin (POR)
para cada producto y servicio.
La Identificacin y Seleccin de las Respuestas Tcticas a
partir de las Opciones Disponibles establece las tcticas que
estn disponibles dentro de las estrategias seleccionadas
para cada actividad que la organizacin realiza para entregar
sus productos y servicios; identifica los costos y dificultades
asociados con cada tctica; selecciona las tcticas ms
apropiadas para la actividad; y confirma que los recursos
suministrados cumplirn los requerimientos de recuperacin y
reanudarn la actividad en un TOR que es menor a su MPTI y un
POR que es menor a su MPTD.
La Consolidacin para Nivelar Recursos rene todos los
recursos que van a ser suministrados a travs de las estrategias
y tcticas seleccionadas para ofrecer una visin consolidada de
los requerimientos de recursos. Esto se utiliza para validar que
las estrategias y tcticas son viables cuando son vistas desde
una perspectiva global, y aprovechar el apalancamiento cuando
se compran servicios comerciales de continuidad de negocio a
terceras partes.
Conceptos
Es necesario establecer las estrategias de recuperacin y las
opciones de soporte tctico, para determinar cual permitir a la
organizacin reanudar sus operaciones en una ventana de tiempo
que cumpla tanto con el TOR como con el POR para cada producto
y servicio.
Para hacer esto de manera efectiva, se deben considerar ciertos
conceptos con algn nivel de profundidad:
Proceso
Es necesario realizar el siguiente proceso para cada producto o
servicio dentro del alcance del Programa de GCN:
Identificar el MPTI y decidir sobre el TOR, de manera que el TOR
sea menor que el MPTI.
Accesibles rpidamente
una recomendacin.
Alcance
Las estrategias deben incluir las siguientes consideraciones:
Sitios distribuidos (Operacin Distribuida)
Replicacin
Instalaciones de Reserva
Trabajo subcontratado
Adquisiciones posteriores al incidente
Seguros
No hacer nada
Sitios Distribuidos (Operacin Distribuida)
Replicacin
Instalaciones de Reserva
Trabajo Subcontratado
iStockphotos.com/lorrainedarke
Seguros
Los seguros, cuando estn contratados de manera apropiada,
proporcionan compensacin financiera por la prdida de activos,
el incremento de los costos de trabajo, la reanudacin de los
negocios y proteccin por las responsabilidades legales asociadas.
Sin embargo, es poco probable dar cobertura a la totalidad de
los costos de un incidente, incluyendo la prdida de clientes, el
impacto de valor para los accionistas o la prdida de reputacin e
imagen de la marca. Por lo tanto es importante, que las opciones
de continuidad seleccionadas sean coherentes con la cobertura de
los seguros de la organizacin.
La cobertura de Interrupcin del Negocio (IN) es la ms
estrechamente relacionada con la GCN, pero es importante
tener en cuenta que por lo general esta slo cubre las prdidas
del negocio que estn asociadas a otras prdidas asegurables
(como la prdida de edificaciones). Ms recientemente, algunas
aseguradoras han comenzado dar cobertura a un mayor nmero de
interrupciones tales como fallas del proveedor.
Para las PYMES (pequeas y medianas empresas), los seguros
pueden proporcionar algn apoyo til despus de la prdida de
personas clave debido a su muerte, lesin o renuncia.
No hacer nada
En situaciones en las que el TOR est calculado en meses,
puede ser aceptable la espera hasta despus del incidente para
decidir sobre la estrategia para recuperar un producto o servicio,
especialmente si la entrega del producto o servicio no requiere:
equipo especializado, instalaciones o habilidades que son difciles
de obtener.
Resultados y Revisin
El principal entregable es un conjunto de estrategias de GCN
que ha sido acordado con la Alta Direccin para cada producto
y servicio dentro del alcance del programa de GCN; adems de
un acuerdo para proporcionar los recursos para establecer las
opciones tcticas para alcanzar los objetivos estratgicos.
Se debe llevar a cabo una revisin de las estrategias de la
GCN despus de haber sido probada cualquier capacidad de
recuperacin, y por lo menos una vez al ao despus de una
actualizacin del AIN y del ARC. Un cambio significativo en
cualquiera de los siguientes aspectos tambin debe llevar a la
revisin de las estrategias de la GCN:
Identificacin y Seleccin de
Respuestas Tcticas
Introduccin
El propsito de este paso es seleccionar las opciones tcticas
apropiadas de continuidad para cada actividad que apoya la
entrega de los productos y servicios de la organizacin, y para
identificar que necesita hacerse para implementar las opciones
seleccionadas. Estas tcticas estarn basadas en las estrategias de
la GCN seleccionadas para cada producto o servicio.
Las tcticas apropiadas para cada actividad necesitaran seleccionarse
para cubrir los requerimientos en las reas relevantes de:
Conceptos
Determinar las tcticas de recuperacin y seleccionar las soluciones
apropiadas a partir de las opciones disponibles es la parte ms
detallada del Ciclo de Vida de la GCN. Esto debido a que es:
a) La parte del proceso que probablemente incurrir en la mayora
de los gastos
b) La parte fundamental de la infraestructura tcnica y operativa
que se necesita para hacer viables los planes en la prctica.
Confiabilidad
Revaluacin de estrategias
Costos contra beneficios
Sitios de terceros para recuperacin
Necesidades de los diferentes grupos de inters
Exigencias de los servicios de emergencia civil
Alcance de la Planificacin
El alcance y el detalle que se requiere al planificar las tcticas
de cada actividad, depender de la urgencia con la que se les
requiera y de la complejidad de la reanudacin.
Actividades urgentes
No todas las actividades asociadas a un producto o servicio
necesariamente tienen que estar en funcionamiento dentro del
TOR para los productos o servicios y en grandes organizaciones,
la magnitud y la dificultad para determinar las opciones de la
continuidad de todas las actividades sera poco prctico. Por
estas razones, la definicin de las opciones de continuidad debe
concentrarse en las actividades ms urgentes. Estas se han
identificado durante la AIN, y generalmente consistirn en aquellas
actividades en las que la MPTI de los productos y servicios a los que
soportan, y por lo tanto el TOR, es relativamente corto.
Revaluacin de estrategias
Anlisis Costo-beneficio
Proceso
El proceso incluye los siguientes pasos:
Alcance
El alcance de esta parte del proceso es complejo y exigente. A
menudo, podr ser necesario contar con asesoramiento tcnico
de expertos en otros campos, en particular para empresas
manufactureras. Por lo general, especialistas en compras y
suministros, manejo de inventarios y planificacin de la capacidad
podran necesitarse para ayudar a definir las tcticas ms
apropiadas.
En trminos generales, el profesional de la GCN necesita asegurar
que las siguientes reas estn contempladas en cualquier solucin
tctica:
Personas
Edificaciones
Recursos
Proveedores
Debido a las grandes diferencias en los tipos de negocios que
implementarn la GCN, no es posible una Gua como sta para
que sealar cules tcticas sern las adecuadas para cada empresa,
sector o ubicacin geogrfica. Sin embargo, el Anexo 1 suministra
recomendaciones relevantes que podrn ayudar en el proceso de
seleccin y decisin.
A pesar de que las opciones seleccionadas necesitan trabajar
[63] GCN
[63]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Resultados y Revisiones
Los resultados y entregables de esta etapa son:
Un conjunto de opciones tcticas de continuidad aprobadas por
la Alta Direccin.
iStockphotos.com/lorrainedarke
largo de la organizacin.
Asegurar que las tcticas seleccionadas no generan conflicto
entre s (por ejemplo que diferentes actividades no se planeen
para utilizar los mismos recursos internos para la recuperacin).
Determinar la mejor forma para obtener los requerimientos
externos (por ejemplo los sitios de recuperacin proporcionados
por terceros).
Apoyar en la definicin del nmero y estructura de los Planes de
Continuidad de Negocio.
Conceptos y Supuestos
A menudo se asume que los servicios requeridos estarn
disponibles comercialmente. En muchos pases este no es
necesariamente el caso y algunos gobiernos no permitirn a las
organizaciones obtener tales servicios fuera de sus fronteras.
Cuando los servicios de recuperacin de terceros, requeridos por
las tcticas consolidadas, no estn disponibles; esto llevar a la
organizacin a reevaluar tanto las estrategias de BCM como las
opciones tcticas continuidad.
Un resultado de esta situacin, puede ser que la organizacin
decida suministrar sus propias instalaciones de recuperacin
y ofrecerlas para compartirlas comercialmente con otras
organizaciones que se enfrentan al mismo dilema. Este
enfoque es particularmente relevante en pases en los que
los proveedores de estos servicios an no han establecido su
presencia comercial.
Proceso
Este proceso est compuesto por los siguientes pasos:
Agregar los requerimientos de recuperacin de las opciones
tcticas de continuidad seleccionadas.
entre s.
Verificar que los requerimientos consolidados de recuperacin
con los terceros se pueden obtener.
Reevaluar las opciones tcticas de continuidad si se encuentran
inconsistentes o generan conflictos.
Suministrar a la Alta Direccin una evaluacin de los
requerimientos consolidados.
Obtener un acuerdo con la Alta Direccin para cualquier
cambio de las tcticas a utilizar incluyendo las disposiciones de
financiacin y de recursos para su implementacin.
Actualizar los proyectos identificados para implementar las
opciones tcticas acordadas, segn se requiera.
Establecer los proyectos para implementar las opciones tcticas
acordadas.
Resultados y Revisin
Los resultados y entregables de la Consolidacin para Nivelar
Recursos, son:
El listado de proyectos para implementar las opciones
tcticas acordadas.
El listado consolidado de los requerimientos de recursos de
terceros para utilizarlo en la compra de los recursos.
Detalles de las tcticas y de los requerimientos de recursos de
recuperacin que se utilizarn en el desarrollo de los Planes
de Continuidad del Negocio.
La Consolidacin para Nivelar Recursos debe revisarse
siempre que se presente un cambio en las opciones tcticas
seleccionadas para una actividad.
Tambin debe revisarse cuando haya un cambio en la
organizacin que pueda afectar el suministro de los recursos de
recuperacin provistos internamente y cuando se renueven los
contratos de recuperacin con terceros. Esto puede resultar en
un cambio tanto de la estrategia de recuperacin como en los
medios tcticos para su entrega.
iStockphotos.com/lorrainedarke
05
[67] GCN
[67]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Principios Generales
Aunque el trmino Plan de Continuidad del Negocio (PCN) implica
un solo documento, en realidad abarca un nmero de actividades
diferentes y usualmente estar conformado por mltiples planes.
El PCN puede existir a cualquier nivel de la organizacin y puede
bajar a cualquier nivel de detalle procedimental. Puede abarcar
la organizacin completa o una parte de ella; y puede estar
definido para el mbito de productos, servicios, instalaciones,
divisiones, departamentos y en circunstancias especiales para
escenarios particulares. Sin embargo, existen cinco tipos de planes
que corresponden a cinco etapas superpuestas de respuesta y
cualquiera de ellos puede aparecer en cualquier PCN a cualquier
nivel. Las cinco etapas, son:
1. Respuesta a la emergencia: Respuesta inmediata a una
emergencia como por ejemplo un Plan de Evacuacin.
2. Gestin del Incidente: La gestin de respuesta al incidente como
por ejemplo un Plan de Comunicaciones en Crisis.
3. Continuidad: La respuesta inicial del negocio para asegurar que
las actividades esenciales pueden continuar operando a un nivel
mnimo aceptable.
4. Recuperacin: Un plan para recuperar actividades a un nivel
sostenible.
5. Reanudacin: Un plan para reanudar las operaciones a lo que la
organizacin define como normal.
Tipos de Planes
El trmino Plan de Continuidad del Negocio PCN puede
definirse como:
1. Estratgica
2. Tctica
3. Operativa
Oro
Estratgico
Escalamiento
Control
Plata
Bronce
Equipo de Respuesta
Estratgica
Tctico
Equipo de Respuesta
Tctica
Operacional
Equipo de Respuesta
Operacional
Lnea de Tiempo
Proceso
Estos niveles de respuesta proveen un modelo adecuado
para organizaciones de cualquier tamao, pero necesitan
implementarse de manera que se ajusten a la estructura de gestin
y a la cultura de la organizacin. A continuacin se presentan
ejemplos de cmo los niveles pueden ser implementados en
diferentes tipos de organizaciones.
la Alta Direccin.
Organizaciones Grandes
En organizaciones grandes los niveles de respuesta pueden
implementarse de la siguiente manera:
Estratgico: Un PMI con un equipo de respuesta conformado por
la Alta Direccin.
Tctico: Un determinado nmero de PCNs, cada uno abarcando
una divisin principal, producto, servicio o instalacin, y cada
uno con su propio equipo de respuesta conformado por la
direccin operativa responsable de las reas cubiertas por el
PCN.
Operativo: Cubierto por PCNs individuales (con excepcin de las
principales funciones de apoyo de Tecnologa de la Informacin
y las Comunicaciones, Finanzas, Instalaciones y Recursos
Humanos, cada una de las cuales cuenta con su propio equipo
especializado de respuesta).
Proceso
Los pasos clave en el desarrollo de un plan incluyen:
Establecer un dueo.
Definir los objetivos y el alcance.
Desarrollar y aprobar un proceso de desarrollo para el plan y
para el programa.
Crear un equipo de planificacin.
Crear un equipo de respuesta.
Acordar las responsabilidades del equipo de respuesta y su
relacin con otros planes y equipos de respuesta (estratgica,
tctica y operativa).
Definir la estructura, formato, componentes y contenido del
plan.
Definir las estrategias, como instalaciones alternas, sobre las
que se basa el plan.
Recopilar informacin para confeccionar el plan.
Generar un borrador del plan.
Circular el borrador del plan para consulta y revisin.
Recopilar la retroalimentacin de la consulta.
Modificar el plan segn sea el caso.
Acordar y validar el plan, por ejemplo utilizndolo en un
ejercicio.
Acordar un programa de ejercicios y mantenimiento continuo
del plan para asegurar que permanece actualizado.
Mtodos y Tcnicas
Contenido
Todos los planes bien sea que operen a nivele estratgico, tctico u
operativo, deben contener un nmero de elementos similares:
Formato y Contenido
Los planes deben ser concisos y fciles de leer. Pueden ser de
diseo modular de manera que se puedan suministrar slo
las secciones separadas a los equipos que lo requieran. Si se
adopta este modelo, es importante que alguien asuma el rol
de coordinacin global.
Se puede adoptar una serie de mtodos y tcnicas para
desarrollar los planes; stas se describen ms adelante en
este captulo. Sin embargo, cualquiera que sea el mtodo
utilizado, los planes no deben desarrollarse de manera aislada
y cualquier persona que tenga un rol identificado, debe
consultarse durante la etapa de desarrollo.
Propsito.
Alcance.
Objetivos.
Supuestos.
Estructura para la gestin del incidente (para la organizacin
como un todo).
Responsabilidades del equipo de respuesta.
Integrantes del equipo de respuesta.
Responsabilidades individuales para los integrantes del
equipo de respuesta.
Instrucciones para la invocacin.
Autoridad para invocar.
Instrucciones para el equipo de movilizacin
Ubicacin de la salas de reuniones del equipo (centro de
comando)
Comunicaciones (que abarquen a los equipos de trabajo,
grupos de inters, clientes, medios, entre otros).
Listas de actividades.
Informacin clave de etapas previas del Ciclo de Vida de la
GCN.
Datos de contacto (usualmente se dejan como anexos).
iStockphotos.com/lorrainedarke
Roles y Responsabilidades
Los roles del equipo y de individuos especficos deben estar
documentados; y cada rol debe tener identificado su suplente.
Las responsabilidades para el equipo o los individuos
nombrados, pueden incluir:
Lder del Equipo: es quien debe asegurar que el equipo de
respuesta est asignado adecuadamente y ser capaz de
realizar designaciones de ser necesario.
Comunicaciones internas: acordar el cronograma de
reanudacin con otros equipos de respuesta.
Comunicaciones externas: con grupos de inters y medios.
Operaciones.
Soporte tcnico.
Apoyo administrativo.
Personal de Registro (Logger): mantener el registro (bitcora)
de las decisiones a lo largo del incidente.
Sala de Reuniones
Para desastres de gran magnitud o para organizaciones muy
dispersas geogrficamente, puede ser apropiado utilizar el
concepto de un Equipo de Gestin de Incidentes virtual con
un Centro de Comando virtual; siempre y cuando pueda ser
garantizada las capacidades de telecomunicaciones y el acceso
compartido a la informacin crtica.
[73] GCN
[73]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Recursos
Se deben considerar los siguientes recursos:
Tableros y marcadores para escribir.
Telfonos, incluyendo al menos uno con lnea de salida
externa y un sistema de grabacin de llamadas.
Servicio de atencin / lnea de ayuda.
Comunicadores mviles, telfonos celulares, fax, correo
electrnico e internet.
Equipos de monitoreo de televisin y radio.
Papelera de oficina.
Un medio para el registro de todas las acciones.
Alimentacin / servicio de cafetera.
Instalaciones locales o cercanas para dormir.
Se puede mantener hardware e informacin, fuera de las
instalaciones, en el sitio alterno; en una caja fuerte denominada
caja de batalla, Piata (grab bag) o caja de recuperacin.
Situaciones a considerar:
Las necesidades especiales incluyen:
> Embarazo
> Discapacidad
> Responsabilidades familiares
Manejo de situaciones relacionadas con lesiones graves o
fallecimientos (en consulta con los servicios de emergencia y
de acuerdo con las regulaciones y costumbres locales).
iStockphotos.com/lorrainedarke
Comunicacin
Puede requerirse realizar comunicaciones con los siguientes
grupos:
Grupo de trabajo, parientes, amigos y contactos de
emergencia.
Clientes.
Proveedores.
Integrantes o sectores de la poblacin.
Accionistas, inversionistas, integrantes de la junta directiva o
propietarios.
Otros sectores de la organizacin.
Autoridades regulatorias.
Medios: peridicos nacionales y locales, radio, televisin,
internet y otros medios.
Las responsabilidades del equipo de respuesta para comunicarse
con cada uno de estos grupos deben estar acordadas de antemano
como parte del desarrollo de la estructura de respuesta al
incidente.
Medios
El plan de nivel estratgico debe indicar cmo la organizacin
gestionar las comunicaciones con los medios. Pero todos
los planes deben incluir una referencia al plan de medios y las
instrucciones al equipo de trabajo sobre lo que deben hacer en
caso de ser abordados por los medios. Los planes tambin deben
contener informacin sobre las acciones que debe realizar el
equipo de trabajo, si estn involucrados en un incidente que
probablemente atraiga la atencin de los medios y a quien deben
informar.
[75] GCN
[75]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Resultados y Revisin
El resultado de este proceso es un conjunto de planes
actualizados y efectivos que abarcan la respuesta estratgica,
tctica y operativa a los incidentes que pudieran causar
interrupciones importantes a las operaciones de la
organizacin.
El programa de la GCN debe identificar un rgimen de
mantenimiento y cualquier cambio que surja de ste, requiere
ser incorporado al proceso de planificacin para asegurar que
los planes y procedimientos se mantienen actualizados.
iStockphotos.com/lorrainedarke
Aseguramiento de Calidad
Planes Estratgicos
Introduccin
Aunque los principios bsicos y el enfoque para desarrollar los PCN
son similares en todos los casos, se necesitan diferentes grados
de nfasis para los diferentes niveles de planes. La necesidad de
involucrar a la Alta Direccin en el desarrollo e implementacin
de los PCN es esencial tanto para la respuesta inmediata exitosa
como para la Continuidad del Negocio en curso. Casos de estudio
de incidentes mayores sugieren que la rpida y eficaz gestin de
una crisis es el factor ms importante para proteger la marca de la
organizacin de los daos financieros y de la reputacin.
Algunos incidentes requerirn una respuesta de nivel estratgico
que no resulta de la interrupcin de las actividades (por ejemplo
aquellas amenazas que solo involucran a la reputacin) y por tanto
no involucran la respuesta completa del PCN. Sin embargo, cuando
se requiere la respuesta completa del PCN, existe la necesidad de
involucrar al equipo de nivel estratgico, aunque slo sea para que
tome conciencia de la situacin en caso de que se le escale.
Para organizaciones que no cuentan con planes en curso, el primer
elemento a desarrollar puede ser un plan de nivel estratgico,
que producir una cantidad limitada de proteccin mientras se
desarrollan otros planes. Los trminos utilizados
en estas guas para los diferentes tipos de planes no se aplican
universalmente, de manera que es importante que la organizacin
seleccione los nombres que se ajusten a su propia cultura y
estructura y que se incluyan los roles descritos.
Mtodos y Tcnicas
Se pueden utilizar plantillas para apoyar la implementacin de
los procedimientos estndar.
Contenidos
Como por naturaleza todas las crisis son diferentes, un plan de
nivel estratgico es un conjunto de recursos y componentes que
puede ser til para el equipo encargado de activar el plan y debe
incluir un elemento de comunicaciones.
El contenido tambin depender de la naturaleza y complejidad
de la organizacin, pero debe incluir muchos de los elementos
relacionados.
Responsabilidades
Los integrantes del equipo estratgico de respuesta son
los guardianes de la reputacin de la organizacin y tienen
la responsabilidad de ajustar la estrategia de recuperacin
de la organizacin si la reputacin se ve amenazada. Las
responsabilidades especficas del equipo de respuesta estratgica
incluyen:
Recursos
Los recursos especficos que se deben considerar para su uso por el
equipo estratgico, adicionales a los identificados al inicio de todos
los planes, incluyen:
Instalaciones dotadas para Tv/radio, para apoyar las entrevistas.
Lnea de comunicaciones y cmara para transmitir las
entrevistas y video conferencias directamente a las estaciones
difusoras.
Un lugar separado y cercano a las instalaciones para recibir a la
prensa.
[77] GCN
[77]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Resultados y Revisin
Los resultados del proceso de planeacin estratgica incluyen:
Un plan que apoya el rol de la Alta Direccin de la organizacin
durante una crisis.
Un plan para gestionar las comunicaciones con los medios y las
partes interesadas durante una crisis.
La demostracin de preparacin para una gestin efectiva con
los medios, el mercado, los clientes, las partes interesadas y los
entes reguladores.
Cumplimiento de los requerimientos estatutarios, regulatorios y
ticos.
Se debe realizar una revisin o auditora alineada con la revisin de
otras estrategias, planes y soluciones relacionadas con la GCN y la
Gestin de Incidentes.
La revisin del plan puede realizarse por cambios mayores en el
negocio, cambios en la Alta Direccin o cambios significativos en el
entorno operativo externo de la organizacin.
iStockphotos.com/lorrainedarke
Plan de Medios
Planes Tcticos
Introduction
Los planes de nivel tctico son la forma ms comn del PCN.
Renen la respuesta de la organizacin a la interrupcin de las
actividades del negocio, facilitando su reanudacin. Quienes
utilizan estos planes, deben estar capacitados para analizar la
informacin de los equipos de respuesta a los impactos provocados
por el incidente, seleccionar e implementar estrategias adecuadas
de los planes disponibles, dirigir la reanudacin de las reas de
negocio de acuerdo con las prioridades acordadas y aprobar la
entrega de informacin al equipo estratgico.
El contenido de un plan de nivel tctico vara de una organizacin
a otra y tiene diferentes niveles de detalle basado en la cultura
organizacional y en la complejidad tcnica de las soluciones. Rara
vez es posible documentar un plan tctico efectivo, a menos
que los elementos claves de la estrategia de recuperacin estn
disponibles o muy avanzados en su planificacin.
Mtodos y Tcnicas
El plan debe estar orientado a la accin rpida y fcil. No debe
incluir documentacin que no se necesaria durante un incidente.
Un plan de nivel tctico siempre contiene supuestos relacionados
con la escala del incidente (en trminos de extensin, duracin o
impacto al equipo de trabajo). Si la magnitud del incidente excede
los supuestos, entonces debe escalarse al equipo de respuesta
estratgica.
Contenido
Los planes tcticos deben contener suficiente informacin para
permitir la respuesta tctica de los equipos para continuar o
recuperar las actividades del negocio contempladas en el plan.
Deben incluir procedimientos detallados para los equipos, para:
Responder a la convocatoria.
Tomar decisiones.
Movilizar recursos.
Iniciar las actividades de recuperacin.
Recibir informacin de otros equipos.
Reportar el estado al equipo estratgico.
Para otros puntos que se puedan incluir en su totalidad, ver
seccin Formato y Contenido Pg 72.
Responsabilidades
Las responsabilidades especficas para los equipos tcticos de
recuperacin pueden incluir:
Coordinacin y monitoreo del nivel de recuperacin de las
operaciones.
Asignacin de los recursos disponibles a los equipos
operativos.
Cambio en las prioridades acordadas y en las estrategias de
recuperacin teniendo en cuenta los cambios estacionales,
las condiciones del negocio o las condiciones de la direccin a
nivel estratgico.
Coordinacin de las ms importantes funciones de Apoyo
(Tecnologa de la Informacin y las Comunicaciones,
Finanzas, Instalaciones y Recursos Humanos).
Recibir o buscar informacin de otros equipos de respuesta.
Reportar al equipo estratgico de respuesta.
Movilizar a los terceros proveedores de servicios de
salvamento y recuperacin.
Requerimiento de Recursos
Una lista de los recursos que deben estar disponibles, podra
incluir:
Personal.
Propiedades.
Instalaciones y proveedores.
Tecnologa, comunicaciones y datos.
Seguridad.
Proveedores.
Transporte y logstica.
Requerimientos de bienestar.
Pagos debidos a gastos de emergencia.
Informacin de contacto para el acceso a los recursos.
Requerimientos de recursos para la reanudacin de cada
actividad.
La informacin vital podra incluir:
Informacin de clientes.
Detalles de contactos.
Documentos legales: Contratos, plizas de seguros.
Acuerdos de Niveles de Servicio (ANS).
Resultados y Revisin
La revisin del proceso de planeacin tctica incluye:
Los planes de nivel tctico deben ser aprobados por la Alta
Direccin.
La estructura dentro de la cual puedan trabajar los planes.
Alguna informacin incluida dentro de los planes tcticos
debe revisarse en lnea con la poltica de la GCN. El resto de la
informacin debe revisarse anualmente de manera formal y
probarse mediante ejercicios.
Otros factores que conducen a revisiones, son:
Cambios significativos en la tecnologa y/o las
comunicaciones.
Cambios mayores en los procesos del negocio.
Cambios significativos en los grupos de trabajo.
Cambio de proveedores de las soluciones de la GCN.
Planes Operativos
Introduccin
Los planes tcticos se volvern rpidamente difciles de manejar
si todos los procedimientos de recuperacin estn incluidos en un
documento nico. Cuando ste
es el caso, los planes de respuesta y recuperacin de cada unidad
de negocio deben elaborarse en uno o ms planes operativos
separados que se convierten en la responsabilidad de la unidad de
negocio a la que se refieren.
Los planes operativos abarcan la respuesta al incidente para
cada departamento o unidad de negocio. Ejemplos de planes
operativos son:
Mtodos y Tcnicas
Los planes deben estar orientados a la rpida accin y por tanto
deben facilitar su rapidez en la implementacin. No deben incluir
documentacin que no se requiera durante un incidente.
Los pasos especficos del proceso de planificacin y desarrollo de
planes operativos incluyen:
Contenido
Los planes operativos especficos pueden incluir instrucciones sobre:
Instalaciones.
Bienestar del equipo de trabajo.
Reanudacin de las unidades de negocio.
Recuperacin de desastres de la Tecnologa de la Informacin.
Los anteriores planes pueden incluir procedimientos apropiados
e informacin como:
Planes de evacuacin de edificios y refugio seguro.
Planes para amenaza de bomba.
Resultados y Revisin
Los resultados del proceso de planificacin operativa incluyen:
Planes operativos documentados para todas las unidades de
negocio.
Criterios y procedimientos para el escalamiento de
problemas de cada unidad de negocio.
Roles de GCN claramente definidos dentro de las unidades
de negocio.
Los planes operativos deben ser revisados si existen cambios mayores
en los procesos de negocio o la tecnologa, cambios dentro de las
unidades de negocio y cuando se hacen cambios a los planes de nivel
tctico.
iStockphotos.com/lorrainedarke
06
Ejercitar, Mantener
y Revisar la GCN
Introduccin
Ejercitar, Mantener y Revisar la GCN es la prctica
profesional dentro del ciclo de Vida de la GCN que
busca asegurar el mejoramiento continuo, a travs
de acciones en curso y programadas. Las actividades
realizadas en esta seccin estn respaldadas por
la poltica de la GCN discutida en la prctica
profesional Numero 1.
Principios Generales
[83] GCN
[83]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
iStockphotos.com/lorrainedarke
Proceso
Discutir con la Alta Direccin cualquier aspecto identificado de
Mtodos y Tcnicas
Para ser exitoso, un Programa de Ejercicios debe iniciar de manera sencilla y escalarse gradualmente.
Tipo de Prueba
Proceso
Participantes
Frecuencia
Complejidad
De Escritorio
Verificar la estructura y el
contenido del plan
Alta
Baja
Guiada
(Walk Through)
Simulacin
Facilitador
Usuarios del plan
Otros requeridos como los
observadores
Prueba Unitaria
Ensayo Unitario
Practicar un procedimiento de
recuperacin o la recuperacin de
un componente tecnolgico
siguiendo un guin
Prueba de
extremo
a extremo
Ensayo total
Practicar la recuperacin de un
rea completa de la organizacin
(un proceso de negocio, producto o
servicio o tecnologas
interconectadas siguiendo un
guin.
Baja
Alta
Frecuencia
La frecuencia de un programa de ejercicios de la GCN
depende de la naturaleza, magnitud y complejidad de la
organizacin. Cada integrante de la organizacin involucrado
en la infraestructura de respuesta al incidente, debe estar
involucrado en un ejercicio, por lo menos una vez cada 12
meses. Otros eventos que pueden requerir la programacin de
un ejercicio, incluyen:
Un cambio significativo en los procesos, el grupo de trabajo o
la tecnologa.
Un cambio mayor en el ambiente externo del negocio
Costo
Completos
Alto Riesgo
Ensayos y Ejercicios
Grandes
Ensayos y Ejercicios
Medianos
Ensayos y Ejercicios
Pequeos
Simulacin
Prueba Guiada
Prueba de Escritorio
Bajo Riesgo
Complejidad
Introduccin
Ejercitar es una palabra genrica utilizada aqu para describir el
ejercicio de Planesde Continuidad del Negocio PCN; ensayos de los
integrantes de los equipos (de continuidad) y del equipo de trabajo; y
pruebas de tecnologa y de procedimientos.
Existen tres trminos de uso general:
1 Prueba de escritorio: Tericamente consiste en probar la
capacidad sin adoptar ninguna accin fsica real. Un ejemplo
es un caso basado en un escenario, en el que se examinan las
habilidades para la toma de decisiones durante un incidente.
2 Ensayo / Simulacro: Consiste en practicar una serie de
procedimientos o tecnologas que requieren acciones fsicas.
Esto se logra mediante el seguimiento de un guion para impartir
conocimiento y familiarizacin. Un ejemplo es un simulacro de
incendio.
3 Prueba: Consiste en una validacin para ver si funciona un
procedimiento o tecnologa, donde el resultado puede ser
exitoso o fallido (para el procedimiento o tecnologa; no para
individuos). Generalmente se utiliza cuando el procedimiento o
tecnologa est siendo evaluado, a menudo, contra una ventana
de tiempo objetivo. Un ejemplo es la recuperacin de un servidor
a partir de cintas de respaldo dentro de un nmero de horas
determinado.
Independientemente del trmino utilizado, es importante demostrar
que un ejercicio es una oportunidad para medir la calidad de la
planificacin, la competencia de los individuos y la eficacia de la
capacidad; en lugar de una simple evaluacin de exitoso o fallido.
Una actitud positiva hacia el ejercicio de la GCN hace el proceso
ms aceptable y permite que las fortalezas sean reconocidas y que
las debilidades sean vistas como oportunidades de mejora ms que
como crticas.
Conceptos y Supuestos
Con el fin de que cualquier prueba sea til, debe cumplir con los
siguientes criterios: Rigurosidad, realismo y exposicin mnima.
Estos tres criterios suelen tener requerimientos contradictorios
y pueden requerir que se llegue a un acuerdo entre ellos.
Rigurosidad
El ejercicio debe sentirse tan real como sea posible. Las pruebas
deben ser llevadas a cabo utilizando los mismos procedimientos
y mtodos que seran usados en eventos reales. Esto es lo
ideal, pero puede que no sea posible ejecutar ciertas pruebas
sin alteraciones a los procedimientos en vivo. Esto aplica
especialmente a las pruebas tcnicas.
Realismo
La utilidad de una prueba se reduce por la seleccin de un
escenario no realista. El establecimiento de un escenario de
negocios realista ayuda para asegurar que los participantes se
involucren plenamente en el caso, y que finalmente obtengan
ms de ste. La seleccin de un escenario ms realista tambin
ayudar a demostrar la viabilidad de los planes. Es esencial que el
facilitador del ejercicio trabaje con hechos reales para asegurar
que los participantes obtengan el mximo provecho del ejercicio,
a travs del realismo del escenario y el material de apoyo.
Propsito
Exposicin Mnima
iStockphotos.com/lorrainedarke
Externalizacin
Cuando la entrega de un producto o servicio ha sido
externalizada, la responsabilidad por los ejercicios permanece
en la organizacin original. La organizacin debe asegurar, a
travs de los ejercicios, que el tercero es capaz de cumplir con
sus obligaciones. Otros proveedores de materiales crticos
de las actividades identificadas en el Anlisis de Impacto en el
negocio (AIN)) se les debe solicitar que demuestren su capacidad
de recuperacin en su propio negocio y ms concretamente, en
relacin con el servicio que proporcionan a la organizacin. Los
ejercicios de las actividades externalizadas deben asegurarse
a travs de Acuerdos de Niveles de Servicio (ANS). Se debe
tener cuidado de revisar las implicaciones en la continuidad de
cualquier clusula de fuerza mayor en los contratos con los
proveedores.
Proceso
PruebaTcnica
Acordar con los gestores apropiados de la organizacin y con los proveedores de logstica y
servicios requeridos para facilitar que el ejercicio se lleve a cabo.
Preparar un escenario adecuado, realista y detallado, que incluya aspectos como fecha, hora,
carga de trabajo actual, condiciones polticas y econmicas y las aspectos de temporalidad /
estacionalidad.
Asegurar que los participantes requeridos estn disponibles.
Elaborar un Anlisis de Riesgos del ejercicio para minimizar el riesgo de un impacto sobre las
operaciones reales.
Preparar cuaestionarios breves para los observadores para su utilizacin durante el ejercicio,
para capturar las lecciones aprendidas.
Hacer ejercicios previos y entregar informacin breve a los participantes.
Utilizar los resultados del interrogatorio para elaborar el Informe y las recomendaciones postejercicio. Preparar un informe libre de problemas durante e inmediatamente realizada la prueba.
Distribuir informes a los participantes y la Alta Direccin.
Crear un plan de accin para implementar las recomendaciones del informe post ejercicio
Mtodos y Tcnicas
Los participantes involucrados en los ejercicios de escritorio o
escenarios de ejercicios pueden incluir:
Facilitador(es).
Observador(es).
Proveedores de recursos tcnicos y servicios especializados.
Representantes de seguros.
Servicios de emergencia.
Seguridad.
Funcionarios de las autoridades locales de emergencia.
Comunicaciones y relaciones pblicas.
Expertos en la materia.
Proveedores de productos/servicios del negocio.
Proveedores de servicios externalizados.
Resultados y Revisin
Los resultados de ejercitar los procesos de la GCN incluyen:
Validacin que son efectivas las estrategias de continuidad del
Negocio.
Confirmar que los integrantes del equipo y el grupo de
trabajo estn familiarizados con sus roles, funciones,
responsabilidades y autoridad en la respuesta al incidente.
Validar los aspectos tcnicos, logsticos y administrativos de
los Planes de Continuidad del Negocio.
Confirmacin de la infraestructura de recuperacin (centro
de comando, reas de trabajo, recursos de recuperacin de la
tecnologa y las comunicaciones, etc.).
Conformacin de la disponibilidad del equipo de trabajo y los
procesos para su reubicacin.
Documentacin de los resultados del ejercicio en un reporte
post ejercicio para la Alta Direccin, auditores, aseguradores,
reguladores y otros interesados.
Documentacin y solucin de los problemas surgidos durante
el ejercicio.
Mayor conocimiento de los procedimientos de emergencia.
Mayor conocimiento del significado de la GCN.
Oportunidad de identificar deficiencias y mejoras en el
Sistema de Gestin de la Continuidad del Negocio SGCN.
Proceso
Se debe establecer un proceso formal para el Mantenimiento de
la Continuidad del Negocio para asegurar que todos los grupos
de inters tienen y conocen las partes relevantes y actualizadas
del PCN.
El proceso debe incluir un mecanismo para marcar y revisar los
cambios internos para:
Los procesos del Negocio.
La Tecnologa.
El equipo de trabajo.
Los productos y servicios.
El entorno legal o regulatorio.
Esta revisin puede ser originada por el proceso de gestor de
cambios resaltando el cambio, a travs de un plan de accin
por los puntos de aprendizaje posteriores al ejercicio o por los
informes de auditora.
Otras actividades en este proceso incluyen:
Revisar y cuestionar los supuestos hechos en el Anlisis de
Impacto en el negocio AIN sobre el entorno en el que opera la
organizacin.
Determinar si los objetivos de tiempo han cambiado desde la
ltima revisin.
Revisar la idoneidad y disponibilidad de los servicios externos
que se pueden requerir como la restauracin de activos, sitios
de recuperacin y subcontratos.
Revisar los preparativos de los Planes de Continuidad del Negocio
de los proveedores de componentes crticos frente al tiempo.
Proporcionar formacin apropiada, capacitacin y/o
comunicacin cuando sea aplicable.
Analizar si los cambios y modificaciones generan necesidades
de formacin, capacitacin y/o comunicacin.
Distribuir la poltica, estrategias, soluciones, procesos y planes
de la GCN actualizados a los principales interesados bajo el
proceso formal de control de cambios (versiones)
Mtodos y Tcnicas
Cada propietario es responsable de la actualizacin de sus
planes y de los datos dinmicos como: nmeros de contacto del
equipo de trabajo en horarios no laborales, tareas del equipo,
notificacin y detalles de contacto con proveedores as como el
contenido de la caja de seguridad para continuidad The Battle
Box.
Las secciones de los planes se actualizan en frecuencias que
van desde mensual hasta anualmente de acuerdo con la
programacin definida en la seccin de mantenimiento de los
BCP. Los meses apropiados para la actualizacin tambin se
especifican en la seccin de mantenimiento de los BCP.
La fecha de la ltima actualizacin debe estar claramente
mostrada al inicio de cada plan para proporcionar una auditoria
efectiva.
Resultados y Revisin
Los resultados del desarrollo del programa de Mantenimiento
del Programa de la GCN, incluyen:
El programa de mantenimiento de la GCN documentado y
monitoreado.
El reporte claramente definido y documentado (que incluya
recomendaciones) aprobado por la Alta Direccin.
El Plan de Accin de Mantenimiento claramente definido y
documentado (que incluya recomendaciones) aprobado por
la Alta Direccin.
Estrategias, soluciones y Planes de Continuidad del Negocio
efectivos y actualizados.
La frecuencia del Programa de Mantenimiento de la GCN
depende de la naturaleza, escala y ritmo de los cambios del
negocio. El mantenimiento probablemente se requiera:
Cuando existen cambios mayores en los procesos del
negocio.
Despus de un ejercicio o prueba.
Despus de las recomendaciones de mejoramiento por parte
de la auditoria.
De acuerdo con la programacin definida en el Plan de
Mantenimiento de la GCN.
Despus de una activacin real del plan, cuando se
incorporan las lecciones aprendidas
Conceptos y Supuestos
Este enfoque de auditora supone que si el proceso se ejecuta
de manera correcta y apropiada, el resultado debe proporcionar
evidencia de la capacidad y competencia de la GCN. Se asume
tambin que existe una serie de normas disponibles que
proporcionan la estructura adecuada para la auditora. Estas
incluyen:
Estndares Nacionales como la BS25999-1 cdigo de prctica
y la BS25999-2 especificacin; El Estndar de Singapore SS540,
el Estndar Americano NFPA 1600 y los estndares que estn
por salir a partir de los estndares de Australia y de la Sociedad
Americana para la Seguridad Industrial (American Society for
Industrial Security ASIS).
Requerimientos regulatorios de las autoridades reguladoras
financieras locales, muchas de las cuales por su naturaleza son
de carcter internacional y se basan en principios de alto nivel
para la Gestin de la Continuidad del Negocio GCN, tratados en
el foro del Acuerdo de Basilea para la supervisin de la banca.
Requerimientos legislativos como el Protocolo para
Contingencias Civiles del Reino Unido (2004).
Guas de Buenas Prcticas para la industria (como las BCI
GPG 2010) u otras especificas para el sector al que pertenece
la organizacin.
Estndares relacionados con la Industria como la ISO/IEC
27001 (Seguridad de la Informacin) y la BS25777:2008
(Gestin de la Continuidad de la Tecnologa de la Informacin
y las Telecomunicaciones).
Se est desarrollando una norma internacional de
certificacin para la Continuidad Operacional por parte de la
ISO bajo el cdigo de referencia ISO22301 con soporte en el
cdigo de prctica ISO22399 (tambin en desarrollo)
Proceso
La auditoria de la GCN es un proceso complejo y requiere
su interaccin con un amplio rango de roles operativos y de
gestin desde la perspectiva tcnica y del negocio.
El proceso de auditora de la GCN incluye:
Desarrollo del Plan de Auditoria de la GCN. Que debe incluir:
> Identificar el tipo de auditora a realizar. Por ejemplo:
cumplimiento, gestin/control de proyectos, estudio de
factibilidad, debida diligencia o investigacin
[91] GCN
[91]
GCN Gua
Gua de
de Buenas
Buenas Prcticas
Prcticas 2010
2010 || EDICIN
EDICIN GLOBAL
GLOBAL
Mtodos y Tcnicas
Los mtodos utilizados por la auditora deben estar
determinados por quienes realizan la auditoria y cumplir con
las polticas internas de la organizacin.
La auto-evaluacin o Monitoreo del Desempeo realizados
dentro del programa de la GCN puede utilizar indicadores de
desempeo como:
Nmero de meses desde el ltimo ejercicio.
Nmero de casos pendientes de solucin desde el ltimo
ejercicio.
Integridad de la documentacin del plan de la GCN.
Nmero de meses desde el ltimo AIN.
Resultados y Revisin
Los resultados del proceso de auditora de la GCN incluyen:
El reporte independiente de la auditoria acordado y aprobado
por la Alta Direccin.
El plan de accin con medidas correctivas acordado y
aprobado por la Alta Direccin.
El resultado de una calificacin desfavorable del desempeo
ser:
> La aceptacin por parte de la alta direccin de los planes
de la GCN como inadecuados.
> La iniciacin de la revisin de la GCN realizada por
un profesional en GCN para apoyar al equipo en el
mejoramiento de su posicin.
El resultado del proceso de auto-evaluacin puede ser:
Mejoramiento en la gestin del programa de la GCN.
La poltica relacionada a la frecuencia de las auditoras debe
estar claramente definida y documentada en la Poltica y las
Normas de Auditora de la organizacin.
Informacin de Apoyo
La informacin contenida en las pginas
siguientes proporciona asesora y orientacin
ms detallada sobre varios aspectos relativos
a la GCN pero no constituye parte de las
Prcticas Profesionales para efectos de la
certificacin para la membreca del BCI
Informacin de Apoyo
ANEXO 1
Consejos para la seleccin
adecuada de Opciones Tcticas de
Recuperacin
Personal
Como un antecedente para identificar y seleccionar las
opciones tcticas para el personal empleado dentro de la
organizacin, se incluye identificar las habilidades claves
y el conocimiento requerido. Esto puede hacerse ms
efectivamente durante la etapa del Entendimiento de
la organizacin a lo largo del proceso de recopilacin de
informacin en la gestin de la continuidad del negocio.
Las opciones tcticas para la prdida o ausencia de personal en
la organizacin incluyen:
Identificar y documentar en detalle al personal que cuenta
con las habilidades y conocimientos clave.
Capacitar personal para que adquiera conocimiento y
habilidades adicionales.
Documentar los procesos claves que permitan al personal
asumir responsabilidades con las que no se sientan
familiarizados.
Mantener un listado de aquellos ex-empleados con
habilidades y conocimientos, para que puedan ser llamados
si la situacin as lo requiere.
Utilizar personal de los contratistas con habilidades y
conocimiento relevantes. (puede ser a travs de acuerdos
contractuales o manteniendo una lista actualizada de
contratistas que cumplan con los requerimientos).
Separar geogrficamente a los individuos o grupos con
habilidades y conocimiento clave.
Tercerizar una parte del trabajo que requiera habilidades
y conocimiento clave a los contratistas que tengan la
capacidad de tomar control del trabajo en un periodo de
tiempo corto una vez hayan sido notificados
Instalaciones
Informacin de Apoyo
Recursos
Informacin de Apoyo
Informacin de Apoyo
Informacin de Apoyo
Informacin de Apoyo
Informacin de Apoyo
ANEXO 2
Consejos para la Seleccin
de Medidas Alternas para la
Mitigacin de Riesgos
Para los productos y servicios que se considera estn por fuera
del alcance del sistema de gestin de la Continuidad del Negocio,
o el riesgo para el negocio de su prdida o no disponibilidad no es
mitigable mediante la utilizacin del modelo del Ciclo de Vida de
la GCN y debe gestionarse por medios alternativos. Las opciones
disponibles para la Alta Direccin, son:
Aceptacin: Aceptar que se est en riesgo de interrupcin.
Transferencia: Transferir a terceros el riesgo de interrupcin.
Cambio, suspensin o terminacin del producto o servicio
Aceptacin
Si se considera muy alto el costo de la GCN completo o
el riesgo es considerado menor (debido a la interrupcin
probablemente se cree tener un menor impacto) luego el riesgo
debe ser aceptado.
En este caso la organizacin debe optar por no hacer nada, o
poner en marcha algunas medidas que puedan contrarrestar el
riesgo. Dentro de estas medidas se incluyen:
Capacidad para la gestin de incidentes.
Medidas de proteccin contra amenazas que tengan alta
probabilidad, tal como un incendio.
Enfocarse hacia el fortalecimiento: Para sitios con nico
proceso de manufactura o cuando las instalaciones son
nicas, la estrategia de reubicacin no es posible de aplicar.
En estos casos todos los esfuerzos deben ser enfocados en
la minimizacin de amenazas especficas. Si ocurre lo peor,
la nica salida que tiene la organizacin ser permitir su
restablecimiento aunque tome mucho tiempo
La aceptacin del riesgo y la determinacin del apetito de riesgo
de la organizacin estn sujetas a que no es posible determinar
cientficamente un valor para un riesgo operativo, por lo que
una organizacin no puede medir con precisin su apetito
al riesgo de manera terica. Si una organizacin tiene como
objetivo protegerse contra amenazas especficas percibidas,
entonces el costo total de las medidas puede exceder el costo
de la estrategia de la Continuidad del Negocio.
Transferencia
El riesgo puede ser transferible a terceros quienes tambin
pueden estar ms capacitados para gestionarlo.
Estas medidas incluyen:
Externalizacin: Cada vez ms organizaciones estn
tercerizando sus procesos y actividades crticas en busca
de la creacin de organizaciones virtuales. La transferencia
del riesgo est asociada muchas veces a la externalizacin.
Es importante recordar que el riesgo de la reputacin de la
organizacin y la imagen de la marca no puede trasladarse;
el riesgo es siempre responsabilidad de la organizacin
misma y esta responsabilidad no puede caer en los
contratistas o en los proveedores.
Descentralizacin: Utilizar los recursos propios de la
organizacin o proveedores externalizados alejados de
los centros de negocios que introducen complicaciones
adicionales de seguridad, riesgos ambientales y polticos
que pueden atraer la atencin e inters de los clientes y
reguladores.
Seguros: La transferencia de algunos costos causados por
un incidente deben ser asegurados. Sin embargo, en caso de
un incidente la cobertura que brinda el seguro se representa
en dinero que puede ser utilizado por la organizacin
perjudicada, pero en este caso, sta no es una solucin por
s sola
La organizacin puede sufrir daos en su infraestructura o su
reputacin o estar sujeta a sanciones como resultado de fallas
de la compaa a la cual ha sido tercer izada.
Cambio, suspensin y terminacin
Cambiar algunos procesos puede brindar tantas oportunidades
de continuidad dentro de la organizacin como el cliente quiera.
Sin embargo la entrega se hace de otra forma, usualmente
tercerizando toda o parte de la operacin. Por ejemplo una
industria manufacturera puede convertirse en distribuidora
importando o vendiendo productos bajo su propia marca.
Interrumpir o vender partes del negocio puede ser apropiado
cuando el negocio restante sea viable y pueda crear espacio
para recuperacin o si un producto o servicio est llegando al
final de su vida til. Esta tambin es una estrategia adecuada
en casos donde una organizacin no est dispuesta a aprobar
un presupuesto para la recuperacin de la capacidad de una
filial. Existen riegos con la aplicacin de esta estrategia, si
la reputacin del negocio restante es opacada por la parte
suspendida.
Si estas opciones no estn de acuerdo con el cliente, la
organizacin se enfrenta a posibles litigios que afectan su
reputacin en caso de que la entrega despus del incidente no
cumpla con las expectativas del cliente.
iStockphotos.com/lorrainedarke