Está en la página 1de 18

Continuidad del Negocio

Módulo 1: ¿Qué es continuidad del negocio?


“Se fue la luz”, esta frase no debería escucharse en nuestro corporativo Santa Fe, sin embargo,
sucedió en el 2009 y afectó el centro de cómputo, los empleados se quedaron sin conexión a la
red del Banco, el área de la tesorería dejó de operar, no hubo acceso al correo electrónico y
todos los aplicativos en la red quedaron inhabilitados.
Otro evento que puso en riesgo la continuidad del negocio, sucedió a finales de abril del 2009
cuando se declaró alerta epidemiológica por el virus ahora conocido como A H1N1, lo que obligó a
reducir hasta en un 50% la asistencia a los edificios corporativos, poniendo en riesgo el correcto
funcionamiento del Banco en su conjunto.
Sin duda, se buscaron medidas alternas para no afectar el negocio, pero estos sucesos como
muchos otros nos lleva a plantearnos las siguientes preguntas:

 ¿Sabemos qué debemos hacer para que nuestro negocio no se interrumpa ante una
contingencia?
 ¿Tenemos medidas alternas que respondan a la necesidad de continuar con las operaciones
y no afectar al cliente cuando se presenta una contingencia?

Ante una contingencia no debemos olvidar que el negocio debe continuar.

¿Qué es la continuidad del negocio?

Cuando se presenta algún suceso que pueda poner en riesgo la operación de la empresa, es
necesario contar con estrategias que permitan la continuidad del servicio que se brinda, así como
recursos que faciliten la recuperación o restauración de este servicio si es que se ve afectado; en
esto consiste la continuidad del negocio, en tener las medidas adecuadas que permitan que el
negocio siga.
En este sentido podemos decir que la continuidad del negocio es el conjunto de
procedimientos y tareas que nos permiten identificar, analizar y evaluar los riesgos para diseñar
estrategias de prevención y mitigación (antes), recuperación (durante), y restauración (después)
para dar continuidad a los procesos críticos del negocio.

El propósito de la continuidad del negocio es principalmente proteger:


 Personas.
 Información.
 Procesos.
 Recursos.

Los objetivos son los siguientes:


 Proteger la integridad de las personas.
 Asegurar la prestación del servicio que ofrece la Institución.
 Limitar las pérdidas económicas, derivadas de interrupciones o desastres (proporcionar
protección a los activos).
 Mitigar riesgos.
 Minimizar impactos.
 Proporcionar medidas preventivas.
 Mantener el control durante cualquier interrupción.
 Aplicar planes de contingencia para la operación.
 Permitir el retorno controlado a la operación normal.
 Facilitar la toma de decisiones bajo situaciones de presión.
 Cumplir con la normatividad establecida por las Autoridades externas e internas.

Fases de la continuidad del negocio


La continuidad del negocio contempla el diseño de estrategias y procedimientos que se
determinan de acuerdo a cuatro fases.

1. Respuesta y manejo: Reacción planificada y manejo de un evento adverso.


2. Recuperación/restauración: Recuperación planificada de los sistemas y reanudación de las
operaciones después de una interrupción.
3. Retorno a la operación normal: Restitución de la operación normal.
4. Prevención: Pasos tomados para identificar y mitigar el riesgo y diseño de estrategias de
recuperación.

¿Quién es responsable de la continuidad del negocio?


Todos somos parte de la cadena productiva de Santander, si perdemos un eslabón el
funcionamiento se ve afectado.
Todos nosotros somos parte del desarrollo, implementación y apoyo continuo de la
planificación de la continuidad del negocio. Cada uno de nosotros participa en diferentes
procesos que finalmente concluyen en el servicio al cliente, por lo mismo, todos tenemos un nivel
de responsabilidad en la continuidad del negocio.
Algunas áreas del Banco tienen mayor participación en la continuidad del negocio, entre ellas
se encuentran principalmente:
 Áreas operativas y de negocio.
 Sistemas.
 Seguridad.
 Jurídico.
 Inmuebles y Servicios.
 Recursos Humanos.
 Continuidad del Negocio.

La intervención de las personas o áreas se define de acuerdo al tipo de contingencia y nivel de


gravedad.
Lee la siguiente situación y después reflexiona:
A las 10 de la mañana se presenta un problema de comunicación entre los sistemas de
“Enlace” y “Transfer” lo que impide que los clientes puedan realizar operaciones de
transferencia de fondos entre cuentas propias como de otros bancos.
¿Cómo se relaciona esta situación con la “continuidad del negocio”? ¿Cuál de las siguientes
opciones crees que responda esa pregunta?

a. En que es importante mantener el servicio al cliente.


b. En que se deben tener procesos alternos que permitan la continuidad del negocio cuando
hay una interrupción del servicio.
c. En que quienes participan en este proceso, deben involucrarse en el problema para
resolverlo y tomar las decisiones adecuadas.

En realidad, las tres opciones consideran la continuidad del negocio, porque es lo que
permite mantener el servicio, cuidando la atención al cliente, implementando medidas alternas
que establezcan claramente quiénes van a participar en la solución del problema y qué camino
debe seguirse para hacerlo de forma correcta.
Contar con esquemas de continuidad del negocio, nos permite minimizar riesgos, seguir
proporcionando el servicio a nuestros clientes preservar la imagen de la Institución, además de
tener los elementos suficientes para analizar y valorar los impactos cualitativos y cuantitativos.

El papel del área de Continuidad del Negocio


Hoy en día existen diversos factores que pueden interrumpir la operativa de cualquier empresa,
por lo mismo, es necesario considerar la importancia de la “continuidad del negocio” dentro de
nuestra institución y al interior de cada una de nuestras áreas de trabajo. Todos podemos estar
expuestos a una contingencia, por lo tanto debemos establecer medidas que permitan lo
siguiente:
 Mitigar riesgos.
 Minimizar impactos.
 Actuar adecuadamente en caso de que se presente una contingencia o desastre, contar con
procedimientos alternos para los procesos críticos.
 Tener estrategias de restauración de operaciones y recuperación de información.
 Regresar a la normalidad de forma correcta y ágil.

Es por eso que en Santander buscamos establecer esquemas de continuidad del negocio, para
estar preparados en el momento en que se presente una contingencia.

Conoce más sobre continuidad del negocio


Hay muchos conceptos relacionados con la continuidad del negocio, y cada empresa o institución
adopta diferente terminología.
Cabe mencionar que hay asociaciones internacionales que están homologando los conceptos.
En Santander nos hemos adherido a las mejores prácticas internacionales basadas en institutos
como el DRII (Disaster Recobery Intitutute International) y en la Norma BS25999 del British
Standar.
Alguno de los términos más utilizadas por nosotros para clasificar las fallas y poder identificar
en qué situación nos encontramos son:

Falla. Situación no generalizada de bajo impacto que afecta a uno o varios equipos o usuarios. No
detiene la operativa y generalmente se reporta al SOS. Ejemplos:
 Fallas de equipo y de comunicaciones.
 Problemas con nombres de usuarios y contraseñas.
 Errores de impresión.
 Problemas de configuración.
 Problemas con el software de la PC (paquetería).
 Mal funcionamiento de los nodos de voz y datos.

Incidencia. Situación generalizada que interrumpe parcialmente la entrega de algunos de los


servicios de tecnología afectando la operativa del Grupo. Puede estar relacionada a un problema
de aplicativo, infraestructura o de comunicaciones. Hay afectación directa sobre la operación y
es necesario ejecutar las acciones adecuadas para solucionar la incidencia. La operativa continúa
parcialmente en todo aquello que no está afectado, la interrupción es aceptable y no es
necesario detonar el plan de contingencia. Ejemplos:
 Lentitud en la respuesta del aplicativo.
 Falla parcial en un sistema que impida liquidar o ejecutar operaciones.
 Base de datos del aplicativo presenta información errónea.

Contingencia. Se deriva de una incidencia o de un evento no programado que inhabilita a la


empresa o institución a proporcionar algunas de las funciones críticas del negocio por un periodo
inaceptable y que tiene como consecuencia un impacto alto. Ejemplos:
 Corrupción total de una base de datos crítica.
 Falta de acceso a un aplicativo crítico.
Desastre. Es un evento no planeado que inhabilita a la empresa o institución a proporcionar las
funciones críticas del negocio por un periodo inaceptable y tiene como consecuencia un gran
daño o pérdida. Es necesario aplicar el plan de recuperación del desastre.
La diferencia entre una contingencia y un desastre radica en la duración de la interrupción y
la gravedad del impacto. En un desastre, generalmente todas las áreas se ven afectadas, el
impacto es daño o pérdida, que puede ser total y la necesidad de aplicar el plan de recuperación
del desastre (DRP) es inminente.

Módulo 2: La importancia de atender las contingencias


de cara al cliente
Una contingencia puede surgir por diversas razones, que van desde un fenómeno natural como un
terremoto o un huracán, hasta un acto terrorista, un acontecimiento político, social, cultural o
tecnológico. Día con día, las empresas se ven amenazadas por situaciones que ponen en riesgo su
operativa y por consiguiente el servicio que prestan a sus clientes.
En la historia de nuestro país han ocurrido hechos que han afectado al medio financiero, como
por ejemplo “El temblor del 85”. Dada la magnitud del desastre, las autoridades tomaron la
determinación de cerrar las puertas y suspender las operaciones de los bancos; el impacto
operativo y económico fue muy alto derivado del daño en la infraestructura tanto de las ciudades
como de las empresas, sin embargo, el impacto en imagen fue prácticamente nulo porque la
tolerancia de los clientes y de las autoridades es mucho mayor cuando el desastre es general que
cuando es particular. Aunque los sistemas no se recuperaron en su totalidad en las siguientes 48
horas, sí se activaron procedimientos manuales para dar continuidad de servicio al cliente.
Ante una situación como ésta es necesario señalar lo siguiente, uno de los aspectos que
considera la continuidad del negocio es mantener la calidad en el servicio al cliente, después de
todo él es nuestra razón de ser.

Continuidad en la calidad del servicio


Ofrecer calidad en el servicio de atención al cliente es responsabilidad de todos e implica
satisfacer las necesidades del cliente de manera consistente y confiable, además de exceder las
expectativas y anticiparse a sus requerimientos.
Cuando ocurre una contingencia que impida brindarle el servicio al cliente, se presenta una
situación que puede poner en riesgo su preferencia y confianza hacia nosotros, por lo mismo hay
que hacerle ver siempre que se tiene disposición y que se actuará para resolver el problema por
muy difícil que éste parezca.

¿Qué espera el cliente de mí?


El cliente se forma expectativas sobre el servicio que se le puede brindar y lo que espera es:
• Atención.
• Confianza.
• Asesoría.
• Trato amable y respetuoso.
• Satisfacer su necesidad.
• Obtener un servicio eficiente.
Ante un problema o contingencia se debe buscar la forma apropiada para resolverlo, el esfuerzo y
dedicación de un equipo de trabajo se refleja en este tipo de situaciones.

Por el cliente, el negocio debe continuar


Santander es una institución que presta servicios financieros a los clientes, ellos depositan su
confianza en la Institución para realizar sus operaciones y administrar de manera adecuada sus
finanzas, nosotros debemos cuidar que los procesos establecidos para este servicio se den de
forma efectiva y sin sufrir alguna interrupción; si una interrupción llegara a ser inevitable,
debemos buscar que el impacto en el servicio sea mínimo.

La importancia de la actitud
Cuando se presenta una contingencia, la actitud es uno de los elementos más importantes para
brindar con calidad el servicio de atención al cliente. Tener actitudes inadecuadas, indiferentes o
negativas genera un círculo vicioso perjudicial tanto para nosotros como para nuestros clientes.

¿Qué hacer si estamos frente al cliente?


Si nos encontramos en una contingencia que impida brindar el servicio y estamos frente al
cliente, debemos tener en cuenta lo siguiente:
• Mostrar siempre un trato respetuoso y amable.
• Ponerse en su lugar e intentar comprender su preocupación y necesidad.
• Mostrar interés y disposición para solucionar su requerimiento aún en una situación
adversa. Si no depende de nosotros la solución del problema, cerciorarse de que ya se está
actuando para resolverlo.
• Buscar y ofrecer alternativas.
• Buscar alguna forma de compensar la falta.
• Si se está autorizado para dar información al cliente, proporcionársela con el fin de que
pueda estar consciente de la situación, pero sin conducirlo al pánico, en este sentido es
importante no dar información a menos que estemos completamente seguros de lo que
queremos transmitir.
• Pedir una disculpa por lo ocurrido.
• No hablar con los medios. Las únicas personas autorizadas para dar información a los
medios son el Director General y nuestro Vocero Oficial, que es el Director Ejecutivo de
Comunicación Corporativa.

Asimismo, si ya hay un plan de contingencia, sigamos los procedimientos alternos tal como
están descritos, una vez que el plan haya sido detonado por el personal autorizado. Evitemos
llamar a las áreas centrales si el procedimiento indica que hay que comunicarse por otro medio o
a otras áreas.
Si no somos área de atención directa al cliente, debemos brindar el soporte adecuado a las
áreas que sí lo son y participar e involucrarse en los procedimientos alternos que permitan la
continuidad de la operativa y del servicio.

La atención hacia las autoridades ante una contingencia


En el medio financiero existen autoridades que vigilan y regulan el comportamiento de las
instituciones (CNBV, Banxico, etc.) Cuando ocurre una contingencia, la continuidad del negocio
también cuida que se contemple dar aviso a la autoridad correspondiente sobre el estado de la
contingencia con el fin de buscar alternativas, o en su caso, auxilio.
En Santander, de acuerdo a la gravedad del asunto, se establecen responsables y medios de
contacto, pero es importante comprender que las autoridades son un componente elemental en
la continuidad del negocio.
Algunas de las principales Autoridades a las que se les debe dar aviso cuando ocurre una
contingencia son:
• Banco de México (BANXICO).
• Secretaría de Hacienda y Crédito Público (SHCP).
• Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR).
• Comisión Nacional Bancaria de Valores (CNBV).

Al dar atención a estas autoridades se establece también el nivel de intervención de éstas, lo


que nos permitirá actuar de forma uniforme, y tomar provisiones como ampliar los horarios,
canales de comunicación, medidas que adviertan la afectación del servicio al cliente, etc. Las
autoridades vigilan que el servicio al cliente sea el adecuado y bajo las normas establecidas, por
lo que siempre deben considerarse cuando ocurre una contingencia o un desastre.

Módulo 3: ¿Qué es continuidad del negocio como área


especializada?
Cuando se presenta una contingencia o un desastre, una de las cosas que puede impedir la
solución rápida y efectiva del problema es la falta de coordinación y comunicación entre los
responsables y las áreas afectadas. En Santander contamos con el área de Continuidad del
Negocio, quien centra sus funciones en la gestión y coordinación de procedimientos que
garanticen la continuidad de las labores.

Definición del área


El área de Continuidad del Negocio es un grupo de personas dedicada a garantizar la operación en
caso de contingencia o de desastre en coordinación con el personal de las áreas de negocio,
operativas, de soporte y de sistemas.

Objetivos del área


Los objetivos del área de Continuidad del Negocio son:
• Sentar las bases para la elaboración de los planes de contingencia como medida preventiva
y mitigación del riesgo.
• Limitar las pérdidas financieras derivadas de desastres o interrupciones en el negocio.
• Minimizar el impacto sobre las operaciones críticas de negocio durante los periodos de
excepción.
• Evitar el detrimento de la imagen de nuestra Institución en caso de contingencias.
• Permitir el retorno controlado a la operación normal.
• Simplificar el proceso de toma de decisiones bajo presión.

Es decir... ¡garantizar la continuidad del negocio!

Metodología de continuidad del negocio


La metodología de Santander integra conceptos de continuidad y recuperación de tres de los
institutos más reconocidos mundialmente:
• Instituto de Recuperación de Desastres (DRII) basado en Estados Unidos.
• Instituto de Continuidad del Negocio (BCI) de Inglaterra.
• Instituto Británico de Estándares (BSI).

Esta metodología se puede observar en el siguiente diagrama:

Fase I: análisis de impacto


• Análisis de Impacto al Negocio (BIA por sus siglas en inglés), tiene como objetivo
identificar los procesos críticos del negocio, los aplicativos e interfaces que los soportan.
Durante este proceso se determinan los recursos necesarios para operar en contingencia.
• Análisis de Riesgos, su propósito es identificar aquellas situaciones que puedan constituir
un riesgo para la continuidad de negocio de Santander, identificando una serie de
escenarios de contingencia resultantes de la materialización de las amenazas identificadas.
Se deberá categorizar los escenarios identificados en función de la naturaleza de los
activos afectados y del grado de autonomía para dar respuesta a cada escenario.

Fase II: estrategias


• Diseño de Estrategias. En esta etapa se seleccionan los métodos que se podrían utilizar
para recuperar el servicio.

Fase III: desarrollo del plan de continuidad


• Procedimiento de Gestión de Crisis. Existe un Plan de Manejo de Crisis que contempla a un
comité multidisciplinario capacitado para la toma de decisiones en caso de Crisis.
• Organización. Conforme madura el plan global de continuidad del negocio en nuestra
Institución, se van definiendo los representantes de cada área para la definición de planes
de contingencia y su activación.
• Planes de Acción. Cada área es responsable de definir sus propios planes de acción o planes
de contingencia de acuerdo a sus procesos críticos.
• Plan de Formación y Concientización. El plan de formación contempla la capacitación de
empleados internos y externos cada año y a todo aquel empleado de primer ingreso. Por
otro lado, las campañas de Comunicación Interna es un medio para concientizar a todo el
personal de la Institución.

Fase IV: procesos continuos


• Prueba y Mantenimiento de Planes. Año con año se debe llevar a cabo la prueba de los
planes de contingencia y simulacros de DRP y hacer las actualizaciones correspondientes en
cuanto a cambio en los procedimientos contingentes como en los directorios del personal
involucrado, etc.

¿Qué áreas colaboran con continuidad del negocio?


Cuando ocurre una contingencia, diversas áreas entran en acción junto con Continuidad del
Negocio para dar solución y aplicar medidas adecuadas que permitan que la operación y el
negocio no se interrumpan o el impacto sea el menor posible.

Las áreas que principalmente colaboran con Continuidad del Negocio son:
• Sistemas (Produban e Isban) Comprende todas las plataformas, aplicativos,
telecomunicaciones, y bases de datos. Es quien provee la infraestructura tecnológica a
nuestro Grupo y proporciona soporte técnico.
• Call Center. Primer punto de contacto para la red de sucursales y personal en edificios
corporativos para brindar asesorías operativas en el uso de aplicativos y gestión de
incidencias técnicas en los sistemas y requerimientos de infraestructura de tecnología.
Atiende vía telefónica y por correo.
• Centro de Atención a Usuarios – CAU (Produban). Grupo de apoyo de segundo nivel para
resolver incidencias técnicas por mal funcionamiento de los equipos de cómputo,
impresoras y tecnología de comunicaciones, voz y datos de la red de sucursales y de
edificios corporativos. Atiende en modalidad remota y con presencia de personal en sitio.
• Gestión de la Demanda. Es quien gestiona los requerimientos hacia Produban-Isban.
Responsable de priorizar, filtrar, canalizar y dar seguimiento a las peticiones de proyectos
y mantenimientos de los usuarios hacia Altec.
• Monitoreo de Incidentes. Área de detección de fallas centrales de los principales
aplicativos del Banco y es el enlace entre Negocio y Sistemas.
• Todas las áreas de negocio.
• Áreas de Soporte como Seguridad Corporativa, Servicios, Inmuebles, etc.

¿Cómo trabaja continuidad del negocio en conjunto con estas áreas?


Continuidad del Negocio es un área de coordinación y gestión, establece procedimientos y
lineamientos para que las áreas afectadas y las involucradas en la solución de una contingencia
actúen de forma efectiva y precisa.
Continuidad del Negocio recibe la notificación de un incidente crítico, por parte de las áreas
de negocio, de operaciones o de Gestión de Incidentes de Produban, evalúa la situación en
conjunto con las áreas involucradas y da seguimiento hasta la solución del incidente.
En caso de que la evaluación de la situación arroje la necesidad de detonar algún plan de
contingencia, el responsable de la continuidad de los procesos de las áreas junto con Continuidad
del Negocio, detonan el plan de contingencia establecido, por ejemplo, si hay un problema en
Supernet Empresas y la situación dicta que el problema será resuelto dentro de 24 horas, el área
de Cash Management y el área de Operación Banca Minorista deciden en conjunto detonar el plan
de contingencia.

Módulo 4: Análisis de riesgos y análisis de impacto


Como se ha mencionado anteriormente, uno de los objetivos de la continuidad del negocio es
mitigar riesgos y minimizar impactos. Para poder lograr esto, es necesario establecer un análisis
que permita identificar cuáles son aquellos riesgos que se pueden presentar y con qué elementos
contamos para disminuir el impacto.

Ahora reflexiona lo siguiente:


• ¿Qué tipo de riesgos has corrido en tu vida personal y/o profesional?
• ¿Has tomado medidas para mitigar esos riesgos y minimizar el impacto?

Analicemos el siguiente ejemplo:

Seguramente has estado en casa cuando se va la luz. Esto puede generar una serie de situaciones
complicadas, como no poder usar la computadora, el horno de microondas, la televisión, el
teléfono inalámbrico, el aparato de sonido; y, si se va por un periodo prolongado (inaceptable) la
comida del refrigerador se echa a perder.
Seguramente para una situación como ésta, adquiriste previamente velas o lámparas de pilas
que te minimicen uno o varios de los impactos ante este riesgo.

De igual forma en el ámbito laboral ¿En qué puede afectar? ¿Qué podemos hacer ante una
situación similar?
Es evidente que no está en nuestras manos prevenir este evento, pero sí podemos minimizar el
impacto y mitigar el riesgo; el análisis de riesgos y el análisis de impacto (BIA por su siglas en
inglés) es lo que nos va a permitir hacerlo.

Algunos conceptos importantes


Antes de precisar qué es el análisis de riesgos y el análisis de impacto en lo relativo a la
continuidad del negocio, es importante conocer algunos conceptos:
• Amenaza: evento que puede ocasionar una pérdida; podríamos considerarlo como el origen
del problema. Ejemplo: fenómenos naturales como un temblor o huracán; o incidentes
provocados por el hombre como virus informático o hackers.
• Vulnerabilidad: es la susceptibilidad de sufrir un daño como resultado de un fenómeno
destructivo sobre las personas, los bienes, los servicios y el entorno, es decir, el grado de
exposición ante la amenaza, ejemplo, la falta de extintores en un edificio lo hacen más
vulnerable a la amenaza de incendio.
• Probabilidad: de ocurrencia de la amenaza y afectación, ejemplo: la probabilidad de un
terremoto en la ciudad de México es alta, sin embargo, la probabilidad de un tsunami es
nula.
• Riesgo: posibilidad de que un evento provoque daño o contratiempo. Es el potencial de
pérdida para la empresa. Ejemplo, ante una amenaza de huracán las instalaciones de una
empresa pueden verse afectadas al inundarse.
• Impacto: es el efecto resultante de la materialización de los riesgos. El impacto se mide en
términos financieros, ambientales, magnitud de la interrupción operacional o de las
desviaciones en el logro de objetivos y metas; es la consecuencia última de la
materialización del riesgo, ejemplo: suspensión de actividades, pérdida de imagen,
clientes, costos extraordinarios, etc.
• Desastre: es el estado en que la población de la entidad sufre severos daños por el efecto
de una calamidad devastadora, sea de origen natural o generada por el hombre,
enfrentando la pérdida de sus individuos, infraestructura o entorno, de tal manera que la
estructura social se desajusta y se impide el cumplimiento de las actividades esenciales de
la sociedad, afectando el funcionamiento de los sistemas de subsistencia.

No lo olvides: la diferencia entre riesgo e impacto es que el riesgo es la posibilidad de que un


evento provoque daño y el impacto es la consecuencia de la materialización del riesgo.

Un hecho real… un gran impacto


Apliquemos estos conceptos en el siguiente ejemplo y después reflexionemos: pensemos en el
terremoto de 1985 en la Ciudad de México y analicemos la situación.
La amenaza fue el terremoto, el riesgo era la pérdida de vidas humanas, el daño potencial en
la infraestructura de la ciudad, edificios, instalaciones del sector público y privado, en casas,
comercios, etc. Impacto muy grave.
Algunos edificios eran más vulnerables que otros, quizá porque estaban construidos con
varillas más delgadas, porque eran más viejos o porque estaban en terrenos de zonas sísmicas.
Dado que el historial de terremotos en la Ciudad de México marca que hay un sismo de alta
escala cada 30 años aproximadamente, la probabilidad de ocurrencia ya era alta pues el último
sismo de magnitud similar fue en 1957. Sin duda el terremoto de 1985 en la Ciudad de México fue
un desastre mayor y el impacto más significativo fue la pérdida de vidas humanas.
Ahora bien, ¿había estudios que nos indicaran qué estaba por suceder? ¿Qué riesgos corríamos?
¿Quiénes estábamos más expuestos? ¿Por qué se cayeron algunos edificios y otros no, estando en
la misma zona? ¿Qué perdimos? ¿Cuánto perdimos?
Situaciones como ésta nos llevan a comprender la importancia de analizar riesgos e impactos
potenciales.
Análisis de riesgos y de impactos desde la perspectiva de continuidad del negocio
El análisis de riesgos es un estudio que permite identificar aquellos eventos que, por su
naturaleza, pueden afectar de forma adversa a la empresa provocando una interrupción o un
desastre, la probabilidad de que estos eventos ocurran y los riesgos asociados.
Por su parte, el análisis de impacto nos sirve para identificar los impactos cuantitativos y
cualitativos en caso de que se materialicen los riesgos.
Regresemos al primer ejemplo sobre quedarse sin luz en la casa o trabajo, y pensemos en
aquellas acciones que pueden realizarse si se ha hecho un análisis de riesgos y de impacto.
En casa, para minimizar el impacto, podríamos tener velas, algún teléfono que no necesite
energía eléctrica para funcionar, mantener el refrigerador y el congelador con poca comida, etc.
Si esto ocurriera en alguna empresa, el área encargada de inmuebles y servicios podría tener
su propia planta de luz para contingencias, revisar con frecuencia establecida que el volumen de
combustible sea el suficiente para continuar con las actividades durante un periodo determinado,
hacer pruebas de su funcionamiento, establecer acuerdos con compañías de distribución de
combustible para que, en estos casos, provean al edificio en menos de x horas. El área operativa
tendría que desarrollar procedimientos no automatizados que permitan dar continuidad al
servicio que se ofrece … en fin, hay un sinnúmero de actividades que podemos hacer, pero si no
las tenemos planeadas, lo más seguro es que no tengamos velas, que todos los teléfonos sean
inalámbricos, que no se tenga cargada la pila del celular, que no tengamos acuerdos con las
compañías de distribución de combustible y que, en una situación prolongada, se acabe el
combustible porque le dieron prioridad a otras empresas que sí tenía acuerdos establecidos…
En este sentido podríamos decir que el análisis de riesgos nos ayuda a entender las pérdidas
potenciales, es decir:
• Amenazas posibles.
• Grado de exposición ante la amenaza (vulnerabilidad).
• La probabilidad de ocurrencia.
• Los riesgos asociados.
• Los impactos potenciales.

Por su parte, el análisis de impacto (BIA Business Impact Analisys) ayuda a identificar los
impactos que resulten de interrupciones o desastres y las técnicas que pueden utilizarse para
calificarlos e identificarlos. Se identifican también, las operaciones y procesos críticos, sus
prioridades y sus interdependencias, de tal manera que puedan establecerse tiempos de
recuperación (RTO Recovery Time Objective).

Objetivos de un análisis de riesgos y de impactos


Además, el objetivo primordial del análisis de riesgos y de impacto, es proporcionar la
información adecuada a la Alta Dirección, para la toma de decisiones respecto a la definición de
estrategias de recuperación, la asignación de recursos y presupuestos.

¿Cuáles son los riesgos que preocupan a las empresas?


¿Quién analiza riesgos e impactos?
En la actualidad, en las grandes empresas existen áreas especializadas en el manejo de riesgos,
considerando diferentes tipos como: riesgos de mercado, riesgos de crédito, riesgo operacional y
riesgo tecnológico. En la continuidad del negocio se analizan los riesgos e impactos de fenómenos
naturales, aquellos provocados por el hombre, los tecnológicos y los de procesos, por ejemplo:
• Fenómenos naturales: temblor, tormenta eléctrica, huracán.
• Provocados por el hombre: incendios, virus informático, manifestaciones, actos terroristas.
• Tecnológicos: servidores, telecomunicaciones, fuente de energía.
• Proceso: capacitación, recursos humanos, flujo de operación.
• Pandemias.

¿Qué riesgos de mayor impacto pueden presentarse en Santander?


El Análisis de Riesgos permite identificar de forma muy concreta aquellos escenarios de falla que
se pueden presentar y con el Análisis de Impacto se determina cuales son los procesos críticos del
Banco y su afectación en caso de interrupción. En Santander, por ejemplo, se contemplan todos
aquellos procesos que impacten en el servicio al cliente. En este sentido, el área de Continuidad
del Negocio considera algunos escenarios como los siguientes:
• Desastre en el Centro de Cómputo Principal de Querétaro.
• Falla total o parcial de la red interna.
• Falla en la red de comunicación de sucursales.
• Bloqueo de los accesos a las instalaciones de Santander por manifestaciones, bloqueo de
las vías de transporte, inundación, incendio o daño en la estructura del edificio, etc.
• Fallas en los aplicativos o en las bases de datos críticos (hardware y software).
• Pérdida total de la comunicación con terceros como Banco de México, Bolsa, Buró Nacional
de Crédito y Cecoban.

El hecho de que Santander tenga identificados estos riesgos, ha permitido definir estrategias
que ayudan a mitigarlos y a minimizar impactos, estableciendo procedimientos alternos, planes
de contingencia, instrumentando centros alternos de trabajo, etc.

Analiza tus propios riesgos y el impacto de éstos


Si bien en Santander contamos con áreas especializadas para analizar los riesgos e impactos, es
importante señalar que cada uno de nosotros podemos aplicar sencillos pasos para mitigar riesgos
y reducir impactos dentro de nuestras actividades laborales, esto permitirá contar con estrategias
que ayuden a prever situaciones de riesgo y a contar con medidas que sirvan para reducir los
daños si es que ocurre una contingencia o desastre.

Beneficios de un análisis de riesgos y análisis de impactos


No hay que olvidar que al llevar a cabo un análisis de riesgos podemos identificar:
• Las amenazas potenciales.
• La probabilidad de ocurrencia.
• Los riesgos de una empresa.
• Vulnerabilidades.
• Impactos potenciales.

Un análisis de impacto ayuda a lo siguiente:


• Cuantificar impactos potenciales.
• Definir prioridades de recuperación.
• Minimizar pérdidas.
• Determinar requerimientos de recuperación.
• Identificar medidas para disminuir la exposición al riesgo.

Módulo 5: Administración de la continuidad del


negocio

¿Qué es la administración de la continuidad del negocio?

La Administración de la continuidad del negocio o BCM, (por sus siglas en inglés Business
Continuity Management) es un programa continuo para asegurar una mitigación razonable de
riesgos y para reanudar las operaciones críticas del negocio antes de que se produzcan impactos y
pérdidas inaceptables a consecuencia de una interrupción o un desastre. La continuidad del
negocio no es documentación, es gestión.

La administración de la continuidad del negocio permite:


• Crear responsabilidad entre los líderes de los procesos y/o componentes críticos del
negocio.
• Crear cultura y maduración en temas de continuidad del negocio.
• Optimizar los costos originados por contingencias.
• Garantizar la actualización y prueba de los planes.

Componentes de la administración de la continuidad del negocio

• Manejo de Crisis. Serie de actividades estructuradas de tal manera que nos permiten
enfrentar oportuna y exitosamente las situaciones de emergencia ante la materialización
de un riesgo; existe un plan de manejo de crisis en Santander conformado por un grupo
especializado; este plan se activa de acuerdo al nivel de la emergencia o del riesgo
potencial.

• Recuperación del Desastre (DRP). Es la recuperación de los servicios identificados como


críticos en caso de presentarse un desastre que inhabilite el Centro de Cómputo Primario
ubicado en nuestras instalaciones en Querétaro. Santander tiene un Plan de Recuperación
de Desastres (DRP) que se prueba anualmente.

• Personal Crítico. Es la selección del personal crítico para la recuperación de los procesos o
servicios críticos del negocio. Se considera personal de sistemas, de operaciones, del
negocio y de apoyo.

• Centros Alternos de Trabajo. Localidades alternas que cuentan con la infraestructura y


tecnología necesaria para la recuperación de la operativa crítica del negocio.

• Planes de Contingencia. Conjunto de datos, acciones y procedimientos para ser usados en


caso de interrupciones o desastres. Es responsabilidad del usuario o dueño de un proceso
crítico desarrollar, actualizar y probar su plan de contingencia en conjunto con las áreas
involucradas en ese proceso.

Más que un plan


La administración de la continuidad del negocio es más que un plan porque nos brinda los
siguientes beneficios:
• Protege reputación y marca corporativa.
• Preserva y mejora el valor de su empresa.
• Mantiene estándares de excelencia.
• Optimiza recursos y procesos.
• Minimiza pérdida de ingresos.
• Mejora ventajas competitivas.
• Cumple con la normatividad interna y requerimientos de Autoridades.
• Crear mejores relaciones con sus empleados, clientes, proveedores, inversionistas y
accionistas.

El Plan de Continuidad del Negocio también nos sirve para:


• Proteger el valor económico de las empresas.
• Atender a las autoridades, como la CNBV, en materia de regulaciones para el sistema
financiero mexicano.

Un programa vivo
Gestión de Continuidad de Negocios no es un proyecto, no es una tarea de una sola vez, no es por
un periodo determinado ¡Es un programa constante! Es un programa continuo para asegurar una
reducción razonable de riesgos y para reanudar las operaciones críticas del negocio antes de que
se produzcan impactos y pérdidas inaceptables.

Elementos claves de la administración de la continuidad del negocio


• Compromiso de la Alta Dirección.
• Participación de las distintas unidades de negocio y áreas de apoyo.
• Análisis basados en el negocio.
• Concientización y entrenamiento recurrente.
• Pruebas periódicas.
• Mantenimiento permanente de los componentes.

Éxito en la continuidad del negocio


Para que la administración de la continuidad del negocio sea exitosa es necesario:
• Análisis.
• Definición y autorización de estrategias de recuperación.
• Capacitación.
• Pruebas.
• Mantenimiento.

Todos estos elementos componen la administración de la continuidad del negocio.

Glosario
Amenaza: evento que puede ocasionar una pérdida; podríamos considerarlo como el origen del
problema. Ejemplo: fenómenos naturales como un temblor o huracán; o incidentes provocados
por el hombre como virus informático o hackers.

Análisis de impacto al Negocio (BIA): nos sirve para identificar los procesos críticos del negocio y
definir los impactos cuantitativos y cualitativos en caso de que se materialicen los riesgos.

Análisis de riesgos: es un estudio que permite identificar aquellos eventos que, por su
naturaleza, pueden afectar de forma adversa a la empresa provocando una interrupción o un
desastre, la probabilidad de que estos eventos ocurran y los riesgos asociados.

Centro Alterno de Trabajo (CAT): localidad alterna que cuenta con la infraestructura y
tecnología necesaria para la recuperación de la operativa crítica del negocio.

Centro de Atención a Usuarios – CAU (Produban): grupo de apoyo de segundo nivel para resolver
incidencias técnicas por mal funcionamiento de los equipos de cómputo, impresoras y tecnología
de comunicaciones, voz y datos de la red de sucursales y personal en edificios corporativos.
Atiende en modalidad remota y con presencia de personal en sitio.

Contingencia: se deriva de una incidencia o de un evento no programado que inhabilita a la


empresa o institución a proporcionar algunas de las funciones críticas del negocio por un periodo
inaceptable y que tiene como consecuencia un impacto alto.

Desastre: es un evento no planeado que inhabilita a la empresa o institución a proporcionar las


funciones críticas del negocio por un periodo inaceptable y que tiene como consecuencia un gran
daño o pérdida.

Falla: situación no generalizada de bajo impacto que afecta uno o varios equipos o a uno o varios
usuarios. No detiene la operativa y generalmente se reporta al SOS.

Impacto: es el efecto resultante de la materialización de los riesgos. El impacto se mide en


términos financieros, ambientales, magnitud de la interrupción operacional o de las desviaciones
en el logro de objetivos y metas; es la consecuencia última de la materialización del riesgo,
ejemplo: suspensión de actividades, pérdida de imagen clientes, costos extraordinarios, etc.

Incidencia: situación generalizada que interrumpe parcialmente la entrega de algunos de los


servicios de tecnología afectando la operativa del Grupo. Puede estar relacionada a un problema
de aplicativo, de infraestructura o de comunicaciones. Hay afectación directa sobre la operación
y es necesario ejecutar las acciones adecuadas para solucionar la incidencia. La operativa
continúa parcialmente en todo aquello que no está afectado, la interrupción es aceptable y no es
necesario detonar el plan de contingencia.

Plan de contingencia: conjunto de elementos y actividades que nos permiten dar continuidad a
los procesos críticos del negocio. Se activa antes de que la interrupción se prolongue a tal grado
que cause un impacto negativo importante en los servicios que presta el Banco. Son parte
esencial del plan de continuidad del negocio y se clasifican y desarrollan por evento o tipo de
falla. Contempla impactos, áreas de soporte, cadenas de notificación, flujos, descripción de la
detonación del plan, procedimientos alternos, entre otros elementos. Permite responder en
forma oportuna a interrupciones de procesos de negocio.
Plan de continuidad del negocio BCP (Business Continuity Plan): es la manera en la que una
organización se prepara para futuros incidentes que podrían poner en riesgo la misión de la
organización y su funcionamiento. En estos términos hay incidentes locales como una falla de los
sistemas, incidentes regionales como terremotos e incidentes nacionales o mundiales como una
pandemia. Generalmente se desarrolla un único Plan de Continuidad del Negocio por institución o
empresa.

Plan de recuperación de desastres DRP (Disaster Recovery Plan): serie de actividades - antes,
durante y después de un desastre - encaminadas a regresar la función de negocio a un estado
normal de operaciones ya sea a un nivel mínimo de supervivencia, o bien, restableciendo las
operaciones a gran escala con el fin de minimizar las pérdidas y asegurar la continuidad. Es el
aspecto tecnológico de la continuidad del negocio.

Produban: Empresa del Grupo que administra todas las plataformas, aplicativos,
telecomunicaciones, y bases de datos. Es quien provee la infraestructura tecnológica a nuestro
Grupo y proporciona soporte técnico.

Probabilidad: probabilidad de ocurrencia de la amenaza, ejemplo: la probabilidad de un


terremoto en la ciudad de México es alta, sin embargo, la probabilidad de un tsunami es nula.

Riesgo: posibilidad de que un evento provoque daño o contratiempo. Es el potencial de pérdida


para la empresa. Ejemplo, ante una amenaza de huracán las instalaciones de una empresa
pueden verse afectadas al inundarse.

SOX Ley Sarbanes Oxley: es una ley que sirve para dar transparencia a la información financiera,
protección al accionista y para la prevención, en la medida de lo posible, de fraudes contables.
Persigue asegurar que la información financiera presentada en los mercados de valores
norteamericanos tenga la máxima confiabilidad (exactitud, transparencia y oportunidad). Esta ley
requiere que cualquier compañía asociada, filial o subsidiaria de una sociedad inscrita en la
Securities and Exchange Commission (SEC) de los EUA, tenga un adecuado sistema de control
interno, entendiendo como tal que dicho control se encuentre documentado, probado y auditado.

Vulnerabilidad: es la susceptibilidad de sufrir un daño como resultado de un fenómeno


destructivo sobre las personas, los bienes, los servicios y el entorno, es decir, el grado de
exposición ante la amenaza, ejemplo, la falta de extintores en un edificio lo hacen más
vulnerable a la amenaza de incendio.

También podría gustarte