Buenas Practicas Continuidad Negocio 2007 Bci

La Asociación Española para el Fomento de la Seguridad de la Información ISMS Forum Spain quiere agradecer públicamente al BCI (Business Continuity Institute), y a su presidenta y representante en España, Dª Joanne Gagnon, por haber cortésmente cedido los derechos de traducción y edición en castellano de la presente Obra a ISMS Forum Spain. Más información acerca del BCI se puede consultar a través de su página oficial www.thebci.org La traducción y edición de este Manual en castellano no habría sido posible sin el patrocinio de Hewlett-Packard Española, cuyo director de la Práctica de Seguridad y Continuidad de Negocio, D. Luis J. Buezo, CISSP, socio cofundador de ISMS Forum Spain, ha apoyado todas las actividades desarrolladas por la Asociación Española para el Fomento de la Seguridad de la Información desde su fundación, lo cual queremos agradecer expresamente.

MANUAL DE BUENAS PRÁCTICAS 2007

Agradecimientos

ISMS Forum Spain quiere agradecer asimismo a D. César Peñacoba, SBCI, Gerente del Área de Gobierno de la Seguridad de Hewlett-Packard, su valiosa contribución como revisor y editor técnico especializado del texto traducido al castellano de esta Obra.

3

MANUAL DE BUENAS PRÁCTICAS 2007

Fo r u m S p a i n

ASOCIACIÓN ESPAÑOLA PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN

La Asociación Española para el Fomento de la Seguridad de la Información ISMS Forum Spain es una asociación sin ánimo de lucro, creada en enero de 2007, para el Fomento de la Seguridad de la Información en España. Además, ISMS Forum Spain es el Capítulo Español de ISMS International User Group (IUG), organización que promueve el conocimiento e implementación de los Sistemas de Gestión de la Seguridad de la Información en todo el mundo, de acuerdo con los estándares ISO 27000. La finalidad de ISMS Forum Spain es promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Se constituye como foro especializado de debate para que todas las empresas; organismos públicos y privados; investigadores y profesionales colaboren, intercambien experiencias y conozcan los últimos avances y desarrollos en el ámbito de los SGSI. Todo ello desde la transparencia, la objetividad y la neutralidad. ISMS Forum Spain nace respaldada por algunas de las más representativas empresas y organizaciones comprometidas con la seguridad de la información. Los socios fundadores ejercen su labor en muy diversos ámbitos que van desde la enseñanza superior y la I+D hasta la Consultoría, pasando por los sectores de Banca, Certificación, Seguros, Construcción, Servicios Jurídicos o Telecomunicaciones. No obstante, la asociación se ha creado con una vocación plural y abierta; que quiere representar a todos los sectores implicados. Por ello invita a todos los profesionales, empresas e instituciones involucrados en la gestión de la seguridad de la información a asociarse. En su primer año de actividad, ISMS Forum Spain tiene ya a sesenta y cinco empresas asociadas y cuenta con más de 400 profesionales miembros, ya sea a través de sus empresas o por iniciativa individual. La Asociación para el Fomento de la Seguridad de la Información es ya, por tanto, la mayor red activa española de expertos en SGSI. Entre los principales objetivos de ISMS Forum Spain destacan: - Dar visibilidad a un sector estratégico para el desarrollo económico, como es la Seguridad de la Información, y difundir el talento de los profesionales que trabajan en él. - Situar a las empresas y organizaciones españolas a la vanguardia de conocimientos e implementación de SGSI. - Ser interlocutores en España de las diversas asociaciones y foros internacionales y cooperar con instituciones públicas y privadas, nacionales e internacionales, para impulsar la cultura de la Gestión de la Seguridad de la Información.

www.ismsforum.es ISMS Forum Spain, Asociación Española para el Fomento de la Seguridad de la Información Federico Salmón, 13. 28016 Madrid. Teléfono +34 91 343 76 10 // Fax +34 91 343 78 78 // [email protected] Inscrita en el Registro Nacional de Asociaciones Grupo I, Sección I, Número Nacional 588718

4

Como primera materialización práctica de este convenio de colaboración, ISMS Forum Spain ha traducido y editado por primera vez en castellano el Manual de Buenas Prácticas del Business Continuity Institute (BCI). El manual ya se había traducido al alemán y al italiano, y nos parecía importante gestionar esta versión en castellano, sin duda una de las lenguas más utilizadas en el ámbito mundial. Estamos convencidos de que esta completa y actualizada guía para instaurar Buenas Prácticas Globales en Gestión de Continuidad de Negocio será de gran utilidad para todos nuestros asociados, a quienes daremos acceso restringido durante un periodo inicial de tres meses. Pero también lo será para todos aquéllos profesionales del área de Continuidad de Negocio que trabajan en los numerosos países de habla hispana, para quienes la haremos accesible pasado este plazo inicial.

MANUAL DE BUENAS PRÁCTICAS 2007

El pasado mes de julio ISMS Forum Spain y el capítulo español de The Business Continuity Institute, BCI Spain, llegaron a un acuerdo que prevé una estrecha colaboración entre ambas instituciones, cuyos objetivos y metas son claramente afines y podrían resumirse, aunque de una forma muy simplificada, en la promoción y difusión de los distintos aspectos de la Seguridad de la Información y la Continuidad de Negocio.

El gran valor añadido del Manual de Buenas Prácticas es que se inspira en la experiencia real y contrastada de los propios miembros del BCI, expertos que practican la Gestión de Continuidad de Negocio en su quehacer profesional diario. Si algo promueve ISMS Forum Spain es precisamente el intercambio de experiencias y conocimientos entre los especialistas del sector; y sin duda esta obra es un claro ejemplo del traspaso de conocimientos y know-how que los profesionales de la Continuidad de Negocio ponen a disposición de la comunidad global, de forma que todo tipo de organizaciones, independientemente de su tamaño, sector o ubicación, podrán aprender y aplicar sus directrices. Con esta entrega editorial ISMS Forum Spain continúa con una de las líneas de trabajo que considera de mayor utilidad para todos sus asociados: la publicación de informes y manuales que constituyan herramientas prácticas y actualizadas de trabajo para los profesionales y contribuyan así, de manera directa, a impulsar el conocimiento y la implementación de los Sistemas de Gestión de la Seguridad de la Información en nuestro país.

Gianluca D'Antonio Presidente de ISMS Forum Spain Noviembre de 2007

5

ACERCA DE ESTA GUÍA

ACERCA DE ESTA GUÍA Introducción El Business Continuity Institute (BCI) publicó su primer Manual de Buenas Prácticas en 2002. Esto tuvo una influencia significativa en el desarrollo del Publicly Available Specification for Business Continuity Management (Especificaciones Públicamente Disponibles para la Gestión de Continuidad de Negocio, PAS 56) de la British Standards Institution (BSI). En 2005 se publicó una nueva edición del Manual de Buenas Prácticas con importantes modificaciones que reflejaban los conceptos más recientes en Gestión de Continuidad de Negocio (GCN) en el mundo y que destacaban la creciente madurez en la práctica de GCN en todos los sectores, tanto en las empresas públicas como en las privadas. Esta guía para la puesta en práctica de la GCN se ha elaborado para apoyar el lanzamiento del BS 25999-1 A Code of Practice for Business Continuity Management (Código de Buenas Prácticas para la Gestión de Continuidad de Negocio) de la British Standards Institution. Puede considerarse una guía para la puesta en práctica de BS25999, además de un texto definitivo para aquellos que deseen entender los principios y prácticas de la GCN de una forma más integral. Existe una relación cercana entre la estructura de este Manual y el BS 25999-1 porque la guía del BCI siempre ha sido un componente clave para las iniciativas de la BSI en lo que se refiere a la Gestión de Continuidad de Negocio. Está prevista una nueva revisión del Manual en cuanto se publique el BS 25999-2 debido a que este estándar definirá el marco de gestión y los elementos que serán de cumplimiento obligatorio. No obstante, en su calidad de instituto global, el BCI tiene que reflejar las buenas prácticas en todo el mundo. El BS25999 ofrece una visión integral acerca del tema, pero existen otros estándares en vigor que muchos de los profesionales que son miembros del BCI necesitan entender. Por ello, la edición 2007 del Manual también está diseñada para tener en cuenta los requisitos de NFPA1600 (Estados Unidos y Canadá) HB221 (Australia), APS 232 (Australia) y FSA (Reino Unido). A pesar de ello, en ningún caso debe considerarse que este Manual reemplaza aquellos estándares o garantiza su cumplimiento. Objetivo Este documento pretende ofrecer una visión general y una guía acerca de las buenas prácticas en lo que se refiere al ciclo de vida de la Gestión de Continuidad de Negocio (GCN), desde el reconocimiento inicial de la necesidad de desarrollar el programa, hasta el mantenimiento constante de un proceso maduro de Continuidad de Negocio. Se pretende que los organismos que marcan los estándares definan los requerimientos de un programa de GCN. En aquellos casos en el que el Código de Prácticas requiera un proceso, este Manual ofrece más detalles acerca de cómo abordar ese proceso. No obstante, al tratarse de una guía de procedimientos, en algunos casos el Manual identifica pasos adicionales que son necesarios realizar para cumplir con los requisitos de cualquier estándar. Audiencia El Manual de Buenas Prácticas se inspira en las experiencias académicas, técnicas y empíricas de los miembros del Business Continuity Institute – es decir, personas que practican la GCN y que han desarrollado y dado forma a las directrices en el mundo real. Los principios de estas directrices son aplicables a todas las organizaciones sin importar el tamaño, sector y ubicación - tanto para las que cuentan con una sola sede como las que tienen presencia global. Por lo tanto se pretende que estas normas sean utilizadas por aquellos que practican la GCN, gestores de riesgo, auditores y legisladores con conocimiento práctico de los principios de GCN. No es una guía para debutantes. Aquellos que se inicien a la disciplina deberían trabajar en colaboración de alguien ya experimentado en las prácticas o asistir a los programas de formación que existen acerca del tema.

6

Ian Charters (FBCI) es el principal autor del Manual de Buenas Prácticas del BCI John Robinson (FBCI) aportó información adicional acerca de los estándares globales e indicadores clave de la GCN Lyndon Bird (FBCI) revisó y editó el Manual Este Manual está basado en la edición del mismo de 2005, al que contribuyeron las personas que aparecen en la lista siguiente. Anne Wright (MBCI) Ian Griffiths (MBCI) Richard Ecclestone (SBCI) Martin Lippiett (MBCI) James Coates (MBCI) Michael Bland (MBCI) Jim Barrow (MBCI) Julia Graham (FBCI) Michael Bews (MBCI) Jane Naylor Andy Tomkinson (MBCI) Jo Welland Jeanette O'Neil (MBCI)

ACERCA DE ESTA GUÍA

Agradecimientos

Howard Booth (MBCI) Helen Sweet (ABCI) John Worthington (MBCI) Mel Gosling (MBCI) Mark Mahoney (MBCI) David Bennett (MBCI) Elaine Weston (MBCI) Colin Ive (MBCI) Adrian Jolly Richard Bridgeford (MBCI) Angela Hobley (MBCI) Nathan Bird (MBCI) Ian Charters (FBCI)

Business Continuity Institute agradece el tiempo y la asesoría ofrecida de forma voluntaria por todas las personas arriba mencionadas para el desarrollo del Manual de Buenas Prácticas en beneficio del BCI y el sector dedicado a Gestión de Continuidad de Negocio. Los que han contribuido al Manual han donado de forma gratuita sus derechos de autor y propiedad intelectual al Business Continuity Institute para que el instituto pueda garantizar que las directrices se mantengan actualizadas y completas.

7

ESTRUCTURA DE ESTA GUÍA

Estructura de esta guía La guía está dividida en seis capítulos, que se corresponden con las versiones anteriores y también con la nomenclatura BS25999. El capítulo 1 ofrece información preliminar además de Política y Gestión de Programa de GCN El cápítulo 2 es: Comprender la organización El cápítulo 3 es: Determinar la estrategia de GCN El cápítulo 4 es: Desarrollar y poner en práctica la respuesta de GCN El cápítulo 5 es: Probar, mantener y revisar los preparativos de GCN El cápítulo 6 es: Incorporar la GCN en la cultura de la organización Al final de cada capítulo se encuentra un resumen de los “Indicadores clave de GCN” que servirán de base para el uso futuro de la herramienta para establecer criterios de referencia del BCI, la plataforma educativa electrónica del BCI y los exámenes de admisión del BCI. Estos indicadores son recomendaciones que generalmente aparecen en la mayoría de los estándares relacionados con la GCN y con los que este Manual se adecua de forma total o parcial. Habilidades profesionales para la GCN Para aquellas personas que quieran convertirse en miembros profesionales del BCI, existen 10 áreas de competencia que han sido definidas de forma conjunta por el BCI y el Disaster Recovery Institute International (DRII). Como apéndice al Capítulo 6, se ofrece un mapa de habilidades que muestra la relación de habilidades/competencias para los requisitos de conocimientos del GPG.

8

ÍNDICE 10

Capítulo 5 – Probar, mantener y revisar los preparativos de GCN CONTENIDO COMPONENTES DE LA ETAPA 5 Probar, mantener y revisar los preparativos de GCN – Principios generales Programa de Pruebas Probar los preparativos de GCN Mantener los preparativos de GCN Revisar los preparativos de GCN INDICADORES CLAVE DE GCN

87 88 89 91 94 96 99

Capítulo 6 – Incorporar la GCN en la cultura de la organización CONTENIDO COMPONENTES DE LA ETAPA 6 Incorporar la GCN en la cultura de la organización - Principios generales Evaluar el nivel de concienciación y formación en GCN Desarrollar la GCN dentro de la cultura de la organización Supervisar el cambio cultural Apéndice – Mapa de habilidades profesionales INDICADORES CLAVE DE GCN

102 103 104 107 110 112 114

123456

En defensa de la Gestión de Continuidad de Negocio “No nos pasará”, “Aguantaremos, como siempre lo hemos hecho”, “Somos demasiado grandes para fracasar” y “No somos un objetivo para los terroristas” son algunas de las respuestas más frecuentes que dan las empresas cuando se les cuestiona acerca de su falta de preparación. Otros creen que las empresas de seguros van a pagar por todo. La mayoría piensa que no dispone de tiempo para prepararse para algo que nunca sucederá. El gran número de negocios que se han hundido después de sufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas. Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicación, el 90% de las incidencias que ponen en riesgo el negocio son "catástrofes silenciosas" que no figuran en los medios pero que pueden tener un efecto devastador para el buen funcionamiento de una organización. Muchas de las causas son ajenas al control de la organización y suelen estar a merced de los servicios de emergencias o de proveedores que marcan los plazos de la interrupción. A la hora de gestionar cualquier acontecimiento, el éxito se mide tanto por la respuesta técnica dada como por la competencia de su equipo gestor. Una investigación efectuada por Rory Knight y Deborah Pretty, de la firma Oxford Metrica, indica que las organizaciones que se ven afectadas por catástrofes se dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuando una organización ha lidiado una crisis con éxito el valor de sus acciones ha crecido en el largo plazo, mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio de sus títulos y, pasado un año, seguían sin recuperarse. Investigaciones más recientes demuestran que aquellas organizaciones que destinan un mayor presupuesto a control de riesgos, GCN y buen gobierno son las empresas más rentables en su sector, lo que indica que la GCN es una inversión, no un coste. Un elemento clave para el éxito de los programas de GCN es que las distintas responsabilidades se asuman a los niveles apropiados de la organización. En estas empresas las implicaciones de la GCN se evalúan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del proceso de control del cambio.

cap

¿Qué es la Gestión de Continuidad de Negocio? La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y demás partes interesadas, la reputación, la marca y las actividades creadoras de valor. La GCN tiene que ser asimilada y totalmente integrada en la organización como uno más entre sus procesos de gestión. La GCN aspira a mejorar la capacidad de recuperación de una organización. Al identificar por adelantado los posibles impactos de una amplia gama de incidencias que trastornarían de forma súbita el éxito de la organización, establece prioridades para los esfuerzos de los especialistas en implantar robustez en sus respectivas áreas de especialización, como seguridad, instalaciones y tecnologías de la información. Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centra particularmente en desarrollar una capacidad de recuperación que sea conjunta para toda la organización y le permita sobrevivir a la pérdida total o parcial de su capacidad operativa. También debería enfocarse en soportar pérdidas significativas de recursos, como personal o maquinaria. Debido a que la capacidad de resistencia de la GCN de una organización depende de su equipo de gestión y su personal, además de su tecnología y la diversificación geográfica, se debe desarrollar esta capacidad de recuperación a todos los niveles de la organización, desde la alta dirección hasta el taller, y en todos los demás integrantes de la cadena de valor. El factor determinante de esta robustez en toda la organización se sustenta en la responsabilidad de la alta dirección de proteger los intereses a largo plazo del personal, clientes y todos aquellos que dependen de algún modo de la organización. Si bien se pueden calcular las pérdidas financieras ocasionadas por una interrupción, generalmente el mayor daño suele reflejarse en una pérdida de imagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente bien gestionado puede mejorar la imagen de la organización y su equipo de gestión.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

CONSIDERACIONES GENERALES

11

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 12

¿Cómo beneficiará a mi organización? El objetivo principal de la GCN es asegurar que la organización tiene una respuesta para los trastornos importantes que pondrían en riesgo su supervivencia. Esto de por sí es suficientemente valioso, pero además incorporar la GCN en la gestión diaria puede aportar otras ventajas. Ya sea por sus estatutos o por ley, algunas organizaciones tienen que incorporar la GCN o, de forma más genérica, la "gestión de riesgos", como parte de sus obligaciones de buen gobierno corporativo. Un plan apropiado de GCN cumplirá con las obligaciones específicas y además constituirá una respuesta tanto a posibles incidentes específicos como a la creación de una "conciencia de riesgos" para la organización en su conjunto. No obstante la motivación principal para instaurar la GCN no debe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta en marcha agrega valor a una organización y a los productos y servicios que ofrece. “Para muchas empresas, la GCN tendrá en cuenta algunos…riesgos clave y les ayudará a cumplir con sus obligaciones". Nigel Turnbull, Presidente de Turnbull Committee acerca del buen gobierno corporativo en Reino Unido. Las empresas que venden a otras empresas han recurrido a la GCN como una ventaja competitiva para lograr nuevos clientes y mejorar sus márgenes al incorporarla a su política de atención al cliente. Un repaso exhaustivo de las actividades a través de los ejercicios de Evaluación y Planificación de Impacto al Negocio puede poner en relieve las ineficiencias y destacar prioridades que de otra forma no hubieran nunca salido a la luz. Las empresas que ofrecen productos o servicios saben que conservar a un cliente mediante un servicio más confiable es más barato que tratar de recuperar a los "desertores" después de una interrupción del negocio. El espíritu de equipo que se crea durante la buena gestión de un incidente puede mejorar el resultado de un negocio mucho después de que el problema se haya solucionado. “Muchas veces me preguntan cuál es el consejo más útil que puedo ofrecer en el mundo de los negocios. La respuesta es un sencillo y efectivo plan de continuidad de negocio que esté continuamente actualizado y probado”. (Extraído de un discurso de Eliza Manningham-Buller, Directora General de MI5, en la Conferencia UK CBI, Noviembre 2004). Relación con otras especialidades Determinar cuáles son las responsabilidades de la Gestión de Continuidad de Negocio dentro de una organización concreta tendrá mucho que ver con la persona que se nombrará para estar a cargo así como de su experiencia previa en la materia. Esto puede significar que un responsable de Continuidad de Negocio puede considerar que la seguridad, la disponibilidad de TI o la gestión de riesgos constituyen las cuestiones clave, mientras restará importancia a otras áreas. Por esta razón es extremadamente difícil llegar a un acuerdo en cuanto a la lista general de responsabilidades específicas para la Gestión de Continuidad de Negocio. En concreto existen muchos debates acerca de su relación con la Gestión de Riesgos. Este Manual considera que, si bien se trata de facetas complementarias, los enfoques y métodos empleados en Continuidad de Negocio son muy diferentes de los dedicados a Gestión de Riesgos. La tabla siguiente trata de destacar las diferencias entre ambos.

Gestión de riesgos

Gestión de continuidad de negocio

Método clave

Análisis de riesgo

Análisis de impacto sobre el negocio

Parámetros clave

Impacto y Probabilidad

Impacto y Tiempo

Tipo de incidente

Todo tipo de eventualidades generalmente segmentadas

Acontecimientos causantes de trastornos serios para el negocio

Magnitud del incidente

Toda magnitud (coste) de los acontecimientos. Generalmente segmentados

Para la planificación estratégica: sólo los incidentes que afectan a la supervivencia del negocio

Alcance

Se enfoca primordialmente en la gestión de riesgos para los objetivos del negocio principal

Se enfoca sobre todo en gestión de incidentes en su mayor parte externos a los aspectos fundamentales de negocio

Todas, desde graduales hasta súbitos

Acontecimientos súbitos o de rápida evolución (aunque es posible que la respuesta también resulte apropiada si un incidente persistente se transforma en severo)

Intensidad

123456

Relación con otras directrices y estándares Ya se ha abordado la relación entre el Manual de Buenas Prácticas 2007, BS 25999-1 y otros estándares de GCN. Otros estándares que contienen elementos de GCN son: •PAS 77 sobre Continuidad de Servicio de TI •ISO 27002 (Antes ISO 17799) – Aunque primordialmente se trate de un estándar relativo a la seguridad de la información, contiene aspectos de Continuidad de Negocio que deben ser atendidos para implantar correctamente ISO 27001. •ITIL este estándar se ocupa de disciplinas de Gestión de Servicio, como Riesgos y Seguridad, Cambios, Problemas, Configuración, Capacidad y Disponibilidad. No obstante existe un vínculo entre la Continuidad de Servicio de TI de ITIL (Recuperación de Desastres) y la Continuidad de Negocio. •Legislación de Protección de Datos •Legislación garante de la libertad de información •Normas sanitarias •Reglas y directrices como las previstas en la ley Sarbanes-Oxley de Estados Unidos y el acuerdo internacional bancario Basilea II, influyen sobre GCN al ser obligatorias e imponer parámetros para la continuidad de servicios.

cap

La visión que se presenta en este Manual pretende presentar la características esenciales de la Gestión de Continuidad de Negocio al mismo tiempo que entiende que los que las apliquen de forma concreta muchas veces tendrán, ya sea por sentido común o por órdenes recibidas, que ampliar su papel debido a la situación que desempeñen en la organización para la que trabajan.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

Tabla: Comparación entre Gestión de Riesgos y Gestión de Continuidad de Negocio

CÓMO UTILIZAR ESTE MANUAL Cada organización es diferente. Se gestiona de formas diferentes, tiene una presencia geográfica diferente y además evoluciona con el paso del tiempo. Por eso es imposible hacer recomendaciones específicas acerca de las soluciones que conviene adoptar.

13

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap

Por lo tanto, este Manual pretende dar una idea general de un proceso y recomendar métodos, con la creencia de que se llegará a la solución adecuada si se siguen los pasos correctos. Puede existir un caso en el que el proceso descrito necesite modificarse para cumplir con ciertas necesidades específicas de la organización, por lo que cada organización necesita evaluar cómo aplicar las directrices a su propia estructura. Tiene que asegurarse, que su capacidad y competencia para la GCN son apropiadas para la naturaleza, tamaño y complejidad de su negocio y además es un reflejo de su propia cultura y del entorno en el que opera. La definición de "buena" práctica implica que existe una práctica "mejor". Sin embargo, al contrario de lo que sucede con otros estándares, tiene que encontrarse la solución "apropiada" para cada organización. Si la solución se queda corta existe un riesgo de que fracase toda la estrategia, pero si se excede se malgasta tiempo o dinero que podrían ser empleados en otras necesidades. Por desgracia es difícil determinar con exactitud esta estrategia ideal "apropiada", pero las directrices deberían ofrecer un enfoque sistemático para identificarla. Alcance del Manual El análisis de la respuesta que han tenido las organizaciones con respecto a las incidencias que afectan a la Continuidad de Negocio demuestra que aquellas que los han solucionado mejor han integrado las soluciones al conjunto de la organización. En la práctica esto significa que la capacidad de gestión de incidencias por parte de la alta dirección se apoyaba en una logística de Continuidad de Negocio, además de un soporte técnico para retomar la actividad. Por esta razón el Manual se centra en el papel fundamental del responsable de la GCN y asume que el especialista en otras áreas (TI, seguridad, RH y desarrollo de negocio) estará disponible para aconsejar en la puesta en marcha de estas demás facetas. Diseño del Manual En primer lugar el Manual se ocupa de las cuestiones de Política de GCN y su gestión que definen el contexto y alcance del Programa, luego sigue el Ciclo de Vida de la Gestión de Continuidad de Negocio; desde la Gestión de programa hasta la Comprensión de la organización. Después sigue los elementos del ciclo de vida de forma lógica y finaliza con el carácter permanente de un programa de GCN "Insertar la GCN en la cultura de la organización". A lo largo del Manual se hace referencia a las secciones importantes de BS 25999-1, pero no existe una correspondencia directa entre las secciones. El manual muestra cómo teóricamente las etapas encajan entre sí; en la práctica el que lo lleve a cabo no seguirá necesariamente esta progresión de forma estricta. Por ejemplo un ejercicio basado en escenario puede resultar conveniente para "vender" el proyecto en sus comienzos y se pueden escribir planes para dotar a la organización de cierta capacidad de gestión de incidentes antes de que se hayan investigado los requisitos para el reinicio de actividades. No obstante los progresos deben medirse siempre con respecto al ciclo de vida completo y la organización en su conjunto. Estructura del contenido del Manual Cada paso contiene:

Fases de las directrices

Preguntas que responden

Introducción

14

Detalle de los componentes

Contenidos descritos más adelante

Indicadores clave de GCN

¿Qué es lo más importante que hay que saber?

Preguntas que responden

Componentes de las directrices Introducción Pasos previos

¿Qué se tiene que haber hecho antes de llegar a esta etapa?

Propósito

¿Por qué necesitamos hacerlo? ¿Qué conseguirá?

Conceptos y suposiciones

¿Qué necesitamos comprender? ¿Qué damos por supuesto?

Proceso

¿Qué tenemos que hacer?

Métodos y Técnicas

¿Qué herramientas necesitamos para lograrlo?

Resultados

¿Qué debería producir?

Revisión

¿Cuando debería realizarse?

12 23 34 45 56 6 1

cap

e

Gestión del programa GCN

ción niza ga

Probar, mantener y revisar

Comprender la organización

la or

Insertar l aG C

N

cultura d a l e n

123456

Figura: El ciclo de vida de GCN—BS 25999-1

cap

Diagrama y glosario Al contrario de otras versiones anteriores del Manual, estas directrices utilizan el diagrama esquemático y el glosario de BS25999-1. Para obtener copias oficiales de éstos hay que recurrir a la documentación estándar oficial de Bs25999.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

La estructura y formato de cada componente sigue un esquema común:

Determinar las opciones de GCN

Desarrollar e implantar una respuesta de GCN

15

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 16

COMPONENTES DE LA ETAPA 1 POLÍTICA DE CONTINUIDAD DE NEGOCIO Y GESTIÓN DEL PROGRAMA POLÍTICA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO PLASMAR EL CONTEXTO DE LA ORGANIZACIÓN CONTENIDOS DE LA POLÍTICA DE GCN ALCANCE DEL PROGRAMA DE GCN ACTIVIDADES SUBCONTRATADAS GESTIÓN DEL PROGRAMA ASIGNACIÓN DE RESPONSABILIDADES PONER EN PRÁCTICA LA GCN EN LA ORGANIZACIÓN GESTIÓN DE PROYECTO GESTIÓN CONTINUA DOCUMENTACIÓN PREPARACIÓN PARA LOS INCIDENTES Y SUS RESPUESTAS

1. Introducción La Política de GCN es el documento clave que determina el alcance y buen gobierno del programa de GCN. La Política ofrece el contexto en el que el equipo de GCN desarrolla las competencias requeridas. Cuando una organización se embarca en un programa de GCN no dispondrá de una Política de GCN ni probablemente entenderá las decisiones que tiene que tomar para escribir uno. Se necesita realizar una serie de actividades que se encaminan a la formulación de esta Política. Los pasos clave son: Asegurarse de que el programa de GCN apoya los objetivos y la cultura de la organización Decidir el alcance del programa de GCN Formular una política de GCN Deberían iniciarse uno o varios proyectos para permitir que la organización desarrolle una Política e inicie las actividades necesarias para instaurarlo.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

LA POLÍTICA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO Referencia: BS 25999-1 Sección 4

cap 123456 17

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 18

PLASMAR EL CONTEXTO DE LA ORGANIZACIÓN Ref: BS 25999-1 Sección 4.2 1. Introducción Para desarrollar un programa de Gestión de Continuidad de Negocio apropiado hay que asegurarse de que refleja los objetivos de la organización y su cultura. Es necesario preguntarse lo siguiente: •¿Cuáles son los objetivos de la organización? •¿Cómo se logran las metas de negocio? En algunas organizaciones, como parte de los procesos de planificación de negocio, se llevará a cabo una evaluación de riesgos graves que puedan poner en riesgo el cumplimiento de los objetivos estratégicos y de operación. Las conclusiones de este ejercicio pueden ofrecer una información valiosa a la hora de determinar el contexto general para el Análisis de Impacto en el Negocio (AIN). En algunos sectores de actividad o entornos es obligatorio realizar la evaluación de riesgos. 2. Pasos previos Es más fácil asegurarse de que la Política de GCN se corresponde con los requisitos de la organización si éstos se identifican y se acuerdan formalmente. 3. Propósito El propósito de alinear la Continuidad de Negocio con la estrategia conjunta desde el principio es para: •Comprender la dirección y enfoque del negocio antes de iniciar una evaluación de riesgos o de impacto en el negocio. •Ayudar a entender el plan de negocio en lo que se refiere a crecimiento o reducción de negocio, reestructuración, etc., en el corto, medio o largo plazo. Es posible que este tipo de información no esté a disposición de la persona encargada de la actividad de continuidad de negocio y dependa mucho del tipo y tamaño de la organización. Conocer los planes de negocio ayudará a desarrollar recomendaciones de estrategias de contingencia que sean adecuadas y flexibles. •Establecer el parámetro de escala geográfica para la elección de opciones de recuperación 4. Conceptos y suposiciones Utilizar un AIN para revisar la estrategia de la organización Es posible y deseable que se utilice un AIN para determinar el impacto de una interrupción antes de emprender una reestructuración importante del negocio como: •Introducción de un nuevo producto, proceso o tecnología •Cambio de ubicación de una oficina o ampliación geográfica del negocio •Cambio significativo en las operaciones, estructura o recursos humanos •Incorporación de un nuevo proveedor o empresa subcontratada importantes Puede que esto dé lugar a una revisión sobre cómo llevar a cabo la reestructuración o incluso cuestionar su propia puesta en marcha. 5. Proceso Condiciones de mercado La reacción de los clientes y competidores en un factor clave que afecta la viabilidad de una organización después de un trastorno. Algunas de las condiciones importantes son: •Si el producto se consigue de varios proveedores, unos pocos o sólo uno •Cuál es el plazo más probable para encontrar otros proveedores •Si en el sector otros proveedores actuarán para aprovecharse de una empresa en dificultades o es probable que se ayuden entre ellos (algo que puede suceder para proteger la reputación del sector) El Programa de GCN podría ofrecer una oportunidad de negocio para una organización comercial si el cliente está dispuesto a pagar una cantidad suplementaria para tener mayor confianza en la entrega. Estrategia de organización Los aspectos de la estrategia de una organización con más probabilidades de afectar al Programa de GCN son: •Una estrategia de expansión (o contracción) •Desarrollo de nuevos productos o servicios

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

cap 123456

Responsabilidades •Obligaciones en los estatutos •Responsabilidades legales •Normas sanitarias y de seguridad Tamaño •Decidir la amplitud geográfica máxima de una interrupción o la magnitud de la pérdida de un recurso que la organización necesita planificar de cara a sobrevivir. Esto puede estar condicionado por: •Amplitud geográfica (o área de mercado/cliente) •Obligaciones legales o normas estatutarias •Productos, mercado, sectores o exigencias específicas de los clientes 6. Métodos y técnicas Herramientas clave: •Demostrar una comprensión de los planes futuros de la organización •Disponer información actualizada de los procesos detallados, volúmenes, objetivos y, cuando sea posible, valores cuantificables relativos a la actividad Es posible que cierta información sea confidencial y por lo tanto en algunas organizaciones no esté disponible para el responsable de GCN. El hecho de no disponer de esta información no debería impedir el AIN o la Evaluación de Riesgos, aunque sí puede perjudicar la confiabilidad de los resultados finales. 7. Resultados •Determinación del alcance y producción de un documento con los términos de referencia para el Análisis de Impacto en el Negocio y Evaluación de Riesgos. 8. Revisión El impacto sobre la organización de una estrategia de Gestión de Continuidad de Negocio debería ser revisado como mínimo una vez al año como parte de (o al menos de forma paralela) los procesos de planificación estratégica y operativa de un negocio. Una revisión más frecuente puede ser consecuencia de alguna de estas cuestiones: •Modificación clave en el negocio •Reestructuración •Expansión/contracción •Introducción de un nuevo producto •Cambio de ubicación o consolidación geográfica •Un incidente y la recuperación de actividad

19

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 20

CONTENIDOS DE LA POLÍTICA DE GCN Referencia: BS 25999-1 Sección 4.3 1. Introducción La política de GCN de una organización provee el marco en el que se diseña y construye la capacidad de GCN. 2. Pasos Previos Una comprensión por parte de toda la organización de la GCN y su importancia. 3. Propósito El propósito de una política de GCN es documentar los principios a los que aspira atenerse la organización y en referencia a los cuales sus resultados pueden ser auditados. 4. Conceptos y suposiciones Si bien la alta dirección es la máxima responsable de la política de GCN, se supone que el equipo de GCN será el encargado de crearla y asegurarse de que es la apropiada. 5. Proceso El proceso para desarrollar una política de GCN incluye: •Identificar y documentar los componentes de una política de GCN •Identificar una definición de GCN •Identificar aquellos estándares, normas y leyes que sean relevantes y deban ser tenidos en cuenta en la política de GCN •Identificar cualquier manual de buenas prácticas o demás políticas de GCN de otras organizaciones que podrían servir de modelo •Revisar y llevar a cabo un "análisis diferencial" entre la actual política de GCN de la organización (cuando exista) y una política de referencia externa o con los nuevos requisitos de la nueva política de GCN •Desarrollar un borrador de una nueva política de GCN o, en su caso, de una versión corregida Revisar el borrador de la política de GCN con respecto a los estándares que ha adoptado la organización en cuestiones relacionadas, tales como la política de seguridad de TI •Circular el borrador de la política para consultas •Corregir el borrador de la política de GCN allí donde sea necesario basándose en los comentarios tras las consultas •Acordar una ratificación de la política de GCN y una estrategia para su puesta en marcha por la alta dirección de la organización •Publicar y distribuir la Política de Continuidad de Negocio por medio de un sistema de control apropiado y técnicas 6. Métodos y técnicas Los métodos, herramientas y técnicas para desarrollar una Política de GCN incluyen: •Una revisión de la actual Política de GCN de la organización. •Una investigación acerca de las fuentes externas que sirvan de orientación, tales como los organismos legales, códigos de buenas prácticas sectoriales y colegios profesionales. •Contacto con organismos sectoriales y profesionales para entender los problemas y desencadenantes de la GCN, tanto actuales como en desarrollo. •Identificación y adopción de componentes de una Política de GCN de otra organización considerada modélica en Buenas Prácticas. •Una evaluación del estado actual de carencias y revisión de las políticas externas e internas para determinar los elementos esenciales de una nueva o revisada Política de GCN. •Una revisión por parte de expertos en GCN externos 7. Resultados La Política de GCN, que incluirá (o hará referencia en un documento anexo): •La definición de GCN de la organización •Una definición del alcance del programa de GCN (ver sección siguiente) •Un marco operativo de GCN documentado para la gestión del programa de GCN de la organización, que además incluya responsabilidades •Un conjunto documentado de principios de la GCN, sus directrices y estándares mínimos •Un plan de puesta en marcha y mantenimiento de la Política

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

8. Revisión Mientras todas las políticas de organización deberían ser revisadas de forma continua, una revisión formal de esta Política debería desencadenarse por un cambio en el entorno externo en el que opera la organización. Estos cambios podrían ser cambios en mercado o legales.

cap 123456 21

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 22

ALCANCE DEL PROGRAMA DE GCN Referencia: BS 25999-1 Secciones 4.4 y 6.6 1. Introducción Una de las objeciones más frecuentes a la puesta en marcha de la Gestión de Continuidad de Negocio es que el programa exigido es demasiado extenso si se aplica a toda la organización en un proceso. Los estándares británicos determinan un alcance de cumplimiento para productos o servicios específicos o ubicaciones geográficas definidas. Esto permite que una organización ponga en marcha la GCN sólo en algunas partes, aunque se espera que con el tiempo luego la extiendan a todas sus operaciones. Esta sección enumera las opciones disponibles para la organización para proteger su entrega de productos y servicios. Dentro del estándar británico BS 25999-1 sólo la ruta de Continuidad de negocio (sección 6.6.2) puede servir a cumplirlo, puesto que las demás (secciones 6.6.3/5) - aceptación, transferencia y cancelación - no presuponen el mantenimiento de la entrega del producto o servicio al cliente. Las opciones a las que se refiere esta sección radican en definir el alcance del programa de GCN al que luego el estándar tiene que ser aplicado. 2. Pasos previos Lógicamente el primer paso es decidir acerca del alcance del programa de GCN. No obstante, es probable que eso tenga que ser revisado constantemente. Puede resultar útil llevar a cabo un AIN de alto nivel de la entrega de producto o servicio para tomar una decisión acerca de qué productos y servicios estarán incluidos en el alcance (basándose en el impacto de la no entrega). 3. Propósito El propósito de determinar el alcance es garantizar la claridad de qué áreas de la organización están incluidas en el programa de GCN. La documentación de las opciones para cada producto y servicio pretende dejar claro cómo la organización piensa proteger (o no) su capacidad de mantener su entrega, y esta decisión estará disponible para actores externos, tales como clientes o autoridades. El alcance puede (y dentro del cumplimiento de estándares debe) ser definido identificando qué productos y servicios van a estar englobados. Esto hace hincapié en el criterio clave de éxito de la mayoría de las organizaciones: la entrega de productos o servicios. La ubicación puede también servir a la definición del enfoque, permitiendo que el programa de GCN incluya o excluya una o varias ubicaciones. Pero no es lógico dejar fuera un emplazamiento que es importante para la entrega de un producto o servicio considerado dentro del alcance. La limitación del alcance debe ser considerada una decisión táctica que permite introducir de forma escalonada la GCN en toda la organización. 4. Conceptos y suposiciones Si un producto o servicio se asigna dentro del alcance entonces todas las actividades que apoyan su entrega tienen que se incluidas en el programa de GCN.

Cliente A

Cliente A Servicio C

Producto A

Accionistas

Actividad 1 Alta Dirección BCM

Producto B

Actividad 2

Actividad 3

Actividad 5

Actividad 4

Empresa subcontratada

Servicio D

Actividad

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

La organización BS 25999

Actividad

Actividad 6

LA EMPRESA

123456

En el diagrama anterior se determina que el Producto B y el Servicio C están dentro del programa, por lo que las actividades sombreadas tienen que formar parte, ya sea parcial o totalmente dentro de su alcance. 5. Proceso El proceso incluye los pasos siguientes: •Conformar un Equipo de Estrategia de Gestión de Continuidad de Negocio. •Identificar la Estrategia de Negocio de la organización, sus objetivos, obligaciones legales y comprender cómo una Estrategia de Continuidad apoyará estos objetivos. •Si se ha llevado a cabo un Análisis de Impacto en el Negocio para determinar los efectos que tendría la pérdida de un producto o servicio, revisar su alcance, las suposiciones y resultados •Considerar las opciones estratégicas para cada producto y servicio. •Ofrecer a la dirección ejecutiva un informe de evaluación para determinar opciones, que se basan en la estrategia de negocio actual y futura de la organización. •Garantizar que la opción acordada es ratificada por la dirección ejecutiva, incluyendo las previsiones financieras y de recursos. •LIevar a la práctica un proceso constante que garantice la revisión de la estrategia. Criterios de elección Los productos y servicios deberían ser identificados a un grado de detalle apropiado. Ejemplos de productos y servicios pueden ser: •Un producto manufacturado o una gama •Recogida de deshechos •Soporte telefónico Algunos de los siguientes factores pueden influir en las decisiones acerca de qué productos, servicios o ubicaciones conviene incluir en el programa: •Un requisito del cliente •Una obligación legal o estatutaria •Una ubicación considerada de alto riesgo debido a su cercanía con otras instalaciones industriales o la posibilidad de una inundación, entre otros riesgos •El producto representa una proporción muy importante de los ingresos de la organización

cap

Diagrama: La organización BS 25999

23

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

Razones por las que un producto, servicio u organización pueden ser excluidos del programa: •Producto/servicio cercano a cumplir su ciclo de vida (dejaría de existir si se interrumpiera el suministro) •Producto/servicio con márgenes reducidos (cancelación o subcontratación) •Una ubicación considerada de bajo riesgo Cuando se trata de determinar si se excluye del programa, además del impacto financiero o posibles pérdidas se tienen que tomar en cuenta los siguientes factores: •Los puntos de vista de los proveedores, clientes y demás partes interesadas con influencia •Cualquier daño ocasionado por la interrupción o cancelación definitiva de un producto •El grado de confianza de cualquier cálculo de riesgo Opciones Las opciones disponibles para cada producto o servicio son: •Continuidad de Negocio • Aceptación •Transferencia •Cambio, suspensión o cancelación definitiva

cap

123456

Opciones de producto/ Servicio

Continuidad de Negocio

Aceptación

Opciones para la actividad basadas en niveles operativos aceptables

Fuerza laboral, habilidades y conocimientos

Transferencia

Cambio, Suspensión o cancelación definitiva

Programa de gestión de riesgos (BS 25700)

Documentación y ratificación

Instalaciones del lugar de trabajo

Tecnologías de apoyo

Datos e Información

Equipo y suministros

Diagrama: Opciones para productos y servicios

24

Proveedores, clientes y demás partes interesadas

cap 123456

Continuidad de Negocio Si la estrategia elegida es la de Continuidad de Negocio, entonces es necesario instaurar medidas adecuadas que garanticen que las diversas actividades que determinan la entrega pueden proseguir o ser recuperadas en los plazos requeridos y que son descritos en la sección 7. Las estrategias alternativas que deben considerarse (que están fuera del alcance de un programa de GCN) son: Aceptación Si se valora que el coste de GCN es demasiado alto o se calcula que el riesgo es bajo porque es poco probable que se produzca una interrupción (o tendría un impacto menor) entonces el riesgo es "aceptable". En tal caso puede que la organización elija no hacer nada al respecto o instaure medidas para enfrentar los riesgos en caso de que se materialicen. Estas medidas pueden incluir: •Lograr aptitudes para la Gestión de Incidentes •Medidas para protegerse de amenazas específicas de mayor probabilidad, como las existentes contra incendios •Estrategia de fortaleza cuando se trate de instalaciones que poseen procesos de fabricación únicos y exclusivos o situadas en lugares únicos y para las que es imposible pensar en una estrategia de reubicación. En tal caso todos los esfuerzos deben enfocarse en minimizar las amenazas específicas con la esperanza de que si pasara lo peor, el componente único y exclusivo de la organización volverá a restaurarse sin importar el tiempo que se tarde. La aceptación de un riesgo y la determinación de la capacidad de asunción de riesgos por parte de una organización están sujetas a todas las advertencias de la sección anterior acerca de la evaluación de riesgos. Esto significa que no es posible determinar de forma científica el valor de un riesgo y que por ello una organización no puede contraponerlo de forma rigurosa con su teórica capacidad de asunción de riesgos. Si una organización busca protegerse de forma no sistemática contra algunas amenazas que ha detectado, el coste general de las medidas puede superar al de la estrategia de Continuidad de Negocio y dar lugar a una protección menos integral y duradera de la que hubiera ofrecido un programa de GCN. Transferencia Es posible transferir un riesgo a un tercero que tenga mejor capacidad para gestionarlo. Las medidas posibles son: • Subcontratar. Cada vez son más las organizaciones que están subcontratando partes críticas del negocio para crear organizaciones virtuales. La transferencia de riesgos es muchas veces un argumento muy citado en favor de la subcontratación. Es importante recordar que no se puede subcontratar ni se puede transferir el riesgo para la reputación e imagen de marca de la organización. El riesgo y la responsabilidad siempre permanecen dentro del negocio. • Deslocalizar a través de proveedores internos o externos que estén lejos del centro del negocio (generalmente en otro país) trae consigo nuevas complicaciones en seguridad, además de riesgos políticos y medioambientales que pueden llamar la atención de clientes y autoridades. • Asegurar. Es decir, transferir parte de los costes financieros de un incidente a una compañía de seguros. No obstante en caso de un incidente de gran escala, sólo puede aportar dinero para apoyar otras medidas de recuperación de negocio y no es una solución suficiente. Es importante destacar que no se pueden delegar ciertas responsabilidades. La organización puede ver dañada su reputación o estar sujeta a sanciones por el fallo de la empresa subcontratada. Cambio, suspensión o cancelación Cambiar el proceso puede ofrecer una oportunidad para continuar con el negocio de cara a los clientes, pero el producto o servicio a entregar está "ensamblado" de forma distinta, generalmente mediante la subcontratación de una parte o toda la operación. Por ejemplo un fabricante puede convertirse en distribuidora importando productos y reetiquetándolos.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

A continuación se describe de forma detallada cada opción:

25

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 26

Puede resultar apropiado abandonar o vender ciertas partes del negocio cuando la actividad restante se mantiene viable y puede dejar espacio para una recuperación, o si un producto o servicio está finalizando su ciclo de vida. También puede resultar una estrategia apropiada para un grupo de empresas que no quieren sufragar la capacidad de recuperación de una filial marginal. Esta estrategia comporta riesgos si la reputación de los demás negocios puede resultar dañada por el fracaso de la parte cancelada. Si estas decisiones no se toman de acuerdo con el cliente, la organización puede encarar demandas legales y daños a su reputación en caso de no cumplir las expectativas de un cliente. Pero si está estrategia recibe el visto bueno de todas las partes, las opciones pueden verse como soluciones para la Continuidad de Negocio y pueden ser incluidas en el programa de GCN. Determinar una estrategia de Continuidad de Negocio adecuada dependerá de la aceptación por parte del cliente y llevar a cabo los cambios de procesos que serían necesarios para cumplirla (ya sea determinados por adelantado o anticipados después del trastorno). 6. Métodos y técnicas Las herramientas que pueden utilizarse para desarrollar la estrategia de la Organización para productos y servicios incluyen: •El Análisis del Impacto en el Negocio ofrece una técnica para evaluar de forma sistemática el impacto de las interrupciones para ofrecer productos y servicios. Se puede utilizar para tomar una decisión acerca de qué productos y servicios deberían ser incluidos en el alcance del programa basándose en el plazo y magnitud del impacto de la interrupción. •Análisis de Coste Beneficio (que incluye evaluaciones de proveedores, clientes y demás partes interesadas, legales y normativas) • Análisis DAFO (Debilidades/Amenazas/Fortalezas/Oportunidades) •Planificación y gestión financieras •Herramientas de planificación estratégica •Comparación con respecto a los estándares nacionales e internacionales correspondientes • Análisis PEST (Político/Económico/Social/Técnico) •Se puede recurrir a técnicas de investigación de mercado para determinar la viabilidad de un producto después de una interrupción en su suministro. 7. Resultados Los resultados son: •Una estrategia acordada para proteger cada producto y servicio de la organización que estén: • o bien: dentro del alcance del programa de GCN • o bien: fuera del alcance del programa de GCN •Un alcance para el programa de GCN que quede documentado en la Política de GCN 8. Revisión Debería llevarse a cabo una revisión de la Estrategia de GCN de la organización (corporativa) al menos cada 12 meses. No obstante existen acontecimientos que propician la reevaluación de la estrategia de GCN, tales como: •Una revisión del Análisis del Impacto en el Negocio que identifique cambios importantes en los procesos y prioridades. •Un cambio significativo en uno o más de los aspectos siguientes: la actitud de la organización frente a los riesgos (quizás desencadenados por un acontecimiento), las condiciones de mercado, compras o fusión, nuevos productos o servicios, obligaciones legales o normativas.

cap 123456

1. Introducción Si se subcontrata una parte o la totalidad de un producto o servicio, la responsabilidad de su continuidad sigue siendo de la organización. Los clientes esperan que la organización haya elegido de forma responsable a sus socios y haya tomado las medidas adecuadas para garantizar la entrega. Las obligaciones internas o legales suelen destacar que la responsabilidad última de los servicios subcontratados sigue siendo de la organización. 2. Propósito El propósito es asegurar que la entrega de productos y servicios de la organización no se verá interrumpida por un tercero que provee bienes o servicios a la organización o directamente al cliente en nombre de la organización. 3. Conceptos y suposiciones La organización sigue siendo responsable de la entrega del producto o servicio y no puede delegar esa obligación en la empresa subcontratada. 4. Proceso Los procesos para revisar las medidas de Continuidad de Negocio de una empresa subcontratada son parecidos a los que se emplean para revisar las medidas de la propia organización (ver una sección posterior). Es importante que esta información esté disponible para evaluar: •las ofertas de posibles empresas de subcontratación •la adecuación constante de las medidas de las empresas subcontratadas ya existentes 5. Métodos y técnicas Se puede mejorar la robustez en los contratos de subcontratación mediante: •Una selección apropiada de las empresas subcontratadas •La especificación en el contrato de los requisitos para la Continuidad de Negocio •Acuerdo acerca de los niveles de servicio realistas que se ofrecerán durante los incidentes en cualquiera de las organizaciones •Involucrar a las empresas subcontratadas en formación, concienciación y pruebas de Continuidad de Negocio 6. Resultados Documentación para apoyar la subcontratación que incluye: •Parámetros obligatorios para la selección de empresas subcontratadas •Términos contractuales • Acuerdos de nivel de servicio •Documentación acerca de los resultados de las pruebas El resultado debería ser una cadena de suministro robusta que pueda absorber los trastornos sin impactar de forma seria la entrega de productos y servicios al cliente. 7. Revisión La revisión de la continuidad del proveedor debería ser una parte importante de la evaluación de las ofertas a la hora de otorgar o renovar los contratos. Se recomienda una revisión anual de los resultados del proveedor con respecto a las obligaciones para la continuidad.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

ACTIVIDADES SUBCONTRATADAS Referencia: BS 25999-1 Sección 4.5

27

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 28

GESTIÓN DE PROGRAMA Referencia: BS 25999-1 Sección 5 1. Introducción Un factor clave de éxito para la GCN es la designación de personas competentes para supervisar y gestionar el programa de GCN. Si bien en un principio la GCN puede beneficiarse de un enfoque de gestión de proyectos, conforme madura la GCN dentro de una organización se necesitan habilidades de gestión de programa para garantizar el mantenimiento del nivel de preparación. Los pasos clave en la Gestión de Programa de GCN son: •Asignación de responsabilidades •Puesta en marcha de la GCN en la organización •Gestión de Proyectos •Gestión constante •Documentación de la GCN •Preparación para incidentes y capacidad de respuesta.

cap 123456

1. Introducción La clave para un programa exitoso de GCN radica en identificar funciones, responsabilidades y autoridades claramente definidas para la gestión del programa de GCN y sus procesos en toda la organización y la continua preparación del personal apropiado para saber responder en caso de necesidad. 2. Pasos previos La Política de GCN debe identificar las funciones y responsabilidades necesarias que hay que asignar. 3. Propósito El propósito de asignar funciones y responsabilidades es garantizar que las tareas para llevar a cabo y mantener el programa están atribuidas a personas específicas cuyos resultados pueden ser supervisados. 4. Conceptos y suposiciones Las autoridades financieras como la Financial Services Authority (FSA) de Reino Unido consideran que la GCN es un coste que forma parte de hacer negocios y tiene que disponer de los recursos adecuados. 5. Proceso Un integrante de la dirección ejecutiva debería tener responsabilidad general acerca de la efectividad de la GCN en la organización. Esto asegura que el programa de GCN tiene el nivel de importancia adecuado en la organización y dispone de más posibilidades para su puesta en marcha efectiva. Se debería nombrar a una persona para gestionar el programa de GCN. Esta persona puede ser conocida como el Director de Continuidad de Negocio. Según el tamaño de la organización, se puede asignar personal adicional para ayudar al Director de Continuidad de Negocio: •Personal de Continuidad de Negocio para ayudar, como llevar a cabo pruebas o búsqueda de información •Personal administrativo de Continuidad de Negocio que lleve a cabo la revisión de la documentación •Personal de otras unidades de negocio o ubicaciones que ayuden a la puesta en práctica de la Continuidad de Negocio y sirvan de coordinadores en sus áreas. 6. Métodos y técnicas El personal asignado al programa de GCN debería recibir la formación adecuada a su función mediante cursos internos o externos. Aquellos que gestionan el programa deberían obtener una certificación por parte de un organismo profesional adecuado, como el Business Continuity Institute. La integración de las funciones y responsabilidades en descripciones de puestos y el proceso de evaluación deberían resultar efectivos para garantizar que estas tareas son llevadas a cabo con el tiempo y esfuerzo adecuados. El éxito en la realización de las tareas debería reflejarse en la política de incentivos y reconocimientos de la organización. 7. Resultados Las funciones y responsabilidades de las personas dentro del programa de GCN serán incluidas en las descripciones de los puestos de trabajo y en la definición de objetivos. Tanto las personas como la organización deberán entender claramente sus funciones y responsabilidades. 8. Revisión La necesidad de personal para la GCN debería ser objeto de discusión para las previsiones anuales del responsable de Continuidad de Negocio y puede estar sujeta a una auditoría.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

ASIGNAR RESPONSABILIDADES Referencia: BS 25999-1 Sección 5.2

29

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 30

LA GCN EN LA ORGANIZACIÓN Referencia: BS 25999-1 Sección 5.3 1. Introducción Iniciar un Programa de GCN implica coordinar varias actividades que incluyen: •Momentos de creación de mayor conciencia que mantienen el entusiasmo por emprender un programa de GCN •Actividades de recopilación de datos que indicarán la elección de las opciones de continuidad que respaldarán los objetivos de la organización •La puesta en marcha de medidas que reduzcan el impacto de un incidente en caso de que ocurriera cuando el programa está en fase de desarrollo. 2. Pasos previos Una Política de GCN interna con un programa definido y necesidades de personal bien presupuestadas. 3. Propósito El propósito de este paso es garantizar que se pone en marcha un programa de GCN sostenible para toda la organización. Un programa sostenible es aquel que ha logrado el compromiso de la organización y posee estructuras y procedimientos que garantizan que se mantiene la preparación y además se mejora de cara al futuro cercano. 4. Conceptos y suposiciones La elección acerca de las actividades a llevar a cabo y el orden en el que se deben realizar dependerá de la cultura existente y el grado de preparación de la organización. La única regla inamovible es que no se deberían tomar las principales decisiones acerca de las opciones de Continuidad, así como las tácticas de recuperación hasta que se haya llevado a cabo la etapa de "Comprender la Organización". Se puede recurrir a ayuda externa por parte de consultores cualificados en GCN para iniciar un programa de GCN. Esta medida puede ser efectiva para los costes por ahorrar en tiempo de desarrollo y necesidades de formación externa. Durante esta etapa uno de los objetivos tiene que ser la transferencia de conocimientos al personal de la organización. 5. Proceso El proceso de inicio debería construirse con las actividades descritas en este documento. Entre ellas: •Actividades de concienciación: •Ejercicios sobre el papel con la alta dirección para demostrar lo que pasaría si no existiera un esquema de respuesta a incidentes y procedimientos •Presentaciones acerca del impacto de incidentes locales recientes •Cuestionarios o entrevistas para determinar el estado actual de preparación dentro de la organización •Escribir un borrador del alcance del programa •Discusiones para planificar una Política de GCN •Recuperación de datos y elección de una opción de continuidad: •Programa de formación para el equipo que llevará a cabo el Análisis de Impacto en el Negocio (AIN) •Programa de concienciación para que los directivos entiendan mejor la GCN y sepan responder mejor a las preguntas planteadas en el AIN •AIN y Análisis de Requisitos para la Recuperación •Talleres para analizar los resultados •Talleres con la alta dirección para determinar las opciones de continuidad •Medidas para reducir amenazas específicas detectadas •Borrador de procedimientos para la gestión de incidentes •Identificar y poner en marcha mejorías rápidas de bajo coste

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

6. Métodos y técnicas En este documento se describen los métodos, herramientas y técnicas para desarrollar un Programa de GCN. Se debe recurrir a una metodología de Gestión de Proyectos para supervisar los avances. •Cuando se trata de iniciar el programa, se debe destinar el tiempo suficiente para complementar cada actividad con formación de habilidades y ejercicios de concienciación. 7. Resultados Al final del inicio exitoso de un Programa de GCN la organización debería disponer de: •Un estado satisfactorio de preparación, generalmente comprobado a través de ejercicios sobre el papel de los procedimientos de gestión de incidentes •Procedimientos, estructuras y competencias para mantener y desarrollar la capacidad de GCN 8. Revisión Mientras se encuentra en la fase inicial, el programa de GCN debe ser revisado al menos una vez al mes, además de cada vez que se alcance un hito.

cap 123456 31

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 32

GESTIÓN DE PROYECTOS Referencia: BS 25999-1 Sección 5.3.2 1. Introducción Cuando se inicia un programa de GCN por primera vez es necesario instaurar una disciplina de gestión de proyecto. Una vez que todos los elementos clave están en su sitio se llega a una gestión constante de programa. No obstante, se trata de una práctica útil para un programa constante con resultados claros, como crear momentos de concienciación en toda la organización. 2. Pasos previos Un método acordado para la Gestión de Proyectos. 3. Propósito Generar un empuje inicial para la puesta en marcha de la GCN. El uso de un método para la gestión de proyectos puede sirve para: Identificación de resultados Plazos y fechas de entrega Controles de presupuesto y esfuerzo laboral 4. Conceptos y suposiciones Si bien se pueden identificar resultados claros para algunas tareas de GCN, otras son menos tangibles, por lo que puede resultar difícil llevar a cabo algunas tareas de la gestión de proyectos en su sentido más estricto. Por ejemplo en un Análisis de Impacto en el Negocio suele existir un elemento de "descubrimiento" que vuelve difícil una cuantificación del tiempo necesario para llevarlo a cabo. 5. Proceso Se puede utilizar este documento para definir un plan para la puesta en marcha inicial de un programa de GCN. Las etapas típicas del proyecto con resultados definidos son: •Generar concienciación - defender la GCN •Definir el alcance del programa (borrador de Política) •Análisis de Impacto en el Negocio •Análisis de riesgos •Elección de la opción para la continuidad •Desarrollar y poner en marcha la respuesta •Desarrollar y dirigir un simulacro sobre el papel que verifique la efectividad de un primer borrador del plan Las estimaciones de trabajo para ciertas etapas del proyecto dependerán muchas veces de los resultados de las etapas anteriores. También se puede aplicar métodos de gestión de proyectos para ciertos elementos del programa de GCN con resultados claros, como: •Desarrollar y dirigir un simulacro de GCN •Desarrollar y ofrecer un programa de formación al personal •Seleccionar a un proveedor para un recurso de continuidad 6. Métodos y técnicas Existen varios métodos para la gestión de proyectos, muchos de ellos con software de apoyo. Se debería recurrir a un método apropiado para el tamaño y complejidad de la organización. 7. Resultados La puesta en marcha inicial del programa de GCN puede ser llevada a cabo mediante varios proyectos con resultados claros y estimaciones de trabajo. 8. Revisión El método de proyecto adoptado debería incluir los requisitos para revisiones periódicas para evaluar el progreso con respecto a fechas o hitos predeterminados y estimaciones de trabajo.

cap 123456

1. Introducción Un programa efectivo de GCN requerirá la participación de diversas disciplinas de gestión, operación, administrativas y técnicas que deben ser coordinadas a lo largo de su ciclo de vida mediante procedimientos como los indicados en este Manual. El Programa debe gestionarse dentro del marco y de acuerdo con los principios contenidos en la Política de GCN de la organización. 2. Pasos previos Puesta en práctica con éxito de las actividades de iniciación del Programa. 3. Propósito El propósito del proceso de gestión es ofrecer una gestión constante efectiva del programa de GCN de la organización. 4. Conceptos y suposiciones El número de profesionales dedicados a la GCN y personal de otras especialidades necesario para gestionar el programa depende del tamaño, naturaleza, complejidad y ubicación de la organización. En organizaciones más pequeñas es posible que el responsable de la GCN tenga otras funciones. Rara vez esto es buena solución cuando alguna de esas otras funciones también involucre una responsabilidad operativa diaria. En una organización de mayor tamaño pueden existir varias personas que dediquen todo o parte de su tiempo a la GCN. En tal caso se puede establecer una jerarquía y puede que los que dirijan el programa necesiten tener capacidad de gestión de personal (además de habilidades para la GCN). 5. Proceso La Dirección de la organización debería: •Nombrar a una persona o un equipo para gestionar el programa de GCN •Definir el alcance del proceso de gestión y el programa •Aprobar el presupuesto de continuidad •Supervisar el resultado del proceso de gestión El equipo de GCN designado debería (junto con la Dirección): •Desarrollar y aprobar un proceso de planificación de GCN y el programa. •Determinar los enfoques clave para cada fase del ciclo de vida de GCN tal y como se describen más adelante •Iniciar o gestionar las actividades de GCN apropiadas dentro de la organización •Promover la Continuidad de Negocio en toda la organización y fuera de ella en donde sea conveniente •Gestionar el presupuesto de continuidad •Documentar el programa de GCN •Investigar la capacidad de preparación en la que se encuentran las demás organizaciones del mismo sector y las obligaciones marcadas por leyes y normas •Informar al directivo de forma constante del grado de preparación en el que se encuentran y destacar los retrasos y problemas El equipo de GCN puede (junto con los ejecutivos de negocio): •Identificar y formar representantes de Continuidad de Negocio en los departamentos o en otras ubicaciones para: •Servir de punto de contacto para las cuestiones de Continuidad de Negocio que tengan que ver con el departamento o ubicación •Ayudar al departamento a identificar las implicaciones de la Continuidad de Negocio en los cambios de procesos •Informar al equipo de GCN de los cambios en los procesos •Ayudar o dirigir la recuperación del departamento o ubicación en caso de interrupción.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

GESTIÓN CONTINUA Referencia: BS 25999-1 Sección 5.4

33

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 34

6. Métodos y técnicas •Los métodos, herramientas y técnicas para gestionar un programa de GCN incluyen: •Este Manual de Buenas Prácticas •Una ficha de auto evaluación de la Política de GCN •Evaluaciones anuales de resultados para cada persona •Gestión de la relación con proveedores y empresas subcontratadas para los productos y servicios •Gestión de la relación con proveedores y el especialista en GCN •Gestión financiera •Asesoramiento legal •Comparación de la GCN en las demás empresas del sector (Proceso y Métricas) •Estándares nacionales e internacionales como el BS 25999 •Auditoría de GCN internas y/o independientes •Revisión y motivación. 7. Resultados Los resultados del programa de GCN incluyen: •Un programa de Gestión de Continuidad de Negocio claramente definido que ha sido aceptado por la alta dirección. •Informes de cumplimiento de GCN en intervalos predeterminados •Una estrategia de GCN y estándares claramente definidos y documentados •Un proceso de gestión que forma parte integral del programa de GCN y ciclo de vida de la organización •La revisión de las soluciones para la recuperación de la organización •El presupuesto anual del programa de GCN •El informe de auditoría del programa de GCN •El mantenimiento de capacidades efectivas para la GCN •Experiencias exitosas en notificación, traspaso de responsabilidades, prevención y recuperación 8. Revisión Un programa de GCN debería ser gestionado de forma constante. El programa debería ser revisado por auditores internos o externos en los plazos que ellos determinen.

cap 123456

1. Introducción Una parte importante del proceso de GCN es gestionar toda la documentación de GCN. Tiene que hacerse de forma consistente, fácil de comprender y que apoye tanto la supervisión de operación como las auditorías. El nivel y tipo de la documentación debe corresponderse con el tipo y tamaño de la organización. 2. Pasos previos Las organizaciones que han recibido la certificación de estándares como el ISO 9000 o ISO 27001 tendrán que asegurarse que la documentación de GCN cumple con esos estándares. 3. Propósito La documentación de GCN tiene tres propósitos: •Gestionar el programa de forma efectiva. •Demostrar que el programa ha sido gestionado de forma efectiva en caso de auditoría. •Durante una interrupción, disponer de la documentación efectiva y actualizada que se necesita para la gestión de incidentes y la recuperación de la actividad. 4. Conceptos y suposiciones Si bien es importante mantener la documentación de GCN, su sola existencia no demuestra que se dispone de la capacidad para responder a un incidente. Se tiene que ofrecer al personal una formación adecuada en la operación de las aplicaciones software utilizadas en el programa. Aquellos responsables del mantenimiento de los planes deberían ser capaces de actualizar su documentación, ya que esto les ayuda a sentirse involucrados y disminuye las necesidades de personal administrativo en la supervisión central de GCN. Un software especializado de GCN puede suponer ciertas ventajas para el mantenimiento, pero también significa un coste constante en formación a lo largo del programa. 5. Proceso El mantenimiento de la documentación de la GCN debería estar integrado con los procedimientos de gestión de cambio de la organización. 6. Métodos y técnicas •Se puede utilizar un software para gestionar la documentación de la GCN. •Un procesador de texto puede utilizarse para los documentos de texto como la Política. •Se pueden utilizar hojas de cálculo y bases de datos para la logística de los planes de respuesta. •Se puede utilizar un software especializado para los planes. •También se puede utilizar un software para garantizar que las diferentes ubicaciones de la organización disponen de copias actualizadas de los documentos. 7. Resultados •Un conjunto actualizado de documentación GCN . Puede incluir lo siguiente: •Una Política de GCN que incluya su alcance y principios. •Análisis del Impacto en el Negocio. •Evaluación de riesgos y amenazas. •Estrategias de GCN con informes que sustenten la elección de las estrategias adoptadas. •Planes de respuesta -Planes de Gestión de Incidentes -Planes de Continuidad de Negocio -Planes por departamentos de Recuperación de Negocio •Calendario de pruebas e informes •Programa de concienciación y formación •Acuerdos de niveles de servicio con clientes y proveedores •Contratos con terceras partes para servicios de recuperación como espacio de trabajo y rescate Revisión El ciclo de revisión de cada documento se puede consultar en las secciones relativas a su creación y utilización. La documentación y los controles deberían ser revisados por auditores internos o externos con la regularidad que ellos determinen.

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

DOCUMENTACIÓN Referencia: BS 25999-1 Sección 5.5

35

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 36

PREPARACIÓN PARA LOS INCIDENTES Y SUS RESPUESTAS 1. Introducción A pesar de que la Gestión de Continuidad de Negocio es principalmente una actividad de planificación, es inevitable que se espere del equipo de GCN que lidere cuando se tenga que responder a un incidente. 2. Pasos previos Los responsables de la GCN deberían asumir que la gestión de incidentes se haría progresivamente cargo en caso de tener que poner el plan en práctica. 3. Propósito El equipo de GCN es el que posee el conocimiento más detallado acerca de las estrategias generales y las acciones que necesitan llevarse a cabo inmediatamente. Tienen que apoyar a la dirección con evaluaciones y actividades preventivas hasta que entre en operación el Equipo de Gestión de Incidentes. 4. Conceptos y suposiciones Se suele asumir que aquellos que han desarrollado el plan son los mejores para responder a un incidente. Sin embargo suele existir una contradicción entre las características de personalidad que se exigen a un planificador y las necesarias en un líder. Cualquier problema relativo a esta cuestión debería salir a la luz tras la realización de simulacros realistas. 5. Proceso Recibir notificación de un problema. Evaluar la situación y luego: •gestionar la respuesta a través de los planes previstos •o transferir el problema al equipo de gestión de incidentes Si es necesaria una respuesta, entonces se deben considerar inmediatamente los siguientes aspectos: •¿Está usted preparado, tanto física como emocionalmente para ayudar o dirigir la respuesta? •¿Están presentes las demás personas que tienen que aportar una respuesta? ¿Son capaces de asumir los papeles que les han asignado? Algunas personas pueden reaccionar a un incidente con un comportamiento inusual •¿Ha comunicado lo sucedido a la alta dirección? 6. Métodos y técnicas Existen muchos métodos para gestionar incidentes, aquí sugerimos uno genérico. •Contener - ¿Hay algo que se pueda hacer de inmediato para evitar que empeore el problema? •Seguir el Plan - ¿Existe una respuesta planificada con antelación que se corresponda con el incidente? •Seguir el procedimiento documentado, el cual puede incluir los pasos siguientes: •comunicar - Tratar de resolver el problema en solitario puede hacer perder tiempo si la situación se descontrola. •si necesario, crear un equipo de respuesta •evaluar la situación - Averiguar tanto como se pueda sin incurrir en riesgos personales •Predecir el resultado más probable y adaptar el Plan de Continuidad de Negocio para ofrecer una estrategia de respuesta •Predecir un resultado para el peor de los casos y disponer de una estrategia de respuesta de respaldo •Llevar la respuesta al grado adecuado de responsabilidad dentro de la organización •Poner en práctica la estrategia de respuesta •Evaluar el progreso de la respuesta con respecto al resultado más probable •En cuanto la situación lo permita, revisar la efectividad de la respuesta 7. Resultados El resultado de una respuesta exitosa es un regreso controlado de la organización a su actividad normal. 8. Revisión La respuesta de la organización debería evaluarse tan pronto como sea posible después de la interrupción y efectuar las modificaciones necesarias a los procedimientos, personal o contratos.

cap 123456

Estos son los elementos clave que se esperan de una organización madura que cuenta con GCN: COMPROMISO DE LA ALTA DIRECCIÓN 1. La organización posee una política de GCN 2. El Consejo de Administración o su equivalente es responsable último de la instauración de la Política GCN 3. El Consejo de Administración ha nombrado a un comité o persona con autoridad, experiencia y capacidad necesarias para responsabilizarse y rendir cuentas de la política de GCN 4. La responsabilidad operativa de la GCN se refleja claramente en los objetivos de resultados de la alta dirección 5. La alta dirección ha definido directrices claras de responsabilidad e información para todas las personas a cargo de la GCN 6. Existe una autoridad centralizada de GCN que se encarga de asegurar que toda la organización comparte estándares y prácticas comunes CONTENIDO DE LA POLÍTICA 7. Define principios, objetivos y el propósito de la GCN en la organización 8. Expone la definición de GCN para la organización 9. Expone los procedimientos que garantizan que todas las unidades de negocio tienen total conocimiento y cumplen la política 10. Explica de forma clara los límites de alcance y las salvedades que se aplican en su interpretación 11. Expone plazos explícitos para el cumplimiento de todos los objetivos de la política de GCN 12. Hace referencia al conjunto de estándares mínimos adoptados para la GCN 13. Hace referencia al marco operativo y de gestión de la GCN 14. Hace referencia a la tolerancia o capacidad de absorción de riesgos de la organización relacionados con la GCN 15. Obliga a promover la GCN dentro de la cultura de la organización 16. Obliga a que todas las terceras partes y empresas subcontratadas de crítica importancia dispongan de políticas de GCN aceptables 17. Apoya y está en línea con los objetivos estratégicos de la organización GESTIÓN DE PROGRAMA DE GCN 18. La política exige controles de cambios efectivos para todos los componentes del programa de GCN 19. La política se revisa de forma regular para asegurar que refleja las necesidades cambiantes de la empresa 20. La política define factores desencadenantes para revisiones de todos los componentes de la GCN, tanto las periódicas como las causadas por cambios 21. Está instaurado un programa de GCN para poner en práctica la política de GCN en todas las áreas de la organización 22. Sus objetivos y alcance están claramente definidos y formalmente aceptados por la alta dirección 23. Está completa y claramente en línea con los objetivos y estrategias más amplios de la organización 24. Sus avances se comunican de forma regular a los proveedores, clientes y demás partes interesadas de la organización 25. Está formalmente gestionado por la alta dirección, a la cual se informa sistemáticamente del grado de cumplimiento de objetivos 26. Siempre se actualiza rápidamente para reflejar las nuevas adquisiciones del negocio, acuerdos de subcontratación y cambios principales en proyectos o sistemas RECURSOS DE LA GCN 27. Están formalmente supervisados, respaldados y autorizados por la alta dirección 28. Están supervisados, gestionados y operados por personas competentes y cualificadas 29. Definen claramente y reconocen formalmente los roles, responsabilidades y grados de autoridad de las personas involucradas en su operación 30. Los roles y responsabilidades de todas las personas en el programa se reflejan de forma clara en sus perfiles de puestos y objetivos de resultados

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

INDICADORES DE GCN

37

POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN

123456

cap 38

31.El programa de GCN identifica las siguientes medidas como obligatorias: •A. Análisis de Impacto en el Negocio (AIN) •B. Evaluación de riesgos relacionados con la continuidad •C. Previsión de estrategias realistas de continuidad de negocio •D. Planificación de gestión de incidentes •E. Planificación de continuidad de negocio •F. Probar la GCN •G. Promover la concienciación en GCN •H. Mantener la capacidad en GCN •I. Gestión efectiva de programa de GCN •J. Adopción de política de GCN GESTIÓN DE PROYECTO 32. Las actividades se revisan y autorizan formalmente por una persona con autoridad adecuada 33. Los proyectos se revisan y actualizan para tomar en cuenta los cambios que afectan su validez 34. Los proyectos se gestionan formalmente con respecto a plazos y objetivos definidos en la política DOCUMENTACIÓN 35. El programa de GCN está documentado de forma clara y completa 36. El programa de GCN especifica claramente el punto de vista que se utilizará para documentar cada componente 37. El programa de GCN controla toda la documentación obligatoria de la actividad de GCN.

COMPRENDER LA ORGANIZACIÓN

capítulo 1 2 3 4 5 6 Comprender la organización

39

COMPRENDER LA ORGANIZACIÓN

Acerca del Capítulo 2 - Comprender la organización La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y demás partes interesadas, la reputación, la marca y las actividades creadoras de valor. Comprender la organización es un elemento clave de toda buena Gestión de Continuidad de Negocio. Busca identificar los productos y servicios clave de una organización, y tras ello definir los factores críticos de las actividades que están detrás. Esta parte de la GCN debe estar totalmente integrada dentro de los objetivos, obligaciones y estatutos de la organización. Una comprensión del negocio mediante la combinación de un Análisis del Impacto en el Negocio (AIN) y una Evaluación de Riesgos (ER) puede en muchos casos destacar las ineficiencias del negocio y centrarse en prioridades que de otra forma no podría ver la alta dirección.

cap

123456

COMPONENTES DE LA ETAPA 2 COMPRENDER LA ORGANIZACIÓN 1. PRINCIPIOS GENERALES 2. ANÁLISIS DEL IMPACTO EN EL NEGOCIO 3. EVALUAR LOS REQUISITOS DE RECUPERACIÓN 4. EVALUAR LAS AMENAZAS (EVALUACIÓN DE RIESGOS)

40

Principios generales Tal y como se describe en la sección dedicada a la Política de GCN, la organización debe tomar una decisión clara acerca de si la GCN afectará a toda la organización o sólo a ciertos productos o servicios. Esto determina el alcance del Análisis del Impacto en el Negocio (AIN) y de la Evaluación de Riesgos (ER). Las herramientas para comprender su negocio desde un punto de vista de continuidad de negocio son: •Análisis del Impacto en el Negocio (AIN) - un proceso obligatorio para calcular el impacto en el tiempo de una interrupción en la capacidad de operar de una organización. •Análisis de Requisitos de Continuidad - para calcular los recursos, instalaciones y servicios que necesitará cada actividad cuando se reinicie. •Evaluación de Riesgos (ER) - para calcular la probabilidad de amenazas conocidas y su impacto sobre funciones específicas.

cap 123456

El AIN identifica la urgencia de cada actividad de negocio llevada a cabo por la organización al evaluar el impacto en el tiempo de una interrupción de esta actividad en la entrega de productos y servicios. Se utiliza esta información para identificar el plazo de las estrategias de continuidad y recuperación apropiadas para cada actividad por separado y entre ellas. El Análisis de Requisitos para la Continuidad ofrece la información que permitirá determinar la magnitud (tamaño y cantidad) de las medidas apropiadas de continuidad. La Evaluación de Riesgos (ER) ayuda a identificar las posibles causas de interrupción en una organización, la probabilidad de que suceda y el impacto en caso de que la amenaza se materialice. A partir de entonces se pueden detectar medidas que reduzcan la probabilidad de que suceda o aminoren el impacto de un incidente que se produzca por estas amenazas. Dentro del programa de GCN, tras estudiar los resultados del AIN, una ER debería dar prioridad a tecnologías específicas y riesgos inherentes a las actividades de negocio identificadas, y no en todos los riesgos que encara la organización.

COMPRENDER LA ORGANIZACIÓN

COMPRENDER LA ORGANIZACIÓN Referencia: BS 2999-1 Sección 6

41

COMPRENDER LA ORGANIZACIÓN

123456

cap 42

ANÁLISIS DEL IMPACTO EN EL NEGOCIO Referencia: BS 2999-1 Sección 6.2—3 1. Introducción El Análisis del Impacto en el Negocio son los cimientos sobre los que se construye todo el proceso de GCN. Identifica, cuantifica y califica los impactos sobre el negocio de una pérdida, interrupción o trastorno de los procesos de una organización y ofrece los datos a partir de los que se determinan las estrategias de continuidad adecuadas. Se puede utilizar un Análisis del Impacto en el Negocio (AIN) para identificar el plazo y magnitud del impacto de un trastorno en varios niveles de una organización. Por ejemplo para examinar el efecto de: •La pérdida de capacidad para entregar cada producto o servicio - para tomar decisiones informadas acerca del alcance del programa de GCN. •Una interrupción de las actividades internas y externas que crearía un trastorno en la entrega de productos y servicios - para disponer de información para elegir las opciones de continuidad y los recursos que necesitan. •Un trastorno en una actividad de negocio - para ayudar a preparar un plan detallado para el departamento. Una vez determinado el alcance, el AIN se centra en las actividades (que apoyan esos productos y servicios) e identifica aquellas cuya deficiencia pondría más rápido en riesgo la entrega. Tienden a ser actividades "operativas" que interactúan de forma directa con clientes o otras organizaciones externas. No obstante es posible que estas actividades dependan para la entrega del "apoyo" de otros procesos internos y externos, que también deberán ser analizados. Algunos ejemplos de funciones operativas: •Servicio a cliente •Ventas •Producción Algunos ejemplos de funciones de apoyo: •TI •Recursos humanos •Servicios externos de apoyo tales como energía Algunos ejemplos de actividades estratégicas: •Dirección •Proyectos •Planificación 2. Pasos previos Antes de intentar realizar un Análisis del Impacto en el Negocio (AIN) es necesario lograr el apoyo total de la dirección ejecutiva y la mayoría de la alta dirección. Es poco probable que los demás directivos estén dispuestos a dedicar tiempo a este ejercicio si no está asegurado el apoyo de las más altas esferas. Antes de llevar a cabo el AIN se puede haber tomado una decisión acerca de qué productos y servicios se incluirán en el programa de GCN, algo que quedará documentado en la Política de Gestión de Continuidad de Negocio (GCN). El método de AIN también puede utilizarse para comprender el impacto de un fracaso en la entrega de un producto o servicio. Esto luego sirve para tomar decisiones informadas. La Política de GCN es el documento clave que determina el alcance y buen gobierno del programa de GCN. La Política ofrece el contexto en el que el equipo de GCN pondrá en marcha las competencias necesarias. Para desarrollar un programa adecuado de Gestión de Continuidad de Negocio debe asegurarse que refleja los objetivos y la cultura de la organización (Ver Capítulo 1).

COMPRENDER LA ORGANIZACIÓN

cap 123456

3. Propósito El propósito de un Análisis del Impacto en el Negocio es - para cada actividad, producto y servicio: •Documentar los impactos a lo largo del tiempo causados por su pérdida o trastorno •Dar elementos a la dirección para tomar una decisión acerca del Período Máximo Tolerable de Interrupción Identificar las dependencias (tanto internas como externas) que se generan obligatoriamente para que la actividad opere de forma efectiva Es posible, e incluso deseable, que se utilice un AIN para evaluar por adelantado el impacto de una interrupción de un cambio sustancial de negocio, como: •Introducción de un nuevo producto, proceso o tecnología •Cambio de ubicación de las oficinas o modificaciones de la extensión geográfica del negocio •Cambio significativo en las operaciones, estructura o niveles de personal del negocio •Incorporación de un nuevo proveedor o contrato de subcontratación importantes 4. Conceptos y suposiciones Conceptos •Período Máximo Tolerable de Interrupción (PMTI). Se trata del plazo después del cual la viabilidad de una organización (tanto financiera como por pérdida de reputación) se verá amenazada de forma irrevocable si no puede reiniciar la entrega de un producto y servicio específico. •Es posible que el PMTI tenga un componente estacional. Por ejemplo, el final de un año fiscal puede reducir el tiempo tolerable de interrupción de la actividad financiera y un contrato único que conlleve penalizaciones significativas puede reducir el nivel tolerable de inactividad de varias funciones de la organización. •Objetivo de Punto de Recuperación (OPR) - es el punto en el que la información debe ser restaurada para permitir la operación de una actividad una vez se haya reiniciado. Terminología: actividades 'críticas' •Tras determinar el PMTI de cada actividad, suele ser recomendable vincular esas actividades con requisitos similares de recuperación. Algunas veces las organizaciones definen estos grupos según su plazo de recuperación (por ejemplo, 1 día, 2 día, 1 semana,... etc); otras utilizan el término "críticas" para ciertas actividades necesarias en los primeros días. Aquellos que no estén familiarizados con la terminología de GCN, se suele confundir el término "crítico" como "importante", lo que conlleva confusiones a la hora de recolectar datos para el AIN y la creencia errónea de que no se necesitan planes y tácticas de recuperación para las actividades "no críticas". Otros términos menos ambiguos son "crítico en tiempo", "sensible al tiempo" y "urgente". Suposiciones •Se asume que es posible entender la organización mediante el análisis por separado de sus actividades de negocio. •Es posible que el PMTI sea difícil de determinar en el caso de funciones con componentes estacionales o periódicos como los proyectos de final de año. En tales casos el análisis de impacto debería centrarse en una interrupción de la actividad durante uno de estos picos. •Cuando ya existan medidas de resistencia instauradas, se asume que ya están operativas (aunque pueden revelarse inadecuadas). Confidencialidad de la información •Es posible que cierta información tenga carácter confidencial para el mercado o el sector, por lo que algunas organizaciones no la revelarán al responsable de GCN. El hecho de no disponer de esta información no debería impedir la relación del AIN, aunque podría afectar a la fiabilidad de los resultados finales. 5. Proceso Alcance y magnitud •Si la organización es parte de un grupo – identificar la relación existente entre las diferentes partes de la organización, ya que esto puede afectar al PMTI. •Si la organización tiene varias ubicaciones, determinar el alcance geográfico del AIN de la Política. •Conseguir que el responsable de proyecto nombrado por la alta dirección ratifique los términos de referencia.

43

COMPRENDER LA ORGANIZACIÓN

123456

cap 44

Análisis del Impacto en el Negocio •Identificar las actividades diferenciadas a lo largo de la organización (que pueden implicar a varios departamentos) y los responsables de esos procesos. •Identificar el personal adecuado del que se puede conseguir la información acerca de los procesos – los expertos en la materia. •Identificar los impactos que pueden provocar daños para la reputación, activos o situación financiera de la organización. •Cuantificar los tiempos en los que una interrupción de cada actividad resulta inaceptable para la organización. •En aquellos casos en el que la organización dispone de varios emplazamientos puede ser necesario decidir cuál será el alcance geográfico de un trastorno o la magnitud de la pérdida de recursos que la organización tiene que planificar de cara a sobrevivir. Esto puede ser determinado por: -Amplitud geográfica (o extensión de mercado/cliente) -Obligaciones legales o estatutarias -Requisitos de los productos, del mercado o de los clientes Informes •Lograr que los responsables de los procesos ratifiquen los datos para confirmar la fiabilidad de la información. •Obtener el respaldo del responsable de GCN para las conclusiones. 6. Métodos y Técnicas Recopilación de datos Algunos métodos, herramientas y técnicas para llevar a cabo los Análisis de Impacto en el Negocio: •Talleres •Cuestionario (s) - en papel y/o software •Entrevistas (estructuradas y no estructuradas) En términos generales: •Los talleres ofrecen resultados rápidos y una oportunidad para establecer un compromiso directo con el programa siempre y cuando todos los departamentos y participantes hayan asumido su importancia. •Los cuestionarios ofrecen grandes cantidades de datos, pero la calidad de la información puede ser muy cuestionable si no se han obtenido de forma coherente. •Las entrevistas pueden ofrecer muy buena información pero llevan tiempo y los datos logrados pueden variar en formato y detalle. •La combinación de los métodos reseñados puede ofrecer excelentes resultados siempre y cuando se establezca un grado adecuado de detalle y un formato estándar de informes que permitan una coherencia en la recopilación y análisis de la información a lo largo de múltiples áreas de la organización. Cuestionarios para la recopilación de datos No existe una metodología única para recoger los datos en un Análisis del Impacto en el Negocio. Los métodos cambian según el sector y según las personas responsables. Cada sector de actividad tiene sus necesidades específicas en lo que se refiere a resultados, tipos de información, profundidad y alcance. No obstante se deben considerar algunos principios básicos: •El objetivo del AIN es recopilar información que sustenten la elección de las estrategias de continuidad adecuadas, que se sustenta en la urgencia de cada actividad para reiniciarse •¿Cómo se utilizará la información que recoja? •¿Cuál es el mejor formato para la recopilación de datos de cara a presentar resultados de forma efectiva? •Información básica que se necesita para determinar la urgencia de la actividad que se analiza tanto por separado como siendo parte integral de la organización: -Plazos en los que la actividad debe reiniciarse -Ubicaciones desde las que se lleva a cabo la actividad -Cuestiones que influyen sobre la actividad, por ejemplo períodos pico, informes a las autoridades... •Cuál sería el impacto de suspender la actividad •Cuánto tiempo puede sobrevivir la organización sin ella

COMPRENDER LA ORGANIZACIÓN

cap 123456

-¿Existen alternativas? •Factores que deben tomarse en cuenta: -Volúmenes, por ejemplo, llamadas por hora, producción... -Obligaciones contractuales o legales -Herramientas clave para lograr la continuidad de la actividad (cuántas, dónde y cuándo): -Personal – conjunto de habilidades -Equipos – TI, telecomunicaciones, planta de fabricación / industrial -Datos – en papel y electrónicos -Dependencias – internas o externas a la organización Software Existen varios productos informáticos disponibles para llevar a cabo Análisis del Impacto en el Negocio que pueden ser útiles, aunque no esenciales. Las principales ventajas de utilizar un software radican en la facilidad de analizar resultados, el almacenamiento de información y la elaboración de informes de resultados. No obstante, su utilización no elimina la necesidad de realizar entrevistas o involucrar a las personas que conozcan la actividad que se analiza. Informes Cada organización tiene su estilo para elaborar informes. En algunos casos ese estilo tendrá que ser ajustado para lograr que muchos grupos lo puedan interpretar dentro de la misma organización y puede incluir tablas y gráficos. El formato idóneo de informes de la organización debe ser establecido y acordado en el momento de determinar el alcance de la actividad ya que el formato final de reporte puede afectar la forma de recopilar, agregar, analizar y presentar la información. 7. Resultados Los resultados de un Análisis del Impacto en el Negocio son: 1) El Período Máximo Tolerable de Interrupción y su justificación (naturaleza de los impactos) para cada actividad 2) El Objetivo de Punto de Recuperación (OPR) al que la información tiene ser restaurada para permitir que una actividad opere una vez que se ha reiniciado. 8. Revisión Las buenas prácticas indican que un Análisis del Impacto en el Negocio debería revisarse como mínimo una vez al año, pero de forma más frecuente en caso de: •Un cambio importante en el negocio a un ritmo particularmente agresivo •Un cambio importante en los procesos internos de negocio, ubicación o tecnología •Un cambio importante en el entorno externo de negocio, como un cambio en el mercado o en las leyes. Esto no significa necesariamente que se deba rehacer todo el AIN. Un diseño cuidadoso de los informes del AIN puede facilitar este proceso si ofrece una comparación con respecto a cambios en las áreas reseñadas. En tal caso se puede medir los cambios de impacto relativos a esas cuestiones.

45

COMPRENDER LA ORGANIZACIÓN

123456

cap 46

EVALUAR LOS REQUISITOS DE CONTINUIDAD Referencia: BS 2999-1 Sección 6.4 1. Introducción El Análisis de Requisitos de Continuidad recopila información acerca de los recursos necesarios para reiniciar y continuar las actividades de negocio al nivel suficiente para satisfacer las obligaciones de las organizaciones. 2. Pasos previos Este paso se suele dar al mismo tiempo que se busca la información para el AIN. 3. Propósito Su propósito es: •Ofrecer la información de recursos a partir de la que se puede recomendar o determinar una estrategia de recuperación adecuada •Identificar las necesidades de recursos derivadas de las dependencias tanto internas como externas que se generan para llevar a cabo las actividades 4. Conceptos y suposiciones Requisitos de Continuidad Se suele asumir que los recursos necesarios después de un trastorno serán mucho menores que los que se requieren durante las operaciones normales - al menos durante un tiempo. Sin embargo en algunos casos es posible que los recursos necesarios en las primeras etapas de recuperación sean mayores de los normalmente utilizados para resolver retrasos en la entrega. Por ejemplo, en un centro de llamadas se puede necesitar personal adicional para resolver la cantidad de llamadas suplementarias que se recibirán tras una interrupción, además de que puede que los sistemas de TI de apoyo necesiten una mayor capacidad para responder a este número suplementario de usuarios. 5. Proceso Requisitos de Continuidad Cuantificar los recursos (es decir, personal, tecnología, telefonía...) que serán necesarios a lo largo del tiempo para mantener el negocio en un nivel aceptable durante el plazo máximo tolerable de trastorno. Durante un tiempo después del trastorno pueden ser menores o mayores que las necesidades habituales de recursos. Deberían tener en cuenta cualquier actividad suplementaria que se generará a consecuencia de la interrupción y la necesidad de eliminar los retrasos en la entrega que ya existían. Informes •Hacerlos ratificar por el responsable del proceso para confirmar la veracidad de la información •Lograr que las conclusiones estén respaldadas por el responsable de GCN Presentarlos a la alta dirección para determinar si los resultados se verían impactados por cualquiera de las modificaciones de negocio propuestas y para su aprobación para que pasen a la etapa de diseño de estrategia. Iniciar el desarrollo de la estrategia de GCN 6. Métodos y Técnicas Recopilación de datos Los métodos, herramientas y técnicas para llevar a cabo un Análisis de Requisitos de Continuidad incluyen: •Talleres •Cuestionario (s) - en papel y/o software •Entrevistas estructuradas o no estructuradas •Se suele recoger esta información al mismo tiempo que la información relativa al AIN 7. Resultados Los resultados de un Análisis de Requisitos de Continuidad son: •Los recursos que se necesitan durante el tiempo después del retorno de la actividad para ofrecer los niveles de servicio acordados. •Las interdependencias entre actividades internas y proveedores externos. Esta información alimenta de forma directa la etapa de creación de una Estrategia de Continuidad de Negocio.Las necesidades de recursos ofrecerán los datos para evaluar soluciones alternativas de recuperación que se adecuen en tamaño y resultados.

EVALUAR LAS AMENAZAS (EVALUACIÓN DE RIESGOS) Referencia: BS 2999-1 Sección 6.5

cap 123456

1. Introducción En el contexto de la GCN, una Evaluación de Riesgos estudia la probabilidad e impacto de una serie de amenazas específicas que podrían causar una interrupción en el negocio. Asignando prioridades es posible instaurar medidas para reducir la probabilidad o frenar el impacto de estas amenazas. Cuando se evalúan las amenazas para las actividades del negocio, el AIN ofrece una dimensión suplementaria (tiempo) en la conocida ecuación Impacto de la Amenaza x Probabilidad. Esto sugiere que los esfuerzos para instaurar iniciativas para atacar los riesgos deberían dirigirse a aquellas actividades que afectarán más rápido el negocio. Es difícil extender el Análisis de Riesgos a toda la organización. Pero al centrarse en los recursos necesarios para operar las actividades más urgentes de la organización (es decir, siguiendo un AIN), el enfoque de la Evaluación de Riesgos puede reducirse a un alcance más manejable. Debería entenderse que la Evaluación de Riesgos presenta serias deficiencias a la hora de evaluar riesgos operativos catastróficos porque: •Es imposible identificar todas las amenazas. •Las estimaciones de probabilidad son conjeturas o están basadas en información histórica y a veces poco fiable. •Los impactos no son fijos ("alto, medio y bajo") pero crecen en diferentes ritmos con el paso del tiempo. •Las escalas numéricas utilizadas suelen exagerar el impacto de acontecimientos menores. La Evaluación de Riesgos puede identificar concentraciones de riesgos inaceptables y lo que se llama "puntos únicos de fallo". Estos deben ser comunicados lo antes posible al responsable de Continuidad de Negocio en la alta dirección además de presentarle opciones para resolver el problema. La decisión estratégica de mitigar, transferir o aceptar el riesgo debe estar documentada y ratificada. En algunos países y sectores es obligatorio realizar la Evaluación de Riesgos. 2. Pasos previos Antes de efectuar una Evaluación de Riesgos se debe llevar a cabo un Análisis del Impacto en el Negocio para identificar las funciones más urgentes en las que debe centrarse la evaluación de riesgos. 3. Propósito El propósito de una Evaluación de Riesgos es: •Identificar las amenazas internas y externas que podrían causar un trastorno y evaluar su probabilidad e impacto •Dar prioridad a las amenazas según una fórmula acordada •Dar elementos de juicio para un programa de control de gestión de riesgos y un plan de acción. 4. Conceptos y suposiciones Conceptos: Independiente de la complejidad de la fórmula que se adopte, se asume la relación siguiente: •Riesgo = Impacto de la amenaza x Probabilidad Algunos modelos de riesgo ordenan los riesgos por: Prioridad = Riesgo x Capacidad para controlar ese riesgo. Esto asigna una prioridad a las amenazas que son más fáciles de controlar con el argumento implícito de que así se logrará el mejor retorno para la inversión en tiempo y dinero, pero no tiene en cuenta muchos impactos externos. En otros modelos de riesgo los riesgos evaluados se examinan sin la existencia de controles y luego con los controles reales y deseados ya instalados. Este segundo paso sirve para recalcar que no se deben hacer suposiciones a la hora de gestionar el entorno de control de riesgos y que se debería de medir la efectividad de los controles en su estado real, cuando estén amenazados y luego mejorados. Si después de este segundo paso una organización decide que no quiere mejorar los controles - quizás debido a un coste excesivo, los responsables de Riesgos y GCN tienen que ser conscientes de ello y tomar en cuenta esta decisión en su visión.

COMPRENDER LA ORGANIZACIÓN

8. Revisión La revisión del análisis de requisitos de continuidad debería realizarse al mismo tiempo que la del AIN.

47

COMPRENDER LA ORGANIZACIÓN

123456

cap 48

El "apetito para los riesgos" o "nivel de tolerancia de riesgos" de la organización es la cantidad de riesgos que una organización está dispuesta a aceptar y influirá en las acciones que tomará para controlar las amenazas reconocidas. Suposiciones •Se pueden identificar todas las amenazas realistas. •Hay disponibles estadísticas fiables para calcular la probabilidad de que suceda. •Las amenazas más fáciles de controlar (las relativas a personal o edificios propios) deben tener una mayor prioridad con respecto a las que es más difícil de influir – como las malas condiciones meteorológicas. •La utilización de una escala numérica para asignar un valor a los impactos puede reflejar de forma adecuada la importancia relativa de activos de más difícil cuantificación, como la reputación. •La utilización de una escala numérica (1,2,3.) sirve para representar una relación realista entre los diferentes impactos y sus probabilidades (cuando en realidad puede ser más realista una escala logarítmica, (por ejemplo 1, 10, 100, 1000...)). 5. Proceso Las etapas clave de una Evaluación de Riesgos son: •Tabular un sistema de puntuación para impactos y probabilidades y obtener el acuerdo del responsable del proyecto. •Hacer una lista de los procesos urgentes determinados por el AIN. •Estimar el impacto de la amenaza sobre la organización mediante un sistema de evaluación numérico. •Determinar la probabilidad o frecuencia de que ocurra cada amenaza y darle un grado de importancia mediante un sistema de evaluación numérico. •Calcular el riesgo mediante la combinación de las valoraciones de impacto y probabilidad de cada amenaza según una fórmula acordada. •Se puede asignar rangos de prioridad a los riesgos según una fórmula que incluya una medida de la capacidad para controlar la amenaza. •Obtener la ratificación por escrito del responsable de la organización para estas prioridades de riesgo. •Revisar las estrategias existentes de gestión de control de riesgos fijándose en aquellos puntos en los que el nivel de riesgo detectado no se corresponde con las actuales estrategias de gestión de riesgos relativas a esa amenaza. •Considerar la instauración de medidas adecuadas para: •Transferir el riesgo, por ejemplo con una compañía de seguros •Aceptar el riesgo, por ejemplo allí donde el impacto y/o la probabilidad sean bajos •Reducir el riesgo, por ejemplo mediante la puesta en marcha de mayores controles •Evitar el riesgo, por ejemplo mediante la eliminación de la causa u origen de la amenaza •Asegurar que las medidas planificadas contra los riesgos no aumentan otros riesgos. Por ejemplo, subcontratar una actividad puede reducir ciertos riesgos, y a su vez elevar otros. •Obtener del responsable la autorización por escrito y el presupuesto para las medidas propuestas de gestión de control de riesgos. 6. Métodos y técnicas Algunos de los métodos, herramientas y técnicas para lograr una Evaluación de Riesgos: •Determinar las amenazas •Análisis del Árbol de Eventos •Análisis del Árbol de Fallos •Evaluar las probabilidades •Estadísticas de las empresas de seguros •Estadísticas publicadas acerca de la frecuencia de desastres Sistemas de evaluación Existen muchos sistemas de evaluación en los libros que se han publicado acerca del tema.

COMPRENDER LA ORGANIZACIÓN

Tabular los riesgos • Matriz de Vulnerabilidad a las Amenazas • Matriz de Riesgo Evaluar soluciones • Análisis de coste y beneficio. 7. Resultados Los resultados de una Evaluación de Riesgos deben identificar y documentar: •Los puntos específicos de fallo •Una lista de amenazas a la organización o a los procesos de negocio analizados, clasificadas por orden prioritario •Información para una estrategia de gestión de control de riesgos y un plan de acción para atajar los riesgos • Aceptación demostrada de los riesgos identificados que no se van a atajar 8. Revisión Se debe realizar la Evaluación de Riesgos tal y como está definida en la estrategia de gestión de riesgos de la organización. Normalmente tendrá una periodicidad anual para aquellos procesos más sensibles a los tiempos, pero será más frecuente si: •El ritmo en la evolución del negocio es particularmente agresivo. •Se han producido importantes cambios en el negocio en lo que se refiere a los procesos internos, la ubicación o los recursos tecnológicos •Se ha registrado una modificación importante en el entorno del negocio – un cambio en el mercado o en las obligaciones legales, por ejemplo. Nota: Se habla de BS 25999-1 Sección 6.6 (Determinar opciones) en Etapa 1— Alcance del Programa de GCN.

cap 123456 49

COMPRENDER LA ORGANIZACIÓN

123456

cap 50

INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organización con una GCN madura BUEN GOBIERNO CORPORATIVO 1. El programa de GCN contiene mecanismos formales explícitos que garantizan el cumplimiento de todas las leyes, normas y códigos sectoriales de buenas prácticas 2. El programa de GCN contiene mecanismos formales explícitos que garantizan el cumplimiento de todas las políticas y directrices internas y los códigos sectoriales de buenas prácticas adoptados 3. El programa de GCN contiene mecanismos formales explícitos que permiten rápidamente identificar y reflejar todos los cambios en los estatutos, políticas o códigos que afectan a la GCN PRÁCTICA DEL AIN 4. La organización lleva a cabo el Análisis del Impacto en el Negocio (AIN) para todas las áreas de operación 5. El AIN evalúa y registra a lo largo del tiempo la tolerancia de las partes interesadas a verse privadas de los productos, servicios y otros intereses 6. El AIN evalúa y registra a lo largo del tiempo la tolerancia de la organización a cada tipo de gran impacto relacionado con la continuidad que pueda enfrentar 7. El AIN evalúa y registra a lo largo del tiempo los posibles tipos, niveles de gravedad y combinaciones de impacto relacionados con la continuidad 8. El AIN evalúa y registra a lo largo del tiempo el impacto conjunto sobre la organización de la falta de recuperación de cada actividad después de un trastorno 9. El AIN establece, cuantifica y justifica: •A. El Período Máximo Tolerable de Interrupción para cada actividad •B. Los niveles a los que, con el tiempo, todas las actividades deben regresar •C. Todos los recursos de cada actividad para lograr los objetivos de tiempos de recuperación •D. Las actividades o funciones, recursos e infraestructuras de la organización 10. El AIN toma totalmente en cuenta y cumple en toda su extensión con la política de GCN 11. El AIN cumple integralmente con la visión estipulada por la organización 12. Los datos y conclusiones derivados del AIN están totalmente documentados 13. El AIN y toda su documentación asociada: •A. Representa una visión actualizada que refleja el estado de la organización •B. Una vez al año se revisará formalmente con respecto a la Política de GCN y más veces si sucede un cambio en el perfil de impacto de la organización •C. Debe ser ratificado por la alta dirección 14. El AIN toma en cuenta los siguientes tipos de impactos financieros tangibles •A. Coste de oportunidad •B. Aumentos en los costes laborales y gastos •C. Ingresos o equivalentes que hayan registrado una reducción de valor •D. Ineficiencia y rentabilidad •E. Remplazo de activos no asegurados •F. Coste del capital y viabilidad financiera 15. El AIN toma en cuenta los siguientes tipos de impactos no financieros intangibles •A. Reputación marca y presencia •B. Obligaciones legales y contractuales •C. Calidad de productos y servicios •D. Confianza y apoyo de los accionistas, proveedores, clientes y demás partes interesadas •E. Bienestar y estado de la moral del personal •F. Control operativo y de gestión •G. Daños medioambientales

cap 123456

16. De forma sistemática la organización planifica y lleva a cabo una evaluación formal de riesgos relacionados con la GCN para todas las áreas de operación 17. La Evaluación de Riesgos identifica, evalúa y registra los elementos siguientes: •A. Todos los riesgos y amenazas importantes para las actividades y recursos más urgentes de la organización •B. Todas los aspectos vulnerables importantes de cada una de las actividades y recursos de la organización que tengan mayor sensibilidad a los tiempos •C. Todas las concentraciones de riesgos importantes que amenacen la continuidad de negocio (puntos únicos de fallo) •D. Todos los riesgos de continuidad importantes que se deban a proveedores o empresas subcontratadas 18. La Evaluación de Riesgos identifica, evalúa y registra: •A. Todos los escenarios de trastornos importantes que podrían afectar a la organización •B. Los riesgos para la continuidad que deben ser aceptados, desviados a otro sitio o no contemplados por el programa de GCN •C. Las medidas que reducen la probabilidad, duración e impacto de un trastorno de los productos y servicios clave de la organización •D. Los riesgos para la continuidad derivados de la escasez o concentración de habilidades clave 19. La Evaluación de Riesgos utiliza la información de impactos del AIN para ofrecer una buena estimación del grado de exposición 20. La Evaluación de Riesgos vuelve a especificar y toma en cuenta el grado de tolerancia de la organización para los riesgos de continuidad 21. La Evaluación de Riesgos: •A. Utiliza estadísticas apropiadas para evaluar la probabilidad de cada amenaza realista para la continuidad •B. Hace referencia a los contratos de seguros de la organización y cuantifica el grado de exposición que se deriva •C. Es parte integral del marco de gestión y control de riesgos de la organización •D. Ofrece la base para establecer una prioridad en la forma de atajar los riesgos de continuidad 22. La organización dispone de estrategias formales para aminorar todos los riesgos de continuidad del negocio para todas las áreas y operaciones 23. Las estrategias aminoran los efectos de, y aseguran que la organización pueda tolerar y recuperarse de forma aceptable de: •A. Todos los escenarios relativos a la continuidad identificados en la Evaluación de Riesgos •B. Imposibilidad de acceso o pérdida de un lugar de trabajo •C. Cualquier fallo tecnológico •D. Cualquier fallo de bienes básicos o proveedores •E. Cualquier fallo en las empresas subcontratadas u otras unidades de negocio •F. Cualquier emergencia civil que surja

COMPRENDER LA ORGANIZACIÓN

PRÁCTICA DE EVALUACIÓN DE RIESGOS

51

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

capítulo 1 2 3 4 5 6 Determinar la estrategia de Continuidad de Negocio

52

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y demás partes interesadas, la reputación, la marca y las actividades creadoras de valor. Determinar la Estrategia de Continuidad de Negocio es un elemento clave para la buena Gestión de Continuidad de Negocio. Para lograrlo es necesario basarse en la etapa de Comprender la organización de cara a elegir las estrategias de continuidad adecuadas que cumplan los objetivos definidos en el AIN. Debe además respaldar los objetivos y obligaciones de la organización a unos costes ajustados. COMPONENTES DE LA ETAPA 3 DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO 1. OPCIONES DE ESTRATEGIA 2. OPCIONES PARA LA CONTINUIDAD DE LAACTIVIDAD 3. CONSOLIDACIÓN DE RECURSOS

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

Acerca del capítulo 3 – Determinar la Estrategia de Continuidad de Negocio

cap 123456 53

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

123456

cap 54

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO Referencia: BS 2999-1 Sección 7 1. Introducción La primera parte de "Determinar la Estrategia de Continuidad de Negocio" se centra en las cuestiones generales que garantizan la protección de la capacidad de la organización para entregar un producto o servicio en el marco de su programa de Continuidad de Negocio. La siguiente, "Opciones para la Continuidad de la Actividad" describe las tácticas disponibles para asegurar la continuidad de las actividades que respaldan la entrega de esos productos o servicios. También tiene sentido, si se puede, poner en marcha medidas que reduzcan la probabilidad de que sucedan incidentes o aminorar su impacto en caso de que sucedan. Pero no se pueden ofrecer consejos acerca de su efectividad en costes y no deberían considerarse substitutas de la puesta en marcha de las estrategias adecuadas de Continuidad de Negocio que figuran más adelante. En la etapa anterior se averiguó el Período Máximo Tolerable de Interrupción para cada producto y servicio dentro del alcance del programa. Al entender sus interdependencias se habrá podido determinar el PMTI para cada actividad. En la etapa de Estrategia se debe fijar el Objetivo de Tiempo de Recuperación para cada actividad dentro del PMTI.

cap 123456

1. Introducción Esta sección se abordan las diferentes estrategias de alto nivel disponibles para proteger la entrega de un producto y servicio. 2. Pasos previos Es necesario disponer de un AIN actualizado antes de elegir una estrategia adecuada. 3. Propósito El propósito de este paso es garantizar que la estrategia de continuidad conjunta respalda de forma adecuada la entrega de los productos y servicios de la organización. 4. Conceptos y suposiciones Objetivo de Tiempo de Recuperación Cuando se esté recuperando una actividad interrumpida es probable que la organización no quiera llegar a ese momento en el que esté a duras penas sobreviviendo. Es posible que se fije un Objetivo de Tiempo de Recuperación (OTR) más corto que también le dé un margen en caso de que se produzcan dificultades no previstas en la recuperación o de que su medida original de PMTI fuera demasiado optimista. La capacidad de continuar o reiniciar tiene que ser realista. Desplazar físicamente a personal y operaciones tomará más tiempo del esperado y tendrá un impacto sobre la jornada laboral disponible. Es importante incorporar a las previsiones un tiempo suficiente de continuación o reinicio para garantizar que las actividades pueden recobrarse cumpliendo los Objetivos de Tiempo de Recuperación (OTR). Suele pasar que cuanto más rápida sea la necesidad de recuperación, mayor el será el coste de una solución. Por esa razón, para minimizar los costes es importante asegurarse de que se establece un OTR adecuado y no demasiado rápido. Distancia de separación ¿qué se considera fuera de las instalaciones? Debido a que muchos de los acontecimientos que afectan a la Continuidad de Negocio suelen derivar en una imposibilidad de acceder a las instalaciones o incluso su destrucción, es necesario asegurarse de que existe un duplicado de los registros tanto físicos como electrónicos en un emplazamiento separado geográficamente de tal forma que puedan ser accesibles y recuperados en los plazos determinados. Si bien es evidente que una mayor distancia geográfica reduce la probabilidad de que dos instalaciones se vean afectadas por el mismo incidente, no existe una distancia de separación considerada "mínima" o "correcta", tal y como lo demuestran la capacidad infecciosa de los virus informáticos para causar incidentes simultáneos en el mundo entero. A pesar de ello es probable que una separación de unos centenares de metros sea de poca ayuda, incluso cuando suceden incidentes muy localizados, debido a la forma en la que los servicios de emergencia acordonan una zona y los consiguientes trastornos que ocasiona para el transporte. Algunas organizaciones pueden basarse en su área de mercado o su jurisdicción para determinar el límite de su dispersión (ver la discusión acerca de incidentes en la Introducción a la Etapa 1); otras pueden elegir la decisión pragmática de situar su emplazamiento de reubicación en la distancia máxima que el personal está dispuesto a recorrer (podría ser a una hora de distancia). Robustez (Resilience) Este término sirve para indicar que algo puede sufrir un fallo y a pesar de ello seguir operando. Muchas veces se utiliza como si fuera un valor absoluto y, sin embargo, como sucede con los términos "cerca" o "lejos" el concepto de robustez es relativo y su alcance debe ser definido en cada utilización. Es mejor ilustrarlo con ejemplos: •Incorporar tecnología RAID a un ordenador aumenta la robustez de la máquina (pero sólo con respecto a los fallos de disco duro) pero no protege de la pérdida de esa máquina en caso de incendio. •La duplicación del suministro eléctrico mejora la robustez ó resistencia de las instalaciones frente a cortes de electricidad, pero el lugar puede volverse inservible si el fallo eléctrico afecta a ambos suministros. •Expandir la dispersión geográfica y diversidad de las ubicaciones de la organización mejora la robustez de la organización pero sigue siendo vulnerable a incidentes como pandemias o virus informáticos.

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO Referencia: BS 2999-1 Sección 7.2

55

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

123456

cap 56

5. Proceso Utilizando los resultados del Análisis del Impacto en el Negocio, apuntar el Período Máximo Tolerable de Interrupción (PMTI). Determinar un Objetivo de Tiempo de Recuperación (OTR) para el producto o servicio, que (por lógica) debería ser menor que el PMTI. Este cálculo debe tener en cuenta el grado de confianza que se tiene en la veracidad del PMTI. Si ya existe una estrategia de reinicio de actividades, llevar a cabo un Análisis Diferencial para determinar si los resultados actuales se miden contra los resultados requeridos. Ofrecer a la dirección ejecutiva una evaluación estratégica. Garantizar que la opción acordada, con sus previsiones de recursos y financieras, es ratificada por la dirección ejecutiva. 6. Métodos y técnicas Cuestiones referentes a servicios específicos: •Centro(s) de llamadas: La convergencia de TI, grabación de voz y telefonía inteligente en un centro de llamadas puede ofrecer importantes retos de cara a la recuperación. Los centros de llamadas que gestionan llamadas entrantes suelen tener un PMTI medido en horas más que en días, por lo que la solución suele ser dos o más centros dispersos geográficamente que comparten la carga de llamadas. Debido a las altas necesidades de personal para este tipo de instalaciones suelen surgir problemas de recursos humanos durante un largo período de interrupción en el caso de que los empleados no quieran o no puedan mudarse de lugar. Algunas empresas de servicios pueden ofrecer recepción de llamadas con varias capacidades para gestionar volúmenes de llamadas y con diferentes niveles de competencia en el producto. •Las estrategias de comercio electrónico e Internet / Intranet se determinarán según la importancia que la organización otorga a estos servicios y las funciones que desempeñan - si sólo sirven para propósitos de comunicación o para realizar negocios interactivos. •Al igual que sucede con otras actividades, un Análisis del Impacto en el Negocio determinará los parámetros de reinicio de los servicios de comercio electrónico. Se suele considerar que estos servicios necesitan reiniciarse de forma rápida debido a su alta visibilidad y las expectativas de los clientes. •Internet y la Intranet corporativa pueden también constituirse en un excelente medio de comunicación durante un incidente. •Soluciones para la fabricación •Diversidad geográfica – fabricar en varios emplazamientos mejora la resistencia a muchos acontecimientos, pero suele ser a costa de las economías de escala •Subcontratación - Aunque la suma de los procesos de cada compañía sea única, suelen existir varios procesos que pueden ser replicados por otros fabricantes. La empresa afectada puede recurrir a varias firmas de subcontratación para producir su producto final durante el tiempo en el que las instalaciones propias no están disponibles. Debido a las necesidades de herramientas y ajustes, generalmente no se puede lograr esto de forma rápida sin una preparación previa. Por desgracia esta estrategia puede conectar a los clientes con la competencia. •Existencias en almacén – En el caso de aquellos productos que se pueden almacenar, mantener un almacén lejos de las instalaciones permite disponer de una ventana de tiempo durante la cual se puede mantener el aprovisionamiento mientras se soluciona un percance. 7. Resultados Este paso ofrecerá una estrategia para cada producto y servicio bajo el programa de GCN que en el siguiente paso permitirá seleccionar las alternativas adecuadas para cada actividad. 8. Revisión Al menos cada 12 meses se debería realizar una revisión de la estrategia de GCN para cada producto y servicio. No obstante, ciertos acontecimientos pueden causar una reevaluación de la estrategia de GCN: •Una revisión del Análisis del Impacto en el Negocio que detecte cambios substanciales en los procesos y prioridades •Un cambio importante en una de las cuestiones siguientes: la actitud frente al riesgo de la organización (quizás a consecuencia de un acontecimiento), condiciones de mercado, adquisición o fusión, nuevos productos o servicios, obligaciones legales.

cap 123456

1. Introducción Este paso abarca los procesos para determinar las tácticas adecuadas a cada actividad que permiten la entrega de uno o más productos y servicios dentro del programa de GCN. El Análisis del Impacto en el Negocio (AIN) habrá identificado el PMTI para cada actividad. En ese tiempo se tendría que fijar el Objetivo de Tiempo de Recuperación (OTR) para cada actividad. Se deben elegir las tácticas adecuadas para cada actividad que garanticen los recursos necesarios en las áreas de: •Personas, habilidades y conocimientos •Instalaciones •Tecnología •Aprovisionamiento •Proveedores, clientes y demás partes interesadas Las opciones siguientes no son excluyentes entre ellas. Una estrategia de recuperación viable y efectiva para cada actividad deberá establecerse basándose en elementos de las opciones descritas. 2. Pasos previos El OTR del producto o servicio debe determinarse antes de fijar el OTR para cada actividad y seleccionar las tácticas adecuadas. 3. Propósito El propósito de este paso es asegurar que las opciones tácticas de continuidad para cada actividad respaldan de forma apropiada la entrega de los productos y servicios de la organización. Las actividades cuyo reinicio sea más urgente pueden recibir protección suplementaria por las medidas de reducción de amenazas que parezcan apropiadas. 4. Conceptos y suposiciones Fiabilidad Suele ser necesaria una decisión por parte de la dirección en cuanto al coste y la fiabilidad de la entrega por parte de un servicio necesario para la recuperación ofrecido por un tercero. Los compromisos pueden variar, desde verbales con promesas por esforzarse, hasta un nivel de servicio asegurado por contrato. Los costes pueden variar (generalmente relacionados con la calidad del compromiso) de cero a una suma importante. Cuanto más corto sea el OTR más importante será la fiabilidad en la entrega. Alcance de la planificación El alcance y detalle con el que las tácticas para cada actividad necesitan planificarse dependerá de la urgencia con la que se necesiten y la complejidad de las necesidades. Costes vs. beneficios Es imposible juzgar el coste adecuado de las medidas mediante un análisis de coste-beneficio convencional debido a que es necesario asumir premisas cuestionables acerca de la probabilidad de los incidentes para demostrar que existen beneficios. Es posible que las fabricantes y empresas de servicio que son proveedoras de otros negocios logren mejores ventas o mejores márgenes al demostrar a sus clientes que poseen una estrategia de GCN (y por lo tanto mayor fiabilidad) - y obtengan un beneficio que contrarreste los costes. Esto es más difícil de demostrar cuando el servicio no es comercial o va dirigido a la venta al público, en donde será más probable dejar patentes reducciones de costes en los procesos internos (para enfrentar trastornos reducidos). Ratios de sindicación de instalaciones para la recuperación a cuenta de terceros •Un área de trabajo “dedicada” en la que una empresa tiene la utilización exclusiva para acomodarla. Se suele recurrir a ella cuando se ha establecido un OTR corto, para funciones generadoras de alto valor en las que se emplean equipos especializados y para las cuales no se puede permitir que no haya disponibilidad debido a estar sindicada. Un ejemplo serían las mesas de negociación para una firma de inversión. •Una área de trabajo "sindicada" o “en suscripción” en la que una empresa paga por la utilización de un lugar siempre que no esté ya usada por otro suscriptor.

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

OPCIONES PARA LA CONTINUIDAD DE LA ACTIVIDAD Referencia: BS 2999-1 Sección 7.3-8

57

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

•Operaciones con robustez incluyen operaciones simultáneas en dos sitios y soluciones de disponibilidad continua. En caso de una interrupción en un emplazamiento, la actividad es transferida a una o varias ubicaciones alternativas en donde tanto personal como instalaciones ya están listas para hacerse cargo. Suele ser una de las opciones más caras de llevar a cabo (debido a los costes que implican sincronizar los datos en varios sitios y el personal que se necesita), pero se trata de una solución adecuada cuando es necesario un reinicio rápido (menos de 24 horas) de actividades. Para que sea una estrategia de recuperación viable, no pueden existir fallos y ambos sitios tienen que estar convenientemente separados y geográficamente diversificados. Figura: Resumen de las estrategias de recuperación con respecto al tiempo de recuperación

Propiedad

Meses

Días

cap

123456

Semanas

Horas

Inmediato

Internas

Contratadas

A medida

Ampliar el contrato comercial del emplazamiento de recuperación (si es posible)

Reconstruir, alquilar o comprar.

Edificios prefabricados ya disponibles en el mismo sitio. Adaptación de edificios para otros usos.

Expansión en el emplazamiento de recuperación. Unidades prefabricadas y móviles alquiladas.

Oficinas amuebladas. Subcontratación de procesos.

Emplazamiento de recuperación en el mismo sitio. Mover las instalaciones dentro de la misma ubicación. Trabajo desde casa.

Emplazamiento para la recuperación de la actividad comercial. Acuerdos recíprocos. Instalaciones móviles. Procesos subcontratados.

Oficinas gestionadas (si disponibles)

Varias ubicaciones con personal reasignado de otras funciones.

Reubicar SÓLO un equipo reducido a un emplazamiento de recuperación contratado.*

Ninguna

Disponer de diversas ubicaciones para cada actividad.

Iniciar una conmutación de TI a un emplazamiento de recuperación contratado.

Ninguna

Reconstruir o reubicar

* Es posible que se pueda acceder en pocas horas, pero cuestiones de logística y comodidad vuelven poco probable que las operaciones puedan reiniciarse de forma fiable al menos en uno o dos días.

60

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

123456

cap 62

Equipos de fabricación Existen pocas opciones para aprovisionarse de equipos de fabricación por parte de un tercero para que los envíe después de una avería o pérdida, debido a que eso suele tomar mucho tiempo. •Algunas posibles soluciones: •Algunas firmas dedicadas a la restauración de activos pueden ser capaces de recuperar los equipos después de un incendio o inundación. •Firmar contratos de mantenimiento en el sitio con empresas que se encuentren en las inmediaciones (para minimizar los retrasos). •Recurrir a empresas de subcontratación locales o a competidores con equipos similares. Información Referencia: BS 2999-1 Sección 7.6 Sólo por el hecho de que se ha producido un incidente no significa que dejan de tener efecto los estándares legales, estatutarios o de negocio para la gestión de la información. Algunas de las cuestiones clave que hay tomar en cuenta son: Confidencialidad Se deben tomar las medidas para asegurar que se mantiene el nivel necesario de confidencialidad para los datos en circunstancias como: •daño en una ubicación - por ejemplo, una explosión puede ocasionar que se esparzan documentos en la calle •un hacker logra penetrar la red y publicar información en Internet •utilización de personal temporal •compartir un emplazamiento temporal con otras organizaciones Integridad A menos que los respaldos informáticos se realicen al mismo tiempo a lo largo de varios sistemas conectados, a la hora de restaurarlos los datos pueden no estar completos. Por ejemplo, un nuevo pedido puede figurar en la base de datos de pedidos pero el cliente en cuestión puede no estar presente en la base de datos de clientes si la información se respaldó antes. Se debe contemplar un tiempo dentro del Objetivo de Tiempo de Recuperación para resolver los problemas de datos en caso de que obstaculicen la recuperación. La destrucción parcial de los registros en papel puede dañar la recuperación cuando no se sabe bien qué documentos faltan Disponibilidad •Se necesitará que la información para reconstruir equipos o recuperar procesos esté disponible en el momento precisado para lograr los plazos de reinicio de actividad •Es posible que existan obligaciones en los estatutos que establezcan plazos específicos para acceder a documentos o datos cuando éstos son solicitados por las autoridades o el público en general Rapidez La estrategia adecuada de respaldo de datos se determina por: •La cantidad de datos que los usuarios pueden asimilar sin perjudicar irremediablemente su capacidad para reiniciar sus procesos •El impacto de la pérdida de datos para aquellos usuarios que están fuera de la organización, como clientes o autoridades •La velocidad a la que los datos pueden estar disponibles para ser utilizados después de reiniciar operaciones. Los programas de respaldo de datos suelen estar diseñados para minimizar el tiempo de respaldo, pero durante la recuperación de la actividad es importante la velocidad con la que se recuperan. Por ejemplo, el respaldo diario de los cambios minimiza el tiempo para llevarlo a cabo; lleva más tiempo respaldar los cambios desde el último respaldo completo, pero con esta modalidad la información se restaura de forma más rápida. •Existen muchos métodos para copiar los datos entre sistemas informáticos. Estos son: •Mirroring - en teoría no hay pérdida de datos •Shadowing - pérdida mínima de datos •Logging - pérdida de datos medida en minutos

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

123456

cap 58

•Generalmente el ratio se sitúa entre 40 y 25 a 1. Es decir, cada mesa de trabajo se vende hasta 40 veces como máximo, pero es importante entender que existen otros clientes que podrían utilizar esa mesa. Algunos proveedores ofrecen detalles de sus clientes por códigos postales. Los parámetros aceptables para una organización deberían estar claramente definidos en el marco de la Estrategia de GCN para la Recuperación de Recursos y no deberían estar sujetos a negociaciones de contrato individuales. •Actualmente existen dos premisas según las cuales un proveedor de emplazamientos para la recuperación puede asignar los recursos disponibles a sus suscriptores cuando estos los demanden: •El primero que llegue: El primer suscriptor que demande el servicio obtiene la totalidad de los recursos que han contratado. El espacio que quede seguirá disponible para los demás suscriptores. •Reparto equitativo: Los recursos disponibles se asignan de forma proporcional a lo suscrito. Zonas de exclusión (Emplazamientos para la recuperación a cuenta de terceros) La zona de exclusión es la distancia en la que el proveedor de recuperación no revenderá a otro posible cliente los recursos a los que su organización se ha suscrito. La organización debe definir claramente en la Estrategia corporativa de GCN lo que considera como zonas de exclusión. Por ejemplo, en el centro de Londres una zona de exclusión de 800 metros (correspondiente a un coche bomba) es un estándar mínimo aceptable para esta amenaza específica, pero puede no ser adecuada para otro tipo de incidentes. 5. Proceso El proceso engloba los pasos siguientes: •Identificar las posibles tácticas para cada actividad que pueden cumplir con el OTR. •Seleccionar las más adecuadas basadas en costes, garantías ventajas adicionales y demás factores. •Crear un proyecto de puesta en marcha para la medida elegida. •Poner en marcha un proceso constante que garantice la revisión de las tácticas de GCN para las actividades. Se pueden elegir las tácticas adecuadas de la lista siguiente. Personal, fuerza laboral, habilidades y conocimientos Referencia: BS 2999-1 Sección 7.3 Las técnicas para proteger los conocimientos y habilidades de la organización pueden proteger contra la pérdida o ausencia de personal clave •Mapa de procesos y documentación - para permitir al personal hacerse cargo de funciones que desconocen •Formación multidisciplinar de cada persona •Intercambio de formación entre varios profesionales •Planificación para la sucesión Se puede disponer de habilidades suplementarias mediante el recurso permanente u ocasional de soporte a cargo de terceros. La dependencia de este soporte debería estar respaldada por un contrato. La organización debe estar protegida por un programa de gestión de conocimientos, que debería recurrir a almacenamiento fuera de las instalaciones para salvaguardar los datos. Una organización podría llevar a cabo un inventario de las habilidades de su personal que no estén empleando en sus funciones actuales. Podría incluir: •Formación en primeros auxilios •Experiencia en otras funciones en otro empleo •Rescate •Capacidad de liderazgo o gestión durante un incidente anterior •Habilidades de formación o actuación para ayudar al equipo de Continuidad de Negocio La separación geográfica de aquellas personas o grupos con habilidades clave puede reducir la posibilidad de perder a todos aquellos capaces de asumir una función específica Instalaciones Referencia: BS 2999-1 Sección 7.4 El OTR es el principal indicador de las tácticas de continuidad del lugar de trabajo adecuadas. •Un OTR de varios meses puede permitir a la organización esperar a tomar decisiones hasta después del incidente.

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

cap 123456

•Un OTR de más de un día o dos puede permitir tiempo para la reubicación del personal a otro emplazamiento •Un OTR de menos de un día obligará a asumir tácticas que permitan que el personal en otra ubicación se haga cargo de la actividad - lo que significa que la otra ubicación tendrá disponibilidad inmediata de los recursos necesarios para esa actividad, además de información actualizada Una vez que se ha definido el OTR, el coste y la disponibilidad determinarán la elección de las tácticas. La dispersión geográfica de la organización puede influir en la elección de instalaciones alternativas. Si se eligen otras instalaciones de la empresa, es posible que el personal no esté dispuesto a recorrer una larga distancia. Unas instalaciones con un gran número de personal pueden requerir más de una ubicación alternativa para disponer de la capacidad necesaria. La estrategia de reubicación de la organización podría estar influida por la disponibilidad de alternativas cercanas, tanto propias de la empresa como de terceros. Aquellas organizaciones que ofrecen servicios a una localidad en particular, como administraciones públicas o negocios orientados a un mercado local, pueden ver limitada su elección de ubicaciones alternativas por su necesidad de mantenerse cerca de sus clientes. Posibles tácticas relativas a instalaciones: No hacer nada •Una estrategia de "no hacer nada" puede ser aceptable para las actividades menos urgentes identificadas por el AIN. Aquellas actividades con un OTR mayor a varios meses permitirán a la organización disponer de una planificación y preparación mínimas y tener tiempo para encontrar edificios e instalar los servicios necesarios después del incidente. Esta opción puede volverse más rápida o fiable si se mantiene un registro actualizado de los edificios adecuados disponibles. Tácticas que involucran la reubicación del personal a otros emplazamientos •Moverse dentro consiste en utilizar lugares existentes dentro de la empresa, como unas instalaciones hasta entonces dedicadas a la formación o un comedor, para ofrecer un espacio para la recuperación o el aumento del personal trabajando. Esto necesitará una planificación cuidadosa y algunas adecuaciones técnicas. •Desplazamiento significa desplazar aquél personal que realiza los procesos menos urgentes y aquél que lleva a cabo una actividad de mayor prioridad. Se debe tener cuidado de que las órdenes retrasadas del trabajo suspendido menos urgente no se vuelvan imposibles de gestionar. •Trabajo remoto incluye el concepto de “trabajar desde casa” y trabajar desde otras ubicaciones no corporativas como hoteles (no se deben tomar en cuenta los cibercafés). Trabajar desde casa puede ser una solución muy efectiva, pero se debe tener cuidado de que se respetan las normas sanitarias y de seguridad y de que se dispone de la suficiente capacidad de conexión telefónica. •Los acuerdos recíprocos pueden funcionar para ciertos servicios pero se debe tener cuidado cuando se establezcan este tipo de acuerdos. Se deben instaurar procedimientos que garanticen comprobaciones periódicas para asegurar que los acuerdos suscritos no han cambiado. •Los acuerdos recíprocos deben llevar una cláusula en el contrato que asegure que se pueden realizar pruebas. •Acuerdos con un tercero para una ubicación alternativa pueden ser una opción a considerar si garantizan el cumplimiento de los Objetivos de Tiempo de Recuperación (OTR) de la organización. Existen varios servicios comerciales, como instalaciones fijas, móviles, fijas o prefabricadas. •El espacio dedicado ofrece una disponibilidad garantizada e inmediata, pero es más caro que un espacio sindicado. •El espacio sindicado suele ser accesible en menos de cuatro horas, pero puede tardar más de 48 horas para que una gran cantidad de personal sea productivo desde ese emplazamiento (las cuestiones que se derivan de la sindicación se abordan en la sección de conceptos) •Las instalaciones móviles pueden utilizarse rápidamente pero ofrecen un espacio limitado y pueden exigir conexiones de servicio además de un importante trabajo de preparación de cimientos •Las unidades prefabricadas toman como mínimo 4 días en construirse (de media son 8) asumiendo que los cimientos ya estaban listos y dependiendo de las condiciones del lugar y meteorológicas Ubicaciones diversas - desplazar la actividad (no el personal).

59

cap 123456

Centro(s) de Datos El coste de las soluciones y el impacto extenso y rápido que significa la pérdida de un centro de datos pueden tener un impacto financiero importante en una organización. Estas son algunas de las opciones que pueden ofrecer una solución adecuada, como la robustez interna, la recuperación o soporte por parte de terceros. •Será necesaria la duplicación de tecnologías en varias ubicaciones cuando los plazos de recuperación son cortos, pero aumentará los gastos según el grado de duplicación requerido. •La Recuperación de Tecnología ofrece un reemplazo a través de contratos con terceros. La decisión entre duplicar actividades, alquilar equipos por adelantado o comprar después del incidente debe tomar en cuenta el tiempo previsto para la adquisición de los elementos en caso de que suceda un trastorno generalizado y de larga duración que obligue a otras organizaciones menos preparadas a adquirir los mismos equipos. Las promesas de palabra por parte de un proveedor acerca de que mantendrá un stock de contingencia deberían considerarse como no contractuales. Suelen existir conflictos de presupuesto entre: •el deseo de aumentar la robustez o resistencia de las máquinas (para reducir la pérdida de tiempo ocasionada por el fallo de esa máquina) la necesidad de una diversidad geográfica (que minimiza la pérdida de tiempo ocasionada por el fallo de la máquina o del edificio en el que se encuentra). Contratos de envío Estos pueden incluir generadores, equipos de TI como PC, servidores e impresoras y equipos especializados como sistemas telefónicos. Puede tratarse de una estrategia adecuada si se debe equipar un edificio que no está preparado para ofrecer un entorno de trabajo adecuado. La mayoría de estos contratos permiten que el lugar de entrega sea definido en su momento, lo que permite dar una respuesta más flexible a un incidente específico en comparación con una estrategia de recuperación para un emplazamiento fijo. Los términos de los contratos van desde un compromiso leve de cumplimiento hasta una entrega garantizada. Sistemas telefónicos Un desvío no planificado de los sistemas telefónicos a las ubicaciones alternativas puede demorarse un tiempo inaceptable, sobre todo en caso de incidentes de amplia magnitud. La mayoría de las empresas telefónicas ofrecerán, a cambio de un pago, un abanico de soluciones flexibles planificadas que permitirán el desvío instantáneo o rápido de las llamadas desde un emplazamiento a uno o varios distintos. Se tiene que tomar en cuenta el problema de logística que acarrea la gestión de llamadas de teléfono durante una interrupción una vez que han sido desviadas. Algunas soluciones: •Aviso por radio o televisión al personal y otras partes interesadas •Números no vinculados a un área geográfica •Desvío de llamadas •Plan para el reinicio de la actividad •Servicios de gestión de redes •Centralita móvil •Robustez de las instalaciones •Robustez de la red La convergencia entre los sistemas de teléfono y las redes de datos VOIP (Voz por IP) genera nuevas oportunidades y problemas de continuidad debido a que muchas veces se suelen utilizar el teléfono y correo electrónico de forma alternativa en caso de que uno de los dos falle. Estas cuestiones deben ser evaluadas, así como se debe llevar a cabo un análisis de los riesgos e impactos.

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

Tecnologías de apoyo Referencia: BS 2999-1 Sección 7.5

Recurrir a empresas de subcontratación locales o a competidores con equipos similares.

61

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

cap 123456

Cada uno tiene sus características de posibles pérdidas de datos, distancia operativa y fiabilidad que deberán ser comparadas con los requisitos del usuario. Almacenamiento remoto de registros duplicados (en papel y electrónicos) •Las soluciones para almacenamiento de registros en papel incluyen almacenes externos para documentos y copias escaneadas. •El almacenamiento de registros electrónicos puede gestionarse internamente pero también se puede contratar a terceros. Los registros pueden ser enviados fuera de las instalaciones por la recogida física de equipos de almacenamiento o por transmisión electrónica. •El lugar para el almacenamiento debe estar lo suficientemente lejos para que las instalaciones no puedan verse afectadas por el mismo incidente, pero no tan lejos como para que tome tanto tiempo acceder a ellos que los OTR puedan verse afectados. Algunos documentos pueden estar en proceso de elaboración y ser necesarios en un plazo muy corto mientras otros pueden ser archivos que se conservan por cuestiones legales para los cuales puede ser conveniente un almacenamiento lejano, de menor coste. •Se puede utilizar mobiliario a prueba de incendios pero eso no ofrece una protección aceptable para documentos únicos. Incluso si sobrevivieran a un incendio, es posible que no se pueda acceder al mobiliario. •Es posible que para ciertos documentos sólo tengan validez legal los originales. Equipos y aprovisionamiento Referencia: BS 2999-1 Sección 7.7 La organización necesita determinar qué equipos y aprovisionamientos se necesitan y cuán rápido deberán estar disponibles tras un percance para cumplir con el OTR de la actividad. Algunas técnicas para reemplazo de equipos: •Almacenar suministros adicionales en otra ubicación •si los suministros se degradan con el tiempo (como el papel) deberían rotarse con el inventario normal •cambios en el proceso pueden implicar una modificación de los suministros almacenados (por ejemplo, la papelería de la empresa si han cambiado la dirección o los detalles de contacto) •Acuerdos con terceros para entrega de stock en un plazo rápido •Desvío de entregas "justo a tiempo" a otras ubicaciones •Guardar materiales en almacenes o centros de distribución •Transferencia de las operaciones de ensamblaje a una ubicación alternativa, tanto de la organización como de una empresa subcontratada •Conservación en una ubicación externa de equipos más antiguos para reemplazos de emergencia o para utilizar sus componentes •Estrategias específicas de disminución de riesgos para equipos considerados únicos o con tiempos de entrega muy largos. Es posible que los equipos obsoletos tengan que ser reemplazados o su substitución podría poner en riesgo los tiempos de recuperación •Diversidad geográfica de aquellos procesos en los que el OTR no se podrá cumplir por reemplazo si todos los equipos se pierden durante un incidente Posibles técnicas para reducir el impacto de interrupciones en el suministro •Materiales duales o provenientes de diversas fuentes •Inspección de los planes de Continuidad de Negocio del proveedor y los registros de pruebas, además de requerir una certificación contra BS 25999 •Conservación de inventarios en una ubicación externa, que puede ser la del proveedor •Cláusulas con penalidades importantes para los contratos de suministros (pero eso no protege de una quiebra) •Identificación y aceptación previa de proveedores alternativos Accionistas, socios y proveedores Referencia: BS 2999-1 Sección 7.8 Puede que un incidente afecte a muchas personas y grupos. Por ejemplo en el caso de un incendio en las instalaciones es posible que algunos proveedores resulten heridos, que los residentes locales sean evacuados de sus casas y que los comercios locales tengan que cerrar por razones de seguridad o por una disminución en sus negocios. La organización debe comprender el grado de responsabilidad (tanto legal como moral) que tiene con respecto a estos grupos.

63

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

123456

cap 64

La organización debe asegurarse de que se cubren las necesidades de estos afectados, ya que podrían afectar la recuperación del negocio. Por ejemplo, los residentes de la comunidad podrían presionar a las autoridades locales para que nieguen la autorización para reconstruir las instalaciones después de un incendio. Emergencias de carácter civil Referencia: BS 2999-1 Sección 7.9 La organización debe conocer los procedimientos de los servicios de emergencia. Contactar a estos grupos con antelación puede ofrecer información útil para asistencia en el caso de incidente como: •Recomendaciones para puntos preferibles de reunión y rutas de evacuación •Información de riesgos específicos en las inmediaciones •Conocer la posición de los posibles bloqueos de tráfico (en poblaciones grandes suelen estar predeterminados debido a los patrones de la red de carreteras) •Acuerdos especiales de acceso •Participación en simulacros Los organismos de respuesta a emergencias civiles deberían llevar a cabo su propio programa de Continuidad de Negocio para garantizar que el acceso a sus instalaciones no afectará los servicios de respuesta que ofrecen a la comunidad. En Reino Unido esta planificación es obligatoria y las autoridades locales deben ofrecer asesoramiento en Continuidad de Negocio a las organizaciones que se encuentren bajo su tutela. Medidas para reducir amenazas específicas El responsable de GCN debe conocer varias técnicas de reducción de amenazas que pueden proteger a las actividades de negocio de ciertos tipos de trastornos. Se puede recurrir a la Evaluación de Riesgos para determinar qué medidas deben adoptarse. Entre ellas figuran: •Seguridad física - Se puede pedir recomendaciones a las diversas asociaciones profesionales dedicadas a la seguridad, tanto nacionales como internacionales. Muchas de ellas publican manuales y consejos de buenas prácticas. •Seguridad de la información - Se puede pedir recomendaciones a los diversos organismos nacionales e internacionales dedicados a la seguridad de la información. Las normas ISO 17799 e ISO 27001 también ofrecen valiosas directrices que conviene adoptar. •Sistemas de supervisión - Pueden ofrecer advertencias inmediatas de fallos de electricidad, problemas en los equipos y amenazas destructivas •El Suministro de Alimentación Ininterrumpido y generadores de respaldo pueden proteger a edificios y equipos específicos de fallos en la electricidad. Deben recibir mantenimiento y ser probados de forma regular para garantizar que funcionarán cuando se necesiten. También existen contratos especializados de recuperación que ofrecen generadores portátiles como servicio contratado o bajo pedido (dependiendo de la disponibilidad). •Los sistemas contra incendios suelen estar recomendados para edificios con materiales combustibles o muy pesados, o equipos caros. Si bien los sistemas de agua apagan los incendios, también pueden causar grandes daños a papeles y equipos electrónicos cuando se activan de forma correcta por un incendio o de forma incorrecta cuando detectan una explosión o terremoto. Medidas para atenuar los impactos •Los seguros, si están bien contratados, ofrecen una compensación financiera para la pérdida de activos, incrementos de los costes de operación y protección contra responsabilidades legales, No obstante es posible que no protejan de todos los gastos ocasionados por un incidente, como la pérdida de clientes, el impacto sobre el precio de las acciones o desgaste en la reputación e imagen de marca. El equipo de GCN debería colaborar de forma estrecha con el encargado de seguros para lograr una cobertura que esté dentro de los parámetros de GCN. •Una póliza contra todo riesgo compensará el valor calculado de los activos físicos y registros electrónicos dañados o perdidos. •Un seguro contra interrupción del negocio puede pagar el “coste incrementado de funcionamiento” durante el reinicio de actividades o la "pérdida de beneficios" durante el período de interrupción. •Existen seguros que ofrecen una suma de dinero tras la pérdida de ciertos responsables específicos del negocio debido a una muerte, accidente o renuncia a su cargo.

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

cap

•Un seguro puede también ofrecer protección contra responsabilidades, incluidas aquellas con empleados, propiedades de terceros y personas. •Los servicios de recuperación de activos son ofrecidos por varias empresas especializadas que generalmente pueden minimizar los daños en papeles, equipos y edificios después de un incendio o inundación. Estas empresas pueden ofrecer asesoramiento y un servicio de registro por adelantado, además de estar disponibles tras el incidente si se les solicita. 6. Métodos y técnicas Las herramientas disponibles para elegir las tácticas adecuadas incluyen: •Los resultados del Análisis del Impacto en el Negocio y la Evaluación de Riesgos •El análisis Coste-Beneficio •El mapa de servicios y procesos. 7. Resultados Los resultados de las Opciones para la Continuidad de la Actividad incluyen: •Una selección debidamente documentada de las opciones de continuidad para cada actividad, acordada y ratificada por la dirección ejecutiva de la organización. •Un plan para la puesta en marcha de la estrategia acordada. 8. Revisión Al menos cada 12 meses se debería realizar una revisión que garantice que se han elegido las opciones de continuidad adecuadas para cada actividad. No obstante, ciertos acontecimientos pueden causar una reevaluación de la estrategia de GCN: •Una revisión del Análisis del Impacto en el Negocio que detecte cambios en los procesos o prioridades del negocio. •Un cambio importante en: •tecnologías clave, telecomunicaciones, asignación, personal, proveedores de servicio •adquisición o fusión, nuevos productos o servicios •obligaciones legales.

123456 65

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

123456

cap 66

CONSOLIDACIÓN DE RECURSOS 1. Introducción Tras determinar las tácticas adecuadas para el reinicio de cada actividad de negocio, se exigirá al equipo de GCN que consolide sus necesidades de recursos, determine cómo aprovisionarlos y los incluya en el plan. 2. Pasos previos Las necesidades de recursos para cada actividad se obtendrán de los Objetivos de Tiempo de Recuperación y las cantidades determinadas por el Análisis de Requisitos de Continuidad. 3. Propósito El propósito de esta medida es coordinar y ofrecer un nivel predeterminado de recursos dentro de un Plan de Continuidad de Negocio (PCN) para permitir la puesta en marcha de las opciones de continuidad elegidas para cada actividad. Esta consolidación es necesaria por dos razones prácticas: •Si se tienen que comprar los recursos es probable conseguir un mejor precio con un sólo pedido que con varios pequeños •Coordinar la adquisición de recursos puede prevenir conflictos - como en el caso de que más de una actividad dentro de un edificio espere utilizar el mismo espacio de trabajo alternativo en otro emplazamiento. 4. Conceptos y suposiciones Disponibilidad de soluciones Es posible que los servicios de recuperación contratados que necesiten los procesos de negocio no se encuentren en las inmediaciones. Algunas organizaciones han decidido crear sus propias instalaciones para recuperación, y luego ofrecen compartirlas (comercialmente) con otras empresas que se enfrentan al mismo problema. 5. Proceso Este proceso incluye las siguientes etapas: •Obtener los Requisitos de Recuperación de Recursos Agregados de la sección relativa a Opciones de Continuidad •Calcular los costes y beneficios de la obtención de los recursos necesarios para cada opción que puedan satisfacer los Objetivos de Tiempo de Recuperación •Ofrecer a la dirección ejecutiva una evaluación estratégica de las opciones •Asegurarse de que las opciones acordadas, con sus correspondientes previsiones financieras y de recursos, están ratificadas por la dirección ejecutiva •Crear un proyecto de puesta en marcha y planes de acción •Aplicar la estrategia acordada para llevar a cabo el proyecto y los planes de acción (incluido el desarrollo de un Plan de Continuidad de Negocio) •Poner en marcha un proceso constante que garantice la revisión de la planificación del Nivel de Recursos para la GCN 6. Métodos y técnicas Las herramientas utilizadas para seleccionar las soluciones apropiadas de las enumeradas previamente para crear una Estrategia de Recuperación de Recursos incluyen: •Resultados del Análisis del Impacto en el Negocio y el Análisis de Recuperación de Recursos ajustados por la Estrategia de Recuperación a nivel de Procesos •Herramientas de evaluación para servicios de compra que incluyan un análisis del valor obtenido por el dinero y de los términos contractuales •Análisis de Coste Beneficio 7. Resultados Los resultados de una Estrategia de Recuperación de Recursos para la Gestión de Continuidad de Negocio incluyen: •Un conjunto de recursos y servicios de recuperación que pueden desplegarse bajo el auspicio del Plan de Continuidad de Negocio (PCN) y que permite la restauración de un nivel de funcionamiento aceptable para las actividades de negocio: •Dentro de su Tiempo de Recuperación (OTR) •Con información recuperada de sus Objetivos de Punto de Recuperación (OPR).

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

8. Revisión Cada 12 meses debería llevarse a cabo una revisión de la Estrategia de Recuperación de Recursos para la GCN. No obstante, ciertos acontecimientos pueden causar una reevaluación de la estrategia de GCN: •Cambios en los requisitos para la recuperación de una actividad •Un cambio importante en la asignación, personal o tecnología disponible que pueda ofrecer nuevas estrategias de recuperación •Un cambio en la disponibilidad de los servicios de recuperación en las inmediaciones de la organización. Puede tratarse de un cierre, fusión o apertura de una instalación.

cap 123456 67

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

123456

cap 68

INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organización con una GCN madura 1. La organización dispone de estrategias formales para atenuar todos los riesgos de continuidad para el negocio en todas las áreas de sus operaciones 2. Las estrategias atenúan los efectos y garantizan que la organización puede tolerar y recuperarse de forma aceptable de: •A. Todos los escenarios relativos a continuidad identificados en la Evaluación de Riesgos •B. Imposibilidad de acceder a o pérdida de cualquier lugar de trabajo •C. Cualquier fallo tecnológico •D. Cualquier fallo en los proveedores o el aprovisionamiento de energía •E. Cualquier fallo en la subcontratación o en las demás unidades de negocio •F. Cualquier emergencia de carácter civil que pueda surgir 3. Después de sufrir un trastorno, las estrategias garantizan de forma específica la continua integridad y la restauración progresiva de: •A. Toda la información electrónica que se vea afectada •B. Toda la información física (por ejemplo, en papel) que se vea afectada •C. Toda la información en curso de elaboración que se vea afectada •D. Todos los procesos de negocio que se vean afectados •E. Todas las capacidades logísticas que se vean afectadas •F. Todas las operaciones subcontratadas que se vean afectadas 4. Las estrategias contemplan la preservación las habilidades y conocimientos centrales después de un trastorno en el negocio 5. Las estrategias contemplan la progresiva restauración a niveles aceptables de equipos, aprovisionamientos y todos los demás recursos necesarios después de un trastorno en el negocio 6. Las estrategias se evalúan de forma sistemática en términos de Retorno sobre Inversión (ROI) o cualquier otra medición financiera adecuada 7. Las estrategias tienen una probabilidad baja probada de verse simultáneamente afectadas por otros trastornos en el negocio 8. Las estrategias toman en cuenta y gestionan las ayudas ofrecidas por u otorgadas a otras organizaciones 9. Las estrategias toman en cuenta y gestionan el apoyo voluntario recibido u otorgado por la organización 10. Lo siguiente aplica para las estrategias de Continuidad de Negocio de la organización: •A. Quedan documentados todos los razonamientos utilizados para definir la estrategia y su desarrollo •B. Están completamente actualizadas y en su conjunto reflejan las necesidades presentes de la organización 11. La alta dirección siempre ratifica las estrategias 12. Todas las estrategias de la organización toman en cuenta de forma totalmente objetiva •A. Los resultados del Análisis del Impacto sobre el Negocio •B. Los resultados de la Evaluación de Riesgos •C. La experiencia obtenida por la organización y organizaciones similares •D. Análisis de coste y beneficio.

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

capítulo 1 2 3 4 5 6 Desarrollar y poner en práctica la respuesta de GCN

69

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 70

Acerca del capítulo 4 – Desarrollar y poner en práctica la respuesta de GCN La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y demás partes interesadas, la reputación, la marca y las actividades creadoras de valor. Determinar y poner en marcha una respuesta de GCN es un elemento clave para el éxito o fracaso de un programa de GCN. Engloba el desarrollo de planes de acción detallados para garantizar la continuidad de las actividades y una gestión efectiva de incidentes. COMPONENTES DE LA ETAPA 4 DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN 1. ESTRUCTURA DE LAS RESPUESTAA INCIDENTES 2. PLAN DE GESTIÓN DE INCIDENTES 3. PLAN DE CONTINUIDAD DE NEGOCIO 4. PLANES DE RESPUESTA POR ACTIVIDAD

Principios generales El objetivo de los diversos planes abordados en esta etapa es identificar tanto como sea posible las acciones y recursos necesarios para permitir que la organización gestione una interrupción de cualquier naturaleza. Los requisitos clave para una respuesta efectiva son: •Un procedimiento claro para la escalada y control de un incidente •Comunicación con proveedores, clientes y demás partes interesadas •Planes para reiniciar las actividades interrumpidas Se puede llegar a esto por varios medios, y aquí sólo se describe una posible estructura. Pero al margen de la estructura que se adopte, es importante que la estrategia esté de acuerdo con la cultura de la organización. Como todos los incidentes son diferentes, las acciones descritas en los planes no pretenden cubrir cada una de las eventualidades. Cualquier procedimiento predefinido puede necesitar ser adaptado con flexibilidad e iniciativa por los responsables de poner en marcha el plan al incidente específico que haya ocurrido y las oportunidades que haya creado.

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN Referencia: BS 2999-1 Sección 8

cap 123456 71

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 72

ESTRUCTURA DE LAS RESPUESTAS A INCIDENTES 1. Introducción Un modelo de respuesta a incidentes, tomado de los servicios de emergencia de Reino Unido, muestra tres tipos de respuesta generalmente clasificados como Oro, Plata y Bronce. Cuando se aplican a la estructura de respuesta de una organización, las responsabilidades son las siguientes.

Estratégico

Alta Dirección (para incidentes)

PLATA

Táctico

Equipo de Continuidad de negocio

BRONCE

Operativo

Equípos de respuesta a incidentes y reinicio de actividades

ORO

Nivel estratégico - Plan de Gestión de Incidentes (PGI) El PGI define cómo la dirección ejecutiva encararía y gestionaría las cuestiones estratégicas de una crisis que afecte a la organización. Esto puede suceder cuando el incidente no se enmarca totalmente en el Plan de Continuidad de Negocio (PCN). Puede referirse a crisis que no ocasionan interrupciones, como una OPA hostil, o una atención excesiva de los medios de comunicación, y aquellas en las que el impacto afecta a un área mayor de la contemplada en la estrategia de GCN, como sería el caso de una emergencia nacional. La respuesta de los medios de comunicación a cualquier incidente se suele abordar mediante un PGI, aunque algunas organizaciones prefieren manejar a los medios de comunicación mediante un PCN. El Plan de gestión de incidentes a veces también se llama "Plan de gestión de crisis". El problema es que decir a los medios de comunicación que la organización ha puesto en marcha su "Plan de gestión de crisis" puede hacer creer a la gente que tiene una crisis. La palabra "incidente" tiene connotaciones menos negativas, por lo que es la que se prefiere utilizar en este documento. Nivel táctico: Plan de Continuidad de Negocio (PCN) El PCN se interesa por los trastornos, interrupciones o pérdidas en el negocio desde la respuesta inicial que se le da hasta que las operaciones han regresado a la normalidad. Están basadas en las Estrategias de Continuidad de Negocio acordadas y ofrecen procedimientos y procesos tanto para los equipos de continuidad de negocio como para los de recuperación de recursos. En particular, los planes asignan funciones, con sus responsabilidades y grado de autoridad. Los planes también deben detallar los caminos y principios para trabajar durante la respuesta con varios actores externos, como proveedores de servicios de recuperación y los servicios de emergencia. Si el incidente se sale del alcance que contemplaba el Plan de Continuidad de Negocio, la situación debe ser transferida a aquellos responsables de poner en marcha el Plan de Gestión de Incidentes (PGI). Nivel operativo: Planes de Reinicio de Actividades A nivel de las operaciones los planes se ocupan del reinicio de las funciones normales del negocio. Para aquellos departamentos que gestionan infraestructura, como Instalaciones y TI, los planes ofrecerán una estructura para restaurar los servicios existentes o disponer de instalaciones alternativas.

Repercusiones inmediatas

Gestión de medios de comunicación

Enlace con los servicios de Emergencia

Limitación de daños y rescate (instalaciones)

Evaluación estratégica

Evaluación de daños

Gestión de pérdidas laborales (RH)

Poner en marcha a los servicios de Continuidad de Negocio Daño controlado

Gestión de medios de comunicación

Movilización de recursos alternativos

Comunicación con el personal

Supervisión del equipo de continuidad de negocio Se retira

Gestión de recursos alternativos

Reinicio de actividades críticas urgentes

Consolidación

Revisión

Se retira

Reinicio de otras actividades y proyectos

Revisión

123456

Escalabilidad Si bien los tres niveles ofrecen un modelo adecuado para una organización de tamaño medio con un único emplazamiento, una organización más pequeña puede disponer de un único grupo de gestión que se haga cargo de las responsabilidades tanto tácticas como estratégicas. No obstante, sigue siendo importante que este grupo gestione primero los problemas estratégicos a pesar de los problemas acuciantes que plantea la respuesta táctica. Para las organizaciones con múltiples instalaciones existen muchos modelos adecuados, quizás con más subdivisiones de las mencionadas anteriormente, por ejemplo: •Un equipo de respuesta en cada instalación respaldado por un "comando volante" central de Continuidad de Negocio •Un equipo de Continuidad de Negocio en cada emplazamiento importante con un Equipo de Gestión de Incidentes central •Disponer de una GCN y un PGI a escala nacional con poca intromisión de la dirección internacional salvo en los casos en los que la se ve amenazada la reputación global.

cap

Inicio de la recuperación

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

Plazos En el caso de un incidente destructivo, los tres tipos de planes encararán diferentes problemas durantes las diferentes fases del percance. Por ejemplo:

73

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 74

PLAN DE GESTIÓN DE INCIDENTES Referencia: BS 2999-1 Sección 8.3-5 1. Introducción Los estudios de casos de incidentes importantes (según Knight y Pretty, de Oxford Metrica) indican que la gestión rápida y efectiva de una crisis es el factor determinante para proteger la marca de una organización de daños financieros y de reputación. 2. Pasos previos Para las organizaciones que no han previsto planes, el Plan de Gestión de Incidentes (PGI) debería ser lo primero que tienen que desarrollar, ya que permite disponer de una pequeña protección mientras se desarrollan los demás planes. 3. Propósito El propósito de un PGI es ofrecer un marco de acción que permita a una organización gestionar cualquier crisis sin importar la causa (incluyendo aquellas en la que no existe una respuesta de Continuidad de Negocio adecuada, como en el caso de una amenaza a la reputación). 4. Conceptos y suposiciones Los conceptos utilizados en este Manual para los diversos planes no son de aplicación universal, en particular el término Equipo de Gestión de Incidentes, EGI, puede equivaler a lo que otros llaman un equipo de respuesta o de gestión de crisis. Es importante para una organización elegir nombres que se adecuen a su cultura y estructura, pero que contengan las funciones aquí descritas. Algunos incidentes necesitarán una respuesta de PGI que no provenga de un trastorno de las actividades, como por ejemplo aquellos que acarreen amenazas sólo para la reputación y por lo tanto no requieran una respuesta de Continuidad de Negocio. No obstante, cuando se requiera una respuesta de Continuidad de Negocio casi siempre es necesario involucrar al EGI, aunque sólo sea para que conozcan la situación en caso de que luego se agrave. 5. Proceso Los pasos clave para desarrollar un Plan de gestión de incidentes incluyen: •Nombramiento de un responsable en la dirección ejecutiva del Plan de Gestión de Incidentes •Definición de los objetivos y alcance del plan •Desarrollo y aprobación del proceso de desarrollo y programa del Plan de gestión de incidentes •Si no existe plan, puede ser útil realizar un ejercicio con el equipo de alta dirección, pero ejerciendo una presión mínima, para que se vuelvan evidentes las muchas necesidades que tiene el plan, como la misma urgencia de disponer de uno •Crear un equipo de planificación de gestión de incidentes para desarrollar el plan •Acordar las responsabilidades del Equipo de Gestión de Incidentes y su relación con otros planes •Decidir la estructura, formato, componentes y contenido del plan •Determinar las estrategias, como las ubicaciones alternativas, en las que se basa el plan •Recopilar información para elaborar el plan •Nombrar a personas responsables y sustitutos (en caso de que el equipo de alta dirección sea demasiado grande) •Nombrar a personas responsables del apoyo administrativo para el PGI •Hacer un borrador del plan •Circular el borrador del plan para consultas y revisiones •Obtener las reacciones a las consultas •Corregir el plan en lo que se considere adecuado •Acordar y validar el plan, por ejemplo en un ensayo •Repetir el proceso para el Plan de Comunicación de Incidentes (si va por separado) •Acordar un programa constante de ejercicios y mantenimiento para garantizar que está actualizado.

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

cap 123456

6. Métodos y técnicas. Elaborar el Plan de Gestión de Incidentes Los métodos, herramientas y técnicas que permiten la planificación y desarrollo de un Plan de Gestión de Incidentes incluyen: •Análisis de proveedores, clientes y demás partes interesadas •Planificación de escenarios •Listas de verificación •Talleres •Formularios de PGI que se distribuyen para ayudar a la puesta en marcha de los procedimientos estándar (en el caso de una organización internacional con varios equipos de gestión de incidentes) Existen muchos programas informáticos que ayudan a crear y mantener un Plan de Gestión de Incidentes. Pueden ofrecer beneficios significativos en las áreas de mantenimiento de planes e integridad pero no son necesarios y no suplantan la necesidad de conocer el negocio. Contenidos del PGI Como, por su propia naturaleza, todas las crisis son diferentes, el Plan de Gestión de Incidentes es un conjunto de componentes y recursos que pueden ser útiles para el equipo responsable de activarlo. El contenido también variará según la naturaleza y complejidad de la organización. El Plan de Gestión de Incidentes debe estar diseñado por módulos para que las diferentes secciones puedan comunicarse a los equipos según la información que necesiten saber. Cada sección puede imprimirse en un papel de diferente color para que sea fácil de utilizar en el momento de una crisis. Responsable del documento y su mantenimiento El plan tiene que nombrar a un responsable y los procedimientos para el mantenimiento. Funciones y responsabilidades Debe figurar las funciones del equipo y personas específicas. Se debe identificar a un sustituto para cada función. Las responsabilidades del equipo pueden ser: •Gestionar las comunicaciones (ver más adelante) •Asegurar que el PGI y el Equipo de Continuidad de Negocio tienen el personal adecuado y realizar nombramientos en caso de que sea necesario •Establecer enlaces con el Equipo de Continuidad de Negocio para acordar un calendario de reinicio de actividades •Aprobar una partida importante de gastos •Supervisar el progreso conjunto de recuperación y el desempeño del personal •Identificar y maximizar las oportunidades o ventajas que surjan del incidente •Identificar el impacto estratégico del incidente en la organización, algo que puede exigir cambios importantes en la dirección o abrir nuevas oportunidades •Mantener un registro de las decisiones tomadas a lo largo del incidente. Activación / Instrucciones de movilización Se debe especificar por escrito las circunstancias en las que el equipo debe activarse y determinar qué personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los incidentes, debería otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas, debido a que es más fácil desactivar un equipo que iniciarlo cuando el incidente está descontrolado. Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones en el menor tiempo posible. El equipo tiene que haber acordado previamente varios posibles lugares de reunión, dando prioridad a aquellos que contienen los recursos necesarios (ver más adelante). Nada más activado, el primer responsable informado deberá identificar el lugar más adecuado para las reuniones y un lugar alternativo. Planes de acción El plan debe contener elementos iniciales para pasar a la acción como una lista de proveedores, clientes, accionistas y demás partes interesadas. Es posible que el Análisis del Impacto en el Negocio contenga indicadores útiles acerca de posibles impactos que necesitarán gestionarse.

75

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 76

Sala de reuniones Se debe determinar con antelación al menos dos ubicaciones que sirvan de centro de gestión de incidentes (centro de control). Es probable que una sea dentro de las instalaciones, donde está la alta dirección, pero la otra debe encontrarse fuera de las instalaciones. La ubicación externa no tiene que ser propiedad de la organización. Un hotel abierto las 24 horas con un director colaborativo debería ser suficiente para disponer de todas las instalaciones que necesitan la mayoría de las organizaciones. Se debe pensar en cómo se utiliza mejor el espacio para las necesidades de: •comunicación - de entrada y de salida •registro de eventos, acciones y problemas •supervisión de los medios de comunicación • acceso restringido Recursos Se deberían tener en cuenta los siguientes recursos: •Pizarra / tablero (y rotuladores que funcionen) •Varios teléfonos, entre ellos al menos uno con una línea exterior directa y capacidad de grabación •Línea de ayuda para emergencias •Aparatos móviles de comunicación, teléfonos móviles, fax, correo electrónico e Internet •Equipo para controlar la TV y radio •Estudio de TV y radio para ensayar entrevistas •Línea de ISDN y cámara para transmitir entrevistas directamente a una radiodifusora y videoconferencias •Papelería •Medios para registrar todas las acciones •Comida y bebida e instalaciones cercanas para dormir •Un emplazamiento separado y cercano para recibir a la prensa Los equipos y la información pueden mantenerse fuera de las instalaciones de la ubicación alternativa en un camión (también llamado "caja de batalla"). Actividades de las personas Las organizaciones son responsables del bienestar de sus empleados, proveedores, visitantes y clientes. Durante un incidente y su fase de recuperación, todas las estrategias de GCN deberían tomar en cuenta las cuestiones de necesidades básicas. Es más probable que el personar colabore de forma voluntaria con las exigencias del momento si sus necesidades básicas están cubiertas. Algunas de las cuestiones que debe contemplar el plan: Necesidades especiales de las personas durante evacuaciones o períodos de permanencia en las instalaciones, como: •embarazos •discapacidad •responsabilidades familiares Durante un incidente una o varias personas deben responsabilizarse de: •Evacuar las instalaciones •Contabilizar el personal, proveedores y visitantes •Comunicar con el personal y otras personas dentro de las instalaciones •Dirigirse al contacto para casos de emergencia o familiar - la legislación local puede obligar a hacer esto sólo si los servicios de emergencia lo aprueban previamente •Servicios de traducción •Asistencia para transporte •Poner en marcha una línea telefónica de ayuda para el personal Podrían derivarse otras necesidades como: •Alojamiento temporal •Servicios de terapia y rehabilitación - podrían ser ofrecidos a través de una prestación médica para los empleados

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

cap 123456

•Necesidades básicas en las ubicaciones alternativas: •Necesidades especiales •Comida y bebida •Seguridad personal •Transporte y accesibilidad •Formación adecuada en los equipos de reemplazo Enlace con los servicios de emergencia Se debe nombrar a empleados con un nivel adecuado de experiencia y autoridad para servir de enlace con los servicios de emergencia cuando lleguen a las instalaciones y según lo vayan requiriendo. Los servicios de emergencia deberían recibir información en las instalaciones acerca de cualquier herido y el estado de la situación, además de cualquier peligro conocido al que tuvieran que enfrentarse. Mientras se encuentren en las instalaciones, las instrucciones de los servicios de emergencia tienen mayor autoridad que las dadas por el personal de la organización. Cuando se vayan de las instalaciones, la organización volverá a ser responsable de la seguridad en el sitio. Plan de Comunicación de Incidentes El Plan de Comunicación de Incidentes debe determinar la forma en la que la organización gestionará la comunicación con todas las partes involucradas como: •Personal, familiares, amigos y contactos en caso de emergencia •Clientes y proveedores •Accionistas y dueños •Enlace con otros integrantes del grupo corporativo o sede central (si se pertenece a una organización más amplia) •Contactar e informar a las autoridades (después de consultar las formas establecidas por la organización para el cumplimiento de sus obligaciones legales) •Asuntos relacionados con heridos graves o fallecimientos (tras consultar con los servicios de emergencia y cumpliendo las costumbres y leyes locales) •Medios de comunicación - prensa local y nacional, radio, TV, Internet y otros medios Pensar por adelantado: •¿Qué crisis podrían afectarnos? (Puede ser adecuado realizar una Evaluación de Riesgos) •¿Cuáles son las audiencias? •¿Cómo nos comunicamos con ellas? •¿Cuáles son los mensajes? •¿Quién conformará el equipo de incidentes? •¿Cuáles son los recursos e instalaciones? •¿Han recibido formación el equipo de incidentes y los portavoces? •¿Funciona? •¿Qué Manual de Incidentes necesitamos? •¿Hemos desarrollado líneas de comunicación con nuestras audiencias? Cuando se hace pública una crisis o una interrupción en el negocio, una comunicación efectiva será clave para salvar y mantener el activo más valioso de una organización: su reputación. En caso de enfrentar una crisis hay que tener en cuenta: •Responsabilidad del plan: aquellos que tengan que tomar decisiones acerca de cómo comunicar tienen que haberse puesto de acuerdo previamente acerca de los qués, cómos y dóndes de la comunicación. •Percepción es realidad: su reputación se verá afectada no tanto por lo que ha pasado sino por lo que la gente cree que ha pasado - y por su percepción acerca de cómo lo ha gestionado. •Comprender las audiencias clave y lo que necesitan escuchar. •Actúe rápido: Cada hora de silencio que transcurre multiplica por dos su problema de reputación. Tiene que comunicar lo antes posible. •Sea abierto: comunique a sus diferentes audiencias toda la información que pueda dar sin meterse en problemas legales o prácticos. Demostrar que no se tiene nada que esconder ayuda a ahuyentar las sospechas.

77

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 78

•Demuestre que le importa: véalo desde el punto de vista de sus audiencias y ajuste sus mensajes a lo que necesitan escuchar, no sólo a lo que usted quiere decir. 7. Resultados Los resultados del proceso de planificación del Plan de Gestión de Incidentes incluyen: •Un Plan de Gestión de Incidentes que apoya las funciones del Equipo de Gestión de Incidentes de la organización durante una crisis •Un Plan de Comunicación de Incidentes que puede gestionar los mensajes dirigidos a los medios de comunicación y partes interesadas durante una crisis •Una demostración a los medios de comunicación, mercados, clientes, partes interesadas y autoridades de que la organización está preparada para gestionar de forma efectiva los incidentes •Cumplimiento de las obligaciones estatutarias y legales 8. Revisión La revisión o auditoría debe corresponder con las de otras estrategias, planes y soluciones para GCN y gestión de incidentes. La revisión del plan puede estar provocada por un cambio importante en el negocio, la alta dirección o el entorno de operaciones externo.

cap 123456

1. Introducción El Plan de Continuidad de Negocio agrupa la respuesta de toda la organización frente a un incidente y facilita la recuperación de las actividades. Aquellas personas que utilicen el plan deberían ser capaces de analizar la información de los equipos de respuesta acerca del impacto del incidente, elegir y desarrollar las estrategias adecuadas de entre todas las disponibles en el plan, dirigir las unidades de negocio para la recuperación según las prioridades acordadas y, por último, comunicar los avances al Equipo de Gestión de Incidentes. Los componentes y contenidos de un Plan de Continuidad de Negocio variarán según la organización, y presentarán diferentes grados de detalle basados en la cultura de la organización y la complejidad técnica de las soluciones propuestas. 2. Pasos previos Muy pocas veces se puede redactar un Plan de Continuidad de Negocio efectivo si no se han instaurado los elementos clave de la estrategia de reinicio de actividades o su planificación está muy avanzada. 3. Propósito El propósito de un Plan de Continuidad de Negocio es ofrecer un marco de acción y procesos documentados para que la organización pueda reiniciar todos sus procesos de negocio dentro de sus Objetivos de Tiempos de Recuperación. Un Plan de Continuidad de Negocio en sí mismo no demuestra que se posea capacidades para la GCN; pero el hecho de que exista un plan actualizado en la organización sugiere que existe una capacidad efectiva. 4. Conceptos y suposiciones El plan debe estar orientado a la acción y por lo tanto debe ser rápido de consultar y no debe incluir documentación (por ejemplo un AIN) que no sea necesaria durante un incidente. El Plan de Continuidad de Negocio siempre contendrá (y debería documentar) los supuestos de gravedad máxima del incidente (en términos de amplitud, duración o impacto sobre el personal). Si éstos se sobrepasaran, entonces deberá transferirse la responsabilidad al Equipo de Gestión de Incidentes, debido a que es casi inevitable que la solución emane de una decisión estratégica. 5. Proceso Los pasos clave en el desarrollo de un Plan de Continuidad de Negocio (PCN) son: •Nombrar a un responsable del Plan de Continuidad de Negocio (o de cada plan para varias ubicaciones) •Definir los objetivos y alcance del plan en referencia a la estrategia de la organización y la Política de GCN •Desarrollar y aprobar un proceso de planificación y un programa •Crear un equipo de planificación para llevar a cabo el desarrollo del plan •Decidir la estructura, formato, componentes y contenido del plan •Determinar las estrategias que describirá el plan y qué es lo que se abordará en otros planes •Determinar las circunstancias que superan el alcance del PCN •Recopilar información para elaborar el plan •Hacer un borrador del plan •Circular el borrador del plan para consultas y revisiones •Obtener las reacciones a las consultas •Corregir el plan en lo que se considere adecuado •Acordar un programa constante de pruebas y mantenimiento para garantizar que está actualizado (ver sección siguiente) •Probar el plan mediante un ensayo sobre el papel 6. Métodos y técnicas Un Plan de Continuidad de Negocio debe estar diseñado por módulos para que las diferentes secciones puedan comunicarse a los equipos según la información que necesiten saber. Cada sección puede imprimirse en un papel de diferente color para que sea fácil de utilizar y referenciar. También se recomienda asegurarse de que toda la información que cambia de forma regular, como los detalles de contacto, figure bajo la forma de apéndices al final del plan de forma que pueda ser corregida más fácilmente. Por esta razón es preferible que en el texto del documento figuren las funciones y no los nombres específicos de quienes las desempeñan.

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

PLAN DE CONTINUIDAD DE NEGOCIO Referencia: BS 2999-1 Sección 8.3 y 8.6-7

79

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 80

Existen muchos programas informáticos para desarrollar y mantener un Plan de Continuidad de Negocio, pero no es esencial utilizarlos. Puede ser suficiente recurrir a software ofimático normal (un procesador de textos y una hoja de cálculo), además de que mucha más gente puede utilizarlo puesto que no exige una formación especial. No obstante, un software adaptado a las necesidades específicas puede aportar ventajas significativas en lo que se refiere al mantenimiento e integridad del plan. Cualquiera que sea la solución adoptada, tiene que haber un proceso de gestión de control y cambios para la producción, actualización y distribución del Plan de Continuidad de Negocio. El plan debe contener: Responsable de documentación y mantenimiento La persona o grupo nombrado para asegurar que el plan se mantiene actualizado y efectivo. •Funciones y responsabilidades Deben figurar las funciones del equipo y personas específicas. Se debe identificar a los sustitutos para cada función. Las responsabilidades del equipo o de las personas específicas pueden ser: •Servir de enlace con los servicios de emergencia •Recibir o buscar la información de los equipos de respuesta •Reportar la información al Equipo de Gestión de Incidentes •Activar a proveedores de servicios de rescate o recuperación •Asignar los recursos disponibles a los equipos de recuperación Instrucciones para su activación Se tienen que especificar las circunstancias en las que el equipo debe activarse y determinar qué personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los incidentes, se debería otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas, debido a que es más fácil desactivar un equipo que iniciarlo cuando el incidente está descontrolado. Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones en el menor tiempo posible. El equipo tiene que haber acordado previamente varios posibles lugares de reunión, dando prioridad a aquellos que contienen los recursos necesarios (ver más adelante). Nada más activado, el primer responsable informado deberá identificar el lugar más adecuado para las reuniones y un lugar alternativo. Planes de acción / lista de tareas •Procedimientos detallados destinados al equipo para: •Responder a la invocación •Cómo se deben tomar las decisiones •Movilizar recursos •Iniciar la recuperación de actividad •Recibir información de otros equipos •Informar del estatus al Equipo de Gestión de Incidentes Necesidades de recursos Listas de recursos disponibles: •Personal •Instalaciones y suministros •Tecnología, comunicaciones y datos •Seguridad •Transporte y logística •Necesidades básicas •Dinero y pagos de emergencia Información de contacto para acceder a estos recursos Necesidades de recursos para recuperación de cada actividad Información vital Información de clientes Detalles de contacto Documentos legales (contratos y pólizas de seguro) Acuerdos de servicios

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

Formularios y anexos Listas de verificación para ayudar a la recuperación 7. Resultados Los resultados del proceso de planificación de Gestión de Continuidad de Negocio incluyen: •Un Plan de Continuidad de Negocio que debería estar ratificado por la dirección ejecutiva •Un marco en el que puede operar cada unidad de negocio (ver sección siguiente) 8. Revisión Alguna información contenida en el Plan de Continuidad de Negocio como los detalles de contacto tendrá que ser revisada mensual o trimestralmente. Otra información deberá revisarse de forma anual y comprobada mediante pruebas. Otros posibles desencadenantes para una revisión son: •Un cambio importante en la tecnología y/o telecomunicaciones •Un cambio importante en los procesos •Un cambio importante en el personal •Un cambio en el proveedor de soluciones de GCN.

cap 123456 81

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 82

PLANES DE RESPUESTA POR ACTIVIDAD 1. Introducción Un Plan de Continuidad de Negocio será rápidamente difícil de manejar si todos los procedimientos de recuperación figuran en un único documento. Cuando éste sea el caso (como en las organizaciones medianas o grandes) los planes de respuesta y recuperación de cada actividad deberían excluirse del PCN y ser incluidos en un documento separado que se pasa a ser responsabilidad de la actividad con la que está relacionado. Los planes de respuesta por actividad (en el nivel operativo) abordan la respuesta al incidente de cada departamento o unidad de negocio. Algunos ejemplos de los planes de respuesta por operación son: •Procedimientos para ayudar a un equipo de respuesta a incidentes generalmente dirigido por un departamento que se ocupa del incidente específico y su impacto material (si existe) •Una respuesta de recursos humanos a problemas de necesidades básicas durante un incidente •Un plan del departamento para reiniciar actividades en un plazo predeterminado •Una respuesta logística del departamento de TI a la pérdida y subsiguiente recuperación de los servicios de TI para el negocio La complejidad y urgencia de los procesos de negocio pueden determinar si los planes operativos sólo se ocupan de una actividad o abarcan un departamento que gestiona varias actividades. Según el grado de complejidad de la organización, los planes de respuesta operativos pueden ser respaldados por planes más detallados para respuestas, ubicaciones o equipos específicos. 2. Pasos previos Debido a los muchos vínculos que existen entre el Plan de Continuidad de Negocio y los de respuesta operativos, el Plan de Continuidad de Negocio debería estar redactado, al menos en su esquema general, antes de que se determinen estos planes por actividad. 3. Propósito El propósito del Plan Operativo de Respuesta es estructurar la respuesta de cada departamento a una interrupción dentro del Plan de Continuidad de Negocio general. 4. Conceptos y suposiciones El plan debe estar orientado a la acción y por lo tanto debe ser rápido de consultar y no debe incluir documentación que no sea necesaria durante un incidente. 5. Proceso Los pasos clave para la planificación y desarrollo del plan de recuperación para la unidad de negocio son: •Nombrar a una persona responsable del desarrollo general de los planes y un representante dentro de cada unidad para desarrollar su propio plan •Definir el objetivo y alcance de los planes •Desarrollar un proceso de planificación y un programa con plazos. Cuando sea posible, empezar con los planes para las actividades de negocio más urgentes •Determinar las estrategias generales de GCN en las que se basa el plan •Decidir la estructura, formato, componentes y contenido de los planes •Desarrollar un esquema general de plan para favorecer que se estandarice la documentación, pero que también se permita ciertas variaciones específicas si fuera adecuado •Asegurarse de que las unidades de negocio nombran a personas para cumplir las funciones determinadas en el plan •Gestionar y supervisar el desarrollo de planes dentro de las unidades de negocio •Circular el borrador para consulta, revisión y crítica, tanto dentro como fuera del departamento si fuera necesario •Registrar las reacciones de la consulta •Corregir el plan en caso de que sea necesario •Validar el plan a través de un test en la unidad de negocio •Consolidar los planes para las unidades de negocio y revisarlos para comprobar su coherencia •Documentar las conexiones con el Plan de Continuidad de Negocio y entre los planes para las unidades •Llevar a cabo un análisis de las necesidades de recursos de todos los planes para determinar las necesidades de recursos que apoyarán las funciones

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

cap 123456

6. Métodos y técnicas Los métodos, herramientas y técnicas para desarrollar un Plan Operativo de Respuesta incluyen: •Entrevistas (estructuradas y no estructuradas) •Un Análisis del Impacto en el Negocio y un Análisis de las Necesidades de Recursos para esta actividad (para afinar los resultados del AIN de mayor nivel) •Listas de verificación y formularios •Talleres Los planes de respuesta para operaciones específicas pueden incluir lo siguiente: Instalaciones (Equipo de Respuesta a Incidentes) •Planes para la evacuación y realojo de edificios •Respuesta a amenazas de bomba y escenarios parecidos •Puntos de evacuación (incluyen ubicaciones alternativas o externas) •Enlace con los servicios de emergencia •Dispersión del personal y visitantes •Rescate de recursos y asistencia contratada •Circunstancias agravantes Recursos humanos •Necesidades básicas •Responsabilidades legales en cuestiones de salud y seguridad •Procedimiento para contabilizar el personal •Procedimiento para contactar al personal •Recursos para terapia psicológica y rehabilitación Recuperación de la unidad de negocio •Criterios de escalado para poner en marcha la Respuesta de Continuidad de Negocio (el problema se sale de la zona de gestión de la unidad de negocio) •Procedimiento de escalado para transferir la responsabilidad al Equipo de Continuidad de Negocio •Contacto inicial del Equipo de Continuidad de Negocio •Contacto con los miembros del equipo •Plan de reinicio de actividades para cada proceso •Número de empleados necesario •Contactos clave •Procedimiento para el reinicio de la actividad de negocio •Forma de iniciarlo •Prioridades •Procedimientos especiales •Problemas durante la puesta en práctica •Número de empleados necesario •Recursos necesarios 7. Resultados Los resultados del Plan Operativo de Respuesta incluyen: •Un Plan Operativo de Respuesta documentado para cada actividad o departamento •Criterios para que las unidades de negocio deriven el asunto al Equipo de Continuidad de Negocio •Definición clara de las funciones de GCN dentro del departamento 8. Revisión Los planes operativos de respuesta tienen que revisarse en caso de que se produzca un cambio importante en los procesos o tecnología dentro de ese área.

83

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

123456

cap 84

INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organización con una GCN madura 1. La organización es responsable de al menos un Plan de gestión de incidentes y un Plan de Continuidad de Negocio, que le permite gestionar cualquier posible incidente o crisis que afecte a la continuidad en cualquier parte del negocio y sin importar la causa 2. La organización opera uno o varios equipos para incidentes y recuperación que son responsables de gestionar todos los posibles incidentes que afectan a la continuidad 3. Cada equipo incluye a ejecutivos de alta dirección que son responsables y que poseen la autoridad y conocimiento para responder de forma efectiva a cualquier incidente 4. Cada miembro del equipo tiene al menos un sustituto con igual nivel de autoridad y formación 5. Cada equipo tiene poderes y recursos para ser siempre movilizado a tiempo y dar una respuesta adecuada 6. Cada equipo tiene que saber operar todas las herramientas e información necesarias que necesita para gestionar un incidente 7. Todos los integrantes del equipo han recibido la formación adecuada para operar bajo una crisis o en condiciones parecidas 8. Cada plan define una escalada y un proceso de invocación que permite su activación rápida o inmediata 9. Cada plan contiene instrucciones inequívocas para la invocación en caso de cualquier tipo de incidentes y condiciones 10. Cada plan contiene criterios claros de invocación y directrices 11. Cada plan identifica con claridad aquellas personas que tienen autoridad para invocarlo 12. Cada plan contiene tareas y listas para obstaculizar las consecuencias inmediatas de un trastorno en el negocio 13. Cada plan contiene una declaración clara e inequívoca de su propósito y alcance 14. Cada plan explica los protocolos y mecanismos para comunicaciones de emergencia y avisos 15. Cada plan exige que la información de contacto de familiares y de emergencia de todo el personal esté actualizada y disponible para su rápida utilización 16. Cada plan identifica la o las personas que después de un accidente se encargarán de las responsabilidades de salud y bienestar del personal 17. Cada plan contiene medidas específicas que garanticen que después de un accidente la prioridad se enfoca en el bienestar de las personas y que los problemas a este respecto son gestionados de forma efectiva 18. Cada plan define y comunica las funciones, responsabilidades y grados de autoridad de todos los participantes 19. Cada plan contiene y establece un marco de acción claro para el control aceptable de cualquier incidente 20. Cada plan describe con claridad cómo elegir, adaptar y poner en marcha las estrategias para optimizar la recuperación después de un incidente 21. Cada plan contiene explicaciones claras de prioridades que reflejen las variaciones estacionales, periódicas y de día a día 22. Cada plan identifica con claridad los niveles de recuperación que deben lograrse con el tiempo (Objetivos de Tiempos de Recuperación) 23. Cada plan describe con claridad los medios para coordinar todos los equipos y entidades involucradas en la recuperación 24. Cada plan contiene tareas, procedimientos y listas de verificación que inician y cumplen de forma aceptable con las estrategias 25. Cada plan contiene un inventario actualizado de los recursos necesarios en el tiempo para entregar de forma aceptable las estrategias 26. Cada plan contiene registros o formularios para reseñar la información del incidente 27. Cada plan contiene tareas y listas de verificación para la restauración de las operaciones después de cualquier incidente 28. Cada plan contiene tareas que permiten un análisis efectivo de la situación y una evaluación de los daños 29. Cada plan contiene tareas que aseguran la continuidad de cada acuerdo de subcontratación

DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN

cap 123456

30. Cada plan ofrece indicaciones fiables acerca del tiempo para completar cada paso bajo condiciones de trastorno 31. Cada plan incluye el contacto y los detalles para movilizar a todos los proveedores y clientes clave 32. Los planes de la organización prevén de forma específica la gestión rápida de la comunicación con todos los proveedores y clientes clave antes, durante y después de un incidente 33. Los planes de incidentes contienen provisiones específicas acerca de cómo llevar a cabo medidas adecuadas de buen gobierno 34. Cada plan identifica al personal con el grado de autoridad adecuado para servir de enlace con los servicios de emergencia 35. Cada plan ofrece la base para un sistema efectivo de gestión de la información en momentos de crisis 36. Cada plan especifica los medios y la frecuencia con la que se debe ofrecer la información, como por ejemplo en comunicados de prensa, correo electrónico, sitio de Internet 37. Cada plan ofrece una estrategia y marco de acción para comunicarse con los medios de comunicación 38. Cada plan identifica a los portavoces formados que están autorizados a enviar información a los medios de comunicación 39. Cada plan identifica un lugar preferido de enlace con los medios de comunicación u otras partes interesadas 40. Cada plan identifica cómo hacer seguimiento de la respuesta de los medios de comunicación 41. Los planes contienen un comunicado tipo para enviar a los medios de comunicación 42. Los planes contienen directrices para crear conciencia a través de los medios de comunicación 43. Cada plan identifica una ubicación preferida desde la que se gestionará el incidente (ubicación para la gestión de incidentes) 44. Cada plan identifica una ubicación alternativa en caso de que no se pueda acceder a la ubicación preferida para la gestión de incidente 45. Cada ubicación de gestión de incidentes dispone de el acceso a los recursos necesarios para poner en marcha el plan de incidentes 46. Cada ubicación de gestión de incidentes dispone de medios de comunicación efectivos, tanto principales como alternativos 47. Cada ubicación de gestión de incidentes dispone de instalaciones para acceder y compartir información, incluido el seguimiento de los medios de comunicación 48. Cada plan es conciso y es asimilado por todos sus posibles usuarios 49. Cada plan es práctico, está orientado a la acción y excluye toda la información que no será exigida durante un incidente 50. Cada plan es rápidamente accesible para todos sus posibles usuarios 51. Cada plan se considera completo en el sentido de que se ocupa de cualquier trastorno desde el punto de recuperación hasta el reinicio de las operaciones normales de negocio 52. Cada plan se considera completo en el sentido de que documenta todos los componentes requeridos para poner en marcha de forma fiable cada una de las estrategias 53. Cada plan identifica su principal responsable 54. Cada plan cuenta con el apoyo de la alta dirección e incluye un responsable concreto directo 55. Cada plan identifica a aquellos responsables de su revisión, mantenimiento y difusión autorizada 56. Cada plan cuenta con un presupuesto adecuado para su desarrollo y mantenimiento 57. Cada plan cumple con todas las obligaciones legales y estatutarias 58. Cada plan describe con claridad su relación con todos los demás planes o documentos relevantes 59. Cada plan y su documentación asociada están actualizados y reflejan las necesidades de la organización 60. Cada plan está sujeto a un control sistemático de su versión y distribución 61. Cada plan está ratificado por la alta dirección.

85

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

capítulo 1 2 3 4 5 6 Probar, mantener y revisar los preparativos de GCN

86

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y demás partes interesadas, la reputación, la marca y las actividades creadoras de valor. Está sección garantiza que las estrategias, planes y acuerdos de GCN de la organización son refrendados por pruebas y revisiones, además de estar actualizados. COMPONENTES DE LA ETAPA 5 PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS DE GCN 1. PRINCIPIOS GENERALES 2. PROGRAMA DE PRUEBAS 3. PROBAR LOS PREPARATIVOS DE GCN 4. MANTENER LOS PREPARATIVOS DE GCN 5. REVISAR LOS PREPARATIVOS DE GCN

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

Acerca del capítulo 5 – Probar, mantener y revisar los preparativos de GCN

cap 123456 87

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

123456

cap 88

PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS Referencia: BS 25999-1 Sección 9 Principios generales Pruebas La capacidad para la Gestión de Continuidad de Negocio (GCN) no puede considerarse fiable hasta que no se ha puesto en práctica. Como rara vez es posible llevar a cabo un ensayo para toda la organización de una sola vez, se necesita un programa de pruebas planificado para garantizar que todos los aspectos de los planes y personal se han ensayado durante un período de tiempo. Las pruebas tienen múltiples formas, entre ellos ejercicios técnicos, pruebas desde el ordenador y ensayos completos en vivo. Independientemente de lo bien diseñada y planificada que esté una Estrategia de GCN o un Plan de Continuidad de Negocio (PCN), varias pruebas sólidas y realistas identificarán los problemas y suposiciones que se deberán corregir. El tiempo y los recursos empleados en ensayar las Estrategias de GCN y PCN son partes cruciales del proceso en su conjunto por el hecho de que desarrollan competencias inspiran confianza e imparten conocimientos esenciales en momentos de crisis. Si bien es necesario dedicar esfuerzos en poner a prueba las capacidades técnicas para la recuperación, el elemento clave es el papel de las personas y su capacidad en habilidades, conocimientos, gestión y toma de decisiones. Cuando se subcontrata un servicio o actividad, no se transfiere la responsabilidad del riesgo. Por esa razón las organizaciones deben asegurarse por sí mismas que los proveedores de servicios subcontratados están preparados para aguantar un incidente. Deben comprobar la efectividad sus propios planes y exigir a sus proveedores pruebas acerca de la viabilidad de los planes de contingencia y cerciorarse de ello a través de ejercicios. Mantenimiento La mayoría de las organizaciones actúan en un entorno dinámico y están sujetas a cambios en las personas, procesos, mercado, riesgos, entorno, geografía y estrategia de negocio. Es necesario garantizar que su capacidad para la GCN sigue reflejando la naturaleza, magnitud y complejidad de la organización. Debe estar actualizada, ser fiable, completa, ensayada, y comprendida por proveedores, clientes, accionistas, trabajadores y todas las partes interesadas. Se debe instaurar un Programa de Mantenimiento de la Continuidad de Negocio para garantizar que todas las partes interesadas conocen las partes más actualizadas y relevantes del PCN. Revisión •Existen varias formas de revisar un programa de GCN: •Auditoría interna •Auditoría externa •Autoevaluación El proceso de auditoría de GCN garantiza que una organización dispone de un Programa de Continuidad de Negocio efectivo. La auditoría cumple cinco funciones esenciales: •Certifica el cumplimiento de las políticas y estándares de GCN de la organización •Revisa las soluciones de GCN para la organización •Da validez a los PCN de la organización. •Verifica que se están realizando las actividades adecuadas de ensayo y mantenimiento •Pone de relieve las deficiencias y problemas y garantiza su corrección El proceso puede ser realizado por el departamento de auditoría interna de la organización, un auditor externo o un profesional externo experto en Continuidad de Negocio. Se debe realizar el proceso cada uno o dos años. Entretanto los responsables de los planes de Continuidad de Negocio pueden llevar a cabo de forma más frecuente una "comprobación de desempeño".

cap 123456

1. Introducción El desarrollo de una capacidad para la GCN se logra a través de un programa estructurado de pruebas. Se puede iniciar un programa de pruebas de GCN mediante un ejercicio diseñado para poner de relieve las deficiencias en la capacidad. Para ser exitoso, un programa de pruebas debe tener una forma simple al inicio y complicarse de forma gradual. Aun cuando la entrega de un producto o servicio ha sido subcontratada, la organización sigue siendo responsable de esa entrega. En ese caso la organización debería asegurarse de que, mediante ejercicios, la empresa subcontratada es capaz de cumplir con sus obligaciones. De igual forma se debería solicitar a los proveedores de productos o servicios cuya interrupción podría causar un trastorno importante para la organización que den pruebas de su capacidad de recuperación. 2. Pasos previos La Política de GCN debería definir el calendario y responsabilidades para el programa de ejercicios. 3. Propósito El propósito del programa de ejercicios es garantizar que a lo largo de un tiempo: •Se verifica toda la información de los planes •Se ensayan los planes •Todo el personal (incluyendo subalternos) han ejercitado sus habilidades 4. Conceptos y suposiciones Actividades subcontratadas Las pruebas para las actividades subcontratadas deberían figurar como obligatorias en el contrato y ser formalizadas mediante acuerdos de servicio. 5. Proceso •Redactar una lista de todos los procesos de recuperación (por ejemplo, reubicación) •Determinar el tipo de prueba más adecuada para cada proceso •Redactar una lista de todo el personal o grupos involucrados en cada proceso Determinar un calendario de pruebas para asegurarse de que, a lo largo de un tiempo, todo el personal determinante se verá involucrado en ellas Procesos de recuperación El programa de ejercicios debe incluir actividades que permitan ensayar las diversas facetas de las estrategias de GCN adoptadas. Entre ellas: •Técnico - ¿Funcionan los equipos? •Procedimientos - ¿Son correctos los procedimientos? •Logística - ¿Logran los procedimientos sucederse de forma lógica? •Entrega a tiempo - ¿Consiguen los procedimientos cumplir con los OTR de cada actividad? •Administrativo - ¿Son los procedimientos fáciles de gestionar? •Personal - ¿Están involucradas las personas correctas? ¿Poseen las habilidades, autoridad y experiencia adecuadas?

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

PROGRAMA DE PRUEBAS Referencia: BS 25999-1 Sección 9.2

89

Figura :Tipos de ejercicios (Fuente: Elliot, Swartz y Herbane 1999)

cap

123456

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

6. Métodos y técnicas La siguiente matriz ilustra una progresión y posibles combinaciones de ejercicios:

7. Resultados La planificación del Programa de Pruebas de GCN deberá resultar en: •Un calendario para un programa de Pruebas 8. Revisión La frecuencia de un Programa de Pruebas de GCN dependerá de la naturaleza, magnitud y complejidad de la organización. Un ensayo de la Capacidad para la GCN de la organización en su conjunto debería realizarse al menos una vez cada 12 meses. También es posible que otros acontecimientos obliguen a realizar nuevas pruebas: •Un cambio significativo en los procesos, la plantilla o la tecnología •Un cambio importante en el entorno externo del negocio

90

cap 123456

1. Introducción "Pruebas" es un término genérico que se utiliza aquí para describir el conjunto de medidas que ponen a prueba el Plan de Continuidad de Negocios, los integrantes de los equipos y la tecnología y procedimientos. Se suelen utilizar tres términos: •Prueba (Test): suele referirse a someter a examen un proceso tecnológico o de negocio, generalmente con respecto al cumplimiento de ciertos plazos. Es posible que el resultado sea "pasa" o "falla" (para el proceso, no la persona). Un ejemplo podría ser la recuperación de un servidor mediante los archivos de respaldo. •Simulacro: Práctica de un conjunto específico de procedimientos que requieren el seguimiento de un guión para inculcar conocimientos y familiarizarse con la práctica. Un ejemplo sería un simulacro de incendio. •Ejercicio: Suelen realizarse para un evento basado en un escenario en el que se ponen a prueba la capacidad para tomar decisiones. Un ejemplo es un ejercicio de escritorio para gestionar un incidente grave. Más allá del término que se utilice, es importante darse cuenta de que una prueba es una oportunidad medir la calidad de la planificación, la competencia de las personas y la efectividad en las capacidades y no un simple examen con un aprobado o un suspenso. Demostrar una actitud positiva frente a las pruebas de GCN logra que el proceso tenga mayor aceptación, permite reconocer las fortalezas, mientras que las deficiencias serán consideradas oportunidades para mejorar en lugar de dar lugar a críticas. 2. Pasos previos Las pruebas enfocadas en actividades individuales son parte de un programa de pruebas y deben ser programados junto con las actividades de formación correspondientes. 3. Propósito El propósito de ensayar es: •Evaluar las actuales competencias de la organización para la GCN •Identificar áreas para mejorar o en las que falta información •Destacar suposiciones que deben ser cuestionadas •Ofrecer información e inspirar confianza a los participantes de los ejercicios •Incentivar el trabajo en equipo •Mejorar el nivel de conciencia de toda la organización acerca de la Continuidad de Negocio dando publicidad al ejercicio •Comprobar la efectividad y cumplimiento de plazos de los procedimientos de restauración al final del ejercicio 4. Conceptos y suposiciones Para que una prueba se considere "útil" necesita cumplir con los siguientes criterios: rigurosa, realista y de exposición mínima. Suele suceder que estos tres criterios plantean requisitos opuestos por lo que se necesitará llegar a un compromiso balanceado entre todos. Rigurosa Cuando sea posible, las pruebas deben realizarse utilizando los mismos procedimientos y métodos que se utilizarían durante un incidente real, tratando de que todo sea lo más realista que se pueda. Se trata de un ideal, pero no es posible llevar a cabo ciertas pruebas sin realizar alteraciones reales sobre los procesos. Esto sobre todo aplica a pruebas técnicas. Realista La utilidad de una prueba se ve comprometida si se elige un escenario poco realista. Se necesita simular un incidente para demostrar la viabilidad de los planes en tales circunstancias. Reflejar un escenario de negocios realista garantiza que la audiencia se comprometa por completo con la prueba y aprenda más de ella.

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

PROBAR LOS PREPARATIVOS DE GCN Ref: BS 25999-1 Sección 9.3

91

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

123456

cap 92

Exposición mínima La realización de pruebas puede exponer el negocio a un nivel elevado de riesgo. El responsable de diseñar la prueba debe asegurarse de que: •queda minimizado el riesgo e impacto del trastorno •el negocio entiende y acepta el riesgo Para pruebas de mayor complejidad técnica, el responsable debe asegurarse de que existen puntos acordados previamente para continuar o detener la prueba a lo largo de etapas clave, además de planes adecuados de respaldo en caso de que las cosas salgan mal. Del mismo modo, para los ejercicios de despacho o en directo, el responsable tiene que disponer de la capacidad de interrumpir la prueba si el equipo está tomando decisiones que no serían adecuadas en el escenario planteado. 5. Proceso •Una prueba técnica incluye las siguientes fases: •Acordar el alcance y objetivos de la prueba •Acordar el presupuesto para la prueba si fuera necesario •Asignar a la tarea el personal adecuado •Plantear un escenario sencillo y un conjunto de suposiciones que dan contexto a la prueba •Llevar a cabo una Evaluación de Riesgos de la prueba para minimizar el riesgo de impacto sobre las operaciones reales •Llevar a cabo la prueba y registrar los resultados •Evaluar e informar de los resultados •Solucionar cualquier problema detectado Un ejercicio sobre un escenario necesitará pasos similares, pero más complejos: •Acordar el alcance y objetivos del ejercicio con la alta dirección •Acordar el presupuesto para la prueba •Acordar con los responsables y proveedores adecuados la logística y servicios necesarios para desarrollar el ejercicio •Preparar un escenario realista y detallado •Incluir aspectos como fecha, hora, carga de trabajo, condiciones políticas y económicas y problemas temporales o estacionales •Asegurarse de que los participantes están disponibles •Llevar a cabo una Evaluación de riesgos del ejercicio para minimizar el riesgo de impacto sobre las operaciones reales •Informar a observadores y preparar cuestionarios que se utilizarán durante el ejercicio para plasmar las lecciones aprendidas por jugadores y observadores •Dar a los participantes información previa al ejercicio •Llevar a cabo el ejercicio •Hacer un informe de resultados y comunicarlo a los participantes inmediatamente después del ejercicio •Presentar un informe más formal a los participantes en una fecha posterior •Evaluar los resultados del ejercicio y los resultados del informe y preparar un informe con recomendaciones •Preparar un informe de las cuestiones problemáticas durante y justo después de la prueba. •Enviar copia de los informes a los participantes y alta dirección •Crear un plan de acción que se pondrá en marcha después del ejercicio con las recomendaciones al informe, como la actualización de la estrategia y plan conforme a lo aprobado o revisión del calendario de ejercicios para dar tiempo a demostrar la eficacia de los cambios. 6. Métodos y técnicas Participantes Además del personal, en un ejercicio con un escenario los participantes también pueden ser: El facilitador •Los proveedores de recursos y servicios especializados para la GCN •Los representantes de las compañías de seguros •Los servicios de emergencia •Los encargados de seguridad

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

cap

•Las autoridades locales dedicadas a planificación de emergencias •Los responsables de comunicación y relaciones públicas •Expertos (cuando se necesiten) •Los proveedores de productos y servicios para el negocio •Los proveedores de actividades subcontratadas 7. Resultados El proceso de probar la GCN puede brindar los siguientes resultados: •Comprobación de que la Continuidad de Negocio y las estrategias son efectivas •Grado de familiaridad del personal con sus funciones, responsabilidades y autoridad en respuesta a un incidente. •Prueba de los aspectos técnicos, logísticos y administrativos del Plan de Continuidad de Negocio. •Prueba de la infraestructura de recuperación como los centros de mando, el área de trabajo, tecnología y telecomunicaciones. •Un ensayo acerca del grado de disponibilidad y reubicación de la plantilla •Documentar los resultados del ejercicio en un informe posterior para la alta dirección, auditores, aseguradoras, autoridades y demás partes interesadas •Documentar y resolver todas las cuestiones que han surgido en el ejercicio •Una conciencia mayor acerca de los procedimientos de emergencia •Una conciencia mayor acerca del significado de la GCN. •La oportunidad para identificar las deficiencias y posibilidades de mejora en la preparación a la Continuidad de Negocio por parte de la organización 8. Revisión La frecuencia de un Programa de Ejercicios de GCN dependerá de la naturaleza, magnitud y complejidad de la organización. Un ensayo de la Capacidad para la GCN de la organización en su conjunto debería realizarse al menos una vez cada 12 meses. También es posible que otros acontecimientos obliguen a realizar nuevos ejercicios: •Un cambio significativo en los procesos, la plantilla o la tecnología •Un cambio importante en el entorno externo del negocio.

123456 93

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

123456

cap 94

MANTENER LOS PREPARATIVOS DE GCN Referencia: BS 25999-1 Sección 9.4 1. Introducción El Programa de Mantenimiento de GCN garantiza que la organización se encuentra preparada para gestionar incidentes a pesar de los constantes cambios que experimentan todas las organizaciones. Para que un Programa de Mantenimiento de GCN sea efectivo, debe estar integrado en los procesos normales de gestión de la organización en lugar de formar parte de una estructura separada que puede ser olvidada. 2. Pasos previos La mayoría de los problemas que surgen de las pruebas y ejercicios son resultado de cambios internos en la organización – personal, ubicación o tecnología. 3. Propósito El propósito del proceso de Mantenimiento de la Gestión de Continuidad de Negocio e Incidentes es garantizar que la capacidad para la GCN de la organización se mantiene efectiva a pesar de los cambios en los procesos internos y las influencias externas. 4. Conceptos y suposiciones Disponer de una gestión de cambios es un prerrequisito para el mantenimiento del programa de GCN. 5. Proceso Revisar los cambios internos en: •Procesos de negocio •Tecnología •Personal Esta revisión puede ser provocada por un cambio en la gestión, por los "puntos de aprendizaje" de después de los ejercicios o por un informe de auditoría. •Revisar y cuestionar las suposiciones hechas en el Análisis del Impacto en el Negocio acerca del entorno en el que opera la organización para determinar si los imperativos de tiempo han cambiado desde la última revisión •Revisar la idoneidad y disponibilidad de aquellos servicios externos que podrían ser exigidos por una organización en momentos difíciles, como la restauración de activos, ubicaciones de recuperación y subcontrataciones •Revisar los planes de Continuidad de Negocio para proveedores de componentes cuya entrega a tiempo es crítica para el negocio •Evaluar si los cambios y enmiendas crean una necesidad de formación, concienciación y/o comunicación. •Ofrecer formación, concienciación y/o comunicación adecuadas en lo que se necesite. •Distribuir la política, estrategias soluciones, procesos y planes de GCN actualizados, corregidos, modificados a las principales partes interesadas mediante el proceso formal de control de cambios (versión). 6. Métodos y técnicas •Cada responsable del plan se hace cargo del mantenimiento de los planes de Continuidad de Negocio del equipo y los datos dinámicos, como los teléfonos del personal fuera de horas de oficina, tareas del equipo, detalles de contacto de los proveedores, contenido de la caja de contingencia, etc. •Las secciones del plan se actualizan desde mensualmente hasta una vez al año, según el calendario estipulado en la sección relativa al Mantenimiento del Plan de Continuidad de Negocio. Los meses adecuados para la actualización también se especifican en esa misma sección. •La "fecha de la última actualización" se muestra claramente al principio de cada capítulo del plan de Continuidad de Negocio para garantizar un registro efectivo para las auditorías. 7. Resultados El proceso de mantenimiento de la Continuidad de Negocio brinda los siguientes resultados: •Un programa documentado de supervisión y mantenimiento de la Continuidad de Negocio •Un informe de mantenimiento claramente definido (con recomendaciones) acordado y ratificado por el directivo adecuado •Un plan de acción del informe de mantenimiento claramente definido acordado y ratificado por el directivo adecuado •Planes de Continuidad de Negocio, estrategias y soluciones que sean efectivos y adecuados.

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

8. Revisión La frecuencia de un Programa de Ejercicios de GCN dependerá de la naturaleza, magnitud y complejidad de los cambios en el negocio. Es probable que se necesite realizar el mantenimiento: •Cuando se produce un cambio significativo en los procesos, la plantilla o la tecnología. •Después de un ejercicio o prueba. •Después de una auditoría que recomiende cambios. •De acuerdo con el calendario definido en el capítulo sobre el Mantenimiento del Plan de Continuidad de Negocio.

cap 123456 95

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

123456

cap 96

REVISAR LOS PREPARATIVOS DE GCN Referencia: BS 25999-1 Sección 9.5 1. Introducción La revisión incluye •Auditorías, tanto internas como externas •Autoevaluación La auditoría sirve para revisar de forma imparcial con respecto a estándares y políticas definidas y para ofrecer recomendaciones para subsanar las deficiencias. No obstante, la naturaleza de la GCN exige a la auditoría una visión distinta debido a la evolución de los estándares. La auditoría está diseñada para verificar que se han seguido de forma correcta, no que las soluciones adoptadas son obligatoriamente correctas. 2. Pasos previos La auditoría debe realizarse con respecto a una Política de GCN y los estándares adecuados. 3. Propósito El propósito de una auditoría de GCN es analizar las competencias que posee una organización para la GCN; medirlas con respecto los estándares y criterios predeterminados y confeccionar un informe de auditoría estructurado. Además, la misma GCN debería estar sujeta de forma periódica a un proceso de garantía. 4. Conceptos y suposiciones Esta visión asume que si el proceso es correcto y se aplica de forma adecuada, el resultado debería ofrecer una capacidad efectiva para la GCN. Se asume que los estándares disponibles ofrecen el marco de acción adecuado para la auditoría. Entre ellos figuran: ?Estándares nacionales e internacionales, como el Código de Prácticas BS 25999-1 y la Especificación BS25999-2 (aún no publicada) •Obligaciones normativas, como las marcadas por las autoridades financieras correspondientes •Obligaciones legales •Los Manuales de Buenas prácticas (como este documento) o aquellas específicas para un sector •Estándares de la industria como el ISO 17799 (relativo a la seguridad de TI). 5. Proceso Al igual que sucede con la planificación, puesta en marcha y mantenimiento de la Continuidad de Negocio, la auditoría de GCN se ocupa de un proceso complejo y necesita interactuar con un amplio abanico de funciones directivas y operativas, tanto desde el punto de vista de negocio como técnico. La auditoría del proceso de GCN incluye: •Una auditoría del plan de GCN - que a su vez debería incluir: -Identificación del tipo de auditoría a llevar a cabo (de cumplimiento, gestión de proyectos, estudio de factibilidad, due diligence o de investigación). -Identificación de los objetivos de auditoría, es decir, los resultados. Esos objetivos pueden estar en parte motivados y marcados o restringidos por las obligaciones legales o normativas. Esto incluye cuestiones clave de alta importancia. -Identificación del marco estándar para la auditoría (cuando sea apropiado) que se va a utilizar, como el BS 25999. El marco puede ser forzoso o estar restringido por las obligaciones legales o normativas. -Definición del alcance de la auditoría. -Determinar los aspectos de gobierno corporativo, cumplimiento u otras cuestiones que deban ser auditadas. -Determinar el área/departamento/ubicación de la organización que será auditada. -Definición de la perspectiva de la auditoría. -Las actividades de auditoría que se van a realizar, como cuestionarios/entrevistas personales/revisión de documentos/revisión de soluciones. -Calendario de actividades y fechas de entrega -Identificación de los criterios de evaluación de la auditoría (estándares). -Determinar las necesidades de opiniones expertas en temas específicos o asistencia por parte de terceros para realizar la auditoría. •Revisión y recopilación de información mediante la auditoría de las actividades de GCN.

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

cap 123456

•Recopilar y resumir las entrevistas, cuestionarios y otras fuentes. •Identificar las deficiencias en contenido e información encontradas y realizar entrevistas nuevas o por segunda vez, según el caso. •Obtener y contrastar la documentación relevante (como el Análisis del Impacto en el Negocio) con los datos de entrevistas y otras fuentes (inspecciones físicas, muestreos). •Referencias a fuentes secundarias, como estándares, normas o manuales de buenas prácticas para confirmar los resultados preliminares. •Formación de una opinión que debería reflejar tanto los intereses del patrocinador de la auditoría como el "patrón" fijado por las fuentes externas, como normas, leyes o estándares del sector. -Asignar un factor de riesgo a los elementos individuales de auditoría para distinguir entre los resultados con riesgos críticos, altos, medios y bajos. -Definir los criterios para clasificar los resultados mediante una clasificación predefinida claramente diferenciada por categorías. •Entregar un borrador de informe de opinión para ser discutido por las principales partes interesadas. •Entregar un informe de opinión de auditoría acordado que incorpore las recomendaciones así como las respuestas auditadas allí donde sigue habiendo diferencias de opinión. •Entregar un plan de medidas correctivas con plazos de cumplimiento para llevar a cabo las recomendaciones acordadas en el informe de auditoría. También debería ser un elemento clave del Programa de Mantenimiento de GCN. •Entregar un proceso de supervisión (además del Programa de Mantenimiento de GCN) para garantizar que se lleva a cabo en los plazos acordados el plan de auditoría para corregir las deficiencias materiales. El proceso de garantía de GCN incluye: •Definir el grado de responsabilidad y autoridad de cada función •Definir los Indicadores Clave de Desempeño – Objetivos, mediciones y estándares •Definir los factores de éxito •Incorporar los Indicadores Clave de Desempeño en los contratos internos y externos así como en la evaluación anual •Evaluar y revisar el desempeño con respecto a los Indicadores Clave de Desempeño, los objetivos y los estándares de la industria predefinidos. •Entregar un plan de medidas correctivas. 6. Métodos y técnicas Los métodos para la auditoría deben ser determinados por los responsables de ella. La autoevaluación, o "supervisión de desempeño" llevada a cabo dentro del programa de GCN puede recurrir a indicadores de desempeño como: •Número de meses transcurridos desde el último ejercicio activo. •Número de asuntos pendientes que siguen sin resolverse desde el último ejercicio. •Grado en el que se ha completado la documentación del plan de Continuidad de Negocio. •Número de meses transcurridos desde el último Análisis del Impacto en el Negocio. •Número de asuntos pendientes que siguen sin resolverse desde el último Análisis del Impacto en el Negocio. •Nueva aplicación de TI evaluada para su inclusión en los planes de Continuidad de Negocio. •Nuevo o modificado proceso de negocio evaluado para su inclusión en los planes de Continuidad de Negocio. •Adecuación/viabilidad de los datos dinámicos del Equipo de Recuperación como miembros del equipo, teléfonos de contacto, lista de proveedores, determinación de la estación de trabajo en el emplazamiento de recuperación. •Creación de un presupuesto de GCN para su puesta en marcha y mantenimiento. •Control presupuestario. •Cuadro de mandos de grado de cumplimiento de la autoevaluación La evaluación cualitativa puede lograrse a través de: •Documentar el análisis y la revisión •Entrevistas con el personal, clientes, proveedores y demás partes interesadas.

97

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

123456

cap 98

7. Resultados Una auditoría de GNC ofrecerá los siguientes resultados: •El informe de una auditoría de GNC independiente que haya recibido la conformidad y esté ratificado por la alta dirección •Un plan de acción correctivo que ha recibido la conformidad y está ratificado por la alta dirección El resultado de una puntuación deficiente será: •Reconocimiento por el departamento de auditoría interna de que el Plan de Continuidad de Negocio es "inadecuado". •Iniciar una revisión del plan de Continuidad de Negocio dirigida por un experto en la materia que ayudará al equipo a mejorar su estado. El resultado de un proceso de autoevaluación puede ser: •Mejoras en la gestión del programa de GCN 8. Revisión La política acerca de la frecuencia de las auditorías debe estar claramente definida y estipulada en la "Política y Estándares de Auditoría" de la organización.

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

cap 123456

INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organización con una GCN madura 1. La organización opera un programa de pruebas de GCN que afecta a todas sus operaciones de negocio 2. Todos los planes han sido puestos a prueba recientemente y de forma realista 3. Todo el personal ha participado recientemente de forma activa en ejercicios realistas 4. Todas las ubicaciones para la recuperación de actividades y centros de mando han sido puestos a prueba recientemente y de forma realista 5. Todos los sistemas críticos de recuperación han sido puestos a prueba recientemente y de forma realista 6. Toda la recuperación crítica de telecomunicaciones (datos) ha sido puesta a prueba recientemente y de forma realista 7. Toda la recuperación crítica de telecomunicaciones (voz) ha sido puesta a prueba recientemente y de forma realista 8. Toda la recopilación, recuperación y restauración de información han sido puestas a prueba recientemente y de forma realista 9. Todos los proveedores y empresas de servicio subcontratadas críticos han sido puestos a prueba recientemente y de forma realista 10. Todos los proveedores de servicios de recuperación han sido puestos a prueba recientemente y de forma realista 11. Se ha ensayado recientemente y de forma realista la reubicación de toda la plantilla 12. Los diversos planes de la organización se corresponden entre sí y han sido puestos a prueba juntos para garantizar que pueden ejecutarse sin dar lugar a omisiones o conflictos 13. El programa de ejercicios de GCN de la organización: •A. Es coherente con el alcance de todos los planes y estrategias •B. Garantiza que cada componente de las capacidades para la Continuidad de Negocio de la organización se revisa y ensaya de forma regular y es actualizado según un calendario determinado •C. Ofrecer una certeza objetiva de que todos los planes y estrategias funcionarán como previsto cuando se necesiten •D. Garantiza que siempre que sea posible se utilizan escenarios realistas para las pruebas •E. Garantiza que se han comprobado todos los elementos y dependencias que existen en el plan y que están relacionados entre sí •F. Garantiza que las pruebas reflejan una amplia gama de escenarios y posibles fallos 14. Se evalúa cada prueba del programa para garantizar que no expone a la organización a niveles de riesgo inaceptablemente más altos 15. Cada prueba posee una magnitud y complejidad adecuadas para los objetivos de recuperación, perfil de riesgo y nivel de madurez de la GCN en la organización 16. Cada prueba es realista, se planifica de forma cuidadosa y está acordada con las partes interesadas 17. Cada prueba posee objetivos y criterios de éxito claramente definidos que han sido autorizados por la alta dirección 18. Cada prueba genera un informe resumido y análisis posterior 19. Cada ejercicio genera un informe posterior que contiene medidas correctivas y un calendario para su puesta en marcha 20. El programa de ejercicios incluye de forma específica: •A. Revisiones sobre el papel del contenido del plan •B. Pruebas o revisiones completas de escenarios sobre el papel •C. Pruebas de aumento de la gravedad del incidente y de convocatoria del personal •D. Pruebas con escenarios limitados, como por ejemplo de recuperación de tecnología •E. Pruebas de recuperación de unidades de negocio •F. Pruebas integrales de recuperación que involucren el desplazamiento de toda la ubicación 21. El programa de ejercicios se adecua de forma rigurosa a unos tiempos previamente fijados que estén acordes con la Política de GCN 22. El programa de ejercicios es responsabilidad última de un miembro del equipo de alta dirección 23. El programa de ejercicios posee un presupuesto aprobado propio y adecuado

99

PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN

123456

cap 100

24. La documentación del programa de ejercicios describe de forma clara su relación con otros documentos importantes 25. La organización lleva a cabo un programa de mantenimiento de GCN que engloba todos los aspectos de la GCN en todas las operaciones 26. Todos los aspectos de la GCN en toda la organización están actualizados y reflejan los requisitos de la Política 27. El proceso de mantenimiento de GNC está claramente definido y documentado y ofrece un control de los cambios para todos los componentes de la GCN 28. El proceso de mantenimiento de GNC: •A. Se adecua de forma rigurosa a unos tiempos previamente fijados •B. Es responsabilidad última de un miembro del equipo de alta dirección •C. Posee un presupuesto aprobado propio y adecuado 29. El proceso de mantenimiento de GNC está ratificado por la alta dirección 30. El proceso de auditoría revisa de forma independiente y periódica la competencia para la GCN de la organización en nombre de la alta dirección para verificar su continua adecuación y efectividad 31. La organización posee los procedimientos adecuados para subsanar las deficiencias relacionadas con la GCN identificadas en la auditoría.

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

capítulo 1 2 3 4 5 6 Incorporar la GCN en la cultura de la organización

101

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

123456

cap 102

Acerca del Capítulo 6 – Incorporar la GCN en la cultura de la organización La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y demás partes interesadas, la reputación, la marca y las actividades creadoras de valor. Para tener éxito, la GCN tiene que ser una parte asumida dentro de la gestión normal del negocio, sin importar el tamaño o sector de actividad. En todo momento del proceso de GCN existen las oportunidades de introducir y mejorar la cultura de GCN en una organización. COMPONENTES DE LA ETAPA 6 INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN 1. PRINCIPIOS GENERALES 2. EVALUAR EL NIVEL DE CONCIENCIACIÓN Y FORMACIÓN EN GCN 3. DESARROLLAR LA GCN DENTRO DE LA CULTURA DE LA ORGANIZACIÓN 4. SUPERVISAR EL CAMBIO CULTURAL

cap 123456

Principios generales La instauración de una Gestión de Continuidad de Negocio (GCN) dentro de la cultura de la organización depende de su integración con la gestión diaria y estratégica de la organización y su correspondencia con las prioridades del negocio. Una cultura de GCN garantizará que una organización puede: •Desarrollar un programa de GCN de forma más eficiente •Inculcar confianza en personal y clientes en su capacidad para sobrellevar los trastornos •Mejorar su robustez con el paso del tiempo al asegurarse de que todas las decisiones en todos los niveles toman en cuenta las implicaciones para la GCN •Minimizar el impacto y la probabilidad de los trastornos El proceso para desarrollar e incorporar de forma sostenida la GCN en la cultura de la organización es fruto de los siguientes tres pasos: 1. Evaluar el actual nivel de concienciación y compromiso con la GCN con respecto al nivel deseado; identificar las "carencias de formación" que existen entre los dos 2. Diseñar y realizar una campaña para crear una concienciación corporativa y desarrollar las habilidades, conocimientos y compromiso necesarios para garantizar una exitosa Gestión de Continuidad de Negocio. 3. Comprobar que la campaña de creación de concienciación ha logrado los resultados esperados y supervisar la concienciación en GCN en el largo plazo Todo programa tiene una limitación en cuanto a su posibilidad para alterar la cultura de una organización. Además, los intentos por cambiar los comportamientos pueden tener efectos inesperados que pueden ser contrarios a los deseados. Algunos factores necesarios para el éxito: ?Obtener el apoyo visible y continuo de la alta dirección. Esto también significa contar con un presupuesto adecuado que respalde la campaña de concienciación. También es importante lograr el compromiso de los directivos y personal de operaciones que deberán poner en práctica la Gestión de Continuidad de Negocio. •Efectuar consultas a todos los involucrados en la GCN a la hora de desarrollar la campaña. Además de que ayudará a centrar mejor el esfuerzo de concienciación, las mismas consultas contribuirán a mejorar el nivel de concienciación y servirán para crear un mejor compromiso con las nuevas prácticas laborales. •Centrarse en las prioridades de negocio de la organización. Relacionar el mensaje de la campaña con factores de interés para la corporación y personales ("¿Qué gano yo con esto?") permite justificar la GCN y las prácticas laborales que la sustentan. La campaña de concienciación y sus mensajes deberían estar adecuados a cada grupo objetivo de audiencia. Estas audiencias son tanto internas, por ejemplo los que llevan a cabo la GCN y el personal en general, como externas, por ejemplo, proveedores, clientes y terceros que dependen de (o pueden afectar de forma negativa a) la iniciativa de Gestión de Continuidad de Negocio de la organización. La toma de concienciación por parte de actores externos es particularmente importante cuando la GCN opera en un entorno de subcontratación. La cultura de la organización se manifiesta en valores compartidos, normas de operación, estilos y patrones de comportamiento. Se suele explicar como "la forma en la que aquí se hacen las cosas " o "lo que tienes que hacer para llevarte bien". La experiencia demuestra que las iniciativas para cambiar los comportamientos no logran compromisos a largo plazo si no abordan también las actitudes y creencias. Una creencia en particular, la de "eso nunca me pasará a mí" es un obstáculo muy grande para la GCN. Para realmente cambiar los comportamientos es necesario influir en las actitudes. Para ello es necesario desarrollar y establecer creencias. Por esta razón lograr un cambio cultural puede ser un proceso largo y sutil. Esta etapa describe el proceso para evaluar y mejorar el nivel de concienciación y la formación en GCN en la organización. Su estructura es por lo tanto diferente de la sección 10 de BS 25999-1 que se centra en definir los resultados de ese proceso.

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN Referencia: BS 25999-1 Sección 10

103

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

123456

cap 104

EVALUAR EL NIVEL DE CONCIENCIACIÓN Y FORMACIÓN EN GCN 1. Introducción Antes de planificar y diseñar los componentes de una campaña de concienciación es importante entender el nivel de concienciación que existe y cuál es el que se desearía obtener tras ofrecer la formación. También es importante determinar cómo se medirá el nivel deseable de concienciación y qué cambios propiciará la nueva cultura de GCN. El nivel de concienciación de la organización cambiará constantemente conforme llegue y se vaya el personal. Es posible que acontecimientos internos y externos contribuyan a mejorar de forma súbita la concienciación y entendimiento de las cuestiones relacionadas con la GCN. Pero también suelen desaparecer rápidamente, por lo que el programa de GCN debe estar listo para aprovechar y desarrollar estas oportunidades en caso de que se produzcan. Se debe estudiar la posibilidad de ampliar el alcance del nivel de concienciación acerca del programa de GCN a los proveedores, clientes y demás partes interesadas relacionadas con la organización. 2. Pasos previos La Política de GCN ofrecer el marco en el que reposa la necesidad de un cambio cultural. 3 Propósito El propósito de esta actividad es evaluar los niveles actuales y deseables de nivel de concienciación de GCN, definir qué áreas debe cubrir la campaña de concienciación y de qué forma más efectiva se puede llevar a cabo. 4. Conceptos y suposiciones Una auditoría del actual nivel de concienciación en GCN debería tratar de establecer el nivel de conocimiento y compromiso con la GCN. Se determinará principalmente por los comportamientos, pero existen otras formas de determinarlo dentro de la organización. Aquellos responsables de evaluar el nivel de concienciación deberían disponer de un buen entendimiento del negocio y de los objetivos de la GCN. También deberían ser capaces de convocar aquellos que tengan un nivel adecuado de competencias en formación y actividades de concienciación, además de habilidades para diagnosticar situaciones y buen trato con las personas. Al igual que en otras etapas de la campaña de concienciación, esta actividad exige que se consulte y se busque la colaboración de personal de toda la organización, desde la alta dirección hasta el personal que no tenga atribuidas funciones específicas en la GCN, pero que tenga que demostrar responsabilidad en general de "cumplir su papel" en la GCN. Desde el principio la alta dirección debería ofrecer su apoyo para el trabajo de concienciación, tanto en términos de recursos materiales como en compromiso con la misión. 5. Proceso La evaluación del nivel de concienciación es en realidad un Análisis de las Necesidades de Formación y abarca tres tareas: 1. Establecer el actual nivel de concienciación en GCN 2. Especificar el nivel deseado de concienciación o formación, y cómo serán medidos 3. Identificar la naturaleza y alcance de las "deficiencias de formación" que la campaña deberá subsanar Requisitos Las habilidades específicas necesarias del personal encargado de GCN incluyen: •Gestión del programa •Análisis del Impacto en el Negocio •Desarrollar y poner en marcha los planes de Continuidad de Negocio •Llevar a cabo un programa de ejercicios Se debe impartir una formación más genérica en cuestiones relacionadas con la GCN para que, por ejemplo, el personal involucrado en el programa pueda: •Conocer las tendencias y nuevos desarrollos en el tema •Explorar las posibilidades y problemas de las nuevas tecnologías •Saber cómo otras organizaciones están enfrentando retos similares Es posible que se necesiten otras habilidades para responder a incidentes, como: •Evacuación por incendio •Limitación de daños •Rescate y evaluación de daños

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

cap 123456

•Restauración de los equipos •Liderazgo La campaña para la concienciación del personal en general puede tratar acerca de: •Cómo dar la alarma •Responder a amenazas específicas •Qué hacer en caso de evacuación •Conocimiento de los planes de recuperación •Integrar el nivel básico de concienciación en los programas de formación de personal recién llegado 6. Métodos y técnicas Determinar el actual nivel de concienciación en GCN Esta actividad es un ejercicio de recolección de información. El objetivo es establecer indicadores estadísticos de cualquier deficiencia en concienciación y una evaluación del nivel de entendimiento y compromiso con la GCN para el personal al que se quiere llegar. Entre las fuentes de información deberían figurar: •Documentación: revisar la política y procedimientos corporativos, los informes de respuestas a incidentes y crisis, los documentos acerca de pruebas y ejercicios de GCN realizados anteriormente o mediciones importantes de los sistemas de TI y de negocio •Comentarios personales: realizar entrevistas con altos directivos y ejecutivos, llevar a cabo entrevistas de grupo (focus groups) con responsables de la GCN y usuarios finales •Observación: realizar revisiones en el puesto de trabajo acerca de las prácticas laborales actuales (para, por ejemplo, compararlas con la política de la organización) Especificar el nivel deseado de concienciación y de qué forma se medirá Se trata de especificar qué indicadores de comportamientos y sus resultados correspondientes servirán para confirmar que cada grupo objetivo del personal ha alcanzado un nivel satisfactorio en cuanto al nivel de concienciación de GCN. Estas especificaciones deberán ser acordadas junto con la alta dirección (en lo que se refiere a la correspondencia entre los resultados corporativos y la GCN) y con los responsables de llevar a cabo la GCN (para determinar si son factibles y se pueden integrar con las prácticas laborales). Las especificaciones dependerán del alcance y naturaleza del negocio, sus necesidades de GCN, pero también pueden tener en cuenta: •Habilidades específicas necesarias para la respuesta de la GCN frente a posibles trastornos •Prácticas laborales mejoradas que apoyan el desarrollo de la GCN •Una mejor comprensión y apoyo real por parte de la plantilla en general de las cuestiones relacionadas con la GCN •Un mayor protagonismo de la GCN en las decisiones, política y cultura de la organización Identificar la naturaleza y alcance de las "deficiencias de formación" que la campaña debe subsanar Esta tarea obliga a comparar los resultados de los pasos 1 y 2 descritos anteriormente. Se debe identificar la naturaleza y alcance de las deficiencias de formación, tanto en términos de los temas de GCN que la campaña deberá abordar, como en la cuestión de la forma más efectiva para resolverlas - campañas de educación (información), formación (habilidades) o concienciación (entendimiento y compromiso con la GCN). La concienciación del personal puede determinarse en uno de cuatro niveles: •La incompetencia inconsciente se define como la condición en la que el personal no es consciente de las cuestiones relativas a la GCN. Desconocen lo que no saben. •La incompetencia consciente se define como la condición en la que el personal es consciente de la GCN en términos generales, pero sabe poco acerca de sus necesidades detalladas. •La competencia consciente se define como la condición en la que el personal es consciente de la GCN y es efectivo (por ejemplo siguiendo los procedimientos documentados) en su mantenimiento •La competencia inconsciente se define como la condición en la que el personal se muestra completamente competente en la aplicación de la GCN en numerosas circunstancias.

105

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

123456

cap 106

7. Resultados Los resultados de la evaluación de concienciación deberían incluir: •Una declaración del actual nivel de concienciación y efectividad del personal para apoyar la GCN •Una declaración del nivel deseable de concienciación y cómo se medirá •Una definición de las deficiencias de formación, incluyendo los temas de GCN que requieren de mayor concienciación, la actitud del personal frente a la GCN - ayudará a definir el mensaje general de la campaña de concienciación - y el nivel de competencia que ha demostrado cada grupo objetivo. 8. Revisión La evaluación del nivel de concienciación debe realizarse al inicio de la campaña de concienciación, de nuevo después de que la campaña ha alcanzado su supuesta mayor efectividad, y por último de forma periódica como una herramienta de supervisión. De forma adicional es posible que se necesiten evaluaciones suplementarias del nivel de concienciación como respuesta a cambios en: •Los procesos del negocio que afectan a las prioridades de GCN •La legislación que afecta a los requisitos de GCN •Los riesgos para la GCN, entre ellos amenazas para la seguridad y otros riesgos relacionados con el negocio •Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de información y servicios, entre ellos las mejores prácticas aceptadas por la industria como BS25999 y ISO27001.

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

cap 123456

DESARROLLAR LA GCN DENTRO DE LA CULTURA DE LA ORGANIZACIÓN 1. Introducción Las actividades de las que se disponen para influir sobre la cultura son: •Formación - Habilidades específicas relacionadas con la GCN •Educación - Conocimientos generales de la GCN •Concienciación - Conocimientos específicos acerca de cuestiones relativas a la GCN El diseño y la entrega de éstas suponen tres actividades principales: •Diseño •Planificación de entrega •Entrega 2. Pasos previos La Política de GCN ofrece el marco en el que se basan las necesidades y requisitos para el cambio cultural. Dentro de la cultura de GCN y la actividad de concienciación, el diseño y la entrega de la educación, formación y concienciación deben derivarse del Análisis de Necesidades de Formación (ver paso anterior). Antes de diseñar el programa, se tienen que asignar las responsabilidades dentro del programa de GCN. 3. Propósito El propósito de esta actividad es definir los mensajes de GCN que tiene que asimilar el personal y elegir los medios más efectivos para entregar esos mensajes. 4. Conceptos y suposiciones La educación, formación y concienciación puede ofrecerse de muchas maneras; para el éxito de una campaña de concienciación, es crítico que se elijan los métodos más adecuados y efectivos. La planificación y diseño de la campaña deberían ser jerárquicos, empezando por los objetivos derivados de la definición de las deficiencias de formación y sus características. Los puntos a enseñar deberían identificarse por las cuestiones de conocimiento, habilidades y concienciación que el personal tiene que asimilar para eliminar esas deficiencias. Puede que el personal que no tenga una responsabilidad particular en la GCN sólo necesite concienciación, o un nivel determinado de competencia para llevar a cabo esas tareas relacionadas con la GCN. No obstante, los responsables de la GCN deberían recibir un curso de formación estructurado que les inculque conocimientos, habilidades y finalmente incluya competencias en GCN mediante oportunidades para poner sus habilidades en práctica. La alta dirección debe entender desde el principio el esfuerzo que supone la campaña y su coste. También se debe tomar en cuenta la disponibilidad de personal para acudir a los cursos de formación a la hora de planificar la estrategia y el calendario. 5. Proceso •Diseñar y ofrecer educación, formación y concienciación se divide en tres actividades: •Diseño •Planificación Entrega Diseño En un primer momento el diseño global puede ser elevar el grado de concienciación general acerca de la GCN, de tal manera que se motive al personal para recibir formación o cursos de ese tipo en los que se impartirá información clave. Después de los cursos formales, se debería ofrecer más información y oportunidades para aprender a través de, por ejemplo, artículos en boletines corporativos y la intranet, grupos de discusión y otras actividades. Al diseñar la campaña se deben realizar las siguientes tareas: •Identificar las audiencias a las que va dirigida la campaña, y las cuestiones clave de educación, formación y concienciación que tienen que ofrecer •Clasificar por orden de importancia los temas de enseñanza relativos a las cuestiones de educación, formación y concienciación de GCN •Elegir el orden y los métodos de entrega adecuados para los temas de enseñanza

107

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

123456

cap 108

Planificación Se ha elegido deliberadamente la palabra "campaña" para enfatizar su importancia: lograr un cambio cultural requerirá un punto de vista de largo plazo. La planificación de la entrega debe tomar en cuenta las formas más efectivas en términos de costes y conocer la disponibilidad del personal y sus prácticas laborales. También debería estudiar la posibilidad de dar publicidad a la campaña en sí misma para dar impulso a la labor de concienciación. Las principales actividades de esta tarea son: •La alta dirección debe discutir y aprobar la campaña propuesta •Probar los elementos claves de la campaña con un número reducido de grupos de directivos y empleados staff y definir los criterios de éxito •Planificar la integración del mensaje de la GCN con inducción y formación de refresco, además de su inclusión en la formación de otros empleados •Probar con un número reducido las evaluaciones de los cursos de formación propuestos Entrega La estrategia elegida para la educación, formación y concienciación depende de las circunstancias individuales; por lo tanto éstas son las únicas recomendaciones generales que se pueden dar para una campaña de educación, formación y concienciación: •La campaña debería mejorar la concienciación acerca de cuestiones relacionadas con GCN para la organización y el empleado. En los papeles y cursos de formación debería quedar claro que la alta dirección apoya la campaña. •Los cursos formales de formación sólo deberán ser ofrecidos cuando exista la evidencia de que existe una concienciación acerca de las cuestiones. Se deberá evaluar la asimilación de los conocimientos o habilidades que ofrece la formación y se deberá corregir cualquier deficiencia. •Una vez realizados los cursos de formación, se debe hacer un nuevo esfuerzo de educación, formación y concienciación para garantizar que el personal sigue consciente de las continuas (y cambiantes) necesidades que impone la GCN. 6. Métodos y técnicas Existen muchas teorías acercan de cómo aprenden los adultos y otras tantas numerosas estrategias para ponerlas en práctica. Los responsables de la GCN ofrecerán los contenidos de la formación, pero deberían trabajar expertos en formación para desarrollar la estrategia y poner en marcha la campaña. Es importante reconocer que el nivel de concienciación no se limita a la formación y que necesita que la cuestión, en este caso la GCN, esté integrada dentro de las prácticas laborales. Por esto se deben buscar oportunidades para incluir la GCN “en la agenda” cuando sea posible. A continuación se detallan algunos ejemplos. Recursos para la información: •Sitios de Internet dedicados a GCN •Libros y publicaciones •Conferencias y seminarios Recursos para la formación: •Cursos externos de formación certificados •Programas académicos formales •Grupos de trabajo y forums regionales del BCI •Grupos de trabajo sectoriales •Formación interna, con cursos específicos de inducción o de actualización •Cursos a distancia (vídeos, lecturas) •Organismos de certificación •Ejercicios de GCN y gestión de incidentes (internos o externos) Recursos para la concienciación: •Documentos informativos •Revistas corporativas, boletines, artículos en la revista de la empresa •Visitas a los emplazamientos de reinicio de actividades y centros de gestión de incidentes •Información en la Intranet •Hacer ejercicios, ensayos y pruebas de los planes de GCN de la organización •Profesionales de la GCN dentro de la organización

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

cap

•Bonos e incentivos obtenidos a través del sistema de evaluación de desempeño •Participación en ejercicios de GCN o acontecimientos reales sucedidos en otra organización •Inclusión de los objetivos relacionados con la GCN en los mecanismos de medición de resultados de la organización 7. Resultados La campaña incluye un abanico de cursos, formación directa, educación a distancia, eventos de concienciación y la promoción de las cuestiones relativas a la GCN en las prácticas laborales. Queda claro que la naturaleza y alcance de estas técnicas dependerá de las metas específicas de la campaña en cuanto al nivel de concienciación de GCN. Algunos posibles resultados de la campaña serían: •Una mayor concienciación general acerca de la necesidad de GCN •Creación de una concienciación acerca de los riesgos de GCN para la organización y de las prioridades del negocio •Identificación de una visión aceptable de GCN que puede integrarse en las prácticas laborales •Mejor efectividad a la hora de realizar tareas específicas de la GCN •Respuestas más efectivas a incidentes que afecten a la continuidad del negocio •Mayores exigencias por parte de los responsables de GCN, como por ejemplo que los responsables de negocio demuestren una mayor preocupación por la GCN 8. Revisión La formación debería impartirse como parte de los cursos de iniciación del personal, además de ser revisada y de nuevo impartida en respuesta a cambios en: •Las actividades de negocio que afectan a las prioridades de GCN •La legislación que afecta a las necesidades de GCN •Los riesgos para la GCN, entre ellos las amenazas y vulnerabilidades a la seguridad y otros riesgos relacionados con el negocio •Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de información y servicios, entre ellos las mejores prácticas aceptadas por la industria como BS 25999-1 e ISO17799.

123456 109

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

123456

cap 110

SUPERVISAR EL CAMBIO CULTURAL 1. Introducción Está claro que tanto el resultado general de la campaña como de sus componentes específicos debe ser revisado para mejorar continuamente la relevancia y efectividad del trabajo realizado. La campaña de concienciación debe ser considerada una tarea constante y se debe realizar revisiones periódicas para comprobar el grado de concienciación e identificar cualquier iniciativa necesaria para mantenerlo en niveles aceptables. 2. Pasos previos La Política de GCN brinda el marco en el que se apoya la necesidad de un cambio cultural. En el marco de la cultura de GCN y las actividades de concienciación, el mantenimiento y mejora de las iniciativas de educación, formación y concienciación debe ser fruto de la comparación con los objetivos originales determinados por la evaluación del grado de concienciación y el análisis de las necesidades de formación. 3. Propósito El propósito de evaluación de la educación, formación y grado de concienciación es mantener la calidad y efectividad de una campaña, garantizar su correspondencia con los aspectos corporativos, sectoriales y otras cuestiones pertinentes de la GCN y asegurar que se logra el nivel de concienciación necesario para la GCN. 4. Conceptos y suposiciones La efectividad de la formación y concienciación puede medirse de muchas maneras: mejor desempeño de las personas, mayores estándares en toda la organización, mayor énfasis en la GCN dentro de la cultura corporativa. Como sucede con toda investigación, hay que tener cuidado de hacer las preguntas adecuadas para lograr respuestas relevantes, interpretar los datos de forma correcta y mantenerse alerta de aquellas cuestiones que no formen parte del programa central de formación que sean relevantes para la cultura de GCN. 5. Proceso •Solicitar y recopilar las reacciones a ciertos cursos de formación. Mientras que algunos habrán tenido éxito y otros menos, es importante buscar las tendencias subyacentes – por ejemplo puede haber ciertos módulos dentro de un curso de formación que reciben críticas constantes. •Supervisar la efectividad. Si bien las reacciones de corto plazo pueden aportar información acerca de los componentes de una campaña y permitir su mejora, es más importante fijarse en los efectos de largo plazo de la campaña, que se manifestarán de forma menos reconocible (por ejemplo, a través de una mayor concienciación). A pesar de ello, la efectividad de la campaña debería ser cuantificada en términos de mejoras en el negocio y resultados financieros. •Comprobar de forma periódica el nivel de concienciación. La alta dirección debe entender que de forma regular (anual) se necesitará un presupuesto para ejercicios de evaluación y la posible acción que se derive de ellos. 6. Métodos y técnicas La evaluación puede realizarse de muchas formas. Una valoración efectiva combinara varios métodos de corto y largo plazo, que revisarán tanto la forma como el contenido de la campaña en sí misma y sus efectos en la GCN dentro de la organización. Cuando sea posible los resultados de la evaluación deberían expresarse en términos de los beneficios que la campaña aporta al negocio. De forma más específica, la evaluación de las clases de formación puede incluir discusiones, tests o pequeños exámenes durante el curso para comprobar y ajustar los métodos de enseñanza "en pleno vuelo". Se pueden distribuir formularios de evaluación de los cursos para mejorar continuamente la estructura de las clases y su contenido. La evaluación de un curso debe basarse en varias tandas sucesivas de valoraciones, y no en sólo una.

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

7. Resultados Los resultados de la formación y de la revisión de la campaña deberían incluir una serie de informes para diferentes niveles dentro de la organización. Entre ellos deben figurar la alta dirección, los directores importantes y los responsables de GCN, además de los encargados de ofrecer la formación. Los resultados de la evaluación de la campaña deberían ser comunicados al personal a través de los canales corporativos y pueden incluir:Identificación de necesidades adicionales de formación y concienciación •Identificación de oportunidades de desarrollo profesional para los encargados de la GCN •Mejorías en las prácticas laborales 8. Revisión Se debe realizar una evaluación de la campaña tanto durante como después de que se haya llevado a cabo la mayor parte de ella, para permitir una readecuación de la estrategia y para asegurar que la campaña ha logrado su objetivo general de eliminar las deficiencias en la formación identificadas en la evaluación inicial de los niveles de concienciación. De forma regular se debería efectuar una revisión de los niveles de concienciación y resolver cualquier deficiencia encontrada.

cap 123456 111

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

123456

cap 112

APÉNDICE - Mapa de habilidades profesionales Este es un mapa de los Estándares de Certificación de BCI/DRII en las seis etapas del Manual de Buenas Prácticas para indicar qué habilidades son necesarias en cada etapa. Algunas habilidades se aplican a más de una etapa. Gestión del Programa de Continuidad de Negocio •1.A.1 Ayudar a los responsables en la definición de objetivos, políticas y factores críticos de éxito •Alcance y objetivos •Causas legales y obligaciones •Casos prácticos y buenas prácticas sectoriales •1.A.2. Coordinar y organizar/gestionar el inicio del proceso general de GCN •Con la ayuda de un comité de dirección y un equipo gestor del proyecto. •1.A.3 Supervisar el proceso de GCN a través de métodos efectivos de control y gestión de cambios •1.A.4. Presentar (vender) el proceso a la dirección y personal •1.A.5 Desarrollar un presupuesto para iniciar el proceso •1.A.6 Definir y recomendar una estructura y dirección para la GCN •1.A.7 Desarrollar y poner en marcha el proceso de GCN Comprender la organización •2.A.1 Identificar a los responsables con conocimientos de cada área para el proceso de Análisis de Impacto en el Negocio (AIN) •2.A.2 Identificar las funciones de la organización, sin olvidar la información y recursos (personas, tecnología, instalaciones,... etc) •2.A.3 Identificar y definir los criterios críticos •2.A.4 Lograr la aprobación de la dirección para los criterios definidos •2.A.5 Coordinar el análisis •2.A.6 Identificar las interdependencias (internas y externas a la organización) •2.A.7 Definir los objetivos de recuperación y plazos de cumplimiento •2.A.8 Definir el formato de los informes •2.A.9 Preparar y presentar a la dirección el AIN acordado •3.A.1 Identificar los posibles riesgos para la organización •3.A.1.a Probabilidad •3.A.1.b Consecuencias/impacto/gravedad •3.A.2 Comprender la función de la reducción de riesgos dentro de la organización •3.A.3 Identificar las necesidades de asesoramiento externo •3.A.4 Identificar los niveles de exposición •3.A.5 Identificar las alternativas para reducción de riesgos •3.A.6 Confirmar con la dirección para determinar los niveles de riesgo aceptables •3.A.7 Documentar y presentar los resultados Determinar la estrategia de Continuidad de Negocio •4.A.1 Conocer las alternativas disponibles y sus ventajas, inconvenientes y costes, incluir la reducción de riesgos como una estrategia de recuperación •4.A.2 Identificar las estrategias de recuperación viables para las áreas de negocio •4.A.3 Consolidar las estrategias •4.A.4 Identificar las necesidades de emplazamientos externos e instalaciones alternativas •4.A.5 Desarrollar las estrategias para las unidades de negocio •4.A.6 Lograr el compromiso de la dirección para las estrategias desarrolladas Desarrollar y poner en marcha una respuesta de GCN Plan de Gestión de Incidentes •9.A.1 Establecer programas para la comunicación proactiva de crisis •9.A.2 Coordinar la comunicación necesaria ante las crisis con los organismos externos (autoridades locales y nacionales, servicios de emergencia,... etc.) •9.A.3 Establecer mecanismos de comunicación esencial ante las crisis con proveedores, clientes y demás partes directamente afectadas •9.A.4 Establecer planes de comunicación con los medios para la organización y sus unidades de negocio. Hacer pruebas.

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

cap 123456

Plan de Continuidad de Negocio •6.A.1 Identificar los componentes del proceso de planificación• •6.A.1.a Metodología para la planificación •6.A.1.b Organización del plan •6.A.1.c Dirección de esfuerzos •6.A.1.d Necesidad de personal •6.A.2 Controlar el proceso de planificación y redactar los planes •6.A.3 Implantar los planes •6.A.4 Probar los planes •6.A.5 Mantener los planes •5.A.5 Identificar las necesidades de dirección y control para la gestión de una emergencia •5.A.6 Recomendar el desarrollo de los procedimientos de dirección y control para definir funciones, autoridad y procesos de comunicación para gestionar una emergencia •10.A.1 Identificar y establecer procedimientos de enlace para la gestión de emergencias •10.A.2 Coordinar la gestión de emergencias con los organismos externos •10.A.3 Mantener actualizado el conocimiento en leyes y normas relativas a gestión de emergencias como si fueran dictadas por la propia organización •5.A.1 Identificar los posibles tipos de emergencias y las respuestas necesarias (por ejemplo, incendio, fuga de materiales peligrosos, problemas médicos) •5.A.2 Identificar la existencia de procedimientos adecuados para la respuesta a emergencias •5.A.3 Recomendar el desarrollo de procedimientos para emergencia allí donde no existan •5.A.4 Integrar los procedimientos para recuperación de desastres/Continuidad de Negocio/Gestión de crisis con los procedimientos relativos a respuesta a emergencias e intensificación de riesgos •5.A.7 Garantizar que los procedimientos de respuesta a emergencias están integrados con las obligaciones de las autoridades (mirar también el tema 10, Coordinación con organismos externos) Pruebas, mantenimiento y revisión •8.A.1 Planificar previamente y coordinar las pruebas •8.A.2 Facilitar las pruebas •8.A.3 Evaluar y documentar los resultados de las pruebas •8.A.4 Actualizar los planes •8.A.5 Informar de los resultados y evaluaciones a la dirección •8.A.6 Coordinar el mantenimiento constante de los planes •8.A.7 Ayudar a establecer un programa de auditorías para los planes Integrar la GCN en la cultura de la organización •7.A.1 Establecer los objetivos y componentes del programa de formación y concienciación de GCN •7.A.2 Identificar las necesidades prácticas para la concienciación y formación •7.A.3 Desarrollar la metodología para la concienciación y formación •7.A.4 Adquirir o desarrollar las herramientas para la concienciación y formación •7.A.5 Identificar las oportunidades de concienciación y formación externas •7.A.6 Identificar las opciones alternativas para la concienciación y formación de la organización.

113

INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN

123456

cap 114

INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organización con una GCN madura 1. La organización lleva a cabo un programa formal y reconocido de concienciación para la GCN 2. El programa de concienciación es responsabilidad de un integrante del equipo de alta dirección 3. El programa de concienciación está dotado de un presupuesto adecuado y aprobado expresamente para ese propósito 4. La organización posee una evaluación actualizada y precisa acerca del nivel de concienciación de GCN en todo su personal 5. El programa de concienciación resulta efectivo para integrar la GCN en la cultura de la organización 6. Todo el personal de GCN ha recibido la formación adecuada 7. Todo el personal no dedicado a la GCN posee las habilidades necesarias para desempeñar sus funciones preestablecidas para responder a un incidente y reestablecer el negocio 8. Todos los proveedores y empresas subcontratadas considerados críticos llevan a cabo las actividades de concienciación para la GCN 9. La efectividad de toda la actividad de concienciación de GCN se comunica formalmente a la alta dirección 10. El equipo de GCN se muestra proactivo a la hora de obtener información externa relativa a la GCN 11. El programa de concienciación cumple un calendario previamente acordado 12. El programa de concienciación de la organización contiene actividades planificadas A. Que evalúan de forma precisa las necesidades actuales de concienciación de la organización B. Que organizan y ofrecen la formación adecuada de GCN para todo el personal C. Que integran de forma fehaciente la continuidad de negocio en la organización D. Que verifican realmente que todo el personal de GCN ha recibido la formación adecuada 13. La documentación del programa de concienciación de GCN en la organización • A. Describe de forma clara su relación con los demás documentos relevantes • B. Está totalmente actualizada y refleja las necesidades de la organización • C. Está sujeta a un control sistemático de sus versiones y distribución 14. El programa de concienciación de GCN • A. Toma totalmente en cuenta la política de GCN y cumple con todos sus requisitos • B. Se revisa al menos una vez al año para verificar que cumple el programa y política de GCN • C. Se revisa formalmente después de cualquier cambio importante en el negocio • D. Está formalmente ratificado por la alta dirección • E. Cumple con todas las obligaciones legales.

ANOTACIONES

ANOTACIONES