Módulo

Sistemas de
Continuidad de
Negocio
Unidad 01
Introducción a la
norma de continuidad
del negocio
Módulo
Sistemas de
Continuidad de
Negocio
Unidad 01
Introducción a la
norma de continuidad
del negocio
1. INTRODUCCIÓN A LA NORMA DE CONTINUIDAD DEL NEGOCIO .................... 04
1.1. INTRODUCCIÓN A LA NORMA DE CONTINUIDAD DE NEGOCIO...................... 04
1.2. ¿QUÉ ES UN DESASTRE?................................................................................. 06
1.3. ¿QUÉ HACER CUANDO OCURRE UN DESASTRE?............................................ 07
1.4. FUNDAMENTO PARA EL ESTABLECIMIENTO DE UN SGCN............................... 07
1.5. ¿QUÉ TIPO DE ORGANIZACIÓN REQUIERE PRIORITARIAMENTE UN SGCN?...... 09
1.6. RESUMEN DEL TEMA....................................................................................... 10
CEUPE Módulo. Sistemas de Continuidad de Negocio CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio

1. Introducción a la norma de
• Subestimar la importancia de herramientas (email, celulares, alojamientos web,
etc.)

continuidad del negocio • Capacidad insuficiente de recuperación y/o recursos.

• Planes insuficientemente verificados o mantenidos.

“La Gestión de la Continuidad del Negocio consiste en una mejo- • Falta de documentación.
ra proactiva de la resistencia de la organización frente a contin-
gencias, proporciona mecanismos para restaurar los productos y • Falta de formación.
servicios clave dentro de un marco temporal limitado y protege la
reputación corporativa.” • Documentación obsoleta para gestión de sistemas/configuraciones/teléfonos de
contacto/acciones de recuperación.

• Ignorar la posibilidad de emergencias regionales.

1.1. Introducción a la norma de continuidad de negocio
• Escenarios de pérdida total de la capacidad de las operaciones del negocio.
La BS 25999/ ISO 22301 ofrecen prácticas y soluciones para la Gestión de la Continui-
dad de Negocio, consiguiendo reducir los impactos ante una interrupción inesperada que • Indisponibilidad de los espacios habituales/alternativos.
afecte a la organización y ayudando a detectar las posibles contingencias que puedan
• Protección inadecuada de registros vitales.
parar la actividad de la empresa. Proporciona a las empresas un marco para el desarrollo
e implementación de un Sistema de Gestión de Continuidad de Negocio (SGCN) en las • Alta dependencia del personal clave.
organizaciones y que puede ser adaptado a las circunstancias particulares e independien-
temente del tamaño, el alcance o la complejidad de los productos o servicios que prestan. • Pérdida, desplazamiento, indisponibilidad.

Aquellas organizaciones que desean introducir un SGCN en su organización deben partir • Dificultades de transporte que impidan la movilización del personal implicado en
de elementos que, en mayor o menor medida, ya existen como por ejemplo planes de con- la recuperación.
tingencia en departamentos TI, planes de recuperación de desastres, gestión de riesgos
y/o planificación de la sustitución del personal. • Bajo rendimiento del personal por la situación de estrés.

La implantación de un SGCN permite reducir y eliminar errores ya conocidos entre los • Comunicación imprecisa de los procesos.
que se encuentran:
• Carencias de los planes de respuesta.
• Incongruencias entre los requisitos de negocio y los planes de recuperación.
• Medios alternativos no conocidos/poco claros.
• Necesidades insuficientes de espacios para usuarios.
• Incidentes de coordinación entre partes críticas (empleados, vendedores, servi-
• Prioridades inapropiadas y/o no definidas. cios, responsables de recursos de emergencia)

• “Olvido” de funciones de negocio fundamentales. La Gestión de la Continuidad de Negocio es un proceso de colaboración en el que el per-
sonal involucrado es clave para garantizar la continuidad de las actividades en la gestión
• Interdependencias confusas. de organización no solo en el día a día sino también en las situaciones más adversas.

04 05
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio
Una situación de crisis o desastre bien gestionada no solo permite superar situaciones ad-
versas garantizando el menor de los impactos posibles, sino que puede mejorar la imagen
de la organización e incluso abrir nuevas oportunidades de negocio.
1.2. ¿Qué es un desastre?
La respuesta a esta pregunta parece obvia para cualquier persona que alguna vez haya
leído noticias sobre incendios, tornados o inundaciones. Seguramente, al enfrentarse con
hechos de este tipo uno puede fácilmente calificarlos como desastres.
El primer criterio para definir un desastre es el poder catalogarlo como una interrupción
no planificada.
Además, en la mayoría de estos casos, la duración de la interrupción provocada es desco-
nocida.
Por ejemplo, ¿cuánto puede durar un corte de energía? Para muchas organizaciones una
interrupción en el servicio eléctrico de veinte horas puede ocasionarle grandes pérdidas;
sin embargo, en otros casos, la organización puede soportar tres o cuatro días sin energía
sin que esto provoque un impacto severo en el negocio.
Aún cuando la naturaleza no planificada de un desastre es universal, el plazo de tiempo
que convierte una interrupción en un desastre varía en función de la organización. In-
cluso en la misma empresa dicho plazo puede variar dependiendo del momento en el
que se produzca el incidente. Por ejemplo, si se produce en días muy específicos para las
funciones del negocio, momentos claves del mes, etc., el impacto será mucho mayor que
si se produjera en otro momento.
El segundo criterio para definir un desastre es considerar cuánto se prolonga la interrup-
ción en el tiempo. Siguiendo con nuestro ejemplo, la falta de suministro eléctrico, si se
prolonga en el tiempo, provocará un impacto negativo en el manejo del negocio si no se
toman medidas provisorias para restablecer las funciones afectadas.
Además, los eventos enunciados en la lista inicial tienen una característica en común:
las organizaciones que no desarrollan acciones preventivas referidas a estos hechos, no
han planificado aún la posibilidad de ocurrencia de estos eventos que pueden llevar a la
compañía a un desastre.
El tercer criterio indica que un desastre implica una interrupción no cubierta por los pro-
cedimientos “normales” pensados por la organización para resolver problemas cotidia-
nos, ya sea por su duración, o por la cantidad de servicios que fueron afectados.
06
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio
Resumiendo, los criterios que nos permiten definir una situación como desastre son:
• Una interrupción no planificada.
• Una interrupción prolongada.
• Una interrupción que no puede ser manejada o corregida a través de los procedi-
mientos “normales” pensados por la administración para resolver problemas.
1.3. ¿Qué hacer cuando ocurre un desastre?
Un desastre es un hecho fortuito, por lo tanto, tenemos que pensar que puede ocurrir, es
más, debemos estimar seriamente que ocurrirá.
Nuestra única tarea posible después del desastre es recuperarnos. Para recuperarnos con
éxito del evento debemos ejecutar los procedimientos y acciones planificadas y probadas
frente a los problemas que se presentan derivados del desastre. De esta necesidad, nacen
los SGCN.
1.4. Fundamento para el establecimiento de un sgcn
Tal vez se pueda pensar que el nombre de SGCN ante desastres es un término equivoca-
do, debido a que una interrupción de la cual una organización pueda recuperarse a través
de una estrategia planeada por medio de un SGCN, no se la puede clasificar de desastre.
Esencialmente, un SGCN provee la capacidad a la organización de poder absorber el im-
pacto producido por un incidente no esperado y prevenir la detención de las funciones
críticas del negocio.
No obstante, cuando hablamos de continuidad de negocio es habitual pensar únicamen-
te en sistemas informáticos, y los planes de contingencia que llevan asociados para su
recuperación ante desastres. Ciertamente, sin un plan de contingencias de los sistemas
informáticos, una interrupción de una función crítica del negocio apoyada en un sistema
informático, tiene mucho más riesgo de convertirse en un desastre para el negocio.
Por el contrario, existe abundante evidencia para probar que aquellas organizaciones que
implantaron un SGCN, tienen mucha más oportunidad de recuperarse de un evento ca-
tastrófico que aquellas que no lo hicieron. Este es el fundamento esencial para el desarro-
llo de planes de continuidad del negocio.
Este tipo de planificación provee una serie de procedimientos y estrategias de recupera-
ción no solamente de recursos TI, sino de información ya sea digital o en papel, terceras
partes, personal o instalaciones, que sería muy difícil de diseñar y desarrollar sobre la
marcha cuando haya ocurrido un desastre.
07
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio
Incluso hay una fase de entrenamiento y prueba del plan, que propicia que aquellos que
juegan un papel dentro del plan, estén mejor preparados para enfrentarse con una posible
situación de desastre y responder de una forma racional a la gran irracionalidad y caos
que acompaña a este tipo de crisis.
Más allá de estas substanciales contribuciones, una efectiva planificación que incluya la
identificación y la implementación de mecanismos que puedan llegar a evitar la ocurren-
cia de ciertos desastres, serán de gran ayuda para prevenir desastres evitables. Además,
la efectividad de la planificación puede ser medida en términos de eventos potenciales de
desastres que han sido minimizados o eliminados.
Existe una serie de beneficios adicionales que se obtienen con el desarrollo de un SGCN:
1. Reducción de costes de seguros: una efectiva implementación de un SGCN puede
reducir los costes derivados de contrataciones de seguros en dos formas. La primera
reducción se puede apreciar a través del análisis de riesgos y análisis de impacto
efectuados como parte del plan, con el cual se puede ajustar la cobertura de seguros
actual. A menudo, en ausencia de estos análisis, la identificación de los riesgos que
requieren la contratación de seguros se realiza informalmente, resultando en la adqui-
sición de coberturas inapropiadas o que no se justifican en relación costo / beneficio.
Otra forma en la que el plan puede ayudar a reducir costes es poniendo énfasis en la
prevención. Por ejemplo, si se identifica la existencia de un riesgo de incendio en el
centro de cómputos y se instalan sistemas de detección y supresión automática, se
demuestra capacidad de prevención de males mayores, o de detección y corrección
inmediatas, lo que puede ser usado para reducir los costes de un seguro contra in-
cendio.
2. Utilización del equipamiento de recuperación para el negocio: en algunos casos,
el equipamiento e instalaciones adquiridos para en el SGCN, puede ser usado como
equipo de desarrollo, como equipo de pruebas, incluso como equipos de producción.
También ciertos sistemas como grupos electrógenos o UPS, proveen servicios que
mejorarán la funcionalidad de los sistemas protegidos durante la actividad normal.
3. Promoción de metas corporativas: una organización que emprende una planifica-
ción de continuidad de los servicios que presta puede extender el beneficio de contar
con dicha planificación a distintas áreas de la misma. Por ejemplo, el área de Mar-
keting puede hacer hincapié en la planificación de contingencia para demostrar el
compromiso de la organización en procura de brindar un mejor servicio.
Otros beneficios derivados de este tipo de planificación son, por ejemplo: el diseño de
políticas de respaldo de los datos, una buena documentación de los sistemas y redes de la
organización, y una serie de productos adicional que mejoran la performance del negocio.
08
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio
1.5. ¿Qué tipo de organización requiere prioritariamente un sgcn?
La planificación de los sistemas de información varía de acuerdo a la organización. Como
señalamos anteriormente, no todas las organizaciones requieren el mismo nivel de con-
fianza de sus sistemas de información para la supervivencia de sus productos y servicios,
aunque hoy en día son pocas las que puedan prescindir de sus sistemas de información y
mantener su nivel de competitividad.
Un modelo que puede ser útil para visualizar estos conceptos es el modelo de convenien-
cia estratégica desarrollado por Macfarlán y otros autores. Ellos se basan en dos impor-
tantes factores que miden:
• La importancia estratégica de los sistemas de información existentes en la orga-
nización.
• La importancia estratégica de los de sistemas planificados para su futura implan-
tación y de acuerdo a los mismos, se determina la naturaleza y la cantidad de pla-
nificación requerida.
Ellos identifican cuatro tipos de organizaciones, cada una con diferentes necesidades en
materia de planificación en sistemas de TI. Ellas son las siguientes:
1. Organizaciones de asesoramiento o consultoría. Ambos sistemas, tanto los exis-
tentes como los planificados tienen poco impacto estratégico sobre estas organiza-
ciones. Es el caso de servicios profesionales, que podría seguir operando aún ante un
desastre que interrumpa la operación de sus sistemas existentes.
2. Organizaciones tipo Fábrica. Aunque los sistemas planificados para su implanta-
ción futura son poco importantes, los sistemas existentes y operando son críticos.
Estas organizaciones requieren moderados esfuerzos de planificación, que deben
concentrarse fundamentalmente en las necesidades de recursos de corto plazo.
3. Organizaciones en reestructuración. Aunque los sistemas existentes son relativa-
mente poco importantes, los sistemas planificados son críticos. Se requerirán esfuer-
zos de planificación cuya cuantía puede fluctuar entre moderada y grande y ellos
deben concentrarse en las necesidades de las aplicaciones previstas a largo plazo.
Podría ser el caso de una empresa manufacturación en rápido crecimiento, donde los
nuevos sistemas previstos son absolutamente necesarios para permitir que la firma
alcance sus objetivos estratégicos.
09
CEUPE Módulo. Sistemas de Continuidad de Negocio CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio Centro Europeo de Postgrado Unidad 01. Introducción a la norma de continuidad del negocio

4. Organizaciones estratégicas. En ellas son críticos tanto los sistemas existentes
como los futuros. Deben emprender sustanciales esfuerzos de planificación concen-
trados en las necesidades de recursos y aplicaciones de corto y largo plazo. Es el caso
de organizaciones tales como bancos, empresas aseguradoras y grandes empresas de
comercio minorista. En estos casos la interacción orgánica entre la Gerencia de TI y
la Gerencia General debe ser muy ágil, al punto que en algunas firmas internaciona-
les la Gerencia de TI asciende jerárquicamente para transformarse en Dirección de
TI, y su titular se integra al Consejo de Dirección de la organización.
De estos cuatro tipos de organizaciones, principalmente las organizaciones tipo fábrica
o estratégicas son las que requieren este tipo de planificación debido a la dependencia
hacia sus sistemas de información tanto actuales como futuros.
En las organizaciones de asesoramiento o en reorientación, la dependencia hacia sus sis-
temas de información no es tan marcada como en el caso de las anteriores, por lo que, si
bien es aconsejable contar con una planificación de continuidad de negocios y servicios,
no se hace tan imprescindible.
Existe una serie de beneficios que se obtienen con el desarrollo de un SGCN como:
• Reducción de costos de seguros.
• Utilización del equipamiento de recuperación para el negocio.
• Promoción de metas corporativas.
Por otro lado, no todas las organizaciones requieren el mismo nivel de confianza de sus
sistemas de información para la supervivencia de sus productos y servicios, existen crite-
rios para definir ésta confiabilidad de los sistemas de información:
• La importancia estratégica de los sistemas de información existentes en la orga-
nización.
• La importancia estratégica de los de sistemas planificados para su futura implan-
tación y de acuerdo a los mismos, se determina la naturaleza y la cantidad de pla-
nificación requerida.

1.6. Resumen del tema

La Gestión de Continuidad de Negocio (GCN) es un proceso integral de gestión que
identifica los posibles impactos que amenazan a una organización y ofrece un marco para
proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses
de los principales proveedores, clientes y demás partes interesadas, la reputación, la mar-
ca y las actividades generadoras de valor.
La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero
la ISO 22301 puede ser considerada como una actualización de la BS 25999-2.
Dato importante
La Gestión de Continuidad de Negocio (GCN) es un proceso integral de gestión que
identifica los posibles impactos que amenazan a una organización y ofrece un mar-
co para proporcionar robustez y disponer de una respuesta efectiva que salvaguar-
de los intereses de los principales proveedores, clientes y demás partes interesadas,
la reputación, la marca y las actividades generadoras de valor.

Una situación de crisis o desastre bien gestionada por estos marcos normativos de Ges-
tión de la Continuidad de Negocio, no solo permite superar situaciones adversas garanti-
zando el menor de los impactos posibles, sino que puede mejorar la imagen de la organi-
zación e incluso abrir nuevas oportunidades de negocio.

Los criterios que nos permiten definir una situación como desastre son:

• Una interrupción no planificada.

• Una interrupción prolongada.

• Una interrupción que no puede ser manejada o corregida a través de los procedi-
mientos “normales” pensados por la administración para resolver problemas.

10 11
CEUPE
Centro Europeo de Postgrado

Web
www.ceupe.com

E-mail
info@ceupe.com