Guia Continuidad Negocios
The Business Continuity Institute Guía de buenas prácticas 2010 Edición Global Una guía de gestión para la Implementac
Views 78 Downloads 1 File size 2MB
Recommend stories
- Author / Uploaded
- alexander
Citation preview
The Business Continuity Institute
Guía de buenas prácticas 2010 Edición Global
Una guía de gestión para la Implementación de Buenas Prácticas en la Gestión de la Continuidad del Negocio Versión al español realizada por Con el apoyo de
© Copyright the Business Continuity Institute. Cualquier reproducción o distribución de la Guía de Buenas Prácticas está prohibida sin el permiso expreso y por escrito de the Business Continuity Institute. Todo el contenido, a menos que se indique lo contrario es de the Business Continuity Institute. Todas las referencias a la Guía de Buenas Prácticas deben acreditar the Business Continuity Institute.
Contenidos
Contenido Agradecimientos..................................................................................................................................................................................................................................... 1 Calificaciones Profesionales del BCI............................................................................................................................................................................. 1 Introducción a la Guía.....................................................................................................................................................................................................................2
Que es la Gestión de Continuidad del Negocio? Porque tenemos la Guía de Buenas Prácticas GBP?......................................................................................................................
GCN Tendencias y Observaciones................................................................................................................................................................................. 4 No es sólo para incidentes físicos de gran impacto y baja probabilidad Diversos orígenes de práctica Que habilidades requiere el profesional de GCN? GCN: Integrada o Centralizada? Un gestor dedicado a la GCN no es el único modelo
La GCN en Contexto........................................................................................................................................................................................................................5 La GCN no es . . . La GCN es . . . La GCN y la Resiliencia del Negocio La GCN y la Gestión de Riesgos La GCN y la Gestión de Crisis
La GCN, Estándares y Cumplimiento.......................................................................................................................................................................... 7 Qué ha cambiado desde la versión inicial?
Quién debe leer esta Guía?..................................................................................................................................................................................................... 8 Orígenes de la Gestión de Continuidad del Negocio........................................................................................................................... 9 Glosario de Términos..................................................................................................................................................................................................................... 11 Guía de Buenas Prácticas 2010....................................................................................................................................................................................... 16
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [I]
Contenidos
GCN – Gestión de las Prácticas Profesionales 01 Política y Gestión del Programa Ciclo de Vida GCN........................................................................................................................................................................................................................... 20 Visión de la Gestión de la Política y el Programa................................................................................................................................... 21 Alineación de la Política de la GCN a la Cultura Organizacional................................................................................................................. 22 Alcance del programa de la GCN y determinación de sus Alternativas................................................................................................. 23 Desarrollo de la Política de GCN............................................................................................................................................................................................ 26 Actividades Externalizadas.......................................................................................................................................................................................................... 27 Revisión del Programa de Gestión de la GCN.............................................................................................................................................................. 28 Asignación de Responsabilidades........................................................................................................................................................................................... 29 Implementación de la GCN en la Organización......................................................................................................................................................... 30 Gestión de Proyectos........................................................................................................................................................................................................................ 31 Gestión en Curso de la Continuidad del Negocio..................................................................................................................................................... 32 Documentación de la GCN......................................................................................................................................................................................................... 33
02 Integrar la Gestión de la Continuidad del Negocio en la Cultura Organizacional Integrar la GCN en la Cultura de la Organización................................................................................................................................. 37 Visión de la Integración de la GCN en la cultura de la Organización.......................................................................................................40 Desarrollo de la GCN dentro de la Cultura de la Organización..................................................................................................................... 42 Monitorización del Cambio Cultural...................................................................................................................................... 44 Logro del Cambio Cultural a través de Sistemas de Gestión de Normas.............................................................................................. 45
[II] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Contenidos
GCN – Técnicas de las Prácticas Profesionales 03 Entendimiento de la Organización Entendimiento de la Organización.............................................................................................................................................................................47 Análisis de Impacto en el Negocio........................................................................................................................................................................................48 Análisis de Requerimientos de Continuidad.................................................................................................................................................................. 52 Evaluación de Amenazas a través del Análisis de Riesgo.................................................................................................................................... 53
04 Determinar la Estrategia de Continuidad del Negocio Determinar la Estrategia de Continuidad del Negocio................................................................................................................... 57 Identificación y Selección de Estrategias......................................................................................................................................................................... 58 Identificación y Selección de Respuestas Tácticas....................................................................................................................................................61 Consolidación de Niveles de Recursos...............................................................................................................................................................................64
05 Desarrollar e Implementar una Respuesta de la GCN Desarrollar e Implementar una Respuesta de la GCN.....................................................................................................................67 Estructura de Respuesta ante un Incidente................................................................................................................................................................... 69 Desarrollo y Gestión de Planes................................................................................................................................................................................................. 71 Planes Estratégicos............................................................................................................................................................................................................................ 76 Planes Tácticos....................................................................................................................................................................................................................................... 78 Planes Operativos............................................................................................................................................................................................................................... 79
06 Ejercitar, Mantener y Revisar la GCN Ejercitar, Mantener y Revisar la GCN..................................................................................................................................................................... 83 Desarrollar un programa de Ejercicios...............................................................................................................................................................................84 Ejercitar las actividades de la GCN....................................................................................................................................................................................... 87 Mantenimiento de los Planes de la GCN......................................................................................................................................................................... 89 Revisión y Auditoría de los Planes de la GCN.............................................................................................................................................................. 90
Información de Apoyo ANEXO 1........................................................................................................................................................................................................................................................95 Consejos para la selección adecuada de Opciones Tácticas de Recuperación
ANEXO 2.................................................................................................................................................................................................................................................... 101 Consejos para la Selección de Medidas Alternas para la Mitigación de Riesgos
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [III]
Agradecimientos Estas guías reflejan la considerable experiencia académica, técnica y práctica de los integrantes del Business Continuity Institute - practicantes senior quienes han desarrollado y estructurado el concepto de la Continuidad del Negocio internacionalmente. Las Guías de Buenas Prácticas (GBP) 2010 están encaminadas para ser utilizadas por practicantes, consultores, auditores y reguladores que posean un conocimiento racional sobre la Gestión de la Continuidad del Negocio GCN y sus principios básicos. Las guías no pretenden servir como guía de principiantes; sin embargo, proveen material excelente para quienes desean convertirse en practicantes certificados en GCN por medio del modelo de examen CBCI. Quien ingresa a la disciplina debe también trabajar junto con un practicante experto o atender un programa adecuado de capacitación. El trabajo en la GBP 2010 se inició en febrero de 2009 con la conformación de un equipo de trabajo y el encuentro de líderes de grupos individuales. Los borradores iniciales se produjeron en Septiembre de 2009 con revisiones entre los colegas, amplia consulta y evaluaciones durante los meses de Octubre y Noviembre. Las versiones finales consolidadas fueron acordadas por el Editor en Jefe durante Diciembre de 2009 y enviadas para su revisión y aprobación por el Grupo de Análisis de Calidad del Concejo de Miembros del BCI en Enero de 2010. La planificación del diseño final del trabajo, su publicación y lanzamiento tuvo lugar durante los meses de Febrero y Marzo de 2010. El equipo del proyecto estuvo integrado por: Editor en Jefe: Lyndon Bird FBCI Revisores jefes: Ian Charters FBCI, Mel Gosling MBCI Líder del Equipo de Aseguramiento de Calidad: Lesley Grimes MBCI Secretaría del Comité: Jan Gilbert Soporte Editorial: Lee Glendon Soporte al Glosario: Mark Pemberty FBCI Líderes del Grupo de Práctica: Ian Charters FBCI, Steven Cvetkovic SBCI, Mel Gosling MBCI, Angela Hobley MBCI, Odile Nectoux AMBCI, Anton Wroblewski MBCI. Adicional a los anteriores, el siguiente equipo de miembros del BCI y su grupo de trabajo, aportaron su tiempo y rigor intelectual para dirigir revisiones exhaustivas, sugerir mejoras y realizar pruebas de lectura. Sin su apoyo habríamos tenido un documento mucho menos comprensible. Howard Booth MBCI, Stacey Farrow MBCI, Debbie Featherstone AMBCI, Achilles Figueiredo AMBCI, Ulysses Figueiredo MBCI, Ian Griffiths MBCI, Nic Handy MBCI, Gayle Hedgecock MBCI, Mike Hill FBCI, Doug Kettle MBCI, Penny Killow MBCI, David Lightfoot MBCI, Jorge Lozano MBCI, James McAlister MBCI, Charlie Maclean-Bristol MBCI, Dominic Marino AMBCI, Margaret Millet MBCI, Sarah Morgan MBCI, Norman Powell MBCI, MarieHélène Primeau MBCI, Clifford Seow MBCI, Brigitte Theuma MBCI, Pauline Wilson MBCI y John Worthington MBCI. El Business Continuity Institute agradece el tiempo y experiencia otorgados de manera voluntaria por todas las personas relacionadas anteriormente para el desarrollo de las Guías de Buenas Prácticas para el beneficio del BCI y de la industria de la continuidad del negocio. Todos quienes contribuyeron al desarrollo de las Guías han acordado que no tienen derechos de autor o derechos sobre IP para el material, el cual queda como propiedad del Business Continuity Institute. El diagrama del Ciclo de Vida de la GCN y algunos términos del glosario se utilizan agradeciendo al British Standards Institute.
Calificaciones Profesionales del Bci Aquellos individuos que deseen convertirse en profesionales miembros del BCI, requieren demostrar competencias en las seis prácticas profesionales. El examen CBCI probará el conocimiento en la materia de las GBP 2010, a lo largo de las seis áreas. Las preguntas se basan en el contenido de la guía. Los candidatos que tengan éxito serán acreditados con la aprobación o aprobación con merito. Para quienes desean avanzar a niveles profesionales de práctica (AMBCI, SBCI, MBCI O FBCI), también deberán demostrar experiencia probada a través de las prácticas profesionales. El detalle sobre las necesidades para acreditar experiencia está disponible en www.thebci.org. Lyndon Bird FBCI Editor en Jefe Director Técnico Internacional The Business Continuity Institute
Revisada por: Joanne Gagnon AMBCI, Sandra Garcés MBCI, Marcelo Barrera MBCI, Manuel Casas CBCP Carlos J. Diaz AMBCI. Realizada por Fundación Colombian Projects for Life, con el apoyo de: ALCONT “Asociación Latinoamérica de Continuidad” [1] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
iStockphotos.com/lorrainedarke
© The Business Continuity Institute 2010 Traducción al español realizada por: Carlos Vargas CBCP
Introducción a la Guía Esta introducción establece el contexto para la lectura de la Guía Global BCI de Buenas Prácticas 2010. La práctica profesional de la Gestión de la Continuidad del Negocio ha cambiado considerablemente desde la creación del BCI en 1994 y continuará desarrollándose en tanto que su aplicación y valor sean reconocidos por una audiencia más amplia. El momento de la publicación de esta Guía nos da una pausa para reflexionar: estamos experimentando la primera pandemia mundial de gripe del siglo XXI. También estamos experimentando una crisis económica global sin antecedentes en la memoria de la mayoría de las personas en este planeta y estamos llegando a acuerdos de que tenemos nuevas amenazas globales que incluyen la seguridad energética, la migración masiva, la delincuencia cibernética y el cambio climático. En este contexto de incertidumbre, resulta alentador que la disciplina de GCN haya demostrado ser capaz de evolucionar, pero aún sigue siendo relevante de cara a estos grandes cambios empresariales y sociales.
BCI Good Practice Guidelines 2010 | GLOBAL EDITION [2]
Introducción
Qué es la Gestión de la Continuidad del Negocio? La definición utilizada en anteriores ediciones de la GBP no ha cambiado y es consistente con la Norma Británica BS25999. La Gestión de la Continuidad del Negocio (GCN) es un proceso holístico que identifica las amenazas potenciales a una organización y los impactos a las operaciones del negocio que esas amenazas, podrían causar si se llegaran a materializar. Proporciona un marco de referencia para construir la resiliencia organizacional con la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes interesadas, la reputación, la marca y las actividades creadoras de valor.
Por qué tenemos la Guía de Buenas Prácticas GBP? El valor de la Guía de Buenas Prácticas GBP para los profesionales es que considera no sólo el “qué” sino también el “por qué” y el “cómo”, basado en experiencias mundiales reales de los profesionales de la GCN. La Guía de Buenas Prácticas GBP también tiene la flexibilidad suficiente para identificar tendencias futuras, retos y problemas que los profesionales todavía están debatiendo. La Guía de Buenas Prácticas GBP provee una línea de base y un lenguaje común para ayudar a la profesión de la GCN y al desarrollo individual de sus practicantes. Es la base para el examen de acceso al BCI, y aunque no es la única publicación sobre todos los aspectos relativos a la GCN, proporciona un punto de referencia para las organizaciones académicas y comerciales de la GCN para utilizarla.
La Gestión de Continuidad del Negocio (GCN) es un proceso holístico que identifica las amenazas potenciales a una organización y los impactos a las operaciones del negocio que esas amenazas, podrían causar si se llegaran a materializar. Proporciona un marco de referencia para construir la resiliencia organizacional con la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes
[3] GCN Guía de Buenas Prácticas 2010 | EDICIÓN GLOBAL
iStockphotos.com/lorrainedarke
interesadas, la reputación, la marca y las actividades creadoras de valor.
Introducción
Gcn Tendencias y Observaciones No es sólo para incidentes físicos de gran impacto y baja probabilidad La GCN ya no sólo trata sobre cómo gestionar incidentes de gran impacto y baja probabilidad. Se está convirtiendo en un facilitador esencial de la resiliencia organizacional como parte de la “operación normal”, gracias principalmente a su enfoque en la identificación y protección de las fuentes de valor dentro de la organización. La metodología también está comenzando a aplicarse para hacer frente a incidentes no físicos.
Diversos orígenes de práctica Con mayor conciencia y la adopción de las prácticas de la GCN alrededor del mundo, la diversidad de la experiencia de los practicantes se multiplica. Mientras los profesionales veteranos pueden compartir experiencias en la Tecnología de la Información TI, las fuerzas armadas, los servicios de emergencia, los nuevos practicantes vienen de empresas de consultoría, aseguramiento de la información, riesgo y seguros, cumplimiento y calidad. Además con la GCN convertida en un nuevo tema académico, estamos empezando a ver el nivel de crecimiento en la profesión y se espera que esta tendencia aumente en el futuro.
Qué habilidades requiere el profesional de GCN? El practicante de GCN necesita demostrar buena capacidad de análisis, sólidas habilidades en planificación y Gestión de proyectos, habilidades para comunicar e influenciar efectivamente y entender técnicas para la valoración de inversiones. Junto con un amplio entendimiento funcional de las organizaciones, es esencial para un profesional de la GCN entender el lenguaje, el modelo de operación y los procesos de la organización donde se aplicará la GCN.
GCN: Integrada o Centralizada? Durante las primeras fases de la implementación de la GCN en la organización, habrá de ser necesario para los profesionales especialistas en GCN, administrar proyectos, coordinar el desarrollo de planes, organizar ejercicios y pruebas y validar la capacidad de la GCN. En una organización mucho más madura en la que estas técnicas ya estén integradas en los niveles funcionales, el rol del gestor de la GCN será el de responsabilizarse de las políticas, gobierno y actividades de aseguramiento de la calidad, posiblemente reportando a la jefatura de Gestión de riesgos, auditoria, cumplimiento o a la Dirección General.
Un gestor dedicado a la GCN no es el único modelo Por naturaleza, la Gestión de la Continuidad del Negocio GCN es un proceso funcional y transversal en las organizaciones. Inicialmente, el gestor de la GCN tiene el rol de facilitador y administrador del programa de la GCN. Los planes para asegurar la continuidad del negocio son propiedad de las áreas de la organización que requieren proteger sus actividades claves generadoras de valor o los activos. El costo del desarrollo y mantenimiento de los niveles adecuados de preparación necesitan provenir de estas áreas. Quienes se encuentran involucrados en el proceso de GCN, diferirán de una organización a otra, reflejando su propio modelo organizacional y de negocio. Por ejemplo, las compras son cada vez más importantes en los programas de GCN debido a que las cadenas de suministro se han extendido y se ha incrementado el uso de los servicios de externalización y descentralización. En organizaciones más pequeñas, la GCN es vista como un anexo a una multitud de disciplinas que incluyen Salud y Seguridad, Seguridad y Tecnología. Sin embargo, se necesita reconocer que el enfoque de la GCN se enlaza a un incidente o tipo de evento específico y
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [4]
Introducción
no sugiere un enfoque total de la GCN en la organización. También es difícil para el profesional de la GCN que está inmerso dentro de una única función influir más allá con esta función. Sin embargo, para ser eficaz la GCN debe reconocerse por la Alta Dirección como una disciplina del negocio, adueñada por el negocio, coordinada y facilitada de manera centralizada. La GCN debe iniciarse desde la Dirección por la razón esencial de que la GCN es acerca de lo más importante y abarca las actividades sensibles al tiempo. Realizar, por ejemplo, un Análisis de Impacto sobre el Negocio (AIN) de abajo hacia arriba, puede entregar un cuadro general distorsionado y desbalanceado de qué y quién es crítico...
La GCN en Contexto La GCN no es . . . La GCN no se trata de “todo”. Este enfoque demuestra falta de claridad de pensamiento. La GCN es una herramienta que ayuda a mejorar el desempeño de las organizaciones. Debemos evitar que se convierta en un ejercicio corporativo más por “chequear”. Podemos ayudarnos al respecto asegurando la aplicación rigurosa de la GCN para proteger el valor de una organización, pero utilizar nuestras habilidades y técnicas para enfocarlo en aquello que es importante y urgente. Un ejemplo es la Cadena de Suministro: No es necesario exigir a todos los proveedores un programa de la continuidad del negocio como parte del proceso de suministros: es mejor ir con más detalle con aquellos que han sido definidos como críticos en el Análisis de Impacto sobre el Negocio en lugar de gastar la misma cantidad de tiempo (y tiempo de los proveedores) de manera indiscriminada.
La GCN es… La GCN y la Resiliencia del Negocio
La Gestión de la Continuidad del Negocio GCN, como una disciplina recién llegada al mundo de los negocios, claramente no existe desde el principio y, naturalmente, las organizaciones buscan entender en qué parte su aplicación generará valor y cómo se integra con otras actividades que están soportando los mismos objetivos organizacionales. También tenemos que reconocer que las organizaciones no están arrancando de una hoja en blanco: algunos aspectos de la GCN siempre han estado presentes en las organizaciones, con diferentes nombres. Las vulnerabilidades en el negocio y en el modelo de operación de una organización pueden considerarse en siete áreas: reputación, cadena de suministro, información y comunicaciones, sedes e instalaciones, personas, finanzas y clientes. El uso de este modelo sencillo demuestra a la alta dirección el valor y la naturaleza integradora – holística de la GCN de manera interfuncional y transversal en la organización. La aplicación exitosa del Programa de la Gestión de la Continuidad del Negocio GCN incrementa la resiliencia de la organización lo cual contribuye a mejorar su desempeño corporativo. La resiliencia está ampliamente definida como la capacidad de una organización para absorber, responder y recuperarse de interrupciones. La GCN proporciona de una forma única el marco de referencia para entender cómo se genera y mantiene la creación de valor dentro de la organización y establece una relación directa con las dependencias o vulnerabilidades inherentes a la entrega de ese valor. La resiliencia no se trata fundamentalmente sobre cómo detener o prevenir en primera instancia la ocurrencia de una interrupción. La dependencia en la gestión de riesgos o de seguridad para brindar protección integral, inevitablemente generará desconfianza, porque la mayoría de incidentes de la Continuidad del Negocio, por naturaleza, son en gran medida impredecibles.
[5] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Introducción
La GCN y la Gestión de Riesgos En la sala de juntas, la GCN es un elemento contributivo clave para un gobierno corporativo efectivo. Usualmente está posicionada bajo la Gestión de Riesgos y permite a las partes interesadas investigar sobre aspectos como: • El modelo corporativo y del negocio de la compañía • Los productos y servicios claves generadores de valor • Dependencias claves, activos y procesos críticos • Cómo la organización responderá a una pérdida o a las amenazas que las genera • Qué tipo de amenazas existen hoy y estarán presentes en el futuro • Evidencia de que los planes de continuidad, funcionarán en la práctica La Gestión de Riesgos Empresarial en la actualidad es otra disciplina firmemente integrada como disciplina estratégica en muchas organizaciones grandes. Mientras que la GCN ha evolucionado a partir del mundo de la Tecnología y de la “recuperación ante desastres”, la Gestión de Riesgos Empresariales (GRE), ha evolucionado a partir del mundo de los seguros. La metodología de la GCN se desarrolló en un tiempo en el que la GRE aún estaba en su período de infancia y entonces fue necesario incorporar el Análisis de Riesgos a la metodología de GCN. En el mundo actual más desarrollado de GRE, la Gestión de la Continuidad del Negocio GCN ha sido erróneamente vista por algunos como un tratamiento de los riesgos para todos los eventos de riesgo operativo, en su mayoría de carácter físico, y caracterizados normalmente como “de alto impacto, baja frecuencia” La GCN no está tampoco para identificar, analizar y reportar todos los riesgos concebibles a una organización, su mercado, clientes, y el amplio mundo en el que opera, ni tampoco para calcular las probabilidades de ocurrencia de eventos. Es importante notar que la GCN se enfoca en identificar vulnerabilidades en las organizaciones, especialmente aquellas ligadas al valor subyacente que soportan y entienden el impacto de su no disponibilidad en el tiempo en la organización. La Guía de Buenas Prácticas es ambivalente frente a la presencia o ausencia de un sistema de Gestión de Riesgos en una organización. Desde la perspectiva de la GCN, es importante hacer énfasis en que si un producto o servicio ha sido identificado como crítico en el tiempo, entonces la respuesta de la GCN es esencial y cualquier otro tratamiento sería ilusorio en su eficacia.
La GCN y la Gestión de Crisis La metodología de la GCN está fuertemente ligada con la Gestión de Crisis a través del componente Gestión del Incidente. En el contexto de la GCN, los incidentes vienen en diferentes formas y tamaños e invocarán el plan GCN. Sin embargo, muy pocos incidentes son designados como “crisis”. La Gestión de Crisis está vista como el dominio del profesional de las relaciones públicas y de las comunicaciones y con el profesional de la GCN en el rol de apoyo, si está involucrado de alguna manera. La Gestión de Crisis está vista también como la respuesta a eventos tanto físicos como no físicos y a diversos tipos de incidentes como financieros y de daños a la reputación de la marca. El vínculo entre la Gestión de Crisis y la de Incidentes, es que la GCN considera cualquier interrupción de manera holística y determina cómo la organización responderá a la interrupción, continúa sus actividades y se recupera. Los profesionales de la GCN consideran que la respuesta a los medios en un incidente o crisis es parte integral de un Programa completo de la Continuidad del Negocio. El Plan de Emergencias también es relativo a la Gestión de Incidentes. Aquí la diferencia radica en que el Plan de Emergencias, normalmente es visto como el dominio de los “Servicios de Autoridades locales” como policía, bomberos, ambulancias y autoridades locales, más que el plan para las organizaciones en general donde el equipo de incidentes podría coordinar con los equipos de respuesta a la emergencia.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [6]
Introducción
La GCN, Estándares y Cumplimiento Desde que fue lanzado el concepto original de la Guía de Buenas Prácticas, una buena cantidad de estándares nacionales e internacionales han intentado codificar la GCN en la estructura de la Arquitectura de los Sistemas Estándar de Gestión. La más extendida hasta el momento ha sido la norma BS25999 de la British Standards Institute, aunque han surgido otras (o están en su etapa final de desarrollo) en los Estados Unidos, Singapur, Australia y Canadá. Al momento de la redacción de estas guías, está en desarrollo un nuevo estándar internacional para la GCN, el ISO22301; también se está desarrollando el ISO22399 como código de práctica, de manera que es difícil saber exactamente cómo se podrán consolidar todos. La Guía de Buenas Prácticas no pretende competir con los estándares ISO u otros estándares nacionales. Desde la perspectiva del BCI, es evidente que cualquier estándar certificable requiere personal competente y experto para diseñar, implementar y asegurar el trabajo. Esta Guía de Buenas Prácticas GBP establece las competencias individuales específicas que son esenciales en la implementación de un código de prácticas GCN o un esquema de certificación para la organización. El BCI siente que la adopción de la GCN debe estar guiada por la necesidad de altos niveles de resiliencia en la organización y su consecuente funcionamiento antes que por reguladores y legisladores. Sin embargo, donde existe el cumplimiento de la regulación para la continuidad de las operaciones, la GCN es claramente una metodología probada capaz de demostrar tal cumplimiento.
Qué ha cambiado desde la versión inicial? Los principales componentes permanecen iguales, pero algunos han sido refinados en el lenguaje y se ha puesto más énfasis en tendencias y aspectos globales. No existe ninguna referencia cruzada con la BS25999 y no implica correlación directa entre la GBP2010 y la norma BS25999 más allá de lo expresado a alto nivel por el modelo del ciclo de vida. La Guía de Buenas Prácticas GBP2010 todavía abarca las seis fases del ciclo de vida de la GCN pero ahora los interrelaciona más directamente a lo que se ha definido como Prácticas Profesionales (PP). Las seis PPs están subdivididas en dos Prácticas de Gestión y cuatro Prácticas Técnicas. Prácticas de Gestión • Política y Gestión del Programa • Integración de la GCN en la Cultura Organizacional Prácticas Técnicas • Entendimiento de la organización • Determinación de la Estrategia GCN • Desarrollo e Implementación de la Respuesta GCN • Ejercicios, Mantenimiento y Revisión
[7] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Introducción
Quién debe leer esta Guía? Esta guía no es sólo para aquellos profesionales de GCN que están buscando una certificación profesional. Como un cuerpo de conocimiento, la guía es utilizada como guía para los cursos de formación del BCI y sesiones informativas de capacitación para los compañeros que necesitan entender mejor la GCN. Dentro de estos compañeros se pueden incluir desde los profesionales de relaciones públicas, de Gestión de Crisis, hasta los profesionales de las cadenas de suministros y personal de recursos humanos. La GCN no está restringida a algún sector de la industria; de hecho, aplica para todas las organizaciones codificadas en los códigos de la Clasificación Estándar Industrial para las organizaciones representadas que se revela en todas las categorías de las organizaciones integrantes del BCI. Así mismo, la utilización del término “negocio” no significa que la GCN sólo se refiera a las organizaciones con enfoque comercial: el sector del gobierno puede beneficiarse con la adopción de las prácticas GCN, lo mismo que las organizaciones voluntarias y sin ánimo de lucro.
iStockphotos.com/lorrainedarke
Mientras la GCN puede demostrar su adopción saludable en organizaciones de tamaños mediano y grande, hay un gap reconocido para su adopción en organizaciones pequeñas. No existe nada “corporativo” inherente a la GCN; sin embargo, el BCI reconoce que muy pocos propietarios de negocios pequeños tienen tiempo y recursos suficientes para seguir la GBP completamente, de tal manera que se han producido materiales alternativos simplificados basados en la GBP para ayudarlos.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN GLOBAL [8]
Introducción
Orígenes de la Gestión de la Continuidad del Negocio Los orígenes exactos de la Gestión de la Continuidad del Negocio GCN están abiertos a varios debates, pero ciertamente algunos aspectos de su historia están completamente establecidos. Los sitios comerciales para la Recuperación ante Desastres iniciaron en los Estados Unidos al final de la década de los años 70 lo que inevitablemente creó la demanda de consultoría por parte de terceros. Inicialmente, el objetivo de la consultoría fue el Procesamiento de Datos o Management Information System – MIS (luego conocida como IT/ITC) que por su naturaleza, fue técnica. El tema comenzó a conocerse como Disaster Recovery Planning (DRP). Uno de los problemas que inicialmente enfrentaron los pioneros en este nuevo campo fue la dificultad para convencer a la Alta Dirección sobre la justificación para hacer inversiones significativas en algo que probablemente nunca sucedería. Esto condujo al concepto de Análisis de Impacto en el Negocio AIN (Business Impact Analysis BIA) para añadir más enfoque del Negocio a los procesos. Las metodología iniciales para el AIN tuvieron lugar en los Estados Unidos a mediados de los años 80 y fueron rápidamente recogidas y traídas a Europa (especialmente al Reino Unido) y Australia. Por tanto, es cierto que los modelos originales del AIN llevaron a sus primeras aplicaciones en el amplio mundo de Continuidad del Negocio. Los primeros consultores que desarrollaron exitosamente las metodologías comerciales para DRP provienen de los Estados Unidos, pero estos métodos fueron establecidos y mejorados rápidamente en Europa. En este punto, es entonces donde radican las diferentes opiniones sobre cómo evolucionó gradualmente la GCN desde el DRP. La visión del BCI se basa en el conocimiento de muchos profesionales a través de su experiencia y memoria. No es necesario contar la historia completa pero lo que sí es seguro es que los profesionales activos y nuevos deben beneficiarse de su conocimiento. El primer uso conocido del término “Continuidad de Negocio” se hizo través de Ron Ginn (quien más adelante se convirtió en el primer presidente del BCI) en 1986, luego de sus investigaciones en los Estados Unidos y de haber entrevistado a varios profesionales destacados. Ron escribió un libro titulado “Continuity Planning” (Plan de Continuidad) que postula una aplicación de las herramientas del DRP en un amplio rango de riesgos del negocio de riesgo y de interrupciones operativas potenciales. Una organización del Reino Unido llamada “Survive” comenzó en 1986 a atender las necesidades en un foro en el cual las personas encargadas de la Recuperación ante Desastres podían compartir su experiencia y conocimiento. Esta organización más tarde se convirtió en proveedora de formación, eventos y publicaciones, pero su visión inicial de grupo integrador de redes, fue exitosa. Se establecieron grupos similares en varios países especialmente de habla inglesa. Cuando “Survive” en 1991 decidió dejar las referencias del DRP y renombrarse “The Business Continuity User Group”, ésto tuvo un impacto significativo en el cambio de la percepción que externamente se tenía sobre el tema. Al mismo tiempo, dos de las más grandes compañías norteamericanas de Recuperación de Desastres también cambiaron su estrategia con la visión de “Continuidad” como un mensaje más cálido y optimista que “Recuperación”. Desafortunadamente, se sugirió de manera errónea que la GCN era otra forma de nombrar DR y posiblemente ello obstaculizó su crecimiento como una nueva disciplina especialmente en Norteamérica. Otro desarrollo clave fue el lanzamiento del “British Standard for Information Security” el cual, rápidamente se convirtió en el estándar ISO17799. Este estándar incluyo en sus capítulos principales la necesidad de la Gestión de la Continuidad del Negocio lo cual se definía en
[9] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Introducción
términos de Disponibilidad de Información. Esto generó más confusión en el debate y su resultado fue que los profesionales reclamaron que la GCN fuera simplemente un subtema de la Seguridad de la Información. Este punto de vista se sostuvo bastante en aquellos países en los que la GCN no se había comenzado a estabilizar en esta etapa, más obviamente en el centro y el norte de Europa. En 1993 “Survive” configuró un grupo de trabajo para estudiar y certificar profesionales en la continuidad del negocio. Se percibió la necesidad de distinguir entre profesionales especializados y consultores generales, usualmente con formación en IT. En los Estados Unidos por las mismas fechas tuvieron lugar debates similares que condujeron a la formación del Disaster Recovery Institute. El BCI fue fundado en 1994 como resultado directo de las recomendaciones de un grupo de trabajo de “Survive”. Durante el desarrollo y lanzamiento del BCI, fue necesario definir el conjunto de habilidades para medir y juzgar la capacidad de aquellos quienes solicitaron reconocimiento o calificación. Originalmente se propuso que debían ser 13 o 14 habilidades, pero con el tiempo se redujeron a 10 estándares de competencia. Estos estándares de competencias profesionales fueron desarrollados y acordados mediante esfuerzos cooperados con el Disaster Recovery Institute (hoy DRII) de Estados Unidos. Hacia finales del siglo XX, surgió la idea de un enfoque holístico de extremo a extremo. Se hizo obvio que existía la necesidad de proveer protección y resiliencia que abarcara a toda la organización. A pesar del “bombo” desplegado por la molestia ocasionada por el cambio de milenio, el trabajo internacional serio realizado por las mayores corporaciones, demostró un alto nivel de dependencia en pocos proveedores y puntos únicos de falla. Se pensó entonces en encapsular la primera propuesta hecha años atrás en el concepto de la Continuidad del Negocio, pero se había tomado más de una década ganar una mayor escala de entendimiento. Esto generó iniciativas tales como BS25999 y otros estándares nacionales de GCN viables que podrían estar basados en una solida estructura conceptual. El Siglo XXI vio con determinación codificar la Gestión de la Continuidad del Negocio y clasificarla como parte de la familia de los estándares de Gestión de Sistemas siguiendo el camino forjado por Calidad, Seguridad de la Información y Servicios Ambientales. Esto inicio con un buen número de guías estándar como la PAS56 del Reino Unido, la NFPA 1600 de los Estados Unidos y varios manuales de Australia y Asia. Los cuerpos regulatorios como el FSA (Reino Unido), APRA (Australia) y la Reserva Federal (Estados Unidos) fueron también activos en este campo, particularmente después de la destrucción de las torres gemelas en Nueva York. En el momento de la publicación de este documento, existen estándares nacionales formales en un buen número de países y se espera un estándar ISO. Sin embargo, la entrega del estándar ISO se ha atrasado debido al deseo de algunos países de extender el tema e incluir la Seguridad y la Gestión de Emergencias y de cambiar el nombre de la disciplina a Resiliencia Operativa. En general, el BCI no está a favor de la dilución de la esencia de la disciplina de la GCN, pero apoya la bien intencionada aspiración que estas disciplinas deben estar mejor alineadas
El Siglo XXI vió con determinación codificar la Gestión de Continuidad del Negocio y clasificarla como parte de la familia de los estándares de Gestión de Sistemas siguiendo el camino forjado por Calidad, Seguridad de la Información y Servicios Ambientales.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [10]
Introducción
Glosario de Términos Es reconocida la existencia de muchos términos y definiciones alrededor del mundo que se relacionan con la GCN o los temas sinérgicos como Gestión de Riesgos y Planificación de Emergencia. Sería imposible incluirlos a todos en un glosario pero el BCI intenta mantener actualizado tanto como sea posible el directorio de tales términos y sus fuentes, que se pueden encontrar en www.thebci.org Los términos de este glosario se aplican únicamente al contexto en el que son utilizados en la GBP2010. Para el propósito de la GBP2010, aplican las siguientes definiciones: Abreviado
GCN
AIN
[11] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Término
Definición
Aceptación del Riesgo
Decisión Administrativa para no tomar ninguna acción de mitigación del impacto de un riesgo en particular.
Actividad
Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos o servicios
Actividad Urgente
Término utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros términos como Inmediato o Tiempo Crítico pueden también utilizarse, pero sólo “Crítico” implica actividades menos urgentes que también son menos importantes.
Activo
Cualquier elemento que tiene valor para la organización.
Gestión de la Continuidad del Negocio
Proceso holístico de gestión que identifica amenazas potenciales a la organización y los impactos a las operaciones del negocio que tales amenazas puedan causar en caso de materializarse y proporciona la estructura para construir resiliencia organizacional con capacidad para dar respuesta efectiva protegiendo los intereses de las partes interesadas, el valor de la marca, la reputación y las actividades creadoras de valor.
Alta Dirección
Persona o grupo de personas que dirigen y controlan una organización a alto nivel. En grandes organizaciones, se le conoce como La Junta Directiva, Directores, Ejecutivos o Altos directivos. En organizaciones pequeñas, la Alta Dirección puede ser los propietarios o un solo propietario.
Amenaza
Causa potencial de un incidente no deseado que puede resultar en daños a individuos, activos, a un sistema u organización, el ambiente o la comunidad. Algunas amenazas como el mal tiempo se les conoce como “Peligros”.
Análisis de Impacto en el negocio
Proceso de analizar las funciones del negocio y el efecto que una interrupción del negocio pudiera causar sobre ellas.
Introducción
Abreviado
Término
Definición
ARC
Análisis de Requerimientos de Continuidad
Proceso de recopilar información en la fuente para reanudar y continuar las actividades del negocio a un nivel requerido para apoyar las obligaciones y objetivos de la organización.
AR
Análisis de Riesgos
Proceso formal pero bastante subjetivo de identificación, análisis y evaluación de riesgos.
Auditor
Persona con la competencia suficiente para conducir una auditoría. Para una auditoría de la GCN, normalmente se requiere una persona con las calificaciones formales de la auditoría de la GCN.
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencia auditable y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de auditoría. Los primeros equipos de auditoría son gestionados por la misma organización para revisar la Gestión y otros propósitos internos y pueden formar la base para la declaratoria de conformidad de la organización. Los segundos equipos de auditoría son gestionados por entidades que tienen interés en la organización como los clientes u otras personas o entidades en su nombre. Los terceros equipos de auditoría son gestionados por organizaciones auditoras externas como las que proporcionan certificaciones o conformidades a una norma
Auditoría Interna
Ver “Auditoría” y en particular “los primeros Equipos de Auditoría”.
Cadena de Suministro
Proceso articulado que inicia con la adquisición de materias primas y se extiende a través de la entrega del producto o servicio hasta el usuario final a lo largo de diferentes modos de transporte. La cadena de suministro puede incluir proveedores, vendedores, plantas de fábricas, proveedores logísticos, centros internos de distribución, distribuidores, mayoristas y otras entidades que llevan al usuario final.
Capacitación
Actividades implementadas antes de un incidente que pueden utilizarse para apoyar y mejorar la mitigación de, la respuesta a, y la recuperación de una interrupción. Se le conoce también como “Preparación”.
Ciclo de vida de la Gestión de la Continuidad del Negocio
Conjunto de actividades de la Continuidad del Negocio que colectivamente cubren todos los aspectos y fases del programa de GCN. El BCI utiliza el mismo modelo de ciclo de vida que utiliza la norma BS25999.
Consecuencia
Ver “Impacto”.
Continuidad del Negocio
Capacidad táctica y estratégica de una organización para planificar y responder a incidentes o interrupciones del Negocio a fin de continuar las operaciones del Negocio a un nivel aceptable predefinido.
CN
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [12]
Introducción
Abreviado
ECN
GR
MPTD
[13] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Término
Definición
Cumplimiento
Es el cumplimiento de un requerimiento en el contexto de la Gestión de Sistemas.
Dirección para la Continuidad del Negocio
Conocido también como el Comité Directivo, es un grupo de gestión para dar aviso, guía y dirección al programa de GCN.
Documento
Información y su medio de soporte bien sea físico, magnético, electrónico u óptico, disco de computador o imagen.
Ejercicio
Proceso para ensayar los roles de los integrantes de los equipos y del grupo de trabajo y probar la recuperación o continuidad de los sistemas de una organización (por ejemplo tecnología, telefonía, Gestión) para demostrar competencia y capacidad para la continuidad del negocio.
Equipos de Continuidad del Negocio
Son los equipos estratégicos, tácticos y operativos que responderán a un incidente y contribuirán de manera significativa a redactar y probar el Plan de la Continuidad del Negocio.
Facilidad
Planta, maquinaria, equipo, propiedad, edificaciones, vehículos, sistemas de información, medios de transporte y otros ítems o infraestructura o planta y sus sistemas relacionados, que tienen una función o servicio distinto y cuantificable.
Gestión de Riesgos
Generalmente incluye el Análisis, tratamiento y la evaluación de riesgos
Impacto
Evento que tiene la capacidad de provocar la pérdida de o la interrupción de las operaciones, servicios o funciones de la organización, el cual, si no se administra, puede escalar y convertirse en una emergencia, crisis o desastre.
Integridad
Garantizar y salvaguardar la exactitud e integridad de los activos, en particular los registros de datos.
Interrupción
Evento que interrumpe las operaciones o procesos normales del negocio bien sea de manera anticipada (huracanes, inestabilidad política) o imprevista (bloqueos, ataques terroristas, fallas tecnológicas, o terremotos).
Invocación
Declaración de que una organización necesita activar su Plan de GCN para continuar entregando sus productos y servicios claves.
Máxima Pérdida Tolerable de Datos
Pérdida máxima de información (electrónica y otros datos) que puede tolerar una organización. La edad de la información podría hacer imposible la operación de recuperación o el valor de los datos sería sustancialmente alto como para poner en riesgo la viabilidad del negocio.
Introducción
Abreviado
Término
Definición
MPTI
Máximo Período Tolerable de Interrupción
Es la duración después de la cual la viabilidad de la organización estará afectada de manera irreparable si la entrega del producto o servicio no puede ser reanudada.
Mejoramiento Continuo
Proceso de mejoramiento del sistema de la Gestión de la Continuidad del Negocio para lograr mejoramientos consistentes con la política de la Gestión de la Continuidad del Negocio de la organización.
Mitigación
Limitación gestionada de una consecuencia negativa o de un incidente particular.
No Cumplimiento
Incumplimiento al requerimiento de una obligación o expectativa acordada.
Objetivo
Meta general consistente con la política que una organización establece para sí misma.
Organización
Grupo de personas y facilidades con arreglos y responsabilidades, autoridad y relaciones (por ejemplo compañía, corporación, firma, empresa, institución, institución de caridad o asociación). Una organización puede ser pública, privada o sin ánimo de lucro.
Partes Interesadas
Individuo o grupo de individuos con intereses en el desempeño o éxito de una organización Por ejemplo clientes, socios de negocio, empleados, accionistas, propietarios, la comunidad local, personal de primera respuesta, gobierno y entes reguladores.
Peligro
Ver “Amenaza”.
Pérdida
Consecuencia negativa.
PCN
Plan de la Continuidad del Negocio
Conjunto de documentos de procedimiento e información desarrollada, compilada y mantenida a disposición para utilizarlo durante un incidente para capacitar a la organización para continuar con la entrega de sus productos y servicios críticos a un nivel aceptable predefinido.
PHVA
Planificar, Hacer, Verificar, Actuar
El modelo ISO utilizado como estructura en todos los sistemas estándar de Gestión incluyendo el SGCN.
Política
Intenciones y directrices de una organización expresadas por la Alta Dirección. La política de la GCN debe ser consistente con la totalidad de las políticas de la organización y proveer la base para los objetivos de la Continuidad del Negocio.
Preparación
“Capacitación”.
Prevención
Medidas contra amenazas específicas que habilitan a la organización evitar una interrupción.
Procedimiento
Forma específica de ejecutar una actividad. Todos los procedimientos deben estar documentados.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [14]
Introducción
Abreviado
Término
Definición
Proceso
Conjunto de actividades interrelacionadas que transforman entradas en salidas.
Producto o Servicio
Salida de un proceso. Si al producto se le denomina servicio, depende de la existencia de un elemento físico a la salida. El servicio es el resultado de al menos una actividad necesariamente realizada en la interface entre el proveedor y el cliente y , generalmente, intangible.
Punto Objetivo de Recuperación
Objetivo para el estado y disponibilidad de datos (electrónicos e impresos) en el inicio del proceso de recuperación.
Recursos
Activos, personas, habilidades, información, tecnología (incluye planta y equipo), locales, suministros e información (electrónica o no) que una organización posee para tener la disponibilidad de utilizar cuando sea necesario, para operar y alcanzar sus objetivos.
Registro
Documento que indica los resultados obtenidos o la evidencia de las actividades desarrolladas.
Resiliencia
Habilidad de una organización para resistir al ser afectada por un incidente.
Riesgo
Combinación de probabilidad de un evento y su consecuencia. La GCN se concentra en “Amenazas” e “Impactos” antes que en “Riesgos”.
Sistema de Gestión
Sistema para establecer la política y los objetivos y para alcanzar esos objetivos (por ejemplo ISO 9001:2008).
SGCN
Sistema de la Gestión de la Continuidad del Negocio
Parte o la totalidad del sistema que implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
TOR
Tiempo Objetivo de Recuperación
Objetivo de tiempo dentro del cual se reanuda la entrega de un producto o servicio luego de una interrupción.
Tratamiento de Riesgos
Selección e implementación de medidas para modificar los riesgos.
POR
[15] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Guía de buenas prácticas 2010
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [16]
04 – Determining Business Continuity Strategy
iStockphotos.com/lorrainedarke
Política y Gestión del Programa
01
Entendimiento de la Organización
nl
aC u
nizac rga
Ejercicios, Mantenimiento and Revisión
Política y Gestión del programa GCN
Determinar la Estrategia GCN
ional
Integrar
o C la e d
idad del Negoci u n i oe nt
O ra ltu
la G est ión
Prácticas Profesionales de la GCN
Desarrollo e Implementación de la Respuesta GCN
Ciclo de Vida GCN
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [20]
GCN | Gestión de las Prácticas Profesionales
Política y Gestión del Programa Visión de la Gestión de la Política y el Programa
Introducción La política de la GCN es el documento clave que establece el gobierno y el alcance del programa GCN y refleja las razones del porqué está siendo implementado la GCN. La política proporciona el contexto en el cual serán implementadas las capacidades requeridas e identifica los principios a los que la organización aspira y contra los cuales su realización se pueden auditar.
[21] GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL
Una vez haya sido acordada la política, se debe iniciar un proyecto o una serie de proyectos para capacitar a la organización y comprometerla en las actividades requeridas para implementarla. Como parte del proceso de planificación, en muchas organizaciones se han emprendido altos niveles de análisis de las amenazas para alcanzar los objetivos estratégicos y operativos de la organización. El resultado de este ejercicio puede proveer un aporte útil cuando se establece el contexto total para el programa de GCN. En algunos ambientes regulados, es mandatorio realizar un Análisis de Riesgos de manera formal. iStockphotos.com/lorrainedarke
Cuando una organización se embarca en un programa de GCN, es poco probable tener establecida una política de la GCN o entender las necesidades que debe tomar para producir una. Los pasos claves son: • Desarrollar la política de la GCN • Alinear la política con la estrategia, objetivos y cultura organizacionales. • Decidir sobre el alcance del programa de GCN.
Política y Gestión del Programa – 01
Alineación de la Política de la GCN a la Cultura Organizacional
• Opera en ambientes regulados y si es así, cuáles son las regulaciones?
Introducción
• Cuál es la escala probable de tiempo en la que puede encontrar proveedores alternos?
Un programa de GCN necesita reflejar la estrategia, objetivos y cultura de la organización para asegurar que el programa es relevante, efectivo y apropiado. La organización tendrá una cultura que puede no estar bien documentada o articulada por la alta Dirección. Sin embargo, la estrategia y los objetivos de la organización habrán sido determinados y acordados como parte de los procesos de planificación y de presupuesto del negocio. Es posible que alguna información del mercado o de la industria sea sensible y no pueda ser accesible para el profesional de GCN. No contar con esta información, no puede detener el programa de GCN que se está llevando a cabo.
Proceso El proceso básico utilizado es simplemente hacer preguntas sobre la organización para identificar su estrategia, objetivos y cultura. Estas preguntas incluyen: • Cuál es su misión o la razón de su existencia? • Cuáles son los objetivos de la organización? • Cómo se alcanzan los objetivos? • Cuáles son los productos y servicios de la organización que permiten alcanzar estos objetivos? • Cuál es su dirección o enfoque? • Cuáles son los planes de crecimiento, reducción de personal, restructuración, adquisición o disposición en el corto mediano y largo plazo? • Se están desarrollando nuevos productos o servicios y si es así, cual es su escala de tiempos? • Cuál es la escala geográfica de sus operaciones? • Cuál es el nivel de interrupción geográfico? • Cuál es el nivel de pérdida de recursos que quiere o necesita planificar para sobrevivir? • Cuáles son las condiciones actual y esperadas del mercado en el que opera? • Tiene competidores y cómo compite con ellos? • Cuál es la reacción probable de los clientes y competidores si se interrumpen sus operaciones? • Los competidores tomarán ventaja de una organización en dificultades o los apoyarán (cuál de ellos podría proteger la reputación del sector)?
• Cuenta con muchos proveedores, algunos o uno solo?
• Cuenta con muchos clientes, algunos o uno solo? • Los clientes están dispuestos a pagar una prima por mejorar el aseguramiento de la entrega?
Métodos y Técnicas Dos técnicas que se pueden utilizar para identificar la estrategia, objetivos y cultura de la organización, son: 1 Entrevista al equipo de la Alta Dirección 2 Revisión de los documentos generados en la organización Los documentos claves para revisar pueden ser: • Planes de negocio • Planes estratégicos • Reportes anuales • Reportes de Mercadeo • Información administrativa actualizada que detalla los procesos, volúmenes, objetivos y donde sea posible, cuantificar el valor de cada actividad
Revisión El impacto de la estrategia organizacional sobre el programa de GCN debe revisarse como mínimo anualmente como parte de, o al menos coincidir con, los procesos de planificación estratégica y operativa del negocio. Las revisiones más frecuentes pueden estar dirigidas a cualquiera de lo siguiente: • Restructuraciones o cambios claves del negocio • Expansión /contracción • Introducción de nuevos productos • Relocalización o consolidación de locaciones • Un incidente y su recuperación asociada Se puede ubicar un procedimiento de alerta para identificar todos los cambios organizacionales que sean significativos para asegurar que han sido tomados en cuenta en el programa de GCN. Esto le permite a la GCN la debida diligencia antes de realizar el cambio propuesto. Una decisión estratégica del negocio no será necesariamente abandonada a causa de la falta de preparación, pero esta limitación podría impactar el valor económico del cambio pospuesto.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [22]
GCN | Gestión de las Prácticas Profesionales
Alcance del programa de la GCN y determinación de sus Alternativas
Conceptos y Supuestos
Introducción El propósito de establecer el alcance es asegurar claramente qué áreas de la organización están incluidas en el programa de GCN, definido por la identificación de cuales productos y servicios están allí. La entrega de productos y servicios es el enfoque de los criterios claves de éxito de la mayoría de organizaciones. Se requiere un entendimiento de la estrategia, objetivos y cultura organizacional antes determinar el alcance del programa de GCN y las alternativas a utilizar. La GCN es un proceso iterativo que inicialmente le permite a una organización implementarlo únicamente en algunas partes de ésta, aunque por anticipado se sabe que se extenderá a la totalidad de sus operaciones con el paso del tiempo. Este enfoque permite eliminar problemas de complejidad, costos y escala en la implementación de la GCN en organizaciones de gran tamaño. Esta sección explica las alternativas disponibles para la organización para proteger la entrega de sus productos y servicios e identificar cómo y porqué se pueden seleccionar varios productos y servicios de la organización para la implementación inicial de la GCN. Estas alternativas definirán el alcance del programa de GCN.
En la práctica normal, la decisión sobre el alcance del programa de GCN es tomada antes que cualquier otro elemento del ciclo de vida de la GCN. Sin embargo, si la organización decide comprometerse en la implementación inicial de la GCN basado en la necesidad de recuperación percibida para un producto o servicio específico, puede decidir realizar un Análisis de Impacto en el negocio para confirmar los productos y servicios a incluir en el alcance inicial (basado en el impacto de la no entrega). El alcance normalmente está limitado por productos y servicios. Sin embargo, la locación también puede ser utilizada para limitar el alcance, permitiendo que la GCN incluya o excluya uno o más sitios. No es aceptable o lógico excluir un sitio que juega un papel importante en la entrega de los productos y servicios contemplados en el alcance. La limitación del alcance debe ser vista como un enfoque táctico que permite la implementación de la GCN por etapas a través de la organización. Si un producto o servicio está identificado dentro del alcance todas las actividades que soportan su entrega, deben incluirse dentro del programa de GCN. La documentación de “Alternativas” para cada producto y servicio está destinada a definir como la organización intenta proteger (o no) su habilidad para mantener su entrega, de manera que tal decisión está disponible para escrutinio público (por ejemplo clientes o reguladores). Esto se ilustra en el siguiente diagrama, donde se ha tomado una decisión para incluir el producto A en el alcance del programa de GCN y excluir el producto B. Esto significa que las actividades que soportan la entrega del producto A (Actividad 1, Actividad 2, Actividad 3) están en el alcance mientras que las actividades que no soportan la entrega del producto B (Actividad 4, Actividad 5), están por fuera del alcance.
Dentro del Alcance
Fuera del Alcance
Producto A
Producto B
Actividad 1
Actividad 3
Actividad 2
[23] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Actividad 5
Actividad 4
Política y Gestión del Programa – 01
Proceso El proceso requiere el establecimiento de un grupo de GCN que le hará las recomendaciones a la Alta Dirección. Este grupo revisará los productos y servicios de la organización contra su estrategia, objetivos, cultura, política ética, requerimientos legales y regulatorios, para considerar la opción para cada producto y/o servicio. Si se ha realizado un AIN para determinar los efectos de una pérdida de productos y servicios, el grupo incluirá los resultados del AIN en su revisión. El grupo proporcionará un reporte de evaluación que permitirá a la Alta Dirección establecer las prioridades para todos sus productos y servicios. Las razones para no incluir un producto o servicio en el programa de GCN y la respuesta alternativa por la pérdida de ese producto o servicio, necesita documentarse y acordarse con la Alta Dirección. Los productos y servicios deben estar identificados con un nivel apropiado de detalle. Ejemplos de productos y servicios incluyen: • Un producto o rango de productos manufacturados • Recopilación de basuras (para una ciudad o municipio) • Soporte Telefónico (para una empresa de software) Las decisiones sobre cuales productos, servicios o locaciones deben incluirse dentro del alcance. Pueden tomarse por uno o varios de los siguientes factores: • Requerimiento de un cliente • Requerimiento regulatorio o estatutario • Percepción de alto riesgo debido a la proximidad a otros locales industriales o amenazas físicas como inundaciones • Productos que proporcionan altos ingresos a la organización Las razones por las que un producto, servicio o locación pueden excluirse del alcance, incluyen • Productos o servicios cercanos al final de su ciclo de vida (se acabarían si se interrumpe el suministro)
• Productos o servicios con bajos márgenes (podrían terminarse o tercerizarse) Cuando se evalúa la exclusión del alcance, adicionalmente se deben considerar los siguientes factores a los impactos financieros de pérdidas: • La visión de las partes interesadas claves • Cualquier daño en la reputación que puede resultar de la interrupción o terminación de un producto • La relevancia de cualquier análisis de riesgos • El impacto regulatorio para las actividades reguladas Si la Continuidad del Negocio es la opción elegida para un producto o servicio particular, es necesario entonces, tomar las medidas adecuadas para asegurar que las diferentes actividades que apoyan su entrega, puedan continuarse o recuperare dentro de las escalas de tiempo requeridas. Para aquellos productos y servicios que se consideran por fuera del alcance, el riesgo para el negocio por pérdida o no disponibilidad no se mitiga por completo con la GCN y tiene que manejarse por medios alternos. Las alternativas disponibles para la Alta Dirección, son: • Aceptación: aceptar que está en riesgo de interrupción • Transferir: Transferir el riesgo de interrupción a un tercero • Cambiar, suspender o acabar el producto o servicio La implementación detallada de estas medidas, generalmente cae dentro de lo que se remite para la Gestión de Riesgos y no sigue el ciclo de vida completo de la GCN. Sin embargo, las medidas provistas son acordadas como una estrategia apropiada del negocio. Estas medidas pueden verse como soluciones de Continuidad del Negocio y pueden incluirse dentro del programa GCN. Lo que constituye una estrategia aceptable de Continuidad del Negocio puede depender de la organización y de cualquier cambio en sus procesos que sería necesario acomodar (bien sea que se determine en su avance o se reconozca después del evento). Más notas sobre este tópico se encuentran en el Anexo 2.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [24]
GCN | Gestión de las Prácticas Profesionales
Métodos y Técnicas
Resultados y Revisión
Las herramientas que pueden utilizarse para desarrollar las alternativas de estrategia de la organización para productos y servicios, incluyen: • Análisis costo/beneficio (incluyendo análisis de las partes interesadas, regulación y legislación. • Análisis DOFA (Debilidades/Oportunidades/Fortalezas/ Amenazas). • Planificación y gestión financiera. • Herramientas para la planificación de la estrategia. • Referenciación frente a estándares nacionales e internacionales. • Análisis PAST (Política/Ambiente/Social/Técnico). • Técnicas de análisis del mercado para determinar la viabilidad probable del suministro de un producto luego de una interrupción.
Los resultados son: • Una estrategia acordada para la protección de cada uno de los productos y servicios de la organización.
Al menos una vez cada año se debe hacer la revisión de la estrategia organizacional de protección de sus productos y servicios. Sin embargo, los eventos que pueden indicar una nueva revisión de la estrategia, son: • La revisión del AIN que identifique cambios y prioridades representativos en los procesos • Un cambio significativo en uno o más de lo siguiente: > Actitud de la organización frente al riesgo (de pronto impulsado por un incidente). > Condiciones del mercado. > Nuevos productos o servicios. > Nuevos requerimientos legales o regulatorios.
iStockphotos.com/lorrainedarke
[25] GCN [25] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
• El alcance del programa de GCN que deberá documentarse en la política de la GCN.
Política y Gestión del Programa – 01
Desarrollo de la Política de GCN Introducción La política de la GCN de una organización provee el marco de referencia alrededor del cual se diseña y construye la capacidad de la GCN. La organización, gobierno y gestión de la implementación de la GCN, son prerrequisitos para desarrollar un programa de GCN exitoso. Éstos se establecen en la política de la GCN que es de propiedad de la Alta Dirección. El propósito de documentar la política de la GCN es comunicar a las partes interesadas los principios de Continuidad del Negocio a los que aspira llegar la organización. Como uno de los objetivos de la política de la GCN es el de comunicar, ésta debe ser corta, clara, precisa y puntual. Una política muy extensa será una barrera para la comunicación. La política debe identificar como mínimo los siguientes elementos del programa de GCN: • Objetivos • Alcance • Responsabilidades • Métodos y estándares
Proceso El proceso para desarrollar la política de la GCN incluye: • Identificar y documentar los componentes de la política de la GCN. • Identificar una definición de la GCN. • Identificar cualquier norma, legislación o regulación relevante que deba estar incluida en la política de la GCN. • Identificar cualquier Buena Práctica o política de otras organizaciones que puedan ser su punto de referencia. • Revisar y conducir un análisis GAP de la política actual de la organización (si se considera conveniente) y la política externa de referencia o nuevos requerimientos de la política de GCN. • Desarrollar un borrador de la política de la GCN nueva o modificada. • Revisar el borrador de la política contra los estándares organizacionales para políticas similares o relacionadas (por ejemplo, seguridad de la información).
• Circular el borrador de la política para su consulta. • Modificar el borrador de la política, si se considera conveniente, con base en la retroalimentación recibida. • Acordar la firma de la política de la GCN y una estrategia para su implementación por la Alta Dirección de la organización. • Publicar y distribuir la política utilizando técnicas y sistemas adecuados para el control de versiones
Métodos y Técnicas Los métodos, herramientas y técnicas para el desarrollo de la política de la GCN incluyen: • Revisión de la política actual de la organización. • Investigar fuentes externas para tomar como guía, por ejemplo: regulatoria, legal, buenas prácticas de la industria, asociaciones profesionales. • Contactar la industria y asociaciones profesionales para entender los inconvenientes y los controles actuales y en desarrollo de la GCN. • Identificar y adoptar los componentes de la política de la GCN de otra organización que se considere como buena práctica. • Analizar las brechas del estado actual y revisar las políticas internas y externas para obtener los componentes básicos de una política nueva o modificada. • Hacer una revisión por profesionales externos de GCN
Resultados y Revisión La política de la GCN incluirá (o se hará referencia en un documento subsidiario): • La definición de la GCN organizacional. • La definición del alcance del programa de GCN (véase numeral anterior). • Estructura operativa para la gestión del programa de GCN de la organización. • El conjunto de principios, guías y estándares mínimo de la GCN. • Identificación clara de responsabilidades Si bien todas las políticas de la organización deben ser revisadas en un período determinado, muchas cosas podrían provocar la revisión formal de la política de la GCN.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [26]
GCN | Gestión de las Prácticas Profesionales
Actividades Externalizadas
• Especificación de requerimientos de la GCN en los términos de referencia documentados de licitaciones y contratos.
Introducción
• Acuerdos de Niveles de Servicio (ANS) realistas para utilizarlos durante incidentes en cualquier organización.
Es importante que la política de la GCN incluya las actividades externalizadas. La entrega de productos y servicios de la organización no debe ser interrumpida por una falla de un tercero o proveedor de materias primas y/o servicios que se proveen directamente a la organización o directamente al cliente en nombre de ésta. Si parte o toda la entrega de productos y servicios es externalizada, la responsabilidad para su continuidad permanece en la organización. Las partes interesadas asumirán que la organización ha hecho una selección adecuada de sus socios del Negocio y ha tomado medidas apropiadas para asegurar la entrega. Los requerimientos estatutarios y regulatorios usualmente enfatizan que la responsabilidad final por la entrega de los servicios externalizados recae en la organización.
Proceso El proceso de revisión de los acuerdos de Continuidad del Negocio de una compañía de externalización son similares a los utilizados para revisar los propios procesos de la organización. Es importante que el acceso a la siguiente información esté disponible para su análisis: • Tendencias de los prospectos externalizadores • La continúa adecuación de las disposiciones en las compañías externalizadores existentes La confiabilidad en la externalización puede incrementarse por: • Precalificación de compañías candidatas para la externalización.
[27] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
• Involucramiento de las compañías de externalización en formación, capacitación y ejercicios La documentación para apoyar la externalización, incluye: • Parámetros mandatorios para la selección de compañías externalizadoras. • Términos contractuales que deben incluir los derechos para la organización para auditar a la compañía externalizadora. • Acuerdos de Niveles de Servicio. • Documentación de los resultados de ejercicios
Resultados y Revisión Los resultados deben ser una cadena de suministros resiliente que pueda administrar las interrupciones sin impactar seriamente la entrega de los productos y servicios al cliente. La revisión de la continuidad del proveedor debe formar parte significativa del análisis de las licitaciones cuando los contratos son adjudicados o renovados. Se recomienda la revisión anual del funcionamiento del proveedor contra los requerimientos de continuidad.
Política y Gestión del Programa – 01
Revisión del Programa de Gestión de la GCN
La implementación inicial del Ciclo de Vida de la GCN será beneficiosa desde el enfoque de la Gestión como proyecto, pero como la GCN madura dentro de la organización, la Gestión del programa requiere habilidades para asegurar una preparación constante.
Introducción
Un factor crítico de éxito es el nombramiento de personas competentes para supervisar y gestionar el programa de GCN.
La GCN es un proceso iterativo y necesita ser gestionado activamente. El objetivo inicial de esta etapa será el de completar exitosamente la implementación del Ciclo de vida de la GCN, pero la meta de la Gestión del programa de GCN en el largo plazo, es la de mejorar la capacidad de la organización y por tanto su resiliencia operativa, con iteraciones sucesivas del Ciclo de Vida de la GCN, como lo muestra el siguiente gráfico.
Los elementos claves para la gestión del programa de GCN son: Asignación de responsabilidades. Implementación de la GCN en la organización. Gestión del Proyecto. Gestión continua de la Continuidad del Negocio. Documentación de la GCN
Integrar la G est ión la G est ión
Integrar Política y Gestión del Determinar laEstrategia BCM Programa BCM
ional
Integrar
Desarrollo e Implementaciónde la Respuesta BCM
nizac rga
la G est ión
ional
Política y Gestión del Determinar laEstrategia BCM Programa BCM
Desarrollo e Implementaciónde la Respuesta BCM
Política y Gestión del Determinar laEstrategia BCM Programa BCM
ional
Integrar
nizac rga Política y Gestión del Determinar laEstrategia BCM Programa BCM
nizac rga
la G est ión
aC u
nizac rga Política y Gestión del Determinar laEstrategia BCM Programa BCM
ional
Integrar
nl
ional
aC u
cio e
nizac rga
nl
Ejercicios, Mantenimiento y Revisión
d del Nego
Entendimiento dela Organización
Desarrollo e Implementaciónde la Respuesta BCM
O ra ltu
Entendimiento dela Organización
cio e
O ra ltu
Ejercicios, Mantenimiento y Revisión
d del Nego
a inuid
Desarrollo e Implementaciónde la Respuesta BCM
O ra ltu
Ejercicios, Mantenimiento y Revisión
Organización
Ejercicios, Mantenimiento y Revisión
Organización
O ra ltu
uidad del Negocio ntin en Co la la Cu de Entendimiento dela
uidad del Negocio ntin en Co la la Cu de Entendimiento dela
Co la de
uida ntin
Ejercicios, Mantenimiento y Revisión
uidad del Negocio ntin en Co la la Cu de Entendimiento dela Organización
nt Co la de
O ra ltu
la G est ión
• • • • •
Desarrollo e Implementaciónde la Respuesta BCM
Mejoramiento de la capacidad de GCN de la Organización
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [28]
GCN | Gestión de las Prácticas Profesionales
Asignación de Responsabilidades Introducción Un programa de GCN exitoso depende de la identificación de roles yresponsabilidades y autoridad claramente definidos para gestionar el programa de GCN y su proceso a través de la organización. Esto deberá haber sido establecido en la Política de la GCN. El propósito de la asignación de roles y responsabilidades es asegurar que las tareas requeridas para implementar y mantener el programa de GCN están asignadas a individuos competentes cuyo desempeño pueda monitorizarse.
Conceptos y Supuestos El programa de GCN necesita estar adecuadamente dotado de recursos. A menudo ésto es fácil de lograr en industrias reguladas como la banca y las de servicios financieros debido a que muchas autoridades regulatorias consideran la GCN como un costo del negocio y ésto lo hace mandatorio. En esta etapa puede definirse la estructura de respuesta que será adoptada por una organización. A menudo se asume que quienes han desarrollado los planes son los mejores individuos para responder a un incidente, pero las personalidades requeridas para ser líderes y planificadores, a menudo son contradictorias. Cualquier dificultad en esta área debe ser expuesta por un plan realista de ejercicios.
En grandes organizaciones, se puede nombrar un grupo de trabajo adicional para trabajar con el Administrador de la GCN para asistirlo con las siguientes actividades: • Conducir ejercicios • Comprometerse con la revisión documental • Apoyar en la implementación de la GCN • Actuar como coordinador en sus áreas Se pueden conformar grupos adicionales para apoyar el desarrollo del programa de GCN. Se incluyen: • El Comité Directivo o Junta de la GCN: Es un grupo que dará consejo, guiará y supervisará la gestión • Equipos de Continuidad del Negocio: Son equipos estratégicos, tácticos y operativos que responderán al incidente y contribuirán significativamente con la documentación de los Planes de Continuidad del Negocio • Foro de Respuesta a Incidentes: Agrupa representantes de todos los equipos involucrados en la respuesta al incidente para resolver problemas de coordinación. Este grupo puede ser útil para la identificación de requerimientos de formación y ejercicios
Métodos y Técnicas El grupo de trabajo nominado para el programa de GCN debe tener la formación apropiada para sus roles. Ésto se puede hacer por medio de cursos de formación internos o externos y/o por medio de profesionales de GCN externos contratados para apoyar las primeras etapas de la implementación.
Quienes han estado involucrados en la implementación del programa de GCN pueden estar obligados a proveer liderazgo durante la respuesta al incidente y los profesionales de la GCN deben permanecer en estado de disposición para hacerse cargo de la Gestión del Incidente si son llamados para poner los planes en acción. Tendrán el conocimiento detallado de las estrategias y acciones necesarias para invocarse inmediatamente y pueden ser necesarios para apoyar la línea de dirección mediante actividades de evaluación e invocación.
Quienes administran el programa de GCN en grandes organizaciones deben buscar un nivel de certificación de entidades profesionales apropiadas como el Business Continuity Institute.
Proceso
Resultados y Revisión
Un integrante de la Alta Dirección debe hacer la rendición de cuentas sobre la capacidad de la GCN de la organización y su efectividad. Esto asegura que el programa de GCN está dado en el nivel de importancia correcto en la organización con una mayor posibilidad efectiva de implementación.
Los roles y responsabilidades dentro el programa de GCN han sido asignados a individuos que han sido provistos con el nivel de formación apropiado. La especificación de estos roles y responsabilidades está incluida en la descripción y los objetivos de desempeño de los cargos y son entendidos por los individuos y la organización.
Debe nombrarse un individuo para administrar la GCN quien (en muchas organizaciones) será conocido como el Administrador de Continuidad del Negocio. Dependiendo del tamaño de la organización, este rol puede ser de tiempo total o parcial.
[29] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Para asegurar que las tareas de la GCN son efectivas y se les ha dado el tiempo y esfuerzo apropiados, los roles y responsabilidades deben integrarse en la descripción de los cargos con un proceso de evaluación.
El nivel y competencia del Equipo de Trabajo de la GCN debe revisarse anualmente como parte del proceso normal de evaluación y puede ser un tópico de la evaluación anual de los administradores de la GCN y estar sujeto a un proceso de auditoría.
Política y Gestión del Programa – 01
Implementación de la GCN en la Organización Introducción La implementación de un programa de GCN involucra la Gestión de un número de proyectos relacionados y la coordinación de las actividades que lo equilibra: • Sensibilización: Eventos que mantienen el entusiasmo para llevar a cabo el programa de GCN. • Planificación: Desarrollo de planes para responder a los incidentes que pudieran no ocurrir. • Medidas de Mitigación: Implementación de medidas para mitigar el impacto de un incidente que pueda ocurrir mientras el programa está siendo desarrollado. • Ejercicio: Ejercicios para practicar los planes de contingencia. Ésto es exitoso solamente con los recursos adecuados, incluyendo la asignación de roles y responsabilidades para entrenar a los individuos para que se comprometan en las tareas requeridas en la implementación y mantenimiento del programa de GCN. El propósito de este paso es asegurar que se implementa un programa de GCN sostenible en la organización. Un programa sostenible es el que se ha ganado el compromiso de la organización y cuenta con estructura y procedimientos en sitio para asegurar que está mantenido y mejorado y está disponible para el futuro previsible.
Conceptos y supuestos La elección de las actividades a realizar y en qué orden se hará, dependerá de la cultura existente y el estado de preparación de la organización. La única regla definitiva es que las decisiones más importantes sobre las opciones de continuidad y la estrategia de recuperación no deben tomarse hasta que se lleve a cabo la etapa de “Entendimiento de la Organización”. Para iniciar el programa de GCN se puede utilizar apoyo externo de consultores con calificaciones y experiencia apropiadas en la GCN. Esto puede ser rentable por efecto del ahorro de tiempo y la necesidad de capacitación externa. La transferencia de conocimiento al equipo de trabajo dentro de la empresa, debe ser un objetivo durante este período.
Proceso El proceso de implementación de la GCN en una organización consiste en: • Proceso de iniciación. • Planificación, coordinación e implementación de proyectos de GCN para comprometer la implementación inicial del Ciclo de Vida de la GCN: > Entendimiento de la Organización (ver Práctica 3) > Determinación de las Estrategias de la GCN (ver Práctica 4) > Desarrollo de la Respuesta de la GCN (ver Práctica 5) > Ejercicios, Mantenimiento y Revisión (ver Práctica 6) • Mantener niveles de conciencia. • Gestión continua El proceso de iniciación debe estar construido desde las actividades descritas en otras partes en esta guía. Podría incluir: • Ejercicios de escritorio con los Altos Directivos para demostrar qué podría suceder ante la ausencia de estructuras y procedimientos de respuesta a incidentes. • Presentación de impactos causados por incidentes locales recientes. • Cuestionarios o entrevistas para determinar el estado actual de disponibilidad de la organización. • Redactar un alcance para el programa. • Desarrollar un alcance de la Política de la GCN. • Recopilar datos y seleccionar opciones de continuidad. • Medidas para mitigar amenazas específicas percibidas. • Crear procedimientos para la Gestión de incidentes. • Identificar e implementar medidas de bajo costo Se debe utilizar la disciplina de Gestión de Proyectos para la planificación, coordinación e implementación de proyectos de GCN y se debe monitorizar su avance. Durante la iniciación del programa, se debe disponer de tiempo suficiente para apoyar cada actividad con las habilidades apropiadas de conocimiento y formación.
Resultados y Revisión Al final de la implementación inicial exitosa del programa de GCN, la organización deberá tener: • Un estado inicial de disponibilidad de los procedimientos de Gestión de incidentes suficientemente demostrado por los ejercicios de escritorio. • Procedimientos, estructura y habilidades para mantener y desarrollar la capacidad de la GCN. En su fase inicial de implementación, el programa de GCN debe revisarse al menos mensualmente y completarse dentro de los hitos definidos.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [30]
GCN | Gestión de las Prácticas Profesionales
Introducción Cuando se compromete la implementación del programa de GCN en una organización se deben adoptar las disciplinas de Gestión de Proyectos. Los métodos seleccionados de Gestión de Proyectos deben ser adecuados al tamaño y complejidad de la organización y su implementación de la GCN. Ésto permite el camino para la Gestión del programa en curso una vez están definidos los elementos claves. Sin embargo, ésta sigue siendo una disciplina útil para los elementos de un programa en curso que tiene una entrega clara (por ejemplo, el desarrollo de un evento de concientización a través de la organización). Mientras se identifican claramente los entregables para algunas tareas de la GCN, muchas otras son menos tangibles haciendo estrictamente difícil la implementación de las disciplinas de Gestión de Proyectos. Por ejemplo. Hay un elemento de “Descubrimiento” dentro del AIN que hace difícil la cuantificación del tiempo requerido para completarlo.
Proceso Este documento puede utilizarse para identificar los proyectos requeridos para completar la implementación inicial del Ciclo de Vida del Programa de GCN. Cada proyecto será planificado y monitoreado de acuerdo con el método seleccionado de Gestión de Proyectos y debe definirse en términos de:
[31] GCN [31] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
• Objetivos • Alcance • Tareas • Escala de tiempo • Personas involucradas • Entregables • Hitos El trabajo estimado para algunas etapas del proyecto dependerá de los resultados de las etapas previas. Las disciplinas de Gestión de Proyectos también pueden aplicarse de manera útil en otros ítems individuales con entregables claramente definidos dentro del programa de GCN como: • Desarrollo y Gestión de los ejercicios de la GCN. • Desarrollo y entrega del programa de formación para el equipo de trabajo. • Selección del proveedor de recursos para continuidad.
Resultados y Revisión El resultado de este paso es la entrega exitosa del Ciclo de Vida de la GCN dentro de la cual se han acordado las escalas de tiempo y los presupuestos como parte de la implementación inicial del programa de GCN.
El método de proyecto adoptado debe incluir la revisión del avance en el suministro de los entregables contra las fechas predefinidas por los hitos, el trabajo y los costos estimados.
iStockphotos.com/lorrainedarke
Gestión de Proyectos
Política y Gestión del Programa – 01
Gestión en Curso de la Continuidad del Negocio Introducción Una vez implementada, la GCN necesita gestionarse en un ciclo continuo de mejora si se quiere ser eficaz. Esto involucrará la participación de varias áreas gerenciales, operativas, administrativas y técnicas que necesitan estar coordinadas como se indicó en estas Guías.
Conceptos y supuestos El programa será gestionado dentro de la estructura de y de acuerdo con los principios contenidos en la Política de la GCN de la organización. La cantidad de profesionales de GCN y el grupo de trabajo de otras áreas que se puede requerir para apoyar y administrar el programa, dependerá del tamaño, naturaleza, complejidad y ubicación geográfica de la organización. En organizaciones pequeñas, la Gestión en curso de la GCN puede darse por un solo individuo con otros roles. En grandes organizaciones, puede haber varios grupos de trabajo con responsabilidades de tiempo total o parcial. En este último caso, se puede establecer una jerarquía y el equipo de trabajo podría requerir las habilidades de dirección (adicionales a las habilidades propias de la GCN) requeridas por aquellos que administran el programa de GCN.
Proceso La Alta Dirección de la organización debe: • Nombrar una persona o equipo de personas para la Gestión del programa de GCN. • Definir el alcance del proceso de Gestión y del programa de GCN. • Aprobar el presupuesto de continuidad. • Monitorizar la ejecución del proceso de Gestión. La persona o equipo de personas nombradas deben (previa consulta a la Alta Dirección): • Desarrollar y aprobar el proceso y el programa de planificación de la GCN. • Determinar los enfoques claves para cada etapa del Ciclo de Vida de la GCN. • Comprometer o gestionar las actividades de GCN apropiadas dentro de la organización. • Promover la GCN a través de la organización y externamente donde se considere apropiado. • Gestionar el presupuesto de continuidad. • Mantener la documentación del programa de GCN.
• Investigar el estado actual de disponibilidad de la organización en el mismo sector y el nivel requerido por la legislación y la regulación. • Reportar el estado actual de disponibilidad a la Alta Dirección sobre una base regular destacando donde hay brechas identificadas. • Investigar el estado actual de disponibilidad de la organización en el mismo sector y el nivel requerido por la legislación y la regulación. • Reportar el estado actual de disponibilidad a la Alta Dirección sobre una base regular destacando donde hay brechas identificadas. La persona o equipo de personas nombradas pueden (previa consulta a los directivos del negocio) identificar y entrenar representantes de la GCN en departamentos operativos o en otras locaciones para: • Actuar como punto de contacto para los problemas de la GCN que afectan al departamento o locación. • Apoyar al departamento para identificar las implicaciones en la GCN del proceso de cambio. • Apoyar o liderar la recuperación del departamento o locación en el evento de una interrupción.
Métodos y Técnicas Los métodos, herramientas y técnicas para gestionar el programa de GCN de una organización incluyen: • Estas Guías. • Apoyo de profesionales de GCN externos. • Cuadros de mando de auto evaluación de la GCN. • Evaluaciones anuales de desempeño del personal contratado. • Gestión de la relación con proveedores y terceros. • Gestión de la relación de los proveedores de recursos y servicios con el especialista en la GCN. • Gestión financiera. • Avisos legales y regulatorios • Referenciación de la GCN de la industria. • Estándares nacionales e internacionales como la norma BS25999 • Auditorías internas y/o independientes a la GCN. • Revisiones y retos.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [32]
BCM | Gestión de las Prácicas Profesionales
El resultado es el mejoramiento continuo de la capacidad de la GCN. La revisión puede incluir: • Un programa de GCN claramente definido y documentado que está acordado por la Alta dirección de la organización. • Asegurar la emisión de reportes De la GCN en una frecuencia determinada. • Estrategia y estándares de la GCN claramente definidos y documentados. • Proceso de Gestión que forma parte integral del programa y del Ciclo de Vida de la GCN de la organización. • Revisión y provisión de la estrategia de recuperación de la organización. • Presupuesto anual del programa de GCN. • Reporte de auditoría del programa de GCN. • Provisión y mantenimiento de la competencia y capacidad efectivas de la GCN. • Notificación exitosa, escalado, invocación y experiencias de recuperación en respuestas a incidentes reales. El programa de GCN de una organización debe ser manejado sobre una base continua. Debe revisarse por auditores internos o externos en las escalas de tiempo y frecuencias que ellos determinen.
[33] GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL
Documentación de la GCN Introducción Una parte importante del proceso de la GCN es la gestión de su documentación. Esta necesita llevarse a cabo de una manera que sea consistente, fácil de entender y proporcionar apoyo operativo y para las revisiones de auditoría. El nivel y tipo de documentación debe ser apropiado al tipo y tamaño de la organización. Aunque la documentación del proceso siempre es importante, ésta tiene especial significancia para las organizaciones que desean certificarse contra los estándares de GCN emitidos por entidades de estándares nacionales o internacionales. Las organizaciones que están listas para certificarse contra los sistemas estándar de Gestión ISO establecidos, necesitarán revisar cómo su documentación se ajusta a esos estándares. Las organizaciones que están intentando certificarse contra un estándar nacional o internacional de GCN, necesitarán revisar cómo su documentación se ajusta a los requerimientos de los estándares seleccionados.
iStockphotos.com/lorrainedarke
Resultados y Revisión
Política y Gestión del Programa – 01
Conceptos y Supuestos
Resultados y Revisión
La documentación de la GCN tiene tres propósitos: 1. Gestionar efectivamente el programa de GCN.
La documentación actualizada de la GCN. Esto puede incluir: • La política de la GCN.
2. Demostrar la gestión efectiva del programa (por ejemplo durante una auditoría).
• Roles, responsabilidades y recursos de la GCN.
3. Permitir un apronta y efectiva respuesta a un incidente.
• Reportes en curso de los proyectos de GCN.
Aunque es importante mantener la documentación de la GCN, su propia presencia no es prueba de la capacidad para responder a un incidente.
• Registros de formación y competencia para el personal de GCN.
Se debe dar una adecuada formación al grupo de trabajo en la operación de cualquier software propietario o de otras herramientas utilizadas en el programa. Los responsables del mantenimiento de los planes deben estar capacitados para actualizar su documentación ya que promueve su propiedad y reduce los gastos indirectos de la Gestión central de la GCN.
• Los resultados del Análisis Continuo de Requerimientos (ACR).
Métodos y Técnicas Las herramientas para la documentación de la GCN incluyen procesamiento de documentos, hojas de cálculo, herramientas para diagramas de flujo, bases de datos y software para Gestión de proyectos, o el uso de un software propietario especializado. Ésto también puede utilizarse para asegurar que las copias actuales de la documentación están disponibles en varios sitios de la organización. El software especializado puede ofrecer algunas ventajas en el mantenimiento, pero impone un costo adicional de formación durante el programa. Se debe establecer un sistema de control documental para gestionar:
• Usabilidad y accesibilidad. • Aprobación. • Actualización y revisión. • Control de versiones. • Control de distribución. • Archivado y destrucción de documentos obsoletos.
• Definiciones del proyecto para los proyectos de GCN.
• Los resultados del Análisis de Impacto en el negocio (AIN). • Análisis de amenazas. • Estrategias de la GCN incluyendo documentos que soportan la selección de las estrategias adoptadas.
• Consolidación del nivel de recursos. • Estructura de la respuesta al incidente. • Planes para la Gestión del Incidente. • Planes para la continuidad el Negocio. • Programa de ejercicios. • Programa de concientización y formación. • Acuerdos de Niveles de Servicio (ANS) con clientes y proveedores. • Contratos para servicios de recuperación con terceros como espacios de trabajo y resguardo.
• Programa de mantenimiento y revisión (auditoría) reportes y acciones correctivas.
El ciclo de revisión de cada documento debe identificarse en las secciones relacionadas con la creación y el uso. La documentación y sus controles deben revisarse mediante auditorías internas o externas en las escalas de tiempo que ellos definan como parte de su propio programa de auditoría.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [34]
04 – Determining Business Continuity Strategy
iStockphotos.com/lorrainedarke
Integrar la Gestión de la Continuidad del Negocio en la Cultura Organizacional
02
GCN – Gestión de las Prácticas Profesionales
Integrar la GCN en la Cultura Organizacional Visión de la Integración de la GCN en la cultura de la Organización Introducción
[37] GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL
iStockphotos.com/lorrainedarke
El establecimiento exitoso de la GCN dentro de la cultura de la organización depende de su integración con la estrategia de la organización y la gestión del día a día, así como de su alineación con las prioridades del negocio.
Integrar la GCN en la Cultura Organizacional – 02
Esto no es único para la GCN. Otras disciplinas como Calidad, Salud y Seguridad, Servicios Ambientales, Gestión de Servicios de TI, y Seguridad de la Información tienen exigencias similares sobre ellas y consecuentemente han utilizado los mismos modelos estándar ISO aprobados para los sistemas de gestión. Algunos de los comentarios en esta sección pueden igualmente aplicarse a otras disciplinas, pero siempre que ha sido posible, se han presentado de manera particularmente pertinentes al profesional de la GCN.
Estos beneficios sólo podrán lograrse completamente, si la cultura de la organización entiende la necesidad de la GCN y promueve activamente su crecimiento dentro de la organización.
Proceso El proceso para el desarrollo y la integración sostenible de la GCN en la cultura de la organización, es una iteración permanente de lo siguiente:
Principios Generales
• Evaluación de la cultura actual de la organización.
La cultura organizacional es un proceso dinámico y evolutivo; y también complejo y multifacético. Debe ser refinado y ajustado constantemente de manera que permita a la organización mejorar su alineación estratégica y su desempeño en el ambiente en el que opera. Si la cultura es la apropiada entonces una estrategia efectiva puede ser implementada.
• Entendimiento de a dónde quiere ir la organización.
La visión establecida de la cultura organizacional se refleja a menudo como la combinación de supuestos, creencias, valores y patrones de comportamiento que se comparten entre los integrantes de una organización. Éstos factores usualmente no son entendidos conscientemente, pero cuando se combinan crean la forma como la organización se ve a sí misma, su lugar en el mercado y el ambiente en el cual opera. Tratar de dar sentido a estos supuestos no es sencillo. Son extremadamente difíciles de observar bajo cualquier grado de exactitud. Sin embargo, es justo decir que “la forma como aquí se hacen las cosas”, es una idea que ocupará un lugar prominente en cualquier organización formal e informal. Por tanto, facilitar el cambio en comportamientos es muy difícil de lograr. Para tener operando un Sistema de Gestión de la Continuidad del Negocio (SGCN), se debe asegurar que la organización puede: • Administrar eficientemente el programa de GCN • Inculcar confianza en sus grupos de interés, especialmente en el equipo de trabajo y los clientes, en su habilidad para manejar las interrupciones. • Incrementar su capacidad de respuesta en el tiempo mediante la inclusión de las implicaciones de la GCN en las decisiones estratégicas y tácticas en todos los niveles. • Minimizar el impacto y la probabilidad de las interrupciones.
• Evaluación e identificación de las diferencias entre las dos anteriores.
Esto incluirá: • Evaluar el nivel actual de la conciencia de y el compromiso con la GCN contra el nivel deseado; luego identificar la brecha para la formación. • Diseñar y entregar una campaña para crear conciencia corporativa y desarrollar las habilidades, el conocimiento y el compromiso requeridos para asegurar que la GCN sea exitosa. • Verificar que la campaña de sensibilización ha logrado los resultados deseados y monitorizar la sensibilización sobre la GCN en el largo plazo.
Métodos y Técnicas La campaña de sensibilización y sus mensajes deben estar hechos a la medida de las audiencias objetivo. Estas audiencias son tanto internas (por ejemplo los profesionales de la GCN y el equipo de trabajo en general) como externas (por ejemplo grupos de interés clave y terceros que dependen de, o que pueden afectar adversamente, los esfuerzos propios sobre la GCN de la organización). La sensibilización externa es particularmente importante donde la GCN opera en un ambiente externalizado. La visión establecida de la cultura organizacional considera que el cambio estratégico está limitado por patrones rígidos de comportamiento que están respaldados por fuertes controles sociales; y que se manifiestan en valores compartidos, estilos de trabajo y patrones de conducta. Con frecuencia se describen como “esta es la forma como lo hacemos aquí” o “lo que tiene que hacer para encajar ”.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [38]
GCN – Gestión de las Prácticas Profesionales
La experiencia ha mostrado que las iniciativas de cambio en el comportamiento fallan en generar un compromiso duradero, a menos que las actitudes y creencias también estén comprometidas. Una creencia específica “nunca sucederá aquí” es una barrera particular para la GCN. Para cambiar realmente los comportamientos, es necesario influir en las actitudes. Para influir en las actitudes es necesario desarrollar y establecer creencias. Luego, lograr el cambio cultural puede ser un proceso sutil y prolongado.
Comportamientos
Actitudes
Actitudes comunican comportamientos
Resultados Hay un límite hasta el que cualquier programa puede influir y alterar la cultura de la organización. Intentos por cambiar las actitudes pueden tener efectos inesperados que pueden ser contraproducentes o incluso tomar la dirección opuesta a la que se perseguía llegar. La implementación de un programa cultural en la GCN no debe ser subestimada, ya que implica la influencia en los valores, creencias y comportamientos; y es un reto para la gestión de cambios importantes que requieren no sólo educación, formación, sensibilización y participación, sino fuertes habilidades de liderazgo de individuos clave. Las evaluaciones necesitan considerarse cuidadosamente porque el análisis raramente es completamente objetivo: las personas traen consigo toda una serie de supuestos anteriores, sabiduría recibida, formas tradicionales sobre cómo hacer las cosas, percepciones heredadas del mundo en el que viven y de su posición o estatus dentro de éste. Factores de éxito incluyen:
Creencias
Creencias comunican Actitudes
En última instancia, el éxito de integrar un programa de GCN estará determinado por el grado en que los individuos cambien sus comportamientos, actitudes y creencias.
[39] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
• Apoyo visible y continuo de la Alta Dirección. Esto debe incluir presupuesto adecuado para apoyar la campaña permanente de sensibilización. También es importante ganar el compromiso de los mandos medios y de los integrantes del equipo de trabajo operativo quienes se requieren para implementar el programa de GCN. • Consulta con todos los involucrados en la GCN para el desarrollo de la campaña. Además de proporcionar enfoque en los esfuerzos de sensibilización; la consulta en sí misma ayuda a crear conciencia y puede ayudar a preparar el camino para el compromiso con las nuevas prácticas de trabajo. • Focalización en las prioridades de negocio de la organización, relacionando el mensaje de la campaña a los factores corporativos e individuales. iStockphotos.com/lorrainedarke
Educación, entrenamiento y sensibilización debenabordarse en todos los niveles para lograr efectos duraderos
Sin embargo, como las personas frecuentemente son inconscientes de sus juicios culturales y de los supuestos que subyacen sus maneras de hacer las cosas, una vez la cultura corporativa se ha establecido, es relativamente resistente al cambio estratégico - de ahí nace la necesidad de un proceso iterativo continuo para evaluar y retar supuestos y prácticas.
Integrar la GCN en la Cultura Organizacional – 02
Evaluación del Nivel de Sensibilización y Formación de la GCN Introducción La Política de GCN provee el marco de trabajo, que apoya la necesidad del cambio cultural. La Política de GCN provee el marco de trabajo, que apoya la necesidad del cambio cultural. Antes de planificar y diseñar los componentes de una campaña de sensibilización, es importante entender cuál es el nivel de sensibilización existente y cuál es el nivel deseado. También es importante identificar cómo se medirá el nivel de sensibilización deseado y cuáles cambios se manifestarán en la nueva cultura de GCN. La competencia y la capacidad de la GCN deben ser apropiadas a la naturaleza, escala, y complejidad de la organización, y por lo tanto reflejar su cultura y apoyar los objetivos del negocio. Los niveles de sensibilización de la organización deben estar en cambio constante en la medida que entran y salen personas. Eventos internos y externos pueden conducir a aumentos súbitos en la conciencia y conocimiento de los temas de la GCN. En la medida en que éstos rápidamente se desvanecen, el programa de GCN debe estar listo para aprovechar y desarrollar las oportunidades cuando surgen. Se deben tener en cuenta las consideraciones para extender el alcance del programa de sensibilización en GCN a los proveedores, clientes, contratistas y otros grupos de interés de la organización.
Conceptos y Supuestos Se debe buscar una auditoría de la sensibilización actual en la GCN para establecer el nivel de conocimiento y compromiso con el programa de GCN. Las evidencias se encontrarán principalmente en los patrones de comportamiento, pero hay otras fuentes dentro de la organización. Aquellos involucrados en hacer la evaluación de la sensibilización deben tener un buen entendimiento del negocio y de sus objetivos en la GCN. También deben tener, o estar en la capacidad de vincular, a quienes tienen niveles apropiados de competencias en educación, formación y actividades de sensibilización; al igual que habilidades adecuadas de análisis y relaciones interpersonales. Como para otras etapas de la campaña de sensibilización, esta actividad requiere la consulta y cooperación del equipo de trabajo a lo largo de la organización. Desde la Alta Dirección, pasando por los profesionales de GCN, hasta el equipo de trabajo sin roles específicos en GCN, pero con la responsabilidad general de “hacer su parte” en la GCN. En particular la Alta Dirección, desde el principio, debe suministrar el apoyo para el trabajo de sensibilización tanto en
términos de recursos materiales y como en el compromiso con la misión.
Requerimientos de Habilidades y Formación La actividad de evaluación de la sensibilización, es efectivamente un Análisis de Necesidades de Formación (ANF) y comprende tres tareas principales: 1. Establecer el nivel actual de sensibilización de la GCN 2. Especificar el nivel deseado de sensibilización o formación y cómo se medirá. 3. Identificar la naturaleza y alcance de “La Brecha de Formación” que debe ser cubierta por la campaña. Los requerimientos del proyecto o las habilidades del Equipo de trabajo de GCN incluyen: • Administración del Programa • Análisis de Impacto en el negocio • Desarrollo e implementación de Planes de Continuidad del Negocio • Gestionar un programa de ejercicios Se debe suministrar más educación general en temas de GCN para el Equipo de trabajo de GCN involucrado en el programa. Por ejemplo: • Entender las tendencias y nuevos desarrollos en la materia. • Explorar las posibilidades de nuevas tecnologías. • Aprender cómo otras organizaciones están enfrenando retos similares. Para otros roles relacionados con la GCN se pueden requerir habilidades específicas para la respuesta a incidentes como: • Evacuación por incendio • Evaluación de daños • Salvamento • Restauración de equipo • Liderazgo Los requerimientos de sensibilización para el Equipo de trabajo general, pueden incluir: • Cómo activar una alarma. • Responder a amenazas específicas. • Qué hacer cuando es evacuado del sitio. • Conocimiento de los planes de recuperación. • Integración de sensibilización básica dentro del programa de inducción al Equipo de trabajo. • Dónde encontrar información acerca de la GCN en la organización.
Proceso Establecer el nivel actual de sensibilización de la GCN Esta actividad es un ejercicio de recopilación de información. El objetivo debe ser el de establecer indicadores estadísticos sobre cualquier brecha en sensibilización y una evaluación de la apreciación de, y el compromiso hacia la GCN en grupos objetivo del Equipo de trabajo. Las fuentes de información deben incluir: • Documentación: incluye procedimientos y políticas
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [40]
GCN – Gestión de las Prácticas Profesionales
Especificar el nivel deseado de sensibilización y cómo se medirá Esta actividad se trata de especificar los comportamientos e indicadores de desempeño asociados, que confirmarán al negocio el nivel de satisfacción sobre la sensibilización en la GCN para cada grupo objetivo del equipo de trabajo. Esta especificación debe estar acordada con la Alta Dirección (en términos del desempeño corporativo de la GCN) y con los directores y profesionales de la GCN (en términos de la viabilidad e integración con las prácticas laborales). Las especificaciones dependerán de la naturaleza y el alcance del negocio, sus esfuerzos y requerimientos para la GCN, pueden incluir lo siguiente: • Habilidades específicas requeridas para la respuesta de la GCN a interrupciones. • Prácticas mejoradas de trabajo que apoyen los desarrollos de la GCN • Un mejor entendimiento de, y material de apoyo para los temas de la GCN por el Equipo de trabajo en general. • Un perfil más alto de la GCN en el proceso de toma de decisiones corporativas, la política y la cultura.
Identificar la naturaleza y alcance de la brecha de formación que requiere ser cubierta con la campaña de sensibilización Esta actividad requiere la comparación de resultados de los pasos descritos anteriormente. La naturaleza y alcance de la brecha en la formación debe identificarse en términos de las temáticas de la GCN que serán tratadas en la campaña y el tipo de entrega que sería más efectivo: educación (información), formación (habilidades) o sensibilización (apreciación de y compromiso con, la GCN).
[41] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Resultados y Revisiones Los resultados de la evaluación de la sensibilización deben incluir: • El estado del nivel actual de sensibilización y la eficacia del Equipo de trabajo para apoyar la GCN. • El estado del nivel de sensibilización deseado y cómo se medirá. • Una definición de la brecha de formación incluyendo las temáticas de la GCN que requieren mayor sensibilización en el equipo de trabajo (ya que ésto ayudará a definir el mensaje de la campaña general de sensibilización) y el(los) nivel(es) de competencia en que se encuentra cada grupo objetivo. La sensibilización del Equipo de trabajo puede definirse en uno de los siguientes cuatro niveles: 1. “Incompetencia Inconsciente” donde el equipo de trabajo es inconsciente de los temas de la GCN. No saben lo que no conocen. 2. “Incompetencia Consciente” donde el equipo de trabajo es generalmente consciente de los temas de la GCN, pero conocen muy poco del detalle de los requerimientos. 3. “Competencia Consciente” donde el equipo de trabajo es consciente de los temas de la GCN y es competente (por ejemplo sigue procedimientos documentados) para apoyar la GCN. 4. “Competencia inconsciente” donde el equipo de trabajo es completamente competente en forma instintiva para aplicar la GCN en una gran variedad de circunstancias. La evaluación de la sensibilización debe realizarse al inicio de la campaña, luego siguiendo el avance de la campaña y posteriormente de manera periódica como un sistema de monitoreo a la capacidad. Adicionalmente, las evaluaciones de sensibilización pueden ser necesarias en respuesta a cambios como: • Procesos del Negocio que afecten las prioridades de la GCN • Legislación o regulación que afecte los requerimientos de la GCN • Incremento de amenazas y vulnerabilidades a la seguridad • Requerimientos corporativos y de clientes/socios para disponibilidad de información y servicios, incluyendo el cumplimiento con normas relevantes. iStockphotos.com/lorrainedarke
corporativas, reportes de respuesta a incidentes y crisis, registros de pruebas y ejercicios previos de la GCN, sistemas relevantes de TI y métricas del negocio. • Retroalimentación de las personas: incluye entrevistas con la Alta Dirección y los directores del negocio, grupos enfocados con profesionales y usuarios finales. • Observación: incluye revisiones “en sitio” de las prácticas actuales de trabajo (por ejemplo, en comparación con la política corporativa).
Integrar la GCN en la Cultura Organizacional – 02
Desarrollo de la GCN dentro de la Cultura de la Organización
cuenta cuando se planifica la estrategia y el cronograma de la campaña.
Introducción
El diseño y entrega de educación, formación y sensibilización comprenden tres actividades principales: 1. Diseño 2. Planificación 3. Entrega Diseño
La Política de la GCN suministra el marco de referencia que apoya los requerimientos para el cambio cultural. Dentro de las actividades de cultura y sensibilización de la GCN, el diseño y entrega del programa de educación, cultura y sensibilización debe derivarse del análisis de brechas de formación. Las responsabilidades de los individuos dentro del programa necesitan asignarse antes de que éste sea diseñado. El propósito de esta actividad es definir los mensajes a ser asimilados por el equipo de trabajo y seleccionar los medios más efectivos para entregarlos. Las técnicas que podrían utilizarse incluyen: • Formación: Habilidades específicas relacionadas a la GCN • Educación: Conocimiento específico de los temas de la GCN • Sensibilización: Conocimiento general de la GCN Lo temas a ser cubiertos por esas actividades incluyen: • Diseño • Planificación • Entrega
Conceptos y Supuestos La educación, la formación y la sensibilización pueden entregarse de diferentes maneras. Para el éxito de una campaña de sensibilización, es crítica la selección de los métodos más apropiados y efectivos para su entrega. La planificación y el diseño de la campaña deben ser jerárquicos, iniciando con los objetivos derivados de la definición de la Brecha de Formación y sus características constitutivas. Los puntos de aprendizaje a su vez deben identificarse del conocimiento específico, las habilidades y las temáticas de sensibilización que necesitan ser asimilados por el equipo de trabajo para cerrar la brecha. El personal sin responsabilidad especial para la GCN puede necesitar alcanzar solamente sensibilización o un determinado nivel de competencia para realizar aquellas tareas relacionadas con la GCN que forman parte de su rol dentro de la organización. Los profesionales de GCN, sin embargo, deben recibir una ruta de formación estructurada que les entregue conocimiento, habilidad y finalmente que le brinde competencia en la GCN a través de oportunidades para poner en práctica sus habilidades. Tanto el costeo de la campaña como el esfuerzo requerido, deben ser acordados con la Alta Dirección durante la etapa inicial del proceso. La disponibilidad del Equipo de trabajo para atender los eventos de formación también debe tomarse en
Proceso
El diseño en general puede considerar la sensibilización en temas genéricos de GCN como el primer paso para crear interés por formación formal o por eventos similares donde se entregue información clave. Después de los eventos formales de aprendizaje, se debe proporcionar más información y oportunidades para el mismo, a través de por ejemplo: boletines corporativos de noticias, sitios en la intranet, grupos de discusión y otras actividades. En el diseño de la campaña se deben completar las siguientes tareas clave: • Identificar las audiencias. • Identificar los temas en educación, formación y sensibilización que serán entregados. • Dar prioridad a los puntos de enseñanza que comprenden los temas sobre educación, formación y sensibilización en la GCN. • Seleccionar el orden y los métodos necesarios de entrega para los puntos de enseñanza prioritarios. Planificación La tarea de planificación debe considerar las formas más rentables para la entrega, y tener en cuenta la disponibilidad del equipo de trabajo y las prácticas laborales. Esta tarea también debe considerar la difusión de la campaña en sí misma como parte de la directiva de sensibilización. Las actividades clave en esta tarea deben incluir: • Discutir y acordar con la Alta Dirección la campaña propuesta. • Probar los elementos clave de la campaña con un grupo seleccionado de directores del negocio y con grupos focalizados del equipo de trabajo, y definir los criterios de éxito. • Planificar la integración del mensaje de la GCN con una inducción y formaciones de actualización; al igual que su inclusión en otros formaciónes del equipo de trabajo. • Realizar pruebas piloto y evaluar los eventos propuestos para la formación.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [42]
GCN – Gestión de las Prácticas Profesionales
Entrega La estrategia seleccionada para el programa de educación, formación y sensibilización depende de circunstancias individuales; por consiguiente se pueden ofrecer únicamente las siguientes recomendaciones generales para estas campañas:
• Formaciones internas, incluyendo una inducción específica y cursos de actualización. • Educación a distancia (videos obligatorios de formación básico, lecturas)
• La campaña debe aumentar la sensibilización en los temas de la GCN en la organización y los empleados.
• La GCN y ejercicios de manejo de incidentes (internos o externos)
• El apoyo de la Alta Dirección hacia la campaña debe ser evidente en los eventos y los materiales utilizados en la formación.
• Documentos informativos
• Se debe ofrecer formación formal únicamente cuando hay evidencia de que ha sido aceptada la sensibilización en los temas de la GCN. • La asimilación del conocimiento o las habilidades entregadas por la formación, deben evaluarse y cualquier deficiencia debe ser administrada. • Después de finalizar las actividades de formación formal, se deben realizar esfuerzos en programas de actualización de educación, formación y sensibilización, para asegurar que el equipo de trabajo es consciente de las continuas necesidades (y cambios) en la GCN. Se debe tener disponible un presupuesto para la formación regular formal del equipo de trabajo y para continuar el desarrollo del equipo de trabajo calificado (especializado) en GCN.
Métodos y Técnicas Existen muchas teorías sobre cómo aprenden los adultos y una correspondiente variedad de estrategias de entrega. Mientras los profesionales de la GCN pueden facilitar el contenido formal de la formación, deben trabajar con expertos en formación para desarrollar la estrategia y entregar la campaña. Es importante reconocer que la sensibilización no está limitada al formación formal y requiere que la GCN esté integrada con las prácticas laborales. En consecuencia, siempre que sea posible se deben encontrar oportunidades para incluir la GCN en la agenda. Los recursos de información pueden incluir:
Recursos para la Sensibilización: • Periódicos corporativos, boletines, artículos y entrevistas • Visitas a las áreas de trabajo en los sitios de recuperación y a los centros de manejo de incidentes • Sitios web en la intranet • Ejercicios, simulacros y pruebas de los planes de la GCN de la organización. • Los profesionales de la GCN dentro de la organización • Remuneración y premios mediante el sistema de evaluación del desempeño. • Participación en ejercicios de GCN o eventos reales de otras organizaciones. • Inclusión de objetivos relacionados con la GCN a través de los mecanismos de evaluación del desempeño de la organización.
Resultados Los entregables de la campaña comprenderán un rango de actividades de aprendizaje, incluyendo formación presencial, educación a distancia, eventos de sensibilización, y la promoción de los temas de la GCN en las prácticas laborales. Claramente, su naturaleza y alcance dependen de los objetivos específicos de sensibilización de la campaña. Los resultados de la campaña pueden incluir: • Mayor conciencia general de la necesidad del programa de GCN
• Sitios Web de GCN
• Sensibilización sobre la importancia de la GCN para la organización y sus prioridades de negocio.
• Libros, periódicos y publicaciones de la industria
• Identificación de un enfoque aceptable para la GCN que puede integrarse en las prácticas laborales.
• Conferencias y seminarios • Recursos de formación • Cursos externos aprobados de formación • Programas académicos formales de educación • Foros regionales del BCI y grupos de trabajo • Grupos de trabajo de la industria • Entidades certificadoras
[43] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
• Mejorar la efectividad en la realización de tareas específicas de la GCN. • Respuestas más efectivas a los incidentes reales de Continuidad del Negocio. • Mayores exigencias sobres los profesionales en GCN; por ejemplo mediante la creciente preocupación acerca de la GCN por parte de los directores del negocio.
Integrar la GCN en la Cultura Organizacional – 02
Monitorización del Cambio Cultural Introducción El propósito de la monitorización de la educación, la formación y la sensibilización es mantener la efectividad y la calidad de la campaña, asegurando su circulación corporativa con la industria y otros temas pertinentes a la GCN y asegurar que el nivel requerido de sensibilización es alcanzado. Claramente, tanto el logro global de la campaña como el éxito o fracaso de componentes específicos, deben revisarse para mejorar continuamente la pertinencia y efectividad de la labor realizada. De otro lado, la campaña de sensibilización debe ser vista como una tarea continua y se requiere hacer revisiones periódicas para verificar cualquier esfuerzo requerido para mantener la sensibilización en un nivel aceptable.
Conceptos y Supuestos La efectividad de la educación, la formación y la sensibilización puede medirse en un número de niveles: Desempeño mejorado en los individuos, mejores estándares a lo largo de la organización y aumento del énfasis de la GCN en la cultura corporativa. Se debe tener cuidado para realizar las preguntas correctas no solo desde la perspectiva organizacional sino también desde la perspectiva de los individuos para: obtener las respuestas relevantes, interpretar correctamente los datos y permanecer atentos a los temas por fuera del ámbito central de formación que pueden ser relevantes para la cultura de la GCN en general. El razonamiento detrás de esto es que las respuestas a menudo son únicas y situacionales y sólo a través de métodos como entrevistas semi-estructuradas, observación del participante y grupos focalizados, puede evaluarse las complejidades del contexto y la importancia del entendimiento de las personas. Los profesionales de la GCN probablemente necesitan asistencia de especialistas en aprendizaje en este campo.
sensibilización). La efectividad de la campaña debe cuantificarse, siempre que sea posible, en términos de mejoramiento del negocio. • Monitoreo periódico de la sensibilización. La Alta Dirección debe estar preparada para presupuestar regularmente en ejercicios de evaluación y posibles acciones posteriores.
Métodos y Técnicas La evaluación puede tomar muchas formas. La evaluación efectiva combinará una variedad de métodos de corto y largo plazo, revisando tanto la forma y el contenido de la campaña misma como su efecto sobre la GCN dentro de la organización. Siempre que sea posible, los resultados de la evaluación deben expresarse en términos de los beneficios de la campaña para el negocio. Específicamente, la evaluación de los cursos de formación puede incluir discusiones, concursos y exámenes cortos durante el curso para verificar y alinear la enseñanza “al vuelo”. Formatos de Evaluación del Curso pueden utilizarse para mejorar la estructura del curso, el contenido y la entrega. La evaluación de un curso debe basarse en una serie de sesiones más que en una sola.
Resultados y Revisiones Las revisiones deben incluir una variedad de reportes para los niveles apropiados dentro de la organización. Deben considerar a la Alta Dirección, directores relevantes del negocio, profesionales de la GCN y proveedores de formación. La evaluación de la campaña debe hacerse durante y después de que se ha realizado la mayor parte de la campaña para permitir la realineación de la estrategia y revisar si la campaña ha alcanzado su objetivo general de reducir la brecha de formación identificada en la evaluación inicial de la sensibilización. Los resultados de la evaluación de la campaña deben reportarse al Equipo de trabajo a través de los canales corporativos y pueden incluir: • Identificación de requerimientos adicionales en educación,
formación y sensibilización. Proceso
• Solicitar y recopilar la retroalimentación sobre formaciones específicas. Mientras algunas formaciones pueden ser exitosas y otras menos, es importante ir en busca de las tendencias de fondo como por ejemplo, módulos específicos dentro de un curso que constantemente genera críticas. • Monitorizar la efectividad. La retroalimentación en el corto plazo puede proveer información sobre los componentes de una campaña y permitirá su mejoramiento; pero el efecto de la campaña en el largo plazo es más importante y puede manifestarse en términos menos tangibles (por ejemplo: mayor
• Identificación de oportunidades de desarrollo para los
profesionales de la GCN. • Mejoramiento de las prácticas laborales.
Se debe realizar una auditoría regular al programa de sensibilización de manera que las deficiencias puedan ser identificadas y tratadas.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [44]
GCN – Gestión de las Prácticas Profesionales
Logro del Cambio Cultural a través de Sistemas de Gestión de Normas Introducción Aunque la implementación de un Sistema de Gestión de la Continuidad del Negocio formal (SGCN) no resulta por sí mismo en un cambio cultural, sí provee algunos de los prerrequisitos para su éxito. Estos son: • Compromiso de la Alta Dirección. • Un proceso formal de medición del desempeño. • La necesidad de demostrar lo bien que se ha integrado la GCN.
• Procesos específicos para apoyar el programa de GCN. • Recursos incluyendo presupuesto, tiempo e instalaciones. A BCMS uses the Plan-Do-Check-Act (PDCA) cycle which is common to all ISO management systems. Planificar
Establecer la política, objetivos y el alcance del programa
Hacer
Implementar el programa de GCN
Verificar
Realizar auditoría interna y revisión de la gestión del SGCN
Actuar
Implementar los resultados de la revisión
• Aseguramiento de la calidad y exactitud de la documentación. • Aseguramiento de los procesos y procedimientos mandatorios. • Involucramiento de una amplia gama de individuos en todos los niveles. • Necesidades de formación y presupuestos apropiados que se establezcan.
Aunque la norma ISO pretende ser aplicable a todas las organizaciones, hay una intención clara de no suponer que un SGCN debe tener un diseño uniforme. Corresponde a cada organización diseñar un SGCN apropiado a sus necesidades y a los requerimientos de las partes interesadas.
Certificación Un sistema de gestión para la GCN puede ser definido como parte general del sistema de gestión (de la organización) que establece, implementa, opera, monitorea, revisa, mantiene y mejora la Continuidad del Negocio. Esto implica que el sistema tiene: • Una política. • Personas con responsabilidades definidas para la GCN. • Procesos de gestión para apoyar la política. • Un conjunto de documentación para proporcionar evidencias al proceso de auditoría.
[45] GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL
La certificación de una organización contra una norma formal no garantiza que se puedan administrar exitosamente todas las interrupciones; tan solo que han sido llevados a cabo los aspectos del proceso de GCN que pueden ser objetivamente auditados. Sin embargo, la naturaleza rigurosa de alcanzar la certificación somete a la organización a un nivel de exposición considerable de la GCN y puede construir sensibilización sobre el tema en todos sus niveles. La certificación, así como el cumplimiento regulatorio, no significan por derecho propio el cambio de cultura, sino que tiene una influencia positiva general, ya que requiere a la organización ser muy clara sobre su Política y objetivos de la GCN y cómo los comunica al equipo de trabajo.
iStockphotos.com/lorrainedarke
Sistemas de Gestión
iStockphotos.com/lorrainedarke
Entendimiento de la Organización
03
GCN – Técnicas de las Prácticas Profesionales
Entendimiento de la Organización Introducción
[47] GCN [47] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
iStockphotos.com/lorrainedarke
El “Entendimiento de la Organización” es la práctica profesional dentro del Ciclo de Vida de la GCN que revisa la organización en términos de cuáles son sus objetivos, cómo trabaja funcionalmente y las limitaciones del entorno en el que opera. La información recopilada hace posible determinar cómo se prepara mejor la organización para ser capaz de administrar las interrupciones que de otra forma podrían dañarla seria o fatalmente.
Entendimiento de la Organización – 03
Como se describió en la sección de la Política de GCN, la organización debe tomar una decisión previa y clara sobre si el SGCN abarcará toda la organización o solo ciertos productos o servicios. Esto establece el alcance de las etapas de Análisis de Impacto en el negocio AIN (Business Impact Analysis BIA), Análisis de Requerimientos de Continuidad ARC y la Evaluación de Amenazas.
Las herramientas para el entendimiento de su negocio para el propósito de la Continuidad del Negocio, son: • Análisis de Impacto en el negocio (AIN): Para evaluar el impacto, en el tiempo, de una interrupción sobre la capacidad de la organización para operar. • Análisis de Requerimientos de Continuidad ARC: Para estimar los recursos, instalaciones y servicios externos que cada actividad requerirá en la reanudación y retorno a la normalidad luego de una interrupción. • Evaluación de Amenazas por medio del Análisis de Riesgo: Para estimar la probabilidad y el impacto de amenazas conocidas sobre funciones específicas. El AIN identifica la urgencia de cada actividad realizada por la organización, mediante la evaluación del impacto en el tiempo de una interrupción de esta actividad en la entrega de los productos y servicios. Esta información es utilizada para identificar las ventanas de tiempo para las estrategias apropiadas de continuidad y reanudación, para cada actividad individualmente y en relación de unas con otras. El ARC proporciona la información que permitirá determinar la escala (tamaño y número) de las medidas de continuidad apropiadas. La Evaluación de Amenazas por medio del Análisis de Riesgo ayuda a identificar las causas potenciales de una interrupción en la organización, la probabilidad de ocurrencia y el impacto si esa amenaza ocurre. Pueden ser identificadas entonces medidas que intenten reducir la probabilidad de ocurrencia o reducir el impacto de un incidente derivado de estas amenazas específicas. Dentro del Programa de GCN esta etapa debe enfocarse en las amenazas inherentes a las actividades del negocio identificadas en los resultados del AIN como las más urgentes en lugar de todas las amenazas a la organización. La asignación de tiempo y presupuesto entre la provisión de instalaciones de recuperación y las medidas para mitigar amenazas específicas debe decidirse por experiencia y juicio, ya que no existen fórmulas o reglas para guiar esta decisión. Un profundo entendimiento de la GCN de la organización por medio de estas técnicas puede a menudo, resaltar ineficiencias del negocio que de otro modo no serían evidentes para la Alta Dirección.
Análisis de Impacto en el Negocio Introducción El Análisis de Impacto en el Negocio AIN es el fundamento sobre el que se construye todo el proceso de la GCN. Identifica, cuantifica y califica los impactos al negocio de las pérdidas, interrupciones o interferencias en las actividades del negocio en una organización y proporciona la información a partir de la cual se pueden determinar las estrategias de continuidad adecuadas. Un AIN puede utilizarse para identificar las escalas de tiempo y el grado de impacto de una interrupción en diferentes niveles de una organización. Por ejemplo, para examinar el efecto de: • Estrategia: La pérdida de la capacidad para entregar cada producto o servicio - con el fin de apoyar la decisión del alcance del programa de GCN. • Táctica: Una interrupción de las actividades internas o externas que pueda impedir la entrega de productos y servicios - Con el fin de suministrar información para la selección de las opciones de continuidad y sus requerimientos de recursos. • Operativas: La interrupción de las actividades de un área del negocio - con el fin de apoyar la preparación de un plan detallado para el departamento.
Principios Es necesario obtener el apoyo total de la Alta Dirección antes de intentar el Análisis de Impacto en el Negocio. Es poco probable que los directores estén preparados para dedicar tiempo a este ejercicio a menos que esté demostrado el apoyo de la Alta Dirección. La decisión sobre qué productos y servicios están dentro del alcance del programa de GCN, se debe haber tomado antes de llevar a cabo el AIN y debe estar documentada en la política del Programa de Gestión de la Continuidad del Negocio GCN. De manera alterna, el método del AIN puede utilizarse para entender el impacto de la falla en la entrega de productos o servicios y puede utilizarse para decidir el alcance del programa de GCN. Una vez que se ha definido el alcance, el AIN se enfoca en las actividades (que apoyan esos productos y servicios) identificando aquellas cuya falla podría amenazar más rápidamente la entrega. Éstas tienden a ser actividades “operativas” que interactúan directamente con los clientes u otras organizaciones externas. Sin embargo, estas actividades pueden depender para su entrega del apoyo de otros procesos internos o externos, los cuales también deben ser analizados.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [48]
GCN – Técnicas de las Prácticas Profesionales
Ejemplos de actividades estratégicas incluyen: • Dirección • Proyectos • Planificación Ejemplos de actividades tácticas incluyen: • TI (con excepción de los proveedores de servicios de TI en los que ésto puede ser un servicio externo) • Recursos humanos • Servicios de apoyo externo como los servicios públicos Ejemplos de actividades operativas incluyen: • Servicio al cliente • Ventas • Producción • Visitas a domicilio • Recopilación de basuras
Propósito El propósito de un Análisis de Impacto en el negocio para cada actividad, producto o servicio, es: • Documentar los impactos en el tiempo que puedan resultar de su pérdida o interrupción. • Identificar el Máximo Período Tolerable de Interrupción (MPTI) y por tanto las prioridades de recuperación (ver conceptos a continuación). • Identificar las dependencias (internas y externas) que se requieren para permitir que la actividad opere eficazmente. Es posible (y deseable) que el AIN se utilice para determinar el impacto de interrupción ante cambios mayores en el negocio como: • Introducción de nuevos productos, procesos o tecnologías. • Reubicación o cambio en la distribución geográfica del negocio. • Un cambio significativo en la operación del negocio, estructura o las jerarquías del Equipo de trabajo.
• Suministro de información a individuos u otras organizaciones
• Un nuevo proveedor importante o un contrato de externalización.
La Alta Dirección debe identificar los planes futuros más importantes para la organización que puedan afectar los impactos a ser evaluados en el AIN.
Esto puede permitir a la organización tomar ventaja de los cambios para aumentar su resiliencia o mejorar su capacidad de recuperación.
[49] GCN [49] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
Entendimiento de la Organización – 03
Conceptos y Supuestos Conceptos • Máximo Período Tolerable de Interrupción (MPTI): Es el tiempo
luego del cual la viabilidad de una organización (ocasionada por una pérdida financiera o reputacional) será afectada irreparablemente si la entrega de un producto o servicio en particular no puede reanudarse. Los factores que pueden considerarse en la estimación del MPTI, incluyen: > El impacto sobre el Equipo de trabajo o el bienestar público. > El impacto de las violaciones de obligaciones legales o requerimientos regulatorios. > Impacto reputacional > Daño a la viabilidad financiera > Deterioro en la calidad del producto o servicio > Daño ambiental
> Otros factores específicas para la organización • La estacionalidad (temporadas) y la variabilidad pueden afectar el MPTI. Como ejemplos, un cierre financiero de final de año puede reducir la tolerancia a que la actividad financiera esté por fuera; mientras que un contrato único con sanciones significativas relacionadas con el tiempo puede reducir la tolerancia a estar por fuera para una serie de actividades dentro de la organización durante la vigencia del contrato.
Terminología Es necesario tener cuidado con el uso de la palabra “crítica”. Desafortunadamente, para quienes no están familiarizados con la terminología de la GCN, “crítica” es interpretado como “importante”, conduciendo a malos entendidos cuando se recopila la información para el AIN y la incorrecta interpretación de que las tácticas de recuperación y los planes no se requieren para actividades “no críticas”. Una vez comprobado el MPTI para cada actividad, a menudo es conveniente vincular las actividades con requerimientos similares de recuperación. A veces, las organizaciones llaman a estos grupos de acuerdo con la ventana de tiempo de recuperación (por ejemplo, un día, dos días, una semana, etc.); otros utilizan el término “crítica” (o “misión crítica”) para aquellas actividades requeridas en los
iStockphotos.com/lorrainedarke
primeros días. Sería mejor utilizar términos menos ambiguos; con significados asociados al tiempo, como ‘momento crítico’, ‘momento delicado’, ‘prioritario’ y ‘urgente’.
Supuestos • Se supone que el trabajo complejo e interrelacionado de la organización puede ser entendido mediante el análisis separado de las actividades de la organización. • Donde ya existen medidas implementadas de resiliencia (como sitios alternos de operación), se debe asumir que se encuentran en funcionamiento.
El MPTI puede ser difícil de determinar para las funciones estacionales (temporadas) o periódicas, como los procesos de fin de año y los proyectos. En tales casos, el análisis de impacto debe centrarse en una interrupción de la actividad durante uno de estos picos, es decir, durante el período más perjudicial. Si bien muchas actividades son dependientes de la operación continua de los proveedores, puede no ser posible averiguar las capacidades de servicio y recuperación de estas organizaciones. Sensibilidad (Confidencialidad) de la Información Es posible que alguna información sea confidencial dentro del mercado o la industria, y por lo tanto en algunas organizaciones ésta no será visible al profesional de la GCN. No contar con esta información no debe detener las acciones del AIN que se están desarrollando, sin embargo puede impactar la exactitud de los resultados finales.
Proceso Alcance y Extensión • Identificar la relación entre las diferentes partes de la organización ya que esto puede afectar el MPTI. • Cuando una organización cuenta con múltiples sedes, puede ser necesario decidir sobre la máxima extensión geográfica de la interrupción o la magnitud de la pérdida de recursos que la organización quiere, necesita, o planea para sobrevivir a fin de cuantificar el impacto. Esto debe estar documentado en la política de GCN y puede estar determinado por: > La extensión geográfica (o de mercado/área de clientes). > Requerimientos regulatorios o legales. > Productos, nichos de mercado o requerimientos específicos de los clientes. • Si la extensión del AIN va a tomar un tiempo prolongado, considerar inicialmente limitar su alcance a un subconjunto de productos y servicios. Los restantes pueden ser cubiertos en un AIN posterior. • Aprobar los Términos de Referencia para el AIN con el patrocinador del proyecto.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [50]
GCN – Técnicas de las Prácticas Profesionales
Análisis de Impacto en el Negocio • Identificar las actividades del negocio en toda la organización (las cuales pueden atravesar varios departamentos) • Identificar los dueños de los procesos. • Identificar el Equipo de trabajo adecuado al que se le puede solicitar información sobre los procesos del negocio (expertos en la materia) • Identificar cómo una interrupción puede resultar en daño a la reputación, los activos o la posición financiera de la organización. • Cuantificar la ventana de tiempo dentro de la cual la interrupción de cada actividad del negocio se convierte en inaceptable para la organización, debido a la interrupción en la entrega de sus productos y servicios. • La recopilación de datos para el Análisis de Requerimientos de Continuidad (ver más adelante) puede ser realizada al mismo tiempo.
Informes • Obtener la aprobación del dueño del proceso para confirmar la exactitud de la información en el AIN. • Obtener el apoyo del Patrocinador de la GCN sobre las conclusiones del AIN.
• El formato para la recopilación de datos debe estar determinado por la forma en la que los resultados serán presentados. • La información requerida para establecer la urgencia del desempeño de la actividad que está siendo analizada, incluye:
> Cuanto tiempo toma la actividad en completarse. > Localidades desde las que se realiza la actividad. > Factores que influyen sobre la actividad. Por ejemplo: períodos pico, reportes regulatorios. > Impacto de una interrupción a esta actividad sobre otras dentro de la organización. > Tiempo que la organización puede permanecer sin ésta actividad. > Cualquier alternativa disponible > La ventana de tiempo dentro de la que la actividad debe ser reanudada. Los factores a considerar, incluyen: • Volúmenes (por ejemplo, llamadas por hora, salidas en la línea de producción). • Acuerdos de Niveles de Servicio (ANS), contratos, requerimientos regulatorios o legales. Los métodos, herramientas y técnicas para realizar el Análisis de Impacto en el negocio AIN, incluyen: • Talleres • Cuestionarios (impresos o por medio de software especializado) • Entrevistas estructuradas y no estructuradas.
Como guía general:
Recopilación de Datos No existe una metodología “de talla única” que se ajuste a la recopilación de datos para el AIN. Los métodos pueden variar de un sector de la industria a otro y de un profesional a otro. Cada industria tiene sus propias necesidades específicas por contenido, tipo de información, profundidad y cobertura. Sin embargo, los principios básicos que se deben considerar son: • El objetivo del AIN es recopilar información para apoyar la selección de las estrategias de continuidad más apropiadas. Esto está determinado por la urgencia con la cual cada actividad necesita ser reanudada.
[51] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
• Los talleres pueden suministrar resultados rápidos y una oportunidad para lograr una vinculación activa con el programa, siempre y cuando haya compromiso de todos los departamentos y participantes.
• Los cuestionarios suministran grandes cantidades de datos pero la
calidad de la información puede ser cuestionable si no se completa de forma confiable.
• Las entrevistas pueden suministrar muy buena información pero
consumen bastante tiempo y sus resultados pueden variar en cuanto a formato y detalle.
• La combinación de los métodos enunciados puede entregar excelentes resultados proporcionando un nivel apropiado de detalle y un formato estándar de reporte de resultados que apoyará la consistencia en los registros y el análisis de la información a lo largo de las diferentes funciones.
iStockphotos.com/lorrainedarke
Métodos y Técnicas
Entendimiento de la Organización – 03
Software Existe una variedad de productos de software disponibles para conducir un Análisis de Impacto en el Negocio que pueden ser útiles, pero no esenciales. Los beneficios clave de utilizar una herramienta de software incluyen la facilidad de análisis de resultados, almacenamiento de información y la presentación de informes; su uso no elimina la necesidad de entrevistas con, e involucramiento de, los individuos expertos en la actividad que está siendo analizada.
Informes Toda organización tiene su estilo propio para la presentación de informes. Como requisito, el formato de informe elegido por la organización debe estar establecido y acordado en el momento en que se define el alcance de la actividad, debido a que el formato de presentación final puede impactar la forma como la información se recopila, se compara, se analiza y se presenta.
Resultados y Revisión Los resultados de un Análisis de Impacto en el Negocio son: • Una lista de las actividades que contribuyen con la entrega de productos y servicios dentro del alcance. • El Máximo Período Tolerable de Interrupción (MPTI) y su justificación para cada actividad. Este determinará los tiempos requeridos de las estrategias de recuperación. • Dependencias de la actividad: internas y externas.
Las buenas prácticas dictan que un Análisis de Impacto en el negocio debe ser revisado como mínimo anualmente, pero con más frecuencia en caso de: • Cambios mayores en el negocio.
Análisis de Requerimientos de Continuidad Introducción El Análisis de Requerimientos de Continuidad (ARC) recopila información de los recursos requeridos para reanudar y continuar las actividades del negocio que apoyan los objetivos y obligaciones de la organización. Este paso usualmente se realiza al mismo tiempo que se está reuniendo la información del AIN. Su propósito es: • Suministrar la información de los recursos con los cuales se puede determinar o recomendar una estrategia apropiada de recuperación. • Identificar los requerimientos de recursos resultantes de la dependencia que existe interna y externamente sobre la actividad.
Conceptos y Supuestos Requerimientos de Continuidad A menudo se asume que los recursos requeridos luego de una interrupción serán una parte de los utilizados durante la operación normal, al menos por un período de tiempo. Sin embargo, en algunos casos, los recursos necesarios en las primeras etapas de la recuperación pueden ser mayores que los utilizados normalmente, con el fin de hacer frente a retrasos. Por ejemplo, en un call center puede necesitarse
• Cambios significativos en los procesos, instalaciones o tecnología al interior del negocio.
personal adicional para atender las llamadas extras después de una interrupción y los sistemas de TI de soporte pueden requerir mayor capacidad para atender éste número adicional de usuarios.
• Cambios significativos en el ambiente externo del negocio, tales como el mercado o el cambio en la regulación.
Máxima Pérdida Tolerable de Datos
El proceso del AIN no necesita repetirse en su totalidad en cada revisión. Solamente aquellas actividades afectadas por el cambio organizacional necesitan ser revisadas detalladamente. Otras actividades pueden requerir una revisión por muestreo y confirmación de los resultados previos del AIN.
Es la pérdida de datos actualizados (electrónicos y otros) por la cual una organización podría estar inhabilitada para recuperar su capacidad operativa. La antigüedad de los datos podría hacer imposible las operaciones o el valor de los datos perdidos podría ser sustancial. Algunas actividades pueden estar habilitadas para operar adecuadamente sin datos o con datos de varias semanas atrás. Otras actividades no pueden tolerar la pérdida de datos.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [52]
GCN – Técnicas de las Prácticas Profesionales
Proceso Recopilación de Datos Su propósito es cuantificar los recursos requeridos a través del tiempo para mantener las funciones del negocio dentro de un nivel aceptable y dentro del Máximo Período Tolerable de Interrupción. Se debe tener en cuenta cualquier actividad adicional que se pueda generar por la interrupción y la necesidad de eliminar los retrasos. Las siguientes categorías de recursos pueden ser consideradas:
• Personas: Número, habilidades, etc. • Instalaciones: Ubicación, tamaño, etc. • Tecnología • Información • Equipo • Suministros Informes • Obtener la aprobación del dueño del proceso para confirmar la exactitud de la información.
• Obtener el apoyo del Patrocinador de la GCN sobre las conclusiones.
• Presentar a la Alta Dirección para determinar si los resultados
serán impactados por cualquier cambio propuesto en el negocio y para aprobar el paso a la etapa de diseño de la estrategia.
• Continuar con el desarrollo de la estrategia de la GCN. Existe una cantidad de métodos, herramientas y técnicas para llevar a cabo un Análisis de Requerimientos de Continuidad, que incluyen: • Talleres
• Cuestionarios (impresos o por medio de software especializado) • Entrevistas (estructuradas o no estructuradas) que usualmente se realizan de manera simultánea con el AIN.
Resultados y Revisión Los resultados del Análisis de Requerimientos de Continuidad, son:
• El entendimiento de los recursos requeridos durante el tiempo
posterior a la reanudación para proporcionar los niveles de servicio acordados. Puede ser un simple número o una combinación compleja asociada al tiempo desde el inicio hasta la restauración total.
Evaluación de Amenazas a través del Análisis de Riesgos Introducción El propósito de la evaluación de amenazas es identificar las medidas que se pueden implementar para reducir la probabilidad y el impacto de la interrupción de las actividades más urgentes de la organización, si se materializa el riesgo. Previamente se debe haber completado un AIN, para identificar las actividades más urgentes de la organización. El proceso de evaluar las amenazas utiliza las técnicas de Análisis de Riesgo para identificar concentraciones inaceptables de riesgo en las actividades y los puntos únicos de falla; e identificar las medidas que pueden ser implementadas para minimizar su probabilidad de interrupción. El AIN documenta los impactos en el tiempo que pueden resultar de la interrupción del negocio, e identifica tanto la urgencia de la entrega del producto y servicio como la de las actividades que habilitarán dicha entrega. Esto permite que las medidas de mitigación se destinen a las actividades más urgentes de la organización, mejorando de esta forma el retorno esperado de la inversión y minimicen el impacto durante la interrupción. Muchas organizaciones tienen una función de Gestión de Riegos bien establecida, mantienen un registro corporativo de riesgos y tienen el Análisis de Riesgo integrado en la organización en la medida en que todos sus directores deben evaluar los riesgos como parte de sus prácticas y procedimientos normales. Por lo tanto, la valoración de amenazas puede ya estar disponible para las actividades de la organización. Sin embargo, la existencia de la función de Gestión de Riesgo no es prerrequisito para un programa efectivo de GCN. En algunos países y sectores, la utilización del Análisis de Riesgos es mandatoria. Esto conducirá a una evaluación formal de riesgos y la consideración de las medidas apropiadas para transferir, aceptar, reducir o evitar los riesgos. Sin embargo, la evaluación de amenazas como parte de la GCN no es lo mismo que realizar un Análisis de Riesgos. Utilizar las técnicas de análisis de riesgo como parte de la GCN puede informar a un programa de Gestión de Riesgos que esté operando, pero éste no es su objetivo primario.
Modelos de Gestión de Riesgo
Esta información alimenta directamente la etapa de Estrategia de Continuidad del Negocio. Los requerimientos de recursos proveerán información para evaluar soluciones alternas de recuperación.
Existen muchos modelos de Gestión de Riesgo de uso común, algunos de naturaleza general y otros que han sido completamente desarrollados para una industria o sector específico. Virtualmente, todos esos modelos involucran la identificación de amenazas (o peligros) específicas y utilizan una fórmula para calcular un valor de riesgo basado en la probabilidad de la amenaza y el impacto de la amenaza (si ésta se materializa).
El Análisis de Requerimientos de Continuidad debe ser revisado junto con el AIN.
• Valor del Riesgo = Impacto de la Amenaza x Probabilidad de la Amenaza
• Identificación de las interdependencias: actividades (internas y
externas) que deben estar en funcionamiento para mantener los niveles de servicio acordados.
[53] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
La fórmula más sencilla es:
Entendimiento de la Organización – 03
Otros modelos utilizan fórmulas más complejas e incluyen el nivel de mitigación ya implementado. Algunos modelos de riesgo se ordenan por el análisis de la capacidad para controlar ese riesgo. Esta fórmula prioriza las amenazas más fáciles de controlar bajo el argumento de que esto dará el mejor retorno sobre la inversión de tiempo y dinero, pero lo hacen ignorando muchos impactos externos significativos. Mientras son razonablemente efectivos en el tratamiento de riesgos en “Operación Normal”, muchos profesionales de Continuidad de Negocio creen que estos métodos y técnicas de análisis de riesgo tienen graves deficiencias en la evaluación de riesgos operativos catastróficos porque: • Es imposible identificar todas las amenazas. • La estimación de la probabilidad es una conjetura o están basada en información histórica. • La probabilidad de ocurrencia de un evento depende del período de tiempo en evaluación. Entre mayor sea el período de tiempo es más probable la ocurrencia del evento. • Las escalas numéricas más utilizadas para clasificar probabilidad e impacto (por ejemplo: 1 para bajo, 2 para medio, 3 para alto), sobreestiman el impacto de los eventos menores y no pueden utilizarse para calcular una medida comparativa de riesgo. (Por ejemplo: un riesgo de baja probabilidad y alto impacto tiene el mismo valor que un riesgo con alta probabilidad con bajo impacto?). • El uso de una escala numérica para asignar un valor a los impactos no puede reflejar adecuadamente la importancia relativa de activos menos cuantificables como la reputación. • El “Apetito de Riesgo” o la “Tolerancia al Riesgo” de la organización es la cantidad de riesgo que una organización está preparada para aceptar y restringe el nivel de acción que se tomará para controlar las amenazas identificadas.
Proceso Los pasos clave en la evaluación de amenazas, son: • Registre las amenazas internas y externas que pueden causar interrupción a las actividades más urgentes de la organización, definidas en el AIN. • Determine el sistema de calificación para impactos y probabilidades. Acuerde el enfoque con la Alta Dirección. • Estime el impacto de cada amenaza, sobre la organización, utilizando el sistema de calificación acordado. • Calcule el riesgo de cada amenaza mediante la combinación de la calificación de su impacto y probabilidad, según una fórmula acordada. • Revise los resultados de las calificaciones del análisis de riesgo. • Priorice las amenazas por nivel de riesgo. • Identifique las áreas inaceptables de riesgo o los puntos únicos de falla. • Si la organización cuenta con un programa de Gestión de Riesgo, entregue los resultados de la evaluación de amenazas a la persona responsable del programa. • Recomiende las acciones que puedan tomarse para reducir la amenaza de interrupción sobre las actividades más urgentes de la organización.
iStockphotos.com/lorrainedarke
Las anteriores deficiencias demuestran lo difícil que es medir el riesgo y por lo tanto, especificar estos parámetros con cualquier certeza.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [54]
GCN – Técnicas de las Prácticas Profesionales
Métodos y Técnicas Si la organización tiene establecida una función de Gestión de Riesgo, considere la utilización del método o técnica establecidos de evaluación de riesgos para la valoración de la amenazas. Se pueden obtener muchos sistemas de calificación para la evaluación de riesgos de la literatura publicada. Así como se eligen sistemas de calificación para la evaluación de riesgos para impactos y probabilidades, los métodos y técnicas que pueden utilizarse para identificar y evaluar amenazas, incluyen: • Registros de riesgos de la organización (si existen). • Identificación de las amenazas internas y externas de fuentes apropiadas. • Análisis de eventos por el método del árbol (Event tree analysis). • Análisis de fallas por el método del árbol (Fault tree analysis). • Análisis de los grupos de interés. • Planificación de escenarios. • Amenazas identificadas durante el proceso del AIN. • Incidentes previos experimentados por la organización, el sector de la industria o el vecindario. • Peligros locales conocidos: naturales o de origen humano. • Ubicación geográfica. • Análisis de redes de trabajo.
Las probabilidades pueden analizarse utilizando:
internacionales; muchas de ellas publican guías y buenas prácticas. • Seguir recomendaciones de seguridad de la información de diversas entidades de Seguridad de la Información y de Tecnologías de Comunicación de Información nacionales o internacionales. Las normas ISO27001 e ISO27002 brindan valiosas guías a seguir. • Los sistemas de monitoreo pueden suministrar aviso oportuno sobre fallas de los servicios públicos, fallas en los equipos y de amenazas de interrupción. • Aspersores y sistemas de extinción de incendios. • Redes de comunicaciones resilientes para eliminar los puntos únicos de falla.
Las soluciones propuestas deben ser evaluadas utilizando el análisis de la relación Costo/Beneficio.
Resultados y Revisión Los resultados de la evaluación de amenazas son: • Un listado de amenazas que pueden causar la interrupción de las actividades más urgentes de la organización, priorizadas por el nivel de impacto. • La identificación de los puntos únicos de falla inaceptables. • Recomendaciones sobre acciones a ser tomadas para reducir la amenaza de interrupción sobre las actividades más urgentes de la organización.
Las amenazas a las actividades más urgentes de la organización deben ser reevaluadas anualmente o con más frecuencia si:
• Estadísticas de los seguros
• Ha sido actualizado el AIN
• Estadísticas publicadas sobre frecuencias de desastres.
• Hay un cambio significativo en los procesos internos, las
Las técnicas y medidas específicas de reducción de amenazas que pueden adoptarse, incluyen:
• Hay un cambio significativo en el ambiente externo del negocio
• Seguir recomendaciones sobre seguridad física de diversas asociaciones profesionales de seguridad nacionales e
[55] GCN Guía de Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
instalaciones o la tecnología del negocio.
como el mercado o cambios regulatorios.
iStockphotos.com/lorrainedarke
Determinar la Estrategia de la Continuidad del Negocio
04
GCN – Técnicas de las Prácticas Profesionales
Determinar la Estrategia de la Continuidad del Negocio Introducción
[57] GCN [57] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
iStockphotos.com/lorrainedarke
“Determinar la Estrategia de la Continuidad del Negocio” es la práctica profesional dentro del Ciclo de Vida de la GCN que determina cuáles estrategias cumplirán con la Política de la GCN y los requerimientos organizacionales; y selecciona las respuestas tácticas de las opciones disponibles.
Determinar la Estrategia de la Continuidad del Negocio – 04
“Determinar la Estrategia de Continuidad del Negocio” utiliza la información obtenida del análisis en la etapa de “Entendimiento de la Organización” del proceso de GCN para identificar y seleccionar las opciones de recuperación y continuidad. Esto permitirá entrar en funcionamiento a las actividades de la organización después de una interrupción, antes de que la supervivencia de la organización esté amenazada por su pérdida. Se compone de tres elementos: 1. Identificación y Selección de las Estrategias. 2. Identificación y Selección de las de las Respuestas Tácticas a partir de las Opciones Disponibles. 3. Consolidación para Nivelar Recursos.
Principios Generales La Identificación y Selección de Estrategias idetermina las estrategias que están disponibles para apoyar la entrega continua de los productos y servicios de la organización dentro de sus Máximo Período Tolerable de Interrupción (MPTI) y Máxima Pérdida Tolerable de Datos (MPTD) previamente definidos. Evalúa las ventajas y desventajas de cada estrategia, acuerda las estrategias más apropiadas para investigaciones tácticas posteriores y cumple con el Tiempo Objetivo de Recuperación (TOR) y el Punto Objetivo de Recuperación (POR) para cada producto y servicio. La Identificación y Selección de las Respuestas Tácticas a partir de las Opciones Disponibles establece las tácticas que están disponibles dentro de las estrategias seleccionadas para cada actividad que la organización realiza para entregar sus productos y servicios; identifica los costos y dificultades asociados con cada táctica; selecciona las tácticas más apropiadas para la actividad; y confirma que los recursos suministrados cumplirán los requerimientos de recuperación y reanudarán la actividad en un TOR que es menor a su MPTI y un POR que es menor a su MPTD. La Consolidación para Nivelar Recursos reúne todos los recursos que van a ser suministrados a través de las estrategias y tácticas seleccionadas para ofrecer una visión consolidada de los requerimientos de recursos. Esto se utiliza para validar que las estrategias y tácticas son viables cuando son vistas desde una perspectiva global, y aprovechar el apalancamiento cuando se compran servicios comerciales de continuidad de negocio a terceras partes.
Identificación y Selección de Estrategias Introducción La organización necesita seleccionar las estrategias de GCN que la permitan proteger la entrega continua de sus productos y servicios. Esta sección abarca la identificación y selección de estas estrategias. Una cantidad de parámetros previamente establecidos serán usados como ayuda para identificar y seleccionar las estrategias apropiadas. El MPTI es el tiempo luego del cual la viabilidad de una organización será irreparablemente afectada si no se puede reanudar la entrega de un producto o servicio. El tiempo objetivo para reanudar la entrega de un producto o servicio después de su interrupción, se conoce como su Tiempo Objetivo de Recuperación (TOR). La Máxima Pérdida Tolerable de Datos (MPTD) es la pérdida de información actualizada (electrónica y de otro tipo) por la cual una organización puede ser incapaz de recuperar su capacidad operativa. La edad o el valor de los datos perdidos pueden hacer imposible la reanudación de sus operaciones. El tiempo objetivo para el peor caso de pérdida de datos, es conocido como su Punto Objetivo de Recuperación (POR). Un AIN y un ARC actualizado suministrarán el MPTI y el MPTD para cada producto y servicio dentro del alcance del programa de GCN. Estos también cuantificarán los requerimientos de recuperación para las actividades que apoyan la entrega de productos y servicios. Los parámetros TOR y POR para cada producto y servicio son definidos en esta sección. Esto conduce a la selección de las estrategias de GCN más apropiadas.
Conceptos Es necesario establecer las estrategias de recuperación y las opciones de soporte táctico, para determinar cual permitirá a la organización reanudar sus operaciones en una ventana de tiempo que cumpla tanto con el TOR como con el POR para cada producto y servicio. Para hacer esto de manera efectiva, se deben considerar ciertos conceptos con algún nivel de profundidad:
Balance entre Costo y Velocidad de Recuperación
En muy raras ocasiones, cuando el costo no es una consideración, sería posible definir e implementar una solución perfecta. Sin embargo, en la práctica normal de los negocios, siempre hay una compensación entre el costo y la velocidad de recuperación, la cual necesita ser balanceada cuando se selecciona la estrategia más apropiada. En muchas situaciones, es cierto que a menor TOR mayor es el costo para la organización, mientras que a menor TOR es más barata la solución. Por supuesto que un TOR prolongado incrementa la posibilidad de que la recuperación no se logre dentro del MPTI. Consecuentemente, la organización siempre debe buscar el balance entre la capacidad de recuperación contra unos costos alcanzables y razonables.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [58]
GCN – Técnicas de las Prácticas Profesionales
Distancia de Separación y el Concepto de “Off-site” Para mejorar su continuidad, una organización puede: mantener copias duplicadas de sus recursos vitales, utilizar múltiples proveedores, tener una réplica de sus operaciones en diferentes ubicaciones o tener sitios alternos para su recuperación. Como muchos incidentes con frecuencia generan pérdida de acceso a, o daño a un área geográfica o ubicación, existe la necesidad de estar a una distancia adecuada de separación entre los recursos originales y los duplicados, los diferentes proveedores, las operaciones replicadas o el sitio principal y el sitio alterno de recuperación. Como los incidentes pueden resultar en la destrucción completa de un lugar, es necesario asegurarse que los registros vitales en medio electrónico y en papel estén duplicados en otra ubicación separada geográficamente, de manera que les permita ser:
Proceso Es necesario realizar el siguiente proceso para cada producto o servicio dentro del alcance del Programa de GCN: • Identificar el MPTI y decidir sobre el TOR, de manera que el TOR sea menor que el MPTI.
• Identificar el MPTD y decidir sobre el POR, de manera que el POR sea menor que el MPTD.
• Si hay algunas estrategias operando, conducir un “Análisis de Brechas” para comparar el desempeño actual contra el desempeño requerido.
• Identificar las estrategias adecuadas que permitan alcanzar el TOR
• Accesibles rápidamente
• Analizar las estrategias por efectividad y costo.
• Recuperables para su uso dentro de una ventana de tiempo definida.
• Suministrar a la Alta Dirección la evaluación de las estrategias y
A pesar que una mayor dispersión geográfica por lo general disminuye la probabilidad de que dos sitios sean afectados por el mismo incidente, no existe distancia “mínima” o “correcta” para la separación. De hecho para algunas amenazas, como pandemias y virus informáticos globales, la distancia de separación no proporciona ninguna protección contra la probabilidad de que se experimente incidentes simultáneos.
Obtener el acuerdo de la Alta Dirección sobre las estrategias a utilizar. Éstas deben incluir la asignación financiera y de recursos para determinar e implementar las opciones tácticas que serán aceptables para cada actividad que apoya el producto o servicio.
Para muchos incidentes físicos convencionales, algunos cientos de metros probablemente proporcionen protección limitada debido a la forma como los servicios de emergencia usan barreras y suspenden o redireccionan el flujo del tráfico. Algunas organizaciones pueden utilizar su mercado o área de jurisdicción para definir el límite de su dispersión; otras pueden seleccionar la alternativa pragmática de situar un sitio alterno dentro del límite de que tan lejos juzgan que su Equipo de Trabajo puede viajar.
Diferentes Fases de Recuperación Hay tres fases o niveles a considerar cuando se identifican y seleccionan las estrategias para recuperar la entrega de un producto o servicio después de una interrupción: 1. Continuidad: Para un nivel inicial mínimo aceptable. 2. Recuperación: Para un nivel sostenible. 3. Reanudación: Regreso al nivel normal. Se requiere una Estrategia de Continuidad para cada producto o servicio, pero las estrategias de Recuperación y Reanudación, pueden no ser necesarias. Ejemplos de tales situaciones se incluyen cuando:
• El TOR está medido en semanas. • El nivel mínimo aceptable es muy cercano o igual al nivel sostenible. • La organización puede desear utilizar el incidente como una
oportunidad para cambiar la forma como opera, en cuyo caso puede ser apropiado esperar hasta después del incidente para determinar las estrategias de Recuperación y Reanudación.
[59] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
una recomendación.
Alcance Las estrategias deben incluir las siguientes consideraciones: • Sitios distribuidos (Operación Distribuida) • Replicación • Instalaciones de Reserva • Trabajo subcontratado • Adquisiciones posteriores al incidente • Seguros • No hacer nada Sitios Distribuidos (Operación Distribuida)
Requiere llevar a cabo las actividades de entrega del producto o servicio en dos o más sitios geográficamente separados, de manera que las operaciones puedan ser alternadas de un sitio al otro. Ambos sitios están activos. A pesar de que esta estrategia usualmente entrega un alto grado de resiliencia, puede ser muy costosa y no proteger a la organización si el incidente tiene alcance global como una pandemia o un virus informático. Esta estrategia es apropiada cuando el TOR está dado en minutos u horas en lugar de días.
Replicación
Una variación a los sitios distribuidos (operación distribuida) es replicar la capacidad de realizar todas las actividades requeridas en otro sitio geográficamente separado y movilizar a las personas
Determinar la Estrategia de la Continuidad del Negocio – 04
al sitio alterno luego del incidente. Un sitio está activo y el otro inactivo. Las instalaciones pueden ser obtenidas de un tercero o provistas por la misma organización. Esta estrategia puede ser apropiada cuando el TOR es mayor a unas cuantas horas y menor a un día, siempre y cuando el Equipo de Trabajo pueda desplazarse lo suficientemente rápido al sitio alterno para reanudar la entrega del producto o servicio dentro del TOR. Sin embargo, esta estrategia se basa en que el Equipo de Trabajo puede y está dispuesto a trabajar lejos del sitio normal durante lo que podría ser un periodo prolongado de tiempo.
Instalaciones de Reserva
Cuando el TOR es mayor a un día, una estrategia adecuada puede ser la de tener disponible unas instalaciones de reserva que se pueden poner en funcionamiento dentro del TOR. De nuevo, esta podría ser una instalación obtenida de un tercero o proporcionada por la misma organización. Esto es particularmente adecuado cuando una instalación ha sido cerrada temporalmente, pero con la capacidad de ser puesta en funcionamiento en el corto plazo. También se basa en que el equipo de trabajo puede y está dispuesto a trabajar lejos de su sitio normal durante lo que podría ser un período prolongado de tiempo.
Trabajo Subcontratado
iStockphotos.com/lorrainedarke
Algunas o todas las actividades necesarias para entregar un producto o servicio pueden ser objeto de subcontratación con terceros. Para los productos y servicios que tienen un TOR corto, estos acuerdos de subcontratación necesitan ser establecidos de antemano; pero para productos y servicios que tienen un TOR largo
podría ser posible esperar hasta después del incidente antes de entrar en un contrato. La subcontratación puede ser particularmente conveniente para la fabricación, donde el costo adicional de tener diversos sitios, réplicas o instalaciones de reserva podría ser demasiado costoso. Sin embargo, en algunas situaciones, la única opción de la subcontratación puede ser el uso de otra organización que opera en el mismo mercado, la cual podría ser un competidor. Si el TOR es menor a un día o dos y los arreglos para subcontratar se han establecido de antemano, la estrategia de mantener diseños, plantillas e inventarios de piezas y materias primas en, o cerca de sitio del subcontratista, puede ser una estrategia apropiada.
Adquisiciones posteriores al Incidente Para productos y servicios que tienen su TOR medido en días o semanas, una estrategia adecuada puede ser simplemente tener una lista de los requerimientos y de los proveedores que los puedan suministrar en el corto plazo. Se deben ordenar las instalaciones necesarias después de que el incidente ha sucedido. Esta no sería una estrategia adecuada para un producto o servicio que requiere equipo especializado, instalaciones o habilidades que son difíciles de obtener.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [60]
GCN – Técnicas de las Prácticas Profesionales
Seguros Los seguros, cuando están contratados de manera apropiada, proporcionan compensación financiera por la pérdida de activos, el incremento de los costos de trabajo, la reanudación de los negocios y protección por las responsabilidades legales asociadas. Sin embargo, es poco probable dar cobertura a la totalidad de los costos de un incidente, incluyendo la pérdida de clientes, el impacto de valor para los accionistas o la pérdida de reputación e imagen de la marca. Por lo tanto es importante, que las opciones de continuidad seleccionadas sean coherentes con la cobertura de los seguros de la organización. La cobertura de Interrupción del Negocio (IN) es la más estrechamente relacionada con la GCN, pero es importante tener en cuenta que por lo general esta sólo cubre las pérdidas del negocio que están asociadas a otras pérdidas asegurables (como la pérdida de edificaciones). Más recientemente, algunas aseguradoras han comenzado dar cobertura a un mayor número de interrupciones tales como fallas del proveedor. Para las PYMES (pequeñas y medianas empresas), los seguros pueden proporcionar algún apoyo útil después de la pérdida de personas clave debido a su muerte, lesión o renuncia.
No hacer nada En situaciones en las que el TOR está calculado en meses, puede ser aceptable la espera hasta después del incidente para decidir sobre la estrategia para recuperar un producto o servicio, especialmente si la entrega del producto o servicio no requiere: equipo especializado, instalaciones o habilidades que son difíciles de obtener.
Resultados y Revisión El principal entregable es un conjunto de estrategias de GCN que ha sido acordado con la Alta Dirección para cada producto y servicio dentro del alcance del programa de GCN; además de un acuerdo para proporcionar los recursos para establecer las opciones tácticas para alcanzar los objetivos estratégicos. Se debe llevar a cabo una revisión de las estrategias de la GCN después de haber sido probada cualquier capacidad de recuperación, y por lo menos una vez al año después de una actualización del AIN y del ARC. Un cambio significativo en cualquiera de los siguientes aspectos también debe llevar a la revisión de las estrategias de la GCN:
• Condiciones del mercado • Adquisiciones o fusiones • Productos o servicios • Requerimientos regulatorios o legales • Exigencias de los clientes
Identificación y Selección de Respuestas Tácticas Introducción El propósito de este paso es seleccionar las opciones tácticas apropiadas de continuidad para cada actividad que apoya la entrega de los productos y servicios de la organización, y para identificar que necesita hacerse para implementar las opciones seleccionadas. Estas tácticas estarán basadas en las estrategias de la GCN seleccionadas para cada producto o servicio. Las tácticas apropiadas para cada actividad necesitaran seleccionarse para cubrir los requerimientos en las áreas relevantes de:
• Personas (habilidades y conocimiento) • Ubicaciones (edificios e instalaciones) • Recursos > Tecnología de la Información > Telecomunicaciones > Información no electrónica (impresa) > Equipo • Proveedores (productos y servicios suministrados por terceros) • Para organizaciones manufactureras, es necesario prestar especial atención a:
> Procesos de producción > Materiales, logística e inventarios > Energía y servicios públicos Para realizar esta etapa, se deben tener disponibles los parámetros de TOR y POR con el ARC actualizado que identifique los requerimientos de recuperación. También deben estar disponibles las estrategias de GCN acordadas para cada producto y servicio.
Conceptos Determinar las tácticas de recuperación y seleccionar las soluciones apropiadas a partir de las opciones disponibles es la parte más detallada del Ciclo de Vida de la GCN. Esto debido a que es: a) La parte del proceso que probablemente incurrirá en la mayoría de los gastos b) La parte fundamental de la infraestructura técnica y operativa que se necesita para hacer viables los planes en la práctica.
Para hacer esto eficientemente es necesario considerar ciertos conceptos con alguna profundidad: Se debe tener en consideración lo siguiente: • Alcance de la planificación • Actividades urgentes • Tiempos Objetivos de recuperación para las actividades • Opciones de acuerdo al tiempo
[61] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Determinar la Estrategia de la Continuidad del Negocio – 04
• Confiabilidad • Revaluación de estrategias • Costos contra beneficios • Sitios de terceros para recuperación • Necesidades de los diferentes grupos de interés • Exigencias de los servicios de emergencia civil Alcance de la Planificación El alcance y el detalle que se requiere al planificar las tácticas de cada actividad, dependerá de la urgencia con la que se les requiera y de la complejidad de la reanudación. Actividades urgentes No todas las actividades asociadas a un producto o servicio necesariamente tienen que estar en funcionamiento dentro del TOR para los productos o servicios y en grandes organizaciones, la magnitud y la dificultad para determinar las opciones de la continuidad de todas las actividades sería poco práctico. Por estas razones, la definición de las opciones de continuidad debe concentrarse en las actividades más urgentes. Estas se han identificado durante la AIN, y generalmente consistirán en aquellas actividades en las que la MPTI de los productos y servicios a los que soportan, y por lo tanto el TOR, es relativamente corto.
Tiempo Objetivo de Recuperación para las actividades Cuando una actividad tiene que estar en operación para garantizar la entrega de un producto o servicio, el TOR para esa actividad debe ser menor o igual al TOR del producto o servicio que soporta.
Opciones de acuerdo al tiempo
Las opciones de continuidad de las actividades pueden cambiar con el tiempo en la medida en que la actividad se pasa por los tres niveles de recuperación:
1 Continuidad inicial: a un nivel mínimo aceptable 2 Recuperación: a un nivel sostenible 3 Reanudación: volver al nivel normal Confiabilidad
Cuando las opciones contempladas involucran la provisión de servicios por terceros, a menudo hay que tomar una decisión de gestión entre el costo y la confiabilidad del proveedor. Las promesas pueden variar desde acuerdos verbales de reciprocidad de “los mejores esfuerzos” a niveles de servicio formalizados contractualmente. Cuanto más corto sea el TOR, la confiabilidad se convierte en lo más importante para la entrega.
Revaluación de estrategias
No es raro encontrar que existe la necesidad de re-evaluar las estrategias de GCN para un producto o servicio una vez que se han
revisado las opciones tácticas de continuidad para las actividades que apoyan su entrega.
Análisis Costo-beneficio
Es difícil utilizar el análisis convencional de costo-beneficio para justificar el costo de las medidas de protección o de continuidad porque se requiere realizar supuestos sobre la probabilidad de ocurrencia de los incidentes. Las industrias manufactureras y de servicios que proveen a otras empresas pueden ser capaces de sustentar que se puede lograr aumentar las ventas o mejorar los márgenes, mediante la demostración de las capacidades de la GCN (por ejemplo, mejorar la confiabilidad) a sus clientes y por tanto muestran un beneficio en comparación con los costos. Esto es más difícil de demostrar cuando el servicio es no comercial o se presta como un servicio público.
Sitios de terceros para recuperación
Los arreglos de sitios con terceros están ampliamente disponibles en muchos países. Las opciones varían ampliamente y se discuten con mayor detalle en el Anexo 1.
Necesidades de los diferentes grupos de interés
Existen muchas personas y grupos afectados por un incidente. Por ejemplo, en un gran incendio puede haber contratistas heridos, residentes locales evacuados de sus viviendas y las empresas locales tienen que cerrar por razones de seguridad o sufrir una reducción en su comercio. Deben estar entendidos los niveles de responsabilidad de la organización (tanto legales como morales) para estos grupos. La organización debe asegurar que las necesidades de los diversos grupos de interés están satisfechas al seleccionar las opciones de continuidad, de lo contrario, pueden obstaculizar los esfuerzos posteriores de recuperación. Por ejemplo, los residentes locales podrían presionar a las autoridades locales para negar el permiso para la reconstrucción en un sitio dañado.
Exigencias de los servicios de protección civil
La organización debe estar familiarizada con los procedimientos de los servicios de emergencias locales y el contacto con estos grupos por adelantado puede proporcionar información útil para ayudar a seleccionar las opciones tácticas. Las organizaciones de respuesta a las emergencias civiles deben implementar su propio programa de GCN para garantizar que la interrupción de sus instalaciones no constituye un obstáculo para el servicio de respuesta que debe proporcionar a la comunidad. En muchos países, la planificación de la GCN es un requisito legal para los servicios de protección civil.
Proceso El proceso incluye los siguientes pasos:
• Identificar las actividades a incluir para cada producto o servicio. • Determinar el TOR y el POR para cada actividad de acuerdo con el producto o servicio que ésta apoya. • Identificar las opciones tácticas para cada actividad.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [62]
GCN – Técnicas de las Prácticas Profesionales
Alcance El alcance de esta parte del proceso es complejo y exigente. A menudo, podrá ser necesario contar con asesoramiento técnico de expertos en otros campos, en particular para empresas manufactureras. Por lo general, especialistas en compras y suministros, manejo de inventarios y planificación de la capacidad podrían necesitarse para ayudar a definir las tácticas más apropiadas. En términos generales, el profesional de la GCN necesita asegurar que las siguientes áreas están contempladas en cualquier solución táctica:
• Personas • Edificaciones • Recursos • Proveedores Debido a las grandes diferencias en los tipos de negocios que implementarán la GCN, no es posible una Guía como ésta para que señalar cuáles tácticas serán las adecuadas para cada empresa, sector o ubicación geográfica. Sin embargo, el Anexo 1 suministra recomendaciones relevantes que podrán ayudar en el proceso de selección y decisión. A pesar de que las opciones seleccionadas necesitan trabajar
[63] GCN [63] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
de manera aislada (por ejemplo, en el evento que la pérdida es únicamente un sistema de información o una sola línea de producción), también necesitan trabajar conjuntamente (por ejemplo cuando un edificio se pierde en un desastre que destruye todos los recursos en el edificio, deja algunos integrantes del equipo de trabajo no disponibles para laborar y también interrumpe el servicio de un proveedor local crítico).
Resultados y Revisiones Los resultados y entregables de esta etapa son: • Un conjunto de opciones tácticas de continuidad aprobadas por la Alta Dirección.
• Financiación y recursos aprobados para implementar las opciones tácticas acordadas.
• La relación de proyectos para la implementación de las opciones tácticas acordadas. Otro resultado puede ser la reevaluación de las estrategias de GCN seleccionadas para un producto o servicio, si las opciones tácticas demuestran no estar disponibles o ser costosas. Al menos cada 12 meses se debe hacer una revisión para asegurar que ha sido seleccionada la opción de continuidad más apropiada para cada actividad urgente e importante, y después de cualquier cambio en las estrategias de la GCN sobre cualquier producto o servicio que apoya la actividad. Cualquier cambio significativo en los siguientes aspectos también puede implicar una revisión:
• Las habilidades requeridas para realizar la actividad. • Las edificaciones en las cuales se lleva a cabo la actividad. • Los recursos utilizados por la actividad (particularmente TI). • Los proveedores de los que depende la actividad.
iStockphotos.com/lorrainedarke
• Analizar las opciones por efectividad y costo • Entregar a la Alta Dirección una evaluación de las opciones y recomendaciones. > Obtener un acuerdo con la Alta Dirección sobre las tácticas a utilizar incluyendo las disposiciones financieras y de recursos para su implementación. > Identificar los proyectos de la implementación para cada táctica seleccionada.
Determinar la Estrategia de la Continuidad del Negocio – 04
Consolidación de Niveles de Recursos Introducción El propósito de consolidar los niveles de recursos es: • Asegurar que las tácticas seleccionadas son consistentes a lo
largo de la organización. • Asegurar que las tácticas seleccionadas no generan conflicto entre sí (por ejemplo que diferentes actividades no se planeen para utilizar los mismos recursos internos para la recuperación). • Determinar la mejor forma para obtener los requerimientos externos (por ejemplo los sitios de recuperación proporcionados por terceros). • Apoyar en la definición del número y estructura de los Planes de Continuidad de Negocio.
Después de haber seleccionado las opciones tácticas de continuidad más apropiadas para cada actividad importante y urgente, es necesario consolidar los requerimientos de recursos de las tácticas.
Conceptos y Supuestos A menudo se asume que los servicios requeridos estarán disponibles comercialmente. En muchos países este no es necesariamente el caso y algunos gobiernos no permitirán a las organizaciones obtener tales servicios fuera de sus fronteras. Cuando los servicios de recuperación de terceros, requeridos por las tácticas consolidadas, no están disponibles; esto llevará a la organización a reevaluar tanto las estrategias de BCM como las opciones tácticas continuidad. Un resultado de esta situación, puede ser que la organización decida suministrar sus propias instalaciones de recuperación y ofrecerlas para compartirlas comercialmente con otras organizaciones que se enfrentan al mismo dilema. Este enfoque es particularmente relevante en países en los que los proveedores de estos servicios aún no han establecido su presencia comercial.
Proceso Este proceso está compuesto por los siguientes pasos: • Agregar los requerimientos de recuperación de las opciones tácticas de continuidad seleccionadas.
• Verificar que las tácticas seleccionadas son consistentes a lo largo de la organización.
• Validar que las tácticas seleccionadas no generan conflictos
entre sí. • Verificar que los requerimientos consolidados de recuperación con los terceros se pueden obtener. • Reevaluar las opciones tácticas de continuidad si se encuentran inconsistentes o generan conflictos. • Suministrar a la Alta Dirección una evaluación de los requerimientos consolidados. • Obtener un acuerdo con la Alta Dirección para cualquier cambio de las tácticas a utilizar incluyendo las disposiciones de financiación y de recursos para su implementación. • Actualizar los proyectos identificados para implementar las opciones tácticas acordadas, según se requiera. • Establecer los proyectos para implementar las opciones tácticas acordadas.
Resultados y Revisión Los resultados y entregables de la Consolidación para Nivelar Recursos, son: • El listado de proyectos para implementar las opciones tácticas acordadas. • El listado consolidado de los requerimientos de recursos de terceros para utilizarlo en la compra de los recursos. • Detalles de las tácticas y de los requerimientos de recursos de recuperación que se utilizarán en el desarrollo de los Planes de Continuidad del Negocio. La Consolidación para Nivelar Recursos debe revisarse siempre que se presente un cambio en las opciones tácticas seleccionadas para una actividad. También debe revisarse cuando haya un cambio en la organización que pueda afectar el suministro de los recursos de recuperación provistos internamente y cuando se renueven los contratos de recuperación con terceros. Esto puede resultar en un cambio tanto de la estrategia de recuperación como en los medios tácticos para su entrega.
Cuando los servicios de recuperación de terceros, requeridos por las tácticas consolidadas, no están disponibles; esto llevará a la organización a reevaluar tanto las estrategias de BCM como las opciones tácticas continuidad
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [64]
[65] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
iStockphotos.com/lorrainedarke
Desarrollar e Implementar una Respuesta de la GCN
05
GCN – Técnicas de las Prácticas Profesionales
Desarrollar e Implementar una Respuesta de la GCN Introducción “Desarrollar e implementar una Respuesta de la GCN” es la práctica profesional dentro del Ciclo de vida de la GCN que implementa las estrategias acordadas a través del proceso de desarrollar un conjunto de Planes de Continuidad del Negocio. El objetivo de los diferentes planes que abarca esta etapa es identificar, en la medida de lo posible, las acciones y recursos necesarios para permitir a la organización manejar una interrupción sin importar su causa; y retornar a un estado en el que los procesos normales de negocio se puedan reanudar.
[67] GCN [67] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
Desarrollar e Implementar una Respuesta de la GCN – 05
Los requerimientos clave para una respuesta efectiva son: • Un procedimiento claro de escalado y control del incidente (estructura de respuesta a incidentes) • Comunicación con los grupos de interés • Planes para reanudar las actividades interrumpidas Estos resultados pueden lograrse de diferentes maneras y con diferentes estructuras; y cualquiera que sea la estructura adoptada, es importante que la estrategia seleccionada sea adecuada para la cultura de la organización. Las acciones descritas en los planes no están destinadas a cubrir todas las eventualidades, dado que por su naturaleza, todos los incidentes son diferentes. Los procedimientos pueden necesitar adaptarse a un evento específico que ha ocurrido y a las oportunidades que éste puede haber abierto.
Principios Generales Aunque el término Plan de Continuidad del Negocio (PCN) implica un solo documento, en realidad abarca un número de actividades diferentes y usualmente estará conformado por múltiples planes. El PCN puede existir a cualquier nivel de la organización y puede bajar a cualquier nivel de detalle procedimental. Puede abarcar la organización completa o una parte de ella; y puede estar definido para el ámbito de productos, servicios, instalaciones, divisiones, departamentos y en circunstancias especiales para escenarios particulares. Sin embargo, existen cinco tipos de planes que corresponden a cinco etapas superpuestas de respuesta y cualquiera de ellos puede aparecer en cualquier PCN a cualquier nivel. Las cinco etapas, son: 1. Respuesta a la emergencia: Respuesta inmediata a una emergencia como por ejemplo un Plan de Evacuación. 2. Gestión del Incidente: La gestión de respuesta al incidente como por ejemplo un Plan de Comunicaciones en Crisis. 3. Continuidad: La respuesta inicial del negocio para asegurar que las actividades esenciales pueden continuar operando a un nivel mínimo aceptable. 4. Recuperación: Un plan para recuperar actividades a un nivel sostenible. 5. Reanudación: Un plan para reanudar las operaciones a lo que la organización define como “normal”.
La naturaleza de la mayoría de las actividades del negocio puede clasificarse como estratégica, táctica u operativa; los profesionales de Continuidad del Negocio deben reconocer que los tres elementos usualmente están presentes en algún grado dentro de todos los PCN´s. Es importante que los PCN´s abarquen los tres niveles y sus problemas asociados. Sin embargo, no existe una definición absoluta de qué es estratégico, qué es táctico y qué es operativo. Como estas son vistas, es determinado usualmente más por el contexto que por la teoría. Esto significa que no existe una solución única sobre cómo estructurar los planes. Esto también muestra que tanto la experiencia general en el negocio como el conocimiento de la GCN necesitan combinarse para encontrar la estructura óptima para una organización en particular.
Tipos de Planes El término Plan de Continuidad del Negocio PCN puede definirse como:
El conjunto de procedimientos documentados e información que ha sido desarrollada, recopilada y mantenida a disposición para su uso durante un incidente, para permitir a la organización continuar con la entrega de sus actividades más importantes y urgentes a un nivel aceptable predefinido. Existen otros términos de uso común, los cuales corresponden a formas especializadas del PCN. Aunque se evidencia dentro de la definición genérica anterior, los planes de Respuesta a la Emergencia y los Planes de Gestión de Incidentes en algunas organizaciones se administran de manera separada de la GCN. En algunas organizaciones, los departamentos de la Tecnología de la Información y las Comunicaciones TIC aún se refieren a sus planes como Planes de Recuperación de Desastres PRD.
Otros nombres para planes especializados, son: • Plan de Gestión de Crisis
• Plan de Respuesta a Medios • Plan de Retiro de Producto • Plan para Pandemias • Plan de Continuidad de las Operaciones En el contexto de esta guía, todos los planes (cualquiera sea su denominación), se ajustan a la definición genérica considerada para los PCN.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [68]
GCN – Técnicas de las Prácticas Profesionales
Estructura de Respuesta ante un Incidente Introducción Independiente de la causa del incidente que genera una interrupción o impacto en el negocio, debe estar en funcionamiento una estructura de respuesta ante incidentes documentada y completamente entendida. Esta estructura abarcará tres tipos o niveles de actividades de gestión:
1. Estratégica 2. Táctica 3. Operativa
La estructura de respuesta adoptada por una organización necesita manejar todos los niveles, y para cada plan que se desarrolle e implemente como parte de la estructura, es necesario establecer un equipo de respuesta con procedimientos claros para el escalado y control. Un ejemplo de esto, es la técnica utilizada por los Servicios de Emergencia del Reino Unido, quienes definen estos tres niveles de respuesta al incidente como Oro, Plata y Bronce. La forma como se aplican las responsabilidades de este modelo a la estructura de respuesta de una organización, se muestra en el siguiente gráfico. (ver más abajo) Este modelo es solo un ejemplo de una adecuada estructura de respuesta, aunque la característica esencial de cualquier modelo de respuesta es la necesidad de escalar información hacia arriba y de comunicar decisiones hacia abajo. El enfoque es particularmente efectivo en las dos fases iniciales asociadas con la implementación del PCN: Respuesta a la Emergencia y Gestión del Incidente.
Oro
Planes de Gestión de Incidentes (PGI) Aunque este plan es parte del proceso de Planificación de la Continuidad del Negocio, se le considera como un único PCN por derecho propio. Este plan tiene algunas características especiales que lo diferencian de los planes tácticos y operativos, los cuales conforman la mayor parte de los planes del portafolio de PCN´s. Este plan está definido como:
Un plan de acción documentado para ser utilizado al presentase un incidente. Incluye las personas clave, los recursos, los servicios y las acciones necesarias para implementar el proceso de la Gestión de Incidentes. Este es un PCN de nivel Estratégico que define cómo deben abordarse y gestionarse por parte de la alta Dirección los problemas estratégicos derivados de un incidente mayor. El plan también puede utilizarse en los casos en que el incidente no está completamente dentro del alcance del programa de la GCN. Este puede incluir crisis no resultantes de interrupciones como tomas hostiles, exposición a noticias negativas de los medios y aquellos en los que el impacto afecta un área mayor a la considerada por la estrategia de la GCN, como el caso de las emergencias nacionales. La respuesta a los medios sobre cualquier incidente, usualmente se gestiona a nivel estratégico, aunque algunas organizaciones pueden gestionarla a un nivel táctico. El PGI en algunas ocasiones es conocido como el “Plan de Gestión de Crisis”; sin embargo, reportar en los medios que una organización ha invocado a su “Equipo de Gestión de Crisis”, pueden llevar a la gente a pensar que la organización está en una crisis. El término “Incidente” tiene connotaciones menos negativas por lo que se le prefiere en este documento.
Estratégico
Escalamiento
Control
Plata
Bronce
[69] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Equipo de Respuesta Estratégica
Táctico
Equipo de Respuesta Táctica
Operacional
Equipo de Respuesta Operacional
Desarrollar e Implementar una Respuesta de la GCN – 05
Planes de Nivel Táctico
Línea de Tiempo
Los planes de nivel táctico conforman la mayor parte del portafolio de PCN. Estos planes están dirigidos para controlar la interrupción del negocio o las pérdidas desde la respuesta inicial hasta el momento en que las operaciones de negocio son recuperadas; y se basan en las Estrategias de la Continuidad del Negocio acordadas. Un plan de nivel táctico coordina la recuperación, asegurando que las operaciones cubiertas por el plan, trabajen para un objetivo común y que donde los recursos son escasos, estos son asignados a las actividades más urgentes.
Los equipos de respuesta en los tres niveles, no necesariamente requieren invocar sus planes de manera simultánea. La invocación puede iniciar a nivel operativo y escalar al nivel estratégico. De manera alterna, la invocación puede iniciar a nivel estratégico y descender en cascada a los equipos operativos. En la medida en que la organización inicia su recuperación y restaura sus operaciones normales, es probable que el equipo estratégico sea el primero en retirarse, seguido por los equipos tácticos y por último los equipos operativos.
Donde existe una gran cantidad de planes de nivel operacional, uno de los roles del equipo de respuesta táctica es resolver los conflictos entre estos planes para asegurar una recuperación coordinada. Los planes de nivel táctico pueden cambiar las prioridades acordadas y las estrategias de recuperación para tomar en cuenta cambios estacionales (temporadas) y en las condiciones del negocio; o por instrucción de la Alta Dirección. Si el evento se produce por fuera del alcance de los supuestos en los que se basan los planes tácticos, la situación debe escalarse a la Alta Dirección quienes gestionan los problemas de nivel estratégico.
Planes de Nivel Operativo Los planes de nivel operativo están diseñados para la reanudación de las funciones del negocio desde el inicio del incidente hasta la fase de regreso a la “Operación Normal”. Se basan en los requerimientos de recuperación y las tácticas de continuidad del Negocio acordados; y establecen los procesos y procedimientos para la recuperación de las actividades en los niveles acordados de operación. Para los departamentos que gestionan infraestructura, los planes de nivel operativo suministran la estructura para restaurar los servicios existentes o suministrar instalaciones alternas para apoyar la recuperación de otras unidades del negocio. Los planes también pueden elaborarse para otros servicios de apoyo como Recursos Humanos que pueden tener un rol especializado en el apoyo a la recuperación o proporcionar asesoría especializada.
Proceso Estos niveles de respuesta proveen un modelo adecuado para organizaciones de cualquier tamaño, pero necesitan implementarse de manera que se ajusten a la estructura de gestión y a la cultura de la organización. A continuación se presentan ejemplos de cómo los niveles pueden ser implementados en diferentes tipos de organizaciones.
Organizaciones Pequeñas con una Sede Única En organizaciones pequeñas con una sede única, todos los niveles de repuesta pueden ser implementados como un solo plan con un único equipo de respuesta que cubra todos los aspectos estratégicos, tácticos y operativos de la respuesta.
Organizaciones de tamaño Mediano En organizaciones de tamaño mediano, los niveles de respuesta pueden implementarse de la siguiente forma: • Estratégico: Un PMI con un equipo de respuesta conformado por
la Alta Dirección.
• Táctico: Un único PCN que abarque la recuperación de todas
las operaciones de la organización, con un equipo de respuesta conformado por la dirección operativa.
• Operativo: cubierto por el PCN (con excepción de la Tecnología
de la Información y las Comunicaciones, que requiere de detalles técnicos y tiene su propio plan de recuperación operativo con un equipo de respuesta técnico de TIC).
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [70]
GCN – Técnicas de las Prácticas Profesionales
Organizaciones Grandes En organizaciones grandes los niveles de respuesta pueden implementarse de la siguiente manera: • Estratégico: Un PMI con un equipo de respuesta conformado por la Alta Dirección. • Táctico: Un determinado número de PCN´s, cada uno abarcando una división principal, producto, servicio o instalación, y cada uno con su propio equipo de respuesta conformado por la dirección operativa responsable de las áreas cubiertas por el PCN. • Operativo: Cubierto por PCN´s individuales (con excepción de las principales funciones de apoyo de Tecnología de la Información y las Comunicaciones, Finanzas, Instalaciones y Recursos Humanos, cada una de las cuales cuenta con su propio equipo especializado de respuesta).
Grandes Organizaciones Multinacionales En grandes organizaciones multinacionales los niveles de respuesta pueden implementarse de la siguiente manera: • Estratégico: Un PGI global con el equipo de respuesta conformado por la Alta Dirección con responsabilidades globales y un PGI para cada territorio con el equipo de respuesta compuesto por la Alta Dirección de cada territorio. • Táctico: Cada territorio tiene un determinado número de PCN´s cada uno abarcando grandes divisiones, servicios o instalaciones; y con su propio equipo de respuesta conformado por la gerencia operativa responsable de las áreas cubiertas por el PCN. • Operativo: Cada departamento o sede cubierto por un PCN que tiene su propio detalle del plan de respuesta operativo con su propio equipo de respuesta conformado por los gerentes operativos del departamento o sede y planes separados para las principales funciones de apoyo: Información y las Comunicaciones, Finanzas, Instalaciones y Recursos Humanos cada uno con su propio equipo de respuesta especializado.
Los planes de nivel operativo están diseñados para la reanudación de las funciones del negocio desde el inicio del incidente hasta la fase de regreso a la “Operación Normal”.
[71] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Desarrollo y Gestión de Planes Introducción La estructura seleccionada para la respuesta al incidente, la estrategia de la GCN y el tamaño y diversidad del negocio, determinarán la cantidad y tipo de planes para poner en marcha. Idealmente, los planes tácticos y operativos no se desarrollarán hasta tanto la organización no haya definido y acordado su estrategia; aunque para organizaciones sin arreglos operando, la respuesta a nivel estratégico (normalmente el PGI) puede implementarse de antemano para proporcionar protección limitada en el ínterin. Cada plan siempre debe contener supuestos sobre la magnitud máxima del incidente en términos de extensión, duración o el equipo de trabajo afectado.
Proceso Los pasos clave en el desarrollo de un plan incluyen: • Establecer un dueño. • Definir los objetivos y el alcance. • Desarrollar y aprobar un proceso de desarrollo para el plan y para el programa. • Crear un equipo de planificación. • Crear un equipo de respuesta. • Acordar las responsabilidades del equipo de respuesta y su relación con otros planes y equipos de respuesta (estratégica, táctica y operativa). • Definir la estructura, formato, componentes y contenido del plan. • Definir las estrategias, como instalaciones alternas, sobre las que se basa el plan. • Recopilar información para confeccionar el plan. • Generar un borrador del plan. • Circular el borrador del plan para consulta y revisión. • Recopilar la retroalimentación de la consulta. • Modificar el plan según sea el caso. • Acordar y validar el plan, por ejemplo utilizándolo en un ejercicio. • Acordar un programa de ejercicios y mantenimiento continuo del plan para asegurar que permanece actualizado.
Desarrollar e Implementar una Respuesta de la GCN – 05
Métodos y Técnicas
Contenido
Los métodos, herramientas y técnicas para facilitar el desarrollo de planes, incluyen: • Planificación del escenario. • Entrevistas (estructuradas y no estructuradas). • Listas de verificación. • Sesiones de trabajo (talleres). • Amenazas identificadas. • Incidentes previos. • Riesgos locales conocidos.
Todos los planes bien sea que operen a nivele estratégico, táctico u operativo, deben contener un número de elementos similares:
Formato y Contenido Los planes deben ser concisos y fáciles de leer. Pueden ser de diseño modular de manera que se puedan suministrar sólo las secciones separadas a los equipos que lo requieran. Si se adopta este modelo, es importante que alguien asuma el rol de coordinación global. Se puede adoptar una serie de métodos y técnicas para desarrollar los planes; éstas se describen más adelante en este capítulo. Sin embargo, cualquiera que sea el método utilizado, los planes no deben desarrollarse de manera aislada y cualquier persona que tenga un rol identificado, debe consultarse durante la etapa de desarrollo.
• Propósito. • Alcance. • Objetivos. • Supuestos. • Estructura para la gestión del incidente (para la organización como un todo). • Responsabilidades del equipo de respuesta. • Integrantes del equipo de respuesta. • Responsabilidades individuales para los integrantes del equipo de respuesta. • Instrucciones para la invocación. • Autoridad para invocar. • Instrucciones para el equipo de movilización • Ubicación de la salas de reuniones del equipo (centro de comando) • Comunicaciones (que abarquen a los equipos de trabajo, grupos de interés, clientes, medios, entre otros). • Listas de actividades. • Información clave de etapas previas del Ciclo de Vida de la GCN. • Datos de contacto (usualmente se dejan como anexos).
iStockphotos.com/lorrainedarke
El plan debe contener las instrucciones iniciales para su acción y para las acciones o decisiones específicas que el equipo necesite tomar.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [72]
GCN – Técnicas de las Prácticas Profesionales
Roles y Responsabilidades Los roles del equipo y de individuos específicos deben estar documentados; y cada rol debe tener identificado su suplente. Las responsabilidades para el equipo o los individuos nombrados, pueden incluir: • Líder del Equipo: es quien debe asegurar que el equipo de respuesta está asignado adecuadamente y ser capaz de realizar designaciones de ser necesario. • Comunicaciones internas: acordar el cronograma de reanudación con otros equipos de respuesta. • Comunicaciones externas: con grupos de interés y medios. • Operaciones. • Soporte técnico. • Apoyo administrativo. • Personal de Registro (Logger): mantener el registro (bitácora) de las decisiones a lo largo del incidente.
Instrucciones para la Invocación/Movilización Las circunstancias bajo las cuales el equipo será activado deben estar documentadas y las personas autorizadas para realizar la invocación deben estar definidas. Sin embargo, debido a la naturaleza de los incidentes, se debe permitir flexibilidad y en caso de duda fomentar la acción, dado que es más fácil detener un equipo que activarlo después de que el incidente ha evolucionado. Los medios por los cuales el equipo será activado deben estar documentados de manera que las decisiones puedan tomarse en el tiempo más corto posible. Dependiendo de la naturaleza del incidente el equipo puede reunirse continuamente, una o varias veces al día.
Sala de Reuniones Para desastres de gran magnitud o para organizaciones muy dispersas geográficamente, puede ser apropiado utilizar el concepto de un Equipo de Gestión de Incidentes virtual con un Centro de Comando virtual; siempre y cuando pueda ser garantizada las capacidades de telecomunicaciones y el acceso compartido a la información crítica.
[73] GCN [73] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
De antemano, el equipo debe acordar un número de posibles sitios de reunión favoreciendo aquellos que cuentan con los recursos requeridos. En una invocación, el primer notificado debe identificar el sitio más adecuado y un sitio alterno de reserva, con base en la información disponible. Se deben predefinir al menos dos sitios que actuarán como Centro de Comando (Centro de Gestión del Incidente o sala de control). Probablemente uno esté ubicado en el sitio donde normalmente opera el equipo de respuesta, pero el otro debe ser externo. La sede externa no tiene que ser de propiedad de la organización. Con acuerdos previos, un hotel 24 horas puede estar disponible para suministrar todos los servicios requeridos por la mayoría de las organizaciones. Se debe considerar cómo utilizar el espacio de la mejor forma para las necesidades de:
• • • •
Comunicaciones: entrantes y salientes. Registro y grabación de eventos, acciones y problemas. Monitoreo de radiodifusión. Control de ingreso
Recursos Se deben considerar los siguientes recursos: • Tableros y marcadores para escribir. • Teléfonos, incluyendo al menos uno con línea de salida externa y un sistema de grabación de llamadas. • Servicio de atención / línea de ayuda. • Comunicadores móviles, teléfonos celulares, fax, correo electrónico e internet. • Equipos de monitoreo de televisión y radio. • Papelería de oficina. • Un medio para el registro de todas las acciones. • Alimentación / servicio de cafetería. • Instalaciones locales o cercanas para dormir. Se puede mantener hardware e información, fuera de las instalaciones, en el sitio alterno; en una caja fuerte denominada “caja de batalla”, “Piñata (grab bag)” o “caja de recuperación”.
Desarrollar e Implementar una Respuesta de la GCN – 05
Actividades de las Personas
Coordinación con los Servicios de Emergencia
Las organizaciones tienen la responsabilidad (las cuales pueden estar obligadas legalmente) de salvaguardar el bienestar de sus empleados, contratistas, visitantes y clientes. Todas las estrategias de la GCN deben tener en cuenta los aspectos de bienestar durante el incidente y durante la fase de recuperación. Es más probable la cooperación voluntaria por parte de las personas, ante exigencias extras, si se atienden sus necesidades de bienestar.
Se debe asignar un equipo con un nivel adecuado de experiencia y autoridad para servir como enlace con los servicios de emergencia en el momento de su llegada al sitio y posteriormente según se requiera.
Situaciones a considerar: • Las necesidades especiales incluyen: > Embarazo > Discapacidad > Responsabilidades familiares • Manejo de situaciones relacionadas con lesiones graves o fallecimientos (en consulta con los servicios de emergencia y de acuerdo con las regulaciones y costumbres locales).
Mientras tanto en el sitio, las instrucciones de los servicios de emergencia tienen prioridad sobre las dadas por los propios equipos de trabajo de la organización.
iStockphotos.com/lorrainedarke
Durante un incidente, uno o más individuos deben asumir la responsabilidad por: • Evacuación del sitio. • Conteo de los funcionarios, contratistas y visitantes. • Comunicaciones en sitio con el equipo de trabajo y otros. • Comunicación con el contacto de emergencias o familiares cercanos. • Servicios de traslado. • Asistencia en transporte. • Creación de una línea de ayuda al equipo de trabajo. Subsecuentemente existen necesidades adicionales que incluyen: • Acomodación temporal. • Servicios de asesoría y rehabilitación: este puede proporcionarse como parte del paquete de salud de cada empleado. • Necesidades de bienestar en sitios alternos: > Necesidades especiales. > Alimentación / servicio de cafetería. > Personal de seguridad y servicios seguridad física. > Transporte y accesibilidad. > Formación apropiada sobre los equipos de reemplazo.
A los servicios de emergencia se les debe proveer información sobre la ubicación de víctimas, el estado de la situación y cualquier peligro conocido que puedan encontrar.
Tan pronto los servicios de emergencia se han marchado, la organización retoma la responsabilidad por la seguridad de su propia sede.
Comunicación Puede requerirse realizar comunicaciones con los siguientes grupos: • Grupo de trabajo, parientes, amigos y contactos de emergencia. • Clientes. • Proveedores. • Integrantes o sectores de la población. • Accionistas, inversionistas, integrantes de la junta directiva o propietarios. • Otros sectores de la organización. • Autoridades regulatorias. • Medios: periódicos nacionales y locales, radio, televisión, internet y otros medios. Las responsabilidades del equipo de respuesta para comunicarse con cada uno de estos grupos deben estar acordadas de antemano como parte del desarrollo de la estructura de respuesta al incidente.
Medios El plan de nivel estratégico debe indicar cómo la organización gestionará las comunicaciones con los medios. Pero todos los planes deben incluir una referencia al plan de medios y las instrucciones al equipo de trabajo sobre lo que deben hacer en caso de ser abordados por los medios. Los planes también deben contener información sobre las acciones que debe realizar el equipo de trabajo, si están involucrados en un incidente que probablemente atraiga la atención de los medios y a quien deben informar.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [74]
GCN – Técnicas de las Prácticas Profesionales
Los métodos y técnicas que se deben utilizar para asegurar la calidad de los planes, incluyen: • Verificar que los planes reflejen la información recogida y documentada de las etapas previas del proceso de la GCN. • Verificar que los planes reflejan las estrategias acordadas de la GCN. • Verificar que el estilo de los planes refleja la cultura de la organización. • Revisar la mejor manera de mantener los números de contacto y si éstos deben o no estar incluidos en los planes. • Revisar la utilización de nombres de individuos y/o nombres de cargos en los planes (el uso de nombres puede llevar a cambios frecuentes al plan). • Considerar la forma de acortar el plan si éste ha quedado muy extenso. • Verificar que los planes se ajustan a los estándares de control de documentos acordados para la GCN. • Verificar que las secciones del plan están en una secuencia lógica. • Invitar a alguien que no conozca los planes para que los lea y
[75] GCN [75] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
señale cualquier detalle o información adicional que se pueda necesitar para implementarlos. • Verificar que los planes se puedan leer: aunque los diseños y formatos pueden variar de una empresa a otra, hay una serie de consejos que se pueden adoptar para hacer que los planes sean fáciles de usar; tales como usar separadores, papel de colores y anexos). • Asegurarse de que los planes no contienen información innecesaria.
Resultados y Revisión El resultado de este proceso es un conjunto de planes actualizados y efectivos que abarcan la respuesta estratégica, táctica y operativa a los incidentes que pudieran causar interrupciones importantes a las operaciones de la organización. El programa de la GCN debe identificar un régimen de mantenimiento y cualquier cambio que surja de éste, requiere ser incorporado al proceso de planificación para asegurar que los planes y procedimientos se mantienen actualizados.
iStockphotos.com/lorrainedarke
Aseguramiento de Calidad
Desarrollar e Implementar una Respuesta de la GCN – 05
Planes Estratégicos Introducción Aunque los principios básicos y el enfoque para desarrollar los PCN son similares en todos los casos, se necesitan diferentes grados de énfasis para los diferentes niveles de planes. La necesidad de involucrar a la Alta Dirección en el desarrollo e implementación de los PCN es esencial tanto para la respuesta inmediata exitosa como para la Continuidad del Negocio en curso. Casos de estudio de incidentes mayores sugieren que la rápida y eficaz gestión de una crisis es el factor más importante para proteger la marca de la organización de los daños financieros y de la reputación. Algunos incidentes requerirán una respuesta de nivel estratégico que no resulta de la interrupción de las actividades (por ejemplo aquellas amenazas que solo involucran a la reputación) y por tanto no involucran la respuesta completa del PCN. Sin embargo, cuando se requiere la respuesta completa del PCN, existe la necesidad de involucrar al equipo de nivel estratégico, aunque sólo sea para que tome conciencia de la situación en caso de que se le escale. Para organizaciones que no cuentan con planes en curso, el primer elemento a desarrollar puede ser un plan de nivel estratégico, que producirá una cantidad limitada de protección mientras se desarrollan otros planes. Los términos utilizados en estas guías para los diferentes tipos de planes no se aplican universalmente, de manera que es importante que la organización seleccione los nombres que se ajusten a su propia cultura y estructura y que se incluyan los roles descritos.
Métodos y Técnicas Se pueden utilizar plantillas para apoyar la implementación de los procedimientos estándar.
Contenidos Como por naturaleza todas las crisis son diferentes, un plan de nivel estratégico es un conjunto de recursos y componentes que puede ser útil para el equipo encargado de activar el plan y debe incluir un elemento de comunicaciones. El contenido también dependerá de la naturaleza y complejidad de la organización, pero debe incluir muchos de los elementos relacionados.
El plan estratégico puede contener material de referencia de las estrategias de las diferentes partes de la organización o información genérica de cómo recuperarse de pérdidas de las edificaciones, o de la pérdida de la Infraestructura Tecnológica. Esto no significa la micro-gestión del incidente, pero informa al equipo sobre cómo se llevará a cabo la recuperación y las escalas de tiempo en que pueden estar involucrados.
Responsabilidades Los integrantes del equipo estratégico de respuesta son los guardianes de la reputación de la organización y tienen la responsabilidad de ajustar la estrategia de recuperación de la organización si la reputación se ve amenazada. Las responsabilidades específicas del equipo de respuesta estratégica incluyen:
• Definir la política de recuperación. • Establecer los objetivos estratégicos de respuesta al incidente. • Elaborar una estrategia de largo plazo. • Gestionar las comunicaciones, en particular con los medios (ver enseguida). • Aprobar los gastos significativos. • Monitorear el progreso total de recuperación. • Identificar y maximizar las oportunidades derivadas del incidente. • Asegurar que la recuperación está en concordancia con los intereses de largo plazo de la organización. • Aprobar las declaraciones a los medios antes de su emisión y monitorear y realizar los ajustes necesarios a la estrategia de medios. • Asegurar la salud financiera de la organización. • Asegurar que cualquier recuperación reúne los requisitos legales de la organización.
Recursos Los recursos específicos que se deben considerar para su uso por el equipo estratégico, adicionales a los identificados al inicio de todos los planes, incluyen: • Instalaciones dotadas para Tv/radio, para apoyar las entrevistas. • Línea de comunicaciones y cámara para transmitir las entrevistas y video conferencias directamente a las estaciones difusoras. • Un lugar separado y cercano a las instalaciones para recibir a la prensa.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [76]
GCN – Técnicas de las Prácticas Profesionales
El plan de medios debe conducir a la organización sobre la manera como gestionará las comunicaciones con los medios. El plan puede estar incluido dentro del Plan de nivel Estratégico o Táctico o puede existir como un documento separado.
El plan de medios debe incluir: • Definir de antemano quien(es) será(n) el(los) portavoz(ces) asegurando que: > La persona ha sido entrenada en este rol. > Existen suficientes personas para informar a los medios en un sitio central así como en el sitio del incidente. > Existe un vocero técnico si se considera apropiado Si se considera apropiado, trabajar con especialistas como empresas de relaciones públicas para desarrollar la respuesta de la organización a los medios y considerar la retención de la empresa para utilizarla durante el incidente. Si es posible, desarrollar una relación con las personas claves de los medios antes de un incidente.
• Identificar las audiencias: > Las posibles audiencias deben estar segmentadas y enseguida aplicar el método más adecuado para poner el mensaje a cada uno, por ejemplo; radio local, periódicos nacionales. La respuesta a cada método, debe monitorearse y revisarse. Esto puede incluir el monitoreo de medios/recorte de servicios. • Considerar los posibles mensajes: > Desarrollar preguntas y respuestas para los incidentes más probables.
[77] GCN [77] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
> Desarrollar un modelo de texto en la organización que pueda salir a describir la organización en declaraciones a los medios. > Develop contact lists for media organizations • Desarrollar un proceso para declaraciones a los medios y cómo será aprobado y comunicado a los medios. • Documentar cómo las declaraciones se comunicarán a lo largo de la organización.
Resultados y Revisión Los resultados del proceso de planeación estratégica incluyen: • Un plan que apoya el rol de la Alta Dirección de la organización durante una crisis. • Un plan para gestionar las comunicaciones con los medios y las partes interesadas durante una crisis. • La demostración de preparación para una gestión efectiva con los medios, el mercado, los clientes, las partes interesadas y los entes reguladores. • Cumplimiento de los requerimientos estatutarios, regulatorios y éticos. Se debe realizar una revisión o auditoría alineada con la revisión de otras estrategias, planes y soluciones relacionadas con la GCN y la Gestión de Incidentes. La revisión del plan puede realizarse por cambios mayores en el negocio, cambios en la Alta Dirección o cambios significativos en el entorno operativo externo de la organización.
iStockphotos.com/lorrainedarke
Plan de Medios
Desarrollar e Implementar una Respuesta de la GCN – 05
Planes Tácticos Introduction Los planes de nivel táctico son la forma más común del PCN. Reúnen la respuesta de la organización a la interrupción de las actividades del negocio, facilitando su reanudación. Quienes utilizan estos planes, deben estar capacitados para analizar la información de los equipos de respuesta a los impactos provocados por el incidente, seleccionar e implementar estrategias adecuadas de los planes disponibles, dirigir la reanudación de las áreas de negocio de acuerdo con las prioridades acordadas y aprobar la entrega de información al equipo estratégico. El contenido de un plan de nivel táctico varía de una organización a otra y tiene diferentes niveles de detalle basado en la cultura organizacional y en la complejidad técnica de las soluciones. Rara vez es posible documentar un plan táctico efectivo, a menos que los elementos claves de la estrategia de recuperación estén disponibles o muy avanzados en su planificación.
Métodos y Técnicas El plan debe estar orientado a la acción rápida y fácil. No debe incluir documentación que no se necesaria durante un incidente. Un plan de nivel táctico siempre contiene supuestos relacionados con la escala del incidente (en términos de extensión, duración o impacto al equipo de trabajo). Si la magnitud del incidente excede los supuestos, entonces debe escalarse al equipo de respuesta estratégica.
Los pasos específicos en el desarrollo de planes tácticos incluyen: • Nombrar una persona para gestionar el desarrollo de la totalidad de planes tácticos. • Desarrollar un proceso de planificación y un cronograma de trabajo. Siempre que sea posible, se debe iniciar con los planes para las actividades más urgentes del negocio. • Decidir la estructura, formato, componentes y contenido de los planes. • Desarrollar un plan general o plantilla para fomentar la estandarización documental pero que permita variaciones individuales donde se requiera.
Existe una amplia gama de productos de software disponibles para apoyar la construcción y mantenimiento de los planes, pero no son esenciales. El uso de software normal de oficina (procesador de textos y hoja de cálculo) puede ser suficiente y es más fácil para todo el personal ya que su utilización no requiere entrenamiento especial. Sin embargo, un software personalizado puede ofrecer importantes beneficios en el mantenimiento y la integridad referencial del plan.
Contenido Los planes tácticos deben contener suficiente información para permitir la respuesta táctica de los equipos para continuar o recuperar las actividades del negocio contempladas en el plan. Deben incluir procedimientos detallados para los equipos, para:
• Responder a la convocatoria. • Tomar decisiones. • Movilizar recursos. • Iniciar las actividades de recuperación. • Recibir información de otros equipos. • Reportar el estado al equipo estratégico. Para otros puntos que se puedan incluir en su totalidad, ver sección “Formato y Contenido” Pg 72.
Responsabilidades Las responsabilidades específicas para los equipos tácticos de recuperación pueden incluir: • Coordinación y monitoreo del nivel de recuperación de las operaciones. • Asignación de los recursos disponibles a los equipos operativos. • Cambio en las prioridades acordadas y en las estrategias de recuperación teniendo en cuenta los cambios estacionales, las condiciones del negocio o las condiciones de la dirección a nivel estratégico. • Coordinación de las más importantes funciones de Apoyo (Tecnología de la Información y las Comunicaciones, Finanzas, Instalaciones y Recursos Humanos). • Recibir o buscar información de otros equipos de respuesta. • Reportar al equipo estratégico de respuesta. • Movilizar a los terceros proveedores de servicios de salvamento y recuperación.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [78]
GCN – Técnicas de las Prácticas Profesionales
Requerimiento de Recursos Una lista de los recursos que deben estar disponibles, podría incluir: • • • • • • • • • • •
Personal. Propiedades. Instalaciones y proveedores. Tecnología, comunicaciones y datos. Seguridad. Proveedores. Transporte y logística. Requerimientos de bienestar. Pagos debidos a gastos de emergencia. Información de contacto para el acceso a los recursos. Requerimientos de recursos para la reanudación de cada actividad. La información vital podría incluir: • Información de clientes. • Detalles de contactos. • Documentos legales: Contratos, pólizas de seguros. • Acuerdos de Niveles de Servicio (ANS).
Resultados y Revisión La revisión del proceso de planeación táctica incluye: • Los planes de nivel táctico deben ser aprobados por la Alta Dirección. • La estructura dentro de la cual puedan trabajar los planes. Alguna información incluida dentro de los planes tácticos debe revisarse en línea con la política de la GCN. El resto de la información debe revisarse anualmente de manera formal y probarse mediante ejercicios. Otros factores que conducen a revisiones, son: • Cambios significativos en la tecnología y/o las comunicaciones. • Cambios mayores en los procesos del negocio. • Cambios significativos en los grupos de trabajo. • Cambio de proveedores de las soluciones de la GCN.
Planes Operativos Introducción Los planes tácticos se volverán rápidamente difíciles de manejar si todos los procedimientos de recuperación están incluidos en un documento único. Cuando éste es el caso, los planes de respuesta y recuperación de cada unidad de negocio deben elaborarse en uno o más planes operativos separados que se convierten en la responsabilidad de la unidad de negocio a la que se refieren. Los planes operativos abarcan la respuesta al incidente para cada departamento o unidad de negocio. Ejemplos de planes operativos son:
• Un plan para reanudar las funciones de un departamento dentro de una escala de tiempo predefinida. • Procedimientos para apoyar al equipo de respuesta al incidente, generalmente dirigido por un departamento de Servicios que se ocupa del incidente específico y su impacto físico. • Un plan de respuesta de Recursos Humanos a los problemas de bienestar durante un incidente. • Un plan logístico de respuesta de la Tecnología de la Información a la pérdida y posterior reanudación de los servicios de Tecnología de la Información al negocio La complejidad y urgencia de los procesos del negocio pueden determinar si un plan operativo abarca una sola actividad o un departamento que abarca varias actividades. Asimismo, los planes operativos pueden estar apoyados por más planes detallados para respuestas, lugares o equipos específicos. Debido a los numerosos vínculos entre los planes tácticos y los de respuesta operativa, los planes tácticos se deben elaborar, por lo menos en sus principales aspectos, antes de finalizar los planes operativos.
Métodos y Técnicas Los planes deben estar orientados a la rápida acción y por tanto deben facilitar su rapidez en la implementación. No deben incluir documentación que no se requiera durante un incidente. Los pasos específicos del proceso de planificación y desarrollo de planes operativos incluyen:
• Nombramiento de una persona que gestione todas las actividades del desarrollo de los planes operativos.
“Los planes operativos abarcan la respuesta al incidente para cada departamento o unidad de negocio”
[79] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Desarrollar e Implementar una Respuesta de la GCN – 05
• Nombramiento de un representante de cada unidad de negocio para que desarrolle sus planes individuales.
• Desarrollar un proceso de planificación y un cronograma de
trabajo. En la medida en que sea posible, se debe iniciar con los planes de las actividades más críticas del negocio.
• Definir estructura, formato, componentes y contenido de los planes.
• Desarrollar un plan general o una plantilla para fomentar
la estandarización de la documentación, pero que permita variaciones individuales a cada plan cuando se considere pertinente.
• Asegurar que las unidades de negocio asignan funcionarios para cumplir con las funciones dentro de sus planes.
• Gestionar el desarrollo de los planes dentro de las unidades de negocio.
• Circular el plan para consulta, revisión y desempeño por dentro, y donde sea necesario, por fuera de la unidad de negocio.
• • • •
Recopilar la retroalimentación de la consulta. Modificar el plan según sea el caso. Validar el plan mediante ejercicios. Documentar todas las interrelaciones entre los planes tácticos y los planes operativos.
• Conducir un análisis de requerimiento de recursos a lo largo de
todos los planes para definir los requerimientos de recursos para apoyar las diferentes funciones.
Contenido Los planes operativos específicos pueden incluir instrucciones sobre:
• Instalaciones. • Bienestar del equipo de trabajo. • Reanudación de las unidades de negocio. • Recuperación de desastres de la Tecnología de la Información. Los anteriores planes pueden incluir procedimientos apropiados e información como: • Planes de evacuación de edificios y refugio seguro. • Planes para amenaza de bomba.
• Puntos de evacuación (incluyendo sitios alternos o exteriores a la edificación). • Servicios de emergencia de enlace. • Redistribución del personal y de los visitantes. • Salvamento de recursos y asistencia contratada. • Circunstancias que se deben escalar. • Recursos humanos y problemas de bienestar. • Obligaciones en salud y seguridad. • Procedimientos para el conteo de los funcionarios. • Procedimientos para contactar a los funcionarios. • Asesoría para la rehabilitación de recursos. • Criterios de escalamiento. • Procedimientos para el escalamiento a los equipos del nivel táctico. • Contactos de los equipos tácticos para la respuesta inicial. • Contactos de los integrantes de los equipos. • Reanudación del plan para cada actividad. > Número de funcionarios. > Contactos claves. > Procedimientos para la reanudación de las actividades del negocio. > Actividades prioritarias. > Procedimientos especiales. > Problemas del trabajo en curso. > Consumibles requeridos.
Resultados y Revisión Los resultados del proceso de planificación operativa incluyen: • Planes operativos documentados para todas las unidades de negocio. • Criterios y procedimientos para el escalamiento de problemas de cada unidad de negocio. • Roles de GCN claramente definidos dentro de las unidades de negocio. Los planes operativos deben ser revisados si existen cambios mayores en los procesos de negocio o la tecnología, cambios dentro de las unidades de negocio y cuando se hacen cambios a los planes de nivel táctico.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [80]
04 – Determining Business Continuity Strategy
iStockphotos.com/lorrainedarke
Ejercitar, Mantener y Revisar la GCN
06
GCN – Técnicas de las Prácticas Profesionales
Ejercitar, Mantener y Revisar la GCN Introducción “Ejercitar, Mantener y Revisar la GCN” es la práctica profesional dentro del ciclo de Vida de la GCN que busca asegurar el mejoramiento continuo, a través de acciones en curso y programadas. Las actividades realizadas en esta sección están respaldadas por la política de la GCN discutida en la práctica profesional Numero 1. Principios Generales
[83] GCN [83] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
iStockphotos.com/lorrainedarke
La mayoría de organizaciones se desenvuelven en ambientes dinámicos y están sujetas a cambios en cuanto a personas, procesos, mercado, riesgos, entorno, geografía y estrategias de negocio. Para asegurar que la capacidad de la GCN continúe reflejando la naturaleza, magnitud y complejidad de la organización que apoya, debe ser precisa; estar actualizada, completa, ejercitada ; y ser entendida por todos los integrantes y grupos de interés.
Ejercitar, Mantener y Revisar la GCN– 06
Desarrollar un Programa de Ejercicios Introducción El propósito de un programa de ejercicios es asegurar que en un periodo de tiempo: • Se verifique toda la información contenida en los planes. • Todos los planes son probados. • Todo el personal involucrado en los planes (incluyendo suplentes) es capacitado. La capacidad de la Gestión de la Continuidad del Negocio GCN no puede considerarse confiable hasta tanto no haya sido ejercitada. Un programa de ejercicios debe enfocarse en maximizar los beneficios del negocio mientras minimiza sus interrupciones. Se requiere un Programa de Ejercicios planificado para asegurar que todos los aspectos relacionados con el personal y los planes han sido ejercitados durante un periodo de tiempo, evitando así la interrupción total del negocio. El ejercicio puede tomar varias formas, que incluyen pruebas técnicas, pruebas de escritorio (pruebas de recorrido) y simulacros completos en vivo. Sin importar qué tan bien se haya diseñado la Estrategia de la GCN o el Plan de Continuidad del Negocio PCN, una serie sólida y realista de ejercicios identificará situaciones y supuestos que requieren atención. El tiempo y los recursos usados para ejercitar los PCN´s son elementos fundamentales de todo el proceso, ya que desarrollan competencia, generan confianza y transmiten conocimientos que son esenciales en tiempos de crisis. Validar la capacidad de recuperación técnica es un elemento importante de un programa de ejercicios, pero igualmente, un elemento clave es el rol de las personas. El programa debe asegurar que sus niveles de habilidad, conocimiento de su rol, gestión de los recursos y toma de decisiones se ejercitan en un ambiente seguro. Mientras que un servicio puede ser externalizado, la rendición de cuentas de la Continuidad del Negocio no puede serlo. La externalización del servicio deberá garantizar que los proveedores pueden enfrentar la interrupción. Idealmente, la GCN formará parte del contrato de externalización e incluirá un programa compartido de ejercicios aplicable a los objetivos de recuperación del cliente. La política de la GCN debe explicar en términos generales las responsabilidades por el programa de ejercicios.
Proceso • Discutir con la Alta Dirección cualquier aspecto identificado de
debilidad y el beneficio que podrían obtener de la visibilidad que brinda un ejercicio.
• Relacionar todos los procesos de recuperación asociados con las actividades que se probarán (por ejemplo asignación de recursos, datos de contacto, reubicación).
• Definir el tipo de ejercicio más adecuado para cada proceso. • Revisar la documentación de soporte, si el ejercicio ya se
ha realizado en el pasado, para evitar repetir escenarios o personas y para identificar actividades que requieren ejercicios adicionales.
• Relacionar todas las personas o grupos involucrados en cada proceso.
• Elaborar un cronograma de actividades que asegure que durante un período determinado, todo el personal relevante haga parte de los ejercicios.
El programa de ejercicios debe incluir actividades adecuadas para ejercitar varios elementos de la estrategia de GCN implementada. Estas pueden incluir: • Técnicas: ¿funciona el equipo? • Procedimientos: ¿los procedimientos son correctos? • Logística: ¿los procedimientos funcionan conjuntamente en forma lógica? • Oportunidad: ¿los procedimientos pueden alcanzar el Tiempo Objetivo de Recuperación TOR para cada actividad? • Administrativo: ¿los procedimientos son gestionables? • Personal: ¿las personas involucradas son las adecuadas y cuentan con las habilidades, autoridad y experiencia requeridas?
Un programa de ejercicios debe enfocarse en maximizar los beneficios del negocio mientras minimiza sus interrupciones.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [84]
GCN – Técnicas de las Prácticas Profesionales
Métodos y Técnicas Para ser exitoso, un Programa de Ejercicios debe iniciar de manera sencilla y escalarse gradualmente. Tipo de Prueba
Proceso
Participantes
Frecuencia
Complejidad
De Escritorio
Verificar la estructura y el contenido del plan
Autor del plan
Alta
Baja
Guiada (Walk Through)
Discutir los aspectos teóricos del plan para verificar que es utilizable
Autor del plan Usuarios del plan
Simulación
Utilizar el plan para realizar un respuesta teórica al incidente
Facilitador Usuarios del plan Otros requeridos como los observadores
Prueba Unitaria
Confirmar que el procedimiento de recuperación de un componente tecnológico funciona
Usuarios del procedimiento o tecnología Otros requeridos como los técnicos
Ensayo Unitario
Practicar un procedimiento de recuperación o la recuperación de un componente tecnológico siguiendo un guión
Usuarios del procedimiento o tecnología Otros requeridos como los técnicos
Prueba de extremo a extremo
Confirmar que funciona la recuperación de un área completa de la organización (un proceso de negocio, producto o servicio o tecnologías interconectadas)
Los integrantes del área de la organización o aquellos que se requieran para el proceso de negocio, producto o servicio o usuarios de las tecnologías interconectadas. Otros requeridos como los técnicos
Ensayo total
Practicar la recuperación de un área completa de la organización (un proceso de negocio, producto o servicio o tecnologías interconectadas siguiendo un guión.
Todos los integrantes del área de la organización o aquellos que se requieran para el proceso de negocio, producto o servicio o usuarios de las tecnologías interconectadas. Otros requeridos como los técnicos
[85] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Baja Alta
Ejercitar, Mantener y Revisar la GCN– 06
Frecuencia La frecuencia de un programa de ejercicios de la GCN depende de la naturaleza, magnitud y complejidad de la organización. Cada integrante de la organización involucrado en la infraestructura de respuesta al incidente, debe estar involucrado en un ejercicio, por lo menos una vez cada 12 meses. Otros eventos que pueden requerir la programación de un ejercicio, incluyen: • Un cambio significativo en los procesos, el grupo de trabajo o la tecnología. • Un cambio mayor en el ambiente externo del negocio
Costo de los Programas de Ejercicios
ejercicios depende del tipo de ejercicios seleccionados. Es importante entender que, así como se incrementa el costo, incrementar la complejidad en el tipo de ejercicio también implica mayor riesgo para la organización. Es importante reconocer que el programa de ejercicios puede ser costoso y en algunos casos incluso crea riesgo operacional adicional a la organización. Claramente ejercicios en pequeña escala como pruebas de escritorio no tienen ningún riesgo real de interrupción operacional y sólo implicaciones limitadas en costos; mientras que una prueba completa que involucre el cierre de las instalaciones principales y la reubicación del grupo de trabajo, es tanto costoso para organizar como tiene el potencial (podría fallar) de dejar expuesto el negocio. El siguiente diagrama muestra como se interrelacionan el costo, la complejidad y el riesgo:
El costo probable de organizar y ejecutar un programa de
Costo, Complejidad, Riesgo
Costo Completos
Alto Riesgo
Ensayos y Ejercicios Grandes Ensayos y Ejercicios Medianos
Ensayos y Ejercicios Pequeños Simulación Prueba Guiada Prueba de Escritorio
Bajo Riesgo Complejidad
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [86]
BCM | Technical Professional Practices
Introducción Ejercitar es una palabra genérica utilizada aquí para describir el ejercicio de Planesde Continuidad del Negocio PCN; ensayos de los integrantes de los equipos (de continuidad) y del equipo de trabajo; y pruebas de tecnología y de procedimientos. Existen tres términos de uso general: 1 Prueba de escritorio: Teóricamente consiste en probar la capacidad sin adoptar ninguna acción física real. Un ejemplo es un caso basado en un escenario, en el que se examinan las habilidades para la toma de decisiones durante un incidente. 2 Ensayo / Simulacro: Consiste en practicar una serie de procedimientos o tecnologías que requieren acciones físicas. Esto se logra mediante el seguimiento de un guion para impartir conocimiento y familiarización. Un ejemplo es un simulacro de incendio. 3 Prueba: Consiste en una validación para ver si funciona un procedimiento o tecnología, donde el resultado puede ser “exitoso” o “fallido” (para el procedimiento o tecnología; no para individuos). Generalmente se utiliza cuando el procedimiento o tecnología está siendo evaluado, a menudo, contra una ventana de tiempo objetivo. Un ejemplo es la recuperación de un servidor a partir de cintas de respaldo dentro de un número de horas determinado. Independientemente del término utilizado, es importante demostrar que un ejercicio es una oportunidad para medir la calidad de la planificación, la competencia de los individuos y la eficacia de la capacidad; en lugar de una simple evaluación de “exitoso o fallido”. Una actitud positiva hacia el ejercicio de la GCN hace el proceso más aceptable y permite que las fortalezas sean reconocidas y que las debilidades sean vistas como oportunidades de mejora más que como críticas.
• • • • •
Resaltar los supuestos que deben ser cuestionados. Proveer información. Generar confianza en los participantes del ejercicio. Desarrollar el equipo de trabajo. Aumentar la sensibilización en Continuidad de Negocio en toda la organización. • Probar la efectividad y los tiempos de los procedimientos recuperación.
Conceptos y Supuestos Con el fin de que cualquier prueba sea útil, debe cumplir con los siguientes criterios: Rigurosidad, realismo y exposición mínima. Estos tres criterios suelen tener requerimientos contradictorios y pueden requerir que se llegue a un acuerdo entre ellos.
Rigurosidad El ejercicio debe sentirse tan real como sea posible. Las pruebas deben ser llevadas a cabo utilizando los mismos procedimientos y métodos que serían usados en eventos reales. Esto es lo ideal, pero puede que no sea posible ejecutar ciertas pruebas sin alteraciones a los procedimientos “en vivo”. Esto aplica especialmente a las pruebas técnicas.
Realismo La utilidad de una prueba se reduce por la selección de un escenario no realista. El establecimiento de un escenario de negocios realista ayuda para asegurar que los participantes se involucren plenamente en el caso, y que finalmente obtengan más de éste. La selección de un escenario más realista también ayudará a demostrar la viabilidad de los planes. Es esencial que el facilitador del ejercicio trabaje con hechos reales para asegurar que los participantes obtengan el máximo provecho del ejercicio, a través del realismo del escenario y el material de apoyo.
Propósito
Exposición Mínima
El propósito de los ejercicios es: • Evaluar la competencia actual de la organización en la GCN. • Identificar áreas de mejora o de carencia de información.
Las pruebas pueden poner el negocio en un nivel de mayor riesgo. El facilitador del ejercicio debe asegurar que: • Se minimiza la interrupción.
[87] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
iStockphotos.com/lorrainedarke
Ejercitar las actividades de la GCN
Ejercitar, Mantener y Revisar la GCN– 06
• El riesgo de que algo salga mal es entendido por la Alta Dirección. • El negocio entiende y acepta el riesgo.
Para pruebas técnicas más complejas, el facilitador del ejercicio debe asegurar que existen puntos acordados de Parada/ Arranque en las etapas clave a lo largo de la prueba, y planes adecuados de retorno en caso de que las cosas salgan mal. Para los ejercicios de escritorio o en vivo, el facilitador debe tener la capacidad para detener el evento si el equipo está tomando decisiones que no son apropiadas en el escenario. Se debe acordar un código de “Parada” en caso que ocurra un incidente real durante el ejercicio. Aunque en algunos casos es necesario conducir una prueba no anunciada (por ejemplo, un árbol de llamadas en horario no laboral), es más probable que los ejercicios a gran escala sean anunciados a los participantes claves. El tiempo de advertencia dado y el número de participantes con pre-notificados se
reducirán en la medida en que la organización va ganando más confianza en sus capacidades.
Externalización Cuando la entrega de un producto o servicio ha sido externalizada, la responsabilidad por los ejercicios permanece en la organización original. La organización debe asegurar, a través de los ejercicios, que el tercero es capaz de cumplir con sus obligaciones. Otros proveedores de materiales críticos ó de las actividades identificadas en el Análisis de Impacto en el negocio (AIN)) se les debe solicitar que demuestren su capacidad de recuperación en su propio negocio y más concretamente, en relación con el servicio que proporcionan a la organización. Los ejercicios de las actividades externalizadas deben asegurarse a través de Acuerdos de Niveles de Servicio (ANS). Se debe tener cuidado de revisar las implicaciones en la continuidad de cualquier cláusula de “fuerza mayor” en los contratos con los proveedores.
Proceso PruebaTécnica
Escenario del Ejercicio
Acordar el alcance y los objetivos de la prueba.
Acordar el alcance y los objetivos del ejercicio con la Alta Dirección.
Si se requiere, acordar el presupuesto para la prueba.
Acordar el presupuesto para la prueba.
Asignar el personal apropiado para la tarea.
Acordar con los gestores apropiados de la organización y con los proveedores de logística y servicios requeridos para facilitar que el ejercicio se lleve a cabo.
Diseñar un escenario simple y una serie de supuestos que pongan en contexto la prueba.
Preparar un escenario adecuado, realista y detallado, que incluya aspectos como fecha, hora, carga de trabajo actual, condiciones políticas y económicas y las aspectos de temporalidad / estacionalidad. Asegurar que los participantes requeridos están disponibles.
Elaborar un Análisis de Riesgos de la prueba para minimizar el riesgo de un impacto sobre las operaciones reales.
Elaborar un Análisis de Riesgos del ejercicio para minimizar el riesgo de un impacto sobre las operaciones reales. Preparar cuaestionarios breves para los observadores para su utilización durante el ejercicio, para capturar las lecciones aprendidas. Hacer ejercicios previos y entregar información breve a los participantes.
Realizar la prueba y registrar los resultados.
Realizar el ejercicio y comparar las observaciones
Analizar y reportar los resultados
Interrogar a los participantes inmediatamente después del ejercicio Programa una fecha y hora para una entrevista formal
Abordar los problemas encontrados
Utilizar los resultados del interrogatorio para elaborar el Informe y las recomendaciones postejercicio. Preparar un informe libre de problemas durante e inmediatamente realizada la prueba. Distribuir informes a los participantes y la Alta Dirección. Crear un plan de acción para implementar las recomendaciones del informe post ejercicio
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [88]
GCN – Técnicas de las Prácticas Profesionales
Métodos y Técnicas Los participantes involucrados en los ejercicios de escritorio o escenarios de ejercicios pueden incluir: • • • • • • • • • • •
Facilitador(es). Observador(es). Proveedores de recursos técnicos y servicios especializados. Representantes de seguros. Servicios de emergencia. Seguridad. Funcionarios de las autoridades locales de emergencia. Comunicaciones y relaciones públicas. Expertos en la materia. Proveedores de productos/servicios del negocio. Proveedores de servicios externalizados.
Resultados y Revisión Los resultados de ejercitar los procesos de la GCN incluyen: • Validación que son efectivas las estrategias de continuidad del Negocio. • Confirmar que los integrantes del equipo y el grupo de trabajo están familiarizados con sus roles, funciones, responsabilidades y autoridad en la respuesta al incidente. • Validar los aspectos técnicos, logísticos y administrativos de los Planes de Continuidad del Negocio. • Confirmación de la infraestructura de recuperación (centro de comando, áreas de trabajo, recursos de recuperación de la tecnología y las comunicaciones, etc.). • Conformación de la disponibilidad del equipo de trabajo y los procesos para su reubicación. • Documentación de los resultados del ejercicio en un reporte post ejercicio para la Alta Dirección, auditores, aseguradores, reguladores y otros interesados. • Documentación y solución de los problemas surgidos durante el ejercicio. • Mayor conocimiento de los procedimientos de emergencia. • Mayor conocimiento del significado de la GCN. • Oportunidad de identificar deficiencias y mejoras en el Sistema de Gestión de la Continuidad del Negocio SGCN.
[89] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Mantenimiento de los Planes de la GCN Introducción El Programa de Mantenimiento de la GCN asegura que la organización está preparada para gestionar incidentes a pesar de los cambios constantes que toda organización experimenta. Para ser eficaz, el Programa de Mantenimiento de la GCN debe incorporarse dentro de los procesos normales de la gestión de la organización en lugar de ser una estructura separada que puede ser ignorada u olvidada. Un cambio eficaz en la gestión de los procesos es prerrequisito para el mantenimiento del programa de la GCN. Muchos de los problemas que aparecen en los análisis y los ejercicios son el resultado de los cambios internos dentro de la organización o el equipo de trabajo, las instalaciones o la tecnología.
Proceso Se debe establecer un proceso formal para el Mantenimiento de la Continuidad del Negocio para asegurar que todos los grupos de interés tienen y conocen las partes relevantes y actualizadas del PCN. El proceso debe incluir un mecanismo para marcar y revisar los cambios internos para: • Los procesos del Negocio. • La Tecnología. • El equipo de trabajo. • Los productos y servicios. • El entorno legal o regulatorio. Esta revisión puede ser originada por el proceso de gestor de cambios resaltando el cambio, a través de un plan de acción por “los puntos de aprendizaje posteriores al ejercicio” o por los informes de auditoría. Otras actividades en este proceso incluyen: • Revisar y cuestionar los supuestos hechos en el Análisis de Impacto en el negocio AIN sobre el entorno en el que opera la organización. • Determinar si los objetivos de tiempo han cambiado desde la última revisión. • Revisar la idoneidad y disponibilidad de los servicios externos que se pueden requerir como la restauración de activos, sitios de recuperación y subcontratos. • Revisar los preparativos de los Planes de Continuidad del Negocio de los proveedores de componentes críticos frente al tiempo. • Proporcionar formación apropiada, capacitación y/o comunicación cuando sea aplicable. • Analizar si los cambios y modificaciones generan necesidades de formación, capacitación y/o comunicación. • Distribuir la política, estrategias, soluciones, procesos y planes de la GCN actualizados a los principales interesados bajo el proceso formal de control de cambios (versiones)
Ejercitar, Mantener y Revisar la GCN– 06
Métodos y Técnicas Cada propietario es responsable de la actualización de sus planes y de los datos dinámicos como: números de contacto del equipo de trabajo en horarios no laborales, tareas del equipo, notificación y detalles de contacto con proveedores así como el contenido de la caja de seguridad para continuidad ‘‘The Battle Box’’. Las secciones de los planes se actualizan en frecuencias que van desde mensual hasta anualmente de acuerdo con la programación definida en la sección de mantenimiento de los BCP. Los meses apropiados para la actualización también se especifican en la sección de mantenimiento de los BCP. La fecha de la última actualización debe estar claramente mostrada al inicio de cada plan para proporcionar una auditoria efectiva.
Resultados y Revisión Los resultados del desarrollo del programa de Mantenimiento del Programa de la GCN, incluyen: • El programa de mantenimiento de la GCN documentado y monitoreado. • El reporte claramente definido y documentado (que incluya recomendaciones) aprobado por la Alta Dirección. • El Plan de Acción de Mantenimiento claramente definido y documentado (que incluya recomendaciones) aprobado por la Alta Dirección. • Estrategias, soluciones y Planes de Continuidad del Negocio efectivos y actualizados. La frecuencia del Programa de Mantenimiento de la GCN depende de la naturaleza, escala y ritmo de los cambios del negocio. El mantenimiento probablemente se requiera: • Cuando existen cambios mayores en los procesos del negocio. • Después de un ejercicio o prueba. • Después de las recomendaciones de mejoramiento por parte de la auditoria. • De acuerdo con la programación definida en el Plan de Mantenimiento de la GCN. • Después de una activación real del plan, cuando se incorporan las lecciones aprendidas
Revisión y Auditoría de los Planes de la GCN Introducción Existen varias formas de revisar un programa de la GCN que incluyen auto evaluación (en primer lugar), auditoría interna (en segundo lugar) y auditoría externa (en tercer lugar). Un proceso formal de auditoría asegura que una organización tiene un programa efectivo de Continuidad del Negocio. La auditoría de la GCN tiene cinco funciones claves: 1. Validar el cumplimiento con las políticas y normas de la organización. 2. Revisar las soluciones de la GCN de la organización. 3. Validar la cobertura organizacional de los planes de la GCN. 4. Verificar que se llevan a cabo actividades de ejercicios y mantenimiento apropiadas. 5. Resaltar las deficiencias y problemas y asegurar su solución. La auditoría se diseña para verificar que los procesos se han seguido de manera correcta y no que las soluciones adoptadas sean necesariamente las correctas. La auditoría o revisión debe realizarse contra la política de la GCN y las normas apropiadas identificadas por ésta. La auditoría debe realizarse sobre una base regular tal como lo definen las políticas de gobierno y auditoría de la organización. Para la GCN, se recomienda que los periodos entre auditoría no deben exceder los dos años. Dentro de la organización, la autoauditoria o “Monitoreo del desempeño” se puede realizar con mayor frecuencia por los propietarios de los planes. La función de la GCN en sí misma, debe estar sujeta periódicamente a un proceso de Aseguramiento de Calidad.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [90]
GCN – Técnicas de las Prácticas Profesionales
Conceptos y Supuestos Este enfoque de auditoría supone que si el proceso se ejecuta de manera correcta y apropiada, el resultado debe proporcionar evidencia de la capacidad y competencia de la GCN. Se asume también que existe una serie de normas disponibles que proporcionan la estructura adecuada para la auditoría. Estas incluyen: • Estándares Nacionales como la BS25999-1 código de práctica y la BS25999-2 especificación; El Estándar de Singapore SS540, el Estándar Americano NFPA 1600 y los estándares que están por salir a partir de los estándares de Australia y de la Sociedad Americana para la Seguridad Industrial (American Society for Industrial Security ASIS). • Requerimientos regulatorios de las autoridades reguladoras financieras locales, muchas de las cuales por su naturaleza son de carácter internacional y se basan en principios de alto nivel para la Gestión de la Continuidad del Negocio GCN, tratados en el foro del Acuerdo de Basilea para la supervisión de la banca. • Requerimientos legislativos como el Protocolo para Contingencias Civiles del Reino Unido (2004). • Guías de Buenas Prácticas para la industria (como las BCI GPG 2010) u otras especificas para el sector al que pertenece la organización. • Estándares relacionados con la Industria como la ISO/IEC 27001 (Seguridad de la Información) y la BS25777:2008 (Gestión de la Continuidad de la Tecnología de la Información y las Telecomunicaciones). • Se está desarrollando una norma internacional de certificación para la Continuidad Operacional por parte de la ISO bajo el código de referencia ISO22301 con soporte en el código de práctica ISO22399 (también en desarrollo)
Proceso La auditoria de la GCN es un proceso complejo y requiere su interacción con un amplio rango de roles operativos y de gestión desde la perspectiva técnica y del negocio. El proceso de auditoría de la GCN incluye: • Desarrollo del Plan de Auditoria de la GCN. Que debe incluir: > Identificar el tipo de auditoría a realizar. Por ejemplo: cumplimiento, gestión/control de proyectos, estudio de factibilidad, debida diligencia o investigación
[91] GCN [91] GCN Guía Guía de de Buenas Buenas Prácticas Prácticas 2010 2010 || EDICIÓN EDICIóN GLOBAL GLOBAL
•
•
• • •
•
•
•
•
> Identificar los objetivos de la auditoria los cuales, en parte pueden estar guiados y gobernados (o restringidos) por requerimientos legales o regulatorios. > Identificar la estructura de normas de auditoría para utilizar. Esta estructura puede estar gobernada o restringida por requerimientos legales o regulatorios. Definir el alcance de la auditoría: > Determinar el gobierno corporativo, cumplimiento u otro tópico a auditar. > Determinar el área/departamento/sitio de la organización que se va a auditar Definir el enfoque de la auditoría: > Las actividades de auditoría que se llevarán a cabo; por ejemplo: cuestionarios, entrevistas personales, revisión documental/revisión de las soluciones. > Calendario de actividades y fechas de ejecución > Identificar los criterios (estándares) para la evaluación de la auditoría. > Determinar requisitos específicos de experiencia en la materia o la ayuda de terceros para llevar a cabo la auditoría. Revisar y recopilar información a través de las actividades de la GCN. Compilar y resumir las notas de las entrevistas, cuestionarios y otras fuentes. Identificar las brechas en nivel y contenido de la información recopilada para realizar entrevistas adicionales o de seguimiento cuando se estime conveniente. Obtener y comparar documentación relevante (por ejemplo el AIN) con datos de entrevistas y otras fuentes como ejercicios guiados, inspecciones físicas, muestreo. Referenciar las fuentes secundarias; por ejemplo normas, regulaciones y “guías de buenas prácticas” para validar los hallazgos preliminares. Generar una opinión que refleje los intereses del patrocinador de la auditoría y las medidas establecidas por las fuentes externas como las regulatorias, legales y los estándares de la industria. > Asignar una ponderación de riesgo a cada ítem auditado para distinguir entre los hallazgos de riesgo alto, medio o bajo. > Definir los criterios para clasificar los hallazgos usando niveles de clasificación predefinidos, categorizados claramente diferenciados. Proporcionar un borrador del informe de la auditoría para discusión con los interesados claves.
Ejercitar, Mantener y Revisar la GCN– 06
• Proporcionar un informe de auditoría que incorpore las recomendaciones así como las respuestas de la auditoría cuando persisten diferencias de opinión. • Proporcionar un plan de acción con medidas correctivas acordadas que incluya tiempos para la implementación de las recomendaciones acordadas por la auditoría. Este debe ser un elemento clave del programa de mantenimiento de la GCN. • Suministrar un programa de monitoreo (adicional al programa de mantenimiento de la GCN) para asegurar que el plan de acción de la auditoría dirigido a subsanar las deficiencia materiales, se implementa dentro de los tiempos acordados. El proceso de Aseguramiento de Calidad de la GCN incluye: • Definición de roles, responsabilidades y autoridad. • Definición de Indicadores Claves de Desempeño (ICD): Objetivos, metas de medición y estándares. • Definir los factores de éxito • Incorporar los ICD en los términos de los contratos externos y en las evaluaciones internas anuales. • Evaluar y revisar el desempeño contra ICDs, los objetivos, metas de medición y los estándares definidos por la industria. • Proporcionar un plan de acción con medidas correctivas
Métodos y Técnicas Los métodos utilizados por la auditoría deben estar determinados por quienes realizan la auditoria y cumplir con las políticas internas de la organización. La auto-evaluación o “Monitoreo del Desempeño” realizados dentro del programa de la GCN puede utilizar indicadores de desempeño como: • Número de meses desde el último ejercicio. • Número de casos pendientes de solución desde el último ejercicio. • Integridad de la documentación del plan de la GCN. • Número de meses desde el último AIN.
• Número de casos pendientes de solución desde el último AIN. • Nuevas aplicaciones de la Tecnología de la Información analizadas para su inclusión en la gestión/planes de la GCN. • Nuevos cambios o procesos del negocio analizados para su inclusión en la gestión/planes de la GCN. • Adecuación/viabilidad de los datos dinámicos de los Equipos de Recuperación: integrantes, números telefónicos de contacto, listas de proveedores para notificación, asignación de puestos de trabajo en el sitio de recuperación. • Creación del presupuesto para la implementación y mantenimiento de la GCN. • Responsabilidades para el control presupuestal. • Cuadros de mando para asegurar la auto-evaluación Las Evaluaciones de Calidad pueden provenir de: • Análisis y revisión de documentos • Entrevistas con el equipo de trabajo y grupos de interés clave
Resultados y Revisión Los resultados del proceso de auditoría de la GCN incluyen: • El reporte independiente de la auditoria acordado y aprobado por la Alta Dirección. • El plan de acción con medidas correctivas acordado y aprobado por la Alta Dirección. • El resultado de una calificación desfavorable del desempeño será: > La aceptación por parte de la alta dirección de los planes de la GCN como “inadecuados”. > La iniciación de la revisión de la GCN realizada por un profesional en GCN para apoyar al equipo en el mejoramiento de su posición. El resultado del proceso de auto-evaluación puede ser: • Mejoramiento en la gestión del programa de la GCN. La política relacionada a la frecuencia de las auditorías debe estar claramente definida y documentada en “la Política y las Normas de Auditoría” de la organización.
GCN Guía de Buenas Prácticas 2010 | EDICIÓN EDICIóN GLOBAL [92]
GCN | Gestión de las Prácticas Profesionales
[93] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Información de Apoyo La información contenida en las páginas siguientes proporciona asesoría y orientación más detallada sobre varios aspectos relativos a la GCN pero no constituye parte de las Prácticas Profesionales para efectos de la certificación para la membrecía del BCI
Información de Apoyo
ANEXO 1 Consejos para la selección adecuada de Opciones Tácticas de Recuperación Personal Como un antecedente para identificar y seleccionar las opciones tácticas para el personal empleado dentro de la organización, se incluye identificar las habilidades claves y el conocimiento requerido. Esto puede hacerse más efectivamente durante la etapa del “Entendimiento de la organización” a lo largo del proceso de recopilación de información en la gestión de la continuidad del negocio. Las opciones tácticas para la pérdida o ausencia de personal en la organización incluyen: • Identificar y documentar en detalle al personal que cuenta con las habilidades y conocimientos clave. • Capacitar personal para que adquiera conocimiento y habilidades adicionales. • Documentar los procesos claves que permitan al personal asumir responsabilidades con las que no se sientan familiarizados. • Mantener un listado de aquellos ex-empleados con habilidades y conocimientos, para que puedan ser llamados si la situación así lo requiere. • Utilizar personal de los contratistas con habilidades y conocimiento relevantes. (puede ser a través de acuerdos contractuales o manteniendo una lista actualizada de contratistas que cumplan con los requerimientos). • Separar geográficamente a los individuos o grupos con habilidades y conocimiento clave. • Tercerizar una parte del trabajo que requiera habilidades y conocimiento clave a los contratistas que tengan la capacidad de tomar control del trabajo en un periodo de tiempo corto una vez hayan sido notificados
Instalaciones
La selección de opciones por la pérdida de o exclusión de las instalaciones está influenciada por diferentes factores (algunos de los cuales no pueden ser identificados hasta después de que ocurre algún incidente). Estos factores incluyen: • Costos. • Los TOR (Tiempo Objetivo de Recuperación) de las actividades afectadas.
[95] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
• La disposición que muestre el personal en caso de reubicación o viaje. • Número, tamaño, extensión geográfica y la naturaleza misma de las instalaciones dentro de la organización. • La disposición de aceptar mayores niveles de riesgo. • Consecuencias geográficas derivadas del incidente. • La cantidad de personal que deba ser reubicado. • La disponibilidad de espacio en otros lugares de trabajo dentro de la organización. • La disponibilidad de establecimientos locales. • La naturaleza y el tipo de instalaciones requeridas para los establecimientos alternos. • La necesidad de acceso a sistemas computacionales. • La necesidad y disponibilidad para acceder a las telecomunicaciones. • La naturaleza y tamaño de los predios cercanos a los establecimientos afectados No existen guías simples o únicas que puedan utilizarse de manera apropiada para la selección de opciones en caso de pérdida de las instalaciones, aunque en muchos casos las opciones con tiempos cortos de recuperación son más costosas que aquellas que toman más tiempo en recuperarse. Las organizaciones que proveen servicios a una localidad en particular como instituciones públicas o empresas de negocios vinculadas a los mercados locales, pueden estar limitadas a escoger diferentes alternativas según la necesidad o cercanía que sus clientes demanden. Las opciones tácticas utilizadas para la pérdida de instalaciones incluyen: • Utilización de espacios disponibles en distintos sitios dentro de la organización (éstos puede incluir salas de juntas, espacios de capacitación y conferencias, comedores, etc.) • El incremento de la densidad de personal en algunos lugares de la organización, esto se refiere a movilización o traslado. • Desplazar personal de la empresa que represente menor urgencia en actividades y utilizar esos lugares disponibles para otras actividades prioritarias en la organización. (Para esta opción se debe tener mucho cuidado con el trabajo retrasado y menos urgente que esté suspendido, porque puede convertirse en trabajo inmanejable). • El trabajo remoto o a distancia: Incluye el concepto de “trabajo en casa”, además del trabajo en otros lugares fuera de la organización como por ejemplo hoteles. Trabajar desde casa puede ser una solución muy eficaz pero se debe tener cuidado a la hora de asegurar que los temas de Salud y Seguridad sean abordados de manera correcta; además se deben tener los equipos de TI con licencias adecuadas del software que se suministra; la cobertura de red y el soporte técnico deben ser suficientes y deben estar disponibles. • Acuerdos recíprocos con otras organizaciones para tener acceso a sus instalaciones. Se debe tener especial cuidado a la hora de establecer dichos acuerdos con el fin de garantizar
Información de Apoyo
que está permitido realizar pruebas y procedimientos con sus respectivas revisiones periódicas, que determinen si el espacio necesario todavía está disponible o no. • Utilizar una lista actualizada de establecimientos disponibles o de proveedores potenciales de establecimientos que permitan encontrar alternativas después de algún incidente. (Esta opción es adecuada para actividades con TOR relativamente largos y está usualmente referida como “Ad-hoc”). • Contratación con terceros para proveer sitios de recuperación. • Adquirir y acondicionar establecimientos adicionales que estén listos para su utilización cuando se requieran para la recuperación (puede variar entre mantener una instalación desocupada que requiere acondicionamiento, hasta tener una instalación completamente equipada). • Prefabricar temporalmente instalaciones provisionales (casas rodantes, cabinas, etc.). Esto requiere de disponibilidad de tierra adecuada; puede tomar varios días la construcción y puede requerir una preparación importante; además en la preparación podrían necesitarse fuentes de energía, agua y telecomunicaciones. • Alojamiento móvil: puede entrar en funcionamiento rápidamente, pero puede presentar espacio limitado e incluso necesitar servicios o fuentes de energía y alimentos. • Traslado de las actividades pero no del personal a otros lugares que hayan sido acondicionados para realizar la actividad (conocidas también como “lugares diversos”). • Sitios de réplica: la actividad es transferida a una o varias locaciones alternas en las cuales el personal y las instalaciones ya estén preparadas para continuar con la carga de trabajo Esta última opción suele ser normalmente las más costosa de implementar (debido a los costos que implica la sincronización de los sistemas con la información en múltiples lugares así como los gastos indirectos de apoyo a múltiples sitios y recursos), sin embargo provee la solución apropiada en donde es necesaria la reanudación rápida. Para ser una opción viable de recuperación, estos sitios no deben tener ningún punto de falla y deben tener una separación geográfica apropiada.
Recursos
Además de las opciones descritas a continuación, los servicios de restauración de bienes son proporcionados por una serie de compañías especializadas quienes pueden minimizar los daños causados por incendios o inundaciones que afecten documentos, libros, medios electrónicos y equipos entre otros activos. Estas firmas pueden proveer un sistema de registro y asesoramiento antes del incidente, y también están disponibles para ayudar cuando sea solicitado cuando ocurra un incidente. Recursos – Tecnología de la Información (IT) El costo de las opciones tácticas disponibles para la recuperación de la Tecnología de la Información representa una relación inversa entre el TOR y los costos de recuperación (cuando menor sea el
TOR mayor será el costo). Esto puede inducir a la organización a replantear los TOR de sus actividades (igualmente de sus productos y servicios) y a partir de ésto estimar el costo de recuperación de la Tecnología de la Información según su TOR asociado. Las opciones tácticas disponibles para la pérdida de Tecnología de la Información, que no son mutuamente excluyentes sino que por el contrario se encuentren mezcladas o asociadas, incluyen: • Copias de seguridad: Copias de seguridad de la información contenida en los sistemas de cómputo, y almacenamiento de las copias de seguridad en un lugar y locación segura que esté separada geográficamente de los sistemas de cómputo en los que se mantiene la información original. • Ad-hoc: Esperar hasta que la Tecnología de la Información se pierda y luego obtener remplazo de los equipos si es necesario, recuperando los sistemas de información desde las copias establecidas previamente (esta opción genera un costo bajo pero representa un alto riesgo y es adecuada cuando los TOR se encuentran en días o incluso semanas, o cuando los equipos de remplazo están fácilmente disponibles además de que la reconfiguración de la Tecnología de la Información sea relativamente sencilla). • Acuerdos de soporte: Establecer acuerdos de soporte con los contratistas que permitan remplazar equipos de TI en tiempos predeterminados, además de definir previamente las configuraciones, recuperando la información del sistema desde las copias de seguridad. • Equipos en espera: Tener equipos de repuesto destinados como sustitutos de los originales (así estén o no configurados), que puedan ser utilizados cuando el equipamiento original se pierda, contando con la recuperación de la información a partir de las copias de seguridad. Dichos equipos de repuesto deben permanecer almacenados preferiblemente en sitios diferentes a los originales para disminuir el riesgo de que éstos también resulten afectados. • Duplicar los equipos: Tener duplicado completo de los equipos configurados previamente con sistemas adecuados que puedan utilizarse si los equipos originales se pierden, y una vez más recuperando la información a partir de las copias de seguridad. • Equipos de los contratistas: Firmar contratos con los contratistas para que permitan utilizar sus equipos ubicados en el sitio de ellos, con los sistemas y la información recuperados desde las copias de seguridad. • Replicar los sistemas: Tener réplicas de los equipos, de los sistemas y de la información que puedan ser almacenados dentro de la organización misma o en el lugar donde los contratistas se ubiquen (un sitio alterno geográficamente separado del centro de cómputo principal, mejorará la posibilidad de que las réplicas sean utilizadas cuando sean necesarias) y pueden tomar la forma de:
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [96]
Información de Apoyo
> Replicación continua: Cuando la información está siendo replicada continuamente desde los sistemas originales de información (teóricamente con esta estrategia no habrá pérdida de información). > Espejo y/o sombra: Cuando los cambios en la información original del sistema son plasmados en la réplica (hay pérdidas mínimas de información). > Registro de la réplica: En este caso los cambios en la información original del sistema son registrados y almacenados antes de ser enviados a la réplica (dependiendo de los plazos establecidos, la pérdida de información puede ser medida en minutos u horas). > Copias de seguridad: Cuando una copia de seguridad es tomada del sistema original y luego es copiada a la réplica (los últimos cambios hechos en el original pueden perderse) El plazo de entrega previsto para la adquisición de los equipos después de algún incidente debe ser tenido en cuenta a la hora de escoger las opciones tácticas para la Tecnología de la Información. Este tiempo de espera puede ser mayor para las organizaciones menos preparadas que además estén buscando el mismo equipo. Cualquier forma de acuerdo verbal hecho con un proveedor para mantener las reservas, debe ser tratada como acuerdo no contractual. Las condiciones utilizadas usualmente incluyen: • Suscripciones sindicadas o compartidas: se considera un área de trabajo cuando un suscriptor paga por el uso compartido de las instalaciones y es proveído siempre y cuando otro suscriptor no se encuentra utilizándolas –dado que solicitó la activación del sitio con anterioridad- (ésta es la opción menos costosa, pero puede implicar una alta posibilidad de que el espacio no esté disponible cuando se requiera). • Zona de exclusión: Representa un tipo de exclusividad a la hora de compartir alojamiento, donde un suscriptor puede escoger excluir otros suscriptores dentro del área de trabajo, por ubicación geográfica y/o según el tipo de industria. Sin embargo esto no reduce el riesgo de compartir áreas con otros suscriptores no excluidos. (Se debe tener especial cuidado para no confundirse entre los términos “Zona de exclusión incidental” la cual es el área que está excluida al público en casos de emergencia o durante un incidente). • Garantizado: Un área de trabajo que ofrezca al suscriptor la opción de tener cierto porcentaje de alojamiento garantizado del total de espacio disponible ofrecido para todos los suscriptores (por ejemplo, un suscriptor puede contratar 200 espacios con garantía del 25% lo que significa que tendrá 50 espacios en el evento que existan otras peticiones de espacios). • Espacio Dedicado: Es el área de trabajo donde el suscriptor tiene uso exclusivo. Es la opción más costosa y representa
[97] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
el menor riesgo de indisponibilidad cuando se le necesite y es utilizada generalmente cuando se requiere un RTO rápido para funciones que generen alto valor, donde se necesiten equipos especiales o en los casos en donde compartir el espacio no sea posible Para áreas compartidas, generalmente la relación industrial es máximo entre 10 y 40 a 1 (por ejemplo en un caso extremo cada escritorio es vendido hasta en 40 veces su precio). Los peligros asociados con esto y los parámetros aceptables para una organización, deben estar claramente definidos dentro de su estrategia y no deben dejarse a ningún tipo de negociaciones contractuales individuales. Actualmente existen dos métodos principales sobre los cuales un proveedor asignará los recursos disponibles a los suscriptores durante una urgencia colectiva: • Primeros en llegar, primeros en ser atendidos (Orden de llegada): para el primer suscriptor que solicite el servicio estarán disponibles todos los recursos; los recursos sobrantes estarán disponibles para los suscriptores que vayan llegando. • Compartir equitativamente: Los recursos disponibles serán asignados en la proporción suscrita Es evidente que la disponibilidad de áreas “garantizadas” y “dedicadas” en las mismas instalaciones, cuando se hacen invocaciones múltiples, puede hacer compleja la asignación de recursos y a veces generan desafíos contractuales. Es necesario recordar también que únicamente debido a que un incidente ocurre no significa que regular, estatutariamente o gracias a las normas de negocios, deba ser suspendida la gestión de la información. Existen algunos parámetros claves para hacer frente si las operaciones están siendo transferidas a los contratistas. Éstos incluyen: • Confidencialidad: Se deben tomar medidas para asegurarse que los niveles de confidencialidad de la información sean mantenidos todo el tiempo. • Integridad: A menos que las copias de seguridad sean utilizadas al mismo tiempo en varios sistemas interconectados, la data puede perder integridad a través de diferentes Bases de Datos cuando se restaure la información (por ejemplo, una nueva transacción puede estar presente en la Base de Datos pero el correspondiente nuevo cliente puede no estar en la Base de Datos de clientes si aquella se replicó primero), el tiempo debe ser asignado dentro del TOR para permitir la sincronización, y otros asuntos que surjan y deban resolverse para que no se vea afectada la recuperación. • Disponibilidad: Asegurar que la información está disponible en el tiempo requerido para alcanzar el TOR de cada actividad utilizando la información (se debe notar que existen requerimientos estatutarios predefinidos para el acceso a la documentación e información con unos tiempos
Información de Apoyo
medidos específicos siguiendo las consultas públicas o de las autoridades) Las opciones tácticas para la Tecnología de la Información necesitan ser revisadas en conjunto con las opciones dispuestas para las instalaciones y las telecomunicaciones, con el fin de permitir a los usuarios tener acceso a los sistemas computacionales que sean necesarios para las actividades que están siendo recuperadas. Ésto se debe a que el tiempo que toma instalar las nuevas líneas de comunicaciones para las sedes alternas, pueden variar ampliamente tomando hasta tres meses en algunos países. Algunos proveedores de tales servicios también pueden brindar apoyo para remplazar el personal si fuera necesario. Las empresas que prestan este servicio son conocidas como Recuperación de Áreas de Trabajo. Las aplicaciones web y los beneficios prometidos de Nube Computacional ubicando los sistemas que activan esas aplicaciones en sitios geográficamente separados de las instalaciones de las actividades que utilizan esos sistemas, mejorarán la disponibilidad. Esto permitirá a los usuarios que necesiten esas aplicaciones poder realizar las actividades necesarias desde cualquier lugar que tenga conexión a internet. Sin embargo, se deben tomar las medidas necesarias para asegurarse que la información solo sea utilizada por quienes tengan acceso a ésta (puede funcionar por ejemplo el uso de una Red Privada Virtual –RPV-). Recursos – Telecomunicaciones La relación que existe entre la telefonía y la información manejada desde la red VoIP (Voz sobre IP), crea nuevas oportunidades y aspectos de continuidad, a partir del uso conjunto que se le da a las redes telefónicas y los correos electrónicos usualmente utilizados como herramientas de comunicación si alguna de las dos falla. Estas herramientas deben ser exhaustivamente analizadas para asegurar la mínima interrupción e impacto. Las opciones tácticas utilizadas cuando existen pérdidas de comunicación telefónica incluyen: • Desvío automático de llamadas. • Desvío manual de llamadas. • Grabaciones que permitan a los clientes llamar a otros números telefónicos. • Emitir notificaciones al personal y otras dependencias internas acerca de números alternos para llamar. • Números no geográficos. • Gestión de los servicios de red. • Redes inalámbricas • Uso de teléfonos móviles: Aunque esto no garantiza que las redes móviles no se puedan afectar o estén recargadas (como consecuencia del incidente) Usualmente los teléfonos pueden ser desviados en el corto plazo y en los casos donde el TOR de las actividades que requieren teléfonos esté medido en días, puede ser una opción aceptable esperar el redireccionamiento de los teléfonos hasta después
de un incidente que provoca la interrupción. Sin embargo el redireccionamiento no planificado de la telefonía a instalaciones alternas puede no ser posible dentro de los tiempos aceptables, en especial durante incidentes de amplio cubrimiento. La mayoría de proveedores de telecomunicaciones ofrecen, con un cargo adicional, un portafolio de soluciones amplio y flexible que permite direccionar rápida o instantáneamente las llamadas de un sitio a otro u otros sitios. Esta opción es bastante acertada cuando los TOR de las actividades que requieran líneas telefónicas estén dados en horas antes que en días y cuando el impacto en la pérdida de telefonía sea muy grande. Se debe tener mucho cuidado redireccionando las líneas telefónicas de tal forma que se pueda asegurar la suficiente capacidad de respuesta a la cantidad de llamadas recibidas (por ejemplo, el redireccionamiento de un número muy grande de líneas utilizadas dentro de un Call-center ocupado a un solo teléfono, no puede hacerse porque ésto significará que muchas de las llamadas no serán atendidas). Es importante también manejar adecuadamente el problema logístico que se deriva del manejo de llamadas durante un incidente; una vez hayan sido redireccionadas se necesita que deben abordarse para asegurar que los receptores de las desviaciones están debidamente capacitados para manejar adecuadamente las llamadas en flujos pico. Las opciones tácticas para la pérdida de información de comunicaciones incluyen. • Duplicar las líneas de comunicación (es importante que no queden puntos de falla). • Utilizar internet (para sistemas de información que se puedan utilizar a través de internet). • Reubicar el personal que necesite utilizar sistemas de información, a sitios en los cuales aún estén operando las redes de comunicaciones de datos Han tenido rápido crecimiento, particularmente en Asia, los Procesos de Externalización de Negocios (PEN); en donde normalmente se incluye un centro de operaciones y una oficina de procesamiento. La integración de la información y la telefonía inteligente en un lugar externo implica importantes retos de recuperación. Los PTN basados en call-centres usualmente tienen un TOR corto y contractual, lo cual significa que dos o más centros geográficamente separados compartiendo la carga de llamadas son parte integral de la respuesta y previene la pérdida de información de telecomunicaciones. Debido a la organización típica del personal en esta clase de modelos de negocio e instalaciones, un periodo sostenido de interrupción del servicio puede presentar un reto importante en recursos humanos cuando el personal no quiera o no sea posible reubicarse debido a las grandes distancias en algunos
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [98]
Información de Apoyo
países. Sin embargo con la llegada de nuevas habilidades a partir de las llamadas, un incidente impactante en una sola locación que es parte del modelo del campus, puede resultar en que algunas llamadas sean desviadas a agentes con habilidades similares y conocimientos en otra locación. Recursos –Documentación Impresa Muchas organizaciones aún dependen de la información registrada en documentos y para estos casos existen algunas opciones tácticas las cuales deben ser identificadas y seleccionadas en caso de pérdida de información. Las opciones tácticas para la recuperación por pérdidas de documentos impresos incluyen: • No hacer nada, aceptar la pérdida. • Copiar los documentos impresos y almacenarlos en un sitio geográficamente distinto de los lugares originales de almacenamiento. • Escanear los documentos impresos y guardarlos en imágenes electrónicas (los registros electrónicos pueden estar almacenadas en el mismo sitio donde estén guardadas las copias de seguridad o pueden estar almacenadas en otros sitios separados geográficamente) • Recrear los documentos impresos como mejor sea posible, a partir de la información suministrada por el personal, los clientes y otras partes interesadas El almacenamiento electrónico de registros puede gestionarse desde la organización misma o también a través de una amplia variedad de proveedores (usualmente denominados bóvedas de información). Los registros copiados pueden enviarse fuera de la empresa por medio de recopilación física o por medio de almacenamiento o por medio de transmisión electrónica de datos hacia los nuevos lugares de almacenamiento. El lugar de almacenamiento debe estar suficientemente lejos del sitio original para asegurar que no sea afectado por algún incidente, pero tampoco debe estar demasiado lejos ya que el acceso puede incrementar los tiempos de recuperación y el TOR que hayan sido dispuestos inicialmente para la recuperación. Algunos documentos requieren ser continuamente trabajados y requieren plazos cortos, otros necesitan ser archivados con fines legales o reglamentarios, por lo que guardarlos fuera de la organización puede ser más adecuado. Cuando hay auditorias o evaluaciones, es imperativo que dentro de la organización exista claridad y pleno conocimiento sobre las políticas y estrategia del manejo de los datos, las cuales pueden ser alineadas o modificadas para cumplir con los propósitos de la recuperación. La recuperación de la documentación después de un incidente puede no ser posible, o puede tomar mucho tiempo debido al daño causado por un incendio o inundación, además se puede dificultar cuando no se tiene identificada la información que
[99] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
hace falta; es por esto que las organizaciones que dependen de documentación física deben implementar medidas para protegerse en caso de que estos documentos se pierdan. Dentro de dichas estrategias se encuentra el uso de cabinas resistentes al fuego, extintores, cajas fuertes o bóvedas las cuales son efectivas para almacenar la documentación más utilizada e importante. Sin embargo en algunos casos aunque la documentación se conserve en las bóvedas o cajas de seguridad después del incidente, el acceso a éstas es imposible (éste fue el caso del incidente en las torres gemelas en la ciudad de Nueva York en el año 2001) En algunos países y lugares del mundo la documentación contractual original, es la única legalmente aceptada. Recursos – Equipo General The options for the loss of equipment are similar to those listed above for the loss of IT equipment: • Ad-hoc: Esperar hasta que los equipos se pierdan después del incidente y luego remplazarlos si se requiere (esta opción representa el costo más bajo y es adecuada cuando los TOR están calculados para semanas o días o los equipos de repuesto estén disponibles). • Acuerdos de soporte: Establecer acuerdos de soporte con los contratistas durante tiempos específicos predefinidos, para garantizar equipos de repuesto cuando sean necesarios (en ocasiones se refiere a contratos de “envío inmediato”). • Equipos en espera: Tener equipos de repuesto inactivos es una opción de remplazo de los equipos originales después de algún incidente (se recomienda almacenar estos equipos en sitios geográficamente diferentes a los sitios originales para tener una mayor oportunidad de su disponibilidad cuando se les requiera). • Duplicar los equipos: Un duplicado completo de los equipos dentro de la organización pueden ser muy útil en caso de pérdida del equipo principal (una vez más, es recomendable guardar estos equipos en un sitio diferente al sitio en donde se encuentran los equipos principales, para evitar que también se afecten). • Equipos de los contratistas: Se recomienda hacer acuerdos con los contratistas para poder utilizar sus equipos localizados en sus sitios
Inquietudes especiales para la Industria Manufacturera Procesos de producción A menudo en los procesos de producción industrial es común encontrar equipos muy especializados. Desafortunadamente existen pocas opciones en caso de pérdida de dichos equipos ya que éstos necesitan largos tiempos para su remplazo y además generalmente son muy costosos, lo que imposibilita construirles duplicados.
Información de Apoyo
Sin embargo existen algunas opciones que pueden ser consideradas, éstas incluyen: • Hacerles mantenimiento en sitio o a través de contratos de mantenimiento con niveles de servicio garantizados. • Utilizar subcontratistas o empresas de la competencia que empleen equipos con configuraciones similares. • Mantener repuestos disponibles de las piezas más importantes de los equipos almacenados en lugares geográficamente separados de los equipos originales lo que mejorara la posibilidad de tenerlos disponibles cuando se requieran. • Mantener algunos equipos viejos como equipos de emergencia o para partes (de nuevo, se deben mantener estos equipos en sitios geográficamente separados lo que mejorara la posibilidad de tenerlos disponibles cuando se requieran). • Cambiar algunos procesos para utilizar más eficientemente el equipo disponible Existen algunos problemas asociados a la consecución de equipos únicos o equipos poco comunes: • La posibilidad de que no esté actualizado o el repuesto no esté disponible. • Un nuevo repuesto puede requerir la capacitación del equipo de trabajo para poder ponerlo en funcionamiento. • Un nuevo repuesto puede ser incompatible con otros equipos o puede requerir la consecución de diferentes materiales para poner en funcionamiento el equipo afectado Las multinacionales manufactureras tienen una estrategia global que consiste en construir una red que permita la facilidad de operación a lo largo de todos los territorios en donde operan. Como consecuencia de la dispersión geográfica (producir el mismo producto en más de un sitio), se incrementa la resiliencia a una gran variedad de incidentes, pero se deben contemplar los problemas y costos que genere la logística y la distribución; además se debe tener en cuenta la afectación a las economías de escala. Subcontratación: Aunque la mayoría de los procesos de manufactura pueden ser únicos en las industrias, existen usualmente varios sub-procesos que pueden ser realizados por otras empresas. La compañía afectada puede firmar algunos subcontratos para poder terminar sus productos mientras sus propias instalaciones están indisponibles. Esta estrategia es raramente alcanzable de manera rápida si no se cuenta con una preparación adecuada debido a que toma bastante tiempo el alistamiento de ambas empresas. Materiales, Logística, e inventario Las opciones que existen en casos de pérdida de materiales e inventarios, son: • Almacenar reservas y suministros adicionales en otras instalaciones; estas pueden ser las instalaciones de los contratistas, sitios de envío o sitios de recuperación de terceros
(pero se debe tener especial atención con algunos materiales e inventarios que pueden degradarse con el paso del tiempo y necesitan rotación regular o que los cambios en los procesos puedan hacer que se almacenen materiales de manera redundante). • Acuerdos con los contratistas para la entrega de materiales y suministros en tiempos cortos. • Desviación de las entregas “Justo a Tiempo” a otras locaciones. • Transferencia de procesos de sub-ensamblaje a locaciones alternativas propias o a las instalaciones de los contratistas Energía y servicios públicos En caso de pérdida de energía, las opciones incluyen: • Sistemas de Energía Ininterrumpida (Uninterruptible Power Supply – UPS): Que cubren tiempos cortos de energía y permiten el apagado seguro de los equipos (particularmente computadores). • Generadores de energía de respaldo en espera: Que operen de manera manual o automática cuando hay fallas de potencia eléctrica para la protección de los edificios o equipos cuando hay cortes prolongados de energía (sin embargo estos generadores deben ser revisados y probados periódicamente para asegurar su funcionamiento cuando se les requiera). • Generadores portátiles: Tenerlos disponibles para cuando sea necesario; también se puede tener el servicio contratado o bajo demanda (ésto podría estar sujeto a la disponibilidad de equipos y en casos de emergencias colectivas puede complicarse o imposibilitarse su consecución) Para las industrias manufactureras será esencial la disponibilidad del suministro de agua potable tanto para el uso del personal como para los procesos de manufactura. Otros servicios (como gas y combustibles), también son esenciales y los proveedores de todos estos bienes deben estar involucrados dentro de la Gestión de la Continuidad del Negocio. Recursos – Proveedores y suministros Las opciones existentes para la pérdida de proveedores incluyen: • Dobles o múltiples fuentes que permitan el abastecimiento de suministros. • Identificar y aceptar previamente distintas alternativas de proveedores. • Establecer las obligaciones contractuales con los contratistas como parte de la implementación de la GCN. • Evaluar la capacidad de Gestión de la Continuidad del Negocio de los proveedores para abastecer los productos y servicios, lo cual debe incluir evidencias de ejercicios y pruebas exitosos. • Mantener inventarios de repuesto o de amortización. • Establecer cláusulas de penalización a los proveedores en los contratos de suministro (aunque esta opción no protege en caso de quiebra del proveedor)
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [100]
Información de Apoyo
ANEXO 2 Consejos para la Selección de Medidas Alternas para la Mitigación de Riesgos Para los productos y servicios que se considera están por fuera del alcance del sistema de gestión de la Continuidad del Negocio, o el riesgo para el negocio de su pérdida o no disponibilidad no es mitigable mediante la utilización del modelo del Ciclo de Vida de la GCN y debe gestionarse por medios alternativos. Las opciones disponibles para la Alta Dirección, son: • Aceptación: Aceptar que se está en riesgo de interrupción. • Transferencia: Transferir a terceros el riesgo de interrupción. • Cambio, suspensión o terminación del producto o servicio Aceptación Si se considera muy alto el costo de la GCN completo o el riesgo es considerado menor (debido a la interrupción probablemente se cree tener un menor impacto) luego el riesgo debe ser aceptado. En este caso la organización debe optar por no hacer nada, o poner en marcha algunas medidas que puedan contrarrestar el riesgo. Dentro de estas medidas se incluyen: • Capacidad para la gestión de incidentes. • Medidas de protección contra amenazas que tengan alta probabilidad, tal como un incendio. • Enfocarse hacia el fortalecimiento: Para sitios con único proceso de manufactura o cuando las instalaciones son únicas, la estrategia de reubicación no es posible de aplicar. En estos casos todos los esfuerzos deben ser enfocados en la minimización de amenazas específicas. Si ocurre lo peor, la única salida que tiene la organización será permitir su restablecimiento aunque tome mucho tiempo La aceptación del riesgo y la determinación del apetito de riesgo de la organización están sujetas a que no es posible determinar científicamente un valor para un riesgo operativo, por lo que una organización no puede medir con precisión su apetito al riesgo de manera teórica. Si una organización tiene como objetivo protegerse contra amenazas específicas percibidas, entonces el costo total de las medidas puede exceder el costo de la estrategia de la Continuidad del Negocio.
[101] GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL
Transferencia El riesgo puede ser transferible a terceros quienes también pueden estar más capacitados para gestionarlo. Estas medidas incluyen: • Externalización: Cada vez más organizaciones están tercerizando sus procesos y actividades críticas en busca de la creación de organizaciones virtuales. La transferencia del riesgo está asociada muchas veces a la externalización. Es importante recordar que el riesgo de la reputación de la organización y la imagen de la marca no puede trasladarse; el riesgo es siempre responsabilidad de la organización misma y esta responsabilidad no puede caer en los contratistas o en los proveedores. • Descentralización: Utilizar los recursos propios de la organización o proveedores externalizados alejados de los centros de negocios que introducen complicaciones adicionales de seguridad, riesgos ambientales y políticos que pueden atraer la atención e interés de los clientes y reguladores. • Seguros: La transferencia de algunos costos causados por un incidente deben ser asegurados. Sin embargo, en caso de un incidente la cobertura que brinda el seguro se representa en dinero que puede ser utilizado por la organización perjudicada, pero en este caso, ésta no es una solución por sí sola La organización puede sufrir daños en su infraestructura o su reputación o estar sujeta a sanciones como resultado de fallas de la compañía a la cual ha sido tercer izada. Cambio, suspensión y terminación Cambiar algunos procesos puede brindar tantas oportunidades de continuidad dentro de la organización como el cliente quiera. Sin embargo la entrega se hace de otra forma, usualmente tercerizando toda o parte de la operación. Por ejemplo una industria manufacturera puede convertirse en distribuidora importando o vendiendo productos bajo su propia marca. Interrumpir o vender partes del negocio puede ser apropiado cuando el negocio restante sea viable y pueda crear espacio para recuperación o si un producto o servicio está llegando al final de su vida útil. Esta también es una estrategia adecuada en casos donde una organización no está dispuesta a aprobar un presupuesto para la recuperación de la capacidad de una filial. Existen riegos con la aplicación de esta estrategia, si la reputación del negocio restante es opacada por la parte suspendida. Si estas opciones no están de acuerdo con el cliente, la organización se enfrenta a posibles litigios que afectan su reputación en caso de que la entrega después del incidente no cumpla con las expectativas del cliente.
GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL [102]
iStockphotos.com/lorrainedarke
Business Continuity Institute 10 Southview Park Marsack Street Caversham Berkshire RG4 5AF United Kingdom