Está en la página 1de 108

The Business Continuity Institute

GUía de BUeNas PráCtICas 2010

edición Global

The Business Continuity Institute GUía de BUeNas PráCtICas 2010 edición Global Una guía de gestión para

Una guía de gestión para la Implementación de Buenas Prácticas en la Gestión de la Continuidad del Negocio

The Business Continuity Institute GUía de BUeNas PráCtICas 2010 edición Global Una guía de gestión para
The Business Continuity Institute GUía de BUeNas PráCtICas 2010 edición Global Una guía de gestión para

Versión al español realizada por

The Business Continuity Institute GUía de BUeNas PráCtICas 2010 edición Global Una guía de gestión para

Con el apoyo de

The Business Continuity Institute GUía de BUeNas PráCtICas 2010 edición Global Una guía de gestión para

© Copyright the Business Continuity Institute. Cualquier reproducción o distribución de la Guía de Buenas Prácticas está prohibida sin el permiso expreso y por escrito de the Business Continuity Institute. Todo el contenido, a menos que se indique lo contrario es de the Business Continuity Institute. Todas las referencias a la Guía de Buenas Prácticas deben acreditar the Business Continuity Institute.

Contenido

Contenidos

Agradecimientos ....................................................................................................................................................................................................................................

1

Calificaciones Profesionales del BCI

1

Que es la Gestión de Continuidad del Negocio? Porque tenemos la Guía de Buenas Prácticas GBP? .....................................................................................................................

GCN Tendencias y

Observaciones.................................................................................................................................................................................

4

No es sólo para incidentes físicos de gran impacto y baja probabilidad Diversos orígenes de práctica Que habilidades requiere el profesional de GCN? GCN: Integrada o Centralizada? Un gestor dedicado a la GCN no es el único modelo

La GCN en Contexto .......................................................................................................................................................................................................................5

La GCN no es

.

La GCN es

La GCN y la Resiliencia del Negocio La GCN y la Gestión de Riesgos La GCN y la Gestión de Crisis

.

La GCN, Estándares y Cumplimiento

7

Qué ha cambiado desde la versión inicial?

Quién debe leer esta Guía?

8

Orígenes de la Gestión de Continuidad del Negocio

9

Glosario de Términos

11

Guía de Buenas Prácticas 2010

16

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[I]

Contenidos

GCN – Gestión de las Prácticas Profesionales

  • 01 Política y Gestión del Programa

Ciclo de Vida GCN

20

Visión de la Gestión de la Política y el

21

alineación de la Política de la GCN a la Cultura Organizacional

22

alcance del programa de la GCN y determinación de sus alternativas

23

desarrollo de la Política de GCN

26

actividades externalizadas

27

revisión del Programa de Gestión de la GCN

28

asignación de responsabilidades ..........................................................................................................................................................................................

29

Implementación de la GCN en la Organización

30

Gestión

de

Proyectos

31

Gestión en Curso de la Continuidad del Negocio

32

documentación de la

 

33

  • 02 Integrar la Gestión de la Continuidad del Negocio en la Cultura

Organizacional

Integrar la GCN en la Cultura de la Organización

37

................................................................................................................................ Visión de la Integración de la GCN en la cultura de la Organización ......................................................................................................40

desarrollo de la GCN dentro de la Cultura de la Organización

42

Monitorización del Cambio Cultural

44

Logro del Cambio Cultural a través de sistemas de Gestión de Normas

45

[II]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN – Técnicas de las Prácticas Profesionales

Contenidos

03

Entendimiento de la Organización

Entendimiento de la Organización ............................................................................................................................................................................47

análisis de Impacto en el Negocio .......................................................................................................................................................................................48

análisis de requerimientos de Continuidad

52

evaluación de amenazas a través del análisis de riesgo

53

04

Determinar la Estrategia de Continuidad del Negocio

Determinar la Estrategia de Continuidad del Negocio

57

Identificación y selección de estrategias

58

Identificación y selección de respuestas

61

Consolidación de Niveles de recursos

64

05

Desarrollar e Implementar una Respuesta de la GCN

Desarrollar e Implementar una Respuesta de la GCN

67

estructura de respuesta ante un Incidente

69

desarrollo y Gestión de Planes

71

Planes estratégicos

76

Planes

tácticos ......................................................................................................................................................................................................................................

78

Planes Operativos

79

06

Ejercitar, Mantener y Revisar la GCN

Ejercitar, Mantener y Revisar la GCN

....................................................................................................................................................................

83

desarrollar un programa de ejercicios ..............................................................................................................................................................................84

ejercitar las actividades de la GCN

87

Mantenimiento de los Planes de la GCN

89

revisión y auditoría de los Planes de la GCN

90

Información de Apoyo

ANEXO 1 .......................................................................................................................................................................................................................................................95

Consejos para la selección adecuada de Opciones tácticas de recuperación

ANEXO 2

...................................................................................................................................................................................................................................................

101

Consejos para la selección de Medidas alternas para la Mitigación de riesgos

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[III]

istockphotos.com/lorrainedarke

Agradecimientos

estas guías reflejan la considerable experiencia académica, técnica y práctica de los integrantes del Business Continuity Institute - practicantes senior quienes han desarrollado y estructurado el concepto de la Continuidad del Negocio internacionalmente.

Las Guías de Buenas Prácticas (GBP) 2010 están encaminadas para ser utilizadas por practicantes, consultores, auditores y reguladores que posean un conocimiento racional sobre la Gestión de la Continuidad del Negocio GCN y sus principios básicos. Las guías no pretenden servir como guía de principiantes; sin embargo, proveen material excelente para quienes desean convertirse en practicantes certificados en GCN por medio del modelo de examen CBCI. Quien ingresa a la disciplina debe también trabajar junto con un practicante experto o atender un programa adecuado de capacitación.

el trabajo en la GBP 2010 se inició en febrero de 2009 con la conformación de un equipo de trabajo y el encuentro de líderes de grupos individuales. Los borradores iniciales se produjeron en septiembre de 2009 con revisiones entre los colegas, amplia consulta y evaluaciones durante los meses de Octubre y Noviembre. Las versiones finales consolidadas fueron acordadas por el editor en Jefe durante diciembre de 2009 y enviadas para su revisión y aprobación por el Grupo de análisis de Calidad del Concejo de Miembros del BCI en enero de 2010. La planificación del diseño final del trabajo, su publicación y lanzamiento tuvo lugar durante los meses de Febrero y Marzo de 2010.

el equipo del proyecto estuvo integrado por:

editor en Jefe: Lyndon Bird FBCI revisores jefes: Ian Charters FBCI, Mel Gosling MBCI Líder del equipo de aseguramiento de Calidad: Lesley Grimes MBCI secretaría del Comité: Jan Gilbert soporte editorial: Lee Glendon soporte al Glosario: Mark Pemberty FBCI Líderes del Grupo de Práctica: Ian Charters FBCI, steven Cvetkovic sBCI, Mel Gosling MBCI, angela Hobley MBCI, Odile Nectoux aMBCI, anton Wroblewski MBCI.

adicional a los anteriores, el siguiente equipo de miembros del BCI y su grupo de trabajo, aportaron su tiempo y rigor intelectual para dirigir revisiones exhaustivas, sugerir mejoras y realizar pruebas de lectura. sin su apoyo habríamos tenido un documento mucho menos comprensible.

Howard Booth MBCI, s tacey Farrow MBCI, d ebbie Featherstone a MBCI, a chilles Figueiredo a MBCI, Ulysses Figueiredo MBCI, Ian Griffiths MBCI, Nic Handy MBCI, Gayle Hedgecock MBCI, Mike Hill FBCI, d oug Kettle MBCI, Penny Killow MBCI, d avid Lightfoot MBCI, Jorge Lozano MBCI, James Mc a lister MBCI, Charlie Maclean-Bristol MBCI, d ominic Marino a MBCI, Margaret Millet MBCI, s arah Morgan MBCI, Norman Powell MBCI, Marie- Hélène Primeau MBCI, Clifford s eow MBCI, Brigitte t heuma MBCI, Pauline Wilson MBCI y John Worthington MBCI.

el Business Continuity Institute agradece el tiempo y experiencia otorgados de manera voluntaria por todas las personas relacionadas anteriormente para el desarrollo de las Guías de Buenas Prácticas para el beneficio del BCI y de la industria de la continuidad del negocio. todos quienes contribuyeron al desarrollo de las Guías han acordado que no tienen derechos de autor o derechos sobre IP para el material, el cual queda como propiedad del Business Continuity Institute. el diagrama del Ciclo de Vida de la GCN y algunos términos del glosario se utilizan agradeciendo al British standards Institute.

Calificaciones Profesionales del BCI

aquellos individuos que deseen convertirse en profesionales miembros del BCI, requieren demostrar competencias en las seis prácticas profesionales. el examen CBCI probará el conocimiento en la materia de las GBP 2010, a lo largo de las seis áreas. Las preguntas se basan en el contenido de la guía. Los candidatos que tengan éxito serán acreditados con la aprobación o aprobación con merito.

Para quienes desean avanzar a niveles profesionales de práctica (AMBCI, SBCI, MBCI O FBCI), también deberán demostrar experiencia probada a través de las prácticas profesionales. El detalle sobre las necesidades para acreditar experiencia está disponible en www.thebci.org.

Lyndon Bird FBCI

Editor en Jefe Director Técnico Internacional The Business Continuity Institute

© the Business Continuity Institute 2010 traducción al español realizada por: Carlos Vargas CBCP

revisada por: Joanne Gagnon aMBCI, sandra Garcés MBCI, Marcelo Barrera MBCI, Manuel Casas CBCP Carlos J. diaz aMBCI.

realizada por Fundación Colombian Projects for Life, con el apoyo de: aLCONt “asociación Latinoamérica de Continuidad”

[1]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Introducción a la Guía

Esta introducción establece el contexto para la lectura de la Guía Global BCI de Buenas Prácticas 2010. La práctica profesional de la Gestión de la Continuidad del Negocio ha cambiado considerablemente desde la creación del BCI en 1994 y continuará desarrollándose en tanto que su aplicación y valor sean reconocidos por una audiencia más amplia.

El momento de la publicación de esta Guía nos da una pausa para reflexionar:

estamos experimentando la primera pandemia mundial de gripe del siglo XXI. También estamos experimentando una crisis económica global sin antecedentes en la memoria de la mayoría de las personas en este planeta y estamos llegando a acuerdos de que tenemos nuevas amenazas globales que incluyen la seguridad energética, la migración masiva, la delincuencia cibernética y el cambio climático.

En este contexto de incertidumbre, resulta alentador que la disciplina de GCN haya demostrado ser capaz de evolucionar, pero aún sigue siendo relevante de cara a estos grandes cambios empresariales y sociales.

BCI Good Practice Guidelines 2010 | GLOBAL EDITION

[2]

istockphotos.com/lorrainedarke

Introducción

Qué es la Gestión de la Continuidad del Negocio?

La definición utilizada en anteriores ediciones de la GBP no ha cambiado y es consistente con la Norma Británica Bs25999.

La Gestión de la Continuidad del Negocio (GCN) es un proceso holístico que identifica las amenazas potenciales a una organización y los impactos a las operaciones del negocio que esas amenazas, podrían causar si se llegaran a materializar. Proporciona un marco de referencia para construir la resiliencia organizacional con la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes interesadas, la reputación, la marca y las actividades creadoras de valor.

Por qué tenemos la Guía de Buenas Prácticas GBP?

e l valor de la Guía de Buenas Prácticas GBP para los profesionales es que considera no sólo el “qué” sino también el “por qué” y el “cómo”, basado en experiencias mundiales reales de los profesionales de la GCN. La Guía de Buenas Prácticas GBP también tiene la flexibilidad suficiente para identificar tendencias futuras, retos y problemas que los profesionales todavía están debatiendo.

La Guía de Buenas Prácticas GBP provee una línea de base y un lenguaje común para ayudar a la profesión de la GCN y al desarrollo individual de sus practicantes. e s la base para el examen de acceso al BCI, y aunque no es la única publicación sobre todos los aspectos relativos a la GCN, proporciona un punto de referencia para las organizaciones académicas y comerciales de la GCN para utilizarla.

La Gestión de Continuidad del Negocio (GCN) es un proceso holístico que identifica las amenazas potenciales a una organización y los impactos a las operaciones del negocio que esas amenazas, podrían causar si se llegaran a materializar. Proporciona un marco de referencia para construir la resiliencia organizacional con la capacidad para una respuesta efectiva que salvaguarde los intereses de las partes interesadas, la reputación, la marca y las actividades creadoras de valor.

[3]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN tendencias y Observaciones

Introducción

No es sólo para incidentes físicos de gran impacto y baja probabilidad

La GCN ya no sólo trata sobre cómo gestionar incidentes de gran impacto y baja probabilidad. se está convirtiendo en un facilitador esencial de la resiliencia organizacional como parte de la “operación normal”, gracias principalmente a su enfoque en la identificación y protección de las fuentes de valor dentro de la organización. La metodología también está comenzando a aplicarse para hacer frente a incidentes no físicos.

diversos orígenes de práctica

Con mayor conciencia y la adopción de las prácticas de la GCN alrededor del mundo, la diversidad de la experiencia de los practicantes se multiplica. Mientras los profesionales veteranos pueden compartir experiencias en la tecnología de la Información tI, las fuerzas armadas, los servicios de emergencia, los nuevos practicantes vienen de empresas de consultoría, aseguramiento de la información, riesgo y seguros, cumplimiento y calidad. además con la GCN convertida en un nuevo tema académico, estamos empezando a ver el nivel de crecimiento en la profesión y se espera que esta tendencia aumente en el futuro.

Qué habilidades requiere el profesional de GCN?

el practicante de GCN necesita demostrar buena capacidad de análisis, sólidas habilidades en planificación y Gestión de proyectos, habilidades para comunicar e influenciar efectivamente y entender técnicas para la valoración de inversiones. Junto con un amplio entendimiento funcional de las organizaciones, es esencial para un profesional de la GCN entender el lenguaje, el modelo de operación y los procesos de la organización donde se aplicará la GCN.

GCN: Integrada o Centralizada?

durante las primeras fases de la implementación de la GCN en la organización, habrá de ser necesario para los profesionales especialistas en GCN, administrar proyectos, coordinar el desarrollo de planes, organizar ejercicios y pruebas y validar la capacidad de la GCN.

en una organización mucho más madura en la que estas técnicas ya estén integradas en los niveles funcionales, el rol del gestor de la GCN será el de responsabilizarse de las políticas, gobierno y actividades de aseguramiento de la calidad, posiblemente reportando a la jefatura de Gestión de riesgos, auditoria, cumplimiento o a la dirección General.

Un gestor dedicado a la GCN no es el único modelo

Por naturaleza, la Gestión de la Continuidad del Negocio GCN es un proceso funcional y transversal en las organizaciones. Inicialmente, el gestor de la GCN tiene el rol de facilitador y administrador del programa de la GCN. Los planes para asegurar la continuidad del negocio son propiedad de las áreas de la organización que requieren proteger sus actividades claves generadoras de valor o los activos. el costo del desarrollo y mantenimiento de los niveles adecuados de preparación necesitan provenir de estas áreas.

Quienes se encuentran involucrados en el proceso de GCN, diferirán de una organización a otra, reflejando su propio modelo organizacional y de negocio. Por ejemplo, las compras son cada vez más importantes en los programas de GCN debido a que las cadenas de suministro se han extendido y se ha incrementado el uso de los servicios de externalización y descentralización.

en organizaciones más pequeñas, la GCN es vista como un anexo a una multitud de disciplinas que incluyen salud y seguridad, seguridad y tecnología. sin embargo, se necesita reconocer que el enfoque de la GCN se enlaza a un incidente o tipo de evento específico y

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[4]

Introducción

no sugiere un enfoque total de la GCN en la organización. también es difícil para el profesional de la GCN que está inmerso dentro de una única función influir más allá con esta función. sin embargo, para ser eficaz la GCN debe reconocerse por la alta dirección como una disciplina del negocio, adueñada por el negocio, coordinada y facilitada de manera centralizada.

La GCN debe iniciarse desde la dirección por la razón esencial de que la GCN es acerca de lo más importante y abarca las actividades sensibles al tiempo. realizar, por ejemplo, un análisis de Impacto sobre el Negocio (aIN) de abajo hacia arriba, puede entregar un cuadro general distorsionado y desbalanceado de qué y quién es crítico ...

La GCN en Contexto

La GCN no es

. .

.

La GCN no se trata de “todo”. este enfoque demuestra falta de claridad de pensamiento. La GCN es una herramienta que ayuda a mejorar el desempeño de las organizaciones. debemos evitar que se convierta en un ejercicio corporativo más por “chequear”. Podemos ayudarnos al respecto asegurando la aplicación rigurosa de la GCN para proteger el valor de una organización, pero utilizar nuestras habilidades y técnicas para enfocarlo en aquello que es importante y urgente. Un ejemplo es la Cadena de suministro: No es necesario exigir a todos los proveedores un programa de la continuidad del negocio como parte del proceso de suministros: es mejor ir con más detalle con aquellos que han sido definidos como críticos en el análisis de Impacto sobre el Negocio en lugar de gastar la misma cantidad de tiempo (y tiempo de los proveedores) de manera indiscriminada.

La GCN es… La GCN y la resiliencia del Negocio

La Gestión de la Continuidad del Negocio GCN, como una disciplina recién llegada al mundo de los negocios, claramente no existe desde el principio y, naturalmente, las organizaciones buscan entender en qué parte su aplicación generará valor y cómo se integra con otras actividades que están soportando los mismos objetivos organizacionales. también tenemos que reconocer que las organizaciones no están arrancando de una hoja en blanco: algunos aspectos de la GCN siempre han estado presentes en las organizaciones, con diferentes nombres.

Las vulnerabilidades en el negocio y en el modelo de operación de una organización pueden considerarse en siete áreas: reputación, cadena de suministro, información y comunicaciones, sedes e instalaciones, personas, finanzas y clientes. el uso de este modelo sencillo demuestra a la alta dirección el valor y la naturaleza integradora – holística de la GCN de manera interfuncional y transversal en la organización.

La aplicación exitosa del Programa de la Gestión de la Continuidad del Negocio GCN incrementa la resiliencia de la organización lo cual contribuye a mejorar su desempeño corporativo. La resiliencia está ampliamente definida como la capacidad de una organización para absorber, responder y recuperarse de interrupciones. La GCN proporciona de una forma única el marco de referencia para entender cómo se genera y mantiene la creación de valor dentro de la organización y establece una relación directa con las dependencias o vulnerabilidades inherentes a la entrega de ese valor.

La resiliencia no se trata fundamentalmente sobre cómo detener o prevenir en primera instancia la ocurrencia de una interrupción. La dependencia en la gestión de riesgos o de seguridad para brindar protección integral, inevitablemente generará desconfianza, porque la mayoría de incidentes de la Continuidad del Negocio, por naturaleza, son en gran medida impredecibles.

[5]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

La GCN y la Gestión de riesgos

Introducción

en la sala de juntas, la GCN es un elemento contributivo clave para un gobierno corporativo efectivo. Usualmente está posicionada bajo la Gestión de riesgos y permite a las partes interesadas investigar sobre aspectos como:

El modelo corporativo y del negocio de la compañía Los productos y servicios claves generadores de valor Dependencias claves, activos y procesos críticos Cómo la organización responderá a una pérdida o a las amenazas que las genera • Qué tipo de amenazas existen hoy y estarán presentes en el futuro • Evidencia de que los planes de continuidad, funcionarán en la práctica

La Gestión de riesgos empresarial en la actualidad es otra disciplina firmemente integrada como disciplina estratégica en muchas organizaciones grandes. Mientras que la GCN ha evolucionado a partir del mundo de la tecnología y de la “recuperación ante desastres”, la Gestión de riesgos empresariales (Gre), ha evolucionado a partir del mundo de los seguros. La metodología de la GCN se desarrolló en un tiempo en el que la Gre aún estaba en su período de infancia y entonces fue necesario incorporar el análisis de riesgos a la metodología de GCN. en el mundo actual más desarrollado de Gre, la Gestión de la Continuidad del Negocio GCN ha sido erróneamente vista por algunos como un tratamiento de los riesgos para todos los eventos de riesgo operativo, en su mayoría de carácter físico, y caracterizados normalmente como “de alto impacto, baja frecuencia”

La GCN no está tampoco para identificar, analizar y reportar todos los riesgos concebibles a una organización, su mercado, clientes, y el amplio mundo en el que opera, ni tampoco para calcular las probabilidades de ocurrencia de eventos. es importante notar que la GCN se enfoca en identificar vulnerabilidades en las organizaciones, especialmente aquellas ligadas al valor subyacente que soportan y entienden el impacto de su no disponibilidad en el tiempo en la organización.

La Guía de Buenas Prácticas es ambivalente frente a la presencia o ausencia de un sistema de Gestión de riesgos en una organización. desde la perspectiva de la GCN, es importante hacer énfasis en que si un producto o servicio ha sido identificado como crítico en el tiempo, entonces la respuesta de la GCN es esencial y cualquier otro tratamiento sería ilusorio en su eficacia.

La GCN y la Gestión de Crisis

La metodología de la GCN está fuertemente ligada con la Gestión de Crisis a través del componente Gestión del Incidente. en el contexto de la GCN, los incidentes vienen en diferentes formas y tamaños e invocarán el plan GCN. sin embargo, muy pocos incidentes son designados como “crisis”. La Gestión de Crisis está vista como el dominio del profesional de las relaciones públicas y de las comunicaciones y con el

profesional de la GCN en el rol de apoyo, si está involucrado de alguna manera. La Gestión de Crisis está vista también como la respuesta a eventos tanto físicos como no físicos y a diversos tipos de incidentes como financieros y de daños a la reputación de la marca.

el vínculo entre la Gestión de Crisis y la de Incidentes, es que la GCN considera cualquier interrupción de manera holística y determina cómo la organización responderá a la interrupción, continúa sus actividades y se recupera. Los profesionales de la GCN consideran que la respuesta a los medios en un incidente o crisis es parte integral de un Programa completo de la Continuidad del Negocio.

el Plan de emergencias también es relativo a la Gestión de Incidentes. aquí la diferencia radica en que el Plan de emergencias, normalmente es visto como el dominio de los “servicios de autoridades locales” como policía, bomberos, ambulancias y autoridades locales, más que el plan para las organizaciones en general donde el equipo de incidentes podría coordinar con los equipos de respuesta a la emergencia.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[6]

Introducción

La GCN, estándares y Cumplimiento

desde que fue lanzado el concepto original de la Guía de Buenas Prácticas, una buena cantidad de estándares nacionales e internacionales han intentado codificar la GCN en la estructura de la arquitectura de los sistemas estándar de Gestión. La más extendida hasta el momento ha sido la norma Bs25999 de la British standards Institute, aunque han surgido otras (o están en su etapa final de desarrollo) en los estados Unidos, singapur, australia y Canadá.

al momento de la redacción de estas guías, está en desarrollo un nuevo estándar internacional para la GCN, el IsO22301; también se está desarrollando el IsO22399 como código de práctica, de manera que es difícil saber exactamente cómo se podrán consolidar todos. La Guía de Buenas Prácticas no pretende competir con los estándares IsO u otros estándares nacionales. desde la perspectiva del BCI, es evidente que cualquier estándar certificable requiere personal competente y experto para diseñar, implementar y asegurar el trabajo. esta Guía de Buenas Prácticas GBP establece las competencias individuales específicas que son esenciales en la implementación de un código de prácticas GCN o un esquema de certificación para la organización.

el BCI siente que la adopción de la GCN debe estar guiada por la necesidad de altos niveles de resiliencia en la organización y su consecuente funcionamiento antes que por reguladores y legisladores. sin embargo, donde existe el cumplimiento de la regulación para la continuidad de las operaciones, la GCN es claramente una metodología probada capaz de demostrar tal cumplimiento.

Qué ha cambiado desde la versión inicial?

Los principales componentes permanecen iguales, pero algunos han sido refinados en el lenguaje y se ha puesto más énfasis en tendencias y aspectos globales. No existe ninguna referencia cruzada con la Bs25999 y no implica correlación directa entre la GBP2010 y la norma Bs25999 más allá de lo expresado a alto nivel por el modelo del ciclo de vida.

La Guía de Buenas Prácticas GBP2010 todavía abarca las seis fases del ciclo de vida de la GCN pero ahora los interrelaciona más directamente a lo que se ha definido como Prácticas Profesionales (PP). Las seis PPs están subdivididas en dos Prácticas de Gestión y cuatro Prácticas técnicas.

Prácticas de Gestión

Política y Gestión del Programa

• Integración de la GCN en la Cultura Organizacional

Prácticas Técnicas

Entendimiento de la organización

Determinación de la Estrategia GCN

Desarrollo e Implementación de la Respuesta GCN

Ejercicios, Mantenimiento y Revisión

[7]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

istockphotos.com/lorrainedarke

Quién debe leer esta Guía?

Introducción

esta guía no es sólo para aquellos profesionales de GCN que están buscando una certificación profesional. Como un cuerpo de conocimiento, la guía es utilizada como guía para los cursos de formación del BCI y sesiones informativas de capacitación para los compañeros que necesitan entender mejor la GCN. dentro de estos compañeros se pueden incluir desde los profesionales de relaciones públicas, de Gestión de Crisis, hasta los profesionales de las cadenas de suministros y personal de recursos humanos.

La GCN no está restringida a algún sector de la industria; de hecho, aplica para todas las organizaciones codificadas en los códigos de la Clasificación estándar Industrial para las organizaciones representadas que se revela en todas las categorías de las organizaciones integrantes del BCI. así mismo, la utilización del término “negocio” no significa que la GCN sólo se refiera a las organizaciones con enfoque comercial: el sector del gobierno puede beneficiarse con la adopción de las prácticas GCN, lo mismo que las organizaciones voluntarias y sin ánimo de lucro.

Mientras la GCN puede demostrar su adopción saludable en organizaciones de tamaños mediano y grande, hay un gap reconocido para su adopción en organizaciones pequeñas. No existe nada “corporativo” inherente a la GCN; sin embargo, el BCI reconoce que muy pocos propietarios de negocios pequeños tienen tiempo y recursos suficientes para seguir la GBP completamente, de tal manera que se han producido materiales alternativos simplificados basados en la GBP para ayudarlos.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[8]

Introducción

Orígenes de la Gestión de la Continuidad del Negocio

Los orígenes exactos de la Gestión de la Continuidad del Negocio GCN están abiertos a varios debates, pero ciertamente algunos aspectos de su historia están completamente establecidos. Los sitios comerciales para la recuperación ante desastres iniciaron en los estados Unidos al final de la década de los años 70 lo que inevitablemente creó la demanda de consultoría por parte de terceros. Inicialmente, el objetivo de la consultoría fue el Procesamiento de datos o Management Information system – MIs (luego conocida como It/ItC) que por su naturaleza, fue técnica.

el tema comenzó a conocerse como disaster recovery Planning (drP).

Uno de los problemas que inicialmente enfrentaron los pioneros en este nuevo campo fue la dificultad para convencer a la alta dirección sobre la justificación para hacer inversiones significativas en algo que probablemente nunca sucedería. esto condujo al concepto de análisis de Impacto en el Negocio aIN (Business Impact analysis BIa) para añadir más enfoque del Negocio a los procesos.

Las metodología iniciales para el aIN tuvieron lugar en los estados Unidos a mediados de los años 80 y fueron rápidamente recogidas y traídas a europa (especialmente al reino Unido) y australia. Por tanto, es cierto que los modelos originales del aIN llevaron a sus primeras aplicaciones en el amplio mundo de Continuidad del Negocio. Los primeros consultores que desarrollaron exitosamente las metodologías comerciales para drP provienen de los estados Unidos, pero estos métodos fueron establecidos y mejorados rápidamente en europa.

en este punto, es entonces donde radican las diferentes opiniones sobre cómo evolucionó gradualmente la GCN desde el drP. La visión del BCI se basa en el conocimiento de muchos profesionales a través de su experiencia y memoria. No es necesario contar la historia completa pero lo que sí es seguro es que los profesionales activos y nuevos deben beneficiarse de su conocimiento.

el primer uso conocido del término “Continuidad de Negocio” se hizo través de ron Ginn (quien más adelante se convirtió en el primer presidente del BCI) en 1986, luego de sus investigaciones en los estados Unidos y de haber entrevistado a varios profesionales destacados. ron escribió un libro titulado “Continuity Planning” (Plan de Continuidad) que postula una aplicación de las herramientas del drP en un amplio rango de riesgos del negocio de riesgo y de interrupciones operativas potenciales.

Una organización del reino Unido llamada “survive” comenzó en 1986 a atender las necesidades en un foro en el cual las personas encargadas de la recuperación ante desastres podían compartir su experiencia y conocimiento. esta organización más tarde se convirtió en proveedora de formación, eventos y publicaciones, pero su visión inicial de grupo integrador de redes, fue exitosa. se establecieron grupos similares en varios países especialmente de habla inglesa. Cuando “survive” en 1991 decidió dejar las referencias del drP y renombrarse “the Business Continuity User Group”, ésto tuvo un impacto significativo en el cambio de la percepción que externamente se tenía sobre el tema.

al mismo tiempo, dos de las más grandes compañías norteamericanas de recuperación de desastres también cambiaron su estrategia con la visión de “Continuidad” como un mensaje más cálido y optimista que “recuperación”. desafortunadamente, se sugirió de manera errónea que la GCN era otra forma de nombrar dr y posiblemente ello obstaculizó su crecimiento como una nueva disciplina especialmente en Norteamérica.

Otro desarrollo clave fue el lanzamiento del “British standard for Information security” el cual, rápidamente se convirtió en el estándar IsO17799. este estándar incluyo en sus capítulos principales la necesidad de la Gestión de la Continuidad del Negocio lo cual se definía en

[9]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Introducción

términos de disponibilidad de Información. esto generó más confusión en el debate y su resultado fue que los profesionales reclamaron que la GCN fuera simplemente un subtema de la seguridad de la Información. este punto de vista se sostuvo bastante en aquellos países en los que la GCN no se había comenzado a estabilizar en esta etapa, más obviamente en el centro y el norte de europa.

en 1993 “survive” configuró un grupo de trabajo para estudiar y certificar profesionales en la continuidad del negocio. se percibió la necesidad de distinguir entre profesionales especializados y consultores generales, usualmente con formación en It. en los estados Unidos por las mismas fechas tuvieron lugar debates similares que condujeron a la formación del disaster recovery Institute.

el BCI fue fundado en 1994 como resultado directo de las recomendaciones de un grupo de trabajo de “survive”. durante el desarrollo y lanzamiento del BCI, fue necesario definir el conjunto de habilidades para medir y juzgar la capacidad de aquellos quienes solicitaron reconocimiento o calificación. Originalmente se propuso que debían ser 13 o 14 habilidades, pero con el tiempo se redujeron a 10 estándares de competencia. estos estándares de competencias profesionales fueron desarrollados y acordados mediante esfuerzos cooperados con el disaster recovery Institute (hoy drII) de estados Unidos.

Hacia finales del siglo XX, surgió la idea de un enfoque holístico de extremo a extremo. se hizo obvio que existía la necesidad de proveer protección y resiliencia que abarcara a toda la organización. a pesar del “bombo” desplegado por la molestia ocasionada por el cambio de milenio, el trabajo internacional serio realizado por las mayores corporaciones, demostró un alto nivel de dependencia en pocos proveedores y puntos únicos de falla. se pensó entonces en encapsular la primera propuesta hecha años atrás en el concepto de la Continuidad del Negocio, pero se había tomado más de una década ganar una mayor escala de entendimiento. esto generó iniciativas tales como Bs25999 y otros estándares nacionales de GCN viables que podrían estar basados en una solida estructura conceptual.

el siglo XXI vio con determinación codificar la Gestión de la Continuidad del Negocio y clasificarla como parte de la familia de los estándares de Gestión de sistemas siguiendo el camino forjado por Calidad, seguridad de la Información y servicios ambientales. esto inicio con un buen número de guías estándar como la Pas56 del reino Unido, la NFPa 1600 de los estados Unidos y varios manuales de australia y asia. Los cuerpos regulatorios como el Fsa (reino Unido), aPra (australia) y la reserva Federal (estados Unidos) fueron también activos en este campo, particularmente después de la destrucción de las torres gemelas en Nueva York. en el momento de la publicación de este documento, existen estándares nacionales formales en un buen número de países y se espera un estándar IsO. sin embargo, la entrega del estándar IsO se ha atrasado debido al deseo de algunos países de extender el tema e incluir la seguridad y la Gestión de emergencias y de cambiar el nombre de la disciplina a resiliencia Operativa. en general, el BCI no está a favor de la dilución de la esencia de la disciplina de la GCN, pero apoya la bien intencionada aspiración que estas disciplinas deben estar mejor alineadas

El Siglo XXI vió con determinación codificar la Gestión de Continuidad del Negocio y clasificarla como parte de la familia de los estándares de Gestión de Sistemas siguiendo el camino forjado por Calidad, Seguridad de la Información y Servicios Ambientales.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[10]

Introducción

Glosario de términos

es reconocida la existencia de muchos términos y definiciones alrededor del mundo que se relacionan con la GCN o los temas sinérgicos como Gestión de riesgos y Planificación de emergencia. sería imposible incluirlos a todos en un glosario pero el BCI intenta mantener actualizado tanto como sea posible el directorio de tales términos y sus fuentes, que se pueden encontrar en www.thebci.org

Los términos de este glosario se aplican únicamente al contexto en el que son utilizados en la GBP2010.

Para el propósito de la GBP2010, aplican las siguientes definiciones:

Abreviado

Término

Definición

 

Aceptación del Riesgo

decisión administrativa para no tomar ninguna acción de mitigación del impacto de un riesgo en particular.

 

Actividad

Proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o apoya uno o más productos o servicios

 

Actividad Urgente

término utilizado para cubrir actividades de apoyo de productos y servicios que necesitan hacerse en una escala de tiempo muy corta. Otros términos como Inmediato o tiempo Crítico pueden también utilizarse, pero sólo “Crítico” implica actividades menos urgentes que también son menos importantes.

 

Activo

Cualquier elemento que tiene valor para la organización.

GCN

Gestión de la Continuidad del Negocio

Proceso holístico de gestión que identifica amenazas potenciales a la organización y los impactos a las operaciones del negocio que tales amenazas puedan causar en caso de materializarse y proporciona la estructura para construir resiliencia organizacional con capacidad para dar respuesta efectiva protegiendo los intereses de las partes interesadas, el valor de la marca, la reputación y las actividades creadoras de valor.

 

Alta Dirección

Persona o grupo de personas que dirigen y controlan una organización a alto nivel. en grandes organizaciones, se le conoce como La Junta directiva, directores, ejecutivos o altos directivos. en organizaciones pequeñas, la alta dirección puede ser los propietarios o un solo propietario.

 

Amenaza

Causa potencial de un incidente no deseado que puede resultar en daños a individuos, activos, a un sistema u organización, el ambiente o la comunidad. algunas amenazas como el mal tiempo se les conoce como “Peligros”.

AIN

Análisis de Impacto en el negocio

Proceso de analizar las funciones del negocio y el efecto que una interrupción del negocio pudiera causar sobre ellas.

[11]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Introducción

Abreviado

Término

Definición

ARC

Análisis de Requerimientos de Continuidad

Proceso de recopilar información en la fuente para reanudar y continuar las actividades del negocio a un nivel requerido para apoyar las obligaciones y objetivos de la organización.

AR

Análisis de Riesgos

Proceso formal pero bastante subjetivo de identificación, análisis y evaluación de riesgos.

 

Auditor

Persona con la competencia suficiente para conducir una auditoría. Para una auditoría de la GCN, normalmente se requiere una persona con las calificaciones formales de la auditoría de la GCN.

 

Auditoría

Proceso sistemático, independiente y documentado para obtener evidencia auditable y evaluarla objetivamente para determinar el grado en que se cumplen los criterios de auditoría. Los primeros equipos de auditoría son gestionados por la misma organización para revisar la Gestión y otros propósitos internos y pueden formar la base para la declaratoria de conformidad de la organización. Los segundos equipos de auditoría son gestionados por entidades que tienen interés en la organización como los clientes u otras personas o entidades en su nombre. Los terceros equipos de auditoría son gestionados por organizaciones auditoras externas como las que proporcionan certificaciones o conformidades a una norma

 

Auditoría Interna

Ver “auditoría” y en particular “los primeros equipos de auditoría”.

 

Cadena de Suministro

Proceso articulado que inicia con la adquisición de materias primas y se extiende a través de la entrega del producto o servicio hasta el usuario final a lo largo de diferentes modos de transporte. La cadena de suministro puede incluir proveedores, vendedores, plantas de fábricas, proveedores logísticos, centros internos de distribución, distribuidores, mayoristas y otras entidades que llevan al usuario final.

 

Capacitación

actividades implementadas antes de un incidente que pueden utilizarse para apoyar y mejorar la mitigación de, la respuesta a, y la recuperación de una interrupción. se le conoce también como “Preparación”.

 

Ciclo de vida de la Gestión de la Continuidad del Negocio

Conjunto de actividades de la Continuidad del Negocio que colectivamente cubren todos los aspectos y fases del programa de GCN. el BCI utiliza el mismo modelo de ciclo de vida que utiliza la norma Bs25999.

 

Consecuencia

Ver “Impacto”.

CN

Continuidad del Negocio

Capacidad táctica y estratégica de una organización para planificar y responder a incidentes o interrupciones del Negocio a fin de continuar las operaciones del Negocio a un nivel aceptable predefinido.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[12]

Introducción

Abreviado

Término

Definición

 

Cumplimiento

es el cumplimiento de un requerimiento en el contexto de la Gestión de sistemas.

 

Dirección para la Continuidad del Negocio

Conocido también como el Comité directivo, es un grupo de gestión para dar aviso, guía y dirección al programa de GCN.

 

Documento

Información y su medio de soporte bien sea físico, magnético, electrónico u óptico, disco de computador o imagen.

 

Ejercicio

Proceso para ensayar los roles de los integrantes de los equipos y del grupo de trabajo y probar la recuperación o continuidad de los sistemas de una organización (por ejemplo tecnología, telefonía, Gestión) para demostrar competencia y capacidad para la continuidad del negocio.

ECN

Equipos de Continuidad del Negocio

son los equipos estratégicos, tácticos y operativos que responderán a un incidente y contribuirán de manera significativa a redactar y probar el Plan de la Continuidad del Negocio.

 

Facilidad

Planta, maquinaria, equipo, propiedad, edificaciones, vehículos, sistemas de información, medios de transporte y otros ítems o infraestructura o planta y sus sistemas relacionados, que tienen una función o servicio distinto y cuantificable.

GR

Gestión de Riesgos

Generalmente incluye el análisis, tratamiento y la evaluación de riesgos

 

Impacto

evento que tiene la capacidad de provocar la pérdida de o la interrupción de las operaciones, servicios o funciones de la organización, el cual, si no se administra, puede escalar y convertirse en una emergencia, crisis o desastre.

 

Integridad

Garantizar y salvaguardar la exactitud e integridad de los activos, en particular los registros de datos.

 

Interrupción

evento que interrumpe las operaciones o procesos normales del negocio bien sea de manera anticipada (huracanes, inestabilidad política) o imprevista (bloqueos, ataques terroristas, fallas tecnológicas, o terremotos).

 

Invocación

declaración de que una organización necesita activar su Plan de GCN para continuar entregando sus productos y servicios claves.

MPTD

Máxima Pérdida Tolerable de Datos

Pérdida máxima de información (electrónica y otros datos) que puede tolerar una organización. La edad de la información podría hacer imposible la operación de recuperación o el valor de los datos sería sustancialmente alto como para poner en riesgo la viabilidad del negocio.

[13]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Introducción

Abreviado

Término

Definición

MPTI

Máximo Período Tolerable de Interrupción

es la duración después de la cual la viabilidad de la organización estará afectada de manera irreparable si la entrega del producto o servicio no puede ser reanudada.

 

Mejoramiento Continuo

Proceso de mejoramiento del sistema de la Gestión de la Continuidad del Negocio para lograr mejoramientos consistentes con la política de la Gestión de la Continuidad del Negocio de la organización.

 

Mitigación

Limitación gestionada de una consecuencia negativa o de un incidente particular.

 

No Cumplimiento

Incumplimiento al requerimiento de una obligación o expectativa acordada.

 

Objetivo

Meta general consistente con la política que una organización establece para sí misma.

 

Organización

Grupo de personas y facilidades con arreglos y responsabilidades, autoridad y relaciones (por ejemplo compañía, corporación, firma, empresa, institución, institución de caridad o asociación). Una organización puede ser pública, privada o sin ánimo de lucro.

 

Partes Interesadas

Individuo o grupo de individuos con intereses en el desempeño o éxito de una organización Por ejemplo clientes, socios de negocio, empleados, accionistas, propietarios, la comunidad local, personal de primera respuesta, gobierno y entes reguladores.

 

Peligro

Ver “amenaza”.

 

Pérdida

Consecuencia negativa.

PCN

Plan de la Continuidad del Negocio

Conjunto de documentos de procedimiento e información desarrollada, compilada y mantenida a disposición para utilizarlo durante un incidente para capacitar a la organización para continuar con la entrega de sus productos y servicios críticos a un nivel aceptable predefinido.

PHVA

Planificar, Hacer, Verificar, Actuar

el modelo IsO utilizado como estructura en todos los sistemas estándar de Gestión incluyendo el sGCN.

 

Política

Intenciones y directrices de una organización expresadas por la alta dirección. La política de la GCN debe ser consistente con la totalidad de las políticas de la organización y proveer la base para los objetivos de la Continuidad del Negocio.

 

Preparación

“Capacitación”.

 

Prevención

Medidas contra amenazas específicas que habilitan a la organización evitar una interrupción.

 

Procedimiento

Forma específica de ejecutar una actividad. todos los procedimientos deben estar documentados.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[14]

Introducción

Abreviado

Término

Definición

 

Proceso

Conjunto de actividades interrelacionadas que transforman entradas en salidas.

 

Producto o Servicio

salida de un proceso. si al producto se le denomina servicio, depende de la existencia de un elemento físico a la salida. el servicio es el resultado de al menos una actividad necesariamente realizada en la interface entre el proveedor y el cliente y , generalmente, intangible.

POR

Punto Objetivo de Recuperación

Objetivo para el estado y disponibilidad de datos (electrónicos e impresos) en el inicio del proceso de recuperación.

 

Recursos

activos, personas, habilidades, información, tecnología (incluye planta y equipo), locales, suministros e información (electrónica o no) que una organización posee para tener la disponibilidad de utilizar cuando sea necesario, para operar y alcanzar sus objetivos.

 

Registro

documento que indica los resultados obtenidos o la evidencia de las actividades desarrolladas.

 

Resiliencia

Habilidad de una organización para resistir al ser afectada por un incidente.

 

Riesgo

Combinación de probabilidad de un evento y su consecuencia. La GCN se concentra en “amenazas” e “Impactos” antes que en “riesgos”.

 

Sistema de Gestión

sistema para establecer la política y los objetivos y para alcanzar esos objetivos (por ejemplo IsO

9001:2008).

SGCN

Sistema de la Gestión de la Continuidad del Negocio

Parte o la totalidad del sistema que implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.

TOR

Tiempo Objetivo de Recuperación

Objetivo de tiempo dentro del cual se reanuda la entrega de un producto o servicio luego de una interrupción.

 

Tratamiento de Riesgos

selección e implementación de medidas para modificar los riesgos.

[15]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GUía de BUeNas PráCtICas 2010

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[16]

04 – Determining Business Continuity Strategy

Política y Gestión del Programa

istockphotos.com/lorrainedarke

Política y Gestión del Programa istockphotos.com/lorrainedarke 01

01

Prácticas Profesionales de la GCN

n e u C a l o t l i c u o r g a
n
e
u
C
a
l
o
t
l
i
c
u
o
r
g
a
e
O
N
r
l
g
e
a
d
n
i
d
z
a
a
entendimiento de la
d
c
Organización
i
i
u
o
n
n
i
a
t
l
n
ejercicios,
Política y Gestión del
programa GCN
o
determinar la
Mantenimiento
and revisión
estrategia GCN
C
a
l
e
desarrollo e
Implementación de
la respuesta GCN
d
n
ó
i
t
s
e
G
a
l
r
a
r
g
e
t
n
I

Ciclo de Vida GCN

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[20]

istockphotos.com/lorrainedarke

GCN | Gestión de las Prácticas Profesionales

Política y Gestión del Programa

Visión de la Gestión de la Política y el Programa

Introducción

La política de la GCN es el documento clave que establece el gobierno y el alcance del programa GCN y refleja las razones del porqué está siendo implementado la GCN. La política proporciona el contexto en el cual serán implementadas las capacidades requeridas e identifica los principios a los que la organización aspira y contra los cuales su realización se pueden auditar.

Cuando una organización se embarca en un programa de GCN, es poco probable tener establecida una política de la GCN o entender las necesidades que debe tomar para producir una. Los pasos claves son:

Desarrollar la política de la GCN

Alinear la política con la estrategia, objetivos y cultura

organizacionales.

• Decidir sobre el alcance del programa de GCN.

Una vez haya sido acordada la política, se debe iniciar un proyecto o una serie de proyectos para capacitar a la organización y comprometerla en las actividades requeridas para implementarla.

Como parte del proceso de planificación, en muchas organizaciones se han emprendido altos niveles de análisis de las amenazas para alcanzar los objetivos estratégicos y operativos de la organización. el resultado de este ejercicio puede proveer un aporte útil cuando se establece el contexto total para el programa de GCN. en algunos ambientes regulados, es mandatorio realizar un análisis de riesgos de manera formal.

[21]

[21]

GCN Guía de Buenas Prácticas 2010 || EDICI

GCN Guía de Buenas Prácticas 2010

EDICIóóNN GLOBAL

GLOBAL

Política y Gestión del Programa – 01

alineación de la Política de la GCN a la Cultura Organizacional

Introducción

Un programa de GCN necesita reflejar la estrategia, objetivos y cultura de la organización para asegurar que el programa es relevante, efectivo y apropiado.

La organización tendrá una cultura que puede no estar bien documentada o articulada por la alta dirección. sin embargo, la estrategia y los objetivos de la organización habrán sido determinados y acordados como parte de los procesos de planificación y de presupuesto del negocio.

es posible que alguna información del mercado o de la industria sea sensible y no pueda ser accesible para el profesional de GCN. No contar con esta información, no puede detener el programa de GCN que se está llevando a cabo.

Proceso

el proceso básico utilizado es simplemente hacer preguntas sobre la organización para identificar su estrategia, objetivos y cultura. estas preguntas incluyen:

Cuál es su misión o la razón de su existencia?

Cuáles son los objetivos de la organización?

Cómo se alcanzan los objetivos?

Cuáles son los productos y servicios de la organización que

permiten alcanzar estos objetivos?

Cuál es su dirección o enfoque?

Cuáles son los planes de crecimiento, reducción de personal,

restructuración, adquisición o disposición en el corto mediano y largo plazo?

Se están desarrollando nuevos productos o servicios y si es

así, cual es su escala de tiempos?

Cuál es la escala geográfica de sus operaciones?

Cuál es el nivel de interrupción geográfico?

Cuál es el nivel de pérdida de recursos que quiere o necesita

planificar para sobrevivir?

Cuáles son las condiciones actual y esperadas del mercado

en el que opera?

Tiene competidores y cómo compite con ellos?

Cuál es la reacción probable de los clientes y competidores si

se interrumpen sus operaciones?

• Los competidores tomarán ventaja de una organización en

dificultades o los apoyarán (cuál de ellos podría proteger la

reputación del sector)?

Opera en ambientes regulados y si es así, cuáles son las

regulaciones?

Cuenta con muchos proveedores, algunos o uno solo?

Cuál es la escala probable de tiempo en la que puede

encontrar proveedores alternos?

Cuenta con muchos clientes, algunos o uno solo?

• Los clientes están dispuestos a pagar una prima por mejorar

el aseguramiento de la entrega?

Métodos y técnicas

dos técnicas que se pueden utilizar para identificar la estrategia, objetivos y cultura de la organización, son:

  • 1 entrevista al equipo de la alta dirección

  • 2 revisión de los documentos generados en la organización

Los documentos claves para revisar pueden ser:

Planes de negocio

Planes estratégicos

Reportes anuales

Reportes de Mercadeo

• Información administrativa actualizada que detalla los

procesos, volúmenes, objetivos y donde sea posible, cuantificar el valor de cada actividad

revisión

el impacto de la estrategia organizacional sobre el programa de GCN debe revisarse como mínimo anualmente como parte de, o al menos coincidir con, los procesos de planificación estratégica y operativa del negocio. Las revisiones más frecuentes pueden estar dirigidas a cualquiera de lo siguiente:

Restructuraciones o cambios claves del negocio

Expansión /contracción

Introducción de nuevos productos Relocalización o consolidación de locaciones

• • Un incidente y su recuperación asociada

se puede ubicar un procedimiento de alerta para identificar todos los cambios organizacionales que sean significativos para asegurar que han sido tomados en cuenta en el programa de GCN. esto le permite a la GCN la debida diligencia antes de realizar el cambio propuesto. Una decisión estratégica del negocio no será necesariamente abandonada a causa de la falta de preparación, pero esta limitación podría impactar el valor económico del cambio pospuesto.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[22]

GCN | Gestión de las Prácticas Profesionales

alcance del programa de la GCN y determinación de sus alternativas

Introducción

el propósito de establecer el alcance es asegurar claramente qué áreas de la organización están incluidas en el programa de GCN, definido por la identificación de cuales productos y servicios están allí. La entrega de productos y servicios es el enfoque de los criterios claves de éxito de la mayoría de organizaciones. se requiere un entendimiento de la estrategia, objetivos y cultura organizacional antes determinar el alcance del programa de GCN y las alternativas a utilizar.

La GCN es un proceso iterativo que inicialmente le permite a una organización implementarlo únicamente en algunas partes de ésta, aunque por anticipado se sabe que se extenderá a la totalidad de sus operaciones con el paso del tiempo. este enfoque permite eliminar problemas de complejidad, costos y escala en la implementación de la GCN en organizaciones de gran tamaño.

esta sección explica las alternativas disponibles para la organización para proteger la entrega de sus productos y servicios e identificar cómo y porqué se pueden seleccionar varios productos y servicios de la organización para la implementación inicial de la GCN. estas alternativas definirán el alcance del programa de GCN.

Conceptos y supuestos

en la práctica normal, la decisión sobre el alcance del programa de GCN es tomada antes que cualquier otro elemento del ciclo de vida de la GCN. sin embargo, si la organización decide comprometerse en la implementación inicial de la GCN basado en la necesidad de recuperación percibida para un producto o servicio específico, puede decidir realizar un análisis de Impacto en el negocio para confirmar los productos y servicios a incluir en el alcance inicial (basado en el impacto de la no entrega).

el alcance normalmente está limitado por productos y servicios. sin embargo, la locación también puede ser utilizada para limitar el alcance, permitiendo que la GCN incluya o excluya uno o más sitios. No es aceptable o lógico excluir un sitio que juega un papel importante en la entrega de los productos y servicios contemplados en el alcance.

La limitación del alcance debe ser vista como un enfoque táctico que permite la implementación de la GCN por etapas a través de la organización. si un producto o servicio está identificado dentro del alcance todas las actividades que soportan su entrega, deben incluirse dentro del programa de GCN.

La documentación de “alternativas” para cada producto y servicio está destinada a definir como la organización intenta proteger (o no) su habilidad para mantener su entrega, de manera que tal decisión está disponible para escrutinio público (por ejemplo clientes o reguladores).

esto se ilustra en el siguiente diagrama, donde se ha tomado una decisión para incluir el producto a en el alcance del programa de GCN y excluir el producto B. esto significa que las actividades que soportan la entrega del producto a (actividad 1, actividad 2, actividad 3) están en el alcance mientras que las actividades que no soportan la entrega del producto B (actividad 4, actividad 5), están por fuera del alcance.

Dentro del Alcance Fuera del Alcance Producto A Producto B Actividad 1 Actividad 3 Actividad 5
Dentro del Alcance
Fuera del Alcance
Producto A
Producto B
Actividad 1
Actividad 3
Actividad 5
Actividad 2
Actividad 4

[23]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Política y Gestión del Programa – 01

Proceso

el proceso requiere el establecimiento de un grupo de GCN que le hará las recomendaciones a la alta dirección.

este grupo revisará los productos y servicios de la organización contra su estrategia, objetivos, cultura, política ética, requerimientos legales y regulatorios, para considerar la opción para cada producto y/o servicio. si se ha realizado un aIN para determinar los efectos de una pérdida de productos y servicios, el grupo incluirá los resultados del aIN en su revisión.

el grupo proporcionará un reporte de evaluación que permitirá a la alta dirección establecer las prioridades para todos sus productos y servicios.

Las razones para no incluir un producto o servicio en el programa de GCN y la respuesta alternativa por la pérdida de ese producto o servicio, necesita documentarse y acordarse con la alta dirección.

Los productos y servicios deben estar identificados con un nivel apropiado de detalle.

ejemplos de productos y servicios incluyen:

Un producto o rango de productos manufacturados • Recopilación de basuras (para una ciudad o municipio) • Soporte Telefónico (para una empresa de software)

Las decisiones sobre cuales productos, servicios o locaciones deben incluirse dentro del alcance. Pueden tomarse por uno o varios de los siguientes factores:

Requerimiento de un cliente

Requerimiento regulatorio o estatutario

Percepción de alto riesgo debido a la proximidad a otros

locales industriales o amenazas físicas como inundaciones

• Productos que proporcionan altos ingresos a la organización

Las razones por las que un producto, servicio o locación pueden excluirse del alcance, incluyen

• Productos o servicios cercanos al final de su ciclo de vida (se

acabarían si se interrumpe el suministro)

• Productos o servicios con bajos márgenes (podrían

terminarse o tercerizarse)

Cuando se evalúa la exclusión del alcance, adicionalmente se deben considerar los siguientes factores a los impactos financieros de pérdidas:

La visión de las partes interesadas claves

Cualquier daño en la reputación que puede resultar de la

interrupción o terminación de un producto

La relevancia de cualquier análisis de riesgos

• El impacto regulatorio para las actividades reguladas

si la Continuidad del Negocio es la opción elegida para un producto o servicio particular, es necesario entonces, tomar las medidas adecuadas para asegurar que las diferentes actividades que apoyan su entrega, puedan continuarse o recuperare dentro de las escalas de tiempo requeridas.

Para aquellos productos y servicios que se consideran por fuera del alcance, el riesgo para el negocio por pérdida o no disponibilidad no se mitiga por completo con la GCN y tiene que manejarse por medios alternos. Las alternativas disponibles para la alta dirección, son:

Aceptación: aceptar que está en riesgo de interrupción • Transferir: Transferir el riesgo de interrupción a un tercero • Cambiar, suspender o acabar el producto o servicio

La implementación detallada de estas medidas, generalmente cae dentro de lo que se remite para la Gestión de riesgos y no sigue el ciclo de vida completo de la GCN. sin embargo, las medidas provistas son acordadas como una estrategia apropiada del negocio. estas medidas pueden verse como soluciones de Continuidad del Negocio y pueden incluirse dentro del programa GCN.

Lo que constituye una estrategia aceptable de Continuidad del Negocio puede depender de la organización y de cualquier cambio en sus procesos que sería necesario acomodar (bien sea que se determine en su avance o se reconozca después del evento). Más notas sobre este tópico se encuentran en el anexo 2.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[24]

istockphotos.com/lorrainedarke

GCN | Gestión de las Prácticas Profesionales

Métodos y técnicas

Las herramientas que pueden utilizarse para desarrollar las alternativas de estrategia de la organización para productos y servicios, incluyen:

Análisis costo/beneficio (incluyendo análisis de las partes

interesadas, regulación y legislación.

Análisis DOFA (Debilidades/Oportunidades/Fortalezas/

amenazas).

Planificación y gestión financiera.

Herramientas para la planificación de la estrategia.

Referenciación frente a estándares nacionales e

internacionales.

Análisis PAST (Política/Ambiente/Social/Técnico).

• Técnicas de análisis del mercado para determinar la viabilidad

probable del suministro de un producto luego de una interrupción.

resultados y revisión

Los resultados son:

Una estrategia acordada para la protección de cada uno de

los productos y servicios de la organización.

• El alcance del programa de GCN que deberá documentarse

en la política de la GCN.

al menos una vez cada año se debe hacer la revisión de la estrategia organizacional de protección de sus productos y servicios. sin embargo, los eventos que pueden indicar una nueva revisión de la estrategia, son:

La revisión del AIN que identifique cambios y prioridades

representativos en los procesos

• Un cambio significativo en uno o más de lo siguiente:

> actitud de la organización frente al riesgo (de pronto impulsado por un incidente). > Condiciones del mercado. > Nuevos productos o servicios. > Nuevos requerimientos legales o regulatorios.

[25]

[25]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Política y Gestión del Programa – 01

desarrollo de la Política de GCN

Introducción

La política de la GCN de una organización provee el marco de referencia alrededor del cual se diseña y construye la capacidad de la GCN. La organización, gobierno y gestión de la implementación de la GCN, son prerrequisitos para desarrollar un programa de GCN exitoso. Éstos se establecen en la política de la GCN que es de propiedad de la alta dirección.

el propósito de documentar la política de la GCN es comunicar a las partes interesadas los principios de Continuidad del Negocio a los que aspira llegar la organización.

Como uno de los objetivos de la política de la GCN es el de comunicar, ésta debe ser corta, clara, precisa y puntual. Una política muy extensa será una barrera para la comunicación.

La política debe identificar como mínimo los siguientes elementos del programa de GCN:

• Objetivos • Alcance • Responsabilidades • Métodos y estándares

Proceso

el proceso para desarrollar la política de la GCN incluye:

Identificar y documentar los componentes de la política de la

GCN.

Identificar una definición de la GCN.

relevante que deba estar incluida en la política de la GCN.

Identificar cualquier norma, legislación o regulación

Identificar cualquier Buena Práctica o política de otras

organizaciones que puedan ser su punto de referencia.

Revisar y conducir un análisis GAP de la política actual de la

organización (si se considera conveniente) y la política externa de referencia o nuevos requerimientos de la política de GCN.

Desarrollar un borrador de la política de la GCN nueva o

modificada.

• Revisar el borrador de la política contra los estándares

organizacionales para políticas similares o relacionadas (por ejemplo, seguridad de la información).

Circular el borrador de la política para su consulta.

Modificar el borrador de la política, si se considera

conveniente, con base en la retroalimentación recibida.

Acordar la firma de la política de la GCN y una estrategia para su

implementación por la alta dirección de la organización.

• Publicar y distribuir la política utilizando técnicas y sistemas

adecuados para el control de versiones

Métodos y técnicas

Los métodos, herramientas y técnicas para el desarrollo de la política de la GCN incluyen:

Revisión de la política actual de la organización.

Investigar fuentes externas para tomar como guía, por

ejemplo: regulatoria, legal, buenas prácticas de la industria, asociaciones profesionales.

Contactar la industria y asociaciones profesionales para

entender los inconvenientes y los controles actuales y en desarrollo de la GCN.

Identificar y adoptar los componentes de la política de la GCN

de otra organización que se considere como buena práctica.

Analizar las brechas del estado actual y revisar las políticas

internas y externas para obtener los componentes básicos de una política nueva o modificada.

• Hacer una revisión por profesionales externos de GCN

resultados y revisión

La política de la GCN incluirá (o se hará referencia en un documento subsidiario):

La definición de la GCN organizacional.

La definición del alcance del programa de GCN (véase

numeral anterior).

Estructura operativa para la gestión del programa de GCN de

la organización.

El conjunto de principios, guías y estándares mínimo de la

GCN.

• Identificación clara de responsabilidades

si bien todas las políticas de la organización deben ser revisadas en un período determinado, muchas cosas podrían provocar la revisión formal de la política de la GCN.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[26]

[26]

GCN | Gestión de las Prácticas Profesionales

actividades externalizadas

Introducción

es importante que la política de la GCN incluya las actividades externalizadas. La entrega de productos y servicios de la organización no debe ser interrumpida por una falla de un tercero o proveedor de materias primas y/o servicios que se proveen directamente a la organización o directamente al cliente en nombre de ésta. si parte o toda la entrega de productos y servicios es externalizada, la responsabilidad para su continuidad permanece en la organización. Las partes interesadas asumirán que la organización ha hecho una selección adecuada de sus socios del Negocio y ha tomado medidas apropiadas para asegurar la entrega. Los requerimientos estatutarios y regulatorios usualmente enfatizan que la responsabilidad final por la entrega de los servicios externalizados recae en la organización.

Proceso

el proceso de revisión de los acuerdos de Continuidad del Negocio de una compañía de externalización son similares a los utilizados para revisar los propios procesos de la organización.

es importante que el acceso a la siguiente información esté disponible para su análisis:

Tendencias de los prospectos externalizadores

• La continúa adecuación de las disposiciones en las compañías

externalizadores existentes

Especificación de requerimientos de la GCN en los términos

de referencia documentados de licitaciones y contratos.

Acuerdos de Niveles de Servicio (ANS) realistas para

utilizarlos durante incidentes en cualquier organización.

• Involucramiento de las compañías de externalización en

formación, capacitación y ejercicios

La documentación para apoyar la externalización, incluye:

Parámetros mandatorios para la selección de compañías

externalizadoras.

Términos contractuales que deben incluir los derechos para

la organización para auditar a la compañía externalizadora.

• Acuerdos de Niveles de Servicio. • Documentación de los resultados de ejercicios

resultados y revisión

Los resultados deben ser una cadena de suministros resiliente que pueda administrar las interrupciones sin impactar seriamente la entrega de los productos y servicios al cliente.

La revisión de la continuidad del proveedor debe formar parte significativa del análisis de las licitaciones cuando los contratos son adjudicados o renovados. se recomienda la revisión anual del funcionamiento del proveedor contra los requerimientos de continuidad.

La confiabilidad en la externalización puede incrementarse por:

• Precalificación de compañías candidatas para la

externalización.

[27]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Política y Gestión del Programa – 01

revisión del Programa de Gestión de la GCN

Introducción

La GCN es un proceso iterativo y necesita ser gestionado activamente. el objetivo inicial de esta etapa será el de completar exitosamente la implementación del Ciclo de vida de la GCN, pero la meta de la Gestión del programa de GCN en el largo plazo, es la de mejorar la capacidad de la organización y por tanto su resiliencia operativa, con iteraciones sucesivas del Ciclo de Vida de la GCN, como lo muestra el siguiente gráfico.

La implementación inicial del Ciclo de Vida de la GCN será beneficiosa desde el enfoque de la Gestión como proyecto, pero como la GCN madura dentro de la organización, la Gestión del programa requiere habilidades para asegurar una preparación constante.

Un factor crítico de éxito es el nombramiento de personas competentes para supervisar y gestionar el programa de GCN.

Los elementos claves para la gestión del programa de GCN son:

Asignación de responsabilidades. Implementación de la GCN en la organización. Gestión del Proyecto. • Gestión continua de la Continuidad del Negocio. • Documentación de la GCN

t l u u C r a a l O n r e g a o
t
l
u
u
C
r
a
a
l
O
n
r
e
g
a
o
n
i
c
i
z
o
t
l
u
C
u
a
r
l
a
a
n
g
O
c
e
r
e
o
i
g
i
a
c
o
N
n
o
i
n
g
z
u
C
l
t
a
l
u
l
e
a
n
r
a
a
e
c
o
e
O
l
N
i
i
r
c
d
g
o
o
entendimiento dela
Organización
a
g
l
n
n
e
e
ejercicios,
Política y Gestión del
determinar
i
Mantenimiento y
Programa BCM
laestrategia BCM
revisión
z
d
N
C
a
l
d
a
u
n
l
t
e
a
u
entendimiento dela
desarrollo e
Organización
o
Implementaciónde la
r
respuesta BCM
l
a
i
c
c
l
a
o
O
ejercicios,
i
Política y Gestión del
determinar
e
d
Mantenimiento y
g
Programa BCM
laestrategia BCM
r
revisión
o
e
g
d
d
entendimiento dela
a
desarrollo e
N
a
Organización
Implementaciónde la
respuesta BCM
n
n
i
d
l
i
ejercicios,
Política y Gestión del
determinar
a
Mantenimiento y
z
d
Programa BCM
laestrategia BCM
a
l
n
e
e
revisión
C
o
u
i
c
l
a
a
d
t
u
l
o
u
i
g
desarrollo e
entendimiento dela
c
r
Implementaciónde la
e
Organización
respuesta BCM
a
d
i
N
d
u
O
n
ejercicios,
o
l
Política y Gestión del
determinar
r
i
Mantenimiento y
Programa BCM
laestrategia BCM
a
e
revisión
g
d
n
u
n
a
d
i
entendimiento dela
desarrollo e
Organización
Implementaciónde la
d
respuesta BCM
n
a
i
i
a
n
i
z
u
l
t
ejercicios,
Política y Gestión del
determinar
Mantenimiento y
Programa BCM
laestrategia BCM
d
revisión
a
i
t
i
n
c
u
n
desarrollo e
t
i
Implementaciónde la
i
respuesta BCM
n
n
o
t
n
i
n
t
n
o
a
n
o
o
l
o
o
C
C
C
C
C
a
a
l
a
a
l
a
l
e
l
d
e
l
e
d
n
e
d
ó
e
n
i
d
t
n
ó
d
s
i
e
t
n
ó
G
s
i
n
t
e
ó
a
l
i
s
G
ó
r
t
e
a
a
i
r
s
l
G
t
g
e
e
r
t
s
a
a
n
G
r
l
I
e
g
r
e
a
G
a
t
l
n
r
I
g
a
r
e
a
l
t
r
n
r
g
I
a
e
r
t
n
g
I
e
t
n
I

Mejoramiento de la capacidad de GCN de la Organización

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[28]

GCN | Gestión de las Prácticas Profesionales

asignación de responsabilidades

Introducción

Un programa de GCN exitoso depende de la identificación de roles yresponsabilidades y autoridad claramente definidos para gestionar el programa de GCN y su proceso a través de la organización. esto deberá haber sido establecido en la Política de la GCN.

el propósito de la asignación de roles y responsabilidades es asegurar que las tareas requeridas para implementar y mantener el programa de GCN están asignadas a individuos competentes cuyo desempeño pueda monitorizarse.

Conceptos y supuestos

el programa de GCN necesita estar adecuadamente dotado de recursos. a menudo ésto es fácil de lograr en industrias reguladas como la banca y las de servicios financieros debido a que muchas autoridades regulatorias consideran la GCN como un costo del negocio y ésto lo hace mandatorio.

en esta etapa puede definirse la estructura de respuesta que será adoptada por una organización. a menudo se asume que quienes han desarrollado los planes son los mejores individuos para responder a un incidente, pero las personalidades requeridas para ser líderes y planificadores, a menudo son contradictorias. Cualquier dificultad en esta área debe ser expuesta por un plan realista de ejercicios.

Quienes han estado involucrados en la implementación del programa de GCN pueden estar obligados a proveer liderazgo durante la respuesta al incidente y los profesionales de la GCN deben permanecer en estado de disposición para hacerse cargo de la Gestión del Incidente si son llamados para poner los planes en acción. tendrán el conocimiento detallado de las estrategias y acciones necesarias para invocarse inmediatamente y pueden ser necesarios para apoyar la línea de dirección mediante actividades de evaluación e invocación.

en grandes organizaciones, se puede nombrar un grupo de trabajo adicional para trabajar con el administrador de la GCN para asistirlo con las siguientes actividades:

Conducir ejercicios

Comprometerse con la revisión documental

Apoyar en la implementación de la GCN

• Actuar como coordinador en sus áreas

se pueden conformar grupos adicionales para apoyar el desarrollo del programa de GCN. se incluyen:

El Comité Directivo o Junta de la GCN: Es un grupo que dará

consejo, guiará y supervisará la gestión

Equipos de Continuidad del Negocio: Son equipos

estratégicos, tácticos y operativos que responderán al incidente y contribuirán significativamente con la documentación de los Planes de Continuidad del Negocio

• Foro de Respuesta a Incidentes: Agrupa representantes de

todos los equipos involucrados en la respuesta al incidente para resolver problemas de coordinación. Este grupo puede ser útil para la identificación de requerimientos de formación y ejercicios

Métodos y técnicas

el grupo de trabajo nominado para el programa de GCN debe tener la formación apropiada para sus roles. Ésto se puede hacer por medio de cursos de formación internos o externos y/o por medio de profesionales de GCN externos contratados para apoyar las primeras etapas de la implementación.

Quienes administran el programa de GCN en grandes organizaciones deben buscar un nivel de certificación de entidades profesionales apropiadas como el Business Continuity Institute.

Para asegurar que las tareas de la GCN son efectivas y se les ha dado el tiempo y esfuerzo apropiados, los roles y responsabilidades deben integrarse en la descripción de los cargos con un proceso de evaluación.

Proceso

Un integrante de la alta dirección debe hacer la rendición de cuentas sobre la capacidad de la GCN de la organización y su efectividad. esto asegura que el programa de GCN está dado en el nivel de importancia correcto en la organización con una mayor posibilidad efectiva de implementación.

debe nombrarse un individuo para administrar la GCN quien (en muchas organizaciones) será conocido como el administrador de Continuidad del Negocio. dependiendo del tamaño de la organización, este rol puede ser de tiempo total o parcial.

resultados y revisión

Los roles y responsabilidades dentro el programa de GCN han sido asignados a individuos que han sido provistos con el nivel de formación apropiado. La especificación de estos roles y responsabilidades está incluida en la descripción y los objetivos de desempeño de los cargos y son entendidos por los individuos y la organización.

el nivel y competencia del equipo de trabajo de la GCN debe revisarse anualmente como parte del proceso normal de evaluación y puede ser un tópico de la evaluación anual de los administradores de la GCN y estar sujeto a un proceso de auditoría.

[29]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Política y Gestión del Programa – 01

Implementación de la GCN en la Organización

Introducción

La implementación de un programa de GCN involucra la Gestión de un número de proyectos relacionados y la coordinación de las actividades que lo equilibra:

Sensibilización: Eventos que mantienen el entusiasmo para

llevar a cabo el programa de GCN.

Planificación: Desarrollo de planes para responder a los

incidentes que pudieran no ocurrir.

Medidas de Mitigación: Implementación de medidas para

mitigar el impacto de un incidente que pueda ocurrir mientras el programa está siendo desarrollado.

• Ejercicio: Ejercicios para practicar los planes de

contingencia.

Ésto es exitoso solamente con los recursos adecuados, incluyendo la asignación de roles y responsabilidades para entrenar a los individuos para que se comprometan en las tareas requeridas en la implementación y mantenimiento del programa de GCN.

el propósito de este paso es asegurar que se implementa un programa de GCN sostenible en la organización. Un programa sostenible es el que se ha ganado el compromiso de la organización y cuenta con estructura y procedimientos en sitio para asegurar que está mantenido y mejorado y está disponible para el futuro previsible.

Conceptos y supuestos

La elección de las actividades a realizar y en qué orden se hará, dependerá de la cultura existente y el estado de preparación de la organización. La única regla definitiva es que las decisiones más importantes sobre las opciones de continuidad y la estrategia de recuperación no deben tomarse hasta que se lleve a cabo la etapa de “entendimiento de la Organización”.

Para iniciar el programa de GCN se puede utilizar apoyo externo de consultores con calificaciones y experiencia apropiadas en la GCN. esto puede ser rentable por efecto del ahorro de tiempo y la necesidad de capacitación externa. La transferencia de conocimiento al equipo de trabajo dentro de la empresa, debe ser un objetivo durante este período.

Proceso

el proceso de implementación de la GCN en una organización consiste en:

Proceso de iniciación.

Planificación, coordinación e implementación de proyectos

de GCN para comprometer la implementación inicial del

Ciclo de Vida de la GCN:

> entendimiento de la Organización (ver Práctica 3) > determinación de las estrategias de la GCN (ver Práctica 4)

> desarrollo de la respuesta de la GCN (ver Práctica 5) > ejercicios, Mantenimiento y revisión (ver Práctica 6)

Mantener niveles de conciencia. • Gestión continua

el proceso de iniciación debe estar construido desde las actividades descritas en otras partes en esta guía. Podría incluir:

Ejercicios de escritorio con los Altos Directivos para

demostrar qué podría suceder ante la ausencia de estructuras y procedimientos de respuesta a incidentes.

Presentación de impactos causados por incidentes locales

recientes.

Cuestionarios o entrevistas para determinar el estado actual

de disponibilidad de la organización.

Redactar un alcance para el programa.

Desarrollar un alcance de la Política de la GCN.

Recopilar datos y seleccionar opciones de continuidad.

Medidas para mitigar amenazas específicas percibidas.

Crear procedimientos para la Gestión de incidentes.

• Identificar e implementar medidas de bajo costo

se debe utilizar la disciplina de Gestión de Proyectos para la planificación, coordinación e implementación de proyectos de GCN y se debe monitorizar su avance.

durante la iniciación del programa, se debe disponer de tiempo suficiente para apoyar cada actividad con las habilidades apropiadas de conocimiento y formación.

resultados y revisión

al final de la implementación inicial exitosa del programa de GCN, la organización deberá tener:

Un estado inicial de disponibilidad de los procedimientos de

Gestión de incidentes suficientemente demostrado por los ejercicios de escritorio.

• Procedimientos, estructura y habilidades para mantener y

desarrollar la capacidad de la GCN.

en su fase inicial de implementación, el programa de GCN debe revisarse al menos mensualmente y completarse dentro de los hitos definidos.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[30]

istockphotos.com/lorrainedarke

GCN | Gestión de las Prácticas Profesionales

Gestión de Proyectos

Introducción

Cuando se compromete la implementación del programa de GCN en una organización se deben adoptar las disciplinas de Gestión de Proyectos. Los métodos seleccionados de Gestión de Proyectos deben ser adecuados al tamaño y complejidad de la organización y su implementación de la GCN.

Ésto permite el camino para la Gestión del programa en curso una vez están definidos los elementos claves. sin embargo, ésta sigue siendo una disciplina útil para los elementos de un programa en curso que tiene una entrega clara (por ejemplo, el desarrollo de un evento de concientización a través de la organización).

Mientras se identifican claramente los entregables para algunas tareas de la GCN, muchas otras son menos tangibles haciendo estrictamente difícil la implementación de las disciplinas de Gestión de Proyectos. Por ejemplo. Hay un elemento de “descubrimiento” dentro del aIN que hace difícil la cuantificación del tiempo requerido para completarlo.

Proceso

este documento puede utilizarse para identificar los proyectos requeridos para completar la implementación inicial del Ciclo de Vida del Programa de GCN.

Cada proyecto será planificado y monitoreado de acuerdo con el método seleccionado de Gestión de Proyectos y debe definirse en términos de:

• Objetivos • Alcance • Tareas Escala de tiempo Personas involucradas • Entregables • Hitos

el trabajo estimado para algunas etapas del proyecto dependerá de los resultados de las etapas previas.

Las disciplinas de Gestión de Proyectos también pueden aplicarse de manera útil en otros ítems individuales con entregables claramente definidos dentro del programa de GCN como:

Desarrollo y Gestión de los ejercicios de la GCN.

Desarrollo y entrega del programa de formación para el

equipo de trabajo.

• Selección del proveedor de recursos para continuidad.

resultados y revisión

el resultado de este paso es la entrega exitosa del Ciclo de Vida de la GCN dentro de la cual se han acordado las escalas de tiempo y los presupuestos como parte de la implementación inicial del programa de GCN.

el método de proyecto adoptado debe incluir la revisión del avance en el suministro de los entregables contra las fechas predefinidas por los hitos, el trabajo y los costos estimados.

[31]

[31]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Política y Gestión del Programa – 01

Gestión en Curso de la Continuidad del Negocio

Introducción

Una vez implementada, la GCN necesita gestionarse en un ciclo continuo de mejora si se quiere ser eficaz. esto involucrará la participación de varias áreas gerenciales, operativas, administrativas y técnicas que necesitan estar coordinadas como se indicó en estas Guías.

Conceptos y supuestos

el programa será gestionado dentro de la estructura de y de acuerdo con los principios contenidos en la Política de la GCN de la organización.

La cantidad de profesionales de GCN y el grupo de trabajo de otras áreas que se puede requerir para apoyar y administrar el programa, dependerá del tamaño, naturaleza, complejidad y ubicación geográfica de la organización.

en organizaciones pequeñas, la Gestión en curso de la GCN puede darse por un solo individuo con otros roles. en grandes organizaciones, puede haber varios grupos de trabajo con responsabilidades de tiempo total o parcial. en este último caso, se puede establecer una jerarquía y el equipo de trabajo podría requerir las habilidades de dirección (adicionales a las habilidades propias de la GCN) requeridas por aquellos que administran el

programa de GCN.

Proceso

La alta dirección de la organización debe:

• Nombrar una persona o equipo de personas para la Gestión

del programa de GCN.

• Definir el alcance del proceso de Gestión y del programa de

GCN.

• Aprobar el presupuesto de continuidad. • Monitorizar la ejecución del proceso de Gestión.

La persona o equipo de personas nombradas deben (previa consulta a la alta dirección):

Desarrollar y aprobar el proceso y el programa de

planificación de la GCN.

Determinar los enfoques claves para cada etapa del Ciclo de

Vida de la GCN.

Comprometer o gestionar las actividades de GCN apropiadas

dentro de la organización.

Promover la GCN a través de la organización y externamente

donde se considere apropiado.

• Gestionar el presupuesto de continuidad. • Mantener la documentación del programa de GCN.

• Investigar el estado actual de disponibilidad de la

organización en el mismo sector y el nivel requerido por la legislación y la regulación.

Reportar el estado actual de disponibilidad a la Alta Dirección

sobre una base regular destacando donde hay brechas identificadas.

Investigar el estado actual de disponibilidad de la organización en el mismo sector y el nivel requerido por la legislación y la regulación.

reportar el estado actual de disponibilidad a la alta dirección sobre una base regular destacando donde hay brechas identificadas.

La persona o equipo de personas nombradas pueden (previa consulta a los directivos del negocio) identificar y entrenar representantes de la GCN en departamentos operativos o en otras locaciones para:

actuar como punto de contacto para los problemas de la GCN que afectan al departamento o locación.

apoyar al departamento para identificar las implicaciones en la GCN del proceso de cambio.

apoyar o liderar la recuperación del departamento o locación en el evento de una interrupción.

Métodos y técnicas

Los métodos, herramientas y técnicas para gestionar el programa de GCN de una organización incluyen:

• Estas Guías.

• Apoyo de profesionales de GCN externos.

• Cuadros de mando de auto evaluación de la GCN.

• Evaluaciones anuales de desempeño del personal contratado.

• Gestión de la relación con proveedores y terceros.

• Gestión de la relación de los proveedores de recursos y

servicios con el especialista en la GCN.

• Gestión financiera.

• Avisos legales y regulatorios

• Referenciación de la GCN de la industria.

estándares nacionales e internacionales como la norma

Bs25999

auditorías internas y/o independientes a la GCN.

revisiones y retos.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[32]

istockphotos.com/lorrainedarke

BCM | Gestión de las Prácicas Profesionales

resultados y revisión

el resultado es el mejoramiento continuo de la capacidad de la GCN.

La revisión puede incluir:

Un programa de GCN claramente definido y documentado que está acordado por la alta dirección de la organización.

asegurar la emisión de reportes de la GCN en una frecuencia determinada.

estrategia y estándares de la GCN claramente definidos y documentados.

Proceso de Gestión que forma parte integral del programa y del Ciclo de Vida de la GCN de la organización.

revisión y provisión de la estrategia de recuperación de la organización.

Presupuesto anual del programa de GCN. reporte de auditoría del programa de GCN.

Provisión y mantenimiento de la competencia y capacidad efectivas de la GCN.

Notificación exitosa, escalado, invocación y experiencias de recuperación en respuestas a incidentes reales.

el programa de GCN de una organización debe ser manejado sobre una base continua. debe revisarse por auditores internos o externos

en las escalas de tiempo y frecuencias que ellos determinen.

documentación de la GCN

Introducción

Una parte importante del proceso de la GCN es la gestión de su documentación. esta necesita llevarse a cabo de una manera que sea consistente, fácil de entender y proporcionar apoyo operativo y para las revisiones de auditoría. el nivel y tipo de documentación debe ser apropiado al tipo y tamaño de la organización.

aunque la documentación del proceso siempre es importante, ésta tiene especial significancia para las organizaciones que desean certificarse contra los estándares de GCN emitidos por entidades de estándares nacionales o internacionales.

Las organizaciones que están listas para certificarse contra los sistemas estándar de Gestión IsO establecidos, necesitarán revisar cómo su documentación se ajusta a esos estándares.

Las organizaciones que están intentando certificarse contra un estándar nacional o internacional de GCN, necesitarán revisar cómo su documentación se ajusta a los requerimientos de los estándares seleccionados.

[33]

[33]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Política y Gestión del Programa – 01

Conceptos y supuestos

La documentación de la GCN tiene tres propósitos:

  • 1. Gestionar efectivamente el programa de GCN.

  • 2. demostrar la gestión efectiva del programa (por ejemplo

durante una auditoría).

  • 3. Permitir un apronta y efectiva respuesta a un incidente.

aunque es importante mantener la documentación de la GCN, su propia presencia no es prueba de la capacidad para responder a un incidente.

se debe dar una adecuada formación al grupo de trabajo en la operación de cualquier software propietario o de otras herramientas utilizadas en el programa. Los responsables del mantenimiento de los planes deben estar capacitados para actualizar su documentación ya que promueve su propiedad y reduce los gastos indirectos de la Gestión central de la GCN.

Métodos y técnicas

Las herramientas para la documentación de la GCN incluyen procesamiento de documentos, hojas de cálculo, herramientas para diagramas de flujo, bases de datos

y software para Gestión de proyectos, o el uso de un software propietario especializado. Ésto también puede utilizarse para asegurar que las copias actuales de la documentación están disponibles en varios sitios de la organización. el software especializado puede ofrecer algunas ventajas en el mantenimiento, pero impone un costo adicional

de formación durante el programa. se debe establecer un sistema de control documental para gestionar:

• Usabilidad y accesibilidad. • Aprobación. • Actualización y revisión. • Control de versiones. • Control de distribución.

• Archivado y destrucción de documentos obsoletos.

resultados y revisión

La documentación actualizada de la GCN. esto puede incluir:

La política de la GCN.

roles, responsabilidades y recursos de la GCN.

definiciones del proyecto para los proyectos de GCN.

reportes en curso de los proyectos de GCN.

registros de formación y competencia para el personal de GCN.

Los resultados del análisis de Impacto en el negocio (aIN).

Los resultados del análisis Continuo de requerimientos (aCr).

análisis de amenazas.

estrategias de la GCN incluyendo documentos que soportan la selección de las estrategias adoptadas.

Consolidación del nivel de recursos.

estructura de la respuesta al incidente.

Planes para la Gestión del Incidente.

Planes para la continuidad el Negocio.

Programa de ejercicios.

Programa de concientización y formación.

acuerdos de Niveles de servicio (aNs) con clientes y proveedores.

Contratos para servicios de recuperación con terceros como espacios de trabajo y resguardo.

Programa de mantenimiento y revisión (auditoría) reportes y acciones correctivas.

el ciclo de revisión de cada documento debe identificarse en las secciones relacionadas con la creación y el uso.

La documentación y sus controles deben revisarse mediante auditorías internas o externas en las escalas de tiempo que ellos definan como parte de su propio programa de auditoría.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[34]

[34]

04 – Determining Business Continuity Strategy

Integrar la Gestión de la Continuidad del

Negocio en la Cultura Organizacional

istockphotos.com/lorrainedarke

Integrar la Gestión de la Continuidad del Negocio en la Cultura Organizacional istockphotos.com/lorrainedarke 02

02

istockphotos.com/lorrainedarke

GCN – Gestión de las Prácticas Profesionales

Integrar la GCN en la Cultura Organizacional

Visión de la Integración de la GCN en la cultura de la Organización

Introducción

El establecimiento exitoso de la GCN dentro de la cultura de la organización depende de su integración con la estrategia de la organización y la gestión del día a día, así como de su alineación con las prioridades del negocio.

[37]

[37]

GCN Guía de Buenas Prácticas 2010 || EDICI

GCN Guía de Buenas Prácticas 2010

EDICIóóNN GLOBAL

GLOBAL

Integrar la GCN en la Cultura Organizacional – 02

esto no es único para la GCN. Otras disciplinas como Calidad, salud y seguridad, servicios ambientales, Gestión de servicios de tI, y seguridad de la Información tienen exigencias similares sobre ellas y consecuentemente han utilizado los mismos modelos estándar IsO aprobados para los sistemas de gestión.

algunos de los comentarios en esta sección pueden igualmente aplicarse a otras disciplinas, pero siempre que ha sido posible, se han presentado de manera particularmente pertinentes al profesional de

la GCN.

estos beneficios sólo podrán lograrse completamente, si la cultura de la organización entiende la necesidad de la GCN y promueve activamente su crecimiento dentro de la organización.

Proceso

el proceso para el desarrollo y la integración sostenible de la GCN en la cultura de la organización, es una iteración permanente de lo siguiente:

Principios Generales

La cultura organizacional es un proceso dinámico y evolutivo; y también complejo y multifacético. debe ser refinado y ajustado constantemente de manera que permita a la organización mejorar su alineación estratégica y su desempeño en el ambiente en el que opera. si la cultura es la apropiada entonces una estrategia efectiva puede ser implementada.

La visión establecida de la cultura organizacional se refleja a menudo como la combinación de supuestos, creencias, valores y patrones de comportamiento que se comparten entre los integrantes de una organización. Éstos factores usualmente no son entendidos conscientemente, pero cuando se combinan crean la forma como la organización se ve a sí misma, su lugar en el mercado y el ambiente en el cual opera.

tratar de dar sentido a estos supuestos no es sencillo. son extremadamente difíciles de observar bajo cualquier grado de exactitud. sin embargo, es justo decir que “la forma como aquí se hacen las cosas”, es una idea que ocupará un lugar prominente en cualquier organización formal e informal. Por tanto, facilitar el cambio en comportamientos es muy difícil de lograr.

Para tener operando un sistema de Gestión de la Continuidad del Negocio (sGCN), se debe asegurar que la organización puede:

Administrar eficientemente el programa de GCN

Inculcar confianza en sus grupos de interés, especialmente en el

equipo de trabajo y los clientes, en su habilidad para manejar las interrupciones.

• Incrementar su capacidad de respuesta en el tiempo mediante

la inclusión de las implicaciones de la GCN en las decisiones estratégicas y tácticas en todos los niveles.

• Minimizar el impacto y la probabilidad de las interrupciones.

• Evaluación de la cultura actual de la organización.

• Entendimiento de a dónde quiere ir la organización.

• Evaluación e identificación de las diferencias entre las dos anteriores.

esto incluirá:

• Evaluar el nivel actual de la conciencia de y el compromiso con la

GCN contra el nivel deseado; luego identificar la brecha para la formación.

Diseñar y entregar una campaña para crear conciencia corporativa

y desarrollar las habilidades, el conocimiento y el compromiso requeridos para asegurar que la GCN sea exitosa.

• Verificar que la campaña de sensibilización ha logrado los

resultados deseados y monitorizar la sensibilización sobre la GCN en el largo plazo.

Métodos y técnicas

La campaña de sensibilización y sus mensajes deben estar hechos a la medida de las audiencias objetivo. estas audiencias son tanto internas (por ejemplo los profesionales de la GCN y el equipo de trabajo en general) como externas (por ejemplo grupos de interés clave y terceros que dependen de, o que pueden afectar adversamente, los esfuerzos propios sobre la GCN de la organización). La sensibilización externa es particularmente importante donde la GCN opera en un ambiente externalizado.

La visión establecida de la cultura organizacional considera que el cambio estratégico está limitado por patrones rígidos de comportamiento que están respaldados por fuertes controles sociales; y que se manifiestan en valores compartidos, estilos de trabajo y patrones de conducta. Con frecuencia se describen como “esta es la forma como lo hacemos aquí” o “lo que tiene que hacer para encajar ”.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[38]

istockphotos.com/lorrainedarke

GCN – Gestión de las Prácticas Profesionales

La experiencia ha mostrado que las iniciativas de cambio en el comportamiento fallan en generar un compromiso duradero, a menos que las actitudes y creencias también estén comprometidas.

Una creencia específica “nunca sucederá aquí” es una barrera particular para la GCN. Para cambiar realmente los comportamientos, es necesario influir en las actitudes. Para influir en las actitudes es necesario desarrollar y establecer creencias. Luego, lograr el cambio cultural puede ser un proceso sutil y prolongado.

educación, entrenamiento y sensibilización debenabordarse en todos los niveles para lograr efectos duraderos

Comportamientos

Actitudes

Creencias

actitudes

comunican

comportamientos

Creencias

comunican

actitudes

en última instancia, el éxito de integrar un programa de GCN estará determinado por el grado en que los individuos cambien sus comportamientos, actitudes y creencias.

sin embargo, como las personas frecuentemente son inconscientes de sus juicios culturales y de los supuestos que subyacen sus maneras de hacer las cosas, una vez la cultura corporativa se ha establecido, es relativamente resistente al cambio estratégico - de ahí nace la necesidad de un proceso iterativo continuo para evaluar y retar supuestos y prácticas.

resultados

Hay un límite hasta el que cualquier programa puede influir y alterar la cultura de la organización. Intentos por cambiar las actitudes pueden tener efectos inesperados que pueden ser contraproducentes o incluso tomar la dirección opuesta a la que se perseguía llegar.

La implementación de un programa cultural en la GCN no debe ser subestimada, ya que implica la influencia en los valores, creencias y comportamientos; y es un reto para la gestión de cambios importantes que requieren no sólo educación, formación, sensibilización y participación, sino fuertes habilidades de liderazgo de individuos clave. Las evaluaciones necesitan considerarse cuidadosamente porque el análisis raramente es completamente objetivo: las personas traen consigo toda una serie de supuestos anteriores, sabiduría recibida, formas tradicionales sobre cómo hacer las cosas, percepciones heredadas del mundo en el que viven y de su posición o estatus dentro de éste.

Factores de éxito incluyen:

apoyo visible y continuo de la alta dirección. esto debe incluir presupuesto adecuado para apoyar la campaña permanente de sensibilización. también es importante ganar el compromiso de los mandos medios y de los integrantes del equipo de trabajo operativo quienes se requieren para implementar el programa de GCN.

Consulta con todos los involucrados en la GCN para el

desarrollo de la campaña. además de proporcionar enfoque en los esfuerzos de sensibilización; la consulta en sí misma ayuda a crear conciencia y puede ayudar a preparar el camino para el compromiso con las nuevas prácticas de trabajo.

• Focalización en las prioridades de negocio de la organización,

relacionando el mensaje de la campaña a los factores corporativos e individuales.

[39]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Integrar la GCN en la Cultura Organizacional – 02

evaluación del Nivel de sensibilización y Formación de la GCN

Introducción

La Política de GCN provee el marco de trabajo, que apoya la necesidad del cambio cultural.

La Política de GCN provee el marco de trabajo, que apoya la necesidad del cambio cultural.

antes de planificar y diseñar los componentes de una campaña de sensibilización, es importante entender cuál es el nivel de sensibilización existente y cuál es el nivel deseado. también es importante identificar cómo se medirá el nivel de sensibilización deseado y cuáles cambios se manifestarán en la nueva cultura de GCN.

La competencia y la capacidad de la GCN deben ser apropiadas a la naturaleza, escala, y complejidad de la organización, y por lo tanto reflejar su cultura y apoyar los objetivos del negocio. Los niveles de sensibilización de la organización deben estar en cambio constante en la medida que entran y salen personas. eventos internos y externos pueden conducir a aumentos súbitos en la conciencia y conocimiento de los temas de la GCN.

en la medida en que éstos rápidamente se desvanecen, el programa de GCN debe estar listo para aprovechar y desarrollar las oportunidades cuando surgen.

se deben tener en cuenta las consideraciones para extender el alcance del programa de sensibilización en GCN a los proveedores, clientes, contratistas y otros grupos de interés de la organización.

Conceptos y supuestos

se debe buscar una auditoría de la sensibilización actual en la GCN para establecer el nivel de conocimiento y compromiso con el programa de GCN.

Las evidencias se encontrarán principalmente en los patrones de comportamiento, pero hay otras fuentes dentro de la organización. aquellos involucrados en hacer la evaluación de la sensibilización deben tener un buen entendimiento del negocio y de sus objetivos en la GCN.

también deben tener, o estar en la capacidad de vincular, a quienes tienen niveles apropiados de competencias en educación, formación y actividades de sensibilización; al igual que habilidades adecuadas de análisis y relaciones interpersonales.

Como para otras etapas de la campaña de sensibilización, esta actividad requiere la consulta y cooperación del equipo de trabajo a lo largo de la organización. desde la alta dirección, pasando por los profesionales de GCN, hasta el equipo de trabajo sin roles específicos en GCN, pero con la responsabilidad general de “hacer su parte” en la GCN. en particular la alta dirección, desde el principio, debe suministrar el apoyo para el trabajo de sensibilización tanto en

términos de recursos materiales y como en el compromiso con la misión.

requerimientos de Habilidades y Formación

La actividad de evaluación de la sensibilización, es efectivamente un análisis de Necesidades de Formación (aNF) y comprende tres tareas principales:

  • 1. establecer el nivel actual de sensibilización de la GCN

  • 2. especificar el nivel deseado de sensibilización o formación y cómo se medirá.

  • 3. Identificar la naturaleza y alcance de “La Brecha de Formación” que debe ser cubierta por la campaña.

Los requerimientos del proyecto o las habilidades del equipo de trabajo de GCN incluyen:

Administración del Programa

Análisis de Impacto en el negocio

Desarrollo e implementación de Planes de Continuidad del

Negocio

• Gestionar un programa de ejercicios

se debe suministrar más educación general en temas de GCN para el equipo de trabajo de GCN involucrado en el programa. Por ejemplo:

• Entender las tendencias y nuevos desarrollos en la materia. • Explorar las posibilidades de nuevas tecnologías. • Aprender cómo otras organizaciones están enfrenando retos

similares. Para otros roles relacionados con la GCN se pueden requerir habilidades específicas para la respuesta a incidentes como:

Evacuación por incendio Evaluación de daños • Salvamento

Restauración de equipo • Liderazgo

Los requerimientos de sensibilización para el equipo de trabajo general, pueden incluir:

Cómo activar una alarma.

Responder a amenazas específicas.

Qué hacer cuando es evacuado del sitio.

Conocimiento de los planes de recuperación.

Integración de sensibilización básica dentro del programa de

inducción al equipo de trabajo.

• Dónde encontrar información acerca de la GCN en la organización.

Proceso

Establecer el nivel actual de sensibilización de la GCN

esta actividad es un ejercicio de recopilación de información. el objetivo debe ser el de establecer indicadores estadísticos sobre cualquier brecha en sensibilización y una evaluación de la

apreciación de, y el compromiso hacia la GCN en grupos objetivo del equipo de trabajo. Las fuentes de información deben incluir:

Documentación: incluye procedimientos y políticas

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[40]

istockphotos.com/lorrainedarke

GCN – Gestión de las Prácticas Profesionales

corporativas, reportes de respuesta a incidentes y crisis, registros de pruebas y ejercicios previos de la GCN, sistemas relevantes de tI y métricas del negocio.

Retroalimentación de las personas: incluye entrevistas con la

Alta Dirección y los directores del negocio, grupos enfocados con profesionales y usuarios finales.

• Observación: incluye revisiones “en sitio” de las prácticas

actuales de trabajo (por ejemplo, en comparación con la política

corporativa).

Especificar el nivel deseado de sensibilización y cómo se medirá

esta actividad se trata de especificar los comportamientos e indicadores de desempeño asociados, que confirmarán al negocio el nivel de satisfacción sobre la sensibilización en la GCN para cada grupo objetivo del equipo de trabajo. esta especificación debe estar acordada con la alta dirección (en términos del desempeño corporativo de la GCN) y con los directores y profesionales de la GCN (en términos de la viabilidad e integración con las prácticas laborales).

Las especificaciones dependerán de la naturaleza y el alcance del negocio, sus esfuerzos y requerimientos para la GCN, pueden incluir lo siguiente:

• Habilidades específicas requeridas para la respuesta de la GCN a

interrupciones.

• Prácticas mejoradas de trabajo que apoyen los desarrollos de la

GCN

• Un mejor entendimiento de, y material de apoyo para los temas

de la GCN por el equipo de trabajo en general.

• Un perfil más alto de la GCN en el proceso de toma de

decisiones corporativas, la política y la cultura.

Identificar la naturaleza y alcance de la brecha de formación que requiere ser cubierta con la campaña de sensibilización

esta actividad requiere la comparación de resultados de los pasos descritos anteriormente. La naturaleza y alcance de la brecha en la formación debe identificarse en términos de las temáticas de la GCN que serán tratadas en la campaña y el tipo de entrega que sería más efectivo: educación (información), formación (habilidades) o sensibilización (apreciación de y compromiso con, la GCN).

resultados y revisiones

Los resultados de la evaluación de la sensibilización deben incluir:

• El estado del nivel actual de sensibilización y la eficacia del

equipo de trabajo para apoyar la GCN.

El estado del nivel de sensibilización deseado y cómo se medirá.

• Una definición de la brecha de formación incluyendo las

temáticas de la GCN que requieren mayor sensibilización en el equipo de trabajo (ya que ésto ayudará a definir el mensaje de la campaña general de sensibilización) y el(los) nivel(es) de competencia en que se encuentra cada grupo objetivo.

La sensibilización del equipo de trabajo puede definirse en uno de los siguientes cuatro niveles:

  • 1. “Incompetencia Inconsciente” donde el equipo de trabajo es inconsciente de los temas de la GCN. No saben lo que no conocen.

  • 2. “Incompetencia Consciente” donde el equipo de trabajo es generalmente consciente de los temas de la GCN, pero conocen muy poco del detalle de los requerimientos.

  • 3. “Competencia Consciente” donde el equipo de trabajo es consciente de los temas de la GCN y es competente (por ejemplo sigue procedimientos documentados) para apoyar la GCN.

  • 4. “Competencia inconsciente” donde el equipo de trabajo es completamente competente en forma instintiva para aplicar la GCN en una gran variedad de circunstancias.

La evaluación de la sensibilización debe realizarse al inicio de la campaña, luego siguiendo el avance de la campaña y posteriormente de manera periódica como un sistema de monitoreo a la capacidad. adicionalmente, las evaluaciones de sensibilización pueden ser necesarias en respuesta a cambios como:

Procesos del Negocio que afecten las prioridades de la GCN Legislación o regulación que afecte los requerimientos de la GCN Incremento de amenazas y vulnerabilidades a la seguridad • Requerimientos corporativos y de clientes/socios para

disponibilidad de información y servicios, incluyendo el cumplimiento con normas relevantes.

[41]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Integrar la GCN en la Cultura Organizacional – 02

desarrollo de la GCN dentro de la Cultura de la Organización

Introducción

La Política de la GCN suministra el marco de referencia que apoya los requerimientos para el cambio cultural. dentro de las actividades de cultura y sensibilización de la GCN, el diseño y entrega del programa de educación, cultura y sensibilización debe derivarse del análisis de brechas de formación. Las responsabilidades de los individuos dentro del programa necesitan asignarse antes de que éste sea diseñado. el propósito de esta actividad es definir los mensajes a ser asimilados por el equipo de trabajo y seleccionar los medios más efectivos para entregarlos.

Las técnicas que podrían utilizarse incluyen:

• Formación: Habilidades específicas relacionadas a la GCN • Educación: Conocimiento específico de los temas de la GCN • Sensibilización: Conocimiento general de la GCN Lo temas a ser cubiertos por esas actividades incluyen:

• Diseño

• Planificación

• Entrega

Conceptos y supuestos

La educación, la formación y la sensibilización pueden entregarse de diferentes maneras. Para el éxito de una campaña de sensibilización, es crítica la selección de los métodos más apropiados y efectivos para su entrega. La planificación y el diseño de la campaña deben ser jerárquicos, iniciando con los objetivos derivados de la definición de la Brecha de Formación y sus características constitutivas. Los puntos de aprendizaje a su vez deben identificarse del conocimiento específico, las habilidades y las temáticas de sensibilización que necesitan ser asimilados por el equipo de trabajo para cerrar la brecha.

el personal sin responsabilidad especial para la GCN puede necesitar alcanzar solamente sensibilización o un determinado nivel de competencia para realizar aquellas tareas relacionadas con la GCN que forman parte de su rol dentro de la organización. Los profesionales de GCN, sin embargo, deben recibir una ruta de formación estructurada que les entregue conocimiento, habilidad y finalmente que le brinde competencia en la GCN a través de oportunidades para poner en práctica sus habilidades.

tanto el costeo de la campaña como el esfuerzo requerido, deben ser acordados con la alta dirección durante la etapa inicial del proceso. La disponibilidad del equipo de trabajo para atender los eventos de formación también debe tomarse en

cuenta cuando se planifica la estrategia y el cronograma de la campaña.

Proceso

el diseño y entrega de educación, formación y sensibilización comprenden tres actividades principales:

1.

diseño

2.

Planificación

3.

entrega

diseño

el diseño en general puede considerar la sensibilización en temas genéricos de GCN como el primer paso para crear interés por formación formal o por eventos similares donde se entregue información clave.

después de los eventos formales de aprendizaje, se debe proporcionar más información y oportunidades para el mismo, a través de por ejemplo: boletines corporativos de noticias, sitios en la intranet, grupos de discusión y otras actividades. en el diseño de la campaña se deben completar las siguientes tareas clave:

Identificar las audiencias.

Identificar los temas en educación, formación y

sensibilización que serán entregados.

Dar prioridad a los puntos de enseñanza que comprenden

los temas sobre educación, formación y sensibilización en la GCN.

• Seleccionar el orden y los métodos necesarios de entrega

para los puntos de enseñanza prioritarios.

Planificación

La tarea de planificación debe considerar las formas más rentables para la entrega, y tener en cuenta la disponibilidad del equipo de trabajo y las prácticas laborales.

esta tarea también debe considerar la difusión de la campaña en sí misma como parte de la directiva de sensibilización. Las actividades clave en esta tarea deben incluir:

• Discutir y acordar con la Alta Dirección la campaña

propuesta.

• Probar los elementos clave de la campaña con un grupo

seleccionado de directores del negocio y con grupos focalizados del equipo de trabajo, y definir los criterios de éxito.

• Planificar la integración del mensaje de la GCN con una

inducción y formaciones de actualización; al igual que su inclusión en otros formaciónes del equipo de trabajo.

• Realizar pruebas piloto y evaluar los eventos propuestos para

la formación.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[42]

GCN – Gestión de las Prácticas Profesionales

Entrega

La estrategia seleccionada para el programa de educación, formación y sensibilización depende de circunstancias individuales; por consiguiente se pueden ofrecer únicamente las siguientes recomendaciones generales para estas campañas:

• La campaña debe aumentar la sensibilización en los temas de la

GCN en la organización y los empleados.

• El apoyo de la Alta Dirección hacia la campaña debe ser evidente en

los eventos y los materiales utilizados en la formación.

Se debe ofrecer formación formal únicamente cuando hay evidencia

de que ha sido aceptada la sensibilización en los temas de la GCN.

La asimilación del conocimiento o las habilidades entregadas por

la formación, deben evaluarse y cualquier deficiencia debe ser administrada.

• Después de finalizar las actividades de formación formal, se deben

realizar esfuerzos en programas de actualización de educación, formación y sensibilización, para asegurar que el equipo de trabajo es consciente de las continuas necesidades (y cambios) en la GCN.

se debe tener disponible un presupuesto para la formación regular formal del equipo de trabajo y para continuar el desarrollo del equipo

de trabajo calificado (especializado) en GCN.

Métodos y técnicas

existen muchas teorías sobre cómo aprenden los adultos y una correspondiente variedad de estrategias de entrega. Mientras los profesionales de la GCN pueden facilitar el contenido formal de la formación, deben trabajar con expertos en formación para desarrollar la estrategia y entregar la campaña.

es importante reconocer que la sensibilización no está limitada al formación formal y requiere que la GCN esté integrada con las prácticas laborales. en consecuencia, siempre que sea posible se deben encontrar oportunidades para incluir la GCN en la agenda.

Los recursos de información pueden incluir:

Sitios Web de GCN

Libros, periódicos y publicaciones de la industria

Conferencias y seminarios

Recursos de formación

Cursos externos aprobados de formación

Programas académicos formales de educación

Foros regionales del BCI y grupos de trabajo

Grupos de trabajo de la industria

• Entidades certificadoras

Formaciones internas, incluyendo una inducción específica y cursos

de actualización.

Educación a distancia (videos obligatorios de formación básico,

lecturas)

• La GCN y ejercicios de manejo de incidentes (internos o externos)

recursos para la sensibilización:

• Documentos informativos

Periódicos corporativos, boletines, artículos y entrevistas

Visitas a las áreas de trabajo en los sitios de recuperación y a los

centros de manejo de incidentes

Sitios web en la intranet

Ejercicios, simulacros y pruebas de los planes de la GCN de la

organización.

Los profesionales de la GCN dentro de la organización

Remuneración y premios mediante el sistema de evaluación del

desempeño.

Participación en ejercicios de GCN o eventos reales de otras

organizaciones.

• Inclusión de objetivos relacionados con la GCN a través de los

mecanismos de evaluación del desempeño de la organización.

resultados

Los entregables de la campaña comprenderán un rango de actividades de aprendizaje, incluyendo formación presencial, educación a distancia, eventos de sensibilización, y la promoción de los temas de la GCN en las prácticas laborales. Claramente, su naturaleza y alcance dependen de los objetivos específicos de sensibilización de la campaña.

Los resultados de la campaña pueden incluir:

Mayor conciencia general de la necesidad del programa de GCN

Sensibilización sobre la importancia de la GCN para la organización

y sus prioridades de negocio.

Identificación de un enfoque aceptable para la GCN que puede

integrarse en las prácticas laborales.

Mejorar la efectividad en la realización de tareas específicas de la

GCN.

• Respuestas más efectivas a los incidentes reales de Continuidad del

Negocio.

• Mayores exigencias sobres los profesionales en GCN; por ejemplo

mediante la creciente preocupación acerca de la GCN por parte de los directores del negocio.

[43]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Integrar la GCN en la Cultura Organizacional – 02

Monitorización del Cambio Cultural

Introducción

el propósito de la monitorización de la educación, la formación y la sensibilización es mantener la efectividad y la calidad de la campaña, asegurando su circulación

corporativa con la industria y otros temas pertinentes a la GCN y asegurar que el nivel requerido de sensibilización es alcanzado.

Claramente, tanto el logro global de la campaña como el éxito o fracaso de componentes específicos, deben revisarse para mejorar continuamente la pertinencia y efectividad de la labor realizada.

de otro lado, la campaña de sensibilización debe ser vista como una tarea continua y se requiere hacer revisiones periódicas para verificar cualquier esfuerzo requerido para mantener la sensibilización en un

nivel aceptable.

Conceptos y supuestos

La efectividad de la educación, la formación y la sensibilización puede medirse en un número de niveles: desempeño mejorado en los individuos, mejores estándares a lo largo de la organización y aumento del énfasis de la GCN en la cultura corporativa.

se debe tener cuidado para realizar las preguntas correctas no solo desde la perspectiva organizacional sino también desde la perspectiva de los individuos para: obtener las respuestas relevantes, interpretar correctamente los datos y permanecer atentos a los temas por fuera del ámbito central de formación que pueden ser relevantes para la cultura de la GCN en general.

el razonamiento detrás de esto es que las respuestas a menudo son únicas y situacionales y sólo a través de métodos como entrevistas semi-estructuradas, observación del participante y grupos focalizados, puede evaluarse las complejidades del contexto y la importancia del entendimiento de las personas. Los profesionales de la GCN probablemente necesitan asistencia de especialistas en aprendizaje en este campo.

Proceso

Solicitar y recopilar la retroalimentación sobre formaciones

específicas. Mientras algunas formaciones pueden ser exitosas y otras menos, es importante ir en busca de las tendencias de fondo como por ejemplo, módulos específicos dentro de un curso que constantemente genera críticas.

• Monitorizar la efectividad. La retroalimentación en el corto

plazo puede proveer información sobre los componentes de una campaña y permitirá su mejoramiento; pero el efecto de la campaña en el largo plazo es más importante y puede manifestarse en términos menos tangibles (por ejemplo: mayor

sensibilización). La efectividad de la campaña debe cuantificarse, siempre que sea posible, en términos de mejoramiento del negocio.

• Monitoreo periódico de la sensibilización. La Alta Dirección debe

estar preparada para presupuestar regularmente en ejercicios de evaluación y posibles acciones posteriores.

Métodos y técnicas

La evaluación puede tomar muchas formas. La evaluación efectiva combinará una variedad de métodos de corto y largo plazo, revisando tanto la forma y el contenido de la campaña misma como su efecto sobre la GCN dentro de la organización.

siempre que sea posible, los resultados de la evaluación deben expresarse en términos de los beneficios de la campaña para el negocio. específicamente, la evaluación de los cursos de formación puede incluir discusiones, concursos y exámenes cortos durante el curso para verificar y alinear la enseñanza “al vuelo”. Formatos de evaluación del Curso pueden utilizarse para mejorar la estructura del curso, el contenido y la entrega. La evaluación de un curso debe basarse en una serie de sesiones más que en una

sola.

resultados y revisiones

Las revisiones deben incluir una variedad de reportes para los niveles apropiados dentro de la organización. deben considerar a la alta dirección, directores relevantes del negocio, profesionales de la GCN y proveedores de formación.

La evaluación de la campaña debe hacerse durante y después de que se ha realizado la mayor parte de la campaña para permitir la realineación de la estrategia y revisar si la campaña ha alcanzado su objetivo general de reducir la brecha de formación identificada en la evaluación inicial de la sensibilización.

Los resultados de la evaluación de la campaña deben reportarse al equipo de trabajo a través de los canales corporativos y pueden incluir:

Identificación de requerimientos adicionales en educación, formación y sensibilización.

Identificación de oportunidades de desarrollo para los profesionales de la GCN.

Mejoramiento de las prácticas laborales.

se debe realizar una auditoría regular al programa de sensibilización de manera que las deficiencias puedan ser identificadas y tratadas.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[44]

[44]

istockphotos.com/lorrainedarke

GCN – Gestión de las Prácticas Profesionales

Logro del Cambio Cultural a través de sistemas de Gestión de Normas

Introducción

aunque la implementación de un sistema de Gestión de la Continuidad del Negocio formal (sGCN) no resulta por sí mismo en un cambio cultural, sí provee algunos de los prerrequisitos para su éxito. estos son:

Compromiso de la Alta Dirección.

Un proceso formal de medición del desempeño.

La necesidad de demostrar lo bien que se ha integrado la GCN.

Aseguramiento de la calidad y exactitud de la documentación.

Aseguramiento de los procesos y procedimientos mandatorios.

Involucramiento de una amplia gama de individuos en todos los

niveles.

• Necesidades de formación y presupuestos apropiados que se

establezcan.

sistemas de Gestión

Un sistema de gestión para la GCN puede ser definido como parte general del sistema de gestión (de la organización) que establece, implementa, opera, monitorea, revisa, mantiene y mejora la Continuidad del Negocio. esto implica que el sistema tiene:

Una política.

Personas con responsabilidades definidas para la GCN.

Procesos de gestión para apoyar la política.

Un conjunto de documentación para proporcionar evidencias al proceso de auditoría.

Procesos específicos para apoyar el programa de GCN.

recursos incluyendo presupuesto, tiempo e instalaciones.

a BCMs uses the Plan-do-Check-act (PdCa) cycle which is common to all IsO management systems.

Planificar

establecer la política, objetivos y el alcance del programa

Hacer

Implementar el programa de GCN

Verificar

realizar auditoría interna y revisión de la gestión del sGCN

Actuar

Implementar los resultados de la revisión

aunque la norma IsO pretende ser aplicable a todas las organizaciones, hay una intención clara de no suponer que un sGCN debe tener un diseño uniforme. Corresponde a cada organización diseñar un sGCN apropiado a sus necesidades y a los requerimientos de las partes interesadas.

Certificación

La certificación de una organización contra una norma formal no garantiza que se puedan administrar exitosamente todas las interrupciones; tan solo que han sido llevados a cabo los aspectos del proceso de GCN que pueden ser objetivamente auditados.

sin embargo, la naturaleza rigurosa de alcanzar la certificación somete a la organización a un nivel de exposición considerable de la GCN y puede construir sensibilización sobre el tema en todos sus niveles. La certificación, así como el cumplimiento regulatorio, no significan por derecho propio el cambio de cultura, sino que tiene una influencia positiva general, ya que requiere a la organización ser muy clara sobre su Política y objetivos de la GCN y cómo los comunica al equipo de trabajo.

[45]

[45]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Entendimiento de la Organización

istockphotos.com/lorrainedarke

Entendimiento de la Organización istockphotos.com/lorrainedarke 03

03

istockphotos.com/lorrainedarke

GCN – Técnicas de las Prácticas Profesionales

Entendimiento de la Organización

Introducción

El “Entendimiento de la Organización” es la práctica profesional dentro del Ciclo de Vida de la GCN que revisa la organización en términos de cuáles son sus objetivos, cómo trabaja funcionalmente y las limitaciones del entorno en el que opera. La información recopilada hace posible determinar cómo se prepara mejor la organización para ser capaz de administrar las interrupciones que de otra forma podrían dañarla seria o fatalmente.

[47]

[47]

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

Entendimiento de la Organización – 03

Como se describió en la sección de la Política de GCN, la organización debe tomar una decisión previa y clara sobre si el sGCN abarcará toda la organización o solo ciertos productos o servicios. esto establece el alcance de las etapas de análisis de Impacto en el negocio aIN (Business Impact analysis BIa), análisis de requerimientos de Continuidad arC y la evaluación de amenazas.

Las herramientas para el entendimiento de su negocio para el propósito de la Continuidad del Negocio, son:

análisis de Impacto en el negocio (aIN): Para evaluar el impacto, en el tiempo, de una interrupción sobre la capacidad de la organización para operar.

análisis de requerimientos de Continuidad arC: Para estimar los recursos, instalaciones y servicios externos que cada actividad requerirá en la reanudación y retorno a la normalidad luego de una interrupción.

evaluación de amenazas por medio del análisis de riesgo: Para estimar la probabilidad y el impacto de amenazas conocidas sobre funciones específicas.

el aIN identifica la urgencia de cada actividad realizada por la organización, mediante la evaluación del impacto en el tiempo de una interrupción de esta actividad en la entrega de los productos y servicios. esta información es utilizada para identificar las ventanas de tiempo para las estrategias apropiadas de continuidad y reanudación, para cada actividad individualmente y en relación de unas con otras.

el arC proporciona la información que permitirá determinar la escala (tamaño y número) de las medidas de continuidad apropiadas.

La evaluación de amenazas por medio del análisis de riesgo ayuda a identificar las causas potenciales de una interrupción en la organización, la probabilidad de ocurrencia y el impacto si esa amenaza ocurre. Pueden ser identificadas entonces medidas que intenten reducir la probabilidad de ocurrencia o reducir el impacto de un incidente derivado de estas amenazas específicas.

dentro del Programa de GCN esta etapa debe enfocarse en las amenazas inherentes a las actividades del negocio identificadas en los resultados del aIN como las más urgentes en lugar de todas las amenazas a la organización.

La asignación de tiempo y presupuesto entre la provisión de instalaciones de recuperación y las medidas para mitigar amenazas específicas debe decidirse por experiencia y juicio, ya que no existen fórmulas o reglas para guiar esta decisión.

Un profundo entendimiento de la GCN de la organización por medio de estas técnicas puede a menudo, resaltar ineficiencias del negocio que de otro modo no serían evidentes para la alta dirección.

análisis de Impacto en el Negocio

Introducción

el análisis de Impacto en el Negocio aIN es el fundamento sobre el que se construye todo el proceso de la GCN. Identifica, cuantifica y califica los impactos al negocio de las pérdidas, interrupciones o interferencias en las actividades del negocio en una organización y proporciona la información a partir de la cual se pueden determinar las estrategias de continuidad adecuadas.

Un aIN puede utilizarse para identificar las escalas de tiempo y el grado de impacto de una interrupción en diferentes niveles de una organización. Por ejemplo, para examinar el efecto de:

estrategia: La pérdida de la capacidad para entregar cada producto o servicio - con el fin de apoyar la decisión del alcance del programa de GCN.

táctica: Una interrupción de las actividades internas o externas que pueda impedir la entrega de productos y servicios - Con el fin de suministrar información para la selección de las opciones de continuidad y sus requerimientos de recursos.

Operativas: La interrupción de las actividades de un área del negocio - con el fin de apoyar la preparación de un plan detallado para el departamento.

Principios

es necesario obtener el apoyo total de la alta dirección antes de intentar el análisis de Impacto en el Negocio. es poco probable que los directores estén preparados para dedicar tiempo a este ejercicio a menos que esté demostrado el apoyo de la alta dirección.

La decisión sobre qué productos y servicios están dentro del alcance del programa de GCN, se debe haber tomado antes de llevar a cabo el aIN y debe estar documentada en la política del Programa de Gestión de la Continuidad del Negocio GCN. de manera alterna, el método del aIN puede utilizarse para entender el impacto de la

falla en la entrega de productos o servicios y puede utilizarse para decidir el alcance del programa de GCN.

Una vez que se ha definido el alcance, el aIN se enfoca en las actividades (que apoyan esos productos y servicios) identificando aquellas cuya falla podría amenazar más rápidamente la entrega. Éstas tienden a ser actividades “operativas” que interactúan directamente con los clientes u otras organizaciones externas. sin embargo, estas actividades pueden depender para su entrega del apoyo de otros procesos internos o externos, los cuales también deben ser analizados.

GCN Guía de Buenas Prácticas 2010 | EDICIóN GLOBAL

[48]

GCN – Técnicas de las Prácticas Profesionales

ejemplos de actividades estratégicas incluyen:

• Dirección

• Proyectos

• Planificación

ejemplos de actividades tácticas incluyen:

• TI (con excepción de los proveedores de servicios de TI en los

que ésto puede ser un servicio externo)

• Recursos humanos

• Servicios de apoyo externo como los servicios públicos

ejemplos de actividades operativas incluyen:

• Servicio al cliente

• Ventas

• Producción

• Visitas a domicilio

• Recopilación de basuras

• Suministro de información a individuos u otras organizaciones

La alta dirección debe identificar los planes futuros más importantes para la organización que puedan afectar los impactos a ser evaluados en el aIN.

Propósito

el propósito de un análisis de Impacto en el negocio para cada actividad, producto o servicio, es:

• Documentar los impactos en el tiempo que puedan resultar

de su pérdida o interrupción.

• Identificar el Máximo Período Tolerable de Interrupción

(MPtI) y por tanto las prioridades de recuperación (ver conceptos a continuación).

• Identificar las dependencias (internas y externas) que se

requieren para permitir que la actividad opere eficazmente.

es posible (y deseable) que el aIN se utilice para determinar el impacto de interrupción ante cambios mayores en el negocio como:

Introducción de nuevos productos, procesos o tecnologías.

Reubicación o cambio en la distribución geográfica del

negocio.

• Un cambio significativo en la operación del negocio,

estructura o las jerarquías del equipo de trabajo.

• Un nuevo proveedor importante o un contrato de

externalización.

esto puede permitir a la organización tomar ventaja de los cambios para aumenta