Buenas Practicas Continuidad Negocio 2007 BCI

MANUAL DE BUENAS PRCTICAS 2007
Agradecimientos La Asociacin Espaola para el Fomento de la Seguridad de la Informacin ISMS Forum Spain quiere agradecer pblicamente al BCI (Business Continuity Institute), y a su presidenta y representante en Espaa, D Joanne Gagnon, por haber cortsmente cedido los derechos de traduccin y edicin en castellano de la presente Obra a ISMS Forum Spain. Ms informacin acerca del BCI se puede consultar a travs de su pgina oficial www.thebci.org La traduccin y edicin de este Manual en castellano no habra sido posible sin el patrocinio de Hewlett-Packard Espaola, cuyo director de la Prctica de Seguridad y Continuidad de Negocio, D. Luis J. Buezo, CISSP, socio cofundador de ISMS Forum Spain, ha apoyado todas las actividades desarrolladas por la Asociacin Espaola para el Fomento de la Seguridad de la Informacin desde su fundacin, lo cual queremos agradecer expresamente. ISMS Forum Spain quiere agradecer asimismo a D. Csar Peacoba, SBCI, Gerente del rea de Gobierno de la Seguridad de Hewlett-Packard, su valiosa contribucin como revisor y editor tcnico especializado del texto traducido al castellano de esta Obra.
Fo r u m S p a i n
ASOCIACIN ESPAOLA PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIN
La Asociacin Espaola para el Fomento de la Seguridad de la Informacin ISMS Forum Spain es una asociacin sin nimo de lucro, creada en enero de 2007, para el Fomento de la Seguridad de la Informacin en Espaa. Adems, ISMS Forum Spain es el Captulo Espaol de ISMS International User Group (IUG), organizacin que promueve el conocimiento e implementacin de los Sistemas de Gestin de la Seguridad de la Informacin en todo el mundo, de acuerdo con los estndares ISO 27000. La finalidad de ISMS Forum Spain es promover el desarrollo, conocimiento y cultura de la Seguridad de la Informacin en Espaa y actuar en beneficio de toda la comunidad implicada en el sector. Se constituye como foro especializado de debate para que todas las empresas; organismos pblicos y privados; investigadores y profesionales colaboren, intercambien experiencias y conozcan los ltimos avances y desarrollos en el mbito de los SGSI. Todo ello desde la transparencia, la objetividad y la neutralidad. ISMS Forum Spain nace respaldada por algunas de las ms representativas empresas y organizaciones comprometidas con la seguridad de la informacin. Los socios fundadores ejercen su labor en muy diversos mbitos que van desde la enseanza superior y la I+D hasta la Consultora, pasando por los sectores de Banca, Certificacin, Seguros, Construccin, Servicios Jurdicos o Telecomunicaciones. No obstante, la asociacin se ha creado con una vocacin plural y abierta; que quiere representar a todos los sectores implicados. Por ello invita a todos los profesionales, empresas e instituciones involucrados en la gestin de la seguridad de la informacin a asociarse. En su primer ao de actividad, ISMS Forum Spain tiene ya a sesenta y cinco empresas asociadas y cuenta con ms de 400 profesionales miembros, ya sea a travs de sus empresas o por iniciativa individual. La Asociacin para el Fomento de la Seguridad de la Informacin es ya, por tanto, la mayor red activa espaola de expertos en SGSI. Entre los principales objetivos de ISMS Forum Spain destacan: - Dar visibilidad a un sector estratgico para el desarrollo econmico, como es la Seguridad de la Informacin, y difundir el talento de los profesionales que trabajan en l. - Situar a las empresas y organizaciones espaolas a la vanguardia de conocimientos e implementacin de SGSI. - Ser interlocutores en Espaa de las diversas asociaciones y foros internacionales y cooperar con instituciones pblicas y privadas, nacionales e internacionales, para impulsar la cultura de la Gestin de la Seguridad de la Informacin.
www.ismsforum.es ISMS Forum Spain, Asociacin Espaola para el Fomento de la Seguridad de la Informacin Federico Salmn, 13. 28016 Madrid. Telfono +34 91 343 76 10 // Fax +34 91 343 78 78 // info@ismsforum.es Inscrita en el Registro Nacional de Asociaciones Grupo I, Seccin I, Nmero Nacional 588718
El pasado mes de julio ISMS Forum Spain y el captulo espaol de The Business Continuity Institute, BCI Spain, llegaron a un acuerdo que prev una estrecha colaboracin entre ambas instituciones, cuyos objetivos y metas son claramente afines y podran resumirse, aunque de una forma muy simplificada, en la promocin y difusin de los distintos aspectos de la Seguridad de la Informacin y la Continuidad de Negocio. Como primera materializacin prctica de este convenio de colaboracin, ISMS Forum Spain ha traducido y editado por primera vez en castellano el Manual de Buenas Prcticas del Business Continuity Institute (BCI). El manual ya se haba traducido al alemn y al italiano, y nos pareca importante gestionar esta versin en castellano, sin duda una de las lenguas ms utilizadas en el mbito mundial. Estamos convencidos de que esta completa y actualizada gua para instaurar Buenas Prcticas Globales en Gestin de Continuidad de Negocio ser de gran utilidad para todos nuestros asociados, a quienes daremos acceso restringido durante un periodo inicial de tres meses. Pero tambin lo ser para todos aqullos profesionales del rea de Continuidad de Negocio que trabajan en los numerosos pases de habla hispana, para quienes la haremos accesible pasado este plazo inicial. El gran valor aadido del Manual de Buenas Prcticas es que se inspira en la experiencia real y contrastada de los propios miembros del BCI, expertos que practican la Gestin de Continuidad de Negocio en su quehacer profesional diario. Si algo promueve ISMS Forum Spain es precisamente el intercambio de experiencias y conocimientos entre los especialistas del sector; y sin duda esta obra es un claro ejemplo del traspaso de conocimientos y know-how que los profesionales de la Continuidad de Negocio ponen a disposicin de la comunidad global, de forma que todo tipo de organizaciones, independientemente de su tamao, sector o ubicacin, podrn aprender y aplicar sus directrices. Con esta entrega editorial ISMS Forum Spain contina con una de las lneas de trabajo que considera de mayor utilidad para todos sus asociados: la publicacin de informes y manuales que constituyan herramientas prcticas y actualizadas de trabajo para los profesionales y contribuyan as, de manera directa, a impulsar el conocimiento y la implementacin de los Sistemas de Gestin de la Seguridad de la Informacin en nuestro pas.
Gianluca D'Antonio Presidente de ISMS Forum Spain Noviembre de 2007
ACERCA DE ESTA GUA
ACERCA DE ESTA GUA Introduccin El Business Continuity Institute (BCI) public su primer Manual de Buenas Prcticas en 2002. Esto tuvo una influencia significativa en el desarrollo del Publicly Available Specification for Business Continuity Management (Especificaciones Pblicamente Disponibles para la Gestin de Continuidad de Negocio, PAS 56) de la British Standards Institution (BSI). En 2005 se public una nueva edicin del Manual de Buenas Prcticas con importantes modificaciones que reflejaban los conceptos ms recientes en Gestin de Continuidad de Negocio (GCN) en el mundo y que destacaban la creciente madurez en la prctica de GCN en todos los sectores, tanto en las empresas pblicas como en las privadas. Esta gua para la puesta en prctica de la GCN se ha elaborado para apoyar el lanzamiento del BS 25999-1 A Code of Practice for Business Continuity Management (Cdigo de Buenas Prcticas para la Gestin de Continuidad de Negocio) de la British Standards Institution. Puede considerarse una gua para la puesta en prctica de BS25999, adems de un texto definitivo para aquellos que deseen entender los principios y prcticas de la GCN de una forma ms integral. Existe una relacin cercana entre la estructura de este Manual y el BS 25999-1 porque la gua del BCI siempre ha sido un componente clave para las iniciativas de la BSI en lo que se refiere a la Gestin de Continuidad de Negocio. Est prevista una nueva revisin del Manual en cuanto se publique el BS 25999-2 debido a que este estndar definir el marco de gestin y los elementos que sern de cumplimiento obligatorio. No obstante, en su calidad de instituto global, el BCI tiene que reflejar las buenas prcticas en todo el mundo. El BS25999 ofrece una visin integral acerca del tema, pero existen otros estndares en vigor que muchos de los profesionales que son miembros del BCI necesitan entender. Por ello, la edicin 2007 del Manual tambin est diseada para tener en cuenta los requisitos de NFPA1600 (Estados Unidos y Canad) HB221 (Australia), APS 232 (Australia) y FSA (Reino Unido). A pesar de ello, en ningn caso debe considerarse que este Manual reemplaza aquellos estndares o garantiza su cumplimiento. Objetivo Este documento pretende ofrecer una visin general y una gua acerca de las buenas prcticas en lo que se refiere al ciclo de vida de la Gestin de Continuidad de Negocio (GCN), desde el reconocimiento inicial de la necesidad de desarrollar el programa, hasta el mantenimiento constante de un proceso maduro de Continuidad de Negocio. Se pretende que los organismos que marcan los estndares definan los requerimientos de un programa de GCN. En aquellos casos en el que el Cdigo de Prcticas requiera un proceso, este Manual ofrece ms detalles acerca de cmo abordar ese proceso. No obstante, al tratarse de una gua de procedimientos, en algunos casos el Manual identifica pasos adicionales que son necesarios realizar para cumplir con los requisitos de cualquier estndar. Audiencia El Manual de Buenas Prcticas se inspira en las experiencias acadmicas, tcnicas y empricas de los miembros del Business Continuity Institute es decir, personas que practican la GCN y que han desarrollado y dado forma a las directrices en el mundo real. Los principios de estas directrices son aplicables a todas las organizaciones sin importar el tamao, sector y ubicacin - tanto para las que cuentan con una sola sede como las que tienen presencia global. Por lo tanto se pretende que estas normas sean utilizadas por aquellos que practican la GCN, gestores de riesgo, auditores y legisladores con conocimiento prctico de los principios de GCN. No es una gua para debutantes. Aquellos que se inicien a la disciplina deberan trabajar en colaboracin de alguien ya experimentado en las prcticas o asistir a los programas de formacin que existen acerca del tema.
ACERCA DE ESTA GUA
Agradecimientos Ian Charters (FBCI) es el principal autor del Manual de Buenas Prcticas del BCI John Robinson (FBCI) aport informacin adicional acerca de los estndares globales e indicadores clave de la GCN Lyndon Bird (FBCI) revis y edit el Manual Este Manual est basado en la edicin del mismo de 2005, al que contribuyeron las personas que aparecen en la lista siguiente. Anne Wright (MBCI) Ian Griffiths (MBCI) Richard Ecclestone (SBCI) Martin Lippiett (MBCI) James Coates (MBCI) Michael Bland (MBCI) Jim Barrow (MBCI) Julia Graham (FBCI) Michael Bews (MBCI) Jane Naylor Andy Tomkinson (MBCI) Jo Welland Jeanette O'Neil (MBCI) Howard Booth (MBCI) Helen Sweet (ABCI) John Worthington (MBCI) Mel Gosling (MBCI) Mark Mahoney (MBCI) David Bennett (MBCI) Elaine Weston (MBCI) Colin Ive (MBCI) Adrian Jolly Richard Bridgeford (MBCI) Angela Hobley (MBCI) Nathan Bird (MBCI) Ian Charters (FBCI)
Business Continuity Institute agradece el tiempo y la asesora ofrecida de forma voluntaria por todas las personas arriba mencionadas para el desarrollo del Manual de Buenas Prcticas en beneficio del BCI y el sector dedicado a Gestin de Continuidad de Negocio. Los que han contribuido al Manual han donado de forma gratuita sus derechos de autor y propiedad intelectual al Business Continuity Institute para que el instituto pueda garantizar que las directrices se mantengan actualizadas y completas.
ESTRUCTURA DE ESTA GUA
Estructura de esta gua La gua est dividida en seis captulos, que se corresponden con las versiones anteriores y tambin con la nomenclatura BS25999. El captulo 1 ofrece informacin preliminar adems de Poltica y Gestin de Programa de GCN El cptulo 2 es: Comprender la organizacin El cptulo 3 es: Determinar la estrategia de GCN El cptulo 4 es: Desarrollar y poner en prctica la respuesta de GCN El cptulo 5 es: Probar, mantener y revisar los preparativos de GCN El cptulo 6 es: Incorporar la GCN en la cultura de la organizacin Al final de cada captulo se encuentra un resumen de los Indicadores clave de GCN que servirn de base para el uso futuro de la herramienta para establecer criterios de referencia del BCI, la plataforma educativa electrnica del BCI y los exmenes de admisin del BCI. Estos indicadores son recomendaciones que generalmente aparecen en la mayora de los estndares relacionados con la GCN y con los que este Manual se adecua de forma total o parcial. Habilidades profesionales para la GCN Para aquellas personas que quieran convertirse en miembros profesionales del BCI, existen 10 reas de competencia que han sido definidas de forma conjunta por el BCI y el Disaster Recovery Institute International (DRII). Como apndice al Captulo 6, se ofrece un mapa de habilidades que muestra la relacin de habilidades/competencias para los requisitos de conocimientos del GPG.
NDICE
Captulo 5 Probar, mantener y revisar los preparativos de GCN CONTENIDO COMPONENTES DE LA ETAPA 5 Probar, mantener y revisar los preparativos de GCN Principios generales Programa de Pruebas Probar los preparativos de GCN Mantener los preparativos de GCN Revisar los preparativos de GCN INDICADORES CLAVE DE GCN Captulo 6 Incorporar la GCN en la cultura de la organizacin CONTENIDO COMPONENTES DE LA ETAPA 6 Incorporar la GCN en la cultura de la organizacin - Principios generales Evaluar el nivel de concienciacin y formacin en GCN Desarrollar la GCN dentro de la cultura de la organizacin Supervisar el cambio cultural Apndice Mapa de habilidades profesionales INDICADORES CLAVE DE GCN
87 88 89 91 94 96 99
102 103 104 107 110 112 114
10
POLTICA Y GESTIN DE PROGRAMA DE GCN
CONSIDERACIONES GENERALES Qu es la Gestin de Continuidad de Negocio? La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor. La GCN tiene que ser asimilada y totalmente integrada en la organizacin como uno ms entre sus procesos de gestin. La GCN aspira a mejorar la capacidad de recuperacin de una organizacin. Al identificar por adelantado los posibles impactos de una amplia gama de incidencias que trastornaran de forma sbita el xito de la organizacin, establece prioridades para los esfuerzos de los especialistas en implantar robustez en sus respectivas reas de especializacin, como seguridad, instalaciones y tecnologas de la informacin. Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centra particularmente en desarrollar una capacidad de recuperacin que sea conjunta para toda la organizacin y le permita sobrevivir a la prdida total o parcial de su capacidad operativa. Tambin debera enfocarse en soportar prdidas significativas de recursos, como personal o maquinaria. Debido a que la capacidad de resistencia de la GCN de una organizacin depende de su equipo de gestin y su personal, adems de su tecnologa y la diversificacin geogrfica, se debe desarrollar esta capacidad de recuperacin a todos los niveles de la organizacin, desde la alta direccin hasta el taller, y en todos los dems integrantes de la cadena de valor. El factor determinante de esta robustez en toda la organizacin se sustenta en la responsabilidad de la alta direccin de proteger los intereses a largo plazo del personal, clientes y todos aquellos que dependen de algn modo de la organizacin. Si bien se pueden calcular las prdidas financieras ocasionadas por una interrupcin, generalmente el mayor dao suele reflejarse en una prdida de imagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente bien gestionado puede mejorar la imagen de la organizacin y su equipo de gestin. En defensa de la Gestin de Continuidad de Negocio No nos pasar, Aguantaremos, como siempre lo hemos hecho, Somos demasiado grandes para fracasar y No somos un objetivo para los terroristas son algunas de las respuestas ms frecuentes que dan las empresas cuando se les cuestiona acerca de su falta de preparacin. Otros creen que las empresas de seguros van a pagar por todo. La mayora piensa que no dispone de tiempo para prepararse para algo que nunca suceder. El gran nmero de negocios que se han hundido despus de sufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas. Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicacin, el 90% de las incidencias que ponen en riesgo el negocio son "catstrofes silenciosas" que no figuran en los medios pero que pueden tener un efecto devastador para el buen funcionamiento de una organizacin. Muchas de las causas son ajenas al control de la organizacin y suelen estar a merced de los servicios de emergencias o de proveedores que marcan los plazos de la interrupcin. A la hora de gestionar cualquier acontecimiento, el xito se mide tanto por la respuesta tcnica dada como por la competencia de su equipo gestor. Una investigacin efectuada por Rory Knight y Deborah Pretty, de la firma Oxford Metrica, indica que las organizaciones que se ven afectadas por catstrofes se dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuando una organizacin ha lidiado una crisis con xito el valor de sus acciones ha crecido en el largo plazo, mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio de sus ttulos y, pasado un ao, seguan sin recuperarse. Investigaciones ms recientes demuestran que aquellas organizaciones que destinan un mayor presupuesto a control de riesgos, GCN y buen gobierno son las empresas ms rentables en su sector, lo que indica que la GCN es una inversin, no un coste. Un elemento clave para el xito de los programas de GCN es que las distintas responsabilidades se asuman a los niveles apropiados de la organizacin. En estas empresas las implicaciones de la GCN se evalan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del proceso de control del cambio.
cap
123456
11
123456
Cmo beneficiar a mi organizacin? El objetivo principal de la GCN es asegurar que la organizacin tiene una respuesta para los trastornos importantes que pondran en riesgo su supervivencia. Esto de por s es suficientemente valioso, pero adems incorporar la GCN en la gestin diaria puede aportar otras ventajas. Ya sea por sus estatutos o por ley, algunas organizaciones tienen que incorporar la GCN o, de forma ms genrica, la "gestin de riesgos", como parte de sus obligaciones de buen gobierno corporativo. Un plan apropiado de GCN cumplir con las obligaciones especficas y adems constituir una respuesta tanto a posibles incidentes especficos como a la creacin de una "conciencia de riesgos" para la organizacin en su conjunto. No obstante la motivacin principal para instaurar la GCN no debe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta en marcha agrega valor a una organizacin y a los productos y servicios que ofrece. Para muchas empresas, la GCN tendr en cuenta algunosriesgos clave y les ayudar a cumplir con sus obligaciones". Nigel Turnbull, Presidente de Turnbull Committee acerca del buen gobierno corporativo en Reino Unido. Las empresas que venden a otras empresas han recurrido a la GCN como una ventaja competitiva para lograr nuevos clientes y mejorar sus mrgenes al incorporarla a su poltica de atencin al cliente. Un repaso exhaustivo de las actividades a travs de los ejercicios de Evaluacin y Planificacin de Impacto al Negocio puede poner en relieve las ineficiencias y destacar prioridades que de otra forma no hubieran nunca salido a la luz. Las empresas que ofrecen productos o servicios saben que conservar a un cliente mediante un servicio ms confiable es ms barato que tratar de recuperar a los "desertores" despus de una interrupcin del negocio. El espritu de equipo que se crea durante la buena gestin de un incidente puede mejorar el resultado de un negocio mucho despus de que el problema se haya solucionado. Muchas veces me preguntan cul es el consejo ms til que puedo ofrecer en el mundo de los negocios. La respuesta es un sencillo y efectivo plan de continuidad de negocio que est continuamente actualizado y probado. (Extrado de un discurso de Eliza Manningham-Buller, Directora General de MI5, en la Conferencia UK CBI, Noviembre 2004). Relacin con otras especialidades Determinar cules son las responsabilidades de la Gestin de Continuidad de Negocio dentro de una organizacin concreta tendr mucho que ver con la persona que se nombrar para estar a cargo as como de su experiencia previa en la materia. Esto puede significar que un responsable de Continuidad de Negocio puede considerar que la seguridad, la disponibilidad de TI o la gestin de riesgos constituyen las cuestiones clave, mientras restar importancia a otras reas. Por esta razn es extremadamente difcil llegar a un acuerdo en cuanto a la lista general de responsabilidades especficas para la Gestin de Continuidad de Negocio. En concreto existen muchos debates acerca de su relacin con la Gestin de Riesgos. Este Manual considera que, si bien se trata de facetas complementarias, los enfoques y mtodos empleados en Continuidad de Negocio son muy diferentes de los dedicados a Gestin de Riesgos. La tabla siguiente trata de destacar las diferencias entre ambos.
cap
12
Tabla: Comparacin entre Gestin de Riesgos y Gestin de Continuidad de Negocio

Gestin de continuidad de negocio Anlisis de impacto sobre el negocio Impacto y Tiempo
Gestin de riesgos Mtodo clave Parmetros clave Tipo de incidente Magnitud del incidente Anlisis de riesgo Impacto y Probabilidad
Todo tipo de eventualidades generalmente segmentadas Toda magnitud (coste) de los acontecimientos. Generalmente segmentados Se enfoca primordialmente en la gestin de riesgos para los objetivos del negocio principal
Acontecimientos causantes de trastornos serios para el negocio Para la planificacin estratgica: slo los incidentes que afectan a la supervivencia del negocio Se enfoca sobre todo en gestin de incidentes en su mayor parte externos a los aspectos fundamentales de negocio Acontecimientos sbitos o de rpida evolucin (aunque es posible que la respuesta tambin resulte apropiada si un incidente persistente se transforma en severo)
Alcance
Intensidad
Todas, desde graduales hasta sbitos
cap
123456
La visin que se presenta en este Manual pretende presentar la caractersticas esenciales de la Gestin de Continuidad de Negocio al mismo tiempo que entiende que los que las apliquen de forma concreta muchas veces tendrn, ya sea por sentido comn o por rdenes recibidas, que ampliar su papel debido a la situacin que desempeen en la organizacin para la que trabajan. Relacin con otras directrices y estndares Ya se ha abordado la relacin entre el Manual de Buenas Prcticas 2007, BS 25999-1 y otros estndares de GCN. Otros estndares que contienen elementos de GCN son: PAS 77 sobre Continuidad de Servicio de TI ISO 27002 (Antes ISO 17799) Aunque primordialmente se trate de un estndar relativo a la seguridad de la informacin, contiene aspectos de Continuidad de Negocio que deben ser atendidos para implantar correctamente ISO 27001. ITIL este estndar se ocupa de disciplinas de Gestin de Servicio, como Riesgos y Seguridad, Cambios, Problemas, Configuracin, Capacidad y Disponibilidad. No obstante existe un vnculo entre la Continuidad de Servicio de TI de ITIL (Recuperacin de Desastres) y la Continuidad de Negocio. Legislacin de Proteccin de Datos Legislacin garante de la libertad de informacin Normas sanitarias Reglas y directrices como las previstas en la ley Sarbanes-Oxley de Estados Unidos y el acuerdo internacional bancario Basilea II, influyen sobre GCN al ser obligatorias e imponer parmetros para la continuidad de servicios. CMO UTILIZAR ESTE MANUAL Cada organizacin es diferente. Se gestiona de formas diferentes, tiene una presencia geogrfica diferente y adems evoluciona con el paso del tiempo. Por eso es imposible hacer recomendaciones especficas acerca de las soluciones que conviene adoptar.
13
Por lo tanto, este Manual pretende dar una idea general de un proceso y recomendar mtodos, con la creencia de que se llegar a la solucin adecuada si se siguen los pasos correctos. Puede existir un caso en el que el proceso descrito necesite modificarse para cumplir con ciertas necesidades especficas de la organizacin, por lo que cada organizacin necesita evaluar cmo aplicar las directrices a su propia estructura. Tiene que asegurarse, que su capacidad y competencia para la GCN son apropiadas para la naturaleza, tamao y complejidad de su negocio y adems es un reflejo de su propia cultura y del entorno en el que opera. La definicin de "buena" prctica implica que existe una prctica "mejor". Sin embargo, al contrario de lo que sucede con otros estndares, tiene que encontrarse la solucin "apropiada" para cada organizacin. Si la solucin se queda corta existe un riesgo de que fracase toda la estrategia, pero si se excede se malgasta tiempo o dinero que podran ser empleados en otras necesidades. Por desgracia es difcil determinar con exactitud esta estrategia ideal "apropiada", pero las directrices deberan ofrecer un enfoque sistemtico para identificarla. Alcance del Manual El anlisis de la respuesta que han tenido las organizaciones con respecto a las incidencias que afectan a la Continuidad de Negocio demuestra que aquellas que los han solucionado mejor han integrado las soluciones al conjunto de la organizacin. En la prctica esto significa que la capacidad de gestin de incidencias por parte de la alta direccin se apoyaba en una logstica de Continuidad de Negocio, adems de un soporte tcnico para retomar la actividad. Por esta razn el Manual se centra en el papel fundamental del responsable de la GCN y asume que el especialista en otras reas (TI, seguridad, RH y desarrollo de negocio) estar disponible para aconsejar en la puesta en marcha de estas dems facetas. Diseo del Manual En primer lugar el Manual se ocupa de las cuestiones de Poltica de GCN y su gestin que definen el contexto y alcance del Programa, luego sigue el Ciclo de Vida de la Gestin de Continuidad de Negocio; desde la Gestin de programa hasta la Comprensin de la organizacin. Despus sigue los elementos del ciclo de vida de forma lgica y finaliza con el carcter permanente de un programa de GCN "Insertar la GCN en la cultura de la organizacin". A lo largo del Manual se hace referencia a las secciones importantes de BS 25999-1, pero no existe una correspondencia directa entre las secciones. El manual muestra cmo tericamente las etapas encajan entre s; en la prctica el que lo lleve a cabo no seguir necesariamente esta progresin de forma estricta. Por ejemplo un ejercicio basado en escenario puede resultar conveniente para "vender" el proyecto en sus comienzos y se pueden escribir planes para dotar a la organizacin de cierta capacidad de gestin de incidentes antes de que se hayan investigado los requisitos para el reinicio de actividades. No obstante los progresos deben medirse siempre con respecto al ciclo de vida completo y la organizacin en su conjunto. Estructura del contenido del Manual Cada paso contiene:
cap
123456
Fases de las directrices Introduccin Detalle de los componentes Indicadores clave de GCN
Preguntas que responden
Contenidos descritos ms adelante Qu es lo ms importante que hay que saber?
14
La estructura y formato de cada componente sigue un esquema comn:
Componentes de las directrices Introduccin Pasos previos Propsito Conceptos y suposiciones Proceso Mtodos y Tcnicas Resultados Revisin
Preguntas que responden
Qu se tiene que haber hecho antes de llegar a esta etapa? Por qu necesitamos hacerlo? Qu conseguir? Qu necesitamos comprender? Qu damos por supuesto? Qu tenemos que hacer? Qu herramientas necesitamos para lograrlo? Qu debera producir? Cuando debera realizarse?
cap
Diagrama y glosario Al contrario de otras versiones anteriores del Manual, estas directrices utilizan el diagrama esquemtico y el glosario de BS25999-1. Para obtener copias oficiales de stos hay que recurrir a la documentacin estndar oficial de Bs25999.
cap
12 23 34 45 56 6 1
123456
Figura: El ciclo de vida de GCNBS 25999-1
Insertar l aG C
la n e
cultura d el
or
cin niza ga
Comprender la organizacin
Probar, mantener y revisar
Gestin del programa GCN Desarrollar e implantar una respuesta de GCN
Determinar las opciones de GCN
15
COMPONENTES DE LA ETAPA 1 POLTICA DE CONTINUIDAD DE NEGOCIO Y GESTIN DEL PROGRAMA POLTICA DE GESTIN DE CONTINUIDAD DE NEGOCIO PLASMAR EL CONTEXTO DE LA ORGANIZACIN CONTENIDOS DE LA POLTICA DE GCN ALCANCE DEL PROGRAMA DE GCN ACTIVIDADES SUBCONTRATADAS GESTIN DEL PROGRAMA ASIGNACIN DE RESPONSABILIDADES PONER EN PRCTICA LA GCN EN LA ORGANIZACIN GESTIN DE PROYECTO GESTIN CONTINUA DOCUMENTACIN PREPARACIN PARA LOS INCIDENTES Y SUS RESPUESTAS
cap
16
123456
LA POLTICA DE GESTIN DE CONTINUIDAD DE NEGOCIO Referencia: BS 25999-1 Seccin 4 1. Introduccin La Poltica de GCN es el documento clave que determina el alcance y buen gobierno del programa de GCN. La Poltica ofrece el contexto en el que el equipo de GCN desarrolla las competencias requeridas. Cuando una organizacin se embarca en un programa de GCN no dispondr de una Poltica de GCN ni probablemente entender las decisiones que tiene que tomar para escribir uno. Se necesita realizar una serie de actividades que se encaminan a la formulacin de esta Poltica. Los pasos clave son: Asegurarse de que el programa de GCN apoya los objetivos y la cultura de la organizacin Decidir el alcance del programa de GCN Formular una poltica de GCN Deberan iniciarse uno o varios proyectos para permitir que la organizacin desarrolle una Poltica e inicie las actividades necesarias para instaurarlo.
cap
123456
17
PLASMAR EL CONTEXTO DE LA ORGANIZACIN Ref: BS 25999-1 Seccin 4.2 1. Introduccin Para desarrollar un programa de Gestin de Continuidad de Negocio apropiado hay que asegurarse de que refleja los objetivos de la organizacin y su cultura. Es necesario preguntarse lo siguiente: Cules son los objetivos de la organizacin? Cmo se logran las metas de negocio? En algunas organizaciones, como parte de los procesos de planificacin de negocio, se llevar a cabo una evaluacin de riesgos graves que puedan poner en riesgo el cumplimiento de los objetivos estratgicos y de operacin. Las conclusiones de este ejercicio pueden ofrecer una informacin valiosa a la hora de determinar el contexto general para el Anlisis de Impacto en el Negocio (AIN). En algunos sectores de actividad o entornos es obligatorio realizar la evaluacin de riesgos. 2. Pasos previos Es ms fcil asegurarse de que la Poltica de GCN se corresponde con los requisitos de la organizacin si stos se identifican y se acuerdan formalmente. 3. Propsito El propsito de alinear la Continuidad de Negocio con la estrategia conjunta desde el principio es para: Comprender la direccin y enfoque del negocio antes de iniciar una evaluacin de riesgos o de impacto en el negocio. Ayudar a entender el plan de negocio en lo que se refiere a crecimiento o reduccin de negocio, reestructuracin, etc., en el corto, medio o largo plazo. Es posible que este tipo de informacin no est a disposicin de la persona encargada de la actividad de continuidad de negocio y dependa mucho del tipo y tamao de la organizacin. Conocer los planes de negocio ayudar a desarrollar recomendaciones de estrategias de contingencia que sean adecuadas y flexibles. Establecer el parmetro de escala geogrfica para la eleccin de opciones de recuperacin 4. Conceptos y suposiciones Utilizar un AIN para revisar la estrategia de la organizacin Es posible y deseable que se utilice un AIN para determinar el impacto de una interrupcin antes de emprender una reestructuracin importante del negocio como: Introduccin de un nuevo producto, proceso o tecnologa Cambio de ubicacin de una oficina o ampliacin geogrfica del negocio Cambio significativo en las operaciones, estructura o recursos humanos Incorporacin de un nuevo proveedor o empresa subcontratada importantes Puede que esto d lugar a una revisin sobre cmo llevar a cabo la reestructuracin o incluso cuestionar su propia puesta en marcha. 5. Proceso Condiciones de mercado La reaccin de los clientes y competidores en un factor clave que afecta la viabilidad de una organizacin despus de un trastorno. Algunas de las condiciones importantes son: Si el producto se consigue de varios proveedores, unos pocos o slo uno Cul es el plazo ms probable para encontrar otros proveedores Si en el sector otros proveedores actuarn para aprovecharse de una empresa en dificultades o es probable que se ayuden entre ellos (algo que puede suceder para proteger la reputacin del sector) El Programa de GCN podra ofrecer una oportunidad de negocio para una organizacin comercial si el cliente est dispuesto a pagar una cantidad suplementaria para tener mayor confianza en la entrega. Estrategia de organizacin Los aspectos de la estrategia de una organizacin con ms probabilidades de afectar al Programa de GCN son: Una estrategia de expansin (o contraccin) Desarrollo de nuevos productos o servicios
cap
18
123456
Responsabilidades Obligaciones en los estatutos Responsabilidades legales Normas sanitarias y de seguridad Tamao Decidir la amplitud geogrfica mxima de una interrupcin o la magnitud de la prdida de un recurso que la organizacin necesita planificar de cara a sobrevivir. Esto puede estar condicionado por: Amplitud geogrfica (o rea de mercado/cliente) Obligaciones legales o normas estatutarias Productos, mercado, sectores o exigencias especficas de los clientes 6. Mtodos y tcnicas Herramientas clave: Demostrar una comprensin de los planes futuros de la organizacin Disponer informacin actualizada de los procesos detallados, volmenes, objetivos y, cuando sea posible, valores cuantificables relativos a la actividad Es posible que cierta informacin sea confidencial y por lo tanto en algunas organizaciones no est disponible para el responsable de GCN. El hecho de no disponer de esta informacin no debera impedir el AIN o la Evaluacin de Riesgos, aunque s puede perjudicar la confiabilidad de los resultados finales. 7. Resultados Determinacin del alcance y produccin de un documento con los trminos de referencia para el Anlisis de Impacto en el Negocio y Evaluacin de Riesgos. 8. Revisin El impacto sobre la organizacin de una estrategia de Gestin de Continuidad de Negocio debera ser revisado como mnimo una vez al ao como parte de (o al menos de forma paralela) los procesos de planificacin estratgica y operativa de un negocio. Una revisin ms frecuente puede ser consecuencia de alguna de estas cuestiones: Modificacin clave en el negocio Reestructuracin Expansin/contraccin Introduccin de un nuevo producto Cambio de ubicacin o consolidacin geogrfica Un incidente y la recuperacin de actividad
cap
123456
19
CONTENIDOS DE LA POLTICA DE GCN Referencia: BS 25999-1 Seccin 4.3 1. Introduccin La poltica de GCN de una organizacin provee el marco en el que se disea y construye la capacidad de GCN. 2. Pasos Previos Una comprensin por parte de toda la organizacin de la GCN y su importancia. 3. Propsito El propsito de una poltica de GCN es documentar los principios a los que aspira atenerse la organizacin y en referencia a los cuales sus resultados pueden ser auditados. 4. Conceptos y suposiciones Si bien la alta direccin es la mxima responsable de la poltica de GCN, se supone que el equipo de GCN ser el encargado de crearla y asegurarse de que es la apropiada. 5. Proceso El proceso para desarrollar una poltica de GCN incluye: Identificar y documentar los componentes de una poltica de GCN Identificar una definicin de GCN Identificar aquellos estndares, normas y leyes que sean relevantes y deban ser tenidos en cuenta en la poltica de GCN Identificar cualquier manual de buenas prcticas o dems polticas de GCN de otras organizaciones que podran servir de modelo Revisar y llevar a cabo un "anlisis diferencial" entre la actual poltica de GCN de la organizacin (cuando exista) y una poltica de referencia externa o con los nuevos requisitos de la nueva poltica de GCN Desarrollar un borrador de una nueva poltica de GCN o, en su caso, de una versin corregida Revisar el borrador de la poltica de GCN con respecto a los estndares que ha adoptado la organizacin en cuestiones relacionadas, tales como la poltica de seguridad de TI Circular el borrador de la poltica para consultas Corregir el borrador de la poltica de GCN all donde sea necesario basndose en los comentarios tras las consultas Acordar una ratificacin de la poltica de GCN y una estrategia para su puesta en marcha por la alta direccin de la organizacin Publicar y distribuir la Poltica de Continuidad de Negocio por medio de un sistema de control apropiado y tcnicas 6. Mtodos y tcnicas Los mtodos, herramientas y tcnicas para desarrollar una Poltica de GCN incluyen: Una revisin de la actual Poltica de GCN de la organizacin. Una investigacin acerca de las fuentes externas que sirvan de orientacin, tales como los organismos legales, cdigos de buenas prcticas sectoriales y colegios profesionales. Contacto con organismos sectoriales y profesionales para entender los problemas y desencadenantes de la GCN, tanto actuales como en desarrollo. Identificacin y adopcin de componentes de una Poltica de GCN de otra organizacin considerada modlica en Buenas Prcticas. Una evaluacin del estado actual de carencias y revisin de las polticas externas e internas para determinar los elementos esenciales de una nueva o revisada Poltica de GCN. Una revisin por parte de expertos en GCN externos 7. Resultados La Poltica de GCN, que incluir (o har referencia en un documento anexo): La definicin de GCN de la organizacin Una definicin del alcance del programa de GCN (ver seccin siguiente) Un marco operativo de GCN documentado para la gestin del programa de GCN de la organizacin, que adems incluya responsabilidades Un conjunto documentado de principios de la GCN, sus directrices y estndares mnimos Un plan de puesta en marcha y mantenimiento de la Poltica
20
cap
123456
8. Revisin Mientras todas las polticas de organizacin deberan ser revisadas de forma continua, una revisin formal de esta Poltica debera desencadenarse por un cambio en el entorno externo en el que opera la organizacin. Estos cambios podran ser cambios en mercado o legales.
cap
123456
21
ALCANCE DEL PROGRAMA DE GCN Referencia: BS 25999-1 Secciones 4.4 y 6.6 1. Introduccin Una de las objeciones ms frecuentes a la puesta en marcha de la Gestin de Continuidad de Negocio es que el programa exigido es demasiado extenso si se aplica a toda la organizacin en un proceso. Los estndares britnicos determinan un alcance de cumplimiento para productos o servicios especficos o ubicaciones geogrficas definidas. Esto permite que una organizacin ponga en marcha la GCN slo en algunas partes, aunque se espera que con el tiempo luego la extiendan a todas sus operaciones. Esta seccin enumera las opciones disponibles para la organizacin para proteger su entrega de productos y servicios. Dentro del estndar britnico BS 25999-1 slo la ruta de Continuidad de negocio (seccin 6.6.2) puede servir a cumplirlo, puesto que las dems (secciones 6.6.3/5) - aceptacin, transferencia y cancelacin - no presuponen el mantenimiento de la entrega del producto o servicio al cliente. Las opciones a las que se refiere esta seccin radican en definir el alcance del programa de GCN al que luego el estndar tiene que ser aplicado. 2. Pasos previos Lgicamente el primer paso es decidir acerca del alcance del programa de GCN. No obstante, es probable que eso tenga que ser revisado constantemente. Puede resultar til llevar a cabo un AIN de alto nivel de la entrega de producto o servicio para tomar una decisin acerca de qu productos y servicios estarn incluidos en el alcance (basndose en el impacto de la no entrega). 3. Propsito El propsito de determinar el alcance es garantizar la claridad de qu reas de la organizacin estn incluidas en el programa de GCN. La documentacin de las opciones para cada producto y servicio pretende dejar claro cmo la organizacin piensa proteger (o no) su capacidad de mantener su entrega, y esta decisin estar disponible para actores externos, tales como clientes o autoridades. El alcance puede (y dentro del cumplimiento de estndares debe) ser definido identificando qu productos y servicios van a estar englobados. Esto hace hincapi en el criterio clave de xito de la mayora de las organizaciones: la entrega de productos o servicios. La ubicacin puede tambin servir a la definicin del enfoque, permitiendo que el programa de GCN incluya o excluya una o varias ubicaciones. Pero no es lgico dejar fuera un emplazamiento que es importante para la entrega de un producto o servicio considerado dentro del alcance. La limitacin del alcance debe ser considerada una decisin tctica que permite introducir de forma escalonada la GCN en toda la organizacin. 4. Conceptos y suposiciones Si un producto o servicio se asigna dentro del alcance entonces todas las actividades que apoyan su entrega tienen que se incluidas en el programa de GCN.
cap
22
123456
La organizacin BS 25999
Cliente A Cliente A Servicio C
Accionistas
Producto A
Producto B
Empresa subcontratada
Actividad 1 Alta Direccin BCM LA EMPRESA
Actividad 2
Actividad 3
Actividad 4
Servicio D
Actividad
Actividad 5 Actividad 6
Actividad
cap
Diagrama: La organizacin BS 25999 En el diagrama anterior se determina que el Producto B y el Servicio C estn dentro del programa, por lo que las actividades sombreadas tienen que formar parte, ya sea parcial o totalmente dentro de su alcance. 5. Proceso El proceso incluye los pasos siguientes: Conformar un Equipo de Estrategia de Gestin de Continuidad de Negocio. Identificar la Estrategia de Negocio de la organizacin, sus objetivos, obligaciones legales y comprender cmo una Estrategia de Continuidad apoyar estos objetivos. Si se ha llevado a cabo un Anlisis de Impacto en el Negocio para determinar los efectos que tendra la prdida de un producto o servicio, revisar su alcance, las suposiciones y resultados Considerar las opciones estratgicas para cada producto y servicio. Ofrecer a la direccin ejecutiva un informe de evaluacin para determinar opciones, que se basan en la estrategia de negocio actual y futura de la organizacin. Garantizar que la opcin acordada es ratificada por la direccin ejecutiva, incluyendo las previsiones financieras y de recursos. LIevar a la prctica un proceso constante que garantice la revisin de la estrategia. Criterios de eleccin Los productos y servicios deberan ser identificados a un grado de detalle apropiado. Ejemplos de productos y servicios pueden ser: Un producto manufacturado o una gama Recogida de deshechos Soporte telefnico Algunos de los siguientes factores pueden influir en las decisiones acerca de qu productos, servicios o ubicaciones conviene incluir en el programa: Un requisito del cliente Una obligacin legal o estatutaria Una ubicacin considerada de alto riesgo debido a su cercana con otras instalaciones industriales o la posibilidad de una inundacin, entre otros riesgos El producto representa una proporcin muy importante de los ingresos de la organizacin
123456
23
Razones por las que un producto, servicio u organizacin pueden ser excluidos del programa: Producto/servicio cercano a cumplir su ciclo de vida (dejara de existir si se interrumpiera el suministro) Producto/servicio con mrgenes reducidos (cancelacin o subcontratacin) Una ubicacin considerada de bajo riesgo Cuando se trata de determinar si se excluye del programa, adems del impacto financiero o posibles prdidas se tienen que tomar en cuenta los siguientes factores: Los puntos de vista de los proveedores, clientes y dems partes interesadas con influencia Cualquier dao ocasionado por la interrupcin o cancelacin definitiva de un producto El grado de confianza de cualquier clculo de riesgo Opciones Las opciones disponibles para cada producto o servicio son: Continuidad de Negocio Aceptacin Transferencia Cambio, suspensin o cancelacin definitiva
Opciones de producto/ Servicio
123456
Continuidad de Negocio
Aceptacin
Transferencia
cap
Cambio, Suspensin o cancelacin definitiva
Opciones para la actividad basadas en niveles operativos aceptables
Documentacin y ratificacin
Programa de gestin de riesgos (BS 25700)
Fuerza laboral, habilidades y conocimientos
Instalaciones del lugar de trabajo
Tecnologas de apoyo
Datos e Informacin
Equipo y suministros
Proveedores, clientes y dems partes interesadas
Diagrama: Opciones para productos y servicios
24
A continuacin se describe de forma detallada cada opcin: Continuidad de Negocio Si la estrategia elegida es la de Continuidad de Negocio, entonces es necesario instaurar medidas adecuadas que garanticen que las diversas actividades que determinan la entrega pueden proseguir o ser recuperadas en los plazos requeridos y que son descritos en la seccin 7. Las estrategias alternativas que deben considerarse (que estn fuera del alcance de un programa de GCN) son: Aceptacin Si se valora que el coste de GCN es demasiado alto o se calcula que el riesgo es bajo porque es poco probable que se produzca una interrupcin (o tendra un impacto menor) entonces el riesgo es "aceptable". En tal caso puede que la organizacin elija no hacer nada al respecto o instaure medidas para enfrentar los riesgos en caso de que se materialicen. Estas medidas pueden incluir: Lograr aptitudes para la Gestin de Incidentes Medidas para protegerse de amenazas especficas de mayor probabilidad, como las existentes contra incendios Estrategia de fortaleza cuando se trate de instalaciones que poseen procesos de fabricacin nicos y exclusivos o situadas en lugares nicos y para las que es imposible pensar en una estrategia de reubicacin. En tal caso todos los esfuerzos deben enfocarse en minimizar las amenazas especficas con la esperanza de que si pasara lo peor, el componente nico y exclusivo de la organizacin volver a restaurarse sin importar el tiempo que se tarde. La aceptacin de un riesgo y la determinacin de la capacidad de asuncin de riesgos por parte de una organizacin estn sujetas a todas las advertencias de la seccin anterior acerca de la evaluacin de riesgos. Esto significa que no es posible determinar de forma cientfica el valor de un riesgo y que por ello una organizacin no puede contraponerlo de forma rigurosa con su terica capacidad de asuncin de riesgos. Si una organizacin busca protegerse de forma no sistemtica contra algunas amenazas que ha detectado, el coste general de las medidas puede superar al de la estrategia de Continuidad de Negocio y dar lugar a una proteccin menos integral y duradera de la que hubiera ofrecido un programa de GCN. Transferencia Es posible transferir un riesgo a un tercero que tenga mejor capacidad para gestionarlo. Las medidas posibles son: Subcontratar. Cada vez son ms las organizaciones que estn subcontratando partes crticas del negocio para crear organizaciones virtuales. La transferencia de riesgos es muchas veces un argumento muy citado en favor de la subcontratacin. Es importante recordar que no se puede subcontratar ni se puede transferir el riesgo para la reputacin e imagen de marca de la organizacin. El riesgo y la responsabilidad siempre permanecen dentro del negocio. Deslocalizar a travs de proveedores internos o externos que estn lejos del centro del negocio (generalmente en otro pas) trae consigo nuevas complicaciones en seguridad, adems de riesgos polticos y medioambientales que pueden llamar la atencin de clientes y autoridades. Asegurar. Es decir, transferir parte de los costes financieros de un incidente a una compaa de seguros. No obstante en caso de un incidente de gran escala, slo puede aportar dinero para apoyar otras medidas de recuperacin de negocio y no es una solucin suficiente. Es importante destacar que no se pueden delegar ciertas responsabilidades. La organizacin puede ver daada su reputacin o estar sujeta a sanciones por el fallo de la empresa subcontratada. Cambio, suspensin o cancelacin Cambiar el proceso puede ofrecer una oportunidad para continuar con el negocio de cara a los clientes, pero el producto o servicio a entregar est "ensamblado" de forma distinta, generalmente mediante la subcontratacin de una parte o toda la operacin. Por ejemplo un fabricante puede convertirse en distribuidora importando productos y reetiquetndolos.
cap
123456
25
Puede resultar apropiado abandonar o vender ciertas partes del negocio cuando la actividad restante se mantiene viable y puede dejar espacio para una recuperacin, o si un producto o servicio est finalizando su ciclo de vida. Tambin puede resultar una estrategia apropiada para un grupo de empresas que no quieren sufragar la capacidad de recuperacin de una filial marginal. Esta estrategia comporta riesgos si la reputacin de los dems negocios puede resultar daada por el fracaso de la parte cancelada. Si estas decisiones no se toman de acuerdo con el cliente, la organizacin puede encarar demandas legales y daos a su reputacin en caso de no cumplir las expectativas de un cliente. Pero si est estrategia recibe el visto bueno de todas las partes, las opciones pueden verse como soluciones para la Continuidad de Negocio y pueden ser incluidas en el programa de GCN. Determinar una estrategia de Continuidad de Negocio adecuada depender de la aceptacin por parte del cliente y llevar a cabo los cambios de procesos que seran necesarios para cumplirla (ya sea determinados por adelantado o anticipados despus del trastorno). 6. Mtodos y tcnicas Las herramientas que pueden utilizarse para desarrollar la estrategia de la Organizacin para productos y servicios incluyen: El Anlisis del Impacto en el Negocio ofrece una tcnica para evaluar de forma sistemtica el impacto de las interrupciones para ofrecer productos y servicios. Se puede utilizar para tomar una decisin acerca de qu productos y servicios deberan ser incluidos en el alcance del programa basndose en el plazo y magnitud del impacto de la interrupcin. Anlisis de Coste Beneficio (que incluye evaluaciones de proveedores, clientes y dems partes interesadas, legales y normativas) Anlisis DAFO (Debilidades/Amenazas/Fortalezas/Oportunidades) Planificacin y gestin financieras Herramientas de planificacin estratgica Comparacin con respecto a los estndares nacionales e internacionales correspondientes Anlisis PEST (Poltico/Econmico/Social/Tcnico) Se puede recurrir a tcnicas de investigacin de mercado para determinar la viabilidad de un producto despus de una interrupcin en su suministro. 7. Resultados Los resultados son: Una estrategia acordada para proteger cada producto y servicio de la organizacin que estn: o bien: dentro del alcance del programa de GCN o bien: fuera del alcance del programa de GCN Un alcance para el programa de GCN que quede documentado en la Poltica de GCN 8. Revisin Debera llevarse a cabo una revisin de la Estrategia de GCN de la organizacin (corporativa) al menos cada 12 meses. No obstante existen acontecimientos que propician la reevaluacin de la estrategia de GCN, tales como: Una revisin del Anlisis del Impacto en el Negocio que identifique cambios importantes en los procesos y prioridades. Un cambio significativo en uno o ms de los aspectos siguientes: la actitud de la organizacin frente a los riesgos (quizs desencadenados por un acontecimiento), las condiciones de mercado, compras o fusin, nuevos productos o servicios, obligaciones legales o normativas.
26
cap
123456
ACTIVIDADES SUBCONTRATADAS Referencia: BS 25999-1 Seccin 4.5 1. Introduccin Si se subcontrata una parte o la totalidad de un producto o servicio, la responsabilidad de su continuidad sigue siendo de la organizacin. Los clientes esperan que la organizacin haya elegido de forma responsable a sus socios y haya tomado las medidas adecuadas para garantizar la entrega. Las obligaciones internas o legales suelen destacar que la responsabilidad ltima de los servicios subcontratados sigue siendo de la organizacin. 2. Propsito El propsito es asegurar que la entrega de productos y servicios de la organizacin no se ver interrumpida por un tercero que provee bienes o servicios a la organizacin o directamente al cliente en nombre de la organizacin. 3. Conceptos y suposiciones La organizacin sigue siendo responsable de la entrega del producto o servicio y no puede delegar esa obligacin en la empresa subcontratada. 4. Proceso Los procesos para revisar las medidas de Continuidad de Negocio de una empresa subcontratada son parecidos a los que se emplean para revisar las medidas de la propia organizacin (ver una seccin posterior). Es importante que esta informacin est disponible para evaluar: las ofertas de posibles empresas de subcontratacin la adecuacin constante de las medidas de las empresas subcontratadas ya existentes 5. Mtodos y tcnicas Se puede mejorar la robustez en los contratos de subcontratacin mediante: Una seleccin apropiada de las empresas subcontratadas La especificacin en el contrato de los requisitos para la Continuidad de Negocio Acuerdo acerca de los niveles de servicio realistas que se ofrecern durante los incidentes en cualquiera de las organizaciones Involucrar a las empresas subcontratadas en formacin, concienciacin y pruebas de Continuidad de Negocio 6. Resultados Documentacin para apoyar la subcontratacin que incluye: Parmetros obligatorios para la seleccin de empresas subcontratadas Trminos contractuales Acuerdos de nivel de servicio Documentacin acerca de los resultados de las pruebas El resultado debera ser una cadena de suministro robusta que pueda absorber los trastornos sin impactar de forma seria la entrega de productos y servicios al cliente. 7. Revisin La revisin de la continuidad del proveedor debera ser una parte importante de la evaluacin de las ofertas a la hora de otorgar o renovar los contratos. Se recomienda una revisin anual de los resultados del proveedor con respecto a las obligaciones para la continuidad.
cap
123456
27
GESTIN DE PROGRAMA Referencia: BS 25999-1 Seccin 5 1. Introduccin Un factor clave de xito para la GCN es la designacin de personas competentes para supervisar y gestionar el programa de GCN. Si bien en un principio la GCN puede beneficiarse de un enfoque de gestin de proyectos, conforme madura la GCN dentro de una organizacin se necesitan habilidades de gestin de programa para garantizar el mantenimiento del nivel de preparacin. Los pasos clave en la Gestin de Programa de GCN son: Asignacin de responsabilidades Puesta en marcha de la GCN en la organizacin Gestin de Proyectos Gestin constante Documentacin de la GCN Preparacin para incidentes y capacidad de respuesta.
28
cap
123456
ASIGNAR RESPONSABILIDADES Referencia: BS 25999-1 Seccin 5.2 1. Introduccin La clave para un programa exitoso de GCN radica en identificar funciones, responsabilidades y autoridades claramente definidas para la gestin del programa de GCN y sus procesos en toda la organizacin y la continua preparacin del personal apropiado para saber responder en caso de necesidad. 2. Pasos previos La Poltica de GCN debe identificar las funciones y responsabilidades necesarias que hay que asignar. 3. Propsito El propsito de asignar funciones y responsabilidades es garantizar que las tareas para llevar a cabo y mantener el programa estn atribuidas a personas especficas cuyos resultados pueden ser supervisados. 4. Conceptos y suposiciones Las autoridades financieras como la Financial Services Authority (FSA) de Reino Unido consideran que la GCN es un coste que forma parte de hacer negocios y tiene que disponer de los recursos adecuados. 5. Proceso Un integrante de la direccin ejecutiva debera tener responsabilidad general acerca de la efectividad de la GCN en la organizacin. Esto asegura que el programa de GCN tiene el nivel de importancia adecuado en la organizacin y dispone de ms posibilidades para su puesta en marcha efectiva. Se debera nombrar a una persona para gestionar el programa de GCN. Esta persona puede ser conocida como el Director de Continuidad de Negocio. Segn el tamao de la organizacin, se puede asignar personal adicional para ayudar al Director de Continuidad de Negocio: Personal de Continuidad de Negocio para ayudar, como llevar a cabo pruebas o bsqueda de informacin Personal administrativo de Continuidad de Negocio que lleve a cabo la revisin de la documentacin Personal de otras unidades de negocio o ubicaciones que ayuden a la puesta en prctica de la Continuidad de Negocio y sirvan de coordinadores en sus reas. 6. Mtodos y tcnicas El personal asignado al programa de GCN debera recibir la formacin adecuada a su funcin mediante cursos internos o externos. Aquellos que gestionan el programa deberan obtener una certificacin por parte de un organismo profesional adecuado, como el Business Continuity Institute. La integracin de las funciones y responsabilidades en descripciones de puestos y el proceso de evaluacin deberan resultar efectivos para garantizar que estas tareas son llevadas a cabo con el tiempo y esfuerzo adecuados. El xito en la realizacin de las tareas debera reflejarse en la poltica de incentivos y reconocimientos de la organizacin. 7. Resultados Las funciones y responsabilidades de las personas dentro del programa de GCN sern incluidas en las descripciones de los puestos de trabajo y en la definicin de objetivos. Tanto las personas como la organizacin debern entender claramente sus funciones y responsabilidades. 8. Revisin La necesidad de personal para la GCN debera ser objeto de discusin para las previsiones anuales del responsable de Continuidad de Negocio y puede estar sujeta a una auditora.
cap
123456
29
LA GCN EN LA ORGANIZACIN Referencia: BS 25999-1 Seccin 5.3 1. Introduccin Iniciar un Programa de GCN implica coordinar varias actividades que incluyen: Momentos de creacin de mayor conciencia que mantienen el entusiasmo por emprender un programa de GCN Actividades de recopilacin de datos que indicarn la eleccin de las opciones de continuidad que respaldarn los objetivos de la organizacin La puesta en marcha de medidas que reduzcan el impacto de un incidente en caso de que ocurriera cuando el programa est en fase de desarrollo. 2. Pasos previos Una Poltica de GCN interna con un programa definido y necesidades de personal bien presupuestadas. 3. Propsito El propsito de este paso es garantizar que se pone en marcha un programa de GCN sostenible para toda la organizacin. Un programa sostenible es aquel que ha logrado el compromiso de la organizacin y posee estructuras y procedimientos que garantizan que se mantiene la preparacin y adems se mejora de cara al futuro cercano. 4. Conceptos y suposiciones La eleccin acerca de las actividades a llevar a cabo y el orden en el que se deben realizar depender de la cultura existente y el grado de preparacin de la organizacin. La nica regla inamovible es que no se deberan tomar las principales decisiones acerca de las opciones de Continuidad, as como las tcticas de recuperacin hasta que se haya llevado a cabo la etapa de "Comprender la Organizacin". Se puede recurrir a ayuda externa por parte de consultores cualificados en GCN para iniciar un programa de GCN. Esta medida puede ser efectiva para los costes por ahorrar en tiempo de desarrollo y necesidades de formacin externa. Durante esta etapa uno de los objetivos tiene que ser la transferencia de conocimientos al personal de la organizacin. 5. Proceso El proceso de inicio debera construirse con las actividades descritas en este documento. Entre ellas: Actividades de concienciacin: Ejercicios sobre el papel con la alta direccin para demostrar lo que pasara si no existiera un esquema de respuesta a incidentes y procedimientos Presentaciones acerca del impacto de incidentes locales recientes Cuestionarios o entrevistas para determinar el estado actual de preparacin dentro de la organizacin Escribir un borrador del alcance del programa Discusiones para planificar una Poltica de GCN Recuperacin de datos y eleccin de una opcin de continuidad: Programa de formacin para el equipo que llevar a cabo el Anlisis de Impacto en el Negocio (AIN) Programa de concienciacin para que los directivos entiendan mejor la GCN y sepan responder mejor a las preguntas planteadas en el AIN AIN y Anlisis de Requisitos para la Recuperacin Talleres para analizar los resultados Talleres con la alta direccin para determinar las opciones de continuidad Medidas para reducir amenazas especficas detectadas Borrador de procedimientos para la gestin de incidentes Identificar y poner en marcha mejoras rpidas de bajo coste
cap
30
123456
6. Mtodos y tcnicas En este documento se describen los mtodos, herramientas y tcnicas para desarrollar un Programa de GCN. Se debe recurrir a una metodologa de Gestin de Proyectos para supervisar los avances. Cuando se trata de iniciar el programa, se debe destinar el tiempo suficiente para complementar cada actividad con formacin de habilidades y ejercicios de concienciacin. 7. Resultados Al final del inicio exitoso de un Programa de GCN la organizacin debera disponer de: Un estado satisfactorio de preparacin, generalmente comprobado a travs de ejercicios sobre el papel de los procedimientos de gestin de incidentes Procedimientos, estructuras y competencias para mantener y desarrollar la capacidad de GCN 8. Revisin Mientras se encuentra en la fase inicial, el programa de GCN debe ser revisado al menos una vez al mes, adems de cada vez que se alcance un hito.
cap
123456
31
GESTIN DE PROYECTOS Referencia: BS 25999-1 Seccin 5.3.2 1. Introduccin Cuando se inicia un programa de GCN por primera vez es necesario instaurar una disciplina de gestin de proyecto. Una vez que todos los elementos clave estn en su sitio se llega a una gestin constante de programa. No obstante, se trata de una prctica til para un programa constante con resultados claros, como crear momentos de concienciacin en toda la organizacin. 2. Pasos previos Un mtodo acordado para la Gestin de Proyectos. 3. Propsito Generar un empuje inicial para la puesta en marcha de la GCN. El uso de un mtodo para la gestin de proyectos puede sirve para: Identificacin de resultados Plazos y fechas de entrega Controles de presupuesto y esfuerzo laboral 4. Conceptos y suposiciones Si bien se pueden identificar resultados claros para algunas tareas de GCN, otras son menos tangibles, por lo que puede resultar difcil llevar a cabo algunas tareas de la gestin de proyectos en su sentido ms estricto. Por ejemplo en un Anlisis de Impacto en el Negocio suele existir un elemento de "descubrimiento" que vuelve difcil una cuantificacin del tiempo necesario para llevarlo a cabo. 5. Proceso Se puede utilizar este documento para definir un plan para la puesta en marcha inicial de un programa de GCN. Las etapas tpicas del proyecto con resultados definidos son: Generar concienciacin - defender la GCN Definir el alcance del programa (borrador de Poltica) Anlisis de Impacto en el Negocio Anlisis de riesgos Eleccin de la opcin para la continuidad Desarrollar y poner en marcha la respuesta Desarrollar y dirigir un simulacro sobre el papel que verifique la efectividad de un primer borrador del plan Las estimaciones de trabajo para ciertas etapas del proyecto dependern muchas veces de los resultados de las etapas anteriores. Tambin se puede aplicar mtodos de gestin de proyectos para ciertos elementos del programa de GCN con resultados claros, como: Desarrollar y dirigir un simulacro de GCN Desarrollar y ofrecer un programa de formacin al personal Seleccionar a un proveedor para un recurso de continuidad 6. Mtodos y tcnicas Existen varios mtodos para la gestin de proyectos, muchos de ellos con software de apoyo. Se debera recurrir a un mtodo apropiado para el tamao y complejidad de la organizacin. 7. Resultados La puesta en marcha inicial del programa de GCN puede ser llevada a cabo mediante varios proyectos con resultados claros y estimaciones de trabajo. 8. Revisin El mtodo de proyecto adoptado debera incluir los requisitos para revisiones peridicas para evaluar el progreso con respecto a fechas o hitos predeterminados y estimaciones de trabajo.
32
cap
123456
GESTIN CONTINUA Referencia: BS 25999-1 Seccin 5.4 1. Introduccin Un programa efectivo de GCN requerir la participacin de diversas disciplinas de gestin, operacin, administrativas y tcnicas que deben ser coordinadas a lo largo de su ciclo de vida mediante procedimientos como los indicados en este Manual. El Programa debe gestionarse dentro del marco y de acuerdo con los principios contenidos en la Poltica de GCN de la organizacin. 2. Pasos previos Puesta en prctica con xito de las actividades de iniciacin del Programa. 3. Propsito El propsito del proceso de gestin es ofrecer una gestin constante efectiva del programa de GCN de la organizacin. 4. Conceptos y suposiciones El nmero de profesionales dedicados a la GCN y personal de otras especialidades necesario para gestionar el programa depende del tamao, naturaleza, complejidad y ubicacin de la organizacin. En organizaciones ms pequeas es posible que el responsable de la GCN tenga otras funciones. Rara vez esto es buena solucin cuando alguna de esas otras funciones tambin involucre una responsabilidad operativa diaria. En una organizacin de mayor tamao pueden existir varias personas que dediquen todo o parte de su tiempo a la GCN. En tal caso se puede establecer una jerarqua y puede que los que dirijan el programa necesiten tener capacidad de gestin de personal (adems de habilidades para la GCN). 5. Proceso La Direccin de la organizacin debera: Nombrar a una persona o un equipo para gestionar el programa de GCN Definir el alcance del proceso de gestin y el programa Aprobar el presupuesto de continuidad Supervisar el resultado del proceso de gestin El equipo de GCN designado debera (junto con la Direccin): Desarrollar y aprobar un proceso de planificacin de GCN y el programa. Determinar los enfoques clave para cada fase del ciclo de vida de GCN tal y como se describen ms adelante Iniciar o gestionar las actividades de GCN apropiadas dentro de la organizacin Promover la Continuidad de Negocio en toda la organizacin y fuera de ella en donde sea conveniente Gestionar el presupuesto de continuidad Documentar el programa de GCN Investigar la capacidad de preparacin en la que se encuentran las dems organizaciones del mismo sector y las obligaciones marcadas por leyes y normas Informar al directivo de forma constante del grado de preparacin en el que se encuentran y destacar los retrasos y problemas El equipo de GCN puede (junto con los ejecutivos de negocio): Identificar y formar representantes de Continuidad de Negocio en los departamentos o en otras ubicaciones para: Servir de punto de contacto para las cuestiones de Continuidad de Negocio que tengan que ver con el departamento o ubicacin Ayudar al departamento a identificar las implicaciones de la Continuidad de Negocio en los cambios de procesos Informar al equipo de GCN de los cambios en los procesos Ayudar o dirigir la recuperacin del departamento o ubicacin en caso de interrupcin.
cap
123456
33
34
cap
123456
6. Mtodos y tcnicas Los mtodos, herramientas y tcnicas para gestionar un programa de GCN incluyen: Este Manual de Buenas Prcticas Una ficha de auto evaluacin de la Poltica de GCN Evaluaciones anuales de resultados para cada persona Gestin de la relacin con proveedores y empresas subcontratadas para los productos y servicios Gestin de la relacin con proveedores y el especialista en GCN Gestin financiera Asesoramiento legal Comparacin de la GCN en las dems empresas del sector (Proceso y Mtricas) Estndares nacionales e internacionales como el BS 25999 Auditora de GCN internas y/o independientes Revisin y motivacin. 7. Resultados Los resultados del programa de GCN incluyen: Un programa de Gestin de Continuidad de Negocio claramente definido que ha sido aceptado por la alta direccin. Informes de cumplimiento de GCN en intervalos predeterminados Una estrategia de GCN y estndares claramente definidos y documentados Un proceso de gestin que forma parte integral del programa de GCN y ciclo de vida de la organizacin La revisin de las soluciones para la recuperacin de la organizacin El presupuesto anual del programa de GCN El informe de auditora del programa de GCN El mantenimiento de capacidades efectivas para la GCN Experiencias exitosas en notificacin, traspaso de responsabilidades, prevencin y recuperacin 8. Revisin Un programa de GCN debera ser gestionado de forma constante. El programa debera ser revisado por auditores internos o externos en los plazos que ellos determinen.
DOCUMENTACIN Referencia: BS 25999-1 Seccin 5.5 1. Introduccin Una parte importante del proceso de GCN es gestionar toda la documentacin de GCN. Tiene que hacerse de forma consistente, fcil de comprender y que apoye tanto la supervisin de operacin como las auditoras. El nivel y tipo de la documentacin debe corresponderse con el tipo y tamao de la organizacin. 2. Pasos previos Las organizaciones que han recibido la certificacin de estndares como el ISO 9000 o ISO 27001 tendrn que asegurarse que la documentacin de GCN cumple con esos estndares. 3. Propsito La documentacin de GCN tiene tres propsitos: Gestionar el programa de forma efectiva. Demostrar que el programa ha sido gestionado de forma efectiva en caso de auditora. Durante una interrupcin, disponer de la documentacin efectiva y actualizada que se necesita para la gestin de incidentes y la recuperacin de la actividad. 4. Conceptos y suposiciones Si bien es importante mantener la documentacin de GCN, su sola existencia no demuestra que se dispone de la capacidad para responder a un incidente. Se tiene que ofrecer al personal una formacin adecuada en la operacin de las aplicaciones software utilizadas en el programa. Aquellos responsables del mantenimiento de los planes deberan ser capaces de actualizar su documentacin, ya que esto les ayuda a sentirse involucrados y disminuye las necesidades de personal administrativo en la supervisin central de GCN. Un software especializado de GCN puede suponer ciertas ventajas para el mantenimiento, pero tambin significa un coste constante en formacin a lo largo del programa. 5. Proceso El mantenimiento de la documentacin de la GCN debera estar integrado con los procedimientos de gestin de cambio de la organizacin. 6. Mtodos y tcnicas Se puede utilizar un software para gestionar la documentacin de la GCN. Un procesador de texto puede utilizarse para los documentos de texto como la Poltica. Se pueden utilizar hojas de clculo y bases de datos para la logstica de los planes de respuesta. Se puede utilizar un software especializado para los planes. Tambin se puede utilizar un software para garantizar que las diferentes ubicaciones de la organizacin disponen de copias actualizadas de los documentos. 7. Resultados Un conjunto actualizado de documentacin GCN . Puede incluir lo siguiente: Una Poltica de GCN que incluya su alcance y principios. Anlisis del Impacto en el Negocio. Evaluacin de riesgos y amenazas. Estrategias de GCN con informes que sustenten la eleccin de las estrategias adoptadas. Planes de respuesta -Planes de Gestin de Incidentes -Planes de Continuidad de Negocio -Planes por departamentos de Recuperacin de Negocio Calendario de pruebas e informes Programa de concienciacin y formacin Acuerdos de niveles de servicio con clientes y proveedores Contratos con terceras partes para servicios de recuperacin como espacio de trabajo y rescate Revisin El ciclo de revisin de cada documento se puede consultar en las secciones relativas a su creacin y utilizacin. La documentacin y los controles deberan ser revisados por auditores internos o externos con la regularidad que ellos determinen.
cap
123456
35
PREPARACIN PARA LOS INCIDENTES Y SUS RESPUESTAS 1. Introduccin A pesar de que la Gestin de Continuidad de Negocio es principalmente una actividad de planificacin, es inevitable que se espere del equipo de GCN que lidere cuando se tenga que responder a un incidente. 2. Pasos previos Los responsables de la GCN deberan asumir que la gestin de incidentes se hara progresivamente cargo en caso de tener que poner el plan en prctica. 3. Propsito El equipo de GCN es el que posee el conocimiento ms detallado acerca de las estrategias generales y las acciones que necesitan llevarse a cabo inmediatamente. Tienen que apoyar a la direccin con evaluaciones y actividades preventivas hasta que entre en operacin el Equipo de Gestin de Incidentes. 4. Conceptos y suposiciones Se suele asumir que aquellos que han desarrollado el plan son los mejores para responder a un incidente. Sin embargo suele existir una contradiccin entre las caractersticas de personalidad que se exigen a un planificador y las necesarias en un lder. Cualquier problema relativo a esta cuestin debera salir a la luz tras la realizacin de simulacros realistas. 5. Proceso Recibir notificacin de un problema. Evaluar la situacin y luego: gestionar la respuesta a travs de los planes previstos o transferir el problema al equipo de gestin de incidentes Si es necesaria una respuesta, entonces se deben considerar inmediatamente los siguientes aspectos: Est usted preparado, tanto fsica como emocionalmente para ayudar o dirigir la respuesta? Estn presentes las dems personas que tienen que aportar una respuesta? Son capaces de asumir los papeles que les han asignado? Algunas personas pueden reaccionar a un incidente con un comportamiento inusual Ha comunicado lo sucedido a la alta direccin? 6. Mtodos y tcnicas Existen muchos mtodos para gestionar incidentes, aqu sugerimos uno genrico. Contener - Hay algo que se pueda hacer de inmediato para evitar que empeore el problema? Seguir el Plan - Existe una respuesta planificada con antelacin que se corresponda con el incidente? Seguir el procedimiento documentado, el cual puede incluir los pasos siguientes: comunicar - Tratar de resolver el problema en solitario puede hacer perder tiempo si la situacin se descontrola. si necesario, crear un equipo de respuesta evaluar la situacin - Averiguar tanto como se pueda sin incurrir en riesgos personales Predecir el resultado ms probable y adaptar el Plan de Continuidad de Negocio para ofrecer una estrategia de respuesta Predecir un resultado para el peor de los casos y disponer de una estrategia de respuesta de respaldo Llevar la respuesta al grado adecuado de responsabilidad dentro de la organizacin Poner en prctica la estrategia de respuesta Evaluar el progreso de la respuesta con respecto al resultado ms probable En cuanto la situacin lo permita, revisar la efectividad de la respuesta 7. Resultados El resultado de una respuesta exitosa es un regreso controlado de la organizacin a su actividad normal. 8. Revisin La respuesta de la organizacin debera evaluarse tan pronto como sea posible despus de la interrupcin y efectuar las modificaciones necesarias a los procedimientos, personal o contratos.
36
cap
123456
INDICADORES DE GCN Estos son los elementos clave que se esperan de una organizacin madura que cuenta con GCN: COMPROMISO DE LA ALTA DIRECCIN 1. La organizacin posee una poltica de GCN 2. El Consejo de Administracin o su equivalente es responsable ltimo de la instauracin de la Poltica GCN 3. El Consejo de Administracin ha nombrado a un comit o persona con autoridad, experiencia y capacidad necesarias para responsabilizarse y rendir cuentas de la poltica de GCN 4. La responsabilidad operativa de la GCN se refleja claramente en los objetivos de resultados de la alta direccin 5. La alta direccin ha definido directrices claras de responsabilidad e informacin para todas las personas a cargo de la GCN 6. Existe una autoridad centralizada de GCN que se encarga de asegurar que toda la organizacin comparte estndares y prcticas comunes CONTENIDO DE LA POLTICA 7. Define principios, objetivos y el propsito de la GCN en la organizacin 8. Expone la definicin de GCN para la organizacin 9. Expone los procedimientos que garantizan que todas las unidades de negocio tienen total conocimiento y cumplen la poltica 10. Explica de forma clara los lmites de alcance y las salvedades que se aplican en su interpretacin 11. Expone plazos explcitos para el cumplimiento de todos los objetivos de la poltica de GCN 12. Hace referencia al conjunto de estndares mnimos adoptados para la GCN 13. Hace referencia al marco operativo y de gestin de la GCN 14. Hace referencia a la tolerancia o capacidad de absorcin de riesgos de la organizacin relacionados con la GCN 15. Obliga a promover la GCN dentro de la cultura de la organizacin 16. Obliga a que todas las terceras partes y empresas subcontratadas de crtica importancia dispongan de polticas de GCN aceptables 17. Apoya y est en lnea con los objetivos estratgicos de la organizacin GESTIN DE PROGRAMA DE GCN 18. La poltica exige controles de cambios efectivos para todos los componentes del programa de GCN 19. La poltica se revisa de forma regular para asegurar que refleja las necesidades cambiantes de la empresa 20. La poltica define factores desencadenantes para revisiones de todos los componentes de la GCN, tanto las peridicas como las causadas por cambios 21. Est instaurado un programa de GCN para poner en prctica la poltica de GCN en todas las reas de la organizacin 22. Sus objetivos y alcance estn claramente definidos y formalmente aceptados por la alta direccin 23. Est completa y claramente en lnea con los objetivos y estrategias ms amplios de la organizacin 24. Sus avances se comunican de forma regular a los proveedores, clientes y dems partes interesadas de la organizacin 25. Est formalmente gestionado por la alta direccin, a la cual se informa sistemticamente del grado de cumplimiento de objetivos 26. Siempre se actualiza rpidamente para reflejar las nuevas adquisiciones del negocio, acuerdos de subcontratacin y cambios principales en proyectos o sistemas RECURSOS DE LA GCN 27. Estn formalmente supervisados, respaldados y autorizados por la alta direccin 28. Estn supervisados, gestionados y operados por personas competentes y cualificadas 29. Definen claramente y reconocen formalmente los roles, responsabilidades y grados de autoridad de las personas involucradas en su operacin 30. Los roles y responsabilidades de todas las personas en el programa se reflejan de forma clara en sus perfiles de puestos y objetivos de resultados
cap
123456
37
31.El programa de GCN identifica las siguientes medidas como obligatorias: A. Anlisis de Impacto en el Negocio (AIN) B. Evaluacin de riesgos relacionados con la continuidad C. Previsin de estrategias realistas de continuidad de negocio D. Planificacin de gestin de incidentes E. Planificacin de continuidad de negocio F. Probar la GCN G. Promover la concienciacin en GCN H. Mantener la capacidad en GCN I. Gestin efectiva de programa de GCN J. Adopcin de poltica de GCN GESTIN DE PROYECTO 32. Las actividades se revisan y autorizan formalmente por una persona con autoridad adecuada 33. Los proyectos se revisan y actualizan para tomar en cuenta los cambios que afectan su validez 34. Los proyectos se gestionan formalmente con respecto a plazos y objetivos definidos en la poltica DOCUMENTACIN 35. El programa de GCN est documentado de forma clara y completa 36. El programa de GCN especifica claramente el punto de vista que se utilizar para documentar cada componente 37. El programa de GCN controla toda la documentacin obligatoria de la actividad de GCN.
38
cap
123456
COMPRENDER LA ORGANIZACIN
captulo 1 2 3 4 5 6 Comprender la organizacin
39
Acerca del Captulo 2 - Comprender la organizacin La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor. Comprender la organizacin es un elemento clave de toda buena Gestin de Continuidad de Negocio. Busca identificar los productos y servicios clave de una organizacin, y tras ello definir los factores crticos de las actividades que estn detrs. Esta parte de la GCN debe estar totalmente integrada dentro de los objetivos, obligaciones y estatutos de la organizacin. Una comprensin del negocio mediante la combinacin de un Anlisis del Impacto en el Negocio (AIN) y una Evaluacin de Riesgos (ER) puede en muchos casos destacar las ineficiencias del negocio y centrarse en prioridades que de otra forma no podra ver la alta direccin. COMPONENTES DE LA ETAPA 2 COMPRENDER LA ORGANIZACIN 1. PRINCIPIOS GENERALES 2. ANLISIS DEL IMPACTO EN EL NEGOCIO 3. EVALUAR LOS REQUISITOS DE RECUPERACIN 4. EVALUAR LAS AMENAZAS (EVALUACIN DE RIESGOS)
40
cap
123456
COMPRENDER LA ORGANIZACIN Referencia: BS 2999-1 Seccin 6 Principios generales Tal y como se describe en la seccin dedicada a la Poltica de GCN, la organizacin debe tomar una decisin clara acerca de si la GCN afectar a toda la organizacin o slo a ciertos productos o servicios. Esto determina el alcance del Anlisis del Impacto en el Negocio (AIN) y de la Evaluacin de Riesgos (ER). Las herramientas para comprender su negocio desde un punto de vista de continuidad de negocio son: Anlisis del Impacto en el Negocio (AIN) - un proceso obligatorio para calcular el impacto en el tiempo de una interrupcin en la capacidad de operar de una organizacin. Anlisis de Requisitos de Continuidad - para calcular los recursos, instalaciones y servicios que necesitar cada actividad cuando se reinicie. Evaluacin de Riesgos (ER) - para calcular la probabilidad de amenazas conocidas y su impacto sobre funciones especficas. El AIN identifica la urgencia de cada actividad de negocio llevada a cabo por la organizacin al evaluar el impacto en el tiempo de una interrupcin de esta actividad en la entrega de productos y servicios. Se utiliza esta informacin para identificar el plazo de las estrategias de continuidad y recuperacin apropiadas para cada actividad por separado y entre ellas. El Anlisis de Requisitos para la Continuidad ofrece la informacin que permitir determinar la magnitud (tamao y cantidad) de las medidas apropiadas de continuidad. La Evaluacin de Riesgos (ER) ayuda a identificar las posibles causas de interrupcin en una organizacin, la probabilidad de que suceda y el impacto en caso de que la amenaza se materialice. A partir de entonces se pueden detectar medidas que reduzcan la probabilidad de que suceda o aminoren el impacto de un incidente que se produzca por estas amenazas. Dentro del programa de GCN, tras estudiar los resultados del AIN, una ER debera dar prioridad a tecnologas especficas y riesgos inherentes a las actividades de negocio identificadas, y no en todos los riesgos que encara la organizacin.
cap
123456
41
ANLISIS DEL IMPACTO EN EL NEGOCIO Referencia: BS 2999-1 Seccin 6.23 1. Introduccin El Anlisis del Impacto en el Negocio son los cimientos sobre los que se construye todo el proceso de GCN. Identifica, cuantifica y califica los impactos sobre el negocio de una prdida, interrupcin o trastorno de los procesos de una organizacin y ofrece los datos a partir de los que se determinan las estrategias de continuidad adecuadas. Se puede utilizar un Anlisis del Impacto en el Negocio (AIN) para identificar el plazo y magnitud del impacto de un trastorno en varios niveles de una organizacin. Por ejemplo para examinar el efecto de: La prdida de capacidad para entregar cada producto o servicio - para tomar decisiones informadas acerca del alcance del programa de GCN. Una interrupcin de las actividades internas y externas que creara un trastorno en la entrega de productos y servicios - para disponer de informacin para elegir las opciones de continuidad y los recursos que necesitan. Un trastorno en una actividad de negocio - para ayudar a preparar un plan detallado para el departamento. Una vez determinado el alcance, el AIN se centra en las actividades (que apoyan esos productos y servicios) e identifica aquellas cuya deficiencia pondra ms rpido en riesgo la entrega. Tienden a ser actividades "operativas" que interactan de forma directa con clientes o otras organizaciones externas. No obstante es posible que estas actividades dependan para la entrega del "apoyo" de otros procesos internos y externos, que tambin debern ser analizados. Algunos ejemplos de funciones operativas: Servicio a cliente Ventas Produccin Algunos ejemplos de funciones de apoyo: TI Recursos humanos Servicios externos de apoyo tales como energa Algunos ejemplos de actividades estratgicas: Direccin Proyectos Planificacin 2. Pasos previos Antes de intentar realizar un Anlisis del Impacto en el Negocio (AIN) es necesario lograr el apoyo total de la direccin ejecutiva y la mayora de la alta direccin. Es poco probable que los dems directivos estn dispuestos a dedicar tiempo a este ejercicio si no est asegurado el apoyo de las ms altas esferas. Antes de llevar a cabo el AIN se puede haber tomado una decisin acerca de qu productos y servicios se incluirn en el programa de GCN, algo que quedar documentado en la Poltica de Gestin de Continuidad de Negocio (GCN). El mtodo de AIN tambin puede utilizarse para comprender el impacto de un fracaso en la entrega de un producto o servicio. Esto luego sirve para tomar decisiones informadas. La Poltica de GCN es el documento clave que determina el alcance y buen gobierno del programa de GCN. La Poltica ofrece el contexto en el que el equipo de GCN pondr en marcha las competencias necesarias. Para desarrollar un programa adecuado de Gestin de Continuidad de Negocio debe asegurarse que refleja los objetivos y la cultura de la organizacin (Ver Captulo 1).
42
cap
123456
3. Propsito El propsito de un Anlisis del Impacto en el Negocio es - para cada actividad, producto y servicio: Documentar los impactos a lo largo del tiempo causados por su prdida o trastorno Dar elementos a la direccin para tomar una decisin acerca del Perodo Mximo Tolerable de Interrupcin Identificar las dependencias (tanto internas como externas) que se generan obligatoriamente para que la actividad opere de forma efectiva Es posible, e incluso deseable, que se utilice un AIN para evaluar por adelantado el impacto de una interrupcin de un cambio sustancial de negocio, como: Introduccin de un nuevo producto, proceso o tecnologa Cambio de ubicacin de las oficinas o modificaciones de la extensin geogrfica del negocio Cambio significativo en las operaciones, estructura o niveles de personal del negocio Incorporacin de un nuevo proveedor o contrato de subcontratacin importantes 4. Conceptos y suposiciones Conceptos Perodo Mximo Tolerable de Interrupcin (PMTI). Se trata del plazo despus del cual la viabilidad de una organizacin (tanto financiera como por prdida de reputacin) se ver amenazada de forma irrevocable si no puede reiniciar la entrega de un producto y servicio especfico. Es posible que el PMTI tenga un componente estacional. Por ejemplo, el final de un ao fiscal puede reducir el tiempo tolerable de interrupcin de la actividad financiera y un contrato nico que conlleve penalizaciones significativas puede reducir el nivel tolerable de inactividad de varias funciones de la organizacin. Objetivo de Punto de Recuperacin (OPR) - es el punto en el que la informacin debe ser restaurada para permitir la operacin de una actividad una vez se haya reiniciado. Terminologa: actividades 'crticas' Tras determinar el PMTI de cada actividad, suele ser recomendable vincular esas actividades con requisitos similares de recuperacin. Algunas veces las organizaciones definen estos grupos segn su plazo de recuperacin (por ejemplo, 1 da, 2 da, 1 semana,... etc); otras utilizan el trmino "crticas" para ciertas actividades necesarias en los primeros das. Aquellos que no estn familiarizados con la terminologa de GCN, se suele confundir el trmino "crtico" como "importante", lo que conlleva confusiones a la hora de recolectar datos para el AIN y la creencia errnea de que no se necesitan planes y tcticas de recuperacin para las actividades "no crticas". Otros trminos menos ambiguos son "crtico en tiempo", "sensible al tiempo" y "urgente". Suposiciones Se asume que es posible entender la organizacin mediante el anlisis por separado de sus actividades de negocio. Es posible que el PMTI sea difcil de determinar en el caso de funciones con componentes estacionales o peridicos como los proyectos de final de ao. En tales casos el anlisis de impacto debera centrarse en una interrupcin de la actividad durante uno de estos picos. Cuando ya existan medidas de resistencia instauradas, se asume que ya estn operativas (aunque pueden revelarse inadecuadas). Confidencialidad de la informacin Es posible que cierta informacin tenga carcter confidencial para el mercado o el sector, por lo que algunas organizaciones no la revelarn al responsable de GCN. El hecho de no disponer de esta informacin no debera impedir la relacin del AIN, aunque podra afectar a la fiabilidad de los resultados finales. 5. Proceso Alcance y magnitud Si la organizacin es parte de un grupo identificar la relacin existente entre las diferentes partes de la organizacin, ya que esto puede afectar al PMTI. Si la organizacin tiene varias ubicaciones, determinar el alcance geogrfico del AIN de la Poltica. Conseguir que el responsable de proyecto nombrado por la alta direccin ratifique los trminos de referencia.
cap
123456
43
Anlisis del Impacto en el Negocio Identificar las actividades diferenciadas a lo largo de la organizacin (que pueden implicar a varios departamentos) y los responsables de esos procesos. Identificar el personal adecuado del que se puede conseguir la informacin acerca de los procesos los expertos en la materia. Identificar los impactos que pueden provocar daos para la reputacin, activos o situacin financiera de la organizacin. Cuantificar los tiempos en los que una interrupcin de cada actividad resulta inaceptable para la organizacin. En aquellos casos en el que la organizacin dispone de varios emplazamientos puede ser necesario decidir cul ser el alcance geogrfico de un trastorno o la magnitud de la prdida de recursos que la organizacin tiene que planificar de cara a sobrevivir. Esto puede ser determinado por: -Amplitud geogrfica (o extensin de mercado/cliente) -Obligaciones legales o estatutarias -Requisitos de los productos, del mercado o de los clientes Informes Lograr que los responsables de los procesos ratifiquen los datos para confirmar la fiabilidad de la informacin. Obtener el respaldo del responsable de GCN para las conclusiones. 6. Mtodos y Tcnicas Recopilacin de datos Algunos mtodos, herramientas y tcnicas para llevar a cabo los Anlisis de Impacto en el Negocio: Talleres Cuestionario (s) - en papel y/o software Entrevistas (estructuradas y no estructuradas) En trminos generales: Los talleres ofrecen resultados rpidos y una oportunidad para establecer un compromiso directo con el programa siempre y cuando todos los departamentos y participantes hayan asumido su importancia. Los cuestionarios ofrecen grandes cantidades de datos, pero la calidad de la informacin puede ser muy cuestionable si no se han obtenido de forma coherente. Las entrevistas pueden ofrecer muy buena informacin pero llevan tiempo y los datos logrados pueden variar en formato y detalle. La combinacin de los mtodos reseados puede ofrecer excelentes resultados siempre y cuando se establezca un grado adecuado de detalle y un formato estndar de informes que permitan una coherencia en la recopilacin y anlisis de la informacin a lo largo de mltiples reas de la organizacin. Cuestionarios para la recopilacin de datos No existe una metodologa nica para recoger los datos en un Anlisis del Impacto en el Negocio. Los mtodos cambian segn el sector y segn las personas responsables. Cada sector de actividad tiene sus necesidades especficas en lo que se refiere a resultados, tipos de informacin, profundidad y alcance. No obstante se deben considerar algunos principios bsicos: El objetivo del AIN es recopilar informacin que sustenten la eleccin de las estrategias de continuidad adecuadas, que se sustenta en la urgencia de cada actividad para reiniciarse Cmo se utilizar la informacin que recoja? Cul es el mejor formato para la recopilacin de datos de cara a presentar resultados de forma efectiva? Informacin bsica que se necesita para determinar la urgencia de la actividad que se analiza tanto por separado como siendo parte integral de la organizacin: -Plazos en los que la actividad debe reiniciarse -Ubicaciones desde las que se lleva a cabo la actividad -Cuestiones que influyen sobre la actividad, por ejemplo perodos pico, informes a las autoridades... Cul sera el impacto de suspender la actividad Cunto tiempo puede sobrevivir la organizacin sin ella
44
cap
123456
-Existen alternativas? Factores que deben tomarse en cuenta: -Volmenes, por ejemplo, llamadas por hora, produccin... -Obligaciones contractuales o legales -Herramientas clave para lograr la continuidad de la actividad (cuntas, dnde y cundo): -Personal conjunto de habilidades -Equipos TI, telecomunicaciones, planta de fabricacin / industrial -Datos en papel y electrnicos -Dependencias internas o externas a la organizacin Software Existen varios productos informticos disponibles para llevar a cabo Anlisis del Impacto en el Negocio que pueden ser tiles, aunque no esenciales. Las principales ventajas de utilizar un software radican en la facilidad de analizar resultados, el almacenamiento de informacin y la elaboracin de informes de resultados. No obstante, su utilizacin no elimina la necesidad de realizar entrevistas o involucrar a las personas que conozcan la actividad que se analiza. Informes Cada organizacin tiene su estilo para elaborar informes. En algunos casos ese estilo tendr que ser ajustado para lograr que muchos grupos lo puedan interpretar dentro de la misma organizacin y puede incluir tablas y grficos. El formato idneo de informes de la organizacin debe ser establecido y acordado en el momento de determinar el alcance de la actividad ya que el formato final de reporte puede afectar la forma de recopilar, agregar, analizar y presentar la informacin. 7. Resultados Los resultados de un Anlisis del Impacto en el Negocio son: 1) El Perodo Mximo Tolerable de Interrupcin y su justificacin (naturaleza de los impactos) para cada actividad 2) El Objetivo de Punto de Recuperacin (OPR) al que la informacin tiene ser restaurada para permitir que una actividad opere una vez que se ha reiniciado. 8. Revisin Las buenas prcticas indican que un Anlisis del Impacto en el Negocio debera revisarse como mnimo una vez al ao, pero de forma ms frecuente en caso de: Un cambio importante en el negocio a un ritmo particularmente agresivo Un cambio importante en los procesos internos de negocio, ubicacin o tecnologa Un cambio importante en el entorno externo de negocio, como un cambio en el mercado o en las leyes. Esto no significa necesariamente que se deba rehacer todo el AIN. Un diseo cuidadoso de los informes del AIN puede facilitar este proceso si ofrece una comparacin con respecto a cambios en las reas reseadas. En tal caso se puede medir los cambios de impacto relativos a esas cuestiones.
cap
123456
45
EVALUAR LOS REQUISITOS DE CONTINUIDAD Referencia: BS 2999-1 Seccin 6.4 1. Introduccin El Anlisis de Requisitos de Continuidad recopila informacin acerca de los recursos necesarios para reiniciar y continuar las actividades de negocio al nivel suficiente para satisfacer las obligaciones de las organizaciones. 2. Pasos previos Este paso se suele dar al mismo tiempo que se busca la informacin para el AIN. 3. Propsito Su propsito es: Ofrecer la informacin de recursos a partir de la que se puede recomendar o determinar una estrategia de recuperacin adecuada Identificar las necesidades de recursos derivadas de las dependencias tanto internas como externas que se generan para llevar a cabo las actividades 4. Conceptos y suposiciones Requisitos de Continuidad Se suele asumir que los recursos necesarios despus de un trastorno sern mucho menores que los que se requieren durante las operaciones normales - al menos durante un tiempo. Sin embargo en algunos casos es posible que los recursos necesarios en las primeras etapas de recuperacin sean mayores de los normalmente utilizados para resolver retrasos en la entrega. Por ejemplo, en un centro de llamadas se puede necesitar personal adicional para resolver la cantidad de llamadas suplementarias que se recibirn tras una interrupcin, adems de que puede que los sistemas de TI de apoyo necesiten una mayor capacidad para responder a este nmero suplementario de usuarios. 5. Proceso Requisitos de Continuidad Cuantificar los recursos (es decir, personal, tecnologa, telefona...) que sern necesarios a lo largo del tiempo para mantener el negocio en un nivel aceptable durante el plazo mximo tolerable de trastorno. Durante un tiempo despus del trastorno pueden ser menores o mayores que las necesidades habituales de recursos. Deberan tener en cuenta cualquier actividad suplementaria que se generar a consecuencia de la interrupcin y la necesidad de eliminar los retrasos en la entrega que ya existan. Informes Hacerlos ratificar por el responsable del proceso para confirmar la veracidad de la informacin Lograr que las conclusiones estn respaldadas por el responsable de GCN Presentarlos a la alta direccin para determinar si los resultados se veran impactados por cualquiera de las modificaciones de negocio propuestas y para su aprobacin para que pasen a la etapa de diseo de estrategia. Iniciar el desarrollo de la estrategia de GCN 6. Mtodos y Tcnicas Recopilacin de datos Los mtodos, herramientas y tcnicas para llevar a cabo un Anlisis de Requisitos de Continuidad incluyen: Talleres Cuestionario (s) - en papel y/o software Entrevistas estructuradas o no estructuradas Se suele recoger esta informacin al mismo tiempo que la informacin relativa al AIN 7. Resultados Los resultados de un Anlisis de Requisitos de Continuidad son: Los recursos que se necesitan durante el tiempo despus del retorno de la actividad para ofrecer los niveles de servicio acordados. Las interdependencias entre actividades internas y proveedores externos. Esta informacin alimenta de forma directa la etapa de creacin de una Estrategia de Continuidad de Negocio.Las necesidades de recursos ofrecern los datos para evaluar soluciones alternativas de recuperacin que se adecuen en tamao y resultados.
46
cap
123456
8. Revisin La revisin del anlisis de requisitos de continuidad debera realizarse al mismo tiempo que la del AIN. EVALUAR LAS AMENAZAS (EVALUACIN DE RIESGOS) Referencia: BS 2999-1 Seccin 6.5 1. Introduccin En el contexto de la GCN, una Evaluacin de Riesgos estudia la probabilidad e impacto de una serie de amenazas especficas que podran causar una interrupcin en el negocio. Asignando prioridades es posible instaurar medidas para reducir la probabilidad o frenar el impacto de estas amenazas. Cuando se evalan las amenazas para las actividades del negocio, el AIN ofrece una dimensin suplementaria (tiempo) en la conocida ecuacin Impacto de la Amenaza x Probabilidad. Esto sugiere que los esfuerzos para instaurar iniciativas para atacar los riesgos deberan dirigirse a aquellas actividades que afectarn ms rpido el negocio. Es difcil extender el Anlisis de Riesgos a toda la organizacin. Pero al centrarse en los recursos necesarios para operar las actividades ms urgentes de la organizacin (es decir, siguiendo un AIN), el enfoque de la Evaluacin de Riesgos puede reducirse a un alcance ms manejable. Debera entenderse que la Evaluacin de Riesgos presenta serias deficiencias a la hora de evaluar riesgos operativos catastrficos porque: Es imposible identificar todas las amenazas. Las estimaciones de probabilidad son conjeturas o estn basadas en informacin histrica y a veces poco fiable. Los impactos no son fijos ("alto, medio y bajo") pero crecen en diferentes ritmos con el paso del tiempo. Las escalas numricas utilizadas suelen exagerar el impacto de acontecimientos menores. La Evaluacin de Riesgos puede identificar concentraciones de riesgos inaceptables y lo que se llama "puntos nicos de fallo". Estos deben ser comunicados lo antes posible al responsable de Continuidad de Negocio en la alta direccin adems de presentarle opciones para resolver el problema. La decisin estratgica de mitigar, transferir o aceptar el riesgo debe estar documentada y ratificada. En algunos pases y sectores es obligatorio realizar la Evaluacin de Riesgos. 2. Pasos previos Antes de efectuar una Evaluacin de Riesgos se debe llevar a cabo un Anlisis del Impacto en el Negocio para identificar las funciones ms urgentes en las que debe centrarse la evaluacin de riesgos. 3. Propsito El propsito de una Evaluacin de Riesgos es: Identificar las amenazas internas y externas que podran causar un trastorno y evaluar su probabilidad e impacto Dar prioridad a las amenazas segn una frmula acordada Dar elementos de juicio para un programa de control de gestin de riesgos y un plan de accin. 4. Conceptos y suposiciones Conceptos: Independiente de la complejidad de la frmula que se adopte, se asume la relacin siguiente: Riesgo = Impacto de la amenaza x Probabilidad Algunos modelos de riesgo ordenan los riesgos por: Prioridad = Riesgo x Capacidad para controlar ese riesgo. Esto asigna una prioridad a las amenazas que son ms fciles de controlar con el argumento implcito de que as se lograr el mejor retorno para la inversin en tiempo y dinero, pero no tiene en cuenta muchos impactos externos. En otros modelos de riesgo los riesgos evaluados se examinan sin la existencia de controles y luego con los controles reales y deseados ya instalados. Este segundo paso sirve para recalcar que no se deben hacer suposiciones a la hora de gestionar el entorno de control de riesgos y que se debera de medir la efectividad de los controles en su estado real, cuando estn amenazados y luego mejorados. Si despus de este segundo paso una organizacin decide que no quiere mejorar los controles - quizs debido a un coste excesivo, los responsables de Riesgos y GCN tienen que ser conscientes de ello y tomar en cuenta esta decisin en su visin.
cap
123456
47
El "apetito para los riesgos" o "nivel de tolerancia de riesgos" de la organizacin es la cantidad de riesgos que una organizacin est dispuesta a aceptar y influir en las acciones que tomar para controlar las amenazas reconocidas. Suposiciones Se pueden identificar todas las amenazas realistas. Hay disponibles estadsticas fiables para calcular la probabilidad de que suceda. Las amenazas ms fciles de controlar (las relativas a personal o edificios propios) deben tener una mayor prioridad con respecto a las que es ms difcil de influir como las malas condiciones meteorolgicas. La utilizacin de una escala numrica para asignar un valor a los impactos puede reflejar de forma adecuada la importancia relativa de activos de ms difcil cuantificacin, como la reputacin. La utilizacin de una escala numrica (1,2,3.) sirve para representar una relacin realista entre los diferentes impactos y sus probabilidades (cuando en realidad puede ser ms realista una escala logartmica, (por ejemplo 1, 10, 100, 1000...)). 5. Proceso Las etapas clave de una Evaluacin de Riesgos son: Tabular un sistema de puntuacin para impactos y probabilidades y obtener el acuerdo del responsable del proyecto. Hacer una lista de los procesos urgentes determinados por el AIN. Estimar el impacto de la amenaza sobre la organizacin mediante un sistema de evaluacin numrico. Determinar la probabilidad o frecuencia de que ocurra cada amenaza y darle un grado de importancia mediante un sistema de evaluacin numrico. Calcular el riesgo mediante la combinacin de las valoraciones de impacto y probabilidad de cada amenaza segn una frmula acordada. Se puede asignar rangos de prioridad a los riesgos segn una frmula que incluya una medida de la capacidad para controlar la amenaza. Obtener la ratificacin por escrito del responsable de la organizacin para estas prioridades de riesgo. Revisar las estrategias existentes de gestin de control de riesgos fijndose en aquellos puntos en los que el nivel de riesgo detectado no se corresponde con las actuales estrategias de gestin de riesgos relativas a esa amenaza. Considerar la instauracin de medidas adecuadas para: Transferir el riesgo, por ejemplo con una compaa de seguros Aceptar el riesgo, por ejemplo all donde el impacto y/o la probabilidad sean bajos Reducir el riesgo, por ejemplo mediante la puesta en marcha de mayores controles Evitar el riesgo, por ejemplo mediante la eliminacin de la causa u origen de la amenaza Asegurar que las medidas planificadas contra los riesgos no aumentan otros riesgos. Por ejemplo, subcontratar una actividad puede reducir ciertos riesgos, y a su vez elevar otros. Obtener del responsable la autorizacin por escrito y el presupuesto para las medidas propuestas de gestin de control de riesgos. 6. Mtodos y tcnicas Algunos de los mtodos, herramientas y tcnicas para lograr una Evaluacin de Riesgos: Determinar las amenazas Anlisis del rbol de Eventos Anlisis del rbol de Fallos Evaluar las probabilidades Estadsticas de las empresas de seguros Estadsticas publicadas acerca de la frecuencia de desastres Sistemas de evaluacin Existen muchos sistemas de evaluacin en los libros que se han publicado acerca del tema.
48
cap
123456
Tabular los riesgos Matriz de Vulnerabilidad a las Amenazas Matriz de Riesgo Evaluar soluciones Anlisis de coste y beneficio. 7. Resultados Los resultados de una Evaluacin de Riesgos deben identificar y documentar: Los puntos especficos de fallo Una lista de amenazas a la organizacin o a los procesos de negocio analizados, clasificadas por orden prioritario Informacin para una estrategia de gestin de control de riesgos y un plan de accin para atajar los riesgos Aceptacin demostrada de los riesgos identificados que no se van a atajar 8. Revisin Se debe realizar la Evaluacin de Riesgos tal y como est definida en la estrategia de gestin de riesgos de la organizacin. Normalmente tendr una periodicidad anual para aquellos procesos ms sensibles a los tiempos, pero ser ms frecuente si: El ritmo en la evolucin del negocio es particularmente agresivo. Se han producido importantes cambios en el negocio en lo que se refiere a los procesos internos, la ubicacin o los recursos tecnolgicos Se ha registrado una modificacin importante en el entorno del negocio un cambio en el mercado o en las obligaciones legales, por ejemplo. Nota: Se habla de BS 25999-1 Seccin 6.6 (Determinar opciones) en Etapa 1 Alcance del Programa de GCN.
cap
123456
49
INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organizacin con una GCN madura BUEN GOBIERNO CORPORATIVO 1. El programa de GCN contiene mecanismos formales explcitos que garantizan el cumplimiento de todas las leyes, normas y cdigos sectoriales de buenas prcticas 2. El programa de GCN contiene mecanismos formales explcitos que garantizan el cumplimiento de todas las polticas y directrices internas y los cdigos sectoriales de buenas prcticas adoptados 3. El programa de GCN contiene mecanismos formales explcitos que permiten rpidamente identificar y reflejar todos los cambios en los estatutos, polticas o cdigos que afectan a la GCN PRCTICA DEL AIN 4. La organizacin lleva a cabo el Anlisis del Impacto en el Negocio (AIN) para todas las reas de operacin 5. El AIN evala y registra a lo largo del tiempo la tolerancia de las partes interesadas a verse privadas de los productos, servicios y otros intereses 6. El AIN evala y registra a lo largo del tiempo la tolerancia de la organizacin a cada tipo de gran impacto relacionado con la continuidad que pueda enfrentar 7. El AIN evala y registra a lo largo del tiempo los posibles tipos, niveles de gravedad y combinaciones de impacto relacionados con la continuidad 8. El AIN evala y registra a lo largo del tiempo el impacto conjunto sobre la organizacin de la falta de recuperacin de cada actividad despus de un trastorno 9. El AIN establece, cuantifica y justifica: A. El Perodo Mximo Tolerable de Interrupcin para cada actividad B. Los niveles a los que, con el tiempo, todas las actividades deben regresar C. Todos los recursos de cada actividad para lograr los objetivos de tiempos de recuperacin D. Las actividades o funciones, recursos e infraestructuras de la organizacin 10. El AIN toma totalmente en cuenta y cumple en toda su extensin con la poltica de GCN 11. El AIN cumple integralmente con la visin estipulada por la organizacin 12. Los datos y conclusiones derivados del AIN estn totalmente documentados 13. El AIN y toda su documentacin asociada: A. Representa una visin actualizada que refleja el estado de la organizacin B. Una vez al ao se revisar formalmente con respecto a la Poltica de GCN y ms veces si sucede un cambio en el perfil de impacto de la organizacin C. Debe ser ratificado por la alta direccin 14. El AIN toma en cuenta los siguientes tipos de impactos financieros tangibles A. Coste de oportunidad B. Aumentos en los costes laborales y gastos C. Ingresos o equivalentes que hayan registrado una reduccin de valor D. Ineficiencia y rentabilidad E. Remplazo de activos no asegurados F. Coste del capital y viabilidad financiera 15. El AIN toma en cuenta los siguientes tipos de impactos no financieros intangibles A. Reputacin marca y presencia B. Obligaciones legales y contractuales C. Calidad de productos y servicios D. Confianza y apoyo de los accionistas, proveedores, clientes y dems partes interesadas E. Bienestar y estado de la moral del personal F. Control operativo y de gestin G. Daos medioambientales
50
cap
123456
PRCTICA DE EVALUACIN DE RIESGOS 16. De forma sistemtica la organizacin planifica y lleva a cabo una evaluacin formal de riesgos relacionados con la GCN para todas las reas de operacin 17. La Evaluacin de Riesgos identifica, evala y registra los elementos siguientes: A. Todos los riesgos y amenazas importantes para las actividades y recursos ms urgentes de la organizacin B. Todas los aspectos vulnerables importantes de cada una de las actividades y recursos de la organizacin que tengan mayor sensibilidad a los tiempos C. Todas las concentraciones de riesgos importantes que amenacen la continuidad de negocio (puntos nicos de fallo) D. Todos los riesgos de continuidad importantes que se deban a proveedores o empresas subcontratadas 18. La Evaluacin de Riesgos identifica, evala y registra: A. Todos los escenarios de trastornos importantes que podran afectar a la organizacin B. Los riesgos para la continuidad que deben ser aceptados, desviados a otro sitio o no contemplados por el programa de GCN C. Las medidas que reducen la probabilidad, duracin e impacto de un trastorno de los productos y servicios clave de la organizacin D. Los riesgos para la continuidad derivados de la escasez o concentracin de habilidades clave 19. La Evaluacin de Riesgos utiliza la informacin de impactos del AIN para ofrecer una buena estimacin del grado de exposicin 20. La Evaluacin de Riesgos vuelve a especificar y toma en cuenta el grado de tolerancia de la organizacin para los riesgos de continuidad 21. La Evaluacin de Riesgos: A. Utiliza estadsticas apropiadas para evaluar la probabilidad de cada amenaza realista para la continuidad B. Hace referencia a los contratos de seguros de la organizacin y cuantifica el grado de exposicin que se deriva C. Es parte integral del marco de gestin y control de riesgos de la organizacin D. Ofrece la base para establecer una prioridad en la forma de atajar los riesgos de continuidad 22. La organizacin dispone de estrategias formales para aminorar todos los riesgos de continuidad del negocio para todas las reas y operaciones 23. Las estrategias aminoran los efectos de, y aseguran que la organizacin pueda tolerar y recuperarse de forma aceptable de: A. Todos los escenarios relativos a la continuidad identificados en la Evaluacin de Riesgos B. Imposibilidad de acceso o prdida de un lugar de trabajo C. Cualquier fallo tecnolgico D. Cualquier fallo de bienes bsicos o proveedores E. Cualquier fallo en las empresas subcontratadas u otras unidades de negocio F. Cualquier emergencia civil que surja
cap
123456
51
DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO
captulo 1 2 3 4 5 6 Determinar la estrategia de Continuidad de Negocio
52
Acerca del captulo 3 Determinar la Estrategia de Continuidad de Negocio La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor. Determinar la Estrategia de Continuidad de Negocio es un elemento clave para la buena Gestin de Continuidad de Negocio. Para lograrlo es necesario basarse en la etapa de Comprender la organizacin de cara a elegir las estrategias de continuidad adecuadas que cumplan los objetivos definidos en el AIN. Debe adems respaldar los objetivos y obligaciones de la organizacin a unos costes ajustados. COMPONENTES DE LA ETAPA 3 DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO 1. OPCIONES DE ESTRATEGIA 2. OPCIONES PARA LA CONTINUIDAD DE LAACTIVIDAD 3. CONSOLIDACIN DE RECURSOS
cap
123456
53
DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO Referencia: BS 2999-1 Seccin 7 1. Introduccin La primera parte de "Determinar la Estrategia de Continuidad de Negocio" se centra en las cuestiones generales que garantizan la proteccin de la capacidad de la organizacin para entregar un producto o servicio en el marco de su programa de Continuidad de Negocio. La siguiente, "Opciones para la Continuidad de la Actividad" describe las tcticas disponibles para asegurar la continuidad de las actividades que respaldan la entrega de esos productos o servicios. Tambin tiene sentido, si se puede, poner en marcha medidas que reduzcan la probabilidad de que sucedan incidentes o aminorar su impacto en caso de que sucedan. Pero no se pueden ofrecer consejos acerca de su efectividad en costes y no deberan considerarse substitutas de la puesta en marcha de las estrategias adecuadas de Continuidad de Negocio que figuran ms adelante. En la etapa anterior se averigu el Perodo Mximo Tolerable de Interrupcin para cada producto y servicio dentro del alcance del programa. Al entender sus interdependencias se habr podido determinar el PMTI para cada actividad. En la etapa de Estrategia se debe fijar el Objetivo de Tiempo de Recuperacin para cada actividad dentro del PMTI.
cap
54
123456
DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO Referencia: BS 2999-1 Seccin 7.2 1. Introduccin Esta seccin se abordan las diferentes estrategias de alto nivel disponibles para proteger la entrega de un producto y servicio. 2. Pasos previos Es necesario disponer de un AIN actualizado antes de elegir una estrategia adecuada. 3. Propsito El propsito de este paso es garantizar que la estrategia de continuidad conjunta respalda de forma adecuada la entrega de los productos y servicios de la organizacin. 4. Conceptos y suposiciones Objetivo de Tiempo de Recuperacin Cuando se est recuperando una actividad interrumpida es probable que la organizacin no quiera llegar a ese momento en el que est a duras penas sobreviviendo. Es posible que se fije un Objetivo de Tiempo de Recuperacin (OTR) ms corto que tambin le d un margen en caso de que se produzcan dificultades no previstas en la recuperacin o de que su medida original de PMTI fuera demasiado optimista. La capacidad de continuar o reiniciar tiene que ser realista. Desplazar fsicamente a personal y operaciones tomar ms tiempo del esperado y tendr un impacto sobre la jornada laboral disponible. Es importante incorporar a las previsiones un tiempo suficiente de continuacin o reinicio para garantizar que las actividades pueden recobrarse cumpliendo los Objetivos de Tiempo de Recuperacin (OTR). Suele pasar que cuanto ms rpida sea la necesidad de recuperacin, mayor el ser el coste de una solucin. Por esa razn, para minimizar los costes es importante asegurarse de que se establece un OTR adecuado y no demasiado rpido. Distancia de separacin qu se considera fuera de las instalaciones? Debido a que muchos de los acontecimientos que afectan a la Continuidad de Negocio suelen derivar en una imposibilidad de acceder a las instalaciones o incluso su destruccin, es necesario asegurarse de que existe un duplicado de los registros tanto fsicos como electrnicos en un emplazamiento separado geogrficamente de tal forma que puedan ser accesibles y recuperados en los plazos determinados. Si bien es evidente que una mayor distancia geogrfica reduce la probabilidad de que dos instalaciones se vean afectadas por el mismo incidente, no existe una distancia de separacin considerada "mnima" o "correcta", tal y como lo demuestran la capacidad infecciosa de los virus informticos para causar incidentes simultneos en el mundo entero. A pesar de ello es probable que una separacin de unos centenares de metros sea de poca ayuda, incluso cuando suceden incidentes muy localizados, debido a la forma en la que los servicios de emergencia acordonan una zona y los consiguientes trastornos que ocasiona para el transporte. Algunas organizaciones pueden basarse en su rea de mercado o su jurisdiccin para determinar el lmite de su dispersin (ver la discusin acerca de incidentes en la Introduccin a la Etapa 1); otras pueden elegir la decisin pragmtica de situar su emplazamiento de reubicacin en la distancia mxima que el personal est dispuesto a recorrer (podra ser a una hora de distancia). Robustez (Resilience) Este trmino sirve para indicar que algo puede sufrir un fallo y a pesar de ello seguir operando. Muchas veces se utiliza como si fuera un valor absoluto y, sin embargo, como sucede con los trminos "cerca" o "lejos" el concepto de robustez es relativo y su alcance debe ser definido en cada utilizacin. Es mejor ilustrarlo con ejemplos: Incorporar tecnologa RAID a un ordenador aumenta la robustez de la mquina (pero slo con respecto a los fallos de disco duro) pero no protege de la prdida de esa mquina en caso de incendio. La duplicacin del suministro elctrico mejora la robustez resistencia de las instalaciones frente a cortes de electricidad, pero el lugar puede volverse inservible si el fallo elctrico afecta a ambos suministros. Expandir la dispersin geogrfica y diversidad de las ubicaciones de la organizacin mejora la robustez de la organizacin pero sigue siendo vulnerable a incidentes como pandemias o virus informticos.
cap
123456
55
5. Proceso Utilizando los resultados del Anlisis del Impacto en el Negocio, apuntar el Perodo Mximo Tolerable de Interrupcin (PMTI). Determinar un Objetivo de Tiempo de Recuperacin (OTR) para el producto o servicio, que (por lgica) debera ser menor que el PMTI. Este clculo debe tener en cuenta el grado de confianza que se tiene en la veracidad del PMTI. Si ya existe una estrategia de reinicio de actividades, llevar a cabo un Anlisis Diferencial para determinar si los resultados actuales se miden contra los resultados requeridos. Ofrecer a la direccin ejecutiva una evaluacin estratgica. Garantizar que la opcin acordada, con sus previsiones de recursos y financieras, es ratificada por la direccin ejecutiva. 6. Mtodos y tcnicas Cuestiones referentes a servicios especficos: Centro(s) de llamadas: La convergencia de TI, grabacin de voz y telefona inteligente en un centro de llamadas puede ofrecer importantes retos de cara a la recuperacin. Los centros de llamadas que gestionan llamadas entrantes suelen tener un PMTI medido en horas ms que en das, por lo que la solucin suele ser dos o ms centros dispersos geogrficamente que comparten la carga de llamadas. Debido a las altas necesidades de personal para este tipo de instalaciones suelen surgir problemas de recursos humanos durante un largo perodo de interrupcin en el caso de que los empleados no quieran o no puedan mudarse de lugar. Algunas empresas de servicios pueden ofrecer recepcin de llamadas con varias capacidades para gestionar volmenes de llamadas y con diferentes niveles de competencia en el producto. Las estrategias de comercio electrnico e Internet / Intranet se determinarn segn la importancia que la organizacin otorga a estos servicios y las funciones que desempean - si slo sirven para propsitos de comunicacin o para realizar negocios interactivos. Al igual que sucede con otras actividades, un Anlisis del Impacto en el Negocio determinar los parmetros de reinicio de los servicios de comercio electrnico. Se suele considerar que estos servicios necesitan reiniciarse de forma rpida debido a su alta visibilidad y las expectativas de los clientes. Internet y la Intranet corporativa pueden tambin constituirse en un excelente medio de comunicacin durante un incidente. Soluciones para la fabricacin Diversidad geogrfica fabricar en varios emplazamientos mejora la resistencia a muchos acontecimientos, pero suele ser a costa de las economas de escala Subcontratacin - Aunque la suma de los procesos de cada compaa sea nica, suelen existir varios procesos que pueden ser replicados por otros fabricantes. La empresa afectada puede recurrir a varias firmas de subcontratacin para producir su producto final durante el tiempo en el que las instalaciones propias no estn disponibles. Debido a las necesidades de herramientas y ajustes, generalmente no se puede lograr esto de forma rpida sin una preparacin previa. Por desgracia esta estrategia puede conectar a los clientes con la competencia. Existencias en almacn En el caso de aquellos productos que se pueden almacenar, mantener un almacn lejos de las instalaciones permite disponer de una ventana de tiempo durante la cual se puede mantener el aprovisionamiento mientras se soluciona un percance. 7. Resultados Este paso ofrecer una estrategia para cada producto y servicio bajo el programa de GCN que en el siguiente paso permitir seleccionar las alternativas adecuadas para cada actividad. 8. Revisin Al menos cada 12 meses se debera realizar una revisin de la estrategia de GCN para cada producto y servicio. No obstante, ciertos acontecimientos pueden causar una reevaluacin de la estrategia de GCN: Una revisin del Anlisis del Impacto en el Negocio que detecte cambios substanciales en los procesos y prioridades Un cambio importante en una de las cuestiones siguientes: la actitud frente al riesgo de la organizacin (quizs a consecuencia de un acontecimiento), condiciones de mercado, adquisicin o fusin, nuevos productos o servicios, obligaciones legales.
cap
56
123456
OPCIONES PARA LA CONTINUIDAD DE LA ACTIVIDAD Referencia: BS 2999-1 Seccin 7.3-8 1. Introduccin Este paso abarca los procesos para determinar las tcticas adecuadas a cada actividad que permiten la entrega de uno o ms productos y servicios dentro del programa de GCN. El Anlisis del Impacto en el Negocio (AIN) habr identificado el PMTI para cada actividad. En ese tiempo se tendra que fijar el Objetivo de Tiempo de Recuperacin (OTR) para cada actividad. Se deben elegir las tcticas adecuadas para cada actividad que garanticen los recursos necesarios en las reas de: Personas, habilidades y conocimientos Instalaciones Tecnologa Aprovisionamiento Proveedores, clientes y dems partes interesadas Las opciones siguientes no son excluyentes entre ellas. Una estrategia de recuperacin viable y efectiva para cada actividad deber establecerse basndose en elementos de las opciones descritas. 2. Pasos previos El OTR del producto o servicio debe determinarse antes de fijar el OTR para cada actividad y seleccionar las tcticas adecuadas. 3. Propsito El propsito de este paso es asegurar que las opciones tcticas de continuidad para cada actividad respaldan de forma apropiada la entrega de los productos y servicios de la organizacin. Las actividades cuyo reinicio sea ms urgente pueden recibir proteccin suplementaria por las medidas de reduccin de amenazas que parezcan apropiadas. 4. Conceptos y suposiciones Fiabilidad Suele ser necesaria una decisin por parte de la direccin en cuanto al coste y la fiabilidad de la entrega por parte de un servicio necesario para la recuperacin ofrecido por un tercero. Los compromisos pueden variar, desde verbales con promesas por esforzarse, hasta un nivel de servicio asegurado por contrato. Los costes pueden variar (generalmente relacionados con la calidad del compromiso) de cero a una suma importante. Cuanto ms corto sea el OTR ms importante ser la fiabilidad en la entrega. Alcance de la planificacin El alcance y detalle con el que las tcticas para cada actividad necesitan planificarse depender de la urgencia con la que se necesiten y la complejidad de las necesidades. Costes vs. beneficios Es imposible juzgar el coste adecuado de las medidas mediante un anlisis de coste-beneficio convencional debido a que es necesario asumir premisas cuestionables acerca de la probabilidad de los incidentes para demostrar que existen beneficios. Es posible que las fabricantes y empresas de servicio que son proveedoras de otros negocios logren mejores ventas o mejores mrgenes al demostrar a sus clientes que poseen una estrategia de GCN (y por lo tanto mayor fiabilidad) - y obtengan un beneficio que contrarreste los costes. Esto es ms difcil de demostrar cuando el servicio no es comercial o va dirigido a la venta al pblico, en donde ser ms probable dejar patentes reducciones de costes en los procesos internos (para enfrentar trastornos reducidos). Ratios de sindicacin de instalaciones para la recuperacin a cuenta de terceros Un rea de trabajo dedicada en la que una empresa tiene la utilizacin exclusiva para acomodarla. Se suele recurrir a ella cuando se ha establecido un OTR corto, para funciones generadoras de alto valor en las que se emplean equipos especializados y para las cuales no se puede permitir que no haya disponibilidad debido a estar sindicada. Un ejemplo seran las mesas de negociacin para una firma de inversin. Una rea de trabajo "sindicada" o en suscripcin en la que una empresa paga por la utilizacin de un lugar siempre que no est ya usada por otro suscriptor.
cap
123456
57
Operaciones con robustez incluyen operaciones simultneas en dos sitios y soluciones de disponibilidad continua. En caso de una interrupcin en un emplazamiento, la actividad es transferida a una o varias ubicaciones alternativas en donde tanto personal como instalaciones ya estn listas para hacerse cargo. Suele ser una de las opciones ms caras de llevar a cabo (debido a los costes que implican sincronizar los datos en varios sitios y el personal que se necesita), pero se trata de una solucin adecuada cuando es necesario un reinicio rpido (menos de 24 horas) de actividades. Para que sea una estrategia de recuperacin viable, no pueden existir fallos y ambos sitios tienen que estar convenientemente separados y geogrficamente diversificados. Figura: Resumen de las estrategias de recuperacin con respecto al tiempo de recuperacin
Propiedad
Internas
Reconstruir o reubicar
Contratadas
Ampliar el contrato comercial del emplazamiento de recuperacin (si es posible) Expansin en el emplazamiento de recuperacin. Unidades prefabricadas y mviles alquiladas. Emplazamiento para la recuperacin de la actividad comercial. Acuerdos recprocos. Instalaciones mviles. Procesos subcontratados.
A medida
Reconstruir, alquilar o comprar.
Meses
Semanas
123456
Edificios prefabricados ya disponibles en el mismo sitio. Adaptacin de edificios para otros usos. Emplazamiento de recuperacin en el mismo sitio. Mover las instalaciones dentro de la misma ubicacin. Trabajo desde casa.
Oficinas amuebladas. Subcontratacin de procesos.
Oficinas gestionadas (si disponibles)
Das
cap
Horas
Varias ubicaciones con personal reasignado de otras funciones.
Reubicar SLO un equipo reducido a un emplazamiento de recuperacin contratado.* Iniciar una conmutacin de TI a un emplazamiento de recuperacin contratado.
Ninguna
Inmediato
Disponer de diversas ubicaciones para cada actividad.
Ninguna
* Es posible que se pueda acceder en pocas horas, pero cuestiones de logstica y comodidad vuelven poco probable que las operaciones puedan reiniciarse de forma fiable al menos en uno o dos das.
60
Equipos de fabricacin Existen pocas opciones para aprovisionarse de equipos de fabricacin por parte de un tercero para que los enve despus de una avera o prdida, debido a que eso suele tomar mucho tiempo. Algunas posibles soluciones: Algunas firmas dedicadas a la restauracin de activos pueden ser capaces de recuperar los equipos despus de un incendio o inundacin. Firmar contratos de mantenimiento en el sitio con empresas que se encuentren en las inmediaciones (para minimizar los retrasos). Recurrir a empresas de subcontratacin locales o a competidores con equipos similares. Informacin Referencia: BS 2999-1 Seccin 7.6 Slo por el hecho de que se ha producido un incidente no significa que dejan de tener efecto los estndares legales, estatutarios o de negocio para la gestin de la informacin. Algunas de las cuestiones clave que hay tomar en cuenta son: Confidencialidad Se deben tomar las medidas para asegurar que se mantiene el nivel necesario de confidencialidad para los datos en circunstancias como: dao en una ubicacin - por ejemplo, una explosin puede ocasionar que se esparzan documentos en la calle un hacker logra penetrar la red y publicar informacin en Internet utilizacin de personal temporal compartir un emplazamiento temporal con otras organizaciones Integridad A menos que los respaldos informticos se realicen al mismo tiempo a lo largo de varios sistemas conectados, a la hora de restaurarlos los datos pueden no estar completos. Por ejemplo, un nuevo pedido puede figurar en la base de datos de pedidos pero el cliente en cuestin puede no estar presente en la base de datos de clientes si la informacin se respald antes. Se debe contemplar un tiempo dentro del Objetivo de Tiempo de Recuperacin para resolver los problemas de datos en caso de que obstaculicen la recuperacin. La destruccin parcial de los registros en papel puede daar la recuperacin cuando no se sabe bien qu documentos faltan Disponibilidad Se necesitar que la informacin para reconstruir equipos o recuperar procesos est disponible en el momento precisado para lograr los plazos de reinicio de actividad Es posible que existan obligaciones en los estatutos que establezcan plazos especficos para acceder a documentos o datos cuando stos son solicitados por las autoridades o el pblico en general Rapidez La estrategia adecuada de respaldo de datos se determina por: La cantidad de datos que los usuarios pueden asimilar sin perjudicar irremediablemente su capacidad para reiniciar sus procesos El impacto de la prdida de datos para aquellos usuarios que estn fuera de la organizacin, como clientes o autoridades La velocidad a la que los datos pueden estar disponibles para ser utilizados despus de reiniciar operaciones. Los programas de respaldo de datos suelen estar diseados para minimizar el tiempo de respaldo, pero durante la recuperacin de la actividad es importante la velocidad con la que se recuperan. Por ejemplo, el respaldo diario de los cambios minimiza el tiempo para llevarlo a cabo; lleva ms tiempo respaldar los cambios desde el ltimo respaldo completo, pero con esta modalidad la informacin se restaura de forma ms rpida. Existen muchos mtodos para copiar los datos entre sistemas informticos. Estos son: Mirroring - en teora no hay prdida de datos Shadowing - prdida mnima de datos Logging - prdida de datos medida en minutos
cap
62
123456
Generalmente el ratio se sita entre 40 y 25 a 1. Es decir, cada mesa de trabajo se vende hasta 40 veces como mximo, pero es importante entender que existen otros clientes que podran utilizar esa mesa. Algunos proveedores ofrecen detalles de sus clientes por cdigos postales. Los parmetros aceptables para una organizacin deberan estar claramente definidos en el marco de la Estrategia de GCN para la Recuperacin de Recursos y no deberan estar sujetos a negociaciones de contrato individuales. Actualmente existen dos premisas segn las cuales un proveedor de emplazamientos para la recuperacin puede asignar los recursos disponibles a sus suscriptores cuando estos los demanden: El primero que llegue: El primer suscriptor que demande el servicio obtiene la totalidad de los recursos que han contratado. El espacio que quede seguir disponible para los dems suscriptores. Reparto equitativo: Los recursos disponibles se asignan de forma proporcional a lo suscrito. Zonas de exclusin (Emplazamientos para la recuperacin a cuenta de terceros) La zona de exclusin es la distancia en la que el proveedor de recuperacin no revender a otro posible cliente los recursos a los que su organizacin se ha suscrito. La organizacin debe definir claramente en la Estrategia corporativa de GCN lo que considera como zonas de exclusin. Por ejemplo, en el centro de Londres una zona de exclusin de 800 metros (correspondiente a un coche bomba) es un estndar mnimo aceptable para esta amenaza especfica, pero puede no ser adecuada para otro tipo de incidentes. 5. Proceso El proceso engloba los pasos siguientes: Identificar las posibles tcticas para cada actividad que pueden cumplir con el OTR. Seleccionar las ms adecuadas basadas en costes, garantas ventajas adicionales y dems factores. Crear un proyecto de puesta en marcha para la medida elegida. Poner en marcha un proceso constante que garantice la revisin de las tcticas de GCN para las actividades. Se pueden elegir las tcticas adecuadas de la lista siguiente. Personal, fuerza laboral, habilidades y conocimientos Referencia: BS 2999-1 Seccin 7.3 Las tcnicas para proteger los conocimientos y habilidades de la organizacin pueden proteger contra la prdida o ausencia de personal clave Mapa de procesos y documentacin - para permitir al personal hacerse cargo de funciones que desconocen Formacin multidisciplinar de cada persona Intercambio de formacin entre varios profesionales Planificacin para la sucesin Se puede disponer de habilidades suplementarias mediante el recurso permanente u ocasional de soporte a cargo de terceros. La dependencia de este soporte debera estar respaldada por un contrato. La organizacin debe estar protegida por un programa de gestin de conocimientos, que debera recurrir a almacenamiento fuera de las instalaciones para salvaguardar los datos. Una organizacin podra llevar a cabo un inventario de las habilidades de su personal que no estn empleando en sus funciones actuales. Podra incluir: Formacin en primeros auxilios Experiencia en otras funciones en otro empleo Rescate Capacidad de liderazgo o gestin durante un incidente anterior Habilidades de formacin o actuacin para ayudar al equipo de Continuidad de Negocio La separacin geogrfica de aquellas personas o grupos con habilidades clave puede reducir la posibilidad de perder a todos aquellos capaces de asumir una funcin especfica Instalaciones Referencia: BS 2999-1 Seccin 7.4 El OTR es el principal indicador de las tcticas de continuidad del lugar de trabajo adecuadas. Un OTR de varios meses puede permitir a la organizacin esperar a tomar decisiones hasta despus del incidente.
cap
58
123456
Un OTR de ms de un da o dos puede permitir tiempo para la reubicacin del personal a otro emplazamiento Un OTR de menos de un da obligar a asumir tcticas que permitan que el personal en otra ubicacin se haga cargo de la actividad - lo que significa que la otra ubicacin tendr disponibilidad inmediata de los recursos necesarios para esa actividad, adems de informacin actualizada Una vez que se ha definido el OTR, el coste y la disponibilidad determinarn la eleccin de las tcticas. La dispersin geogrfica de la organizacin puede influir en la eleccin de instalaciones alternativas. Si se eligen otras instalaciones de la empresa, es posible que el personal no est dispuesto a recorrer una larga distancia. Unas instalaciones con un gran nmero de personal pueden requerir ms de una ubicacin alternativa para disponer de la capacidad necesaria. La estrategia de reubicacin de la organizacin podra estar influida por la disponibilidad de alternativas cercanas, tanto propias de la empresa como de terceros. Aquellas organizaciones que ofrecen servicios a una localidad en particular, como administraciones pblicas o negocios orientados a un mercado local, pueden ver limitada su eleccin de ubicaciones alternativas por su necesidad de mantenerse cerca de sus clientes. Posibles tcticas relativas a instalaciones: No hacer nada Una estrategia de "no hacer nada" puede ser aceptable para las actividades menos urgentes identificadas por el AIN. Aquellas actividades con un OTR mayor a varios meses permitirn a la organizacin disponer de una planificacin y preparacin mnimas y tener tiempo para encontrar edificios e instalar los servicios necesarios despus del incidente. Esta opcin puede volverse ms rpida o fiable si se mantiene un registro actualizado de los edificios adecuados disponibles. Tcticas que involucran la reubicacin del personal a otros emplazamientos Moverse dentro consiste en utilizar lugares existentes dentro de la empresa, como unas instalaciones hasta entonces dedicadas a la formacin o un comedor, para ofrecer un espacio para la recuperacin o el aumento del personal trabajando. Esto necesitar una planificacin cuidadosa y algunas adecuaciones tcnicas. Desplazamiento significa desplazar aqul personal que realiza los procesos menos urgentes y aqul que lleva a cabo una actividad de mayor prioridad. Se debe tener cuidado de que las rdenes retrasadas del trabajo suspendido menos urgente no se vuelvan imposibles de gestionar. Trabajo remoto incluye el concepto de trabajar desde casa y trabajar desde otras ubicaciones no corporativas como hoteles (no se deben tomar en cuenta los cibercafs). Trabajar desde casa puede ser una solucin muy efectiva, pero se debe tener cuidado de que se respetan las normas sanitarias y de seguridad y de que se dispone de la suficiente capacidad de conexin telefnica. Los acuerdos recprocos pueden funcionar para ciertos servicios pero se debe tener cuidado cuando se establezcan este tipo de acuerdos. Se deben instaurar procedimientos que garanticen comprobaciones peridicas para asegurar que los acuerdos suscritos no han cambiado. Los acuerdos recprocos deben llevar una clusula en el contrato que asegure que se pueden realizar pruebas. Acuerdos con un tercero para una ubicacin alternativa pueden ser una opcin a considerar si garantizan el cumplimiento de los Objetivos de Tiempo de Recuperacin (OTR) de la organizacin. Existen varios servicios comerciales, como instalaciones fijas, mviles, fijas o prefabricadas. El espacio dedicado ofrece una disponibilidad garantizada e inmediata, pero es ms caro que un espacio sindicado. El espacio sindicado suele ser accesible en menos de cuatro horas, pero puede tardar ms de 48 horas para que una gran cantidad de personal sea productivo desde ese emplazamiento (las cuestiones que se derivan de la sindicacin se abordan en la seccin de conceptos) Las instalaciones mviles pueden utilizarse rpidamente pero ofrecen un espacio limitado y pueden exigir conexiones de servicio adems de un importante trabajo de preparacin de cimientos Las unidades prefabricadas toman como mnimo 4 das en construirse (de media son 8) asumiendo que los cimientos ya estaban listos y dependiendo de las condiciones del lugar y meteorolgicas Ubicaciones diversas - desplazar la actividad (no el personal).
cap
123456
59
Tecnologas de apoyo Referencia: BS 2999-1 Seccin 7.5 Centro(s) de Datos El coste de las soluciones y el impacto extenso y rpido que significa la prdida de un centro de datos pueden tener un impacto financiero importante en una organizacin. Estas son algunas de las opciones que pueden ofrecer una solucin adecuada, como la robustez interna, la recuperacin o soporte por parte de terceros. Ser necesaria la duplicacin de tecnologas en varias ubicaciones cuando los plazos de recuperacin son cortos, pero aumentar los gastos segn el grado de duplicacin requerido. La Recuperacin de Tecnologa ofrece un reemplazo a travs de contratos con terceros. La decisin entre duplicar actividades, alquilar equipos por adelantado o comprar despus del incidente debe tomar en cuenta el tiempo previsto para la adquisicin de los elementos en caso de que suceda un trastorno generalizado y de larga duracin que obligue a otras organizaciones menos preparadas a adquirir los mismos equipos. Las promesas de palabra por parte de un proveedor acerca de que mantendr un stock de contingencia deberan considerarse como no contractuales. Suelen existir conflictos de presupuesto entre: el deseo de aumentar la robustez o resistencia de las mquinas (para reducir la prdida de tiempo ocasionada por el fallo de esa mquina) la necesidad de una diversidad geogrfica (que minimiza la prdida de tiempo ocasionada por el fallo de la mquina o del edificio en el que se encuentra). Contratos de envo Estos pueden incluir generadores, equipos de TI como PC, servidores e impresoras y equipos especializados como sistemas telefnicos. Puede tratarse de una estrategia adecuada si se debe equipar un edificio que no est preparado para ofrecer un entorno de trabajo adecuado. La mayora de estos contratos permiten que el lugar de entrega sea definido en su momento, lo que permite dar una respuesta ms flexible a un incidente especfico en comparacin con una estrategia de recuperacin para un emplazamiento fijo. Los trminos de los contratos van desde un compromiso leve de cumplimiento hasta una entrega garantizada. Sistemas telefnicos Un desvo no planificado de los sistemas telefnicos a las ubicaciones alternativas puede demorarse un tiempo inaceptable, sobre todo en caso de incidentes de amplia magnitud. La mayora de las empresas telefnicas ofrecern, a cambio de un pago, un abanico de soluciones flexibles planificadas que permitirn el desvo instantneo o rpido de las llamadas desde un emplazamiento a uno o varios distintos. Se tiene que tomar en cuenta el problema de logstica que acarrea la gestin de llamadas de telfono durante una interrupcin una vez que han sido desviadas. Algunas soluciones: Aviso por radio o televisin al personal y otras partes interesadas Nmeros no vinculados a un rea geogrfica Desvo de llamadas Plan para el reinicio de la actividad Servicios de gestin de redes Centralita mvil Robustez de las instalaciones Robustez de la red La convergencia entre los sistemas de telfono y las redes de datos VOIP (Voz por IP) genera nuevas oportunidades y problemas de continuidad debido a que muchas veces se suelen utilizar el telfono y correo electrnico de forma alternativa en caso de que uno de los dos falle. Estas cuestiones deben ser evaluadas, as como se debe llevar a cabo un anlisis de los riesgos e impactos. Recurrir a empresas de subcontratacin locales o a competidores con equipos similares.
cap
123456
61
Cada uno tiene sus caractersticas de posibles prdidas de datos, distancia operativa y fiabilidad que debern ser comparadas con los requisitos del usuario. Almacenamiento remoto de registros duplicados (en papel y electrnicos) Las soluciones para almacenamiento de registros en papel incluyen almacenes externos para documentos y copias escaneadas. El almacenamiento de registros electrnicos puede gestionarse internamente pero tambin se puede contratar a terceros. Los registros pueden ser enviados fuera de las instalaciones por la recogida fsica de equipos de almacenamiento o por transmisin electrnica. El lugar para el almacenamiento debe estar lo suficientemente lejos para que las instalaciones no puedan verse afectadas por el mismo incidente, pero no tan lejos como para que tome tanto tiempo acceder a ellos que los OTR puedan verse afectados. Algunos documentos pueden estar en proceso de elaboracin y ser necesarios en un plazo muy corto mientras otros pueden ser archivos que se conservan por cuestiones legales para los cuales puede ser conveniente un almacenamiento lejano, de menor coste. Se puede utilizar mobiliario a prueba de incendios pero eso no ofrece una proteccin aceptable para documentos nicos. Incluso si sobrevivieran a un incendio, es posible que no se pueda acceder al mobiliario. Es posible que para ciertos documentos slo tengan validez legal los originales. Equipos y aprovisionamiento Referencia: BS 2999-1 Seccin 7.7 La organizacin necesita determinar qu equipos y aprovisionamientos se necesitan y cun rpido debern estar disponibles tras un percance para cumplir con el OTR de la actividad. Algunas tcnicas para reemplazo de equipos: Almacenar suministros adicionales en otra ubicacin si los suministros se degradan con el tiempo (como el papel) deberan rotarse con el inventario normal cambios en el proceso pueden implicar una modificacin de los suministros almacenados (por ejemplo, la papelera de la empresa si han cambiado la direccin o los detalles de contacto) Acuerdos con terceros para entrega de stock en un plazo rpido Desvo de entregas "justo a tiempo" a otras ubicaciones Guardar materiales en almacenes o centros de distribucin Transferencia de las operaciones de ensamblaje a una ubicacin alternativa, tanto de la organizacin como de una empresa subcontratada Conservacin en una ubicacin externa de equipos ms antiguos para reemplazos de emergencia o para utilizar sus componentes Estrategias especficas de disminucin de riesgos para equipos considerados nicos o con tiempos de entrega muy largos. Es posible que los equipos obsoletos tengan que ser reemplazados o su substitucin podra poner en riesgo los tiempos de recuperacin Diversidad geogrfica de aquellos procesos en los que el OTR no se podr cumplir por reemplazo si todos los equipos se pierden durante un incidente Posibles tcnicas para reducir el impacto de interrupciones en el suministro Materiales duales o provenientes de diversas fuentes Inspeccin de los planes de Continuidad de Negocio del proveedor y los registros de pruebas, adems de requerir una certificacin contra BS 25999 Conservacin de inventarios en una ubicacin externa, que puede ser la del proveedor Clusulas con penalidades importantes para los contratos de suministros (pero eso no protege de una quiebra) Identificacin y aceptacin previa de proveedores alternativos Accionistas, socios y proveedores Referencia: BS 2999-1 Seccin 7.8 Puede que un incidente afecte a muchas personas y grupos. Por ejemplo en el caso de un incendio en las instalaciones es posible que algunos proveedores resulten heridos, que los residentes locales sean evacuados de sus casas y que los comercios locales tengan que cerrar por razones de seguridad o por una disminucin en sus negocios. La organizacin debe comprender el grado de responsabilidad (tanto legal como moral) que tiene con respecto a estos grupos.
cap
123456
63
La organizacin debe asegurarse de que se cubren las necesidades de estos afectados, ya que podran afectar la recuperacin del negocio. Por ejemplo, los residentes de la comunidad podran presionar a las autoridades locales para que nieguen la autorizacin para reconstruir las instalaciones despus de un incendio. Emergencias de carcter civil Referencia: BS 2999-1 Seccin 7.9 La organizacin debe conocer los procedimientos de los servicios de emergencia. Contactar a estos grupos con antelacin puede ofrecer informacin til para asistencia en el caso de incidente como: Recomendaciones para puntos preferibles de reunin y rutas de evacuacin Informacin de riesgos especficos en las inmediaciones Conocer la posicin de los posibles bloqueos de trfico (en poblaciones grandes suelen estar predeterminados debido a los patrones de la red de carreteras) Acuerdos especiales de acceso Participacin en simulacros Los organismos de respuesta a emergencias civiles deberan llevar a cabo su propio programa de Continuidad de Negocio para garantizar que el acceso a sus instalaciones no afectar los servicios de respuesta que ofrecen a la comunidad. En Reino Unido esta planificacin es obligatoria y las autoridades locales deben ofrecer asesoramiento en Continuidad de Negocio a las organizaciones que se encuentren bajo su tutela. Medidas para reducir amenazas especficas El responsable de GCN debe conocer varias tcnicas de reduccin de amenazas que pueden proteger a las actividades de negocio de ciertos tipos de trastornos. Se puede recurrir a la Evaluacin de Riesgos para determinar qu medidas deben adoptarse. Entre ellas figuran: Seguridad fsica - Se puede pedir recomendaciones a las diversas asociaciones profesionales dedicadas a la seguridad, tanto nacionales como internacionales. Muchas de ellas publican manuales y consejos de buenas prcticas. Seguridad de la informacin - Se puede pedir recomendaciones a los diversos organismos nacionales e internacionales dedicados a la seguridad de la informacin. Las normas ISO 17799 e ISO 27001 tambin ofrecen valiosas directrices que conviene adoptar. Sistemas de supervisin - Pueden ofrecer advertencias inmediatas de fallos de electricidad, problemas en los equipos y amenazas destructivas El Suministro de Alimentacin Ininterrumpido y generadores de respaldo pueden proteger a edificios y equipos especficos de fallos en la electricidad. Deben recibir mantenimiento y ser probados de forma regular para garantizar que funcionarn cuando se necesiten. Tambin existen contratos especializados de recuperacin que ofrecen generadores porttiles como servicio contratado o bajo pedido (dependiendo de la disponibilidad). Los sistemas contra incendios suelen estar recomendados para edificios con materiales combustibles o muy pesados, o equipos caros. Si bien los sistemas de agua apagan los incendios, tambin pueden causar grandes daos a papeles y equipos electrnicos cuando se activan de forma correcta por un incendio o de forma incorrecta cuando detectan una explosin o terremoto. Medidas para atenuar los impactos Los seguros, si estn bien contratados, ofrecen una compensacin financiera para la prdida de activos, incrementos de los costes de operacin y proteccin contra responsabilidades legales, No obstante es posible que no protejan de todos los gastos ocasionados por un incidente, como la prdida de clientes, el impacto sobre el precio de las acciones o desgaste en la reputacin e imagen de marca. El equipo de GCN debera colaborar de forma estrecha con el encargado de seguros para lograr una cobertura que est dentro de los parmetros de GCN. Una pliza contra todo riesgo compensar el valor calculado de los activos fsicos y registros electrnicos daados o perdidos. Un seguro contra interrupcin del negocio puede pagar el coste incrementado de funcionamiento durante el reinicio de actividades o la "prdida de beneficios" durante el perodo de interrupcin. Existen seguros que ofrecen una suma de dinero tras la prdida de ciertos responsables especficos del negocio debido a una muerte, accidente o renuncia a su cargo.
cap
64
123456
Un seguro puede tambin ofrecer proteccin contra responsabilidades, incluidas aquellas con empleados, propiedades de terceros y personas. Los servicios de recuperacin de activos son ofrecidos por varias empresas especializadas que generalmente pueden minimizar los daos en papeles, equipos y edificios despus de un incendio o inundacin. Estas empresas pueden ofrecer asesoramiento y un servicio de registro por adelantado, adems de estar disponibles tras el incidente si se les solicita. 6. Mtodos y tcnicas Las herramientas disponibles para elegir las tcticas adecuadas incluyen: Los resultados del Anlisis del Impacto en el Negocio y la Evaluacin de Riesgos El anlisis Coste-Beneficio El mapa de servicios y procesos. 7. Resultados Los resultados de las Opciones para la Continuidad de la Actividad incluyen: Una seleccin debidamente documentada de las opciones de continuidad para cada actividad, acordada y ratificada por la direccin ejecutiva de la organizacin. Un plan para la puesta en marcha de la estrategia acordada. 8. Revisin Al menos cada 12 meses se debera realizar una revisin que garantice que se han elegido las opciones de continuidad adecuadas para cada actividad. No obstante, ciertos acontecimientos pueden causar una reevaluacin de la estrategia de GCN: Una revisin del Anlisis del Impacto en el Negocio que detecte cambios en los procesos o prioridades del negocio. Un cambio importante en: tecnologas clave, telecomunicaciones, asignacin, personal, proveedores de servicio adquisicin o fusin, nuevos productos o servicios obligaciones legales.
cap
123456
65
CONSOLIDACIN DE RECURSOS 1. Introduccin Tras determinar las tcticas adecuadas para el reinicio de cada actividad de negocio, se exigir al equipo de GCN que consolide sus necesidades de recursos, determine cmo aprovisionarlos y los incluya en el plan. 2. Pasos previos Las necesidades de recursos para cada actividad se obtendrn de los Objetivos de Tiempo de Recuperacin y las cantidades determinadas por el Anlisis de Requisitos de Continuidad. 3. Propsito El propsito de esta medida es coordinar y ofrecer un nivel predeterminado de recursos dentro de un Plan de Continuidad de Negocio (PCN) para permitir la puesta en marcha de las opciones de continuidad elegidas para cada actividad. Esta consolidacin es necesaria por dos razones prcticas: Si se tienen que comprar los recursos es probable conseguir un mejor precio con un slo pedido que con varios pequeos Coordinar la adquisicin de recursos puede prevenir conflictos - como en el caso de que ms de una actividad dentro de un edificio espere utilizar el mismo espacio de trabajo alternativo en otro emplazamiento. 4. Conceptos y suposiciones Disponibilidad de soluciones Es posible que los servicios de recuperacin contratados que necesiten los procesos de negocio no se encuentren en las inmediaciones. Algunas organizaciones han decidido crear sus propias instalaciones para recuperacin, y luego ofrecen compartirlas (comercialmente) con otras empresas que se enfrentan al mismo problema. 5. Proceso Este proceso incluye las siguientes etapas: Obtener los Requisitos de Recuperacin de Recursos Agregados de la seccin relativa a Opciones de Continuidad Calcular los costes y beneficios de la obtencin de los recursos necesarios para cada opcin que puedan satisfacer los Objetivos de Tiempo de Recuperacin Ofrecer a la direccin ejecutiva una evaluacin estratgica de las opciones Asegurarse de que las opciones acordadas, con sus correspondientes previsiones financieras y de recursos, estn ratificadas por la direccin ejecutiva Crear un proyecto de puesta en marcha y planes de accin Aplicar la estrategia acordada para llevar a cabo el proyecto y los planes de accin (incluido el desarrollo de un Plan de Continuidad de Negocio) Poner en marcha un proceso constante que garantice la revisin de la planificacin del Nivel de Recursos para la GCN 6. Mtodos y tcnicas Las herramientas utilizadas para seleccionar las soluciones apropiadas de las enumeradas previamente para crear una Estrategia de Recuperacin de Recursos incluyen: Resultados del Anlisis del Impacto en el Negocio y el Anlisis de Recuperacin de Recursos ajustados por la Estrategia de Recuperacin a nivel de Procesos Herramientas de evaluacin para servicios de compra que incluyan un anlisis del valor obtenido por el dinero y de los trminos contractuales Anlisis de Coste Beneficio 7. Resultados Los resultados de una Estrategia de Recuperacin de Recursos para la Gestin de Continuidad de Negocio incluyen: Un conjunto de recursos y servicios de recuperacin que pueden desplegarse bajo el auspicio del Plan de Continuidad de Negocio (PCN) y que permite la restauracin de un nivel de funcionamiento aceptable para las actividades de negocio: Dentro de su Tiempo de Recuperacin (OTR) Con informacin recuperada de sus Objetivos de Punto de Recuperacin (OPR).
cap
66
123456
8. Revisin Cada 12 meses debera llevarse a cabo una revisin de la Estrategia de Recuperacin de Recursos para la GCN. No obstante, ciertos acontecimientos pueden causar una reevaluacin de la estrategia de GCN: Cambios en los requisitos para la recuperacin de una actividad Un cambio importante en la asignacin, personal o tecnologa disponible que pueda ofrecer nuevas estrategias de recuperacin Un cambio en la disponibilidad de los servicios de recuperacin en las inmediaciones de la organizacin. Puede tratarse de un cierre, fusin o apertura de una instalacin.
cap
123456
67
INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organizacin con una GCN madura 1. La organizacin dispone de estrategias formales para atenuar todos los riesgos de continuidad para el negocio en todas las reas de sus operaciones 2. Las estrategias atenan los efectos y garantizan que la organizacin puede tolerar y recuperarse de forma aceptable de: A. Todos los escenarios relativos a continuidad identificados en la Evaluacin de Riesgos B. Imposibilidad de acceder a o prdida de cualquier lugar de trabajo C. Cualquier fallo tecnolgico D. Cualquier fallo en los proveedores o el aprovisionamiento de energa E. Cualquier fallo en la subcontratacin o en las dems unidades de negocio F. Cualquier emergencia de carcter civil que pueda surgir 3. Despus de sufrir un trastorno, las estrategias garantizan de forma especfica la continua integridad y la restauracin progresiva de: A. Toda la informacin electrnica que se vea afectada B. Toda la informacin fsica (por ejemplo, en papel) que se vea afectada C. Toda la informacin en curso de elaboracin que se vea afectada D. Todos los procesos de negocio que se vean afectados E. Todas las capacidades logsticas que se vean afectadas F. Todas las operaciones subcontratadas que se vean afectadas 4. Las estrategias contemplan la preservacin las habilidades y conocimientos centrales despus de un trastorno en el negocio 5. Las estrategias contemplan la progresiva restauracin a niveles aceptables de equipos, aprovisionamientos y todos los dems recursos necesarios despus de un trastorno en el negocio 6. Las estrategias se evalan de forma sistemtica en trminos de Retorno sobre Inversin (ROI) o cualquier otra medicin financiera adecuada 7. Las estrategias tienen una probabilidad baja probada de verse simultneamente afectadas por otros trastornos en el negocio 8. Las estrategias toman en cuenta y gestionan las ayudas ofrecidas por u otorgadas a otras organizaciones 9. Las estrategias toman en cuenta y gestionan el apoyo voluntario recibido u otorgado por la organizacin 10. Lo siguiente aplica para las estrategias de Continuidad de Negocio de la organizacin: A. Quedan documentados todos los razonamientos utilizados para definir la estrategia y su desarrollo B. Estn completamente actualizadas y en su conjunto reflejan las necesidades presentes de la organizacin 11. La alta direccin siempre ratifica las estrategias 12. Todas las estrategias de la organizacin toman en cuenta de forma totalmente objetiva A. Los resultados del Anlisis del Impacto sobre el Negocio B. Los resultados de la Evaluacin de Riesgos C. La experiencia obtenida por la organizacin y organizaciones similares D. Anlisis de coste y beneficio.
cap
68
123456
DESARROLLAR Y PONER EN PRCTICA LA RESPUESTA DE GCN
captulo 1 2 3 4 5 6 Desarrollar y poner en prctica la respuesta de GCN
69
Acerca del captulo 4 Desarrollar y poner en prctica la respuesta de GCN La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor. Determinar y poner en marcha una respuesta de GCN es un elemento clave para el xito o fracaso de un programa de GCN. Engloba el desarrollo de planes de accin detallados para garantizar la continuidad de las actividades y una gestin efectiva de incidentes. COMPONENTES DE LA ETAPA 4 DESARROLLAR Y PONER EN PRCTICA LA RESPUESTA DE GCN 1. ESTRUCTURA DE LAS RESPUESTAA INCIDENTES 2. PLAN DE GESTIN DE INCIDENTES 3. PLAN DE CONTINUIDAD DE NEGOCIO 4. PLANES DE RESPUESTA POR ACTIVIDAD
70
cap
123456
DESARROLLAR Y PONER EN PRCTICA LA RESPUESTA DE GCN Referencia: BS 2999-1 Seccin 8 Principios generales El objetivo de los diversos planes abordados en esta etapa es identificar tanto como sea posible las acciones y recursos necesarios para permitir que la organizacin gestione una interrupcin de cualquier naturaleza. Los requisitos clave para una respuesta efectiva son: Un procedimiento claro para la escalada y control de un incidente Comunicacin con proveedores, clientes y dems partes interesadas Planes para reiniciar las actividades interrumpidas Se puede llegar a esto por varios medios, y aqu slo se describe una posible estructura. Pero al margen de la estructura que se adopte, es importante que la estrategia est de acuerdo con la cultura de la organizacin. Como todos los incidentes son diferentes, las acciones descritas en los planes no pretenden cubrir cada una de las eventualidades. Cualquier procedimiento predefinido puede necesitar ser adaptado con flexibilidad e iniciativa por los responsables de poner en marcha el plan al incidente especfico que haya ocurrido y las oportunidades que haya creado.
cap
123456
71
ESTRUCTURA DE LAS RESPUESTAS A INCIDENTES 1. Introduccin Un modelo de respuesta a incidentes, tomado de los servicios de emergencia de Reino Unido, muestra tres tipos de respuesta generalmente clasificados como Oro, Plata y Bronce. Cuando se aplican a la estructura de respuesta de una organizacin, las responsabilidades son las siguientes.
ORO PLATA BRONCE
Estratgico
Alta Direccin (para incidentes) Equipo de Continuidad de negocio Equpos de respuesta a incidentes y reinicio de actividades
Tctico
Operativo
123456
72
Nivel estratgico - Plan de Gestin de Incidentes (PGI) El PGI define cmo la direccin ejecutiva encarara y gestionara las cuestiones estratgicas de una crisis que afecte a la organizacin. Esto puede suceder cuando el incidente no se enmarca totalmente en el Plan de Continuidad de Negocio (PCN). Puede referirse a crisis que no ocasionan interrupciones, como una OPA hostil, o una atencin excesiva de los medios de comunicacin, y aquellas en las que el impacto afecta a un rea mayor de la contemplada en la estrategia de GCN, como sera el caso de una emergencia nacional. La respuesta de los medios de comunicacin a cualquier incidente se suele abordar mediante un PGI, aunque algunas organizaciones prefieren manejar a los medios de comunicacin mediante un PCN. El Plan de gestin de incidentes a veces tambin se llama "Plan de gestin de crisis". El problema es que decir a los medios de comunicacin que la organizacin ha puesto en marcha su "Plan de gestin de crisis" puede hacer creer a la gente que tiene una crisis. La palabra "incidente" tiene connotaciones menos negativas, por lo que es la que se prefiere utilizar en este documento. Nivel tctico: Plan de Continuidad de Negocio (PCN) El PCN se interesa por los trastornos, interrupciones o prdidas en el negocio desde la respuesta inicial que se le da hasta que las operaciones han regresado a la normalidad. Estn basadas en las Estrategias de Continuidad de Negocio acordadas y ofrecen procedimientos y procesos tanto para los equipos de continuidad de negocio como para los de recuperacin de recursos. En particular, los planes asignan funciones, con sus responsabilidades y grado de autoridad. Los planes tambin deben detallar los caminos y principios para trabajar durante la respuesta con varios actores externos, como proveedores de servicios de recuperacin y los servicios de emergencia. Si el incidente se sale del alcance que contemplaba el Plan de Continuidad de Negocio, la situacin debe ser transferida a aquellos responsables de poner en marcha el Plan de Gestin de Incidentes (PGI). Nivel operativo: Planes de Reinicio de Actividades A nivel de las operaciones los planes se ocupan del reinicio de las funciones normales del negocio. Para aquellos departamentos que gestionan infraestructura, como Instalaciones y TI, los planes ofrecern una estructura para restaurar los servicios existentes o disponer de instalaciones alternativas.
cap
Plazos En el caso de un incidente destructivo, los tres tipos de planes encararn diferentes problemas durantes las diferentes fases del percance. Por ejemplo:
Repercusiones inmediatas
Gestin de medios de comunicacin Evaluacin estratgica
Enlace con los servicios de Emergencia Evaluacin de daos
Limitacin de daos y rescate (instalaciones) Gestin de prdidas laborales (RH)
Poner en marcha a los servicios de Continuidad de Negocio Dao controlado Gestin de medios de comunicacin Supervisin del equipo de continuidad de negocio Inicio de la recuperacin Consolidacin Se retira Gestin de recursos alternativos Se retira Revisin Reinicio de actividades crticas urgentes Reinicio de otras actividades y proyectos Movilizacin de recursos alternativos Comunicacin con el personal
Revisin
cap
123456
73
Escalabilidad Si bien los tres niveles ofrecen un modelo adecuado para una organizacin de tamao medio con un nico emplazamiento, una organizacin ms pequea puede disponer de un nico grupo de gestin que se haga cargo de las responsabilidades tanto tcticas como estratgicas. No obstante, sigue siendo importante que este grupo gestione primero los problemas estratgicos a pesar de los problemas acuciantes que plantea la respuesta tctica. Para las organizaciones con mltiples instalaciones existen muchos modelos adecuados, quizs con ms subdivisiones de las mencionadas anteriormente, por ejemplo: Un equipo de respuesta en cada instalacin respaldado por un "comando volante" central de Continuidad de Negocio Un equipo de Continuidad de Negocio en cada emplazamiento importante con un Equipo de Gestin de Incidentes central Disponer de una GCN y un PGI a escala nacional con poca intromisin de la direccin internacional salvo en los casos en los que la se ve amenazada la reputacin global.
PLAN DE GESTIN DE INCIDENTES Referencia: BS 2999-1 Seccin 8.3-5 1. Introduccin Los estudios de casos de incidentes importantes (segn Knight y Pretty, de Oxford Metrica) indican que la gestin rpida y efectiva de una crisis es el factor determinante para proteger la marca de una organizacin de daos financieros y de reputacin. 2. Pasos previos Para las organizaciones que no han previsto planes, el Plan de Gestin de Incidentes (PGI) debera ser lo primero que tienen que desarrollar, ya que permite disponer de una pequea proteccin mientras se desarrollan los dems planes. 3. Propsito El propsito de un PGI es ofrecer un marco de accin que permita a una organizacin gestionar cualquier crisis sin importar la causa (incluyendo aquellas en la que no existe una respuesta de Continuidad de Negocio adecuada, como en el caso de una amenaza a la reputacin). 4. Conceptos y suposiciones Los conceptos utilizados en este Manual para los diversos planes no son de aplicacin universal, en particular el trmino Equipo de Gestin de Incidentes, EGI, puede equivaler a lo que otros llaman un equipo de respuesta o de gestin de crisis. Es importante para una organizacin elegir nombres que se adecuen a su cultura y estructura, pero que contengan las funciones aqu descritas. Algunos incidentes necesitarn una respuesta de PGI que no provenga de un trastorno de las actividades, como por ejemplo aquellos que acarreen amenazas slo para la reputacin y por lo tanto no requieran una respuesta de Continuidad de Negocio. No obstante, cuando se requiera una respuesta de Continuidad de Negocio casi siempre es necesario involucrar al EGI, aunque slo sea para que conozcan la situacin en caso de que luego se agrave. 5. Proceso Los pasos clave para desarrollar un Plan de gestin de incidentes incluyen: Nombramiento de un responsable en la direccin ejecutiva del Plan de Gestin de Incidentes Definicin de los objetivos y alcance del plan Desarrollo y aprobacin del proceso de desarrollo y programa del Plan de gestin de incidentes Si no existe plan, puede ser til realizar un ejercicio con el equipo de alta direccin, pero ejerciendo una presin mnima, para que se vuelvan evidentes las muchas necesidades que tiene el plan, como la misma urgencia de disponer de uno Crear un equipo de planificacin de gestin de incidentes para desarrollar el plan Acordar las responsabilidades del Equipo de Gestin de Incidentes y su relacin con otros planes Decidir la estructura, formato, componentes y contenido del plan Determinar las estrategias, como las ubicaciones alternativas, en las que se basa el plan Recopilar informacin para elaborar el plan Nombrar a personas responsables y sustitutos (en caso de que el equipo de alta direccin sea demasiado grande) Nombrar a personas responsables del apoyo administrativo para el PGI Hacer un borrador del plan Circular el borrador del plan para consultas y revisiones Obtener las reacciones a las consultas Corregir el plan en lo que se considere adecuado Acordar y validar el plan, por ejemplo en un ensayo Repetir el proceso para el Plan de Comunicacin de Incidentes (si va por separado) Acordar un programa constante de ejercicios y mantenimiento para garantizar que est actualizado.
74
cap
123456
6. Mtodos y tcnicas. Elaborar el Plan de Gestin de Incidentes Los mtodos, herramientas y tcnicas que permiten la planificacin y desarrollo de un Plan de Gestin de Incidentes incluyen: Anlisis de proveedores, clientes y dems partes interesadas Planificacin de escenarios Listas de verificacin Talleres Formularios de PGI que se distribuyen para ayudar a la puesta en marcha de los procedimientos estndar (en el caso de una organizacin internacional con varios equipos de gestin de incidentes) Existen muchos programas informticos que ayudan a crear y mantener un Plan de Gestin de Incidentes. Pueden ofrecer beneficios significativos en las reas de mantenimiento de planes e integridad pero no son necesarios y no suplantan la necesidad de conocer el negocio. Contenidos del PGI Como, por su propia naturaleza, todas las crisis son diferentes, el Plan de Gestin de Incidentes es un conjunto de componentes y recursos que pueden ser tiles para el equipo responsable de activarlo. El contenido tambin variar segn la naturaleza y complejidad de la organizacin. El Plan de Gestin de Incidentes debe estar diseado por mdulos para que las diferentes secciones puedan comunicarse a los equipos segn la informacin que necesiten saber. Cada seccin puede imprimirse en un papel de diferente color para que sea fcil de utilizar en el momento de una crisis. Responsable del documento y su mantenimiento El plan tiene que nombrar a un responsable y los procedimientos para el mantenimiento. Funciones y responsabilidades Debe figurar las funciones del equipo y personas especficas. Se debe identificar a un sustituto para cada funcin. Las responsabilidades del equipo pueden ser: Gestionar las comunicaciones (ver ms adelante) Asegurar que el PGI y el Equipo de Continuidad de Negocio tienen el personal adecuado y realizar nombramientos en caso de que sea necesario Establecer enlaces con el Equipo de Continuidad de Negocio para acordar un calendario de reinicio de actividades Aprobar una partida importante de gastos Supervisar el progreso conjunto de recuperacin y el desempeo del personal Identificar y maximizar las oportunidades o ventajas que surjan del incidente Identificar el impacto estratgico del incidente en la organizacin, algo que puede exigir cambios importantes en la direccin o abrir nuevas oportunidades Mantener un registro de las decisiones tomadas a lo largo del incidente. Activacin / Instrucciones de movilizacin Se debe especificar por escrito las circunstancias en las que el equipo debe activarse y determinar qu personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los incidentes, debera otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas, debido a que es ms fcil desactivar un equipo que iniciarlo cuando el incidente est descontrolado. Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones en el menor tiempo posible. El equipo tiene que haber acordado previamente varios posibles lugares de reunin, dando prioridad a aquellos que contienen los recursos necesarios (ver ms adelante). Nada ms activado, el primer responsable informado deber identificar el lugar ms adecuado para las reuniones y un lugar alternativo. Planes de accin El plan debe contener elementos iniciales para pasar a la accin como una lista de proveedores, clientes, accionistas y dems partes interesadas. Es posible que el Anlisis del Impacto en el Negocio contenga indicadores tiles acerca de posibles impactos que necesitarn gestionarse.
cap
123456
75
Sala de reuniones Se debe determinar con antelacin al menos dos ubicaciones que sirvan de centro de gestin de incidentes (centro de control). Es probable que una sea dentro de las instalaciones, donde est la alta direccin, pero la otra debe encontrarse fuera de las instalaciones. La ubicacin externa no tiene que ser propiedad de la organizacin. Un hotel abierto las 24 horas con un director colaborativo debera ser suficiente para disponer de todas las instalaciones que necesitan la mayora de las organizaciones. Se debe pensar en cmo se utiliza mejor el espacio para las necesidades de: comunicacin - de entrada y de salida registro de eventos, acciones y problemas supervisin de los medios de comunicacin acceso restringido Recursos Se deberan tener en cuenta los siguientes recursos: Pizarra / tablero (y rotuladores que funcionen) Varios telfonos, entre ellos al menos uno con una lnea exterior directa y capacidad de grabacin Lnea de ayuda para emergencias Aparatos mviles de comunicacin, telfonos mviles, fax, correo electrnico e Internet Equipo para controlar la TV y radio Estudio de TV y radio para ensayar entrevistas Lnea de ISDN y cmara para transmitir entrevistas directamente a una radiodifusora y videoconferencias Papelera Medios para registrar todas las acciones Comida y bebida e instalaciones cercanas para dormir Un emplazamiento separado y cercano para recibir a la prensa Los equipos y la informacin pueden mantenerse fuera de las instalaciones de la ubicacin alternativa en un camin (tambin llamado "caja de batalla"). Actividades de las personas Las organizaciones son responsables del bienestar de sus empleados, proveedores, visitantes y clientes. Durante un incidente y su fase de recuperacin, todas las estrategias de GCN deberan tomar en cuenta las cuestiones de necesidades bsicas. Es ms probable que el personar colabore de forma voluntaria con las exigencias del momento si sus necesidades bsicas estn cubiertas. Algunas de las cuestiones que debe contemplar el plan: Necesidades especiales de las personas durante evacuaciones o perodos de permanencia en las instalaciones, como: embarazos discapacidad responsabilidades familiares Durante un incidente una o varias personas deben responsabilizarse de: Evacuar las instalaciones Contabilizar el personal, proveedores y visitantes Comunicar con el personal y otras personas dentro de las instalaciones Dirigirse al contacto para casos de emergencia o familiar - la legislacin local puede obligar a hacer esto slo si los servicios de emergencia lo aprueban previamente Servicios de traduccin Asistencia para transporte Poner en marcha una lnea telefnica de ayuda para el personal Podran derivarse otras necesidades como: Alojamiento temporal Servicios de terapia y rehabilitacin - podran ser ofrecidos a travs de una prestacin mdica para los empleados
76
cap
123456
Necesidades bsicas en las ubicaciones alternativas: Necesidades especiales Comida y bebida Seguridad personal Transporte y accesibilidad Formacin adecuada en los equipos de reemplazo Enlace con los servicios de emergencia Se debe nombrar a empleados con un nivel adecuado de experiencia y autoridad para servir de enlace con los servicios de emergencia cuando lleguen a las instalaciones y segn lo vayan requiriendo. Los servicios de emergencia deberan recibir informacin en las instalaciones acerca de cualquier herido y el estado de la situacin, adems de cualquier peligro conocido al que tuvieran que enfrentarse. Mientras se encuentren en las instalaciones, las instrucciones de los servicios de emergencia tienen mayor autoridad que las dadas por el personal de la organizacin. Cuando se vayan de las instalaciones, la organizacin volver a ser responsable de la seguridad en el sitio. Plan de Comunicacin de Incidentes El Plan de Comunicacin de Incidentes debe determinar la forma en la que la organizacin gestionar la comunicacin con todas las partes involucradas como: Personal, familiares, amigos y contactos en caso de emergencia Clientes y proveedores Accionistas y dueos Enlace con otros integrantes del grupo corporativo o sede central (si se pertenece a una organizacin ms amplia) Contactar e informar a las autoridades (despus de consultar las formas establecidas por la organizacin para el cumplimiento de sus obligaciones legales) Asuntos relacionados con heridos graves o fallecimientos (tras consultar con los servicios de emergencia y cumpliendo las costumbres y leyes locales) Medios de comunicacin - prensa local y nacional, radio, TV, Internet y otros medios Pensar por adelantado: Qu crisis podran afectarnos? (Puede ser adecuado realizar una Evaluacin de Riesgos) Cules son las audiencias? Cmo nos comunicamos con ellas? Cules son los mensajes? Quin conformar el equipo de incidentes? Cules son los recursos e instalaciones? Han recibido formacin el equipo de incidentes y los portavoces? Funciona? Qu Manual de Incidentes necesitamos? Hemos desarrollado lneas de comunicacin con nuestras audiencias? Cuando se hace pblica una crisis o una interrupcin en el negocio, una comunicacin efectiva ser clave para salvar y mantener el activo ms valioso de una organizacin: su reputacin. En caso de enfrentar una crisis hay que tener en cuenta: Responsabilidad del plan: aquellos que tengan que tomar decisiones acerca de cmo comunicar tienen que haberse puesto de acuerdo previamente acerca de los qus, cmos y dndes de la comunicacin. Percepcin es realidad: su reputacin se ver afectada no tanto por lo que ha pasado sino por lo que la gente cree que ha pasado - y por su percepcin acerca de cmo lo ha gestionado. Comprender las audiencias clave y lo que necesitan escuchar. Acte rpido: Cada hora de silencio que transcurre multiplica por dos su problema de reputacin. Tiene que comunicar lo antes posible. Sea abierto: comunique a sus diferentes audiencias toda la informacin que pueda dar sin meterse en problemas legales o prcticos. Demostrar que no se tiene nada que esconder ayuda a ahuyentar las sospechas.
cap
123456
77
Demuestre que le importa: valo desde el punto de vista de sus audiencias y ajuste sus mensajes a lo que necesitan escuchar, no slo a lo que usted quiere decir. 7. Resultados Los resultados del proceso de planificacin del Plan de Gestin de Incidentes incluyen: Un Plan de Gestin de Incidentes que apoya las funciones del Equipo de Gestin de Incidentes de la organizacin durante una crisis Un Plan de Comunicacin de Incidentes que puede gestionar los mensajes dirigidos a los medios de comunicacin y partes interesadas durante una crisis Una demostracin a los medios de comunicacin, mercados, clientes, partes interesadas y autoridades de que la organizacin est preparada para gestionar de forma efectiva los incidentes Cumplimiento de las obligaciones estatutarias y legales 8. Revisin La revisin o auditora debe corresponder con las de otras estrategias, planes y soluciones para GCN y gestin de incidentes. La revisin del plan puede estar provocada por un cambio importante en el negocio, la alta direccin o el entorno de operaciones externo.
78
cap
123456
PLAN DE CONTINUIDAD DE NEGOCIO Referencia: BS 2999-1 Seccin 8.3 y 8.6-7 1. Introduccin El Plan de Continuidad de Negocio agrupa la respuesta de toda la organizacin frente a un incidente y facilita la recuperacin de las actividades. Aquellas personas que utilicen el plan deberan ser capaces de analizar la informacin de los equipos de respuesta acerca del impacto del incidente, elegir y desarrollar las estrategias adecuadas de entre todas las disponibles en el plan, dirigir las unidades de negocio para la recuperacin segn las prioridades acordadas y, por ltimo, comunicar los avances al Equipo de Gestin de Incidentes. Los componentes y contenidos de un Plan de Continuidad de Negocio variarn segn la organizacin, y presentarn diferentes grados de detalle basados en la cultura de la organizacin y la complejidad tcnica de las soluciones propuestas. 2. Pasos previos Muy pocas veces se puede redactar un Plan de Continuidad de Negocio efectivo si no se han instaurado los elementos clave de la estrategia de reinicio de actividades o su planificacin est muy avanzada. 3. Propsito El propsito de un Plan de Continuidad de Negocio es ofrecer un marco de accin y procesos documentados para que la organizacin pueda reiniciar todos sus procesos de negocio dentro de sus Objetivos de Tiempos de Recuperacin. Un Plan de Continuidad de Negocio en s mismo no demuestra que se posea capacidades para la GCN; pero el hecho de que exista un plan actualizado en la organizacin sugiere que existe una capacidad efectiva. 4. Conceptos y suposiciones El plan debe estar orientado a la accin y por lo tanto debe ser rpido de consultar y no debe incluir documentacin (por ejemplo un AIN) que no sea necesaria durante un incidente. El Plan de Continuidad de Negocio siempre contendr (y debera documentar) los supuestos de gravedad mxima del incidente (en trminos de amplitud, duracin o impacto sobre el personal). Si stos se sobrepasaran, entonces deber transferirse la responsabilidad al Equipo de Gestin de Incidentes, debido a que es casi inevitable que la solucin emane de una decisin estratgica. 5. Proceso Los pasos clave en el desarrollo de un Plan de Continuidad de Negocio (PCN) son: Nombrar a un responsable del Plan de Continuidad de Negocio (o de cada plan para varias ubicaciones) Definir los objetivos y alcance del plan en referencia a la estrategia de la organizacin y la Poltica de GCN Desarrollar y aprobar un proceso de planificacin y un programa Crear un equipo de planificacin para llevar a cabo el desarrollo del plan Decidir la estructura, formato, componentes y contenido del plan Determinar las estrategias que describir el plan y qu es lo que se abordar en otros planes Determinar las circunstancias que superan el alcance del PCN Recopilar informacin para elaborar el plan Hacer un borrador del plan Circular el borrador del plan para consultas y revisiones Obtener las reacciones a las consultas Corregir el plan en lo que se considere adecuado Acordar un programa constante de pruebas y mantenimiento para garantizar que est actualizado (ver seccin siguiente) Probar el plan mediante un ensayo sobre el papel 6. Mtodos y tcnicas Un Plan de Continuidad de Negocio debe estar diseado por mdulos para que las diferentes secciones puedan comunicarse a los equipos segn la informacin que necesiten saber. Cada seccin puede imprimirse en un papel de diferente color para que sea fcil de utilizar y referenciar. Tambin se recomienda asegurarse de que toda la informacin que cambia de forma regular, como los detalles de contacto, figure bajo la forma de apndices al final del plan de forma que pueda ser corregida ms fcilmente. Por esta razn es preferible que en el texto del documento figuren las funciones y no los nombres especficos de quienes las desempean.
cap
123456
79
Existen muchos programas informticos para desarrollar y mantener un Plan de Continuidad de Negocio, pero no es esencial utilizarlos. Puede ser suficiente recurrir a software ofimtico normal (un procesador de textos y una hoja de clculo), adems de que mucha ms gente puede utilizarlo puesto que no exige una formacin especial. No obstante, un software adaptado a las necesidades especficas puede aportar ventajas significativas en lo que se refiere al mantenimiento e integridad del plan. Cualquiera que sea la solucin adoptada, tiene que haber un proceso de gestin de control y cambios para la produccin, actualizacin y distribucin del Plan de Continuidad de Negocio. El plan debe contener: Responsable de documentacin y mantenimiento La persona o grupo nombrado para asegurar que el plan se mantiene actualizado y efectivo. Funciones y responsabilidades Deben figurar las funciones del equipo y personas especficas. Se debe identificar a los sustitutos para cada funcin. Las responsabilidades del equipo o de las personas especficas pueden ser: Servir de enlace con los servicios de emergencia Recibir o buscar la informacin de los equipos de respuesta Reportar la informacin al Equipo de Gestin de Incidentes Activar a proveedores de servicios de rescate o recuperacin Asignar los recursos disponibles a los equipos de recuperacin Instrucciones para su activacin Se tienen que especificar las circunstancias en las que el equipo debe activarse y determinar qu personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los incidentes, se debera otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas, debido a que es ms fcil desactivar un equipo que iniciarlo cuando el incidente est descontrolado. Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones en el menor tiempo posible. El equipo tiene que haber acordado previamente varios posibles lugares de reunin, dando prioridad a aquellos que contienen los recursos necesarios (ver ms adelante). Nada ms activado, el primer responsable informado deber identificar el lugar ms adecuado para las reuniones y un lugar alternativo. Planes de accin / lista de tareas Procedimientos detallados destinados al equipo para: Responder a la invocacin Cmo se deben tomar las decisiones Movilizar recursos Iniciar la recuperacin de actividad Recibir informacin de otros equipos Informar del estatus al Equipo de Gestin de Incidentes Necesidades de recursos Listas de recursos disponibles: Personal Instalaciones y suministros Tecnologa, comunicaciones y datos Seguridad Transporte y logstica Necesidades bsicas Dinero y pagos de emergencia Informacin de contacto para acceder a estos recursos Necesidades de recursos para recuperacin de cada actividad Informacin vital Informacin de clientes Detalles de contacto Documentos legales (contratos y plizas de seguro) Acuerdos de servicios
80
cap
123456
Formularios y anexos Listas de verificacin para ayudar a la recuperacin 7. Resultados Los resultados del proceso de planificacin de Gestin de Continuidad de Negocio incluyen: Un Plan de Continuidad de Negocio que debera estar ratificado por la direccin ejecutiva Un marco en el que puede operar cada unidad de negocio (ver seccin siguiente) 8. Revisin Alguna informacin contenida en el Plan de Continuidad de Negocio como los detalles de contacto tendr que ser revisada mensual o trimestralmente. Otra informacin deber revisarse de forma anual y comprobada mediante pruebas. Otros posibles desencadenantes para una revisin son: Un cambio importante en la tecnologa y/o telecomunicaciones Un cambio importante en los procesos Un cambio importante en el personal Un cambio en el proveedor de soluciones de GCN.
cap
123456
81
PLANES DE RESPUESTA POR ACTIVIDAD 1. Introduccin Un Plan de Continuidad de Negocio ser rpidamente difcil de manejar si todos los procedimientos de recuperacin figuran en un nico documento. Cuando ste sea el caso (como en las organizaciones medianas o grandes) los planes de respuesta y recuperacin de cada actividad deberan excluirse del PCN y ser incluidos en un documento separado que se pasa a ser responsabilidad de la actividad con la que est relacionado. Los planes de respuesta por actividad (en el nivel operativo) abordan la respuesta al incidente de cada departamento o unidad de negocio. Algunos ejemplos de los planes de respuesta por operacin son: Procedimientos para ayudar a un equipo de respuesta a incidentes generalmente dirigido por un departamento que se ocupa del incidente especfico y su impacto material (si existe) Una respuesta de recursos humanos a problemas de necesidades bsicas durante un incidente Un plan del departamento para reiniciar actividades en un plazo predeterminado Una respuesta logstica del departamento de TI a la prdida y subsiguiente recuperacin de los servicios de TI para el negocio La complejidad y urgencia de los procesos de negocio pueden determinar si los planes operativos slo se ocupan de una actividad o abarcan un departamento que gestiona varias actividades. Segn el grado de complejidad de la organizacin, los planes de respuesta operativos pueden ser respaldados por planes ms detallados para respuestas, ubicaciones o equipos especficos. 2. Pasos previos Debido a los muchos vnculos que existen entre el Plan de Continuidad de Negocio y los de respuesta operativos, el Plan de Continuidad de Negocio debera estar redactado, al menos en su esquema general, antes de que se determinen estos planes por actividad. 3. Propsito El propsito del Plan Operativo de Respuesta es estructurar la respuesta de cada departamento a una interrupcin dentro del Plan de Continuidad de Negocio general. 4. Conceptos y suposiciones El plan debe estar orientado a la accin y por lo tanto debe ser rpido de consultar y no debe incluir documentacin que no sea necesaria durante un incidente. 5. Proceso Los pasos clave para la planificacin y desarrollo del plan de recuperacin para la unidad de negocio son: Nombrar a una persona responsable del desarrollo general de los planes y un representante dentro de cada unidad para desarrollar su propio plan Definir el objetivo y alcance de los planes Desarrollar un proceso de planificacin y un programa con plazos. Cuando sea posible, empezar con los planes para las actividades de negocio ms urgentes Determinar las estrategias generales de GCN en las que se basa el plan Decidir la estructura, formato, componentes y contenido de los planes Desarrollar un esquema general de plan para favorecer que se estandarice la documentacin, pero que tambin se permita ciertas variaciones especficas si fuera adecuado Asegurarse de que las unidades de negocio nombran a personas para cumplir las funciones determinadas en el plan Gestionar y supervisar el desarrollo de planes dentro de las unidades de negocio Circular el borrador para consulta, revisin y crtica, tanto dentro como fuera del departamento si fuera necesario Registrar las reacciones de la consulta Corregir el plan en caso de que sea necesario Validar el plan a travs de un test en la unidad de negocio Consolidar los planes para las unidades de negocio y revisarlos para comprobar su coherencia Documentar las conexiones con el Plan de Continuidad de Negocio y entre los planes para las unidades Llevar a cabo un anlisis de las necesidades de recursos de todos los planes para determinar las necesidades de recursos que apoyarn las funciones
82
cap
123456
6. Mtodos y tcnicas Los mtodos, herramientas y tcnicas para desarrollar un Plan Operativo de Respuesta incluyen: Entrevistas (estructuradas y no estructuradas) Un Anlisis del Impacto en el Negocio y un Anlisis de las Necesidades de Recursos para esta actividad (para afinar los resultados del AIN de mayor nivel) Listas de verificacin y formularios Talleres Los planes de respuesta para operaciones especficas pueden incluir lo siguiente: Instalaciones (Equipo de Respuesta a Incidentes) Planes para la evacuacin y realojo de edificios Respuesta a amenazas de bomba y escenarios parecidos Puntos de evacuacin (incluyen ubicaciones alternativas o externas) Enlace con los servicios de emergencia Dispersin del personal y visitantes Rescate de recursos y asistencia contratada Circunstancias agravantes Recursos humanos Necesidades bsicas Responsabilidades legales en cuestiones de salud y seguridad Procedimiento para contabilizar el personal Procedimiento para contactar al personal Recursos para terapia psicolgica y rehabilitacin Recuperacin de la unidad de negocio Criterios de escalado para poner en marcha la Respuesta de Continuidad de Negocio (el problema se sale de la zona de gestin de la unidad de negocio) Procedimiento de escalado para transferir la responsabilidad al Equipo de Continuidad de Negocio Contacto inicial del Equipo de Continuidad de Negocio Contacto con los miembros del equipo Plan de reinicio de actividades para cada proceso Nmero de empleados necesario Contactos clave Procedimiento para el reinicio de la actividad de negocio Forma de iniciarlo Prioridades Procedimientos especiales Problemas durante la puesta en prctica Nmero de empleados necesario Recursos necesarios 7. Resultados Los resultados del Plan Operativo de Respuesta incluyen: Un Plan Operativo de Respuesta documentado para cada actividad o departamento Criterios para que las unidades de negocio deriven el asunto al Equipo de Continuidad de Negocio Definicin clara de las funciones de GCN dentro del departamento 8. Revisin Los planes operativos de respuesta tienen que revisarse en caso de que se produzca un cambio importante en los procesos o tecnologa dentro de ese rea.
cap
123456
83
INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organizacin con una GCN madura 1. La organizacin es responsable de al menos un Plan de gestin de incidentes y un Plan de Continuidad de Negocio, que le permite gestionar cualquier posible incidente o crisis que afecte a la continuidad en cualquier parte del negocio y sin importar la causa 2. La organizacin opera uno o varios equipos para incidentes y recuperacin que son responsables de gestionar todos los posibles incidentes que afectan a la continuidad 3. Cada equipo incluye a ejecutivos de alta direccin que son responsables y que poseen la autoridad y conocimiento para responder de forma efectiva a cualquier incidente 4. Cada miembro del equipo tiene al menos un sustituto con igual nivel de autoridad y formacin 5. Cada equipo tiene poderes y recursos para ser siempre movilizado a tiempo y dar una respuesta adecuada 6. Cada equipo tiene que saber operar todas las herramientas e informacin necesarias que necesita para gestionar un incidente 7. Todos los integrantes del equipo han recibido la formacin adecuada para operar bajo una crisis o en condiciones parecidas 8. Cada plan define una escalada y un proceso de invocacin que permite su activacin rpida o inmediata 9. Cada plan contiene instrucciones inequvocas para la invocacin en caso de cualquier tipo de incidentes y condiciones 10. Cada plan contiene criterios claros de invocacin y directrices 11. Cada plan identifica con claridad aquellas personas que tienen autoridad para invocarlo 12. Cada plan contiene tareas y listas para obstaculizar las consecuencias inmediatas de un trastorno en el negocio 13. Cada plan contiene una declaracin clara e inequvoca de su propsito y alcance 14. Cada plan explica los protocolos y mecanismos para comunicaciones de emergencia y avisos 15. Cada plan exige que la informacin de contacto de familiares y de emergencia de todo el personal est actualizada y disponible para su rpida utilizacin 16. Cada plan identifica la o las personas que despus de un accidente se encargarn de las responsabilidades de salud y bienestar del personal 17. Cada plan contiene medidas especficas que garanticen que despus de un accidente la prioridad se enfoca en el bienestar de las personas y que los problemas a este respecto son gestionados de forma efectiva 18. Cada plan define y comunica las funciones, responsabilidades y grados de autoridad de todos los participantes 19. Cada plan contiene y establece un marco de accin claro para el control aceptable de cualquier incidente 20. Cada plan describe con claridad cmo elegir, adaptar y poner en marcha las estrategias para optimizar la recuperacin despus de un incidente 21. Cada plan contiene explicaciones claras de prioridades que reflejen las variaciones estacionales, peridicas y de da a da 22. Cada plan identifica con claridad los niveles de recuperacin que deben lograrse con el tiempo (Objetivos de Tiempos de Recuperacin) 23. Cada plan describe con claridad los medios para coordinar todos los equipos y entidades involucradas en la recuperacin 24. Cada plan contiene tareas, procedimientos y listas de verificacin que inician y cumplen de forma aceptable con las estrategias 25. Cada plan contiene un inventario actualizado de los recursos necesarios en el tiempo para entregar de forma aceptable las estrategias 26. Cada plan contiene registros o formularios para resear la informacin del incidente 27. Cada plan contiene tareas y listas de verificacin para la restauracin de las operaciones despus de cualquier incidente 28. Cada plan contiene tareas que permiten un anlisis efectivo de la situacin y una evaluacin de los daos 29. Cada plan contiene tareas que aseguran la continuidad de cada acuerdo de subcontratacin
84
cap
123456
30. Cada plan ofrece indicaciones fiables acerca del tiempo para completar cada paso bajo condiciones de trastorno 31. Cada plan incluye el contacto y los detalles para movilizar a todos los proveedores y clientes clave 32. Los planes de la organizacin prevn de forma especfica la gestin rpida de la comunicacin con todos los proveedores y clientes clave antes, durante y despus de un incidente 33. Los planes de incidentes contienen provisiones especficas acerca de cmo llevar a cabo medidas adecuadas de buen gobierno 34. Cada plan identifica al personal con el grado de autoridad adecuado para servir de enlace con los servicios de emergencia 35. Cada plan ofrece la base para un sistema efectivo de gestin de la informacin en momentos de crisis 36. Cada plan especifica los medios y la frecuencia con la que se debe ofrecer la informacin, como por ejemplo en comunicados de prensa, correo electrnico, sitio de Internet 37. Cada plan ofrece una estrategia y marco de accin para comunicarse con los medios de comunicacin 38. Cada plan identifica a los portavoces formados que estn autorizados a enviar informacin a los medios de comunicacin 39. Cada plan identifica un lugar preferido de enlace con los medios de comunicacin u otras partes interesadas 40. Cada plan identifica cmo hacer seguimiento de la respuesta de los medios de comunicacin 41. Los planes contienen un comunicado tipo para enviar a los medios de comunicacin 42. Los planes contienen directrices para crear conciencia a travs de los medios de comunicacin 43. Cada plan identifica una ubicacin preferida desde la que se gestionar el incidente (ubicacin para la gestin de incidentes) 44. Cada plan identifica una ubicacin alternativa en caso de que no se pueda acceder a la ubicacin preferida para la gestin de incidente 45. Cada ubicacin de gestin de incidentes dispone de el acceso a los recursos necesarios para poner en marcha el plan de incidentes 46. Cada ubicacin de gestin de incidentes dispone de medios de comunicacin efectivos, tanto principales como alternativos 47. Cada ubicacin de gestin de incidentes dispone de instalaciones para acceder y compartir informacin, incluido el seguimiento de los medios de comunicacin 48. Cada plan es conciso y es asimilado por todos sus posibles usuarios 49. Cada plan es prctico, est orientado a la accin y excluye toda la informacin que no ser exigida durante un incidente 50. Cada plan es rpidamente accesible para todos sus posibles usuarios 51. Cada plan se considera completo en el sentido de que se ocupa de cualquier trastorno desde el punto de recuperacin hasta el reinicio de las operaciones normales de negocio 52. Cada plan se considera completo en el sentido de que documenta todos los componentes requeridos para poner en marcha de forma fiable cada una de las estrategias 53. Cada plan identifica su principal responsable 54. Cada plan cuenta con el apoyo de la alta direccin e incluye un responsable concreto directo 55. Cada plan identifica a aquellos responsables de su revisin, mantenimiento y difusin autorizada 56. Cada plan cuenta con un presupuesto adecuado para su desarrollo y mantenimiento 57. Cada plan cumple con todas las obligaciones legales y estatutarias 58. Cada plan describe con claridad su relacin con todos los dems planes o documentos relevantes 59. Cada plan y su documentacin asociada estn actualizados y reflejan las necesidades de la organizacin 60. Cada plan est sujeto a un control sistemtico de su versin y distribucin 61. Cada plan est ratificado por la alta direccin.
cap
123456
85
PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN
captulo 1 2 3 4 5 6 Probar, mantener y revisar los preparativos de GCN
86
Acerca del captulo 5 Probar, mantener y revisar los preparativos de GCN La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor. Est seccin garantiza que las estrategias, planes y acuerdos de GCN de la organizacin son refrendados por pruebas y revisiones, adems de estar actualizados. COMPONENTES DE LA ETAPA 5 PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS DE GCN 1. PRINCIPIOS GENERALES 2. PROGRAMA DE PRUEBAS 3. PROBAR LOS PREPARATIVOS DE GCN 4. MANTENER LOS PREPARATIVOS DE GCN 5. REVISAR LOS PREPARATIVOS DE GCN
cap
123456
87
PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS Referencia: BS 25999-1 Seccin 9 Principios generales Pruebas La capacidad para la Gestin de Continuidad de Negocio (GCN) no puede considerarse fiable hasta que no se ha puesto en prctica. Como rara vez es posible llevar a cabo un ensayo para toda la organizacin de una sola vez, se necesita un programa de pruebas planificado para garantizar que todos los aspectos de los planes y personal se han ensayado durante un perodo de tiempo. Las pruebas tienen mltiples formas, entre ellos ejercicios tcnicos, pruebas desde el ordenador y ensayos completos en vivo. Independientemente de lo bien diseada y planificada que est una Estrategia de GCN o un Plan de Continuidad de Negocio (PCN), varias pruebas slidas y realistas identificarn los problemas y suposiciones que se debern corregir. El tiempo y los recursos empleados en ensayar las Estrategias de GCN y PCN son partes cruciales del proceso en su conjunto por el hecho de que desarrollan competencias inspiran confianza e imparten conocimientos esenciales en momentos de crisis. Si bien es necesario dedicar esfuerzos en poner a prueba las capacidades tcnicas para la recuperacin, el elemento clave es el papel de las personas y su capacidad en habilidades, conocimientos, gestin y toma de decisiones. Cuando se subcontrata un servicio o actividad, no se transfiere la responsabilidad del riesgo. Por esa razn las organizaciones deben asegurarse por s mismas que los proveedores de servicios subcontratados estn preparados para aguantar un incidente. Deben comprobar la efectividad sus propios planes y exigir a sus proveedores pruebas acerca de la viabilidad de los planes de contingencia y cerciorarse de ello a travs de ejercicios. Mantenimiento La mayora de las organizaciones actan en un entorno dinmico y estn sujetas a cambios en las personas, procesos, mercado, riesgos, entorno, geografa y estrategia de negocio. Es necesario garantizar que su capacidad para la GCN sigue reflejando la naturaleza, magnitud y complejidad de la organizacin. Debe estar actualizada, ser fiable, completa, ensayada, y comprendida por proveedores, clientes, accionistas, trabajadores y todas las partes interesadas. Se debe instaurar un Programa de Mantenimiento de la Continuidad de Negocio para garantizar que todas las partes interesadas conocen las partes ms actualizadas y relevantes del PCN. Revisin Existen varias formas de revisar un programa de GCN: Auditora interna Auditora externa Autoevaluacin El proceso de auditora de GCN garantiza que una organizacin dispone de un Programa de Continuidad de Negocio efectivo. La auditora cumple cinco funciones esenciales: Certifica el cumplimiento de las polticas y estndares de GCN de la organizacin Revisa las soluciones de GCN para la organizacin Da validez a los PCN de la organizacin. Verifica que se estn realizando las actividades adecuadas de ensayo y mantenimiento Pone de relieve las deficiencias y problemas y garantiza su correccin El proceso puede ser realizado por el departamento de auditora interna de la organizacin, un auditor externo o un profesional externo experto en Continuidad de Negocio. Se debe realizar el proceso cada uno o dos aos. Entretanto los responsables de los planes de Continuidad de Negocio pueden llevar a cabo de forma ms frecuente una "comprobacin de desempeo".
88
cap
123456
PROGRAMA DE PRUEBAS Referencia: BS 25999-1 Seccin 9.2 1. Introduccin El desarrollo de una capacidad para la GCN se logra a travs de un programa estructurado de pruebas. Se puede iniciar un programa de pruebas de GCN mediante un ejercicio diseado para poner de relieve las deficiencias en la capacidad. Para ser exitoso, un programa de pruebas debe tener una forma simple al inicio y complicarse de forma gradual. Aun cuando la entrega de un producto o servicio ha sido subcontratada, la organizacin sigue siendo responsable de esa entrega. En ese caso la organizacin debera asegurarse de que, mediante ejercicios, la empresa subcontratada es capaz de cumplir con sus obligaciones. De igual forma se debera solicitar a los proveedores de productos o servicios cuya interrupcin podra causar un trastorno importante para la organizacin que den pruebas de su capacidad de recuperacin. 2. Pasos previos La Poltica de GCN debera definir el calendario y responsabilidades para el programa de ejercicios. 3. Propsito El propsito del programa de ejercicios es garantizar que a lo largo de un tiempo: Se verifica toda la informacin de los planes Se ensayan los planes Todo el personal (incluyendo subalternos) han ejercitado sus habilidades 4. Conceptos y suposiciones Actividades subcontratadas Las pruebas para las actividades subcontratadas deberan figurar como obligatorias en el contrato y ser formalizadas mediante acuerdos de servicio. 5. Proceso Redactar una lista de todos los procesos de recuperacin (por ejemplo, reubicacin) Determinar el tipo de prueba ms adecuada para cada proceso Redactar una lista de todo el personal o grupos involucrados en cada proceso Determinar un calendario de pruebas para asegurarse de que, a lo largo de un tiempo, todo el personal determinante se ver involucrado en ellas Procesos de recuperacin El programa de ejercicios debe incluir actividades que permitan ensayar las diversas facetas de las estrategias de GCN adoptadas. Entre ellas: Tcnico - Funcionan los equipos? Procedimientos - Son correctos los procedimientos? Logstica - Logran los procedimientos sucederse de forma lgica? Entrega a tiempo - Consiguen los procedimientos cumplir con los OTR de cada actividad? Administrativo - Son los procedimientos fciles de gestionar? Personal - Estn involucradas las personas correctas? Poseen las habilidades, autoridad y experiencia adecuadas?
cap
123456
89
6. Mtodos y tcnicas La siguiente matriz ilustra una progresin y posibles combinaciones de ejercicios: Figura :Tipos de ejercicios (Fuente: Elliot, Swartz y Herbane 1999)
cap
7. Resultados La planificacin del Programa de Pruebas de GCN deber resultar en: Un calendario para un programa de Pruebas 8. Revisin La frecuencia de un Programa de Pruebas de GCN depender de la naturaleza, magnitud y complejidad de la organizacin. Un ensayo de la Capacidad para la GCN de la organizacin en su conjunto debera realizarse al menos una vez cada 12 meses. Tambin es posible que otros acontecimientos obliguen a realizar nuevas pruebas: Un cambio significativo en los procesos, la plantilla o la tecnologa Un cambio importante en el entorno externo del negocio
90
123456
PROBAR LOS PREPARATIVOS DE GCN Ref: BS 25999-1 Seccin 9.3 1. Introduccin "Pruebas" es un trmino genrico que se utiliza aqu para describir el conjunto de medidas que ponen a prueba el Plan de Continuidad de Negocios, los integrantes de los equipos y la tecnologa y procedimientos. Se suelen utilizar tres trminos: Prueba (Test): suele referirse a someter a examen un proceso tecnolgico o de negocio, generalmente con respecto al cumplimiento de ciertos plazos. Es posible que el resultado sea "pasa" o "falla" (para el proceso, no la persona). Un ejemplo podra ser la recuperacin de un servidor mediante los archivos de respaldo. Simulacro: Prctica de un conjunto especfico de procedimientos que requieren el seguimiento de un guin para inculcar conocimientos y familiarizarse con la prctica. Un ejemplo sera un simulacro de incendio. Ejercicio: Suelen realizarse para un evento basado en un escenario en el que se ponen a prueba la capacidad para tomar decisiones. Un ejemplo es un ejercicio de escritorio para gestionar un incidente grave. Ms all del trmino que se utilice, es importante darse cuenta de que una prueba es una oportunidad medir la calidad de la planificacin, la competencia de las personas y la efectividad en las capacidades y no un simple examen con un aprobado o un suspenso. Demostrar una actitud positiva frente a las pruebas de GCN logra que el proceso tenga mayor aceptacin, permite reconocer las fortalezas, mientras que las deficiencias sern consideradas oportunidades para mejorar en lugar de dar lugar a crticas. 2. Pasos previos Las pruebas enfocadas en actividades individuales son parte de un programa de pruebas y deben ser programados junto con las actividades de formacin correspondientes. 3. Propsito El propsito de ensayar es: Evaluar las actuales competencias de la organizacin para la GCN Identificar reas para mejorar o en las que falta informacin Destacar suposiciones que deben ser cuestionadas Ofrecer informacin e inspirar confianza a los participantes de los ejercicios Incentivar el trabajo en equipo Mejorar el nivel de conciencia de toda la organizacin acerca de la Continuidad de Negocio dando publicidad al ejercicio Comprobar la efectividad y cumplimiento de plazos de los procedimientos de restauracin al final del ejercicio 4. Conceptos y suposiciones Para que una prueba se considere "til" necesita cumplir con los siguientes criterios: rigurosa, realista y de exposicin mnima. Suele suceder que estos tres criterios plantean requisitos opuestos por lo que se necesitar llegar a un compromiso balanceado entre todos. Rigurosa Cuando sea posible, las pruebas deben realizarse utilizando los mismos procedimientos y mtodos que se utilizaran durante un incidente real, tratando de que todo sea lo ms realista que se pueda. Se trata de un ideal, pero no es posible llevar a cabo ciertas pruebas sin realizar alteraciones reales sobre los procesos. Esto sobre todo aplica a pruebas tcnicas. Realista La utilidad de una prueba se ve comprometida si se elige un escenario poco realista. Se necesita simular un incidente para demostrar la viabilidad de los planes en tales circunstancias. Reflejar un escenario de negocios realista garantiza que la audiencia se comprometa por completo con la prueba y aprenda ms de ella.
cap
123456
91
Exposicin mnima La realizacin de pruebas puede exponer el negocio a un nivel elevado de riesgo. El responsable de disear la prueba debe asegurarse de que: queda minimizado el riesgo e impacto del trastorno el negocio entiende y acepta el riesgo Para pruebas de mayor complejidad tcnica, el responsable debe asegurarse de que existen puntos acordados previamente para continuar o detener la prueba a lo largo de etapas clave, adems de planes adecuados de respaldo en caso de que las cosas salgan mal. Del mismo modo, para los ejercicios de despacho o en directo, el responsable tiene que disponer de la capacidad de interrumpir la prueba si el equipo est tomando decisiones que no seran adecuadas en el escenario planteado. 5. Proceso Una prueba tcnica incluye las siguientes fases: Acordar el alcance y objetivos de la prueba Acordar el presupuesto para la prueba si fuera necesario Asignar a la tarea el personal adecuado Plantear un escenario sencillo y un conjunto de suposiciones que dan contexto a la prueba Llevar a cabo una Evaluacin de Riesgos de la prueba para minimizar el riesgo de impacto sobre las operaciones reales Llevar a cabo la prueba y registrar los resultados Evaluar e informar de los resultados Solucionar cualquier problema detectado Un ejercicio sobre un escenario necesitar pasos similares, pero ms complejos: Acordar el alcance y objetivos del ejercicio con la alta direccin Acordar el presupuesto para la prueba Acordar con los responsables y proveedores adecuados la logstica y servicios necesarios para desarrollar el ejercicio Preparar un escenario realista y detallado Incluir aspectos como fecha, hora, carga de trabajo, condiciones polticas y econmicas y problemas temporales o estacionales Asegurarse de que los participantes estn disponibles Llevar a cabo una Evaluacin de riesgos del ejercicio para minimizar el riesgo de impacto sobre las operaciones reales Informar a observadores y preparar cuestionarios que se utilizarn durante el ejercicio para plasmar las lecciones aprendidas por jugadores y observadores Dar a los participantes informacin previa al ejercicio Llevar a cabo el ejercicio Hacer un informe de resultados y comunicarlo a los participantes inmediatamente despus del ejercicio Presentar un informe ms formal a los participantes en una fecha posterior Evaluar los resultados del ejercicio y los resultados del informe y preparar un informe con recomendaciones Preparar un informe de las cuestiones problemticas durante y justo despus de la prueba. Enviar copia de los informes a los participantes y alta direccin Crear un plan de accin que se pondr en marcha despus del ejercicio con las recomendaciones al informe, como la actualizacin de la estrategia y plan conforme a lo aprobado o revisin del calendario de ejercicios para dar tiempo a demostrar la eficacia de los cambios. 6. Mtodos y tcnicas Participantes Adems del personal, en un ejercicio con un escenario los participantes tambin pueden ser: El facilitador Los proveedores de recursos y servicios especializados para la GCN Los representantes de las compaas de seguros Los servicios de emergencia Los encargados de seguridad
92
cap
123456
Las autoridades locales dedicadas a planificacin de emergencias Los responsables de comunicacin y relaciones pblicas Expertos (cuando se necesiten) Los proveedores de productos y servicios para el negocio Los proveedores de actividades subcontratadas 7. Resultados El proceso de probar la GCN puede brindar los siguientes resultados: Comprobacin de que la Continuidad de Negocio y las estrategias son efectivas Grado de familiaridad del personal con sus funciones, responsabilidades y autoridad en respuesta a un incidente. Prueba de los aspectos tcnicos, logsticos y administrativos del Plan de Continuidad de Negocio. Prueba de la infraestructura de recuperacin como los centros de mando, el rea de trabajo, tecnologa y telecomunicaciones. Un ensayo acerca del grado de disponibilidad y reubicacin de la plantilla Documentar los resultados del ejercicio en un informe posterior para la alta direccin, auditores, aseguradoras, autoridades y dems partes interesadas Documentar y resolver todas las cuestiones que han surgido en el ejercicio Una conciencia mayor acerca de los procedimientos de emergencia Una conciencia mayor acerca del significado de la GCN. La oportunidad para identificar las deficiencias y posibilidades de mejora en la preparacin a la Continuidad de Negocio por parte de la organizacin 8. Revisin La frecuencia de un Programa de Ejercicios de GCN depender de la naturaleza, magnitud y complejidad de la organizacin. Un ensayo de la Capacidad para la GCN de la organizacin en su conjunto debera realizarse al menos una vez cada 12 meses. Tambin es posible que otros acontecimientos obliguen a realizar nuevos ejercicios: Un cambio significativo en los procesos, la plantilla o la tecnologa Un cambio importante en el entorno externo del negocio.
cap
123456
93
MANTENER LOS PREPARATIVOS DE GCN Referencia: BS 25999-1 Seccin 9.4 1. Introduccin El Programa de Mantenimiento de GCN garantiza que la organizacin se encuentra preparada para gestionar incidentes a pesar de los constantes cambios que experimentan todas las organizaciones. Para que un Programa de Mantenimiento de GCN sea efectivo, debe estar integrado en los procesos normales de gestin de la organizacin en lugar de formar parte de una estructura separada que puede ser olvidada. 2. Pasos previos La mayora de los problemas que surgen de las pruebas y ejercicios son resultado de cambios internos en la organizacin personal, ubicacin o tecnologa. 3. Propsito El propsito del proceso de Mantenimiento de la Gestin de Continuidad de Negocio e Incidentes es garantizar que la capacidad para la GCN de la organizacin se mantiene efectiva a pesar de los cambios en los procesos internos y las influencias externas. 4. Conceptos y suposiciones Disponer de una gestin de cambios es un prerrequisito para el mantenimiento del programa de GCN. 5. Proceso Revisar los cambios internos en: Procesos de negocio Tecnologa Personal Esta revisin puede ser provocada por un cambio en la gestin, por los "puntos de aprendizaje" de despus de los ejercicios o por un informe de auditora. Revisar y cuestionar las suposiciones hechas en el Anlisis del Impacto en el Negocio acerca del entorno en el que opera la organizacin para determinar si los imperativos de tiempo han cambiado desde la ltima revisin Revisar la idoneidad y disponibilidad de aquellos servicios externos que podran ser exigidos por una organizacin en momentos difciles, como la restauracin de activos, ubicaciones de recuperacin y subcontrataciones Revisar los planes de Continuidad de Negocio para proveedores de componentes cuya entrega a tiempo es crtica para el negocio Evaluar si los cambios y enmiendas crean una necesidad de formacin, concienciacin y/o comunicacin. Ofrecer formacin, concienciacin y/o comunicacin adecuadas en lo que se necesite. Distribuir la poltica, estrategias soluciones, procesos y planes de GCN actualizados, corregidos, modificados a las principales partes interesadas mediante el proceso formal de control de cambios (versin). 6. Mtodos y tcnicas Cada responsable del plan se hace cargo del mantenimiento de los planes de Continuidad de Negocio del equipo y los datos dinmicos, como los telfonos del personal fuera de horas de oficina, tareas del equipo, detalles de contacto de los proveedores, contenido de la caja de contingencia, etc. Las secciones del plan se actualizan desde mensualmente hasta una vez al ao, segn el calendario estipulado en la seccin relativa al Mantenimiento del Plan de Continuidad de Negocio. Los meses adecuados para la actualizacin tambin se especifican en esa misma seccin. La "fecha de la ltima actualizacin" se muestra claramente al principio de cada captulo del plan de Continuidad de Negocio para garantizar un registro efectivo para las auditoras. 7. Resultados El proceso de mantenimiento de la Continuidad de Negocio brinda los siguientes resultados: Un programa documentado de supervisin y mantenimiento de la Continuidad de Negocio Un informe de mantenimiento claramente definido (con recomendaciones) acordado y ratificado por el directivo adecuado Un plan de accin del informe de mantenimiento claramente definido acordado y ratificado por el directivo adecuado Planes de Continuidad de Negocio, estrategias y soluciones que sean efectivos y adecuados.
94
cap
123456
8. Revisin La frecuencia de un Programa de Ejercicios de GCN depender de la naturaleza, magnitud y complejidad de los cambios en el negocio. Es probable que se necesite realizar el mantenimiento: Cuando se produce un cambio significativo en los procesos, la plantilla o la tecnologa. Despus de un ejercicio o prueba. Despus de una auditora que recomiende cambios. De acuerdo con el calendario definido en el captulo sobre el Mantenimiento del Plan de Continuidad de Negocio.
cap
123456
95
REVISAR LOS PREPARATIVOS DE GCN Referencia: BS 25999-1 Seccin 9.5 1. Introduccin La revisin incluye Auditoras, tanto internas como externas Autoevaluacin La auditora sirve para revisar de forma imparcial con respecto a estndares y polticas definidas y para ofrecer recomendaciones para subsanar las deficiencias. No obstante, la naturaleza de la GCN exige a la auditora una visin distinta debido a la evolucin de los estndares. La auditora est diseada para verificar que se han seguido de forma correcta, no que las soluciones adoptadas son obligatoriamente correctas. 2. Pasos previos La auditora debe realizarse con respecto a una Poltica de GCN y los estndares adecuados. 3. Propsito El propsito de una auditora de GCN es analizar las competencias que posee una organizacin para la GCN; medirlas con respecto los estndares y criterios predeterminados y confeccionar un informe de auditora estructurado. Adems, la misma GCN debera estar sujeta de forma peridica a un proceso de garanta. 4. Conceptos y suposiciones Esta visin asume que si el proceso es correcto y se aplica de forma adecuada, el resultado debera ofrecer una capacidad efectiva para la GCN. Se asume que los estndares disponibles ofrecen el marco de accin adecuado para la auditora. Entre ellos figuran: ?Estndares nacionales e internacionales, como el Cdigo de Prcticas BS 25999-1 y la Especificacin BS25999-2 (an no publicada) Obligaciones normativas, como las marcadas por las autoridades financieras correspondientes Obligaciones legales Los Manuales de Buenas prcticas (como este documento) o aquellas especficas para un sector Estndares de la industria como el ISO 17799 (relativo a la seguridad de TI). 5. Proceso Al igual que sucede con la planificacin, puesta en marcha y mantenimiento de la Continuidad de Negocio, la auditora de GCN se ocupa de un proceso complejo y necesita interactuar con un amplio abanico de funciones directivas y operativas, tanto desde el punto de vista de negocio como tcnico. La auditora del proceso de GCN incluye: Una auditora del plan de GCN - que a su vez debera incluir: -Identificacin del tipo de auditora a llevar a cabo (de cumplimiento, gestin de proyectos, estudio de factibilidad, due diligence o de investigacin). -Identificacin de los objetivos de auditora, es decir, los resultados. Esos objetivos pueden estar en parte motivados y marcados o restringidos por las obligaciones legales o normativas. Esto incluye cuestiones clave de alta importancia. -Identificacin del marco estndar para la auditora (cuando sea apropiado) que se va a utilizar, como el BS 25999. El marco puede ser forzoso o estar restringido por las obligaciones legales o normativas. -Definicin del alcance de la auditora. -Determinar los aspectos de gobierno corporativo, cumplimiento u otras cuestiones que deban ser auditadas. -Determinar el rea/departamento/ubicacin de la organizacin que ser auditada. -Definicin de la perspectiva de la auditora. -Las actividades de auditora que se van a realizar, como cuestionarios/entrevistas personales/revisin de documentos/revisin de soluciones. -Calendario de actividades y fechas de entrega -Identificacin de los criterios de evaluacin de la auditora (estndares). -Determinar las necesidades de opiniones expertas en temas especficos o asistencia por parte de terceros para realizar la auditora. Revisin y recopilacin de informacin mediante la auditora de las actividades de GCN.
96
cap
123456
Recopilar y resumir las entrevistas, cuestionarios y otras fuentes. Identificar las deficiencias en contenido e informacin encontradas y realizar entrevistas nuevas o por segunda vez, segn el caso. Obtener y contrastar la documentacin relevante (como el Anlisis del Impacto en el Negocio) con los datos de entrevistas y otras fuentes (inspecciones fsicas, muestreos). Referencias a fuentes secundarias, como estndares, normas o manuales de buenas prcticas para confirmar los resultados preliminares. Formacin de una opinin que debera reflejar tanto los intereses del patrocinador de la auditora como el "patrn" fijado por las fuentes externas, como normas, leyes o estndares del sector. -Asignar un factor de riesgo a los elementos individuales de auditora para distinguir entre los resultados con riesgos crticos, altos, medios y bajos. -Definir los criterios para clasificar los resultados mediante una clasificacin predefinida claramente diferenciada por categoras. Entregar un borrador de informe de opinin para ser discutido por las principales partes interesadas. Entregar un informe de opinin de auditora acordado que incorpore las recomendaciones as como las respuestas auditadas all donde sigue habiendo diferencias de opinin. Entregar un plan de medidas correctivas con plazos de cumplimiento para llevar a cabo las recomendaciones acordadas en el informe de auditora. Tambin debera ser un elemento clave del Programa de Mantenimiento de GCN. Entregar un proceso de supervisin (adems del Programa de Mantenimiento de GCN) para garantizar que se lleva a cabo en los plazos acordados el plan de auditora para corregir las deficiencias materiales. El proceso de garanta de GCN incluye: Definir el grado de responsabilidad y autoridad de cada funcin Definir los Indicadores Clave de Desempeo Objetivos, mediciones y estndares Definir los factores de xito Incorporar los Indicadores Clave de Desempeo en los contratos internos y externos as como en la evaluacin anual Evaluar y revisar el desempeo con respecto a los Indicadores Clave de Desempeo, los objetivos y los estndares de la industria predefinidos. Entregar un plan de medidas correctivas. 6. Mtodos y tcnicas Los mtodos para la auditora deben ser determinados por los responsables de ella. La autoevaluacin, o "supervisin de desempeo" llevada a cabo dentro del programa de GCN puede recurrir a indicadores de desempeo como: Nmero de meses transcurridos desde el ltimo ejercicio activo. Nmero de asuntos pendientes que siguen sin resolverse desde el ltimo ejercicio. Grado en el que se ha completado la documentacin del plan de Continuidad de Negocio. Nmero de meses transcurridos desde el ltimo Anlisis del Impacto en el Negocio. Nmero de asuntos pendientes que siguen sin resolverse desde el ltimo Anlisis del Impacto en el Negocio. Nueva aplicacin de TI evaluada para su inclusin en los planes de Continuidad de Negocio. Nuevo o modificado proceso de negocio evaluado para su inclusin en los planes de Continuidad de Negocio. Adecuacin/viabilidad de los datos dinmicos del Equipo de Recuperacin como miembros del equipo, telfonos de contacto, lista de proveedores, determinacin de la estacin de trabajo en el emplazamiento de recuperacin. Creacin de un presupuesto de GCN para su puesta en marcha y mantenimiento. Control presupuestario. Cuadro de mandos de grado de cumplimiento de la autoevaluacin La evaluacin cualitativa puede lograrse a travs de: Documentar el anlisis y la revisin Entrevistas con el personal, clientes, proveedores y dems partes interesadas.
cap
123456
97
7. Resultados Una auditora de GNC ofrecer los siguientes resultados: El informe de una auditora de GNC independiente que haya recibido la conformidad y est ratificado por la alta direccin Un plan de accin correctivo que ha recibido la conformidad y est ratificado por la alta direccin El resultado de una puntuacin deficiente ser: Reconocimiento por el departamento de auditora interna de que el Plan de Continuidad de Negocio es "inadecuado". Iniciar una revisin del plan de Continuidad de Negocio dirigida por un experto en la materia que ayudar al equipo a mejorar su estado. El resultado de un proceso de autoevaluacin puede ser: Mejoras en la gestin del programa de GCN 8. Revisin La poltica acerca de la frecuencia de las auditoras debe estar claramente definida y estipulada en la "Poltica y Estndares de Auditora" de la organizacin.
98
cap
123456
INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organizacin con una GCN madura 1. La organizacin opera un programa de pruebas de GCN que afecta a todas sus operaciones de negocio 2. Todos los planes han sido puestos a prueba recientemente y de forma realista 3. Todo el personal ha participado recientemente de forma activa en ejercicios realistas 4. Todas las ubicaciones para la recuperacin de actividades y centros de mando han sido puestos a prueba recientemente y de forma realista 5. Todos los sistemas crticos de recuperacin han sido puestos a prueba recientemente y de forma realista 6. Toda la recuperacin crtica de telecomunicaciones (datos) ha sido puesta a prueba recientemente y de forma realista 7. Toda la recuperacin crtica de telecomunicaciones (voz) ha sido puesta a prueba recientemente y de forma realista 8. Toda la recopilacin, recuperacin y restauracin de informacin han sido puestas a prueba recientemente y de forma realista 9. Todos los proveedores y empresas de servicio subcontratadas crticos han sido puestos a prueba recientemente y de forma realista 10. Todos los proveedores de servicios de recuperacin han sido puestos a prueba recientemente y de forma realista 11. Se ha ensayado recientemente y de forma realista la reubicacin de toda la plantilla 12. Los diversos planes de la organizacin se corresponden entre s y han sido puestos a prueba juntos para garantizar que pueden ejecutarse sin dar lugar a omisiones o conflictos 13. El programa de ejercicios de GCN de la organizacin: A. Es coherente con el alcance de todos los planes y estrategias B. Garantiza que cada componente de las capacidades para la Continuidad de Negocio de la organizacin se revisa y ensaya de forma regular y es actualizado segn un calendario determinado C. Ofrecer una certeza objetiva de que todos los planes y estrategias funcionarn como previsto cuando se necesiten D. Garantiza que siempre que sea posible se utilizan escenarios realistas para las pruebas E. Garantiza que se han comprobado todos los elementos y dependencias que existen en el plan y que estn relacionados entre s F. Garantiza que las pruebas reflejan una amplia gama de escenarios y posibles fallos 14. Se evala cada prueba del programa para garantizar que no expone a la organizacin a niveles de riesgo inaceptablemente ms altos 15. Cada prueba posee una magnitud y complejidad adecuadas para los objetivos de recuperacin, perfil de riesgo y nivel de madurez de la GCN en la organizacin 16. Cada prueba es realista, se planifica de forma cuidadosa y est acordada con las partes interesadas 17. Cada prueba posee objetivos y criterios de xito claramente definidos que han sido autorizados por la alta direccin 18. Cada prueba genera un informe resumido y anlisis posterior 19. Cada ejercicio genera un informe posterior que contiene medidas correctivas y un calendario para su puesta en marcha 20. El programa de ejercicios incluye de forma especfica: A. Revisiones sobre el papel del contenido del plan B. Pruebas o revisiones completas de escenarios sobre el papel C. Pruebas de aumento de la gravedad del incidente y de convocatoria del personal D. Pruebas con escenarios limitados, como por ejemplo de recuperacin de tecnologa E. Pruebas de recuperacin de unidades de negocio F. Pruebas integrales de recuperacin que involucren el desplazamiento de toda la ubicacin 21. El programa de ejercicios se adecua de forma rigurosa a unos tiempos previamente fijados que estn acordes con la Poltica de GCN 22. El programa de ejercicios es responsabilidad ltima de un miembro del equipo de alta direccin 23. El programa de ejercicios posee un presupuesto aprobado propio y adecuado
cap
123456
99
24. La documentacin del programa de ejercicios describe de forma clara su relacin con otros documentos importantes 25. La organizacin lleva a cabo un programa de mantenimiento de GCN que engloba todos los aspectos de la GCN en todas las operaciones 26. Todos los aspectos de la GCN en toda la organizacin estn actualizados y reflejan los requisitos de la Poltica 27. El proceso de mantenimiento de GNC est claramente definido y documentado y ofrece un control de los cambios para todos los componentes de la GCN 28. El proceso de mantenimiento de GNC: A. Se adecua de forma rigurosa a unos tiempos previamente fijados B. Es responsabilidad ltima de un miembro del equipo de alta direccin C. Posee un presupuesto aprobado propio y adecuado 29. El proceso de mantenimiento de GNC est ratificado por la alta direccin 30. El proceso de auditora revisa de forma independiente y peridica la competencia para la GCN de la organizacin en nombre de la alta direccin para verificar su continua adecuacin y efectividad 31. La organizacin posee los procedimientos adecuados para subsanar las deficiencias relacionadas con la GCN identificadas en la auditora.
100
cap
123456
INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIN
captulo 1 2 3 4 5 6 Incorporar la GCN en la cultura de la organizacin
101
Acerca del Captulo 6 Incorporar la GCN en la cultura de la organizacin La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor. Para tener xito, la GCN tiene que ser una parte asumida dentro de la gestin normal del negocio, sin importar el tamao o sector de actividad. En todo momento del proceso de GCN existen las oportunidades de introducir y mejorar la cultura de GCN en una organizacin. COMPONENTES DE LA ETAPA 6 INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIN 1. PRINCIPIOS GENERALES 2. EVALUAR EL NIVEL DE CONCIENCIACIN Y FORMACIN EN GCN 3. DESARROLLAR LA GCN DENTRO DE LA CULTURA DE LA ORGANIZACIN 4. SUPERVISAR EL CAMBIO CULTURAL
102
cap
123456
INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIN Referencia: BS 25999-1 Seccin 10 Principios generales La instauracin de una Gestin de Continuidad de Negocio (GCN) dentro de la cultura de la organizacin depende de su integracin con la gestin diaria y estratgica de la organizacin y su correspondencia con las prioridades del negocio. Una cultura de GCN garantizar que una organizacin puede: Desarrollar un programa de GCN de forma ms eficiente Inculcar confianza en personal y clientes en su capacidad para sobrellevar los trastornos Mejorar su robustez con el paso del tiempo al asegurarse de que todas las decisiones en todos los niveles toman en cuenta las implicaciones para la GCN Minimizar el impacto y la probabilidad de los trastornos El proceso para desarrollar e incorporar de forma sostenida la GCN en la cultura de la organizacin es fruto de los siguientes tres pasos: 1. Evaluar el actual nivel de concienciacin y compromiso con la GCN con respecto al nivel deseado; identificar las "carencias de formacin" que existen entre los dos 2. Disear y realizar una campaa para crear una concienciacin corporativa y desarrollar las habilidades, conocimientos y compromiso necesarios para garantizar una exitosa Gestin de Continuidad de Negocio. 3. Comprobar que la campaa de creacin de concienciacin ha logrado los resultados esperados y supervisar la concienciacin en GCN en el largo plazo Todo programa tiene una limitacin en cuanto a su posibilidad para alterar la cultura de una organizacin. Adems, los intentos por cambiar los comportamientos pueden tener efectos inesperados que pueden ser contrarios a los deseados. Algunos factores necesarios para el xito: ?Obtener el apoyo visible y continuo de la alta direccin. Esto tambin significa contar con un presupuesto adecuado que respalde la campaa de concienciacin. Tambin es importante lograr el compromiso de los directivos y personal de operaciones que debern poner en prctica la Gestin de Continuidad de Negocio. Efectuar consultas a todos los involucrados en la GCN a la hora de desarrollar la campaa. Adems de que ayudar a centrar mejor el esfuerzo de concienciacin, las mismas consultas contribuirn a mejorar el nivel de concienciacin y servirn para crear un mejor compromiso con las nuevas prcticas laborales. Centrarse en las prioridades de negocio de la organizacin. Relacionar el mensaje de la campaa con factores de inters para la corporacin y personales ("Qu gano yo con esto?") permite justificar la GCN y las prcticas laborales que la sustentan. La campaa de concienciacin y sus mensajes deberan estar adecuados a cada grupo objetivo de audiencia. Estas audiencias son tanto internas, por ejemplo los que llevan a cabo la GCN y el personal en general, como externas, por ejemplo, proveedores, clientes y terceros que dependen de (o pueden afectar de forma negativa a) la iniciativa de Gestin de Continuidad de Negocio de la organizacin. La toma de concienciacin por parte de actores externos es particularmente importante cuando la GCN opera en un entorno de subcontratacin. La cultura de la organizacin se manifiesta en valores compartidos, normas de operacin, estilos y patrones de comportamiento. Se suele explicar como "la forma en la que aqu se hacen las cosas " o "lo que tienes que hacer para llevarte bien". La experiencia demuestra que las iniciativas para cambiar los comportamientos no logran compromisos a largo plazo si no abordan tambin las actitudes y creencias. Una creencia en particular, la de "eso nunca me pasar a m" es un obstculo muy grande para la GCN. Para realmente cambiar los comportamientos es necesario influir en las actitudes. Para ello es necesario desarrollar y establecer creencias. Por esta razn lograr un cambio cultural puede ser un proceso largo y sutil. Esta etapa describe el proceso para evaluar y mejorar el nivel de concienciacin y la formacin en GCN en la organizacin. Su estructura es por lo tanto diferente de la seccin 10 de BS 25999-1 que se centra en definir los resultados de ese proceso.
cap
123456
103
EVALUAR EL NIVEL DE CONCIENCIACIN Y FORMACIN EN GCN 1. Introduccin Antes de planificar y disear los componentes de una campaa de concienciacin es importante entender el nivel de concienciacin que existe y cul es el que se deseara obtener tras ofrecer la formacin. Tambin es importante determinar cmo se medir el nivel deseable de concienciacin y qu cambios propiciar la nueva cultura de GCN. El nivel de concienciacin de la organizacin cambiar constantemente conforme llegue y se vaya el personal. Es posible que acontecimientos internos y externos contribuyan a mejorar de forma sbita la concienciacin y entendimiento de las cuestiones relacionadas con la GCN. Pero tambin suelen desaparecer rpidamente, por lo que el programa de GCN debe estar listo para aprovechar y desarrollar estas oportunidades en caso de que se produzcan. Se debe estudiar la posibilidad de ampliar el alcance del nivel de concienciacin acerca del programa de GCN a los proveedores, clientes y dems partes interesadas relacionadas con la organizacin. 2. Pasos previos La Poltica de GCN ofrecer el marco en el que reposa la necesidad de un cambio cultural. 3 Propsito El propsito de esta actividad es evaluar los niveles actuales y deseables de nivel de concienciacin de GCN, definir qu reas debe cubrir la campaa de concienciacin y de qu forma ms efectiva se puede llevar a cabo. 4. Conceptos y suposiciones Una auditora del actual nivel de concienciacin en GCN debera tratar de establecer el nivel de conocimiento y compromiso con la GCN. Se determinar principalmente por los comportamientos, pero existen otras formas de determinarlo dentro de la organizacin. Aquellos responsables de evaluar el nivel de concienciacin deberan disponer de un buen entendimiento del negocio y de los objetivos de la GCN. Tambin deberan ser capaces de convocar aquellos que tengan un nivel adecuado de competencias en formacin y actividades de concienciacin, adems de habilidades para diagnosticar situaciones y buen trato con las personas. Al igual que en otras etapas de la campaa de concienciacin, esta actividad exige que se consulte y se busque la colaboracin de personal de toda la organizacin, desde la alta direccin hasta el personal que no tenga atribuidas funciones especficas en la GCN, pero que tenga que demostrar responsabilidad en general de "cumplir su papel" en la GCN. Desde el principio la alta direccin debera ofrecer su apoyo para el trabajo de concienciacin, tanto en trminos de recursos materiales como en compromiso con la misin. 5. Proceso La evaluacin del nivel de concienciacin es en realidad un Anlisis de las Necesidades de Formacin y abarca tres tareas: 1. Establecer el actual nivel de concienciacin en GCN 2. Especificar el nivel deseado de concienciacin o formacin, y cmo sern medidos 3. Identificar la naturaleza y alcance de las "deficiencias de formacin" que la campaa deber subsanar Requisitos Las habilidades especficas necesarias del personal encargado de GCN incluyen: Gestin del programa Anlisis del Impacto en el Negocio Desarrollar y poner en marcha los planes de Continuidad de Negocio Llevar a cabo un programa de ejercicios Se debe impartir una formacin ms genrica en cuestiones relacionadas con la GCN para que, por ejemplo, el personal involucrado en el programa pueda: Conocer las tendencias y nuevos desarrollos en el tema Explorar las posibilidades y problemas de las nuevas tecnologas Saber cmo otras organizaciones estn enfrentando retos similares Es posible que se necesiten otras habilidades para responder a incidentes, como: Evacuacin por incendio Limitacin de daos Rescate y evaluacin de daos
104
cap
123456
Restauracin de los equipos Liderazgo La campaa para la concienciacin del personal en general puede tratar acerca de: Cmo dar la alarma Responder a amenazas especficas Qu hacer en caso de evacuacin Conocimiento de los planes de recuperacin Integrar el nivel bsico de concienciacin en los programas de formacin de personal recin llegado 6. Mtodos y tcnicas Determinar el actual nivel de concienciacin en GCN Esta actividad es un ejercicio de recoleccin de informacin. El objetivo es establecer indicadores estadsticos de cualquier deficiencia en concienciacin y una evaluacin del nivel de entendimiento y compromiso con la GCN para el personal al que se quiere llegar. Entre las fuentes de informacin deberan figurar: Documentacin: revisar la poltica y procedimientos corporativos, los informes de respuestas a incidentes y crisis, los documentos acerca de pruebas y ejercicios de GCN realizados anteriormente o mediciones importantes de los sistemas de TI y de negocio Comentarios personales: realizar entrevistas con altos directivos y ejecutivos, llevar a cabo entrevistas de grupo (focus groups) con responsables de la GCN y usuarios finales Observacin: realizar revisiones en el puesto de trabajo acerca de las prcticas laborales actuales (para, por ejemplo, compararlas con la poltica de la organizacin) Especificar el nivel deseado de concienciacin y de qu forma se medir Se trata de especificar qu indicadores de comportamientos y sus resultados correspondientes servirn para confirmar que cada grupo objetivo del personal ha alcanzado un nivel satisfactorio en cuanto al nivel de concienciacin de GCN. Estas especificaciones debern ser acordadas junto con la alta direccin (en lo que se refiere a la correspondencia entre los resultados corporativos y la GCN) y con los responsables de llevar a cabo la GCN (para determinar si son factibles y se pueden integrar con las prcticas laborales). Las especificaciones dependern del alcance y naturaleza del negocio, sus necesidades de GCN, pero tambin pueden tener en cuenta: Habilidades especficas necesarias para la respuesta de la GCN frente a posibles trastornos Prcticas laborales mejoradas que apoyan el desarrollo de la GCN Una mejor comprensin y apoyo real por parte de la plantilla en general de las cuestiones relacionadas con la GCN Un mayor protagonismo de la GCN en las decisiones, poltica y cultura de la organizacin Identificar la naturaleza y alcance de las "deficiencias de formacin" que la campaa debe subsanar Esta tarea obliga a comparar los resultados de los pasos 1 y 2 descritos anteriormente. Se debe identificar la naturaleza y alcance de las deficiencias de formacin, tanto en trminos de los temas de GCN que la campaa deber abordar, como en la cuestin de la forma ms efectiva para resolverlas - campaas de educacin (informacin), formacin (habilidades) o concienciacin (entendimiento y compromiso con la GCN). La concienciacin del personal puede determinarse en uno de cuatro niveles: La incompetencia inconsciente se define como la condicin en la que el personal no es consciente de las cuestiones relativas a la GCN. Desconocen lo que no saben. La incompetencia consciente se define como la condicin en la que el personal es consciente de la GCN en trminos generales, pero sabe poco acerca de sus necesidades detalladas. La competencia consciente se define como la condicin en la que el personal es consciente de la GCN y es efectivo (por ejemplo siguiendo los procedimientos documentados) en su mantenimiento La competencia inconsciente se define como la condicin en la que el personal se muestra completamente competente en la aplicacin de la GCN en numerosas circunstancias.
cap
123456
105
7. Resultados Los resultados de la evaluacin de concienciacin deberan incluir: Una declaracin del actual nivel de concienciacin y efectividad del personal para apoyar la GCN Una declaracin del nivel deseable de concienciacin y cmo se medir Una definicin de las deficiencias de formacin, incluyendo los temas de GCN que requieren de mayor concienciacin, la actitud del personal frente a la GCN - ayudar a definir el mensaje general de la campaa de concienciacin - y el nivel de competencia que ha demostrado cada grupo objetivo. 8. Revisin La evaluacin del nivel de concienciacin debe realizarse al inicio de la campaa de concienciacin, de nuevo despus de que la campaa ha alcanzado su supuesta mayor efectividad, y por ltimo de forma peridica como una herramienta de supervisin. De forma adicional es posible que se necesiten evaluaciones suplementarias del nivel de concienciacin como respuesta a cambios en: Los procesos del negocio que afectan a las prioridades de GCN La legislacin que afecta a los requisitos de GCN Los riesgos para la GCN, entre ellos amenazas para la seguridad y otros riesgos relacionados con el negocio Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de informacin y servicios, entre ellos las mejores prcticas aceptadas por la industria como BS25999 y ISO27001.
106
cap
123456
DESARROLLAR LA GCN DENTRO DE LA CULTURA DE LA ORGANIZACIN 1. Introduccin Las actividades de las que se disponen para influir sobre la cultura son: Formacin - Habilidades especficas relacionadas con la GCN Educacin - Conocimientos generales de la GCN Concienciacin - Conocimientos especficos acerca de cuestiones relativas a la GCN El diseo y la entrega de stas suponen tres actividades principales: Diseo Planificacin de entrega Entrega 2. Pasos previos La Poltica de GCN ofrece el marco en el que se basan las necesidades y requisitos para el cambio cultural. Dentro de la cultura de GCN y la actividad de concienciacin, el diseo y la entrega de la educacin, formacin y concienciacin deben derivarse del Anlisis de Necesidades de Formacin (ver paso anterior). Antes de disear el programa, se tienen que asignar las responsabilidades dentro del programa de GCN. 3. Propsito El propsito de esta actividad es definir los mensajes de GCN que tiene que asimilar el personal y elegir los medios ms efectivos para entregar esos mensajes. 4. Conceptos y suposiciones La educacin, formacin y concienciacin puede ofrecerse de muchas maneras; para el xito de una campaa de concienciacin, es crtico que se elijan los mtodos ms adecuados y efectivos. La planificacin y diseo de la campaa deberan ser jerrquicos, empezando por los objetivos derivados de la definicin de las deficiencias de formacin y sus caractersticas. Los puntos a ensear deberan identificarse por las cuestiones de conocimiento, habilidades y concienciacin que el personal tiene que asimilar para eliminar esas deficiencias. Puede que el personal que no tenga una responsabilidad particular en la GCN slo necesite concienciacin, o un nivel determinado de competencia para llevar a cabo esas tareas relacionadas con la GCN. No obstante, los responsables de la GCN deberan recibir un curso de formacin estructurado que les inculque conocimientos, habilidades y finalmente incluya competencias en GCN mediante oportunidades para poner sus habilidades en prctica. La alta direccin debe entender desde el principio el esfuerzo que supone la campaa y su coste. Tambin se debe tomar en cuenta la disponibilidad de personal para acudir a los cursos de formacin a la hora de planificar la estrategia y el calendario. 5. Proceso Disear y ofrecer educacin, formacin y concienciacin se divide en tres actividades: Diseo Planificacin Entrega Diseo En un primer momento el diseo global puede ser elevar el grado de concienciacin general acerca de la GCN, de tal manera que se motive al personal para recibir formacin o cursos de ese tipo en los que se impartir informacin clave. Despus de los cursos formales, se debera ofrecer ms informacin y oportunidades para aprender a travs de, por ejemplo, artculos en boletines corporativos y la intranet, grupos de discusin y otras actividades. Al disear la campaa se deben realizar las siguientes tareas: Identificar las audiencias a las que va dirigida la campaa, y las cuestiones clave de educacin, formacin y concienciacin que tienen que ofrecer Clasificar por orden de importancia los temas de enseanza relativos a las cuestiones de educacin, formacin y concienciacin de GCN Elegir el orden y los mtodos de entrega adecuados para los temas de enseanza
cap
123456
107
Planificacin Se ha elegido deliberadamente la palabra "campaa" para enfatizar su importancia: lograr un cambio cultural requerir un punto de vista de largo plazo. La planificacin de la entrega debe tomar en cuenta las formas ms efectivas en trminos de costes y conocer la disponibilidad del personal y sus prcticas laborales. Tambin debera estudiar la posibilidad de dar publicidad a la campaa en s misma para dar impulso a la labor de concienciacin. Las principales actividades de esta tarea son: La alta direccin debe discutir y aprobar la campaa propuesta Probar los elementos claves de la campaa con un nmero reducido de grupos de directivos y empleados staff y definir los criterios de xito Planificar la integracin del mensaje de la GCN con induccin y formacin de refresco, adems de su inclusin en la formacin de otros empleados Probar con un nmero reducido las evaluaciones de los cursos de formacin propuestos Entrega La estrategia elegida para la educacin, formacin y concienciacin depende de las circunstancias individuales; por lo tanto stas son las nicas recomendaciones generales que se pueden dar para una campaa de educacin, formacin y concienciacin: La campaa debera mejorar la concienciacin acerca de cuestiones relacionadas con GCN para la organizacin y el empleado. En los papeles y cursos de formacin debera quedar claro que la alta direccin apoya la campaa. Los cursos formales de formacin slo debern ser ofrecidos cuando exista la evidencia de que existe una concienciacin acerca de las cuestiones. Se deber evaluar la asimilacin de los conocimientos o habilidades que ofrece la formacin y se deber corregir cualquier deficiencia. Una vez realizados los cursos de formacin, se debe hacer un nuevo esfuerzo de educacin, formacin y concienciacin para garantizar que el personal sigue consciente de las continuas (y cambiantes) necesidades que impone la GCN. 6. Mtodos y tcnicas Existen muchas teoras acercan de cmo aprenden los adultos y otras tantas numerosas estrategias para ponerlas en prctica. Los responsables de la GCN ofrecern los contenidos de la formacin, pero deberan trabajar expertos en formacin para desarrollar la estrategia y poner en marcha la campaa. Es importante reconocer que el nivel de concienciacin no se limita a la formacin y que necesita que la cuestin, en este caso la GCN, est integrada dentro de las prcticas laborales. Por esto se deben buscar oportunidades para incluir la GCN en la agenda cuando sea posible. A continuacin se detallan algunos ejemplos. Recursos para la informacin: Sitios de Internet dedicados a GCN Libros y publicaciones Conferencias y seminarios Recursos para la formacin: Cursos externos de formacin certificados Programas acadmicos formales Grupos de trabajo y forums regionales del BCI Grupos de trabajo sectoriales Formacin interna, con cursos especficos de induccin o de actualizacin Cursos a distancia (vdeos, lecturas) Organismos de certificacin Ejercicios de GCN y gestin de incidentes (internos o externos) Recursos para la concienciacin: Documentos informativos Revistas corporativas, boletines, artculos en la revista de la empresa Visitas a los emplazamientos de reinicio de actividades y centros de gestin de incidentes Informacin en la Intranet Hacer ejercicios, ensayos y pruebas de los planes de GCN de la organizacin Profesionales de la GCN dentro de la organizacin
108
cap
123456
Bonos e incentivos obtenidos a travs del sistema de evaluacin de desempeo Participacin en ejercicios de GCN o acontecimientos reales sucedidos en otra organizacin Inclusin de los objetivos relacionados con la GCN en los mecanismos de medicin de resultados de la organizacin 7. Resultados La campaa incluye un abanico de cursos, formacin directa, educacin a distancia, eventos de concienciacin y la promocin de las cuestiones relativas a la GCN en las prcticas laborales. Queda claro que la naturaleza y alcance de estas tcnicas depender de las metas especficas de la campaa en cuanto al nivel de concienciacin de GCN. Algunos posibles resultados de la campaa seran: Una mayor concienciacin general acerca de la necesidad de GCN Creacin de una concienciacin acerca de los riesgos de GCN para la organizacin y de las prioridades del negocio Identificacin de una visin aceptable de GCN que puede integrarse en las prcticas laborales Mejor efectividad a la hora de realizar tareas especficas de la GCN Respuestas ms efectivas a incidentes que afecten a la continuidad del negocio Mayores exigencias por parte de los responsables de GCN, como por ejemplo que los responsables de negocio demuestren una mayor preocupacin por la GCN 8. Revisin La formacin debera impartirse como parte de los cursos de iniciacin del personal, adems de ser revisada y de nuevo impartida en respuesta a cambios en: Las actividades de negocio que afectan a las prioridades de GCN La legislacin que afecta a las necesidades de GCN Los riesgos para la GCN, entre ellos las amenazas y vulnerabilidades a la seguridad y otros riesgos relacionados con el negocio Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de informacin y servicios, entre ellos las mejores prcticas aceptadas por la industria como BS 25999-1 e ISO17799.
cap
123456
109
SUPERVISAR EL CAMBIO CULTURAL 1. Introduccin Est claro que tanto el resultado general de la campaa como de sus componentes especficos debe ser revisado para mejorar continuamente la relevancia y efectividad del trabajo realizado. La campaa de concienciacin debe ser considerada una tarea constante y se debe realizar revisiones peridicas para comprobar el grado de concienciacin e identificar cualquier iniciativa necesaria para mantenerlo en niveles aceptables. 2. Pasos previos La Poltica de GCN brinda el marco en el que se apoya la necesidad de un cambio cultural. En el marco de la cultura de GCN y las actividades de concienciacin, el mantenimiento y mejora de las iniciativas de educacin, formacin y concienciacin debe ser fruto de la comparacin con los objetivos originales determinados por la evaluacin del grado de concienciacin y el anlisis de las necesidades de formacin. 3. Propsito El propsito de evaluacin de la educacin, formacin y grado de concienciacin es mantener la calidad y efectividad de una campaa, garantizar su correspondencia con los aspectos corporativos, sectoriales y otras cuestiones pertinentes de la GCN y asegurar que se logra el nivel de concienciacin necesario para la GCN. 4. Conceptos y suposiciones La efectividad de la formacin y concienciacin puede medirse de muchas maneras: mejor desempeo de las personas, mayores estndares en toda la organizacin, mayor nfasis en la GCN dentro de la cultura corporativa. Como sucede con toda investigacin, hay que tener cuidado de hacer las preguntas adecuadas para lograr respuestas relevantes, interpretar los datos de forma correcta y mantenerse alerta de aquellas cuestiones que no formen parte del programa central de formacin que sean relevantes para la cultura de GCN. 5. Proceso Solicitar y recopilar las reacciones a ciertos cursos de formacin. Mientras que algunos habrn tenido xito y otros menos, es importante buscar las tendencias subyacentes por ejemplo puede haber ciertos mdulos dentro de un curso de formacin que reciben crticas constantes. Supervisar la efectividad. Si bien las reacciones de corto plazo pueden aportar informacin acerca de los componentes de una campaa y permitir su mejora, es ms importante fijarse en los efectos de largo plazo de la campaa, que se manifestarn de forma menos reconocible (por ejemplo, a travs de una mayor concienciacin). A pesar de ello, la efectividad de la campaa debera ser cuantificada en trminos de mejoras en el negocio y resultados financieros. Comprobar de forma peridica el nivel de concienciacin. La alta direccin debe entender que de forma regular (anual) se necesitar un presupuesto para ejercicios de evaluacin y la posible accin que se derive de ellos. 6. Mtodos y tcnicas La evaluacin puede realizarse de muchas formas. Una valoracin efectiva combinara varios mtodos de corto y largo plazo, que revisarn tanto la forma como el contenido de la campaa en s misma y sus efectos en la GCN dentro de la organizacin. Cuando sea posible los resultados de la evaluacin deberan expresarse en trminos de los beneficios que la campaa aporta al negocio. De forma ms especfica, la evaluacin de las clases de formacin puede incluir discusiones, tests o pequeos exmenes durante el curso para comprobar y ajustar los mtodos de enseanza "en pleno vuelo". Se pueden distribuir formularios de evaluacin de los cursos para mejorar continuamente la estructura de las clases y su contenido. La evaluacin de un curso debe basarse en varias tandas sucesivas de valoraciones, y no en slo una.
110
cap
123456
7. Resultados Los resultados de la formacin y de la revisin de la campaa deberan incluir una serie de informes para diferentes niveles dentro de la organizacin. Entre ellos deben figurar la alta direccin, los directores importantes y los responsables de GCN, adems de los encargados de ofrecer la formacin. Los resultados de la evaluacin de la campaa deberan ser comunicados al personal a travs de los canales corporativos y pueden incluir:Identificacin de necesidades adicionales de formacin y concienciacin Identificacin de oportunidades de desarrollo profesional para los encargados de la GCN Mejoras en las prcticas laborales 8. Revisin Se debe realizar una evaluacin de la campaa tanto durante como despus de que se haya llevado a cabo la mayor parte de ella, para permitir una readecuacin de la estrategia y para asegurar que la campaa ha logrado su objetivo general de eliminar las deficiencias en la formacin identificadas en la evaluacin inicial de los niveles de concienciacin. De forma regular se debera efectuar una revisin de los niveles de concienciacin y resolver cualquier deficiencia encontrada.
cap
123456
111
APNDICE - Mapa de habilidades profesionales Este es un mapa de los Estndares de Certificacin de BCI/DRII en las seis etapas del Manual de Buenas Prcticas para indicar qu habilidades son necesarias en cada etapa. Algunas habilidades se aplican a ms de una etapa. Gestin del Programa de Continuidad de Negocio 1.A.1 Ayudar a los responsables en la definicin de objetivos, polticas y factores crticos de xito Alcance y objetivos Causas legales y obligaciones Casos prcticos y buenas prcticas sectoriales 1.A.2. Coordinar y organizar/gestionar el inicio del proceso general de GCN Con la ayuda de un comit de direccin y un equipo gestor del proyecto. 1.A.3 Supervisar el proceso de GCN a travs de mtodos efectivos de control y gestin de cambios 1.A.4. Presentar (vender) el proceso a la direccin y personal 1.A.5 Desarrollar un presupuesto para iniciar el proceso 1.A.6 Definir y recomendar una estructura y direccin para la GCN 1.A.7 Desarrollar y poner en marcha el proceso de GCN Comprender la organizacin 2.A.1 Identificar a los responsables con conocimientos de cada rea para el proceso de Anlisis de Impacto en el Negocio (AIN) 2.A.2 Identificar las funciones de la organizacin, sin olvidar la informacin y recursos (personas, tecnologa, instalaciones,... etc) 2.A.3 Identificar y definir los criterios crticos 2.A.4 Lograr la aprobacin de la direccin para los criterios definidos 2.A.5 Coordinar el anlisis 2.A.6 Identificar las interdependencias (internas y externas a la organizacin) 2.A.7 Definir los objetivos de recuperacin y plazos de cumplimiento 2.A.8 Definir el formato de los informes 2.A.9 Preparar y presentar a la direccin el AIN acordado 3.A.1 Identificar los posibles riesgos para la organizacin 3.A.1.a Probabilidad 3.A.1.b Consecuencias/impacto/gravedad 3.A.2 Comprender la funcin de la reduccin de riesgos dentro de la organizacin 3.A.3 Identificar las necesidades de asesoramiento externo 3.A.4 Identificar los niveles de exposicin 3.A.5 Identificar las alternativas para reduccin de riesgos 3.A.6 Confirmar con la direccin para determinar los niveles de riesgo aceptables 3.A.7 Documentar y presentar los resultados Determinar la estrategia de Continuidad de Negocio 4.A.1 Conocer las alternativas disponibles y sus ventajas, inconvenientes y costes, incluir la reduccin de riesgos como una estrategia de recuperacin 4.A.2 Identificar las estrategias de recuperacin viables para las reas de negocio 4.A.3 Consolidar las estrategias 4.A.4 Identificar las necesidades de emplazamientos externos e instalaciones alternativas 4.A.5 Desarrollar las estrategias para las unidades de negocio 4.A.6 Lograr el compromiso de la direccin para las estrategias desarrolladas Desarrollar y poner en marcha una respuesta de GCN Plan de Gestin de Incidentes 9.A.1 Establecer programas para la comunicacin proactiva de crisis 9.A.2 Coordinar la comunicacin necesaria ante las crisis con los organismos externos (autoridades locales y nacionales, servicios de emergencia,... etc.) 9.A.3 Establecer mecanismos de comunicacin esencial ante las crisis con proveedores, clientes y dems partes directamente afectadas 9.A.4 Establecer planes de comunicacin con los medios para la organizacin y sus unidades de negocio. Hacer pruebas.
112
cap
123456
Plan de Continuidad de Negocio 6.A.1 Identificar los componentes del proceso de planificacin 6.A.1.a Metodologa para la planificacin 6.A.1.b Organizacin del plan 6.A.1.c Direccin de esfuerzos 6.A.1.d Necesidad de personal 6.A.2 Controlar el proceso de planificacin y redactar los planes 6.A.3 Implantar los planes 6.A.4 Probar los planes 6.A.5 Mantener los planes 5.A.5 Identificar las necesidades de direccin y control para la gestin de una emergencia 5.A.6 Recomendar el desarrollo de los procedimientos de direccin y control para definir funciones, autoridad y procesos de comunicacin para gestionar una emergencia 10.A.1 Identificar y establecer procedimientos de enlace para la gestin de emergencias 10.A.2 Coordinar la gestin de emergencias con los organismos externos 10.A.3 Mantener actualizado el conocimiento en leyes y normas relativas a gestin de emergencias como si fueran dictadas por la propia organizacin 5.A.1 Identificar los posibles tipos de emergencias y las respuestas necesarias (por ejemplo, incendio, fuga de materiales peligrosos, problemas mdicos) 5.A.2 Identificar la existencia de procedimientos adecuados para la respuesta a emergencias 5.A.3 Recomendar el desarrollo de procedimientos para emergencia all donde no existan 5.A.4 Integrar los procedimientos para recuperacin de desastres/Continuidad de Negocio/Gestin de crisis con los procedimientos relativos a respuesta a emergencias e intensificacin de riesgos 5.A.7 Garantizar que los procedimientos de respuesta a emergencias estn integrados con las obligaciones de las autoridades (mirar tambin el tema 10, Coordinacin con organismos externos) Pruebas, mantenimiento y revisin 8.A.1 Planificar previamente y coordinar las pruebas 8.A.2 Facilitar las pruebas 8.A.3 Evaluar y documentar los resultados de las pruebas 8.A.4 Actualizar los planes 8.A.5 Informar de los resultados y evaluaciones a la direccin 8.A.6 Coordinar el mantenimiento constante de los planes 8.A.7 Ayudar a establecer un programa de auditoras para los planes Integrar la GCN en la cultura de la organizacin 7.A.1 Establecer los objetivos y componentes del programa de formacin y concienciacin de GCN 7.A.2 Identificar las necesidades prcticas para la concienciacin y formacin 7.A.3 Desarrollar la metodologa para la concienciacin y formacin 7.A.4 Adquirir o desarrollar las herramientas para la concienciacin y formacin 7.A.5 Identificar las oportunidades de concienciacin y formacin externas 7.A.6 Identificar las opciones alternativas para la concienciacin y formacin de la organizacin.
cap
123456
113
114
cap
INDICADORES CLAVE DE GCN Estos son los elementos clave de lo que se espera de una organizacin con una GCN madura 1. La organizacin lleva a cabo un programa formal y reconocido de concienciacin para la GCN 2. El programa de concienciacin es responsabilidad de un integrante del equipo de alta direccin 3. El programa de concienciacin est dotado de un presupuesto adecuado y aprobado expresamente para ese propsito 4. La organizacin posee una evaluacin actualizada y precisa acerca del nivel de concienciacin de GCN en todo su personal 5. El programa de concienciacin resulta efectivo para integrar la GCN en la cultura de la organizacin 6. Todo el personal de GCN ha recibido la formacin adecuada 7. Todo el personal no dedicado a la GCN posee las habilidades necesarias para desempear sus funciones preestablecidas para responder a un incidente y reestablecer el negocio 8. Todos los proveedores y empresas subcontratadas considerados crticos llevan a cabo las actividades de concienciacin para la GCN 9. La efectividad de toda la actividad de concienciacin de GCN se comunica formalmente a la alta direccin 10. El equipo de GCN se muestra proactivo a la hora de obtener informacin externa relativa a la GCN 11. El programa de concienciacin cumple un calendario previamente acordado 12. El programa de concienciacin de la organizacin contiene actividades planificadas A. Que evalan de forma precisa las necesidades actuales de concienciacin de la organizacin B. Que organizan y ofrecen la formacin adecuada de GCN para todo el personal C. Que integran de forma fehaciente la continuidad de negocio en la organizacin D. Que verifican realmente que todo el personal de GCN ha recibido la formacin adecuada 13. La documentacin del programa de concienciacin de GCN en la organizacin A. Describe de forma clara su relacin con los dems documentos relevantes B. Est totalmente actualizada y refleja las necesidades de la organizacin C. Est sujeta a un control sistemtico de sus versiones y distribucin 14. El programa de concienciacin de GCN A. Toma totalmente en cuenta la poltica de GCN y cumple con todos sus requisitos B. Se revisa al menos una vez al ao para verificar que cumple el programa y poltica de GCN C. Se revisa formalmente despus de cualquier cambio importante en el negocio D. Est formalmente ratificado por la alta direccin E. Cumple con todas las obligaciones legales.
123456
ANOTACIONES
ANOTACIONES

Buenas Practicas Continuidad Negocio 2007 BCI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Buenas Practicas Continuidad Negocio 2007 BCI

Cargado por

Copyright:

Formatos disponibles

MANUAL DE BUENAS PRCTICAS 2007

MANUAL DE BUENAS PRCTICAS 2007

ASOCIACIN ESPAOLA PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIN

MANUAL DE BUENAS PRCTICAS 2007

Gianluca D'Antonio Presidente de ISMS Forum Spain Noviembre de 2007

ACERCA DE ESTA GUA

ACERCA DE ESTA GUA

ESTRUCTURA DE ESTA GUA

102 103 104 107 110 112 114

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

Tabla: Comparacin entre Gestin de Riesgos y Gestin de Continuidad de Negocio

Todas, desde graduales hasta sbitos

POLTICA Y GESTIN DE PROGRAMA DE GCN

Preguntas que responden

Contenidos descritos ms adelante Qu es lo ms importante que hay que saber?

POLTICA Y GESTIN DE PROGRAMA DE GCN

La estructura y formato de cada componente sigue un esquema comn:

Preguntas que responden

Figura: El ciclo de vida de GCNBS 25999-1

Probar, mantener y revisar

Gestin del programa GCN Desarrollar e implantar una respuesta de GCN

Determinar las opciones de GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

Actividad 1 Alta Direccin BCM LA EMPRESA

POLTICA Y GESTIN DE PROGRAMA DE GCN

Opciones de producto/ Servicio

Cambio, Suspensin o cancelacin definitiva

Opciones para la actividad basadas en niveles operativos aceptables

Programa de gestin de riesgos (BS 25700)

Fuerza laboral, habilidades y conocimientos

Instalaciones del lugar de trabajo

Proveedores, clientes y dems partes interesadas

Diagrama: Opciones para productos y servicios

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

POLTICA Y GESTIN DE PROGRAMA DE GCN

captulo 1 2 3 4 5 6 Comprender la organizacin

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

captulo 1 2 3 4 5 6 Determinar la estrategia de Continuidad de Negocio

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO