Continuidad Del Negocio
UNIVERSIDAD PRIVADA SAN JUAN BAUTISTA FACULTAD DE INGENIERIA DE COMPUTACION Y SISTEMA ESCUELA PROFESIONAL DE INGENIERIA
Views 76 Downloads 2 File size 1MB
Recommend stories
- Author / Uploaded
- Israel Chava Gonzales
Citation preview
UNIVERSIDAD PRIVADA SAN JUAN BAUTISTA FACULTAD DE INGENIERIA DE COMPUTACION Y SISTEMA ESCUELA PROFESIONAL DE INGENIERIA DE COMPUTACION SISTEMAS
Continuidad del Negocio Docente QUIROZ PEÑA ELMER OMAR Presentado por Chava Gonzales Romer Israel
ICA – PERÚ 2019
Agradecimiento A mis padres quienes a lo largo de toda mi vida me han apoyado y motivado en mi formación académica, creyeron en todo momento y no dudaron de la habilidad con la que cuento. A mis profesores a quienes les debemos gran parte de todo el conocimiento que he obtenido a lo largo de mi carrera, gracias a su paciencia y enseñanza, finalmente un eterno agradicimiento. A es prestigiosa universidad la cual abre sus puertas a jóvenes como yo preparándonos para futuro competitivo y formándonos como profesionales con sentido de seriedad, responsabilidad y rigor académico.
TABLA DE CONTENIDO RESUMEN……………………………………………………………………9 1.
INTRODUCCIÓN ............................................................................................ 6
1.1. JUSTIFICACIÓN.............................................................................................. 6 1.2. PROBLEMA ..................................................................................................... 7 1.3. OBJETIVOS...................................................................................................... 8 1.3.1. OBJETIVO GENERAL .................................................................................... 8 1.3.2. OBJETIVOS ESPECÍFICOS ............................................................................ 8 1.4. ORGANIZACIÓN DEL DOCUMENTO ......................................................... 8 2.
SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO ................ 9
2.1. Gestión de continuidad del negocio en una organización ................................. 9 2.2. Gestión de continuidad del negocio en el mundo ........................................... 10 2.3. Empresa que enfrentaron situaciones adversas por no contar con un plan de continuidad del negocio .................................................................................. 14 2.3.1. PHILIPS .......................................................................................................... 14 2.3.2. TORRES GEMELAS ...................................................................................... 14 3.1. Definición del modelo PHVA ......................................................................... 15 3.2. Etapas del modelo PHVA ............................................................................... 16 3.2.1. Planear: diagnostico y diseño: ....................................................................... 20 3.2.1.1. Gobierno y estructura ................................................................................. 20 3.2.1.2. Análisis de riesgos ....................................................................................... 22 3.2.1.3. Análisis de impacto del negocio (BIA) ....................................................... 25 3.2.2. Hacer: implementación y ejecución ............................................................... 28 3.2.2.1 Estrategias de continuidad del negocio ........................................................ 28 3.2.2.2. Desarrollo de los planes de continuidad de negocio ................................... 32 3.2.3. Verificar: monitoreo y medición .................................................................... 41 3.2.4. Actuar: mejoramiento continuo ...................................................................... 45 3.2.4.1. Mantenimiento y actualización .................................................................... 45 4.
EMPRESAS QUE HAN IMPLEMENTADO PLAN DE CONTINUIDAD DEL NEGOCIO BASÁNDOSE EN EL MODELO PHVA ........................... 49
4.1. BANESCO (Banco Universal, Caracas Venezuela) .......................................... 49 4.2. Asociación de Bancos en México ................................................................... 50 4.3. CITIGROUP (Computer world, 2007)............................................................ 51 4.4. Bouygues Construction (Microsoft, 2008) ...................................................... 51 4.5. BANXICO (Banco de México ,2008) ............................................................ 52 4.6. BANORTE ...................................................................................................... 52 4.7. COMPAREX ESPAÑA S.A. (The availability architects) ............................. 53 4.8. WAL MART STORES INC. .......................................................................... 54 5.
DISCUSIÓN.................................................................................................... 55
6.
CONCLUSIONES .......................................................................................... 58
7.
BIBLIOGRAFÍA ............................................................................................. 60
RESUMEN La Continuidad del Negocio permite revisar constantemente los riesgos del negocio y el conocer el grado real de preparación para responder ante situaciones imprevistas, ayudando a minimizar el impacto en el negocio de las posibles interrupciones. La capacidad de una organización para recuperarse de un desastre está directamente relacionada con el grado de planificación de la continuidad de negocio que ha tenido lugar antes del desastre [1]. Planes de continuidad del negocio son fundamentales para el funcionamiento continuo de todo tipo de empresas. Más importante todavía, estos planes están adquiriendo mayor importancia a medida que las empresas se vuelven cada vez más dependientes de la tecnología para hacer negocios.
1.
INTRODUCCIÓN
El Sistema de Gestión de Continuidad de Negocio (SGCN) es una parte integral de las buenas prácticas de gestión y un elemento esencial para la buena dirección corporativa; es genérica e independiente de cualquier sector industrial, social o económico; es un proceso iterativo que consta de etapas que, cuando se realizan en secuencia, permiten la mejora continua en la toma de decisiones [2]. El enfoque de esta monografía apunta a la elaboración de un estado del arte sobre la gestión de continuidad del negocio y el modelo Planificar-Hacer-Verificar-Actuar (PHVA) [3] para aquellas organizaciones que quieren implementar planes de contingencia y poder salvar su negocio de cualquier tipo de amenaza que está presente. La gestión de continuidad de negocio, debería formar parte de la cultura de una organización, debería estar radicada en los procesos, en la filosofía y las prácticas para que así se logre que todos en la organización se involucren con la continuidad de negocio, de forma eficiente y se tiene más probabilidad de alcanzar sus objetivos, de hacerlo a menor costo y de satisfacer y exceder las expectativas y requerimientos de las partes interesadas, al mismo tiempo preparándose para afrontar desastres catastróficos.
1.1.
JUSTIFICACIÓN
El Sistema de Gestión de Continuidad de Negocio (SGCN) consiste en una preparación proactiva de la organización frente a contingencias, mediante el desarrollo de mecanismos para restaurar los procesos clave, protegiendo el servicio al cliente y por ende la reputación de la compañía [4].
Si la empresa llegase a perder su información generaría crisis financiera, perdida de datos de clientes, proveedores, etc. Es por eso que esta monografía consiste en la elaboración de un estado del arte sobre gestión de continuidad del negocio y el modelo PHVA para aquellas organizaciones que quieran implementar planes de contingencia y salvar su negocio de cualquier amenaza y así mantener la continuidad de sus operaciones y servicios. Desde el punto de vista del especialista en seguridad de la información estará en capacidad de minimizar el riesgo asociado a la perdida de integridad, confidencialidad y disponibilidad de la información, elaborando planes de contingencia mediante la adaptación, desarrollo e implementación de mejores prácticas.
1.2.
PROBLEMA
A nivel de investigación sobre gestión de continuidad del negocio se ha visto que la información suele casi siempre enfocarse en su definición como tal y es muy raro ver cuando las fuentes nos muestran información completa sobre continuidad del negocio. La problemática de este tema de investigación se debe a que las fuentes nos muestran un concepto general el cual nos aporta información muy limitada, que no nos suele ayudar al enfoque empresarial. Por tanto, la organización que quería perdurar necesita desarrollar procesos internos enfocados en garantizar la continuidad de negocio, que incluyan a las partes interesadas y a la comunidad en general, así como también los procesos, la infraestructura y las herramientas tecnológicas utilizadas por dicha organización.
1.3.
1.3.1.
OBJETIVOS
OBJETIVO GENERAL
Elaborar un estado del arte sobre la gestión de la continuidad del negocio y particularmente en el modelo PHVA.
1.3.2.
OBJETIVOS ESPECÍFICOS
Investigar y analizar lo referente a gestión en la continuidad del negocio
Investigar y describir el modelo PHVA y su funcionamiento
Realizar una discusión sobre la importancia de utilizar planes de continuidad del negocio y en especial, el modelo PHVA
1.4.
ORGANIZACIÓN DEL DOCUMENTO
Esta monografía está organizada por 3 capítulos: El primer capítulo está conformado por sistemas de gestión de continuidad del negocio, dentro de este capítulo tenemos los subtemas gestión de continuidad del negocio en una organización, Gestión de continuidad del negocio en el mundo y empresas que enfrentaron situaciones adversas por no contar con un plan de continuidad del negocio. El segundo capítulo está conformado por el modelo PHVA dentro de este capítulo tenemos los subtemas definición del modelo phva, Etapas o fases del modelo PHVA. El tercer capítulo habla sobre las empresas que han implementado planes de contingencia basados en el modelo PHVA
2. 2.1.
SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO Gestión de continuidad del negocio en una organización
La presencia de diferentes tipos de riesgo sumando a la falta de procesos organizacionales sistemáticos encargados de identificarlos y gestionarlos se convierte en una de las principales causas por las cuales se presentan siniestros en las organizaciones, llegando, incluso, a provocar su desaparición del mercado. Por tanto, la organización que quería perdurar necesita desarrollar procesos internos enfocados en garantizar la continuidad de negocio, que incluyan a las partes interesadas y a la comunidad en general, así como también los procesos, la infraestructura y las herramientas tecnológicas utilizadas por dicha organización. Es por eso que esta monografía está enfocada dentro del modelo planificar-hacer-verificaractuar (PHVA) [3] de los sistemas de gestión, con el fin de apoyar la gestión de la dirección de la organización y así mantener la continuidad de sus operaciones y servicios. Figura 1. Sistema de gestión de continuidad del negocio
2.2.
Gestión de continuidad del negocio en el mundo
Un estudio realizado por el Emergency Management Forum (Oak Ridge Regional Emergency Management, 2009) en Estados Unidos dice lo siguiente: “de cada 100 empresas que afrontan un desastre sin contar con un Plan de Continuidad del Negocio, el 43% nunca reabren, 51% sobrevive pero están fuera del mercado en 2 años y sólo el 6% logra sobrevivir a largo plazo”.
Apoyado en los resultados de este estudio, es necesario poner en marcha medidas que nos permitan estar preparados ante los cambios que un incidente pueda ocasionar a nuestro negocio. La globalización y los cambios tecnológicos son sólo algunos de los elementos que marcan el ritmo de planeación que debe tener una organización. El empresario debe pensar de forma activa, agregando integridad, disponibilidad y confiabilidad a todos los procesos críticos de negocio desde el principio. Tener una respuesta rápida a las emergencias y lograr una recuperación eficiente sólo se logra con una adecuada planeación y control de la continuidad del negocio [4].
A nivel mundial existen organizaciones especializadas en el apoyo a este tema. Dentro de las más sobresalientes están:
A nivel de consultaría: Deloitte, KPMG, Risk México, Price Water House Coopers.
A nivel de servicios de apoyo, como hardware, software, sitios alternos o centro de llamadas: IBM, EMC, Symantec, Veritas, CITRIX, CISCO.
A nivel de disciplina: Business Continuity Institute (BCI), Business Standar Institute (BSI),
Disaster Recovery Institute Internacional (DRII), COBIT, ISO17799, NIST-SP800-34BCP, ITIL, NFPA [5].
En 2004, el Cartered Management Institute realizó una encuesta sobre las empresas que cuentan con un Plan de Continuidad del Negocio (Angela Martín, 2004). La encuesta tuvo como finalidad explorar el alcance y naturaleza de sus planes. Esta encuesta fue realizada en el Reino Unido a 461 Gerentes y entre los resultados más importantes tenemos los siguientes:
Las causas de interrupción, según ese estudio, son mostradas en la Figura 1. Donde el 25% corresponde a pérdida de capacidad de IT, el 23% a Fallas de Telecomunicaciones y el 20% a Fallas Humanas.
Figura 2. Tabulación de las encuestas realizada por el UK a los gerentes de diferentes empresas que cuentan con plan de contingencia
Fuente:
http://www.channelplanet.com/index.php?idcategoria=12410, consultado el 1 Octubre 2009.
Así mismo, el cese de operaciones se muestra en la Figura 2, donde el 16% corresponde a Publicidad negativa, el 12% Interrupciones de la cadena de suministro, el 10% Inundaciones y vientos fuertes, el 8% Daños en la reputación e imagen corporativa, el 8% Salud de los empleados, el 7% Presión de grupos de protesta, el 7% Conflictos militares y con 1% Daños ocasionados por el terrorismo
Figura 3. Cese de operaciones
Dentro de las estrategias para cuidar la imagen de las empresas y darle continuidad a las comunicaciones, tenemos que el 66% Se enfocan en mantener las comunicaciones de voz, el 53% Acceso a Internet, el 46% Aplicaciones en tiempo real y con un 38% Acceso a la información Histórica. De las empresas que fueron encuestadas, sólo 47% tiene un Plan de Continuidad del Negocio [6].
SunGard (2003), líder mundial en servicios de Continuidad del Negocio, nos habla sobre la Importancia que tiene solicitar servicios de outsourcing para el manejo del tema de continuidad del negocio, obteniendo como resultado liberar al personal interno para que sea más dedicado a las operaciones relacionadas con el negocio. Además de tener acceso a capacidades y materiales de clase mundial, permite compartir riesgos, permite flexibilidad ante cambios del mercado.
Sobre el costo de “Down time” por hora, SunGard (2003) nos comenta las siguientes cifras, según el conocimiento que tiene de sus clientes, el de Telecomunicaciones es de US$780,000, Bancos US$360,000, Fiduciario US$240,000, Otros US$180,000 [7].
Estos datos evidencian que si las empresas no establecen planes de contingencia pueden llegar al fracaso e incluso a la quiebra.
2.3.
Empresa que enfrentaron situaciones adversas por no contar con un plan de continuidad del negocio
2.3.1.
PHILIPS
Philips no contaba con un Plan de Continuidad del Negocio. Después del Incendio en una planta de producción de chips de Philips Semiconductors causó el cierre por seis semanas. Las perdidas obtenidas en las seis semanas fueron mucho más de lo que hubiera invertido en un Plan de Continuidad del Negocio [8].
2.3.2.
TORRES GEMELAS
Las torres gemelas no contaban con un plan de de continuidad del negocio después del ataque terrorista que se vio en vuelta, causo pedidas financieras, perdidas de información muy valiosa e incluso genero crisis financiera en España.
3. 3.1.
MODELO PHVA Definición del modelo PHVA
El ciclo de mejora continua “Planificar- hacer-Verificar-Actuar” fue desarrollado inicialmente en la década de 1920 por Walter Shewhart, y fue popularizado por W, Edwars Deming. Por esta razón es frecuentemente conocido como el “Ciclo de Deming”. Dentro del contexto de un Sistema de Gestión de la Calidad, el PHVA es un ciclo dinámico que puede desarrollarse dentro de cada proceso de la organización y en el sistema de procesos como un todo. Está íntimamente asociado con la planificación, implementación, control y mejora continua, tanto en la realización del producto como en otros procesos del SGC. El mantenimiento y la mejora continua de la capacidad del proceso puede lograrse aplicando el concepto de PHVA en todos los niveles dentro de la organización, esto aplica por igual a los procesos estratégicos de alto nivel, tales como la planificación de los Sistemas de Gestión de la Calidad o la revisión por la dirección, y a las actividades operacionales simples llevadas a cabo como una parte de los procesos de realización del producto. El enfoque basado en procesos indica que todos los procesos como las auditorías internas, la revisión por la dirección el análisis de datos y el proceso de gestión de recursos, entre otros, pueden ser gestionados utilizando como base el ciclo de mejora continua PHVA [9]. La Norma ISO 9001:2000 explica que el ciclo PHVA aplica a los procesos tal y como se muestra en la figura 4 [10].
Figura 4. Modelo PHVA según la ISO 9000:2000
Fuente: http://johnnavas.galeon.com/productos1002127.html
3.2.
Etapas del modelo PHVA
En la Tabla 1 se muestra el ciclo de vida del SGCN, enmarcado dentro del ciclo PHVA, el cual está compuesto por cuatro fases básicas, dentro de las cuales se incorporan los componentes claves del sistema que lo hacen modular, flexible y adaptable a la dinámica de la organización y su entorno. Estas son [11]: Tabla 1. Fases del sistema de gestión de continuidad del negocio
Fase- Modelo (PHVA) Planear: diagnostico y diseño:
Descripción En esta fase se dimensiona el SGCN
Procesos
identificando
Gobierno y estructura
relevantes
de
las la
características
más
organización.
Sus
Análisis de riesgos
necesidades
Análisis de impacto del negocio
existentes, su nivel de exposición y control,
(BIA)
así como los impactos producto de la
Diseño global del programa
materialización de dichos riesgos.
particulares,
los
riesgos
Así mismo, se definen planes de acción a corto, mediano y largo plazo y se diseñan las estrategias de continuidad que serán implementadas,
con
características
de
confiabilidad, disponibilidad, seguridad y recuperabilidad, por medio las cuales se definirán los recursos mínimos requeridos para la reanudación y recuperación de los procesos críticos del negocio. Hacer: implementación y ejecución:
En esta fase busca aplicar las estrategias y
Implementación de estrategias
planes diseñados, con el fin de obtener los
Desarrollo e implementación de
resultados planificados; en esta fase se
planes de continuidad de
debería llevar a cabo la sensibilización del
operaciones, respuesta a
SGCN.
emergencia y manejo de crisis
También se definen los equipos de continuidad del negocio que actuaran en las distintas instancias de una situación de contingencia
y
se
desarrollaran
los
diferentes tipos de planes que integran el SGCN.
Finalmente, se divulgara el programa en la organización y se implementaran esquemas de formación y entrenamiento para sus miembros. Verificar: monitoreo y medición
Pruebas y ejercicios
Durante esta fase de efectuar el seguimiento a la implementación de las estrategias seleccionadas, además se realizan las respectivas mediciones para detectar las desviaciones e identificar las oportunidades de mejora que se deben documentar y que son el insumo para la fase del sistema.
Actuar: mejoramiento continuo
En esta fase se consolidan las oportunidades
Mantenimiento y actualización
de mejora y corrigen las desviaciones
Auditorias
documentadas en la fase anterior.
Las
oportunidades
de
mejora
deben
considerar el cumplimiento de los requisitos y el aprovechamiento de los recursos, para luego plasmarlas en planes o programas de trabajo
con
asignación
de
recursos,
responsables
y
posibles
fechas
de
cumplimiento, para así lograr el ajuste y la optimización del SGCN y entrar en el ciclo de mejora continuaFuente: guía técnica colombiana
Figura 5. Ciclo de vida del sistema de gestión de continuidad del negocio
Fuente: http://dexconsultores.blogspot.com/2013/06/ntc-iso-223012012-gestion-de-la.html
Es importante tener en cuenta como el SGCN integra diferentes factores, los cuales podrían ser generadores de riesgo para la organización, afectando la continuidad del negocio.
3.2.1. Planear: diagnostico y diseño:
3.2.1.1. Gobierno y estructura Uno de los elementos claves en el SGCN es la definición de un marco de referencia del gobierno para su administración, que sea la base fundamental para encaminar y orientar el desarrollo permanente de la disciplina de continuidad que deben adquirir todos aquellos que de una u otra forma son responsables de mantenerla [12]. Las políticas, al igual que los procesos, son la base fundamental para alcanzar un ambiente óptimo en las organizaciones que buscan mantener la continuidad de las operaciones claves de la organización. El gobierno requiere de una estructura organizacional que oriente de manera general el desarrollo permanente de la continuidad en la organización, para que se visualicen los elementos que componen el SGCN, tales como los tecnológicos, operativos, de salvamento y administración de incidentes en general. La continuidad del negocio es responsabilidad de todos los miembros de la organización y la gestión de la continuidad requiere de la presencia de un líder que motive y desarrolle las condiciones necesarias con el apoyo de la alta dirección [13].
Figura 6. Gobierno de la gestión de continuidad de negocio
Fuente: NTC-5722:2000
La alta dirección de la organización debería evidenciar su compromiso con el SGCN manteniendo y respetando el modelo PHVA para diagnosticar, implementar, verificar y establecer planes de mejoramiento que alimenten al sistema en forma permanente, así:
Mediante el establecimiento de una o varias políticas del SGCN
Asegurando que se establezcan los objetivos y planes del SGCN
Estableciendo la estructura organizacional, las funciones, los responsabilidades en el tema de continuidad del negocio.
roles
y las
Comunicando a la organización la importancia de cumplir los objetivos y la política de la continuidad de negocio, sus responsabilidades legales, y la necesidad de la mejora continua.
Asignando los recursos suficientes para mantener, operar y mejorar el modelo PHVA del sistema de gestión de continuidad.
Asegurando que se realizan las verificaciones o auditorías internas del SGCN [14].
3.2.1.2. Análisis de riesgos
El análisis de riesgos consiste en identificar las amenazas sobre estos activos y su probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que las citadas amenazas pueden provocar sobre la disponibilidad de los mismos.[15] Si bien existen diversas metodologías de análisis de riesgos (MAGERIT, OCTAVE), e incluso herramientas que ayudan a automatizar el proceso (EAR/PILAR), todas ellas siguen la siguiente secuencia de acción: Identificar activos: para cada una de las actividades críticas de la organización, es necesario identificar y valorar los activos involucrados. La mayor parte de esta tarea debiera haber sido completada en el BIA. identificar y evaluar las amenazas sobre los activos identificados previamente y su probabilidad de que sucedan. Aunque existen di-versas tipologías de amenazas, algunos ejemplos de ellas son fuego, inundación, fallo eléctrico, absentismo laboral, huelgas, etc. Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las cuales pueden ser explotadas por las amenazas.
Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad del activo y provoque daño sobre el mismo. Calcular el riesgo como la probabilidad de que se produzca un impacto determinado en la organización.[16] El proceso de análisis de riesgos puede ser abordado de forma cualitativa, cuantitativa o incluso mezcla de ambos. En la siguiente tabla se describen los 2 tipos de análisis de riesgos junto con las ventajas e inconvenientes asociados a los mismos [16]. Tabla 2. Descripción de tipos de análisis de riesgos
Tipo de Análisis de riesgos
Descripción
Inconvenientes
ventajas
Basado en
Sencillez
clasificaciones
Rapidez
descriptivas y subjetivas
Equilibrio
Cualitativo
subjetividad
del negocio
Cuantitativo
Basado
en
monetarios
términos
Exactitud
Complejidad
integridad
estimar costes reales
para
Fuente: el autor
Independientemente de la metodología o de las herramientas empleadas para el análisis de riesgos, el resultado del proceso será un mapa de riesgos que permite identificar y priorizar
aquellos que pueden provocar una paralización de las actividades de negocio de la organización o de los recursos críticos sobre los cuales dichas actividades están soportadas. ¿Qué puede hacer la organización ante los riesgos que ha identificado? Existen diferentes opciones para hacer frente a los mismos: Aceptar el riesgo: la organización conoce el riesgo y decide asumirlo sin tomar ninguna acción al respecto, bien porque no tiene capacidad o bien porque el coste para mitigar el riesgo es desproporcionado para los beneficios que aporta. Transferir el riesgo: como por ejemplo a través de la subcontratación de servicios o mediante la contratación de un seguro de cobertura, de forma que si el riesgo se materializa exista una compensación externa que lo mitigue. Reducir el riesgo a niveles aceptables por la organización: mediante el diseño y la implantación de controles o medidas preventivas o que atenúen los impactos y las consecuencias del mismo. Evitar el riesgo: mediante la eliminación del mismo (por ejemplo a través de la reingeniería de procesos o incluso suspendiendo la actividad que origina el riesgo sin penalizar los objetivos de negocio de la organización) [17]. Las distintas opciones para hacer frente a los riesgos pueden ser utilizadas simultáneamente, si bien es destacable que no todos los riesgos pueden ser reducidos o prevenidos a un nivel aceptable. La continuidad de negocio constituye por sí misma una estrategia o una opción de respuesta para hacer frente a aquellos riesgos que pueden interrumpir las operaciones de la organización.
3.2.1.3. Análisis de impacto del negocio (BIA)
El análisis de impacto al negocio inicia con la identificación de las funciones y procesos críticos de la organización, con el fin de determinar el impacto asociado a los riesgos que pueden afectar la continuidad del negocio. La estimación del impacto debería tener en cuenta aspectos tangibles e intangibles, los cuales deben estar expresados en términos cuantitativos y cualitativos [18]. Como aspectos tangibles se pueden considerar, entre otros, los siguientes: Disminución de las utilidades Penalidades y multas Disminución en la productividad Y como intangibles: Costo de oportunidad Reconstrucción de la imagen y credibilidad de la organización Perdida de información [19]. Objetivos del BIA Evaluar impactos de interrupción/tiempo Determinar impactos financieros y operacionales Determinar la criticidad de tiempo para los procesos de negocio, funciones, departamentos y aéreas de trabajo considerando toda la organización. Determinar las características del momento crítico [20].
Beneficios del BIA Reducir la responsabilidad legal Minimizar las posibles pérdidas económicas Disminuir la exposición de la imagen Reducir la interrupción de las operaciones normales Asegura la estabilidad de la empresa Asegurar un recuperación ordenada Minimizar los valores seguros Incrementa la protección de activos Garantiza la seguridad del personal, de los clientes y socios Cumple con las disposiciones legales y normativas [20]. Hay términos fundamentales que se asocian típicamente al BIA MAO Maximum Aceptable Outage (Interrupción máxima aceptable): tiempo que tomaría para que los efectos adversos que puedan surgir como consecuencia de no proporcionar un producto o servicio o la no realización de una actividad, sean inaceptables [21]. MTPD Maximum tolerable period of disruption (Período máximo
tolerable de
interrupción): tiempo que tomaría para que los efectos adversos que puedan surgir como consecuencia de no proporcionar un producto o servicio o la no realización de una actividad, lleguen a ser inaceptables [22]. MBCO minimum business continuity objective (objetivo mínimo de continuidad del negocio): Nivel mínimo de servicios o productos y que sería aceptable para la organización para lograr sus objetivos durante una interrupción. [23]
RPO recovery point objective (punto objetivo de recuperación): • punto en que la información utilizada por una actividad debe ser restaurada para que la actividad reanude operaciones. [24] RTO recovery time objective (tiempo objetivo de recuperación): período de tiempo después de un incidente en el que: el producto o servicio debe reanudarse, la actividad debe reanudarse o los recursos debe ser recuperados [25]
Etapas del análisis de impacto al negocio: Identificar los procesos críticos del negocio: en esta etapa se identifican las funciones y procesos críticos del negocio, sus entradas y resultados y la relación que tiene con otros procesos de la organización, de tal forma que se logre identificar la dependencia e influencia que la función o el proceso analizado tiene con otras funciones y procesos. La elaboración de matrices y mapas de procesos, entre otras herramientas, permite conocer más a fondo el funcionamiento de la organización. Valorar el impacto operativo y financiero: el impacto cuantitativo está compuesto de todas aquellas pérdidas económicas que puedan reflejarse en un costo para la organización. Es importante tener en cuenta las perdidas entendidas como un menor valor en el ingreso y también como una disminución en el patrimonio y capital de la organización; igualmente se debe valorar el impacto económico producto de gastos extras en los que sea necesario incurrir en un evento que amenace la continuidad de negocio. Determinar los tiempos objetivos de recuperación: para cada uno de los procesos en evaluación, se establecerá un objetivo de tiempo de recuperación y un objetivo de punto de
recuperación. Para este último se recomienda identificar la información de forma automática y/o manual, en caso de ser necesario. Priorizar los procesos para su recuperación: a partir de esta etapa se establece la prioridad de los procesos para la recuperación. Allí se da la clasificación final de criticidad de los procesos, de modo que sea posible elegir cuáles de ellos serán recuperados y restaurados ante una situación de crisis, es decir se establece la secuencia de recuperación para los procesos elegidos. Determinar los recursos mínimos de recuperación: es necesario identificar los recursos que estan asociados a los procesos críticos en relación con aspectos antrópicos, tecnológicos, ambientales y documentales, etc. Se define la secuencia de recuperación de dichos recursos acorde con la prioridad de procesos y los tiempos de recuperación establecidos. Identificar previamente las estrategias: se debería identificar previamente las posibles estrategias necesarias para reanudar los procesos críticos, incluyendo aquellas estrategias que permitirán darle continuidad a la operación, aun sin soporte tecnológico [26].
3.2.2. Hacer: implementación y ejecución
3.2.2.1 Estrategias de continuidad del negocio Las estrategias de continuidad de negocio se basan en elegir la mejor opcion u opciones, desde el punto de vista económico, técnico u operativo, para gestionar la continuidad de los procesos críticos, partiendo del análisis de riesgo y el resultado obtenido del análisis de impacto del negocio. Estos son los insumos necesarios para desarrollar la estrategia de continuidad, la cual debería definir su alcance y estar enfocada de manera prioritaria a los procesos que tengan alto impacto y/o alto riesgo [27].
Aspectos por tener en cuenta para la elección de las estrategias: Identificación de alternativas internas y externas Análisis de factibilidad (técnica y operativa) de implementación de las diferentes alternativas de continuidad identificadas Análisis de relación costo-beneficio de la estrategia y presentar dicho análisis a la alta dirección, con el fin de tomar decisiones. Análisis de objetivos de punto de respuesta (RPO) y objetivos de tiempo de respuesta (RTO) más conveniente para la organización [27]. Estrategias genéricas para la continuidad del negocio 1. Reducción del riesgo: actividad dirigida a evitar que ocurran eventos adversos o al menos, mitigar sus consecuencias.
Las actividades que se realicen dentro del marco de la reducción del riesgo deben conllevar un esfuerzo claro y explicito por reducir la posibilidad de ocurrencia de eventos adversos y/o la consecuencia derivada de los mismos. Existen dos formas de reducción del riesgo:
Prevención: conjunto de acciones cuyo objeto es impedir la ocurrencia de eventos adversos, ya sean naturales, tecnológicos o antrópicos. La prevención reduce el riesgo disminuyendo la probabilidad de ocurrencia de los eventos adversos.
Mitigación: conjunto de acciones cuyo objeto es reducir los efectos o consecuencias derivadas de la ocurrencia de eventos adversos. En mitigación, la inversión es una acción destinada a modificar:
Las características de un fenómeno, con el fin de reducir las consecuencias del mismo. Las características intrínsecas de un sistema biológico, físico, social u organizacional, a fin de reducir su vulnerabilidad. Reducir los efectos no deseados sobre vidas y propiedades.
2. Manejo de eventos adversos: la mejor manera de enfrentar los eventos adversos es preverlos. Existen dos alternativas para el manejo de eventos adversos:
Preparación: conjunto de medidas y acciones para reducir al mismo la pérdida de vidas humanas y otros daños, organizando oportuna y eficazmente la respuesta y la rehabilitación. A este componente corresponden, entre otras, las siguientes actividades: Definición de las funciones de las aéreas operativas o unidades de negocio (planes). Inventario de recursos físicos, humanos y financieros (planes) Capacitación e información al personal, acerca de riesgos e instrucciones a cumplir en caso de un evento adverso. Instalación de elementos de alerta, tales como detectores, sensores y redes de monitoreo. Ejercicios de simulación y simulacros
Respuesta: acciones llevadas a cabo ante un evento adverso y que tienen por objeto salvar vidas, reducir el sufrimiento y disminuir pérdidas.
3. Recuperación: proceso de restablecimiento de las condiciones normales de operación de la organización. Existen dos alternativas de recuperación:
Rehabilitación: recuperación, a corto plazo y en forma transitoria, de los servicios básicos de subsistencia e inicio de la reparación del daño; inicia con poner en funcionamiento los procesos estratégicos de la organización.
Reconstrucción: proceso de reparación, a mediano y largo plazo, del daño, a un nivel de desarrollo superior al existente antes del evento. Mediante la reconstrucción se logra la solución permanente de los problemas de riesgos anteriores a la ocurrencia del evento adverso y el mejoramiento de la calidad de vida de la continuidad.
4. Transferencia del riesgo: transferir el riesgo involucra que otra organización asuma todo el riesgo o comparta parte de él. Usualmente por medio de un contrato. Las formas más comunes de compartir riesgos son la subcontratación, la contratación externa, los seguros, si es aplicable. En algunos casos el uso de instrumentos financieros para compartir, proteger contra los riesgos económicos antes de que ocurra un evento adverso o una perdida.
5. Planificación anticipada: la organización puede contemplar dentro de su planificación anticipada las siguientes opciones:
Centro de operaciones alterno y propio: asegura a la compañía instalaciones, las cuales estarán disponibles durante todos los desastres que se puedan presentar y que, por su condición, se utilizaran para realizar pruebas en el momento en que se considere necesario.
Acuerdo de ayuda mutua: este acuerdo se puede realizar con organizaciones del mismo sector o grupo económico, compartiendo recursos y buscando así minimizar los costos.
Acuerdos con proveedores: este acuerdo se puede establecer en el contrato con el proveedor; la razón por la cual es viable está asociada directamente a la efectividad del proveedor y a su conocimiento en relación con el producto o servicio suministrado.
Empresas de servicios especializados: al tener el centro de operaciones alterno bajo la custodia de una empresa de servicio especializada en el tema, el soporte técnico de operación, comunicación de datos y planificación está garantizando. Adicionalmente, las empresas de servicio especializados cuentan con una instalación normalmente idónea, soluciones y costos a la medida de la organización [28].
3.2.2.2. Desarrollo de los planes de continuidad de negocio Una vez la organización ha analizado su exposición al riesgo, el impacto directo al negocio y ha evaluado estrategias que le permitan continuar con su operación normal, debería elaborar y formalizar los planes de continuidad de negocio. Todas las actividades que deberían realizarse durante una situación de crisis, se convierten en un proyecto complejo en el que interviene en numerosas funciones y personas, se administran gran cantidad de recursos y se aplican numerosos procedimientos tanto técnicos como operativos. Esta investigación se traduce en planes de continuidad de negocios, los cuales se deberían activar y ejecutar en tiempos muy breves, por lo que las actividades deberían estar planificadas con rigor.
Estos planes son planes estratégicos definidos por la alta dirección, los cuales se desarrollan para conseguir una restauración progresiva y ágil de los servicios afectados por una interrupción total o parcial de la capacidad operativa de la organización. Un plan de continuidad del negocio busca establecer como una organización puede continuar con sus operaciones en el evento que se produzca una interrupción; la responsabilidad que este exista, este bien dimensionando y cuente con los recursos necesarios para llevarse a cabo [29]. Para la elaboración y desarrollo de los planes de continuidad de negocios, se deben tener en cuenta los siguientes elementos: 1.
identificación de escenarios: es importante tener claro cuál o cuáles son los
escenarios de falla que se pretende cubrir con el plan, es decir, puede diseñarse para cubrir un evento de falla del sistema de información o de una línea de producción, puede estar enfocado a cubrir la ausencia del personal clave, la perdida de las instalaciones físicas o la destrucción total. 2.
Selección del recurso humano: posteriormente se definirán los grupos humanos que
estarán al frente de las actividades. En forma general se presentan algunos ejemplos de los equipos y sus roles. Que dependiendo del tamaño de la organización se podrían establecer:
Equipo directivo: está conformado por la alta dirección y es encargado de dar la instrucción para activar los planes de continuidad del negocio.
Algunos de los roles que cumple el equipo directivo son:
Equipo de manejo de crisis: conformado por el personal encargado de brindar información a los medios de comunicaciones y a las partes interesadas, además de tomar el control del evento que género la crisis. Equipo de unidades de negocio: conformado por el representante de la alta dirección responsable de una unidad de negocio especifica y el personal clave para ejecutar las funciones de esta. El equipo debe estar alineado con la estructura organizacional.
Equipos funcionales: conformado por el personal de la organización asignado para ejecutar las actividades asociadas a los planes de continuidad específicos y liderado por el miembro del equipo de unidad de negocios responsable del proceso.
Algunos de los roles que cumple el equipo funcional son: Equipos funcionales de tecnología: conformado por el personal del área de tecnología encargado de ejecutar los planes de continuidad del negocio ej.: soporte técnico, comunicaciones y redes, etc. Equipos de logística: conformado por el personal del área
administrativa
responsable de realizar la movilización del personal, la coordinación de la alimentación y disponibilidad de instalaciones etc.
Figura 7. Despliegue de los equipos hacia los planes de continuidad
Fuente: guía técnica de Colombia
3.
Definición de actividades del plan: cada uno de los equipos debería tener su propio
plan y a la vez contar con uno general que involucre las actividades de todos frente al mismo escenario.
Los integrantes de cada uno de los equipos deberían definir, con base en su conocimiento ante un evento inesperado, de la siguiente manera: Antes del evento Evaluación del incidente Declaración de la contingencia Activación de los planes Regreso a la normalidad [30].
Un plan de continuidad de negocios debería conjugar los tres elementos de cualquier sistema de protección: seguridad, eficiencia y costo, y por otra parte los elementos que aseguren la necesaria coordinación entre los diferentes planes con que la organización cuenta para cada uno de sus procesos. Entre los diferentes aspectos que deben tenerse en cuenta para el desarrollo de un plan de continuidad de negocios estan los siguientes: Establecimiento de un grupo de trabajo para el desarrollo y posterior implantación del plan. Este grupo se configura durante situaciones normales y no después. Definición de equipos de actuación y nombramiento de responsables de cada equipo Priorización de actividades para recuperar las distintas aéreas en el menor tiempo posible. Definición de tareas y secuencia en que se deben realizar. uso de recursos alternativos asignación de responsabilidades al resto de personas que vayan a componer los equipos de actuación Fases y tareas que deberían contemplar el plan son Figura 8. Fases y tareas de un plan de continuidad de negocio
Fuente: guía técnica de Colombia
4. elementos del plan de continuidad de negocio: un plan de continuidad involucra a los responsables de los procesos de soporte y a los responsables de las operaciones en la organización. El recurso humano responsable de estos procesos, los procesos que deben ser atendidos y las localidades externas que serán utilizadas para garantizar la continuidad de las operaciones forman parte de los elementos básicos que se requieren para construir un plan de continuidad de negocio [31]
Personal (gerente)
Localidades Procesos Figura 9. Elementos del plan de continuidad de negocios
Fuente: guía técnica de Colombia
5. Tipos de planes: los planes de continuidad del negocio contienen las medidas técnicas, humanas y de procedimientos necesarios para garantizar la continuidad de las operaciones en la organización; los planes son desarrollados en casos particulares y aplicados a departamentos, procesos específicos.
Dada su importancia, alcance y orientación, podemos mencionar tres principales tipos de planes: plan de manejo de crisis, plan de recuperación de desastres y plan de atención de emergencias.
A. Plan de manejo de crisis: es un plan global, cuyo objetivo primordial es garantizar que la organización pueda tomar el control de las situaciones adversas, manejando adecuadamente la comunicación interna y externa. Este plan suele estar liderado por la Alta Dirección y su importancia radica en proteger la imagen y generar un ambiente apropiado para la ejecución posterior de los planes de operación del negocio. B. Plan de recuperación de desastres: son los planes que buscan la recuperación y la continuidad tecnológica, es decir, cubren escenarios de falla relacionados con servidores, aplicativos informáticos, base de datos, comunicaciones, seguridad de la información, etc. Estos planes son diseñados y ejecutados por personal de procesos tecnológicos. C. Plan de atención de emergencias: son los planes enfocados a atender situaciones que representen emergencias (atentados, incendios, desastres naturales, etc.) para la
organización, en los cuales busca la protección de las vidas y de los activos. Usualmente involucra personal de varias aéreas y elementos de seguridad industrial y salud ocupacional, por ejemplo, brigadas de primeros auxilios [32].
6. Resultados del desarrollo de un plan de continuidad del negocio El plan de continuidad del negocio busca reducir las consecuencias de un evento adverso a niveles aceptables y aprobados por la alta dirección.
A través de este plan también se busca que se identifiquen los procesos de alto impacto. Esta identificación debe incluir a todas las unidades o funciones, o ambas, y debe evaluar todos los aspectos de la organización.
El resultado del desarrollo del plan de continuidad del negocio es un documento cuya información requiere incluir como mínimo los siguientes elementos:
Las responsabilidades de cada una de las personas que ejecutan las acciones de recuperación.
Los recursos que se necesitan para recuperar, reanudar, continuar o restaurar las funciones de negocio.
Los sitios alternos donde se reanudaran las funciones corporativas, de negocios y operacionales.
El momento cuando deben reanudaran las funciones y operaciones del negocio.
Los procedimientos detallados de recuperación, rehabilitación, continuidad y restauración [33].
Es primordial contar con un plan de continuidad del negocio confiable, actualizado y ejecutable, para que la organización pueda responder en forma ordenada y recuperarse de una crisis, o desastre, con el fin de alcanzar los requisitos de recuperación establecidos.
3.2.3. Verificar: monitoreo y medición
Pruebas y ejercicios: Las pruebas pueden ejecutarse por diversos métodos: Pruebas. Utilizados cuando el procedimiento está siendo probado continuamente. Ensayos. Son la práctica de un procedimiento específico el cual requiere el seguimiento de un script para impartir conocimiento. Ejercicios. Está basado en un escenario, es decir eventos que desean ser analizados y sus consecuencias. [11]
Sin importar el tipo de prueba, la repetición y conjunto de actividades que la fundamentan permiten identificar detalles o situaciones que requieren atención.
Es necesario demostrar la efectividad del BCM probando mediante ejercicios: los Roles del personal clave, capacidad de recuperación, conocimiento y toma de decisiones en situaciones de crisis.
El tiempo y los recursos necesarios para las pruebas y ejercicios de BCM son parte fundamental del proceso así como infundir confianza y conocimiento necesario a los participantes. Se debe probar la eficiencia de las pruebas en términos de severidad, realismo y mínima exposición, términos que se describen a continuación:
Complejidad. Las pruebas pueden llevarse a cabo con los mismos procedimientos y métodos que son ejecutados a diario e irlos incrementando a fin de llegar a eventos lo más cercano a la realidad. Por lo tanto la complejidad de una prueba demostrará que el negocio está preparado para responder a cualquier riesgo.
Realismo. La utilidad de una prueba radica en seleccionar escenarios reales. La simulación de un evento demuestra la viabilidad del BCM en cualquier circunstancia.
Exposición. Las pruebas pueden desarrollarse en el lugar del negocio o en instalaciones alternas, dependiendo la complejidad de la prueba y el número de participantes en ella, el diseño de la prueba demostrará:
Una prueba simple de mínimo riesgo de la interrupción de las operaciones.
Una prueba compleja expondrá el riesgo de la interrupción de las operaciones [26].
Las Pruebas y ejercicios se llevan a cabo con la finalidad de cumplir los siguientes objetivos:
Garantizar que la documentación prevista para ser usada durante eventos o
situaciones de crisis sea validada por la práctica y la evaluación.
Mantener vigente la documentación de Administración de la Continuidad del Negocio
creada en las etapas del ciclo de vida del proceso de BCM.
Asegurar que los planes se alineen a los objetivos del negocio, mediante prácticas,
auditorias y procesos de auto-evaluación.
Cumplir con los requerimientos de los procesos clave del negocio (RTO&RPO).
Familiarizar a los equipos con el proceso de Pruebas de BCM.
Satisfacer los requerimientos legales y de auditoría interna [28].
En las diferentes Pruebas que se pueden realizar, tenemos las siguientes:
Prueba de escritorio. Esta prueba permite evaluar un plan sin necesidad de realizar la prueba fuera del edificio. Este tipo de ejercicio debe realizarse a manera de verificar la consistencia del plan con respecto a algún escenario de interrupción. Este tipo de prueba permite validar los datos de los planes
Prueba funcional. En esta prueba se evalúa la efectividad de los planes que integran el BCM, recreando los procesos de negocio y la participación de los usuarios desde un sitio alterno.
Ejercicio Completo. Permite evaluar la continuidad de las operaciones para un escenario de desastre mayor en el cual se simularía un procesamiento desde el sitio alterno definido en la estrategia de recuperación. Este tipo de prueba permite validar todos los planes de contingencia de manera integrada. [28]
En la siguiente tabla se muestra más detalle de cada una de estas pruebas: Tabla 3. Tipos de ejercicios y pruebas para la BCN
ELEMENTOS
ACTIVIDADES
PARTICIPANTES
TIPO DE PRUEBA
auditoria
PRUEBA DE
validación
ESCRITORIO
verificación
PRUEBA
Escenario
FUNCIONAL
Lugar alterno
Controles
Tiempo de duración
Activación del plan
Componentes
Revisar y validar
Dueño del plan
el contenido del plan
Autor del plan
Auditor del plan
Empleados en un
Mover de lugar y recrear
área
los procesos de negocio y las
funciones
participantes
de
negocio
especifica
de
los
Instalaciones
desde
un
Coordinadores
Observadores
Reguladores
Todos los empleados
Instalaciones
Coordinadores
Observadores
Reguladores
sitio alterno
Individuales
Componentes integrados
Escenario
Lugar alterno
PRUEBA
Controles
EJERCICIO
Tiempo de
localización
duración
procesos del negocio
COMPLETO
Activación del plan
Componentes Individuales
Componentes integrados
Fuente: Ana María puentes
Cerrar
totalmente
la
empresa y cambiar la de
los
Una vez realizado el ejercicio o prueba, se deben probar los resultados con base en los cuestionarios de revisión. Para este proceso es necesario ordenar todas las evidencias recolectadas después de la prueba o ejercicio.
Se propone elaborar una reunión con los participantes de la prueba, en la que sea de fácil visualización a través de gráficas comparativas entre resultados anteriores contra los actuales.
3.2.4. Actuar: mejoramiento continuo
3.2.4.1. Mantenimiento y actualización
El mantenimiento y la actualización de los planes se deberían realizar mediante la evaluación de los elementos del plan entre otros aspectos del SGCN. El mantenimiento y actualización de los planes de continuidad deberían contar con el apoyo de la alta dirección, con los recursos requeridos y considerar este proceso como un asunto primordial [34]. Responsabilidades del mantenimiento y actualización Para lograr que un plan se mantenga actualizando y permita la recuperación ante un evento no deseado es indispensable determinar claramente las responsabilidades de las personas involucradas en el sistema de gestión de continuidad sobre su mantenimiento, entre las cuales debería tenerse en cuenta como mínimo las siguientes:
Personal responsable del SGCN: tiene como función coordinar, dirigir y controlar el mantenimiento del plan, además de identificar los cambios que se presenten en la organización y que puedan afectar el plan de continuidad de negocio. Auditores: son los responsables de examinar el plan para determinar si cumple con los objetivos y la política del SGCN, si es adecuado a los propósitos de la organización y se encuentra actualizado. Dueños del plan: responsables por el mantenimiento detallado del plan y por el establecimiento de los procedimientos de actualización, así como de las revisiones periódicas del plan de continuidad de negocio y la frecuencia con que se realizaran dichas revisiones. Grupos de trabajo: responsables por el mantenimiento de las secciones del grupo y el monitoreo de las actividades. Alta dirección: responsable de la revisión y aprobación del plan [35]. Para lograr una actualización efectiva de los planes, es necesario que cada tarea de actualización tenga un responsable, se establezcan fechas límites para las actualizaciones, que se valide la terminación de cada tarea y se asegure que los cambios realizados como resultado de una prueba o ejercicio sean implementados 3.2.4.2.
Auditorias
La auditoria es una herramienta eficiente y fiable que proporciona información sobre la cual una organización puede actuar para mejorar su desempeño. El desarrollo de la auditoria se basa en la validación de los requisitos solicitados por el SGCN y la existencia de los mismos en la organización. Esto genera un hallazgo, que
comparando con los objetivos de la auditoria genera, así mismo, una conclusión de la auditoria. Figura 10. Auditorias
Fuente: ISO-IEC
27006
Dentro del proceso de auditoría se llevan a cabo las siguientes fases: Figura 11. Fases de la auditoria
selección del equipo auditor
revision de resultados de la auditoria
realizacion del seguimiento de la auditoria
diseño del programa de auditoria
desarrollo del programa de auditoria
Fuente: Ana María puentes
Como resultado de la auditoria se obtienen hallazgos y conclusiones que generalmente se dividen en: Debilidades Fortalezas Aspectos por mejorar[37] Si se establece Políticas de continuidad Planes Formación Mantenimiento y actualización
Obtendremos CONTINUIDAD
4.
EMPRESAS QUE HAN IMPLEMENTADO PLAN DE CONTINUIDAD DEL NEGOCIO BASÁNDOSE EN EL MODELO PHVA
Para la presente monografía se analizaron 8 empresas las cuales 5 corresponden a Bancos, 1 corresponde a una empresa financiera, 1 corresponde a una empresa especializada en obras civiles, y la ultima corresponde a una empresa encargada en software, consultorías y servicios, Se escogieron estas empresas por cuanto son las de mayor riesgo en la gestión de continuidad del negocio:
4.1. BANESCO (Banco Universal, Caracas Venezuela)
En el 2005, el Banco Universal de Caracas comenzó con el desarrollo de su programa de Continuidad del Negocio con la asesoría de proveedores como IBM, Unisys, Espiñeira & Asociados utilizando las metodologías DRII y BCI. Generando en el primer año la definición de la estrategia de Continuidad del Negocio. En el 2006 se empezó la elaboración del Análisis de Impacto al Negocio, El Plan de Manejo de Crisis y el Plan de Manejo de Incidentes. Se elaboró un estudio sobre las posibles alternativas para los centros Alternos de Operación (cómputo, registros vitales, crisis y trabajo alterno). En 2007 se elaboró el Plan de Pruebas, se actualizaron los Análisis de Impacto al Negocio y los Planes de Continuidad del Negocio. En 2008 se incluyó un escenario de falla eléctrica al estudio de riesgos, con lo cual se modificó el Plan de Pruebas y se agregó el Plan de Sensibilización a todo el personal.
En 2009 se actualizó el BIA y se implantó una herramienta WEB para automatizar el proceso [38].
4.2.
Asociación de Bancos en México
Frente a la reciente epidemia de gripe porcina presentada en Abril de 2009, la Asociación de Bancos en México activó el Plan de Continuidad del Negocio, el cual incluyó las siguientes Medidas:
Continuidad en el Sistema de Pagos. Los bancos promovieron el uso de canales alternos para la realización de operaciones bancarias: ATM’s, Banca Telefónica e Internet.
En sucursales y edificios Corporativos se adoptaron medidas sanitarias para evitar el contagio de empleados y clientes.
Detectando al personal crítico, se organizó la distribución de personal entre edificios.
Se pusieron en marcha planes de comunicación entre empleados y clientes como: carteles, correo electrónico, línea de atención telefónica, intranet, entre otros.
Continuidad de servicios Financieros. En caso de agravarse la situación, se planeaba facilitar la operación de clientes del sistema de manera indistinta en las sucursales de cualquier banco.
Las medidas anteriormente citadas, dieron como resultado el cuidado de la salud de las personas involucradas en el escenario de riesgo [39].
4.3.
CITIGROUP (Computer world, 2007)
Después de 3 años de contrato con IBM, Cititgruop, una de las mayores entidades financieras del mundo por capitalización bursátil, ha renovado su contrato con el proveedor de servicios de continuidad del negocio.
El proveedor le ofrece 712 lugares equipados para tareas específicas que desarrolla el personal de Citi. Los lugares tienen además, los servicios de telefonía digital, distribución de llamadas y grabación de voz. El servicio le ofrece los sitios alternos en Madrid y Barcelona para poder retomar sus actividades en un escenario de Crisis [40].
4.4.
Bouygues Construction (Microsoft, 2008)
Bouygues Construction, empresa especializada en obras civiles y contratos eléctricos y de mantenimiento, cuenta con un personal de 51,100 empleados distribuidos en 80 países. En el 2006 la empresa implemento la virtualización con Microsoft Server 2005 RD Service pack 1.
El objetivo es reducir el número de servidores en el centro de datos que tienen en Paris, con esto buscan mejorar el Proceso de Recuperación de Desastres. Están utilizando el sistema operativo de Windows Server 2008 Enterprise con tecnología de virtualización de Hyper-V Microsoft System center virtual machina manager 2008. Se espera incrementar el tiempo de actividad de aplicaciones del negocio [41].
4.5.
BANXICO (Banco de México ,2008)
En Septiembre de 2008 BANXICO publicó un análisis que lleva por título Continuidad del Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe” en el cual se evaluaron siete bancos de países diferentes, dentro de los resultados obtenidos por el análisis, destacan los siguientes:
Todos los países pueden recuperar su principal sistema de pagos el mismo día del incidente. Dos países reportan un RTO de 3 horas o menos.
En casi todos los países, excepto uno, existen mecanismos de comunicación bien definidos que permiten informar al personal de eventos de contingencia y coordinar los planes de recuperación o movilización al sitio alterno.
Todos los países cuentan con sitios alternos de operación.
Todos los países cuentan con infraestructura tecnológica recomendada (respaldo de datos, replicación de operaciones, etc.)
Cinco de siete países cuentan con una identificación de escenarios que pueden afectar las operaciones del Banco.
Sólo dos países cuenta con formalización de roles y revisiones periódicas al Plan.
Algunos de los países aún no han llevado a cabo pruebas a sus planes [42].
4.6.
BANORTE
En 2006 BANORTE anunció la creación de más avanzado esquema de recuperación de infraestructura informática, así como la disponibilidad e integridad de la información de los clientes y operaciones de forma inmediata, después de ocurrido un incidente. El Plan de Continuidad del Negocio adoptado por BANORTE, está soportado con el servicio de proveedores como: Hitachi Data Systems, Sun Microsystems, Telmex e IBM de México [43].
4.7.
COMPAREX ESPAÑA S.A. (The availability architects)
En febrero de 2005 tuvo lugar un incendio en el Edificio de Windsor, dónde estaban los servidores centrales, después de 6 horas todo el inmueble quedo devastado. Ante esta situación Comparex activa sus Planes de Continuidad del Negocio. Dentro de las estrategias que puso a pruebas están: Backups de información, lugares de trabajo para que los empleados puedan reanudar sus operaciones desde otro sitio, accesando a las aplicaciones críticas utilizando como base de acceso el internet, infraestructura que le permitió la comunicación de voz y datos entre los centros.
El Plan de continuidad del Negocio le permitió a la organización poder reaccionar la misma noche del incendio, se identificaron los elementos tecnológicos (servidores, sistemas de almacenamiento, puestos de trabajo conectados a la red, comunicaciones, etc.) que se encontraban disponibles y en funcionamiento, así como los inactivos. Se recurrió a las copias de información que la organización tenía en resguardo en Madrid y Barcelona, verificando
si podía hacerse la recuperación completa al último día hábil de actividad. Se activó el alquiler de las oficinas alternas, dotándolas de equipo necesario para trabajar, se contactó a los clientes notificándoles la situación de la compañía, definir el plan de comunicación. El plan resulto un éxito para la compañía [44].
4.8.
WAL MART STORES INC.
En Agosto del 2005 cuando Katrina cambió su categoría de tormenta tropical a huracán, Jason Jackson, Director de Continuidad del Negocio de Wal-Mart cambio su ubicación al centro de comando de emergencias de Wal-Mart. Dos días después cuando el huracán llegó a Florida, Jackson estaba acompañado de 50 gerentes y personal de apoyo, antes de que el huracán tocara tierra en el Golfo de México, Jackson ordenó a las bodegas de Wal-Mart entregar provisiones a áreas de almacenamiento designadas para tener la capacidad de abastecer a las tiendas cuando fuera posible. Cuando el sistema computarizado que actualiza los inventarios de la zona de Wal-Mart quedo sin señal, Jackson atendió las llamadas de las tiendas para saber lo que necesitaban, para el siguiente martes, camiones de Wal-Mart fueron a abastecer generadores y toneladas de hielo seco a lo largo de las tiendas ubicadas en el golfo. Inicialmente 126 sucursales fueron cerrados por encontrarse en el paso de Katrina, a pesar de las pérdidas reportadas por las tiendas, 15 días después, todas a excepción de 15 tiendas, volvieron a abrir sus puertas [45].
5.
DISCUSIÓN
Para la elaboración y desarrollo de los planes de continuidad de negocios, se deben tener en cuenta los siguientes elementos:
identificación de escenarios
Selección del recurso humano
Definición de actividades del plan: dentro de este elemento se incluye las Fases y tareas que deberían contemplar el plan como lo son: planificación con una tarea de participación de la dirección, designación del grupo de trabajo y el desarrollo y aprobación del plan. Acciones de emergencia con una tarea de alerta y activación y evaluación de daños. Proceso alterno con una tarea de dar soluciones alternas. Proceso de recuperación con una tarea de recuperación de actividades. Fin de la emergencia con una tarea de un informe final de la emergencia y por ultimo Gestión del plan con una tarea de programas de pruebas, mantenimiento y de auditoría
elementos del plan de continuidad de negocio los cuales forman parte el personal, las localidades y los procesos.
Tipos de planes Dada su importancia, alcance y orientación, podemos mencionar tres principales tipos de planes: plan de manejo de crisis, plan de recuperación de desastres y plan de atención de emergencias.
Resultados del desarrollo de un plan de continuidad del negocio
La necesidad de proteger la información crítica exige a las empresas diseñar planes para prever situaciones de desastre y reaccionar ante ellas
Es importante Invertir en Planes de Continuidad de Negocio esto ayuda a la gestión de la continuidad de negocio en cualquier empresa. Es necesario saber que el plan de continuidad de negocio tiene que ser entendible y sencillo de utilizar y conservar.
Un plan de continuidad de negocio debe cubrir, al menos, lo más importante de la organización, debe establecer claramente quiénes formarían parte del mismo, sus funciones, responsabilidades y autoridad.
Un plan de continuidad de negocio no se produce ante cualquier incidente de seguridad, sino en situaciones de crisis y/o emergencia.
La definición y ejecución de un plan de continuidad de negocio debe realizarse en muchas ocasiones en diferentes fases dentro de la organización.
El modelo PHVA está enfocado por 4 fases los cuales son:
Planear: dentro de esta fase tenemos gobierno y estructura, análisis de riesgos y el análisis de impacto al negocio.
Hacer: dentro de esta fase tenemos la implementación de estrategias y el desarrollo de los planes de continuidad.
Verificar: dentro de esta fase tenemos las pruebas y ejercicios
Actuar: dentro de esta fase tenemos mantenimiento y actualización y auditorias.
La importancia que tiene la aplicabilidad el modelo PHVA en las empresas es que brinda una solución que realmente permite mantener la competitividad de los productos y servicios, mejora la calidad, reduce los costos, mejora la productividad, aumenta la participación de mercado, provee nuevos puestos de trabajo y aumenta la rentabilidad de la empresa. Con la aplicación de este modelo, el proceso no termina cuando se logra el resultado deseado, sino que más bien, se inicia un nuevo reto no sólo para el responsable de cada proceso, sino también para la propia organización. Además, permite identificar las oportunidades de mejora y se aplican análisis con métodos más simples y eficientes para reducir costos, y mejorar la calidad de los productos y los servicios.
6.
CONCLUSIONES La adopción de un SGCN es una decisión estratégica de la organización, ya que depende de las necesidades y objetivos, requisitos de seguridad, los procesos empleados y el tamaño y estructura de la organización.
Los resultados de la ejecución de este modelo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización.
El desempeño por parte de una organización de un plan de continuidad de negocio no se produce ante cualquier incidente de seguridad, sino en situaciones de crisis y/o emergencia.
Es importante mencionar que la validación de esta investigación es teórica, ya que no es posible esperar a implementar este sistema de gestión de continuidad del negocio aplicando el modelo PHVA para que las organizaciones puedan efectuar planes de contingencia ante cualquier amenaza y ver los resultados. Más adelante se busca que esta investigación sirva para llevarse a cabo en las organizaciones, con la finalidad de validar los resultados de esta investigación.
7.
BIBLIOGRAFÍA
[1]. Salazar Solís Carlos tomada de: http://www.solis.com.ve/que-es-un-sistema-de-gestionde-continuidad-de-negocio/
[2]. Sistema de Gestión de Continuidad del Negocio (SGCN). Tomada de: http://www.femp.es/files/566-100-archivo/Manual%20RSE.pdf.
[3].
modelo
Planificar-Hacer-Verificar-Actuar
(PHVA).
Tomada
de:
http://digibug.ugr.es/bitstream/10481/15411/1/19563085.pdf
[4].
Sistema
de
gestión
de
Continuidad
del
negocio.
Tomada
de:
https://www.positiva.gov.co/positiva/Sistema-Integrado-deGestion/Paginas/Continuidad-de-Negocio.aspx.
[5]. Oak Ridge Regional Emergency Management (2009), Emergency Management tomada de: http://www.oakridge.doe.gov/external/Home/PublicActivities/EmergencyManagementF orum/tabid/ 307/Default.aspx, consultado el: 1 de octubre de 2009
[6]. Catalogo de organismo y agencias de cooperación internacional tomada de:http://www.sre.gob.mx/coordinacionpolitica/images/stories/documentos_gobierno s/catalogos/agenciasci
[7]. Martín Angela (2004), Las empresas siguen concentrando sus planes de continuidad del negocio en torno a su capacidad de Tecnologías de Información (IT), tomada de: http://www.channelplanet.com/index.php?idcategoria=12410, consultado el 1 Octubre 2009.
[8]. Morales Yesenia Repositorio digital instituto politécnico nacional tomada de: http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/5394/TESIS%20M ORALES%20BRACHO%20YESENIA%20LIZBETH.pdf?sequence=1
[9].
Respuestas
a
emergencia
y
continuidad.
Tomada
de:
http://www.sela.org/attach/258/default/Di18_Respuesta_a_emergencias_y_continuidad _Sector_asegurador_Luis_Bravo_Asesor.pdf
[10].
Uso
de
las
normas
ISO
y
el
ciclo
PHVA.
Tomada
de:
http://johnnavas.galeon.com/productos1002127.html
[11]. Norma ISO 9001:2000
[12]. NTC-ISO-IEC 17799. Tecnología de la información. Técnicas de seguridad. Código de practica la gestión de la seguridad de la información.
[13]. NTC-ISO-IEC 17799. Tecnología de la información. Técnicas de seguridad. Código de practica la gestión de la seguridad de la información.
[14]. NTC-ISO-IEC 27001. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información
[15]. BS 25999-1:2006 Gestión de continuidad de negocio códigos de practicas
[16]. BS 25999-2:2007. Especificaciones para la continuidad de negocio
[17]. Pass 77:2006 IT servicio de continuidad de negocio.
[18]. Pass 56:2003. Guía para la gestión de la continuidad del negocio
[19]. Inteco cert tomada de: Http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/.
[20]. Disaster Recovery Institute International tomada de: http://www.drii.org
[21].
BIA
business
impact
analysis
tomada
de:
http://www.sisteseg.com/files/Microsoft_Word__BIA_BUSINESS_IMPACT_ANAL YSIS.pdf
[22]. Seguridad de la información en Colombia. Análisis de impacto de negocios tomada de: http://seguridadinformacioncolombia.blogspot.com/2010/05/analisis-de-impacto-denegocios.html
[23]. Edgar tauta. Gestión de continuidad de negocio.2013
[24].
Maximum
Acceptable
Outage
(Definition)
tomada
de:
http://www.riskythinking.com/glossary/maximum_acceptable_outage.php
[25].
MTPD
Maximum
tolerable
period
of
disruption.
Tomada
de:
http://www.continuitycentral.com/feature0845.html
[26]. MBCO minimum business continuity Objective. Tomada de: http://www.goh-mohheng.com/
[27]. RPO recovery point Objective, RTO recovery time Objective http://www.praxiom.com/iso-22301-definitions.htm
[28]. Manual de administración del plan de continuidad de negocios
tomada de:
[29]. BS 25999. Especificaciones para la continuidad de negocio
[30]. ISO 22301 SGCN tomada de: http://pecb.org/iso22301es/
[31].Planeación
tomada
de:
http://www.virtual.unal.edu.co/cursos/sedes/manizales/4010014/Contenidos/Capitulo s%20PDF/CAPITULOS%201%20AL%204.pdf
[32]. Deloitte Guía para la elaboración de planes de continuidad de gestión TIC
[33]. Planes de continuidad de negocio Technology and security Risk service. Tomada de: http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCCMU_archivos/E&Y.pdf
[34]. NFPA 1600: 2007 Normas para desastres, gestión de emergencias y de continuidad de negocio.
[35]. Espiñeira, Sheldon y Asociados. Boletín de asesoría gerencial. Desarrollo de un plan de contingencia.
Tomada
de:
https://www.pwc.com/ve/es/asesoria-
gerencial/boletin/assets/boletin-advisory-edicion-09-2008.pdf
[36]. NTC-5722:2009
[37]. ISO-IEC 27006 information Technology rerirements for bodies providing audit and certification of information security management systems.
[38]. Morales Yesenia Repositorio digital instituto politécnico nacional tomada de: http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/5394/TESIS%20M ORALES%20BRACHO%20YESENIA%20LIZBETH.pdf?sequence=1
[39].
Banesco
Banco
Universal
tomada
de:
http://banesco-prod-
cdn.s3.amazonaws.com/wpcontent/uploads/2012/03/informe_segundo_semestre_2008 _espanol61.pdf
[40]. The Grill: Citigroup Green IT director Michelle Erickson tomada de: http://www.computerworld.com/s/article/331868/Michelle_Erickson
[41].Bouygues
Construction
Microsoft
éxito
tomada
de:
https://www.microsoft.com/spain/virtualizacion/casestudies/businesscontinuity/default.mspx
[42].
CNN
expansión
banco
de
México
tomada
http://www.cnnexpansion.com/economia/2008/07/30/banco-de-mexico-esperainflacion-de-6
de:
[43].
Grupo
financiero
Banorte
tomada
de:
http://www.banorte.com/pv_obj_cache/pv_obj_id_849C1EAE756F214588ECF68DA AE266E6A1B70200/filename/Reporte_Anual_GFNorte_2006_CNBV.pdf
[44]. Lafaya, Y. (2005), COMPAREX Casos de éxito, Disponible en: Http://www.comparex.es/download/CASO_DE_EXITO_WINDSOR_CPX.pdf, consultado el 26 de febrero
[45]. Wal-Mart store Inc. convirtiéndose en la empresa más grande del mundo tomada de: http://biblio3.url.edu.gt/Publi/Libros/ADMestrategicaypolitica/22-09.pdf
8.
GLOSARIO
BS 25999:2006 – (British Standard en inglés) primera norma británica para la gestión de continuidad de negocio. Desarrollada por un amplio grupo de expertos representativos de sectores de la industria y la administración. Proporciona la base para comprender, desarrollar e implantar la continuidad de negocio en una organización. Está previsto que se convierta en ISO 22301. Comprende dos partes• Parte 1: Código de buenas prácticas y recomendaciones para Gestión de Continuidad de Negocio (parte que sustituye al PAS 56).• Parte 2: publicada el 20 de Noviembre de 2007, como norma certificable establece los requisitos para implementar un Sistema de Gestión de Continuidad de Negocio.
ISO/IEC 27002:2005 – código de buenas prácticas para la Gestión de la Seguridad de la Información. Es la antigua ISO 17799 y comprende un apartado dedicado especialmente a la continuidad de negocio.
PAS 77:2006 – (Publicly Available Specification en inglés) guía de buenas prácticas de la continuidad de los servicios de tecnologías de la información (TI) emitida por British Standards Institute (BSI). En esta norma se establecen los principios y técnicas recomendadas para la Gestión de la continuidad de los servicios tecnológicos.
ISO/IEC 20000 – gestión de los servicios relacionados con las tecnologías de la información.
Amenaza: eventos que, aprovechando una vulnerabilidad, pueden desencadenar un incidente en la empresa, produciendo daños materiales o pérdidas inmateriales en sus activos. Dentro de eventos se consideran tanto acciones, como interrupciones o falta de acción.
Análisis de Impacto en el Negocio o Business Impact Analysis (BIA por sus siglas en inglés): proceso de análisis de las actividades de negocio y las consecuencias que una interrupción sobre las mismas puede provocar en la organización.
Análisis de Riesgos: proceso de identificación, análisis y evaluación de riesgos.
EAR/PILAR: herramienta de análisis de riesgos que implementa la metodología Magerit, desarrollada por el Centro Criptológico Nacional (CCN www.ccncert.cni.es) y de amplia utilización en la administración pública española.
Impacto: consecuencia evaluada de una interrupción.
Incidente: cualquier evento que no forma parte de la operación estándar de un servicio y que causa, o puede causar una interrupción o una reducción de la calidad de ese servicio.
ISO: Organización Internacional para la Estandarización (www.iso.or), es el encargado de promover el desarrollo de las normas internacionales industriales y comerciales conocidas como normas ISO.
Magerit: metodología de análisis y gestión de riesgos elaborada por el Consejo Superior
de
Administración
Electrónica
(disponible
en
http://www.
csi.map.es/csi/pg5m20.htm).
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, por sus siglas en inglés): es un conjunto de herramientas, técnicas y métodos (desarrollados por el CERT Coordination Center del Software Engineering Institute de la Universidad Carnegie Mellon de Pensilvania, Estados Unidos) empleados para el análisis de riesgos tecnológicos (disponible en http://www.cert.org/octave/.)
Plan de continuidad de Negocio (PCN) o Business Continuity Plan (BCP por sus siglas en inglés) es un conjunto de directrices, criterios, normas de actuación y herramientas organizativas que, ante la ocurrencia de una contingencia que provocase la interrupción de alguna o todas las áreas de negocio de una organización, permiten la recuperación de la operatividad de las mismas en el menor tiempo posible, de modo que las pérdidas económicas ocasionadas sean mínimas.
Plan de recuperación ante desastres (PRD) o Disaster Recovery Plan (DRP por sus siglas en inglés): constituye una parte del Plan de Continuidad de Negocio en aquellas compañías que dispongan de infraestructura tecnológica para soportar sus
operaciones y, de forma análoga al Plan de Continuidad de Negocio, consta de todas las prácticas necesarias que, en caso de desastre, permiten recuperar en el menor tiempo posible el entorno tecnológico (sistemas, aplicaciones e infraestructuras) que soporta las actividades de una organización.
P unto de Recuperación Objetivo – RPO (Recovery Point Objective por sus siglas en inglés): cantidad de información que la organización puede llegar a perder como consecuencia de un desastre. Marca desde un punto de vista tecnológico la estrategia de realización de copias de seguridad de la información.
Riesgo: probabilidad de que una amenaza aproveche y explote una debilidad asociada a un proceso/activo/recurso provocando daño sobre el mismo.
Tiempo de Recuperación Objetivo - RTO (Recovery Time Objective por sus siglas en inglés): variable temporal dentro de la cual una actividad de negocio debe ser recuperada después de un desastre. •
Tiempo Máximo Permitido de Recuperación – MTD (Maximum Tolerable Down time por sus siglas en inglés): periodo de tiempo (medido en segundos, minutos, horas o incluso meses en función de la actividad) asociado a la paralización de una actividad que, una vez superado, la viabilidad de la organización se verá amenazada irrevocablemente.
Vulnerabilidad: debilidad o falta de control asociada a un proceso o recurso que puede ser explotada provocando un daño sobre dicho proceso. Un ejemplo de vulnerabilidad es el hecho de que una organización no disponga de medidas físicas que impidan el acceso a sus instalaciones a personal no autorizado.