CONTENIDO DEL MÓDULO

1. Establecimiento del contexto supervisor

1.1 Introducción
1.2 Marco normativo y regulador.
1.3 Recursos y organización en la autoridad.
1.4 Metodología supervisora.
1.5 Planificación de actividades supervisoras.
2. Supervisión del riesgo tecnológico
2.1 Gobierno y Estrategia.
2.2 Gestión de terceras partes.
2.3 Gestión de Riesgos.
2.4 Gestión de la Seguridad.
2.5 Gestión de Operaciones (incluyendo Gestión de Incidentes).
2.6 Gestión de los Cambios y los Proyectos.
2.7 Gestión de la Continuidad del Negocio.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 1

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
¿Qué es continuidad de negocio?

Comenzaremos la sección de continuidad planteando qué queremos decir con

el término: ¿qué es continuidad de negocio?. En este caso, como en el
epígrafe de seguridad de la información, las fuentes son múltiples, y las
distintas definiciones propuestas no siempre son compatibles.

Utilizaremos como estándar, por su amplia acepción, la definición incluida en

las directrices de la EBA sobre la evaluación del riesgo de TIC en el marco
del proceso de revisión y evaluación supervisora (PRES) (EBA/GL/2017/05).
Definen disponibilidad y continuidad conjuntamente, como:

IT availability/continuity risk: the risk that performance and availability

of IT systems and data are adversely impacted, including the inability
to timely recover the institution’s services, due to a failure of IT hardware
or software components; weaknesses in IT system management; or any
other event.
No obstante, nosotros vamos a intentar separar ambos términos, continuidad y
contingencia, para proceder a profundizar sobre el primero, objeto del curso.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 2

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
¿Qué es continuidad de negocio?

Podríamos definir los términos anteriormente referenciados como:

Disponibilidad se refiere al día a día

de los sistemas y los datos,
minimizando los tiempos de
interrupción debidos a incidentes
menores, y mejorando el rendimiento
y la accesibilidad a través de los
distintos canales.

Continuidad se refiere a la capacidad

de recuperar los sistemas y los datos
cuando ocurren incidentes mayores
(desastres), como serían incendios,
inundaciones, caídas prolongadas de
suministro eléctrico, etc.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 3

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
¿Qué es continuidad de negocio?

Dicho de otra manera, ¿qué es disponibilidad?: en este contexto, se refiere al

seguimiento continuo, diario, de la plataforma tecnológica, a través de
indicadores, cuadros de mando y otros elementos de gestión, para intentar
anticiparse y evitar interrupciones de servicio, minimizar las consecuencias.

¿Qué es lo que pasa cuando no somos capaces de minimizar esas

consecuencias y el problema de disponibilidad va a mayores? Entonces es
cuando tenemos un problema de continuidad, definida como la capacidad de
recuperar los sistemas y datos ante incidentes y problemas mayores.

Evidentemente, hay conexión entre ambos términos. Los problemas de

disponibilidad pueden derivar en problemas de continuidad. Todo problema de
continuidad es una indisponibilidad, pero no a la inversa. No siempre
tendremos que activar nuestro Plan de Continuidad. Cómo enlazan los
problemas de disponibilidad con los de continuidad, y cuándo es necesario
activar los planes de continuidad, es una de las claves de una correcta
gestión, y debiera ser foco supervisor.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 4

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Fases del proceso de continuidad de negocio

¿De qué fases se compone el proceso de elaboración del Plan de Continuidad

de Negocio?. Fundamentalmente, las 4 recogidas en el siguiente esquema:

1. Análisis impacto en negocio.

2. Risk Assessment.
3. Planificación.
4. Pruebas y mantenimiento.

De forma muy somera, comenzamos con un análisis de impacto en negocio

(BIA, por el término en inglés), que es la fase más compleja y delicada, y la que
va a aportarnos los cimientos para todo lo que viene a continuación.
Continuaremos con la evaluación de riesgos o risk assessment y la definición
de escenarios, para pasar a la planificación y finalmente a las pruebas, que
deberían darnos input para mejorar el proceso de forma continua, de ahí el
carácter de ciclo.

Veremos cada fase en detalle, si bien antes, es necesario…

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 5
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
El rol de la dirección en la continuidad de negocio

Es necesario destacar un punto fundamental respecto al alcance del concepto

“continuidad de negocio”.

La continuidad de negocio excede, por definición, el ámbito de la tecnología

(veremos, en las siguientes secciones, que otros conceptos engloba). Para un
correcto gobierno, necesitamos una capa de gestión que también exceda el
campo estrictamente tecnológico. Debe ubicarse en la dirección, y tener, entre
otras, las siguientes atribuciones básicas:

• Último responsable de la solidez y funcionamiento del plan.

Incluso si los distintos procedimientos que conforman el Plan de
Continuidad pertenecen a distintas áreas concretas de la
organización.
• Proporciona direcciones estratégicas, y criterio (pej. Durante la
realización de los análisis de impacto en negocio o BIA).
• Proporciona recursos financieros y personales para la
consecución del nivel de resiliencia deseado.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 6

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

Los esfuerzos y el presupuesto son limitado. También para implementar

mecanismos de continuidad. El BIA nos va a dar la respuesta sobre donde
debemos centrarlos. ¿En qué consiste el proceso del BIA?

1. En primer lugar, toca evaluar el impacto de interrupciones graves sobre

los procesos de negocio. Para ello, evidentemente, tienes que tener un
control sobre cuáles son tus procesos de negocio, que parece trivial
pero no lo es tanto. Describiremos el detalle en siguientes
transparencias.

2. Una vez que hemos realizado evaluación de impacto de negocio,

vamos a identificar las dependencias de cada proceso de negocio. En
los esquemas tradicionales, esas dependencias pueden tener 4
naturalezas, que normalmente se corresponden con 4 planes
específicos. Dependencias tecnológicas, de recursos humanos, de
infraestructura y de proveedores.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 7

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

3. Si ya sé que procesos de negocio son los más críticos, y que sistemas

y proveedores los sustentan, puedo comenzar a invertir en
mecanismos de resiliencia para esos sistemas y proveedores. Alta
disponibilidad, backups frecuentes, tercera copia de respaldo, etc. Ya
tengo una directriz para mis esfuerzos.

Los 3 pasos anteriormente descritos se representan en el siguiente gráfico:

Proceso de Proceso de Proceso de Proceso de …

1
negocio 1 negocio 2 negocio 3 negocio 4

3
2

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 8

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

Entrando en detalle sobre el primero de los

pasos, la evaluación del impacto de
interrupciones, ¿en que consiste?:

Los responsables de continuidad de la entidad han tenido que sentarse con los
responsables de cada uno de los procesos de negocio, e intentar intuir cuales
serían los impactos derivados por una indisponibilidad en su proceso, por
franjas temporales. Si el proceso no estuviera disponible durante dos horas, por
ejemplo ¿Qué tipo de impactos registrarías? reputaciones, financiero,
normativo, etc.

¿Qué pasaría ¿Qué tipo de impactos

si…? registraríamos?

¿Cuánto tiempo
podríamos tolerar sin Responsable ¿En qué condiciones
el proceso operativo? proceso negocio podríamos recuperar
el proceso?

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 9

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

A continuación la entidad debe buscar

cuantificar esos objetivos con métricas:

 RTO (recovery time objective), lo que va desde que acontece el

incidente (la estrella roja) hasta que recupero el proceso en niveles
mínimos.
 MTD (maximum tolerable downtime), es el punto a partir del cual los
impactos registrados superan el apetito de riesgo de la entidad, o
comprometen su viabilidad. Lo que va desde que acontece el incidente
hasta que tengo que estar, sí o sí, 100% operativo.
 Y RPO (recovery point objective), la flecha desde la estrella roja hacia
atrás, cuantos datos puedo permitirme perder en la recuperación.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 10

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

Entrando en detalle sobre el segundo de los

pasos, la identificación de dependencias,
¿en que consiste?:

Ya sabemos cuánto podemos aguantar sin el proceso de negocio. Ahora, para

los críticos, entendiéndose ese umbral como se entienda (por ejemplo, aquellos
con tiempo de recuperación objetivo inferior a 6 horas), toca identificar hasta la
última dependencia, en todos los ejes.

Es decir, de que depende el proceso crítico en los 4 ejes fundamentales que

pintamos arriba a la derecha (dependencias tecnológicas, de recursos
humanos, de infraestructura y de proveedores).

Aquí seguramente, la entidad va a necesitar la intervención de alguien más que

el responsable de negocio. Para hablar de dependencias técnicas, el CIO, para
hablar de personal, quizás RRHH, para hablar de infraestructura, el
departamento de inmuebles, para hablar de proveedores, el de compras, etc.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 11

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

Verificaremos, por tanto, que los responsables de

continuidad de la entidad han mantenido las
oportunas reuniones y entrevistas:

¿Qué sistemas ¿Qué (quién y cuantas)

tecnológicos necesitas personas consideras
para operar? necesarias?

¿De qué proveedores

¿Y en cuanto depende tu proceso?
infraestructura? Responsable
proceso negocio
CIO?
RRHH?
Inmuebles?

La meta es conseguir un mapa

de dependencias:

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 12

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

Entrando en detalle sobre el tercero de los

pasos, el garantizar los mecanismos de
resiliencia, ¿qué deben realizar las entidades?:

De nuevo, los responsables de Continuidad deben sentarse con los

responsables de tecnología, inmuebles e infraestructuras, RRHH o
proveedores, para preguntarles acerca de que podrían hacer para garantizar
los requerimientos de recuperación que se han derivado de la evaluación
de impactos, sobre los activos que se han identificado como
dependencias de los procesos críticos de negocio.

¿Qué tenemos que

hacer para llegar a
estos requerimientos?

CIO
RRHH
Inmuebles
...

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 13

 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

Como consecuencia del proceso, surgirán

requisitos de medidas en los 4 ejes:

Un inmueble a X kilómetros.
Infraestructura

Mesas de tesorería alternativas.

Autobús para traslados de
emergencia.
Rutas de evacuación claras.
Esquemas activo-activo. Personal crítico redundado.

RRHH
Esquemas activo-pasivo. Portátiles para el personal crítico.
Política de back-ups. Móviles para el personal crítico.
Tecnología

3º copia en frío.
Líneas de comunicaciones Evidencias de que el proveedor puede
Proveedores

redundadas. cumplir nuestros RTO, RPO y MTD.

Alimentación redundada. Reportes de pruebas en el proveedor.
UPS. Proveedores alternativos.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 14

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de impacto en negocio (BIA)

Se trata de construir resiliencia, y en muchos casos para ello se requiere de

redundancia (de infraestructura tecnológica, de personas, de inmuebles, de
proveedores, etc.), lo que por definición no es eficiente en términos de coste,
pero debemos garantizar que se implementa, al menos hasta que la entidad
pueda cumplir con los requerimientos de recuperación que ha establecido en
sus BIA.

Recordemos que, entre las métricas incluíamos el MTD. Es posible que la

redundancia sea cara, pero más caro, por definición, es no recuperar tu
actividad dentro del MTD, lo que podría comprometer la viabilidad del negocio.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 15

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de riesgos y de la definición de escenarios

En su proceso de evaluación de riesgos, la entidad, conforme a su propio

apetito, determinará qué procesos críticos de negocio deben ser respaldados,
además de con medidas de continuidad y resiliencia, con planes específicos
de recuperación.

Surgirán, por tanto, las preguntas, ¿qué planes? ¿cuántos? Tienen que
plantearse tantos escenarios adversos como sean capaces de concebir: fallo
de tus proveedores de electricidad, una grúa rompe un nodo relevante de tu
proveedor de conexión, un ataque terrorista en tus servicios centrales, un
ransomware que encripta tus sistemas, etc. Cuantos más mejor, pero al menos
los relacionados con eventos naturales y ciberataques son básicos.

¿Hace falta un documento por cada uno de los escenarios? Pues muchas fases
de la respuesta y recuperación serán comunes, pero sí, tienes que saber como
actuar ante estas situaciones. Adicionalmente, y se pretende que todos los
implicados en la ejecución de los planes conozcan su rol, dichos documentos
deben contar con el respaldo de la alta dirección.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 16

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión del análisis de riesgos y de la definición de escenarios

Una lista no exhaustiva de los escenarios que se esperaría ver documentados,

puede ser la siguiente:

• Pérdida de personal: • Pérdida de proveedores:

• Epidemia. • Quiebra repentina.
• Amenaza terrorista. • Ciberataques.
• Incidentes de personal • Problema en las líneas de
(huelgas, altercados, etc.). comunicaciones.

• Pérdida de activos IT: • Pérdida de edificios:

• Ciberataques. • Amenaza terrorista.
• Incidentes no intencionados. • Desastre natural.

¿Qué deben reflejar los documentos? Tienen que ser capaces de reducir la
necesidad de pensar, de improvisar, a 0, o tendente a 0. Cuanto menos les
haga falta improvisar en una crisis, mejor. Y a partir de ese criterio, describir
de la forma más concreta el paso a paso de tu respuesta y recuperación.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 17

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de la planificación (planes de respuesta)

El símil más sencillo para explicar lo que es un plan de respuesta es la

comparación con un procedimiento de primeros auxilios:

Cuando alguien necesita practicar reanimación, o sabe o no sabe, pero no es el

momento de pensar o de aprender. Si tienes que improvisar, sobre la marcha, la
mejor manera de reanimar a alguien que está sufriendo un infarto,
probablemente la cosa acabe mal.

Es cierto que hay eventos inesperados, pero que sean los menos posibles, y
que las entidades sean capaces de redirigir la situación a lo procedimentado, a
lo practicado, cuando antes mejor.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 18

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de la planificación (planes de respuesta)

Haciendo, ahora, foco en los planes de respuesta que conforman los

escenarios anteriormente descritos. ¿Qué elementos deben incluir?

 Criterios de activación del plan, el punto donde se pasa de una

indisponibilidad a un problema de continuidad (como vimos antes, es
un punto especialmente delicado que debe quedar bien documentado).
 Roles implicados en la gestión del plan, con un ámbito de
responsabilidad bien definido.
 Comités, incluyendo los más relevantes como el de gestión de crisis.
 Personas críticas y sus datos de contacto, en caso de activarse el plan.
 Procedimientos de cascada de llamadas, para una comunicación eficaz
en momentos de crisis.
 Plan de comunicación (dentro y fuera de la organización), incluido a las
autoridades competentes, acorde a la normativa y regulación aplicable.
 Guías rápidas de actuación para el personal, didácticas y sencillas,
para consultar durante la crisis, sin tener que recurrir a documentos.
 Mucha formación, teórica y práctica, que incluya simulaciones.
 ……………..(la lista no es exhaustiva).

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 19

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de la planificación (planes de respuesta)

Los planes deben estar actualizados, al menos anualmente, y eso siempre que
no ocurra un cambio relevante en el negocio, en cuyo caso debería reflejarse
inmediatamente en los planes. No obstante, no podemos perder la perspectiva
de lo que cuesta hacer esto a las entidades…semanas de reuniones con los
responsables de los procesos de negocio, etc. por lo que tampoco se espera
que actualicen, de forma completa, con una frecuencia mucho mayor
(trimestralmente, por ejemplo).

Es clave que los planes estén a disposición de todo el personal pertinente, que
juegue algún papel, pero solo al personal pertinente, dado que incluye, como
hemos visto, información de carácter sensible y confidencial.

Los proveedores son parte integral de los planes. En una doble vertiente. Por
un lado, la entidad debe tener un plan para ellos, destinado a paliar cualquier
problema con el proveedor, problemas directos, como pueden ser la quiebra y
cese de actividad, o un ciberataque. Y por otro lado está el componente de sus
propios planes tecnológicos (de los proveedores), internos, con los puntos en
los que tu infraestructura depende de ellos para recuperarte.
GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 20
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de las pruebas y mantenimiento

La única manera de saber que esto funciona es probando. Como ejemplo, se

propone una escala con los tipos de prueba de continuidad más frecuentes,
desde lo más ligero, y por tanto, que menos seguridad proporciona, como
puede ser un walk-though teórico, hasta lo más exigente (apagar un CPD):

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 21

GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de las pruebas y mantenimiento

Entre medias muchas graduaciones, como las pruebas de simulación o las

table tops, realizar pruebas con entornos no productivos, hacer pruebas en
entornos productivos pero solo para algunos servicios (no completas) y fuera
de los horarios pico de atención al cliente, etc. El nivel de exigencia lo
determinará la regulación con vigencia local, pero lo razonable es mantener un
criterio de proporcionalidad: las pruebas más exigentes deberían cubrir los
procesos de negocio críticos, mientras que los procesos de negocio menos
relevantes pueden estar cubiertos por pruebas en el ámbito teórico.

Así mismo ocurre con la periodicidad. Allí donde tienen vigencia las guías de la
EBA, las pruebas de continuidad deben tener al menos un carácter anual. En
cualquier caso, y teniendo en cuenta que deberían probar los planes siempre
que hay un cambio significativo en los procesos de negocio, no parece
razonable una periodicidad menos demandante que la anual.

Las pruebas más técnicas pueden intercalarse con otras de carácter teórico o
menos demandantes, para conformar un calendario de pruebas que cubra
todas las tipologías.
GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 22
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Supervisión de las pruebas y mantenimiento

Los procesos de pruebas deben ser ejercicios integrados con las revisiones
periódicas de los planes. Es necesario, por tanto, que las entidades integren
las lecciones aprendidas en las revisiones periódicas y pruebas, y no solo los
cambios en los procesos de negocio.

Como conclusión, no hay que perder de vista el objetivo: deben demostrar

que son capaces de sostener la viabilidad de su negocio hasta que se
restablezcan las operaciones críticas ante una situación de crisis.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 23