ESPECIFICACIÓN TÉCNICA PERUANA ETP-ISO/TS 22317 2019 Dirección de Normalización - INACAL Calle Las Camelias 817, San I
Views 294 Downloads 14 File size 943KB
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 2019
Dirección de Normalización - INACAL Calle Las Camelias 817, San Isidro (Lima 27)
N
TO
TA L
O
PA R
CI AL
Lima, Perú
DU CC I
Ó
Seguridad de la sociedad. Sistemas de gestión de la continuidad de negocio. Directrices para el análisis de impacto en el negocio (BIA)
RO
Societal security. Business continuity management systems. Guidelines for business impact analysis (BIA)
PR O
HI
BI
DA
2019-12-27 1a Edición
SU
RE P
(EQV. ISO/TS 22317:2015 Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA))
R.D. N° 031-2019-INACAL/DN. Publicada el 2020-01-08 I.C.S.: 03.100.01 Descriptores: Seguridad de la sociedad, BIA
Precio basado en 48 páginas ESTA NORMA ES RECOMENDABLE
© ISO 2015 - © INACAL 2019
CI AL PA R O TA L TO N Ó DU CC I RO RE P
© ISO 2015
SU
Todos los derechos son reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación podrá ser reproducida o utilizada por cualquier medio, electrónico o mecánico, incluyendo fotocopia o publicándolo en el Internet o intranet, sin permiso por escrito del INACAL, único representante de la ISO en territorio peruano.
DA
© INACAL 2019
PR O
HI
BI
Todos los derechos son reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación podrá ser reproducida o utilizada por cualquier medio, electrónico o mecánico, incluyendo fotocopia o publicándolo en el internet o intranet, sin permiso por escrito del INACAL.
INACAL
Calle Las Camelias 817, San Isidro Lima - Perú Tel.: +51 1 640-8820 [email protected] www.inacal.gob.pe
i © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ÍNDICE
página
ii
CI AL
ÍNDICE PRÓLOGO
iii
PA R
INTRODUCCIÓN
v
Objeto y campo de aplicación
2
Referencias normativas
3
Términos y definiciones
4
Prerrequisitos
5
Realización del análisis de impacto en el negocio
6
Seguimiento y revisión del proceso BIA
27
ANEXO A (INFORMATIVO) Análisis de impacto en el negocio dentro de un sistema de continuidad de negocio ISO 22301
29
RO
DU CC I
Ó
N
TO
TA L
O
1
1 2 2 8
30
ANEXO C (INFORMATIVO) Métodos de recolección de información para análisis de impacto en el negocio
32
ANEXO D (INFORMATIVO) Otros usos para el proceso de análisis de impacto en el negocio
42
BI
DA
SU
RE P
ANEXO B (INFORMATIVO) Correlación de la terminología de análisis de impacto en el negocio
BIBLIOGRAFÍA
48
PR O
HI
1
ii © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
PRÓLOGO
A.
RESEÑA HISTÓRICA
PA R
CI AL
A.1 El Instituto Nacional de Calidad - INACAL, a través de la Dirección de Normalización es la autoridad competente que aprueba las Normas Técnicas Peruanas a nivel nacional. Es miembro de la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), en representación del país.
N
TO
TA L
O
A.2 La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Defensa civil - Seguridad de la sociedad, mediante el Sistema 1 o de Adopción, durante el mes de julio a setiembre de 2019, utilizando como antecedente a la norma ISO/TS 22317:2015 Societal security — Business continuity management systems — Guidelines for business impact analysis (BIA).
RE P
RO
DU CC I
Ó
A.3 El Comité Técnico de Normalización de Defensa civil - Seguridad de la sociedad presentó a la Dirección de Normalización -DN-, con fecha 2019-10-03, el PNTP-ISO 22317:2019, para su revisión y aprobación, siendo sometido a la etapa de discusión pública el 2019-10-25. No habiéndose recibido observaciones, fue oficializada como Norma Técnica Peruana NTP-ISO 22317:2019 Seguridad de la sociedad. Sistemas de gestión de la continuidad de negocio. Directrices para el análisis de impacto en el negocio (BIA), 1ª Edición, el 08 de enero de 2020.
DA
SU
A.4 La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente a terminología empleada propia del idioma español y ha sido estructurada de acuerdo a las Guías Peruanas GP 001:2016 y GP 002:2016.
PR O
HI
BI
B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓN DE LA NORMA TÉCNICA PERUANA Secretaría
Centro Nacional de Estimación, Prevención y Reducción del Riesgo de Desastres (CENEPRED)
Presidente
Jorge Pimentel Marín
iii © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ENTIDAD
REPRESENTANTE
Cámara de Comercio de Lima
Percy Krapp Ipince
Comité de Seguridad contra Incendios – Sociedad Nacional de Industrias
Saúl Montenegro Tello
Colegio de Ingenieros del Perú
Isaac Velazco Pereyra
Confederación Nacional de Instituciones Empresariales Privadas – CONFIEP
Carla Cuzzi Martinez Luis Pareja Sedano
Consultor
Carlos Horna Vallejos
Intendencia Nacional de Bomberos del Perú
Mirella Neyra Neyra Héctor Rojas Burgos
CI AL
Neil Alata Olivares
Luis Pizarro Pereyra Diana Vergaray Chávez Pablo Ocampo Santillán
PR O
HI
BI
DA
SU
RE P
RO
Instituto del Mar del Perú IMARPE Instituo Nacional de Salud
Segundo Núñez Juárez Griselda Luque Poma
DU CC I
Instituto Geológico, Minero y Metalúrgico INGEMMET
Ó
N
TO
TA L
O
PA R
Secretario
iv © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
INTRODUCCIÓN
O
PA R
CI AL
Esta especificación técnica proporciona orientación detallada para el establecimiento, implementación y mantenimiento de un proceso de análisis de impacto en el negocio, BIA (por su sigla en inglés), en coherencia con los requisitos de la ISO 22301. Esta especificación técnica. Esta especificación técnica es aplicable al desempeño de cualquier proceso BIA, ya sea como parte de un sistema de gestión de continuidad de negocio (BCMS, por su sigla en inglés) o de un programa de continuidad de negocio (programa BC, por su sigla en inglés). De aquí en adelante, programa BC hace referencia a BCMS o a programa de BC.
PR O
HI
BI
DA
SU
RE P
RO
DU CC I
Ó
N
TO
TA L
La Figura 1 presenta la relación entre el proceso BIA y el programa BC en su totalidad. La organización debería llevar a cabo un ciclo completo del proceso BIA antes de seleccionar estrategias de continuidad de negocio.
Figura 1 - Elementos de gestión de continuidad de negocio (Fuente: ISO 22313)
El proceso BIA analiza las consecuencias de un incidente de interrupción sobre la organización. El resultado es una declaración y la justificación de requisitos de continuidad de negocio. v © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
CI AL
El proceso BIA consta de un número de BIAs individuales, cada uno de ellos enfocado en un subgrupo del alcance del programa BC. El proceso BIA prioriza productos y servicios, y continúa con la priorización de procesos y actividades que en su conjunto abarcan el alcance completo del programa BC. Después de un período de tiempo determinado por la organización, los BIA individuales se repiten para asegurar la vigencia de los requisitos de BC.
PA R
NOTA En esta especificación técnica, requisitos de continuidad de negocio tiene el mismo significado que prioridades de continuidad y recuperación, objetivos y metas (ISO 22301:2012, 8.2.2).
TA L
O
Los propósitos de este documento son los siguientes:
proporcionar una base para el entendimiento, desarrollo, implementación, revisión, mantenimiento y mejora continua de un proceso BIA eficaz dentro de una organización;
-
proporcionar orientación para la planificación y realización del BIA y la presentación de informes sobre BIA;
-
ayudar a la organización a que lleve a cabo un BIA de manera coherente que refleje buenas prácticas; y
-
posibilitar la coordinación apropiada entre el proceso BIA y el programa BC global.
RE P
RO
DU CC I
Ó
N
TO
-
SU
Los resultados del proceso BIA incluyen los siguientes:
el respaldo o modificación del alcance del programa BC de la organización;
BI
DA
-
PR O
HI
-
la identificación de los requisitos legales, regulatorios y contractuales (obligaciones) y su efecto en los requisitos de continuidad de negocio;
-
la evaluación de los impactos sobre la organización a lo largo del tiempo, que sirva como justificación para los requisitos de continuidad de negocio (tiempo y capacidad);
-
la identificación y la confirmación de los requisitos de entrega del producto/servicio después de un incidente de interrupción, luego de lo cual se establecen los períodos de tiempo priorizados para actividades y recursos; vi © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
la identificación y el establecimiento de las relaciones entre productos/servicios, procesos, actividades y recursos;
-
la determinación de los recursos necesarios para llevar a cabo las actividades priorizadas (por ejemplo, instalaciones, personas, equipos, información, activos de comunicación y tecnología, y financiación);
-
el entendimiento de la dependencia de otras actividades, cadenas de suministro, socios y otras partes interesadas; y
-
la determinación de qué tan actualizada necesita estar la información.
PA R
CI AL
-
TO
TA L
O
NOTA Para los propósitos Esta especificación técnica de esta especificación técnica, las cadenas de suministro producen insumos de bienes, trabajos y servicios, que se denominarán "insumos" a lo largo de este documento.
DU CC I
Ó
N
El siguiente diagrama explica el proceso BIA, junto con los prerrequisitos y su relación con la identificación de estrategias. Los numerales referenciados en el diagrama corresponden a numerales Esta especificación técnica de esta especificación técnica.
PR O
HI
BI
DA
SU
RE P
RO
Proceso de análisis de impacto en el negocio
Figura 2. Proceso de análisis de impacto en el negocio
---oooOooo--vii © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 1 de 48
1
PA R
CI AL
Seguridad de la sociedad. Sistemas de gestión de la continuidad de negocio. Directrices para el análisis de impacto en el negocio (BIA)1
TA L
O
Objeto y campo de aplicación
DU CC I
Ó
N
TO
Esta especificación técnica proporciona orientación para que una organización establezca, implemente y mantenga un proceso de análisis de impacto en el negocio (BIA) formal y documentado. Esta especificación técnica no establece un proceso uniforme para llevar a cabo un BIA, pero ayudará a una organización a diseñar un proceso BIA que sea apropiado a sus necesidades.
RE P
RO
Esta especificación técnica es aplicable a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza, ya sea en el sector privado, público o sin ánimo de lucro. La orientación se puede adaptar a las necesidades, objetivos, recursos y limitaciones de la organización.
SU
Está prevista para uso por las personas responsables del proceso BIA.
Referencias normativas
DA
2.
PR O
HI
BI
Los siguientes documentos, ya sea en parte o en su totalidad, se referencian normativamente En esta especificación técnica y son indispensables para su aplicación. Para referencias fechadas, solo se aplica la edición citada. Para las referencias no fechadas se aplica la última edición del documento referenciado (incluida cualquier enmienda).
ISO 22300
1
Seguridad social. Terminología
BIA : Business impact analysis © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
Términos y definiciones
CI AL
3
ETP-ISO/TS 22317 2 de 48
PA R
Para los propósitos de este documento se aplican los términos y definiciones de la ISO 22300.
Prerrequisitos
4.1
Generalidades
DU CC I
Ó
N
TO
4
TA L
O
NOTA: Todas las definiciones de la ISO 22300 están disponibles en la plataforma ISO Online Browsing: www.iso.org/obp .
RE P
RO
Como se mencionó en la Introducción, esta especificación técnica es coherente con la ISO 22301; sin embargo, se puede usar para desarrollar, implementar, revisar, mantener y mejorar continuamente un proceso BIA que aborda otras normas o requisitos regulatorios. Ya sea parte de un BCMS o de un programa BC, la organización debería considerar varios prerrequisitos antes de comenzar el proceso BIA. El Capítulo 4 resume estos prerrequisitos, muchos de los cuales se tomaron de la ISO 22301.
definir el contexto y el alcance (véase el capítulo 4.2);
BI
-
DA
SU
La organización debería considerar algunos pasos dentro del programa BC2 antes de iniciar el proceso BIA, que incluyen lo siguiente:
definir y comunicar los roles y responsabilidades (véase el capítulo 4.3);
-
obtener el compromiso de los líderes (véase el capítulo 4.4); y
-
asignar los recursos adecuados (véase el capítulo 4.5).
PR O
HI
-
NOTA: Para información adicional, véase el Anexo A que establece una correlación de cada paso con la ISO 22301.
2
Business continuity management system (BCMS) or business continuity programme (BC programme). © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 3 de 48
Contexto y alcance del programa BC
4.2.1
Contexto del programa BC
PA R
CI AL
4.2
O
El éxito de los resultados de un proceso BIA depende de que la organización entienda:
el entorno externo en el que opera, de manera que pueda lograr su propósito mediante la entrega de sus productos y servicios a sus clientes;
-
el entorno operativo interno, incluidos los procesos, actividades y recursos, así como el impacto potencial causado por la interrupción en la entrega de productos y servicios; y
-
las leyes y regulaciones que rigen el proceso BIA y la manera como se realiza.
DU CC I
Ó
N
TO
TA L
-
RE P
RO
NOTA: En organizaciones que operan en un ambiente no comercial, el "cliente" puede ser el público o una autoridad de vigilancia, como, por ejemplo, el gobierno.
Alcance del programa BC
SU
4.2.2
BI
DA
Antes de determinar el alcance del proceso BIA, la organización debería definir y documentar el alcance del programa BC en términos de sus productos y servicios.
PR O
HI
El proceso BIA puede ayudar a la organización a revisar el alcance del programa BC.
Luego de definir el alcance del programa BC, la organización puede determinar el alcance del proceso BIA que se puede llevar a cabo como un único BIA que comprenda todo el alcance del programa BC; o se puede llevar a cabo en varias fases que, con el tiempo, abarquen el alcance completo del programa BC.
NOTA: Si la organización decide emprender el proceso de BIA por fases, primero debería determinar la priorización de todos los productos y servicios (véase el capítulo 5.2) y luego continuar con el resto de los BIAs individuales. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ETP-ISO/TS 22317 4 de 48
Roles del programa BC
4.3.1
Roles y responsabilidades del programa BC
PA R
4.3
CI AL
ESPECIFICACIÓN TÉCNICA PERUANA
TA L
O
Antes de llevar a cabo el proceso BIA, la alta dirección debería asegurar que las responsabilidades y autoridades para que los roles relevantes se asignen y comuniquen dentro de la organización.
Roles y competencias específicos del proceso BIA
TO
4.3.2
DU CC I
Ó
N
Luego de la asignación de roles en el programa BC, la alta dirección debería suministrar los recursos necesarios para ejecutar el proceso BIA, que puede incluir la asignación de los siguientes roles:
la persona patrocinador del proceso BIA;
-
el comité directivo BIA;
-
la persona que lidera el proceso BIA;
-
la persona que gestiona el proyecto BIA (gerente del proyecto);
-
los dueños de procesos; y
RE P
SU
DA
los gestores de actividades.
HI
BI
-
RO
-
PR O
El patrocinador del proceso BIA debería:
-
ser un ejecutivo que represente a la alta dirección;
-
ser una persona reconocida por los miembros de la alta dirección dentro de la organización;
-
tener una perspectiva amplia de la organización; © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 5 de 48
tener autoridad para comprometer a la organización a la acción; y
-
tomar decisiones finales con relación al proceso BIA.
PA R
El comité directivo BIA debería:
CI AL
-
representar a la alta dirección;
-
proporcionar asesoría y orientación permanentes sobre la realización del proceso BIA;
-
acordar los métodos y resultados;
-
tomar decisiones concernientes a los requisitos de continuidad de negocio; y
-
ayudar a la persona que lidera el proceso BIA y al gerente de proyectos, a determinar las competencias requeridas para los roles y responsabilidades específicos del proceso BIA, y la toma de conciencia, conocimiento, entendimiento, habilidades y experiencia necesarias para cumplir con ellos.
RO
DU CC I
Ó
N
TO
TA L
O
-
RE P
La persona que lidera el proceso BIA debería:
DA
tener experiencia en la conducción de un proceso BIA.
HI
BI
-
tener un entendimiento de la organización, en particular de los productos, servicios, procesos y actividades; y
SU
-
PR O
La persona que gestiona el proyecto BIA debería:
-
planificar y gestionar el proceso BIA;
-
tener un entendimiento de las tareas de planificación de proyectos; y
-
estar familiarizado con el proceso BIA.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 6 de 48
CI AL
Los dueños de procesos deberían conocer en forma relativamente detallada el proceso que representan, con el fin de ayudar al gerente de proyectos a identificar a los expertos en el tema, a las unidades organizacionales, y los impactos del tiempo de inactividad.
PA R
Los gestores de actividades deberían:
tener un conocimiento detallado de la actividad que ellos representan, incluidos todos los recursos que posibilitan que la actividad se lleve a cabo; y
-
conocer los procesos y recursos alternativos que pueden estar disponibles en el evento de una pérdida de recursos primarios.
Ó
N
TO
TA L
O
-
DU CC I
NOTA: En organizaciones pequeñas, estos roles pueden estar combinados.
RE P
RO
La organización debería asegurar la competencia de las personas que lideran o que participan en el proceso BIA. Las competencias deberían incluir las habilidades y capacidades relacionadas con:
la planificación y la gestión del proyecto/programa;
-
la recopilación de información;
-
el análisis;
DA
la comunicación y la colaboración efectivas;
PR O
HI
BI
-
SU
-
-
la traducción de objetivos organizacionales en requisitos de continuidad de negocio y los recursos necesarios;
-
la aplicación de conceptos de BIA en el contexto específico de la organización; y
-
el conocimiento de la organización, sus productos y servicios, procesos, actividades y recursos.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
Compromiso con el programa BC
CI AL
4.4
ETP-ISO/TS 22317 7 de 48
PA R
El compromiso de la alta dirección con el proceso BIA es necesario para asegurar una participación efectiva. Para obtener este apoyo, la organización puede considerar comunicar el valor del proceso BIA, que incluye lo siguiente:
asegurar que se seleccionen las estrategias más apropiadas y rentables mediante la determinación de los requisitos de continuidad de negocio correctos;
-
proporcionar evidencia a la dirección, de que los requisitos de continuidad de negocio están alineados con los objetivos organizacionales;
-
asegurar que la organización cumple sus requisitos legales, contractuales y de los clientes durante un incidente de interrupción;
-
identificar los vínculos entre los productos, servicios y procesos, actividades y recursos; y
-
proporcionar un panorama general de la organización que se pueda usar para mejorar su eficiencia o explorar nuevas oportunidades (véase el Anexo D).
RE P
RO
DU CC I
Ó
N
TO
TA L
O
-
Recursos del programa BC
SU
4.5
BI
DA
La organización debería proporcionar recursos suficientes al proceso BIA para:
PR O
HI
-
lograr su política y objetivos de BC;
-
proveer las personas y recursos relacionados con éstas, incluido el tiempo para cumplir los roles y responsabilidades, y para llevar a cabo la formación y toma de conciencia específicos del proceso BIA;
-
cumplir los requisitos cambiantes de la organización; y
-
mantener la operación y la mejora continua del programa BC, al igual que el proceso BIA. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 8 de 48
Realización del análisis de impacto en el negocio
5.1
Generalidades
PA R
CI AL
5
TO
TA L
O
El proceso BIA prioriza los diferentes componentes organizacionales de manera que la entrega de productos y servicios se puedan reanudar en un período de tiempo predeterminado luego de un incidente de interrupción, para la satisfacción de las partes interesadas. Para los propósitos de esta especificación técnica y de coherencia con la ISO 22301, los productos y servicios son creados por procesos que a su vez están compuestos de actividades.
DU CC I
Ó
N
Los productos y servicios se priorizan primero; así se establecen los parámetros de tiempo y nivel del servicio para la priorización de procesos. Si así lo exige la complejidad de la organización, los procesos se pueden separar en sus actividades componentes para llevar a cabo la priorización.
RE P
RO
La obtención de resultados apropiados, adecuados, y eficaces de las fases subsiguientes del programa BC depende de la exactitud del proceso BIA. Cada BIA se debería llevar a cabo en forma consistente, cuidadosa y completa.
PR O
HI
BI
DA
SU
La Figura 3 muestra la relación entre los diferentes elementos del proceso BIA. El diagrama ilustra que puede existir superposición en los tiempos de estas fases componentes del proceso.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 9 de 48
DU CC I
Ó
N
TO
TA L
O
PA R
CI AL
Relaciones en un análisis de impacto en el negocio (BIA)
Figura 3 - Relaciones en el análisis de impacto en el negocio
RE P
RO
El éxito en los resultados del proceso BIA puede depender de:
identificar a los clientes y otras partes interesadas, y anticipar sus reacciones frente a un incidente de interrupción;
-
comprometer a todas las partes interesadas pertinentes con un mandato apropiado;
DA
desarrollar habilidades y competencias apropiadas dentro de la organización o proyecto para llevar a cabo el análisis y presentar los resultados;
PR O
HI
BI
-
SU
-
-
recolectar información completa y exacta (es posible que alguna información no esté disponible, se entienda de manera deficiente, sea confidencial o no se divulgue, identificando así las áreas de trabajo posterior);
-
asegurar que quienes contribuyen al proceso de recopilación de información del BIA tengan el suficiente conocimiento y autoridad para hablar en nombre de la organización, del proceso o de la actividad; y
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
asegurar que los representantes de la dirección tengan autoridad suficiente para aprobar los resultados del BIA.
Planificación y gestión de proyectos
5.2.1
Generalidades
TA L
O
PA R
5.2
CI AL
-
ETP-ISO/TS 22317 10 de 48
Ó
N
TO
Aunque el BIA es un proceso, las organizaciones pueden usar métodos de gestión de proyectos para una fase del proceso BIA. Ya que el proceso BIA es potencialmente complejo, el uso de los métodos de gestión de proyectos permite a las organizaciones coordinar recursos y cronogramas.
DU CC I
Las tareas de planificación de proyectos pueden incluir las siguientes:
decidir el alcance de esta fase del proceso BIA;
-
comunicar las expectativas a los participantes en el proceso BIA;
-
identificar a la persona patrocinador del proceso BIA y de la participación de la alta dirección;
-
establecer los roles y responsabilidades específicos del proceso BIA (incluyendo las competencias);
RE P
SU
DA
establecer el plan del proyecto;
BI
-
RO
-
PR O
HI
-
asignar recursos para el proyecto BIA;
-
obtener aceptación del enfoque y del plan del proyecto; y
-
establecer o proveer las habilidades necesarias para cumplir los objetivos del proceso BIA;
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 11 de 48
CI AL
Las tareas de gestión de proyectos pueden incluir las siguientes:
implementar el proceso BIA (véase subcapítulos de 5.2 a 5.6);
-
hacer seguimiento a la implementación del proceso BIA (véase el capítulo 5.6);
-
elaborar reportes periódicos situacionales, señalando las expectativas y recomendaciones para mejorar el desempeño alineado con las expectativas de la alta dirección (véase el capítulo 5.2);
-
llevar a cabo modificaciones del enfoque y el alcance del proceso BIA para cumplir las expectativas de la alta dirección y los requisitos externos (regulatorios, estatutarios, de los clientes, contractuales) (véase el capítulo 6);
-
recopilar y examinar las lecciones aprendidas (véase el capítulo 6); y
-
hacer recomendaciones con relación a la mejora del proceso BIA para implementación futura (véase el capítulo 6).
RO
DU CC I
Ó
N
TO
TA L
O
PA R
-
Consideraciones iniciales del BIA
RE P
5.2.2
identificar productos y servicios;
PR O
HI
BI
-
DA
SU
Una organización que lleve a cabo un BIA por primera vez debería planificar tiempo adicional para:
-
crear conciencia y garantizar educación;
-
identificar un representante de la alta dirección que sea patrocinador del proceso BIA y/o el comité directivo BIA;
-
determinar las categorías y criterios de impacto;
-
determinar la importancia del entorno político/de negocios de la organización; © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 12 de 48
identificar la estructura de la organización a un nivel de detalle apropiado;
-
identificar y seleccionar las fuentes de información correctas para recolectar información;
-
documentar el flujo de trabajo a nivel de proceso y actividad; y
-
completar la recolección de información por medio de revisión de documentos, entrevistas, talleres y cuestionarios.
TA L
O
PA R
CI AL
-
N
TO
Durante el BIA inicial, la organización puede usar los resultados de éste para priorizar fases posteriores de continuidad de negocio, incluida la selección de estrategias.
Priorización de productos y servicios
5.3.1
Visión general
DU CC I
Ó
5.3
RE P
RO
Como un primer paso en el proceso BIA, la alta dirección debería acordar la prioridad de productos y servicios luego de un incidente de interrupción que puede amenazar el logro de sus objetivos.
establecen los objetivos de la organización;
BI
-
DA
SU
Es responsabilidad de la alta dirección tomar estas decisiones, porque ellos:
PR O
HI
-
tienen la responsabilidad final de asegurar la continuidad de la organización y el cumplimiento de sus objetivos;
-
tienen la visión amplia de toda la organización, que les permite evaluar prioridades;
-
pueden decidir la anulación de obligaciones contractuales y otras al establecer prioridades en circunstancias excepcionales; y
-
están conscientes de los cambios futuros planificados y otros factores que pueden afectar los requisitos de continuidad de negocio. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 13 de 48
PA R
CI AL
Si una organización tiene demasiados productos y servicios para identificar individualmente, la organización puede agrupar productos y servicios cuando tengan prioridades similares. Por el contrario, puede ser necesario que la organización identifique a los clientes que, a pesar de compartir los mismos productos y servicios, tengan diferentes expectativas en cuanto a tiempos de entrega, o su valor difiere para la organización.
TA L
O
Para cada grupo de productos y servicios, la organización debería entender los impactos que pueden resultar de un incidente de interrupción:
identificando las expectativas y obligaciones de los clientes, y las penalidades asociadas con su incumplimiento; y
-
teniendo en cuenta las opiniones de otras partes interesadas en la evaluación de los impactos.
DU CC I
Ó
N
TO
-
RO
Otras partes interesadas y su reacción ante un incidente de interrupción pueden incluir lo siguiente:
organizaciones socias: su voluntad de continuar cooperando;
-
medios de comunicación y la sociedad: el valor de la marca y la opinión pública;
-
clientes potenciales: pérdida de participación actual y futura en el mercado;
SU
DA
accionistas: efecto sobre el precio actual de las acciones y sobre las inversiones futuras;
PR O
HI
BI
-
RE P
-
-
competidores: quienes pueden tomar ventaja de la situación;
-
personal de la organización (staff): retención; y
-
organismos reguladores y gobierno: penalidades y cambios en la reglas.
La organización puede usar los ejemplos de la Tabla 1 para entender los impactos de un incidente de interrupción sobre la organización a lo largo del tiempo: © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 14 de 48
Tabla 1 - Ejemplos de categoría de impacto en productos y nivel de servicios
Financiero
O
PA R
En la reputación Legal y regulatorio Contractual
Ejemplos de impactos Pérdidas financieras debidas a multas, penalidades, pérdida de utilidades o a disminución en la participación en el mercado Opinión negativa o daño a la marca Litigios, responsabilidad y retiro de la licencia comercial Incumplimiento de contratos u obligaciones entre organizaciones Incumplimiento de los objetivos o para tomar ventaja de las oportunidades
CI AL
Categorías de impacto
TA L
Objetivos de negocio
PR O
HI
BI
DA
SU
RE P
RO
DU CC I
Ó
N
TO
Casi siempre los impactos se incrementan con el tiempo. Sin embargo, estos impactos pueden no incrementarse con la misma rapidez. Por ejemplo, los impactos financieros se pueden incrementar repentinamente cuando se incurre en sanciones originadas en contratos, o cuando se pierden clientes, y el daño en la reputación puede ocurrir repentinamente en un momento durante un incidente de interrupción. Véase en la Figura 4 un ejemplo de cómo las diferentes categorías de impacto se incrementan con el tiempo.
Figura 4 - Impacto en el tiempo de un incidente de interrupción sobre una organización © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 15 de 48
CI AL
Para cada grupo de productos y servicios, la alta dirección debería decidir y documentar lo siguiente:
el tiempo después del cual, la falla en la entrega de productos o servicios se convierte en inaceptable para la organización debido a que los impactos ya mencionados amenazan su supervivencia o hacen que ya no pueda cumplir sus objetivos (véanse en el Anexo B términos relacionados); y
-
la(s) razón (es) por las cuales se ha identificado este período de tiempo con referencia a los impactos crecientes a lo largo del tiempo.
TO
TA L
O
PA R
-
5.3.2
DU CC I
Ó
N
La organización puede, con base en el ejemplo del período de tiempo de la Figura 4, establecer un tiempo límite para reanudar la entrega de productos y servicios a los niveles mínimos especificados (véanse en el Anexo B términos relacionados).
Entradas
RE P
RO
La alta dirección puede considerar la siguiente información al establecer los requisitos de continuidad de negocio para productos y servicios:
la misión, los objetivos y la dirección estratégica actuales de la organización;
-
el alcance actual del programa BC;
DA
la evaluación de las prioridades de productos y servicios proveniente de una revisión previa por la alta dirección;
PR O
HI
BI
-
SU
-
-
la relación de los requisitos legales y regulatorios a los que está sujeta la organización o productos o servicios específicos (al igual que una valoración de las consecuencias de incumplir cualquier requisito);
-
los requisitos contractuales, incluidas las sanciones por la falla en la entrega;
-
la evaluación de los impactos en la reputación, financieros y otros debidos a la falla en la entrega; y © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
los informes recientes posteriores al incidente, que describen el impacto asociado con el incidente de interrupción.
Resultados
PA R
5.3.3
CI AL
-
ETP-ISO/TS 22317 16 de 48
TA L
O
Los resultados del proceso de priorización de productos y servicios deberían ser:
el respaldo o la modificación del alcance del programa BC de la organización;
-
la identificación de los requisitos legales, regulatorios y contractuales (obligaciones);
-
la evaluación de impactos en el tiempo, ya que se relaciona con la falla en la entrega de productos o servicios, que sirve como justificación de los requisitos de continuidad de negocio;
-
la confirmación de los requisitos de entrega de productos y servicios (que pueden incluir especificaciones de tiempo, calidad, cantidad, niveles de servicio y capacidad) posteriores a un incidente de interrupción, para luego establecer las prioridades de actividades y recursos;
-
la identificación de los procesos (que entregan los productos y servicios);
-
el nombramiento de personal líder que ayude a identificar qué procesos entregan productos y servicios; y
SU
DA
la documentación de una lista de productos y servicios priorizados (agrupados por períodos de tiempo o cliente).
PR O
HI
BI
-
RE P
RO
DU CC I
Ó
N
TO
-
La organización puede retener documentación que describa las decisiones tomadas durante el proceso de priorización de productos y servicios.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 17 de 48
Priorización de procesos
5.4.1
Generalidades
PA R
CI AL
5.4
TA L
O
Un proceso es un conjunto de actividades interrelacionadas o que interactúan, que transforman entradas en salidas (ISO 22300). Su prioridad se determina por la prioridad de los productos y servicios de los cuales es su salida.
5.4.2
DU CC I
Ó
N
TO
Dependiendo de su complejidad, la organización puede escoger omitir la priorización de los procesos y proceder directamente a la priorización de las actividades. Si la organización escoge llevar a cabo la priorización de procesos, la organización debería determinar qué actividades conforman estos procesos.
Entradas
RO
La información requerida para la priorización de procesos incluye lo siguiente:
el alcance de este BIA;
-
los requisitos de entrega de productos y servicios (que pueden incluir especificaciones de tiempo, calidad, cantidad, niveles de servicio y capacidad); los procesos y los productos y servicios que estos entregan;
BI
-
DA
SU
RE P
-
PR O
HI
-
5.4.3
-
los impactos en el tiempo de una falla en la entrega de productos y servicios; y los requisitos legales, regulatorios y contractuales (obligaciones).
Resultados
Los resultados de la priorización de procesos deberían ser los siguientes: © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 18 de 48
la identificación de la relación entre productos y servicios, procesos y actividades;
-
la identificación de su dependencia de otros procesos de negocio;
-
la evaluación de los impactos en el tiempo de una falla de un proceso (se pueden usar las categorías de impacto de la Tabla 1 para confirmar los impactos en la interrupción de procesos);
-
las prioridades de los procesos;
-
el análisis de la interdependencia de los procesos que entregan productos y servicios a los clientes;
-
el análisis de la interdependencia de las actividades que entregan los procesos;
-
una lista documentada de los procesos priorizados que entregan productos y servicios; y
-
una lista inicial documentada de las actividades que entregan los procesos.
RO
DU CC I
Ó
N
TO
TA L
O
PA R
CI AL
-
Priorización de actividades
5.5.1
Visión general
DA
SU
RE P
5.5
HI
BI
Una actividad es un conjunto de una o más tareas con una salida predefinida. La prioridad de la actividad está determinada por la prioridad de los procesos de los cuales forma parte.
PR O
La organización debería llevar a cabo la priorización al nivel de las actividades para entender cuáles son los recursos necesarios para operar cada actividad luego de un incidente de interrupción, y para confirmar el impacto potencial asociado con un incidente de interrupción.
Las organizaciones deberían llevar a cabo la priorización al nivel de las actividades para tener un entendimiento detallado de los requisitos de recursos diarios, lo que les permite identificar la cantidad y el tiempo en que son necesarios los recursos para la recuperación y © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 19 de 48
CI AL
para ayudar a confirmar las conclusiones relacionadas con el impacto desarrollada al nivel de proceso.
PA R
La información relacionada con los recursos incluye lo siguiente:
personas/habilidades/roles;
-
instalaciones;
-
equipos;
-
registros;
-
financiamiento;
-
tecnologías de información y de comunicaciones (incluyendo aplicaciones, datos, telefonía y redes);
-
insumos, cadenas de suministro y socios;
-
dependencias de otros procesos y actividades;
-
herramientas especiales, repuestos y elementos consumibles; y
-
limitaciones impuestas a los recursos por la logística o por las regulaciones.
DA
SU
RE P
RO
DU CC I
Ó
N
TO
TA L
O
-
PR O
HI
BI
Además de los impactos ya considerados en la Tabla 1, la organización puede considerar la evaluación de los impactos operacionales, tales como los retrasos debidos a acumulación de carga de trabajo o a soluciones temporales manuales, o los impactos a actividades interrelacionadas.
5.5.2
Entradas
Las entradas requeridas para llevar a cabo la priorización de actividades incluyen las siguientes:
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 20 de 48
el alcance de este BIA;
-
las prioridades de los procesos;
-
el organigrama; y
-
las actividades que conforman los procesos.
PA R O
Recolección de información
TA L
5.5.3
CI AL
-
DU CC I
Ó
N
TO
La organización necesita recolectar la siguiente información para llevar a cabo el BIA a nivel de las actividades, incluyendo el detalle de la actividad, los recursos requeridos y las interdependencias.
5.5.3.1
Detalle de la actividad
RE P
RO
La organización puede recolectar los siguientes detalles durante la priorización de las actividades:
los procesos que esta actividad apoya;
-
los métodos operacionales de la actividad;
-
la duración o tiempo de realización de esta actividad;
DA
las fluctuaciones en la demanda o en los períodos de operación pico; y
HI
BI
-
SU
-
PR O
-
5.5.3.2
los factores aún no descubiertos que pueden afectar la determinación de los requisitos de continuidad de negocio (por ejemplo, la acumulación de trabajo o los requisitos legales y regulatorios de esta actividad).
Requisitos de recursos
La información sobre recursos que se va a recolectar durante la priorización de una actividad puede incluir lo siguiente: © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 21 de 48
el personal y los contratistas (incluido el nivel mínimo aceptable para el servicio, y el conocimiento, las habilidades o las calificaciones requeridas);
-
los requisitos del lugar de trabajo;
-
las aplicaciones de TI y comunicaciones (señalando los requisitos especiales);
-
los registros (por ejemplo, electrónicos o en copia física);
-
los equipos (por ejemplo, tecnología de la información y comunicaciones (TIC), equipo de oficina, equipo de fabricación); y
-
los componentes y materias primas.
Interdependencias
DU CC I
5.5.3.3
Ó
N
TO
TA L
O
PA R
CI AL
-
RO
La información sobre interdependencia, que es necesario recolectar durante la priorización de actividades, incluye lo siguiente:
dependencia de otras actividades y recursos internos, o cadenas de suministro; y
-
dependencia de otras actividades internas en las salidas de esta actividad.
DA
SU
RE P
-
PR O
HI
BI
Para la especificación de requisitos de TIC se puede recolectar la siguiente información adicional:
-
nombre, ubicación y configuración del activo TIC (por ejemplo, memoria, capacidad, velocidad del procesador, espacio en el disco);
-
dependencia de otros activos TIC;
-
perfiles del usuario final y características de uso; y
-
requisitos legales o regulatorios únicos acerca del uso del activo TIC. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
Resultados
PA R
Los resultados de la priorización de actividades deberían ser los siguientes:
CI AL
5.5.4
ETP-ISO/TS 22317 22 de 48
confirmación de los impactos a lo largo del tiempo, que sirva como justificación para los requisitos de continuidad de negocio (tiempo y capacidad);
-
recursos necesarios para llevar a cabo cada actividad priorizada (incluidas las instalaciones, personas, equipos, activos TIC, insumos, finanzas e información);
-
el grado de actualización que necesita tener la información (véanse en el Anexo B los términos relacionados);
-
conocimiento de la dependencia de otras actividades, cadenas de suministro, socios y otras partes interesadas;
-
análisis de dependencia de los recursos necesarios para realizar cada actividad;
-
una lista documentada de las actividades y sus períodos de tiempo priorizadas que apoyan los procesos; y
-
una lista documentada de los recursos y sus períodos de tiempo priorizadas que posibilitan las actividades.
DA
SU
RE P
RO
DU CC I
Ó
N
TO
TA L
O
-
Análisis y consolidación
HI
BI
5.6
PR O
5.6.1
Visión general
Aunque el análisis ocurre durante todo el proceso BIA, la organización debería llevar a cabo un análisis final (o consolidación de análisis). Esto involucra revisar los resultados de la priorización y sacar conclusiones que conduzcan a requisitos de continuidad de negocio.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 23 de 48
PA R
CI AL
La organización debería escoger el(los) método(s) analítico(s) cuantitativo(s) y/o cualitativo(s) apropiado(s) que puede(n) estar influenciado(s) por el tipo, el tamaño o la naturaleza de la organización, al igual que las restricciones de recursos y de habilidades. Los métodos seleccionados también dependerán del tipo de información recolectada.
TA L
O
Independientemente del método, la organización debería poner a prueba la información y verificarla para asegurarse de que sea:
correcta: exacta y fiable;
-
creíble: verosímil y razonable;
-
consistente: clara y repetible;
-
actual: al día y disponible de una manera oportuna; y
-
completa: comprensiva.
RO
Entradas
RE P
5.6.2
DU CC I
Ó
N
TO
-
SU
La organización debería obtener información validada y aprobada, recolectada de todos los niveles del proceso BIA para llevar a cabo los análisis.
Métodos
BI
DA
5.6.3
PR O
HI
La organización puede usar una combinación de técnicas cuantitativas y cualitativas para analizar la información recolectada. La Tabla 2 presenta ejemplos de técnicas analíticas.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 24 de 48
Tabla 2 - Técnicas de análisis BIA Técnicas analíticas cualitativas
Análisis de interdependencia Enfoques de análisis financiero
Sentido común y comprobaciones Pruebas de esfuerzo Revisión de las evaluaciones y recomendaciones posteriores al incidente Proveedor-Entrada-Proceso-Salida-Cliente (SIPOC) Diagramas espina de pescado (Ishikawa)
TO
Resultados
N
5.6.3
TA L
O
PA R
CI AL
Técnicas analíticas cuantitativas
DU CC I
Ó
Los resultados de aplicar técnicas de análisis y de consolidar la información son los siguientes:
confirmación de los impactos a lo largo del tiempo;
-
revisión y confirmación de la dependencia y requisitos de recursos;
-
consolidación de los requisitos de recursos (por ejemplo, a través de procesos, estructuras organizacionales o lugares); y
-
revisión y confirmación de la interdependencia de procesos y actividades, y su relación con la entrega de productos y servicios, que sirven como entrada para la selección de estrategias de continuidad de negocio.
PR O
HI
5.7 BIA
BI
DA
SU
RE P
RO
-
5.7.1
Obtención y respaldo de la alta dirección con relación a los resultados
Generalidades
La organización debería buscar respaldo de la alta dirección con relación a los resultados, que incluyen la priorización de productos, servicios, procesos, actividades y recursos después de uno o más BIA individuales. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 25 de 48
PA R
CI AL
La organización debería recopilar los resultados del BIA para asegurar que la información recolectada se pueda mantener y actualizar en forma periódica, antes de buscar el respaldo de la alta dirección. La presentación de los resultados del BIA puede hacerse en una variedad de medios y puede contener diferentes niveles de detalle, dependiendo de la audiencia.
TA L
O
La organización debería proporcionar a la alta dirección los siguientes resultados BIA claves, para su revisión, corrección (si es necesario) y su respaldo, antes de avanzar a los siguientes pasos: priorización de productos y servicios (si ha cambiado desde su determinación original);
-
priorización de procesos; y
-
priorización de actividades (incluidos los recursos y las interdependencias).
DU CC I
Ó
N
TO
-
RE P
RO
NOTA: La organización puede decidir recibir este respaldo durante una revisión por la dirección (véase el Anexo A).
Entradas
SU
5.7.2
BI
Métodos
PR O
HI
5.7.3
DA
La persona responsable del proceso BIA debería usar las salidas de 5.2 a 5.6 como entradas para obtener el respaldo de la alta dirección.
La organización debería incluir al menos los siguientes temas en el informe de resumen del BIA: -
un panorama del proceso BIA, incluidos los objetivos y el alcance;
-
los impactos que influyen en la asignación de los requisitos de continuidad de negocio (véase el subcapítulo 5.3.1); © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 26 de 48
los períodos de tiempo priorizados para productos y servicios, procesos, actividades y recursos; y
-
conclusiones y pasos siguientes.
PA R
CI AL
-
TA L
O
La organización puede desarrollar materiales para presentar a la alta dirección una vez finalizado el informe BIA abreviado, usando los siguientes métodos:
resumiendo, información a la alta dirección mediante la promoción de reuniones individuales con miembros de la alta dirección o de reuniones en grupo con la alta dirección;
-
extrayendo y suministrando el resumen ejecutivo, que destaque los hallazgos clave y las conclusiones; y
-
facilitando reuniones individuales con la alta dirección para revisar en detalle el informe abreviado.
RO
Resultados
RE P
5.7.4
DU CC I
Ó
N
TO
-
DA
SU
El respaldo de la alta dirección a los resultados del BIA se debería documentar de acuerdo con las prácticas establecidas para gestión de documentos. Estos resultados se pueden transmitir entonces al proceso de selección de estrategias de continuidad de negocio.
Después del BIA. Selección de la estrategia de continuidad de negocio
HI
BI
5.8
PR O
Una vez finalizado el BIA, la organización debería continuar la selección de la estrategia de continuidad de negocio. Los requisitos de continuidad de negocio aprobados posibilitan a la organización determinar y seleccionar estrategias de continuidad de negocio apropiadas, para posibilitar una respuesta y recuperación efectiva ante un incidente de interrupción. Los siguientes son algunos ejemplos:
-
disposiciones acerca de lugares de trabajo alternativos;
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 27 de 48
disposiciones acerca de cadenas de suministro alternativas;
-
opciones de recuperación de TIC;
-
fuentes alternativas de personal;
-
fuentes alternativas de equipos; y
-
soluciones temporales y procedimientos alternativos.
TA L
O
PA R
CI AL
-
Ó
N
TO
El BIA también puede conducir a que se reconsidere la forma en que la organización entrega sus productos y servicios (véase el Anexo D).
Seguimiento y revisión del proceso BIA
DU CC I
6
RE P
RO
La organización debería examinar/llevar a cabo periódicamente un proceso BIA (generalmente una vez al año) o como parte de un cambio organizacional que pueda afectar la exactitud de los requisitos de continuidad de negocio.
reflejado en la política de continuidad de negocio mediante un cambio en el alcance del programa BC, mediante la adición o la eliminación de algunos productos o servicios; o
PR O
HI
BI
-
DA
SU
La alta dirección puede publicar un plan o revisión estratégica anual que confirme o actualice los objetivos estratégicos de la organización. Un cambio en los objetivos estratégicos de la organización puede ser:
-
un cambio en las prioridades de productos y servicios que puede dar inicio a una revisión de cada BIA en los niveles de procesos y actividades.
Las siguientes consideraciones pueden provocar la revisión de los diferentes componentes del proceso BIA:
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 28 de 48
la revisión anual;
-
cambios en la dirección estratégica;
-
cambios en los productos o servicios;
-
cambios en la regulación;
-
cambios de clientes y/o contractuales;
-
cambios operacionales, que incluyen cambios en las aplicaciones/nuevas aplicaciones/TIC, cadena de suministro (insourcing / outsourcing), y recursos del sitio/instalaciones;
-
cambios estructurales;
-
luego de un ejercicio de continuidad de negocio;
-
luego de una interrupción.
DU CC I
Ó
N
TO
TA L
O
PA R
CI AL
-
PR O
HI
BI
DA
SU
RE P
RO
En áreas de la organización que han cambiado poco desde el último BIA, puede ser apropiado verificar y confirmar los resultados anteriores, en lugar de llevar a cabo una revisión completa.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 29 de 48
ANEXO A
CI AL
(INFORMATIVO)
O
PA R
Análisis de impacto en el negocio dentro de un sistema de continuidad de negocio ISO 22301
TO
TA L
Tabla A.1 - Análisis de impacto en el negocio dentro de un sistema de gestión de continuidad de negocio ISO 22301 ISO/TS 22317
ISO 22301 0.3 Componentes ciclo PHVA en la presente norma 4.2 Contexto y alcance del programa BC 4. Contexto de la organización 4.3 Roles del programa BC 5.4 Roles organizacionales, responsabilidades y autoridad 7.2 Competencia 4.4 Compromiso con el programa BC 5. Compromiso 4.5 Recursos del programa BC 7.1 Recursos 5. Realización del análisis de impacto en 8.2 Análisis de impacto en el negocio y el negocio evaluación de riesgos 5.8 Paso siguiente. Selección de la 8.3 Estrategia de continuidad de negocio estrategia de continuidad de negocio
PR O
HI
BI
DA
SU
RE P
RO
DU CC I
Ó
N
Introducción
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 30 de 48
ANEXO B
CI AL
(INFORMATIVO)
PA R
Correlación de la terminología de análisis de impacto en el negocio Correlación de la terminología de análisis de impacto en el negocio
TA L
O
B.1
N
TO
Algunos de estos términos de la ISO 22301 no se usan en esta especificación técnica. Sin embargo, estos términos son comunes con respecto al desempeño del proceso BIA.
Definición ISO/TS 22317 Tiempo necesario para que los impactos adversos, que pudieran surgir como resultado de no suministrar un producto 5.3.1 o prestar un servicio, o de no realizar una actividad, lleguen a ser inaceptables. Objetivo mínimo de Nivel mínimo de servicios y/o continuidad de negocio productos que es aceptable para que la (MBCO, por su sigla en organización logre sus objetivos de inglés) negocio durante una interrupción. 5.3.1
DA
HI
BI
2
SU
RE P
1
Término Interrupción máxima aceptable (MAO, por su sigla en inglés) o período de interrupción máximo tolerable (MTPoD o MTPD)
RO
N°
DU CC I
Ó
Tabla B.1 - Correlación de la terminología de análisis de impacto en el negocio
NOTA: No se debería confundir con los objetivos de BC que se presentan en la ISO 22301:2012, 6.2 que hacen referencia a los objetivos del programa BC.
PR O
Tiempo objetivo de Tiempo meta posterior a un incidente, recuperación (RTO, por su para: sigla en inglés) La reanudación de la entrega de un producto o servicio; o
3
5.3.1
De una actividad; o Recuperación de recursos. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
Término
Definición
ISO/TS 22317
PA R
NOTA: Para productos, servicios y actividades, el tiempo objetivo de recuperación debe ser inferior al que tomaría para que los impactos adversos, que pudieran surgir como resultado de no suministrar un producto o prestar un servicio, o de no realizar una actividad, lleguen a ser inaceptables.
CI AL
N°
ETP-ISO/TS 22317 31 de 48
5.5.4
PR O
HI
BI
DA
SU
RE P
RO
DU CC I
Ó
N
TO
4
TA L
O
Punto objetivo de Punto en el cual la información usada recuperación (RPO, por su por una actividad se debe restaurar para sigla en inglés) o pérdida posibilitar que la actividad se reanude. máxima de datos (MDL, por su sigla en inglés)
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 32 de 48
ANEXO C
CI AL
(INFORMATIVO)
O
PA R
Métodos de recolección de información para análisis de impacto en el negocio
Método de recolección de información para análisis de impacto en el
TO
TA L
C.1 negocio
DU CC I
Ó
N
En este Anexo se resumen los métodos comunes usados para recolectar información necesaria para llegar a conclusiones de BIA. No importa cuánta información se recolecte, la recolección se debería llevar a cabo de forma consistente que permita comparar la información en toda la organización.
RE P
RO
La organización debería considerar los siguientes factores que pueden influir en la selección del(los) método(s):
La información necesaria: ¿La información se requiere para llevar a cabo el análisis cuantificable/discreto o subjetivo?
-
Experiencia previa con la realización de un BIA: ¿es el primer BIA realizado?
DA
La necesidad de crear conciencia sobre la continuidad de negocio con participantes del programa BC: ¿Las partes interesadas entienden el concepto de continuidad de negocio y conocen sus resultados?
PR O
HI
BI
-
SU
-
-
La complejidad del negocio: ¿Cuál es el nivel de complejidad de las actividades dentro del alcance del proceso BIA?
-
Las competencias de los participantes en el proceso BIA: ¿Qué habilidades y experiencias tienen los profesionales en continuidad de negocio con relación a la implementación del proceso BIA?
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
Disponibilidad y ubicación geográfica de los participantes en el proceso BIA: ¿Cuáles son las ubicaciones físicas y limitaciones de tiempo para quienes representan las actividades?
CI AL
-
ETP-ISO/TS 22317 33 de 48
PA R
En general, los cinco métodos más comunes para recopilar información del BIA son:
revisión de la documentación;
-
entrevistas;
-
encuestas/cuestionarios;
-
talleres de trabajo; y
-
ejercicios basados en escenarios (se recomienda precaución, ya que diferentes escenarios pueden dar como resultado diferentes magnitudes de impacto).
DU CC I
Ó
N
TO
TA L
O
-
RE P
RO
Los métodos para asegurar consistencia de la información, independientemente del método que se use para su recolección, son los siguientes:
proporcionar entrenamiento para quienes lideran o participan;
-
identificar los requisitos de información;
DA
supervisar las salidas o asegurar su calidad; y
BI
-
SU
-
PR O
HI
-
C.2
llevar a cabo una prueba del método de recolección de información antes de implementarlo en toda la organización.
Revisión de la documentación
La organización debería revisar la siguiente documentación como un paso esencial en la preparación de entrevistas, desarrollo de preguntas del cuestionario y finalmente llevar a cabo el trabajo relacionado con el análisis: © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 34 de 48
documentos relacionados con estrategias;
-
materiales de mercadeo;
-
informes anuales;
-
métrica del desempeño del negocio;
-
procedimientos de funcionamiento estándar que describen las actividades realizadas diariamente;
-
listas de equipos y de tecnología de información y comunicaciones (TIC);
-
pólizas de seguros;
-
informes post-incidentes;
-
materiales de entrenamiento;
-
información previa al BIA;
-
documentación del proceso;
-
organigramas;
-
roles y responsabilidades;
-
acuerdos de nivel de servicios relacionados con el cliente; y
PA R
O
TA L
TO N Ó
DU CC I
RO
RE P
SU
DA
requisitos contractuales.
HI
BI
-
CI AL
-
PR O
C.3
Entrevistas
Las organizaciones pueden llevar a cabo entrevistas para posibilitar discusiones acerca del día a día de las operaciones, los recursos necesarios, las obligaciones y los posibles impactos si un incidente de interrupción afectara la capacidad de la actividad para entregar procesos, productos o servicios.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 35 de 48
CI AL
Aunque existen muchas formas de estructurar una entrevista, los temas deberían incluir lo siguiente:
perspectiva del proceso BIA, objetivos, resultados deseados y la relación entre el proceso BIA y los demás procesos de planificación de la continuidad de negocio;
-
las expectativas de los participantes en el BIA;
-
la relación entre actividades y procesos;
-
la discusión de las actividades; y
-
los pasos siguientes, que incluyen una revisión del resumen de la entrevista, los comentarios, las correcciones y la aprobación.
DU CC I
Ó
N
TO
TA L
O
PA R
-
La discusión de las actividades puede abarcar los siguientes temas:
un panorama de la actividad y de su relación con los productos, servicios y procesos, con énfasis en las tareas clave y en los plazos necesarios para desarrollar la actividad en conjunto o las tareas subordinadas (incluidas las fluctuaciones en la demanda o los períodos pico de operación);
-
la dependencia y requisitos de recursos (véase el capítulo 5.5.1), incluidas las soluciones temporales y el tiempo en que siguen siendo viables;
DA
el impacto conocido asociado con el tiempo de inactividad de los procesos (véase el capítulo 5.3.1); y
HI
BI
-
SU
RE P
RO
-
las obligaciones conocidas específicas de las actividades.
PR O
-
Las siguientes son algunas de las buenas prácticas para la realización de entrevistas:
-
prepararse adecuadamente, lo que incluye con frecuencia elaborar una agenda con las instrucciones para entrevistar al participante, o la preparación para la entrevista; © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 36 de 48
investigar acerca de la actividad, para hacer preguntas informadas;
-
repetir información clave para asegurar que se entendió con exactitud;
-
documentar un resumen de la entrevista, solicitar retroalimentación y obtener aprobación.
Encuesta/Cuestionario
TA L
C.4
O
PA R
CI AL
-
DU CC I
Ó
N
TO
Las organizaciones pueden usar encuestas o cuestionarios para recolectar efectivamente información discreta, es decir, información con un número finito de posibilidades o información que se puede cuantificar. Las organizaciones pueden entregar las encuestas como:
documentos impresos;
-
documentos electrónicos; o
-
encuestas en línea.
RE P
RO
-
DA
SU
Es importante que las preguntas tengan una intención y lenguaje claro, y es conveniente que se brinde una información de contacto para resolver las preguntas que pueda tener el entrevistado.
PR O
HI
BI
El contenido común de una encuesta puede incluir lo siguiente:
-
la validación de los impactos asociados con un incidente de interrupción, que incluye cómo el impacto cambia con el tiempo;
-
la identificación de las obligaciones legales, regulatorias o contractuales adicionales específicas de la actividad;
-
la identificación de las dependencias y requisitos de recursos, al igual que el cronograma de recuperación después de un incidente de interrupción. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
Talleres de trabajo
CI AL
C.5
ETP-ISO/TS 22317 37 de 48
PA R
Se pueden llevar a cabo talleres de trabajo con participantes que representen diferentes actividades o procesos, para recolectar información similar a las entrevistas, pero además se pueden desarrollar y compartir resultados con el grupo para:
producir información adicional más completa; y
-
solucionar posibles expectativas no realistas que compiten entre sí.
N
Ejercicio basado en escenarios
DU CC I
Ó
C.6
TO
TA L
O
-
SU
RE P
RO
Un ejercicio basado en escenarios posibilita que los participantes decidan sobre la prioridad de los productos, servicios, procesos y/o actividades dentro del contexto de un incidente de interrupción simulado. A nivel de la alta dirección, el ejercicio debería ser lo suficientemente desafiante, de manera que la tolerancia de los clientes se ponga a prueba hasta el punto de quiebre, de manera que se puedan identificar y evaluar los impactos y tomar decisiones acerca de las prioridades. A nivel de procesos y de actividades, mediante un ejercicio se puede explorar la logística, el momento oportuno y la dependencia de otras actividades y cadenas de suministro.
HI
BI
DA
Para un ejercicio con la alta dirección, los escenarios deberían ser simples, de manera que los participantes se concentren en las prioridades provocadas por inyecciones de información relacionada con presiones externas tales como quejas de los clientes y presión de los medios.
PR O
Se debería conceder tiempo para hacer el debate de las prioridades, y no seguir un cronograma estricto para los incidentes.
Para un ejercicio a nivel de un proceso o actividad, los objetivos se deberían enfocar en la identificación de los recursos requeridos y en el orden, viabilidad y tiempo máximo disponible de recuperación, para lograr la recuperación requerida del producto y la entrega del servicio. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 38 de 48
CI AL
Los resultados del ejercicio pueden incluir lo siguiente:
la identificación de los impactos que resultarían de una interrupción en la entrega de productos y servicios y el momento en que estos impactos serían inaceptables;
-
la priorización en la entrega de productos y servicios, y en procesos y/o actividades;
-
los recursos requeridos para apoyar una actividad, incluidos los suministros; y
-
las interdependencias de la actividad con otras actividades.
Ó
N
TO
TA L
O
PA R
-
RO
DU CC I
Es posible que no se obtengan resultados tan exhaustivos como los obtenidos con una serie de entrevistas estructuradas, pero el compromiso de los participantes y el realismo aparente de la situación pueden dar resultados más confiables. Este método también es útil cuando el tiempo disponible con los participantes es limitado.
RE P
NOTA: Cuando se recolecta información basada en escenarios, asegúrese de concentrarse en el impacto del escenario, no en la causa del escenario.
PR O
HI
BI
DA
SU
Las Tablas C.1 a C.5 suministran información adicional acerca de las ventajas, desventajas, oportunidades y consejos acerca de cada uno de estos métodos para recolectar información.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 39 de 48
Tabla C.1 - Revisión de documentos
O
PA R
CI AL
Desventajas Consume tiempo Carece de explicación y de contexto Puede estar desactualizada o incorrecta Puede ser difícil ubicar la información necesaria debido al volumen
Ó
N
TO
TA L
Consejos Complemente con una reunión para asegurar el entendimiento del contexto Para la preparación de entrevistas y talleres, lea la información disponible
DU CC I
Ventajas Potencialmente detallada y bien concebida Ya existe evidencia/no requiere comunicación verbal o esfuerzo adicional Aprovecha esfuerzos previos/promueve la cooperación De fácil acceso Oportunidades La información puede provenir de varias fuentes Puede posibilitar la compilación de borradores de cuestionarios/preguntas de entrevistas Puede confirmar la información de otro método
RO
Tabla C.2 - Entrevistas
PR O
HI
BI
DA
SU
RE P
Ventajas Involucran al personal y elevan la toma de conciencia El entrevistador obtiene conocimiento de las personas y de las funciones Descubren los impactos actuales (cuasi pérdidas) Tienen en cuenta los puntos de vista y los temores personales Oportunidades Uso de participantes con experiencia En donde se requiere evaluación cualitativa Se usan en donde la toma de conciencia es un requisito
Desventajas Consume tiempo Necesitan preparación Pueden usar más tiempo del personal Se sigue necesitando el borrador del cuestionario. Respuesta personal Inconsistencia si hay más de un entrevistador Consejos Formalice la estructura Entreviste en el lugar Intente entrevistar en el contexto de los entregables del negocio, no en los objetivos del proceso Tómese el tiempo para explicar el propósito del proceso BIA.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 40 de 48
Tabla C.3 - Talleres de trabajo
TO
TA L
O
PA R
CI AL
Desventajas Difíciles de programar Difícil tratar con la inconformidad y la política interna en un grupo Se requieren habilidades de facilitación Mucha preparación Consejos Véndalos a la dirección basándose en los ahorros de costos Prepárelos bien - Solo tiene una oportunidad Mantenga el enfoque en el impacto, no en las causas.
DU CC I
Ó
N
Ventajas Perspectiva transversal a los procesos Lluvia de ideas Muestra el compromiso de la organización Menos distracciones Más profesionales Oportunidades Cuando se requieren resultados rápidos Alto nivel de compromiso organizacional También se pueden usar para elevar la toma de conciencia de la continuidad de negocio.
Tabla C.4 - Ejercicio basado en escenarios Desventajas Se requiere preparación considerable Pueden reducir el alcance de la discusión a un escenario a la mano (dejando por fuera otras pérdidas de recursos o amenazas a estos).
Consejos Haga que el escenario y el ejercicio sean realistas para estimular el compromiso y la participación
PR O
HI
BI
DA
SU
RE P
RO
Ventajas Fuerza decisiones con base en escalas de tiempo y en prioridades Proporciona un contexto relacionable para entender las opciones y decisiones de estrategia (incluidas las soluciones temporales manuales y los procedimientos alternativos) Pueden surgir decisiones más realistas Oportunidades También se puede usar para elevar la toma de conciencia de la continuidad de negocio Además, se pueden desarrollar o aplicar planes.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 41 de 48
Tabla C.5. Cuestionarios/encuestas Desventajas Fatiga por cuestionarios Interpretación de preguntas Necesidad de hacer comprobaciones adicionales Posibilidad de error en preguntas, que anula los resultados Falta de involucramiento Se pierden los temas menos importantes Se pierden temas importantes al no cuestionar las respuestas Oportunidades Consejos En una organización/ programa de BC Bases de datos u hojas electrónicas para maduros gráficos Cuando la información puede ser numérica Mantenga requisitos ajustados sobre la o se puede tener escalas información Como seguimiento Verifique la información Si el número de entrevistados es alto Combine con entrevistas En lugares remotos
PR O
HI
BI
DA
SU
RE P
RO
DU CC I
Ó
N
TO
TA L
O
PA R
CI AL
Ventajas Fáciles de analizar Facilidad para normalizar las respuestas Se obtiene evidencia "física" Se pueden automatizar Software disponible para acceso remoto
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 42 de 48
ANEXO D
CI AL
(INFORMATIVO)
O
PA R
Otros usos para el proceso de análisis de impacto en el negocio
TO
TA L
D.1 La recolección de información es útil para el desarrollo del plan y la respuesta a incidentes
DU CC I
Ó
N
El contenido del proceso BIA descrito en esta especificación técnica comprende solo la información requerida para seleccionar las estrategias de continuidad de negocio apropiadas para cumplir los requisitos de continuidad de negocio.
RE P
RO
Llevar a cabo un BIA usando cualquiera de los métodos descritos puede ser una oportunidad para recolectar la siguiente información adicional, que será útil al desarrollar planes o al responder a un incidente de interrupción.
SU
A nivel de la alta dirección:
la dirección estratégica planificada de la organización, que incluye fusiones, reubicación o adquisiciones que pueden afectar la estrategia de continuidad de negocio en el futuro y se debería tener en cuenta al seleccionar las estrategias actuales; y
BI
DA
-
PR O
HI
-
la exploración de oportunidades de estrategia de continuidad de negocio tales como la cooperación con otras organizaciones (que pueden ser competidores) para suministrarse ayuda mutuamente.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 43 de 48
CI AL
A nivel de procesos:
oportunidades de comprometerse en un servicio para entregar elementos de todos los procesos en forma temporal, o contratar externamente algunos o todos los elementos de un proceso en forma permanente luego de un incidente de interrupción.
O
PA R
-
TA L
A nivel de actividades:
la documentación de las soluciones temporales en ausencia de recursos y sus limitaciones de calidad, las necesidades de recursos adicionales y el tiempo en el que son efectivos;
-
la viabilidad para obtener suministros alternativos; y
-
las características del personal.
DU CC I
Ó
N
TO
-
RE P
RO
Las características del personal deben incluir las siguientes:
las habilidades de los miembros individuales del personal (en los roles actuales o anteriores);
-
los detalles de contacto;
DA
la ubicación principal de su trabajo, lugar de residencia y el medio de transporte que usa para llegar al trabajo;
PR O
HI
BI
-
SU
-
-
la capacidad para trabajar desde su hogar (incluida la capacidad de la red, equipo y ubicación del escritorio); y
-
los registros y su ubicación.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
Incremento en la eficiencia de la organización
CI AL
D.2
ETP-ISO/TS 22317 44 de 48
O
PA R
El panorama general del funcionamiento de una organización que surge de un proceso BIA puede posibilitar que los participantes en el proceso identifiquen los cambios que pueden mejorar su eficiencia. Es posible que estos cambios solo sean evidentes cuando la organización explora su red de interdependencias.
TO
TA L
Una mejor comprensión de los imperativos de tiempo de entrega de productos y servicios puede mejorar la programación y la priorización cuando los recursos son limitados temporalmente.
DU CC I
Ó
N
Al conocer los imperativos de tiempo de las diferentes partes de un proceso de fabricación es posible optimizar las existencias de materias primas o de repuestos.
RO
Al comprender las interdependencias entre las actividades es posible sugerir cambios en la estructura de gestión.
Explorar opciones de planeación estratégica alternativas
RE P
D.3
HI
BI
DA
SU
El proceso BIA descrito en esta especificación técnica determina los requisitos de continuidad de negocio de una organización tal y como están en el presente. Sin embargo, la organización también puede aplicar el proceso BIA a una o más situaciones futuras con el fin de entender las implicaciones que tienen en la continuidad de negocio los cambios planificados.
PR O
Esta aplicación del proceso BIA puede ser útil si la organización está planificando hacer cambios significativos como los siguientes:
-
redistribución del espacio de trabajo: un nuevo sitio, cierre del sitio actual o consolidación de éste;
-
cambio en los recursos: aumento o reducción del personal; © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 45 de 48
cambio en la tecnología: automatización o hardware de TIC; y
-
cambio en productos o servicios: nuevos contratos o cambio en términos comerciales.
PA R
CI AL
-
TO
TA L
O
En la aplicación del proceso BIA con miras al futuro se pueden explorar varias opciones para comprender el impacto de cada cambio en el negocio, ya que puede haber diferencias significativas dentro de las cuales la interrupción en productos, servicios, procesos o actividades es aceptable. Estas conclusiones se pueden usar como entradas al proceso de toma de decisiones. Por ejemplo:
el servicio de una central de llamadas desde dos sitios puede suministrar un servicio aceptable, en caso de que no se degrade, en comparación con el potencial de tiempo de inactividad si se usara un solo sitio y llegara a estar inoperante;
-
el impacto de una pérdida después de un cambio propuesto es inaceptable, de manera que la organización abandona el cambio propuesto;
-
el espacio liberado por la reubicación se puede considerar como un espacio de recuperación potencial, en vez de desecharlo;
-
un cambio en el número de la planta de personal puede afectar el tiempo que toma recobrar una actividad;
-
las nuevas tecnologías de la información y de la comunicación pueden tener diferentes períodos de recuperación, y algunos pueden ser viables dentro del tiempo disponible, de manera que esto se debería determinar como parte del proceso de selección; y
HI
BI
DA
SU
RE P
RO
DU CC I
Ó
N
-
PR O
-
D.4
antes de hacer acuerdos, se debería verificar que los niveles de servicio y obligaciones contractuales para la recuperación se pueden cumplir.
Ayudar a la toma de decisiones estratégicas a largo plazo
El método para evaluar los impactos a lo largo del tiempo se puede aplicar al nivel estratégico, a varias decisiones estratégicas diferentes de los requisitos de recuperación. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 46 de 48
-
cambios en el entorno de negocio;
-
degradación del ambiente físico; y
-
cambios en la opinión pública.
O
regulaciones pendientes;
TO
TA L
-
PA R
CI AL
Muchos cambios a largo plazo en las operaciones de una organización son impulsados por factores externos tales como los siguientes:
BIA de proyectos
RE P
RO
D.5
DU CC I
Ó
N
La organización no necesita responder inmediatamente a estos cambios, pero la alta dirección puede evaluar el crecimiento de los impactos en el tiempo, para tomar una decisión acerca de cuándo, aproximadamente, los impactos financieros o en la reputación llegarán a ser inaceptables. Es entonces cuando este puede ser un tema por considerar en la planeación estratégica.
HI
BI
DA
SU
Como se describe en esta especificación técnica, el BIA supone que las fechas de entrega de productos y servicios se pueden posponer hasta un punto en el que sean apenas aceptables para las partes interesadas. En ocasiones, el producto es un proyecto en el que no hay flexibilidad en la fecha de entrega, y la cancelación puede ser inaceptable. La organización puede aplicar el proceso BIA para determinar si la fecha de entrega del proyecto se puede modificar, pero solamente por un tiempo establecido, ya que las consecuencias de una demora adicional Serían inaceptables.
PR O
En este caso, los esfuerzos de priorización del nivel de la actividad y del proceso se pueden realizar a la inversa. Para hacerlo, la organización puede usar el tiempo de cada actividad, para ir hacia atrás desde la fecha establecida, y determinar en qué punto es necesario iniciar cada actividad para cumplir el plazo, y opcionalmente evaluar qué actividades se pueden omitir o llevar a otro nivel para entregar el proyecto con base en la especificación mínima aceptable. Estos son una planificación de proyectos y un análisis de ruta crítica convencional, pero en donde el BIA impulsa las fechas previstas e informa la duración del tiempo de contingencia que se va a incluir en el plan del proyecto. A medida que el proyecto avanza, se puede hacer seguimiento de este tiempo de contingencia y se puede controlar el retraso dejando de lado actividades que no están en la especificación mínima. © ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 47 de 48
PA R
CI AL
Aunque este enfoque no garantiza la entrega a tiempo de los proyectos, sí asegura que la alta dirección comprenda el impacto de los retrasos. Entonces pueden decidir identificar qué proyectos están dentro del alcance de este enfoque y si el personal de continuidad de negocio debería estar involucrado.
Análisis de impacto en el negocio como un análisis de riesgo
TA L
O
D.6
TO
En algunas normas de gestión de riesgos se usa el término "análisis de impacto en el negocio".
DU CC I
Ó
N
Aunque es posible identificar el impacto de las amenazas identificadas, esto tiene un uso limitado para la determinación de las estrategias de continuidad de negocio previstas como útiles para responder tanto a los incidentes identificados, como a los incidentes de interrupción inesperados. Es posible que los requisitos de continuidad de negocio definidos solamente por las amenazas identificadas no sean exhaustivos.
DA
SU
RE P
RO
En este método, la medición del impacto mediante una sola variable no tiene en cuenta el parámetro esencial de tiempo. El impacto de un incidente de interrupción sobre la reputación de una organización y sobre las finanzas casi siempre se incrementa con el tiempo. Posiblemente sea insignificante inmediatamente después del incidente, pero puede permanecer como una amenaza algún tiempo después. Esta variación no se puede describir mediante un solo valor para el impacto.
PR O
HI
BI
El impacto de un incidente de interrupción sobre una organización parece estar más estrechamente relacionado con la rapidez y la eficacia con la que se vuelven a proveer productos y servicios a los clientes, que con la naturaleza de la amenaza que causó el incidente de interrupción. Ciertamente, algunas organizaciones han mejorado su reputación gracias a su respuesta ante un incidente de interrupción.
El enfoque usado en esta especificación técnica supone que la organización debería estar preparada para cualquier incidente de interrupción. Por tanto, la identificación de las amenazas y el intento por evaluar su probabilidad, como se describe en las normas basadas en el riesgo, es inapropiada como método para determinar los requisitos de recuperación.
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados
ESPECIFICACIÓN TÉCNICA PERUANA
ETP-ISO/TS 22317 48 de 48
CI AL
BIBLIOGRAFÍA
ISO 22300, Societal Security. Terminology
[2]
ISO 22301:2012, Societal Security. Business Continuity Management Systems. Requirements
[3]
ISO 22313, Societal Security. Business Continuity Management Systems. Guidance
PR O
HI
BI
DA
SU
RE P
RO
DU CC I
Ó
N
TO
TA L
O
PA R
[1]
© ISO 2015 - © INACAL 2019 - Todos los derechos son reservados