Gestion De Continuidad De Negocios Unmsm (2).pdf

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

GESTIÓN DE CONTINUIDAD DE NEGOCIOS Mg. Moises Villena Aguilar, AMBCI, CISA, CISM, CRISC, CGEIT [email protected]

2014

Expositor Moisés Villena Aguilar Ingeniero Informático – Pontificia Universidad Católica del Perú Colegiatura HABIL N° 141093 Grado Académico de MBA IT – Universidad de Lima Certificaciones: CISM, CISA, CRISC, CGEIT, COBIT, ITIL V3, ISO/IEC 27002:2005, ISO/IEC 20000:2005, AMBCI Experiencia Profesional:     

Gerente GRC: NETLINE CONSULTING Jefe de Riesgo Operacional: FINANCIERA TFC Supervisor de Riesgo Operacional: FONDO MIVIVIENDA Jefe de Seguridad TI: YANBAL INTERNATIONAL Analista de Seguridad de Información: BANCO FALABELLA PERU

Contenido 1. Orígenes de la Continuidad de Negocios I. II. III. IV. V. VI.

Antecedentes Qué es la Continuidad de Negocios Tendencias y Observaciones Retos de la Continuidad Gestión de Continuidad en contexto Modelos, estándares y prácticas

2. Política y Gestión del Programa 3. Embebiendo la Continuidad I.

Integrar la GCN en la cultura organizacional

Contenido 4. Análisis I. Generalidades II. Análisis de Impacto III. Evaluación de Amenazas

5. Diseño I. II.

Introducción Estrategias y tácticas de continuidad y recuperación.

6. Implementación I. Introducción II. Plan de Continuidad de Negocios III. Elaboración y gestión de planes

Contenido 7. Validación I. II. III. IV.

Generalidades Elaboración de un programa de pruebas Elaborar una prueba Mantenimiento

1. Orígenes de la Continuidad de Negocios

I. Antecedentes

Antecedentes • Actividades terroristas – Perdida de vidas humanas . – Empresas detenidas. – Infraestructura de TI afectada.

Antecedentes • Climas extremos – Actividades económicas comprometidas. – Vías de comunicación afectadas.

Antecedentes • Pandemias – Actividades económicas comprometidas. – Ausencia de personal clave.

Antecedentes • Los terremotos, las erupciones volcánicas y las huelgas industriales, son sólo algunos de los incidentes que han llevado a una mayor sensibilización de las empresas sobre lo que significa la continuidad en toda América [Varshney 2012].

Antecedentes • Los sitios de recuperación de desastres fueron inicialmente creados en Estados Unidos (EE.UU.) a finales de los 70’s y esto creó inevitablemente la demanda para servicios de consultoría de terceros. • Estas consultorías tuvieron como resultado la definición del concepto de Planeamiento de Recuperación de Desastres (Disaster Recovery Planning - DRP) [Bird 2010].

Antecedentes • El primer uso conocido del término ‘Continuidad del Negocio’ fue hecho por Ron Ginn (posteriormente Presidente del Business Continuity Institute - BCI) en 1986, después de haber investigado el tema en EE.UU. y de haber entrevistado a muchos destacados profesionales. • Él escribió un libro titulado "Planificación de la Continuidad", que sugiere la aplicación de un conjunto de habilidades de DRP a un rango más amplio de riesgos de negocio e interrupciones operativas potenciales [Bird 2010].

Antecedentes • Uno de los problemas iniciales que se enfrentó durante este planeamiento fue la dificultad de convencer a la Alta Dirección de la justificación para hacer una importante inversión en algo que probablemente nunca iba a suceder.

• Esto llevó al concepto de un Análisis de Impacto en el Negocio (Business Impact Analysis - BIA) para añadir más atención a los procesos de negocio. Esta metodología fue aplicada a mediados de los 80’s en EE.UU. y poco después en el Reino Unido y Australia [Bird 2010].

Antecedentes • En 1988 se creó una organización inglesa llamada ‘Survive’ con el objetivo de servir a las necesidades emergentes de un fórum en el cual se pudieran compartir experiencias y conocimientos relacionados a recuperación de desastres.

Antecedentes • En 1994, como resultado directo de las recomendaciones de dicha organización, se fundó el Instituto de Continuidad del Negocio (BCI), como un grupo de trabajo encargado de definir el conjunto de habilidades para medir y juzgar la capacidad de aquellos que buscaban el reconocimiento como profesionales de continuidad del negocio, las cuales se desarrollaron en un esfuerzo cooperativo con el Instituto de Recuperación de Desastres de EE.UU. (ahora DRII) [Bird 2010].

Antecedentes • Otro acontecimiento importante fue el lanzamiento de la Norma Británica para la Seguridad de Información BS 7799 (1995) y su posterior versión americana ISO/IEC 17799 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. Estas incluyeron en sus principios básicos la necesidad de la Gestión de la Continuidad del Negocio (GCN), que se definió en términos de disponibilidad de datos.

Antecedentes • Esto añadió más confusión al debate y dio lugar a que muchos profesionales de tecnologías de información (TI) afirmaran que la GCN era simplemente un subconjunto de seguridad de la información [Bird 2010]. •

En el 2003 el Instituto Británico de Estandarización (British Standard Institute – BSI) publicó la Especificación Disponible al Público PAS56 Guía para la Gestión de Continuidad del Negocio, que muestra las mejores prácticas en GCN, que fue adoptado por muchas organizaciones alrededor del mundo [BSI 2003].

Antecedentes • En el 2006, PAS56 fue remplazada por un nuevo estándar británico para la GCN: BS 25999-1. • Este es un código de prácticas para la GCN e incorpora las mejores prácticas de PAS56, las guías de GCN que soporta el Acta de Contingencias Civiles del Reino Unido del 2004 [UKCO 2005] y otros recursos de todo el mundo. • En el 2007 el BSI publicó la segunda parte del nuevo estándar que provee una especificación de GCN para que las organizaciones puedan certificarse, llamada BS 25999-2 [Sharp 2008].

Antecedentes • El estándar británico ha sido actualizado en mayo del 2012 a través del estándar ISO 22301 Seguridad Social – Requerimientos para un Sistema de Gestión de Continuidad del Negocio, el cual brinda: – Mayor énfasis en la definición de los objetivos, el seguimiento, el rendimiento y la métrica. – Más claras expectativas sobre la gestión. – Mejor y más cuidadosa planificación y preparación de los recursos necesarios para garantizar la continuidad del negocio [St-Germain+ 2012].

Antecedentes • En el Perú, la Superintendencia de Banca, Seguros y Asociación de Fondo de Pensiones del Perú (SBS), mediante Circular N° G-139-2009 del 2 de abril, aprueba las normas sobre gestión de la continuidad del negocio para el sector financiero peruano, estableciendo que el Directorio, la Gerencia y el personal deben implementar respuestas efectivas para que la operatividad del negocio continúe de manera razonable, con el fin de salvaguardar los intereses de sus principales grupos de interés, ante la ocurrencia de eventos que pueden crear una interrupción o inestabilidad en las operaciones de la empresa [SBS 2010].

Antecedentes • La SBS ha normado el cumplimiento de la implementación de la gestión de la continuidad del negocio en el sistema financiero de manera alineada a la gestión del riesgo operacional, indicando los entregables con los que se debe contar: – – – – – – –

Análisis de Impacto al Negocio Evaluación de riesgos Estrategias de continuidad del negocio Plan de Gestión de Crisis Planes de Continuidad del Negocio Plan de Emergencia Plan de recuperación de los servicios de tecnología de información

II. Qué es la Continuidad de Negocios?

Qué es la Gestión de Continuidad de Negocios? •

Es un proceso holístico que identifica las amenazas potenciales a una organización y los impactos a las operaciones de negocio que esas amenazas podrían causar si se materializan. [BCI (Business Continuity Institute, Inglaterra)]

Qué es la Gestión de Continuidad de Negocios? •

Un programa holístico determinado por los requerimientos de negocio, el cual: [DRI (Disaster Recovery Institute, USA)]. Está dirigido por un grupo directivo con autoridad para responder a las interrupciones. Modifica las consecuencias de una interrupción a un nivel aceptable por la Dirección. Proporciona un medio probado para enfrentar las crisis.

Qué es la Gestión de Continuidad de Negocios?  De acuerdo al DRI, sus elementos básicos son:   

Lo que se hace para reducir el riesgo ANTES de un evento. Como se responde DURANTE un evento. Lo que se hace para recuperarse DESPUES de un evento.

Qué es la Gestión de Continuidad de Negocios?  Se busca proteger:    

Personas. Información. Procesos y operaciones de negocio. Empresa

Qué es la Gestión de Continuidad de Negocios?  Es importante porque:        

Se protegen las vidas humanas. Se reduce la confusión. Se pueden tomar decisiones efectivas en medio de una crisis. Se reduce la dependencia de personas específicas. Se reduce la pérdida de información. Se reduce la pérdida de clientes. Se facilita la recuperación oportuna de los procesos de negocio. Se blinda la reputación e imagen pública de la organización.

III. Tendencias y Observaciones

Tendencias y Observaciones •

De acuerdo al BCI:  No es sólo para incidentes físicos de gran impacto y baja probabilidad:  Se ha convertido en parte de la operación regular.  Enfoque de identificación y protección de las fuentes de valor dentro de la organización  Se está empleando para hacer frente a incidentes no físicos.

Tendencias y Observaciones 

Existen alternativas para una gestión integrada o centralizada



Durante las primeras fases de implementación de un SGCN será necesario para los especialistas administrar proyectos, coordinar el desarrollo de planes, organización de ejercicios, pruebas y validaciones.



En organizaciones más maduras, donde las técnicas ya están integradas en los niveles funcionales, el rol del gestor u Oficial de Continuidad de Negocios será de hacerse responsable de las políticas, gobierno y actividades de aseguramiento. Posiblemente reporte a una Gerencia de Riesgos, Auditoría, etc. según sea el caso de la organización.

Tendencias y Observaciones 

Un gestor u Oficial de Continuidad de Negocios no es el único modelo 

Un SGCN es transversal en las organizaciones.



El Oficial de Continuidad de Negocios tiene un rol de gestor y administrador del SGCN.



Los planes que conforman el SGCN son propiedad de las áreas de la organización que necesitan proteger sus actividades claves que generan valor.



Será distinto quiénes se encuentren involucrados en el SGCN, reflejando su propio modelo organizacional y de negocios.

Tendencias y Observaciones 

En organizaciones pequeñas, un SGCN es visto como un anexo a un número de disciplinas tales como Salud y Seguridad, Seguridad y Tecnología.



Un SGCN debe iniciarse desde la Alta Dirección porque encierra lo más importante y abarca las actividades más sensibles al tiempo.

Tendencias y Observaciones 

De quién es la responsabilidad? 

De acuerdo al DRI, este es el esquema:  

Antes: Centro de Cómputo Ahora: Parte Corporativa del organigrama: o Vínculos con tecnología. o Manejo de crisis. o Unidades de Negocio. o Procesos y funciones de negocio o Áreas de trabajo.

Tendencias y Observaciones 

De quién es la responsabilidad? 

Responsabilidad de los directivos: 

Responsables por consecuencias de: o Interrupción del negocio. o Pérdida de información crítica de la organización. o Protección de la información exigida por ley.

 

Directores por áreas de responsabilidad. TODOS los empleados por su participación

Tendencias y Observaciones 

De quién es la responsabilidad? 

Soporte y Financiamiento:   

Los requerimientos de continuidad de negocios pasan por una evaluación. Los recursos son distribuidos. Los procedimientos se terminan y se prueban.

Tendencias y Observaciones 

Las causas de las interrupciones de negocios tienen muchas facetas: 

Operacional:  



Error humano. Error del proveedor de servicios.

Técnica  

Fallas de energía. Fallas de hardware y software.

Tendencias y Observaciones  Nuevas tecnologías 

Mayor disponibilidad.



Menor tiempo de interrupción de servicios.



Mayor dependencia de múltiples proveedores externos.

 Tecnología presente en casi todos los procesos y procedimientos de las organizaciones.

Tendencias y Observaciones 

Aumento de interrupciones originadas por:   

Cambios en localidad. Ataques de hackers. Infecciones de malware.

Tendencias y Observaciones 

Presencia de amenazas potenciales, que implicarán:   

Recuperación de centro de cómputo. Recuperación de la red de datos. Recuperación de información respaldada.

Tendencias y Observaciones 

Tiempos de recuperación mucho menores: 

Reducción considerable de los RTOs.

Tendencias y Observaciones 

Evolución estratégica de la Gestión de Continuidad de Negocios:  

Se incorporan manejo de emergencias, seguridad, servicios internos, salud. Necesidad de concientización creciente, resaltando el valor de la Continuidad de Negocios en toda la organización.

IV. Retos de la Continuidad de Negocios

Retos de la Continuidad de Negocios  Lograr un retorno de la inversión considerado como aceptable para la organización.  Lograr ampliar los casos de éxito frente a situaciones reales.  Dejar claro que existen vulnerabilidades potenciales en las organizaciones.  Uso difundido del Business Case como herramienta de sustento y aprobación para las iniciativas de Continuidad de Negocios.

Retos de la Continuidad de Negocios  Creación de regulación asociada a la exigencia de la Continuidad de Negocios.  Concientizar a los directivos de los riesgos de no contar con un Sistema de Gestión de Continuidad de Negocios (SGCN).

Retos de la Continuidad de Negocios  Contar con herramientas que permitan hacer una evaluación de la efectividad, eficiencia y madurez de los programas y estrategias.

V. Gestión de Continuidad en Contexto

Gestión de Continuidad en Contexto  La Gestión de Continuidad de Negocios (GCN) NO se trata de “TODO”.  Es una herramienta que permite mejorar el desempeño de las organizaciones.  Se enfoca en aquello que es importante y urgente  nuestro PROCESOS DE NEGOCIO O SERVICIOS PRIMORDIALES.  Algunos aspectos de la GCN siempre han estado presente en las organizaciones, con nombres distintos.

Gestión de Continuidad en Contexto  Existen siete categorías que pueden verse afectadas en una organización:       

Reputación. Cadena de Suministro. Información y Comunicaciones. Sedes e Instalaciones. Personas. Finanzas. Clientes.

Gestión de Continuidad en Contexto  Haciendo frente a estas categorías, la GCN adquiere una categoría holística, incrementando su RESILIENCIA.

 RESILIENCIA: Capacidad de una organización para absorber, responder y recuperarse de interrupciones.  La RESILIENCIA no se trata de cómo detener o prevenir la ocurrencia de una interrupción, pues la mayoría de incidentes son en gran medida IMPREDECIBLES.

Gestión de Continuidad en Contexto  Por lo general la GCN está posicionada bajo la Gestión de Riesgos.  Se busca seguir de cerca los siguientes aspectos:      

El modelo corporativo y negocio de la organización. Productos y Servicios claves que generan valor. Procesos de Negocio críticos. Amenazas existentes presentes y futuras. Respuesta de la organización ante una pérdida y desastre. Evidencia que el Sistema de Gestión de Continuidad de Negocios (SGCN) funcionará en la práctica.

Gestión de Continuidad en Contexto  La GCN NO está encargada de identificar, analizar y reportar todos los riesgos en una organización, su mercado, clientes y el mundo en el que opera.  La GCN se enfoca en identificar VULNERABILIDADES en las organizaciones, en especial aquellas asociadas al valor y revisa el IMPACTO de su no disponibilidad en el tiempo en la organización.

Gestión de Continuidad en Contexto  La GCN tiene una relación estrecha con la Gestión de Crisis, a través del componente Gestión de Incidentes.

 Los incidentes toman distintas formas y tamaños, invocando el SGCN según sea el caso.  Pocos incidentes son considerados como “crisis”.  La Gestión de Crisis está vista como el dominio del profesional de relaciones públicas y de comunicaciones, con el profesional GCN en el rol de apoyo.

Gestión de Continuidad en Contexto  La relación entre la Gestión de la Crisis y la de Incidentes es que GCN considera cualquier interrupción de manera holística y determina cómo la organización responderá a la interrupción, continuando con sus actividades.

 El Plan de Emergencias está asociado a la Gestión de Incidentes.

VI. Modelos, estándares y prácticas

Modelos, estándares, prácticas  Modelo de buenas prácticas para la implementación de los requerimientos de la BS 25999 de Sharp (2008) 

El autor define como documentación requerida del SGCN lo siguiente:          

Política del SGCN. Alcance del SGCN. Procedimientos y controles para soportar el SGCN. Resultados del BIA y análisis de riesgos. La(s) estrategia(s) del SGCN. Planes de Continuidad de Negocio y gestión de incidentes. Contactos actualizados y detalles de movilización del personal y recursos requeridos. Calendario de pruebas, resultados y acciones correctivas y preventivas. Revisión post incidente Programa de entrenamiento.

Modelos, estándares, prácticas 

Entendimiento de la Organización 

Se definen las actividades críticas que permiten a la organización cumplir con su misión, visión y objetivos de alto nivel, identificando productos y servicios claves, procesos, terceras partes, de acuerdo a la siguiente figura:

Fuente: Sharp 2008

Modelos, estándares, prácticas 

Entendimiento de la Organización 





Se presenta una plantilla para llevar a cabo el BIA cuya información es: productos y servicios claves, áreas de impacto, nivel de impacto, indicadores de tiempo y nivel de servicio mínimo. El BIA debe ser desarrollado con los dueños de procesos, de tal forma que se llegue a un acuerdo respecto a la información que se documentará. Es crítico que el BIA refleje un escenario viable y aceptable en condiciones de contingencia.

Modelos, estándares, prácticas 

Entendimiento de la Organización

Fuente: NIST Special Publication 800-34, rev 1 2010

Modelos, estándares, prácticas 

Desarrollo e implementación de una respuesta del SGCN 

Contenido del plan: o o o o o o o o o o o o o

Propósito y alcance. Roles y responsabilidades. Invocación del plan. Locales alternativos. Planes de Recuperación de los sistemas (DRP). Detalles de contactos. Prioridades. Documentos y recursos vitales. Listas de verificación. Registros de auditoría. Necesidades de personal. Perfil público. Retorno a la normalidad.

Modelos, estándares, prácticas 

Pruebas y Mantenimiento

Fuente: Sharp 2008

Modelos, estándares, prácticas  Modelo NFPA 1600 Gestión de Emergencias y Desastres y Programas de Continuidad del Negocio (2010) 

Este modelo brinda una herramienta para la autoevaluación de la NFPA 1600, de acuerdo al ciclo establecido para la Gestión de Emergencias/Desastres y Programas de Continuidad del Negocio.

Modelos, estándares, prácticas

Fuente: NFPA 2010

Modelos, estándares, prácticas  Modelo NIST Publicación Especial 800-34 Planeamiento de Contingencia para Sistemas de Información Federales (2010)  



Autores: Marianne Swanson, Pauline Bowen, Amy Wohl Phillips, Dean Gallup, David Lynes). Busca ayudar a las organizaciones a entender el objetivo, proceso y formato para el desarrollo de un Plan de Contingencia de Sistemas de Información (Information System Contingency Plans – ISCPs) a través de guías prácticas y basadas en el mundo real. Mientras los principios establecen una línea base para conocer las necesidades de la mayoría de las organizaciones, es reconocido que cada organización puede tener requerimientos adicionales específicos a su propio ambiente operativo.

Modelos, estándares, prácticas

Fuente: Swanson 2010

Modelos, estándares, prácticas 

Deben considerarse varios enfoques alternativos cuando se desarrollan y comparan estrategias, incluyendo costos, tiempos de interrupción máximos, seguridad, prioridades de recuperación, e integración con planes de contingencia más amplios a nivel organizacional.



A partir del nivel de impacto de disponibilidad, se pueden adoptar distintas estrategias:

Modelos, estándares, prácticas Nivel de impacto de Estrategia de respaldo/recuperación

disponibilidad

Bajo

Respaldo: cinta de respaldo Estrategia: reubicación o cold site

Moderado

Respaldo: respaldo óptico, replicación WLAN/VLAN Estrategia: cold o warm site

Alto

Respaldo: sistemas espejo y replicación de disco Estrategia: hot site

Modelos, estándares, prácticas 

El modelo brinda un resumen de criterios que pueden ser utilizados para determinar qué tipo de sitio alterno cubre las necesidades de la organización. Sitio

Costo

Equipo de Telecomunicacion hardware

es

Tiempo de configuración

Cold

Bajo

Ninguno

Ninguna

Warm

Medio

Parcial

Parcial/Completo Medio

Hot

Medio/Alto Completo

Completo

Largo

Corto

Modelos, estándares, prácticas 

Se debe asegurar que la seguridad del sistema, controles de administración y operativos son compatibles con el prospecto de sitio. Los controles pueden incluir firewalls, controles de acceso físico y requerimientos de seguridad de personal del grupo que soporta el sitio. Sitio

Costo

Equipo de Telecomunicacio hardware

nes

Tiempo de configuración

Cold

Bajo

Ninguno

Ninguna

Warm

Medio

Parcial

Parcial/Completo Medio

Hot

Medio/Alto Completo

Completo

Largo

Corto

Modelos, estándares, prácticas 

Se debe asegurar que la estrategia seleccionada puede ser implementada efectivamente con el personal disponible y los recursos financieros.



El costo de cada sitio alterno, reemplazo de equipos y opción de almacenamiento debe ser bien analizado en referencia a las limitaciones de presupuesto, respecto de los costos del proveedor, hardware, software, de viaje, de compra y de pruebas.

Modelos, estándares, prácticas

2. Política y Gestión del Programa

Política y Gestión del Programa

Fuente: BCI Guidelines 2013

Política y Gestión del Programa  La Política del SGCN es un documento clave, dado que:  Establece el gobierno y el alcance del SGCN.  Señala las razones del porqué se implementa el SGCN.  Deja claro el contexto en el cual es necesario implementar el SGCN para la organización.  Debe mostrar un alineamiento con la cultura organizacional.

Política y Gestión del Programa  Comunica a las partes interesadas los principios de Continuidad de Negocios a los que aspira llegar la organización.  Debe ser corta, clara, precisa y puntual. Si es muy extensa será una barrera para la comunicación.  Como mínimo su estructura debe contener:     

Objetivos. Alcance. Responsabilidades. Estándares y métodos empleados. Definición de la GCN organizacional.

Política y Gestión del Programa  Cómo logramos alinear la Política a la cultura de la organización?  Se pueden plantear algunas interrogantes tales como:       

Cuáles son los objetivos de la organización? Cómo se alcanzan estos objetivos? Cuáles son los productos y servicios que permiten alcanzar estos objetivos? Cuál es el alcance geográfico de la organización? Cuál es la reacción probable de los clientes y competidores si se interrumpen las operaciones? Opera en ambientes regulados? Cuenta con muchos proveedores?

Política y Gestión del Programa  Existen dos técnicas que sirven para identificar la estrategia, objetivos y cultura de la organización:  

Entrevista con la Alta Dirección. Revisión de documentos generados por la organización tales como:    

Planes de negocio. Planes estratégicos. Reportes anuales. Información detallada de procesos de negocio, con sus respectivos indicadores.

Política y Gestión del Programa  Se vuelve necesario definir un alcance para el SGCN, teniendo en cuenta distintas alternativas.  Se tiene que hacer el inventario de servicios y productos, para tener una visión clara de lo que se quiere incluir y proteger en el SGCN.  Cada servicio y producto se componen de una serie de actividades, siguiendo el enfoque de proceso.

Política y Gestión del Programa

Fuente: BCI Guidelines 2013

Política y Gestión del Programa  Debe constituirse un grupo de especialistas en Continuidad de Negocios que le hará recomendaciones a la Alta Dirección.  De no existir especialistas, se vuelve necesario contar con asesoría especializada.  El grupo revisará los productos y servicios de la organización contra su estrategia, objetivos, cultura, política ética, requerimientos legales y regulatorios, para considerar la opción para cada producto y/o servicio.

Política y Gestión del Programa  Se puede tomar como base un Análisis de Impacto de Negocio que la organización puede haber realizado.  La Alta Dirección recibirá las recomendaciones del grupo para establecer las prioridades para todos los productos y servicios. La decisión debe documentarse formalmente, al interior en lo posible de un Comité de Continuidad de Negocio.  Cada producto y servicio deben estar identificados con un nivel apropiado de detalle.

Política y Gestión del Programa  Algunas razones para considerar un producto o servicio dentro de alcance son:      

Requerimiento de un cliente. Requerimiento regulatorio. Percepción de alto riesgo debido a la proximidad a otros locales o amenazas físicas. Productos o servicios que brindan ingresos importantes para la organización. Daños a la reputación como resultado de una interrupción. Relevancia de un análisis de riesgo desarrollado.

Política y Gestión del Programa  Algunas razones para no considerar un producto o servicio dentro de alcance son:  

Productos o servicios próximos a darse de baja. Productos o servicios con bajos niveles de rentabilidad.

 Para aquellos productos o servicios fuera del alcance del SGCN, se les debe dar algunos de los siguiente tratamientos:   

Aceptación: reconocer que está en riesgo de interrupción. Transferir: Trasladar el riesgo de interrupción a un tercero. Cambiar, suspender o dar de baja al servicio o producto.

Política y Gestión del Programa  Se pueden mencionar algunas técnicas y herramientas para desarrollar las alternativas de estrategia de una organización para los productos y servicios:     

Análisis costo-beneficio. Análisis FODA. Referencias frente a estándares nacionales e internacionales. Análisis PAST (Política, Ambiente, Social, Técnico)Análisis de mercados para determinar la viabilidad del suministro de un producto luego de una interrupción.

Política y Gestión del Programa  Los resultados que deben obtenerse son:  

Una estrategia acordada para la protección de cada uno de los productos y servicios de la organización. El alcance del SGCN deberá documentarse en la política del SGCN.

 Por lo menos una vez al año se debe hacer la revisión de la estrategia organizacional de protección de los productos y servicios.

Política y Gestión del Programa  Algunos eventos que pueden obligar inmediata revisión de la estrategia son: 

   

a una

Resultados reflejados en los análisis de impacto de negocio, que den cuenta de cambios importantes y prioridades importantes en los procesos de negocio. Nuevos productos o servicios. Nuevos requerimientos legales o regulatorios. Condiciones del mercado. Cambio en el perfil de riesgo ( generalmente por la ocurrencia de un incidente significativo).

Política y Gestión del Programa  Es necesario tomar en cuenta las tercerizaciones, y no perder de vista:     

Tendencia de los proveedores de servicios. Especificación de requerimientos de GCN en los términos de referencia de documentos de licitaciones y contratos. SLA´s realistas que se miden antes la ocurrencia de algún evento. Involucramiento de proveedores en la capacitación y ejercicios de prueba. Revisar a la finalización de cada contrato los aspectos contractuales que posiblemente necesiten una actualización o ampliación. No se recomienda renovación automática de contratos.

Política y Gestión del Programa  Un factor crítico de éxito es la designación de personas competentes para supervisar y gestionar el SGCN  Los elementos claves para la gestión del SGCN son:     

Asignación de responsabilidades. Implementación del SGCN en la organización. Gestión del proyecto. Gestión continua de la Continuidad de Negocio. Documentación del SGCN.

Política y Gestión del Programa  Asignación de responsabilidades 





  

Aquellos que han estado involucrados en la implementación del SGCN pueden ser los más indicados para asumir el liderazgo durante la respuesta a un incidente, teniendo a otros profesionales listos a actuar. Un miembro de la Alta Dirección debe hacer la rendición de cuentas sobre el SGCN de la organización y su efectividad. Debe nombrarse a un individuo como Oficial de Continuidad de Negocio, el cual dependiendo del tamaño de la organización puede ser un rol a tiempo parcial o completo. Se formarán los siguiente equipos por lo general: Emergencia, Crisis, Equipos de Continuidad de Negocio. Es recomendable contactar con asesoría especializada en las primeras etapas, de tal forma que puedan hacer un acompañamiento adecuado. Es recomendable que el Oficial de Continuidad de Negocios sea una persona certificada, de tal forma que se garantice una gestión acorde con las prácticas y estándares internacionales.

Política y Gestión del Programa  Implementación del SGCN en la organización    





Sensibilización: eventos que mantienen el interés por la GCN. Planificación: Desarrollo de planes para hacer frentes a incidentes que pudieran no ocurrir. Medidas de mitigación: para contrarrestar el impacto de los incidentes que puedan presentarse. Ejercicios y pruebas: para que el personal tenga claro cómo actuar en cualquier situación que se presente, respecto a los escenarios contemplados. Asignación de recursos: tanto presupuestales, tecnológicos, asesorías, capacitaciones permanentes, etc. Un programa SOSTENIBLE es el que ha ganado el COMPROMISO de la organización y cuenta con una estructura, procedimientos operando y personal altamente capacitado.

Política y Gestión del Programa  Implementación del SGCN en la organización 

Los pasos secuenciales son:  

 

Proceso de iniciación Planificación, coordinación e implementación de proyectos del SGCN para comprometer la implementación inicial del ciclo de vida de la GCN Mantener niveles de conciencia Gestión continua



Es crítico emplear la disciplina de Gestión de Proyectos



Al final de la implementación se deberá tener:  



Un estado inicial de disponibilidad de los procedimientos de Gestión de incidentes suficientemente demostrado por los ejercicios de escritorio. Procedimientos , estructuras y habilidades para mantener y desarrollar la capacidad de la GCN.

En la fase inicial MENSUALMENTE.

de implementación, el SGCN debe revisarse

Política y Gestión del Programa  Gestión del Proyecto   

Se emplea para identificar los proyectos que respaldarán al SGCN. Tomar en cuenta las prácticas del PMI o del PRINCE2. Cada proyecto debe ser planificado y monitoreado, definiéndose en términos de :       

Objetivos Alcance Tareas Escala de Tiempo Personas involucradas Entregables Hitos

Política y Gestión del Programa  Gestión en curso de la Continuidad de Negocio  

Implementado el SGCN debe gestionarse en un ciclo de mejora continua. Se pueden emplear las siguientes herramientas:        



BSC o cuadros de mando. Evaluaciones anuales de desempeño del personal contratado. Gestión de relación con proveedores. Gestión financiera. Avisos legales y regulatorios Estándares internacionales Auditorias internas o externas. Consultoría especializada

Se deben obtener como resultados, entre otros:      

SGCN claramente definido y documentado. Reportes de desempeño del SGCN. Presupuesto anual para la GCN. Reporte de auditoría del SGCN Reporte de capacitaciones especializadas. Notificaciones exitosas de experiencias reales en respuesta a incidentes.

Política y Gestión del Programa  Documentación del SGCN              

Constitución del Comité de Continuidad de Negocios. Política del SGCN. Roles, responsabilidades y recursos del SGCN. Proyectos del SGCN (en curso y concluidos). Reportes de avance de los proyectos. Resultados de los Análisis de Impacto de Negocios (BIAS). Resultados del Análisis Continuo de Requerimientos (CRA). Análisis de Amenazas. Estrategias del SGCN con sus respectivas estrategias documentadas. Planes para la Gestión de Incidentes. Planes de Continuidad de Negocios. Planes de Recuperación Tecnológica. Contratos y acuerdo de niveles de Servicio con proveedores involucrados. Cronograma de revisiones y mejoras para el SGCN.

Política y Gestión del Programa  Iteración permanente   

Evaluación de la cultura actual de la organización. Entendimiento de a dónde quiere ir la organización Evaluación e identificación de las diferencias entre las anteriores.

 Se evalúa el nivel actual de conciencia y compromiso con la GCN, para identificar brechas.  Campañas de concientización: charlas especializadas, expositores certificados, etc.  Eliminar la principal barrera: “Nunca sucederá aquí”.

Política y Gestión del Programa  Determinar el alcance del Programa o

La política del SGCN debe incluir el alcance del programa en términos de lo que se ha diseñado para PROTEGER y el máximo alcance del DAÑO, INTERRUPCIÓN O PÉRDIDA, a la que la organización puede sobrevivir.

o

Principios generales: o Claridad de qué procesos, con las áreas participantes, serán incluidos en el programa. o Productos y servicios. o Se puede tener un alcance preliminar y luego ampliarlo.

Política y Gestión del Programa  Determinar el alcance del Programa o

Proceso: o Establecimiento de un comité que haga recomendaciones a la Alta Dirección. o Este comité revisará los productos y servicios, haciendo un paralelo con la estrategia, objetivos, cultura, política, requerimiento regulatorios. o De existir un BIA previo, se hará una revisión del mismo. o Se deben documentar las razones por las cuales NO se considera un producto o servicio en el alcance del programa, teniendo el visto bueno de la Alta Dirección.

Política y Gestión del Programa  Determinar el alcance del Programa o

Algunos ejemplos de productos o servicios pueden incluir:  Soporte telefónico para una empresa de servicios.  Recolección de desperdicios para una municipalidad.

o

Las decisiones por las cuales un producto o servicio se incluyen en el alcance pueden seguir algunos de los siguientes factores:  Requerimiento de clientes.  Exigencia regulatoria.  Percepción de riesgo alto.  Aporte a la rentabilidad.

Política y Gestión del Programa  Determinar el alcance del Programa o

o

Las decisiones por las cuales un producto o servicio se puede EXCLUIR en el alcance pueden seguir algunos de los siguientes factores:  Producto o servicio cerca de su final en el ciclo de vida del mismo.  Producto o servicio con poco margen de rentabilidad. Respecto a productos o servicios fuera del alcance del programa, la Alta Dirección:  Acepta el riesgo.  Transfiere el riesgo.  Cambia, suspende o elimina el producto o servicio.

3. Embebiendo la Continuidad

I. Integrar la GCN en la cultura organizacional

Integrar GCN en la cultura organizacional

Fuente: BCI Guidelines 2013

Integrar GCN en la cultura organizacional  Factores de Éxito   

Apoyo visible y continuo de la Alta Dirección. Involucramiento de todos los responsables en las campañas. Alineamiento de las prioridades de la organización con el mensaje emitido en las campañas.

 Se evalúa el nivel actual de conciencia y compromiso con la GCN, para identificar brechas.  Campañas de concientización: charlas especializadas, expositores certificados, etc.  Eliminar la principal barrera: “Nunca sucederá aquí”.

Integrar GCN en la cultura organizacional  Análisis de Necesidades de Formación   

Identificar el nivel actual de conocimiento y sensibilización. Establecer el nivel deseado (Oficial de Continuidad de Negocios certificado o no?) Cerrar brechas identificadas con el apoyo de especialistas (interno o externos).

 Algunos requerimientos mínimos a tener en cuenta pueden incluir:    

Cómo activar una alarma. Responder a amenazas específicas. Qué hacer cuando es evacuado del sitio. Conocimiento de los planes que constituyen el SGCN

Integrar GCN en la cultura organizacional  La sensibilización puede tener los siguientes niveles:    

Incompetencia inconsciente: el personal es inconsciente de los temas del SGCN, no saben lo que conocen. Incompetencia consciente: personal es consciente de los temas del SGCN, pero saben muy poco del detalle de sus requerimientos. Competencia consciente: personal consciente de los temas del SGCN y es competente (siguen los procedimientos formales). Competencia inconsciente: personal es completamente competente en forma instintiva para los temas del SGCN en la mayor variedad de escenarios.

 Algunos requerimientos mínimos a tener en cuenta pueden incluir:    

Cómo activar una alarma. Responder a amenazas específicas. Qué hacer cuando es evacuado del sitio. Conocimiento de los planes que constituyen el SGCN

Integrar GCN en la cultura organizacional  En el diseño de las campañas se debe llevar a cabo las siguientes tareas:   

Identificar las audiencias. Identificar los temas en educación y formación. Seleccionar el orden y los métodos de entrega.

 Los resultados de una campaña pueden incluir:   

Mejor conciencia general sobre la GCN. Sensibilización sobre la importancia de la GCN para la organización y sus prioridades de negocio. Mejor desempeño en la tareas efectuadas dentro del SGCN.

Integrar GCN en la cultura organizacional  Métodos y técnicas    

Soporte y respaldo de la Alta Dirección. Incorporar el programa del SGCN en las operaciones del día a día de la organización. Crear competencias, por medio del entrenamiento y concientización. El nivel de competencia y concientización cambiará a medida que:  Las responsabilidades de los gerentes cambien.  Procesos de negocios se modifican.  Cambios en los empleados ocurran.  Eventos internos o externos inesperados se presentan.

4. Análisis

I. Generalidades

Generalidades  El análisis es la práctica profesional del ciclo de vida del SGCN que analiza una organización desde el punto de vista de su operación.  Se busca preparar a la organización para hacer frente a potenciales situaciones que pueden afectarla.  La técnica más empleada es el BIA (Análisis de Impacto del Negocio).  Otro método empleado es la Evaluación de Amenazas, que permite identificar la probabilidad y el impacto en actividades asociadas a las mismas.

Generalidades  La asignación del tiempo y el presupuesto deben ser calculados para hacer frente a las amenazas puntuales, sobre la base de la experiencia, pues no se cuentan con fórmulas.  A partir de ambas prácticas se pueden detectar ineficiencias en la organización y alternativas para una mejora.

II. Análisis de Impacto de Negocio

Análisis de Impacto de Negocio  Se constituye como la base de la continuidad de negocio.  Identifica y cuantifica los impactos, tiempo de un desastre o interrupción que afecta la operatividad normal de una organización.  Brinda la información necesaria para diseñar las estrategias de continuidad.  Se tienen tipos distintos de BIA: inicial, estratégico, táctico y el operativo.

Análisis de Impacto de Negocio  Conceptos y supuestos 

Para cada producto y servicio, el propósito del BIA es:    



Documentar el impacto en el tiempo que resultaría de una interrupción. Identificar el máximo periodo tolerable de la interrupción. Establecer las prioridades para la recuperación. Identificar las dependencias y recursos (internos y externos) que deben tener en cuenta acorde a los niveles de servicio.

La norma ISO 22301 emplea dos indicadores:  MAO (maximum acceptable outage) ó  MTPD (maximum tolerable period of disruption), definido como el tiempo que tomará el tener impactos adversos, resultado de no brindar los servicios o productos.

Análisis de Impacto de Negocio  Proceso   

Las metodologías para elaborar un BIA pueden variar. Cada industria puede tener necesidades de información distinta para el BIA. Al llevar a cabo un a BIA deben en tenerse en cuenta los siguientes aspectos:    

En una BIA inicial no siempre hay consenso de los resultados. La determinación de impactos permitirá que la Alta Dirección sepa la rapidez con la que debe recuperarse la organización. Debe emplearse información pertinente y relevante para llevar a cabo el análisis. Los impactos no podrán precisarse con exactitud.

Análisis de Impacto de Negocio  Métodos y técnicas 

El MTPD se puede alcanzar cuando:    



Los clientes no renueven sus contratos y la organización no puede obtener nuevos clientes. Cuando la reputación de la empresa es seriamente dañada, que produce un alejamiento de inversionistas. La organización está en la bancarrota o cerca de ella. Presiones externas provocan un cambio mayor en la dirección de la empresa o en su estrategia.

Los factores que se pueden considerar para estimar el MTPD son:   

Daño financiero. Daño reputacional. Fallas para lograr los objetivos organizacionales.

Análisis de Impacto de Negocio  Métodos y técnicas 

Fallas en los distintos sectores pueden resultar de:      



Implicaciones de salud debido a una falla de servicio Requerimientos regulatorios. Impactos financieros. Daño ambiental. Demoras en los proyectos o lanzamiento de productos. Oportunidad para la competencia.

La estacionalidad también puede afectar el MTPD:  

Navidad, día de la madre, día del padre, año nuevo, etc. Días previos a feriados largos.

Análisis de Impacto de Negocio  Métodos y técnicas 

 

 

De acuerdo a la norma ISO 22301, el RTO es el periodo de tiempo que sigue a un incidente dentro del cual el servicio o producto debe ser restablecido o los recursos deben ser recuperados. El RTO debe ser menor que el MTPD, de acuerdo al apetito por el riesgo de la organización. El MBCO (Minimum business continuity objective) es el nivel mínimo de servicios o productos que es aceptable para la organización durante la interrupción. El MBCO suele ser menor que las condiciones usuales, el mismo en situaciones puntuales o mayores. El MBCO debe ser diseñado para ser alcanzado en un tiempo específico después de iniciada la interrupción.

Análisis de Impacto de Negocio  Observaciones  





Las palabras “crítico” y “clave” se emplean a menudo para describir actividades, productos y personal. Se emplean para resaltar algo importante pero pueden llevar a errores y exageraciones cuando se recolecta información para un BIA. Después de identificar un MTPD para cada actividad, es conveniente asociarlo a otras actividades con requerimientos similares. Se deben emplear terminología sin ambigüedades, como “actividades prioritarias” , “sensibles al tiempo”, “urgentes”.

Análisis de Impacto de Negocio- BIA Inicial  En la preparación del primer BIA, suele existir poca claridad respecto a los productos, servicios, PROCESOS, actividades.  El BIA inicial debe analizar el negocio que impliquen actividades estratégicas, tácticas y operacionales.  Es crítico tener claramente definido el ALCANCE del SGCN.  El objetivo básico es IDENTIFICAR los grupos de productos y servicios, procesos y actividades dentro de la estructura organizacional.

Análisis de Impacto de Negocio- BIA Inicial  Un aspecto que debe asegurarse es garantizar el apoyo de la Alta Dirección antes de elaborar el BIA inicial, caso contrario los gerentes no le darán importancia.  Para llevar a cabo los BIA podrían emplearse herramientas automatizadas, pero no es exigible.  Dichas herramientas facilitan la recolección de resultados, reportes y almacenamiento de información. Pero siempre se tendrán que hacer las entrevistas con los involucrados.

Análisis de Impacto de Negocio- BIA Inicial  Proceso para elaboración:  Delimitar el alcance del análisis.  Asignar los productos y servicios a grupos sobre la base de la urgencia de entrega, haciendo una división por cliente y ubicación geográfica, si es el caso.  Acordar impactos que deben considerarse, así como los criterios para determinar niveles no aceptables.  Documentar impactos en el tiempo para la organización.

Análisis de Impacto de Negocio- BIA Inicial  Proceso para elaboración:  Estimar los MTPD para cada grupo de productos o servicios y acordarlo con el patrocinador del proyecto.  Identificar procesos de negocio a lo largo de la organización que entregan productos o servicios.  Identificar dueños de proceso que brinden información y detalles del mismo.  Identificar como y cuando una interrupción al proceso puede resultar en un daño para la entrega de servicios o productos.

Análisis de Impacto de Negocio- BIA Inicial  Métodos y técnicas  Reuniones de trabajo.  Cuestionarios en papel o automatizados.  Entrevistas  Combinación de los anteriores.  Salidas y revisión  Estructura organizada de productos y servicios, procesos y actividades.  Una lista de todos los procesos y actividades que contribuyen a la entrega de productos y servicios.

Análisis de Impacto de Negocio- BIA Inicial  Salidas y revisión  El MTPD y su justificación para cada producto, proceso y actividad. Esto ayudará a determinar las prioridades de continuidad y estrategias de recuperación  Principales dependencias entre actividades, tanto internas como externas.  Una lista de productos, servicios y procesos que han sido excluidos, con la respectiva justificación de dicha decisión.

Análisis de Impacto de Negocio- BIA Inicial  Salidas y revisión  El MTPD y su justificación para cada producto, proceso y actividad. Esto ayudará a determinar las prioridades de continuidad y estrategias de recuperación  Principales dependencias entre actividades, tanto internas como externas.  Una lista de productos, servicios y procesos que han sido excluidos, con la respectiva justificación de dicha decisión.

Análisis de Impacto de Negocio- BIA Estratégico  Introducción  Se identifican y priorizan los productos y servicios.  Se determina el MTPD y el MBCO.  Se puede emplear para determinar el impacto de la interrupción de forma anticipada, frente a cambios significativos como: o Un nuevo producto, proceso o tecnología. o Reubicación o cambio geográfico del negocio. o Cambios significativos en las operaciones de negocio, estructura o nivele de personal o Nuevos proveedores o contratos de outsourcing.

Análisis de Impacto de Negocio- BIA Estratégico  Proceso  Reevaluar el alcance del SGCN, revisando cualquier exclusión y consideración de nuevos productos.  Entender el potencial impacto de desarrollos futuros dentro de la organización.  Con fines de análisis, asignar productos y servicios a grupos basados en urgencia de entrega, separados por cliente o ubicación.  Revisión de impactos considerados como criterios para determinar el MBCO.

Análisis de Impacto de Negocio- BIA Estratégico  Proceso  Documentar los impactos de tiempo en la organización.  Estimar un MTPD para cada grupo de productos o servicios.  Obtener el visto bueno de la Alta Dirección.  Proceder con el BIA Táctico.

Análisis de Impacto de Negocio- BIA Estratégico  Salidas y revisión  Una validación o modificación del alcance del SGCN.  MBCO aprobado y firmado por la Alta Dirección.  MPTDs para cada grupo de servicios o productos.  Una lista de grupos de productos o servicios más urgentes.

Análisis de Impacto de Negocio- BIA Táctico  Determina el proceso o procesos necesarios para la entrega de los principales productos y servicios, evaluando el impacto de la interrupción de los mismos.  Su alcance puede ser un subconjunto del alcance del BIA estratégico.  Proceso  Identificar a los dueños de proceso.  Establecer el alcance del BIA táctico, descrito en función al grupo de productos y servicios examinados.

Análisis de Impacto de Negocio- BIA Táctico  Identificar las dependencias de los procesos que entregan los productos y servicios más urgentes.  Identificar el staff adecuado que se encargue de ubicar la información referida a los procesos de negocio.  Identificar como una interrupción puede resultar en la detención en la entrega de un producto o servicio.  Tomando como base el MTPD, estimar los otros indicadores, tales como el RPO, RTO.  Publicar los resultados del BIA táctico.

Análisis de Impacto de Negocio- BIA Táctico  Métodos y técnicas  Los resultados del BIA táctico se harán sobre la base del BIA estratégico.  El BIA táctico permitirá verificar las conclusiones del BIA estratégico.  Los tiempos tendrán variaciones en las distintas industrias: en algunos casos se habla de minutos u horas, en otras de días.  Salidas  Una lista de procesos que dan soporte a los productos y servicios más importantes.  MTPD y su justificación para cada proceso.

Análisis de Impacto de Negocio- BIA Operacional  Identifica y prioriza las actividades a nivel operativo, lo cual contribuye a identificar procesos que entregan los productos y servicios más urgentes.  Muestra información detallada de los recursos requeridos para continuar, recuperar y reactivar las actividades que dan soporte a los objetivos de la organización.  Permite identificar la dependencia de proveedores externos (energía, telecomunicaciones, agua, etc.)

Análisis de Impacto de Negocio- BIA Operacional  Conceptos y supuestos  Los recursos a necesitarse después de una interrupción serán una fracción de los empleados en operación normal.  En algunos casos, en las primeras horas de la interrupción se podría emplear mas recursos. Ejemplo: Llamadas al call center durante la interrupción.  La pérdida de datos puede complicar la recuperación de la parte operativa.

Análisis de Impacto de Negocio- BIA Operacional  Conceptos y supuestos  La norma 22301:2012 hace referencia al RPO como la pérdida máxima de datos.  Se busca obtener información de los recursos en esta fase para:  Brindar información de recursos para poder sugerir la mejor estrategia a la alta dirección.  Identificar requerimientos de recursos que resulten de la dependencia de actividades identificadas en el nivel táctico.

Análisis de Impacto de Negocio- BIA Operacional  Proceso  El proceso para determinar las actividades más urgentes en el nivel operacional es similar a lo ejecutado en el nivel táctico.  Sin embargo, se concentra en el nivel más granular, a nivel de actividad.  El proceso debería identificar y priorizar las actividades que contribuyen a que el proceso permita la entrega de servicios o productos.  Cuantificar los recursos alineados al MTPD.

Análisis de Impacto de Negocio- BIA Operacional  Proceso  Tomar en cuenta cualquier actividad extra como consecuencia de la interrupción, considerando las siguientes categorías:  Personas  Locales  Recursos  Proveedores  Obtener la aprobación del dueño de negocio, validando la información.  Obtener la aprobación de la alta dirección respecto a las conclusiones.

Análisis de Impacto de Negocio- BIA Operacional  Métodos y técnicas  Se debe obtener información referida a:  Recursos necesarios por departamentos o áreas y por tiempo.  Requerimientos de TI por tiempo.  Dependencias que impactarán los principales procesos.  El BIA operacional debe ser desarrollado con apoyo de un representante especializado por departamento.

Análisis de Impacto de Negocio- BIA Operacional  Salidas  Lista de recursos internos y externos para recuperar los productos y servicios más urgentes.  Actividades revisadas, respecto a los cambios organizacionales.

III. Evaluación de Amenazas

Evaluación de Amenazas  La evaluación de amenazas emplea técnicas de evaluación de riesgos para identificar riesgos no aceptables en las actividades.  La gestión de riesgos paralela es recomendable pero no obligatoria.  Es importante tener en cuenta que no siempre se pueden identificar TODAS las amenazas.  Es necesario identificar las vulnerabilidades que pueden ser explotadas por las amenazas.  Se puede aprovechar una metodologías de riesgos, con las escalas ajustadas a la organización.

Evaluación de Amenazas  Proceso  Listar las amenazas internas y externas que pueden crear una interrupción a las actividades mas urgentes, identificadas en el BIA.  Establecer un análisis de riesgo, que cuente con la aprobación de la alta dirección.  Estimar el impacto en la organización para cada amenaza.  Calcular el nivel de riesgo a partir de niveles de probabilidad de ocurrencia e impacto.  Identificar riesgos no aceptables.

5. Diseño

I. Introducción

Introducción  La fase de diseño identifica y selecciona ESTRATEGIAS y PRACTICAS que permitan determinar como se llevará a cabo la continuidad y recuperación de una interrupción.  Se emplea información de la fase de Análisis para diseñar soluciones a las siguientes áreas:  Estrategias y tácticas de continuidad y recuperación  Medidas de mitigación de amenazas  Estructura de respuesta a incidentes.

II. Estrategias y tácticas de continuidad y recuperación

Estrategias y tácticas de continuidad y recuperación  Se busca diseñar estrategias que permitan establecer ventanas de tiempo para la recuperación.  Se lleva a cabo en tres niveles:  Estratégico: productos y servicios.  Táctico: infraestructura de procesos.  Operacional: actividades que permiten la entrega de servicios o productos.  En la etapa de análisis se identificó en el nivel estratégico los productos y servicios.  En el nivel táctico, la infraestructura de procesos consiste en los servicios e instalaciones necesarios para entregar los servicios o productos.

Estrategias y tácticas de continuidad y recuperación  El diseño de soluciones operativas podría exigir habilidades técnicas especializadas más allá de continuidad de negocios. Se puede necesitar ayuda especializada en TI, Compras, Inventarios, Planeamiento de Capacidad.  Principios generales:  Se tiene identificado el MTPD desde la fase de análisis, para todos los productos y servicios, procesos y actividades.  En la fase de Diseño se acordará el RTO para cada producto, servicios, proceso y actividad.

Estrategias y tácticas de continuidad y recuperación  El RTO de cada producto, servicios, proceso y actividad, debe ser MENOR al MTPD. De esa manera se garantiza que interrupciones individuales no afecten toda la organización.  Conceptos y Supuestos  Balance de costos y velocidad de recuperación.  RTO, RPO mas cortos  mayores costos.  RTO amplios no podrán cumplir con el MTPD.  RPO amplios complicarán la recuperación de datos.

Estrategias y tácticas de continuidad y recuperación  Estrategias  Diversificación.  Replicación.  Standby.  Adquisición post incidente.  No hacer nada.  Subcontratar

Estrategias y tácticas de continuidad y recuperación  Tácticas  Son necesarias para que se ejecuten a partir de eventos de pérdida de : o Personas (habilidades y conocimiento) o Instalaciones o Recursos (TI, información, equipos, materiales) o Proveedores (productos y servicios brindados por terceros).  Las tácticas deben poder ejecutarse de forma individual o en conjunto.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Diversificación  De actividades y recursos para asegurar operaciones continuas que se requieren en ubicaciones geográficas dispersas. A la caída de una ubicación, las otras continúan.  Puede ser bastante costosa.  No tiene cobertura frente a situaciones de pandemia o infección de virus informático.  Es adecuada cuando el RTO está expresado en minutos u horas.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Replicación  Brinda la capacidad de llevar a cabo todas las actividades requeridas pero implicará mover el personal hacia el lugar replicado luego del incidente.  Es adecuada cuando el RTO es mayor a algunas horas pero menor a un día.  Es necesario asegurar que exista personal dispuesto a trasladarse a la nueva ubicación por un periodo de tiempo.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Standby  Adecuado cuando el RTO es mayor a un día.  Se cuenta con un local listo para habilitarlo operacionalmente.  El local presenta características favorables para ponerlo operativo en un corto tiempo.  Es necesario contar con personal dispuesto a trabajar en la nueva ubicación.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Adquisición post incidente  Adquirir recursos necesarios para llevar a cabo las actividades después de un incidente es viable cuando el RTO está expresado en días o semanas, habiendo precalificado a proveedores específicos.  No son viables los requerimientos especiales, que impliquen tiempo de entrega amplios.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  No hacer nada  Es viable cuando el RTO está expresado en meses.  Se aplica después de un incidente, tomando la decisión en el momento.  Es necesario documentar por qué se optó por esta estrategia.  Esta estrategia es adoptada por cualquier organización que no ha implementado un SGCN.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Subcontratar  Dependerá de qué tan rápido la organización requiere el servicio o producto subcontratado entre a operar.  Es necesario evaluar los RTO para poder establecer las condiciones apropiadas para la subcontratación.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Seguros  Permite brindar una compensación económica frente a la pérdida de activos, incremento de costos de trabajo, protección frente a temas legales.  No es recomendable cuando el RTO está expresado en meses y se requiere equipo especializado, instalaciones o habilidades.  Es necesario tener claro que los seguros no permiten la recuperación inmediata, salvo con RTO medidos en meses o años.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Distancia de separación seguras  Se debe empezar por tener copias por duplicado de recursos vitales.  Se debe contar con varios proveedores.  Replicar las operaciones en diferentes locaciones.  Dado que pueden darse daños para acceder a una locación, debe existir una separación entre los recursos.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Distancia de separación seguras  La elección de una locación distinta determinará la máxima extensión geográfica asociada a un incidente, del que podrá recuperarse una organización.  La elección dependerá de la organización, sus objetivos y su cultura.  Es necesario tener en cuenta lo trabajado en la fase de análisis, respecto a las amenazas asociadas a ubicaciones geográficas específicas.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Distancia de separación seguras  Locaciones alternas con fuentes de energía alternas y distintos proveedores.  Tener en cuenta el alcance que logran las pandemias a nivel local, regional o mundial.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Niveles de servicio  Es necesario identificar los niveles de servicio mínimos aceptables que debe tener la organización para operar en medio de una interrupción.  Tomar en cuenta el MBCO identificado en la fase de análisis.  A medida que se incorporan o restablecen los recursos comprometidos con la interrupción, los niveles aumentarán hasta llegar niveles normales.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Detalles de diseño  Se deben evaluar a partir de la urgencia que exige poner operativos nuevamente los procesos, actividades e infraestructura.  Será necesario contemplar detalles de diseño cuando los RTO sean cortos.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Confiabilidad  Cuando la recuperación y las tácticas implican la provisión del servicio de un tercero.  Cuanto más corto el RTO, se vuelve más exigente el nivel de confiabilidad provisto.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Necesidades de las partes afectadas  Pueden existir varios individuos o grupos afectados por el incidente.  Debe quedar claramente establecida la responsabilidad legal y moral de la organización.  Es necesario tener identificadas y priorizadas las necesidades de estas partes cuando se diseñen las respuestas a los incidentes.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Equipos de emergencia civil  La organización debe estar familiarizado con los procedimientos de contacto con entidades u organismos gubernamentales responsables frente a situaciones de desastres.  Al diseñar las estrategias se deben tener en cuenta los procedimientos de las autoridades, los cuales tienen mas relevancia que los internos.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas para las tácticas  Disponibilidad de servicios de terceros  Referido a instalaciones de terceros para facilitar la recuperación de la organización.  Dependiendo de las leyes del país donde se encuentra la organización, estos servicios podrían no estar disponibles.

Estrategias y tácticas de continuidad y recuperación  Proceso  Estratégico  RTO para productos y servicios se determinan y seleccionan las estrategias que permitirán implementarlos.  Los pasos claves son: o Dimensionar los RTO a partir del MTPD. o Identificar los RTO por servicio si la recuperación se llevará a cabo por fases. o Identificar las estrategias para lograr los RTO acordados.

Estrategias y tácticas de continuidad y recuperación  Proceso o Retroalimentar a la alta dirección con las opciones de estrategia, brindando las recomendaciones del caso. o Todas las decisiones necesitarán contar con el respaldo y soporte de la Alta Dirección.  Táctico y Operacional  Se ejecutan las medidas necesarias para cumplir con los RTO asociados a nivel de procesos y actividades.  Balance costo beneficio.

Estrategias y tácticas de continuidad y recuperación  Proceso  Se ejecutan las medidas necesarias para cumplir con los RTO asociados a nivel de procesos y actividades.  Balance costo beneficio.  Los pasos a ejecutar son: o Identificar RTO por servicio. o Ejecutar tácticas que permitan cumplir con los RTO o Analizar la efectividad y costos asociados a cada táctica.

Estrategias y tácticas de continuidad y recuperación  Proceso o Mostrar a la alta dirección la evaluación de las alternativas con las respectivas recomendaciones. o Identificar proyectos de implementación asociadas a cada táctica. o Aprobación de la alta dirección.

Estrategias y tácticas de continuidad y recuperación  Proceso  Consolidación o Las tácticas seleccionadas para los procesos y actividades se deben consolidar para:  Asegurar son consistentes a lo largo de la organización.  Que no entran en conflicto unas con otras.  Determinar la mejor forma de obtener requerimientos externos.  Asistir en el diseño de las respuestas a incidentes e identificar el número de planes requeridos.

Estrategias y tácticas de continuidad y recuperación  Proceso  Consolidación o Los pasos claves para el proceso de consolidación son:  Totalizar los requerimientos de las tácticas seleccionadas.  Validar que las opciones seleccionadas son consistentes a lo largo de la organización.  Verificar que no hayan conflictos.  Verificar que los requerimientos de terceros se pueden obtener.

Estrategias y tácticas de continuidad y recuperación  Proceso  Consolidación  Evaluar las implicaciones de recursos de las tácticas escogidas, a nivel operativo.  Reevaluar alternativas si se presentan conflictos.  Reconfirmar la importancia estratégicas los productos y servicios.  Retroalimentar a la alta dirección con los requerimientos consolidados.  Obtener los recursos presupuestales

Estrategias y tácticas de continuidad y recuperación  Entregables y Revisión  Estrategias y tácticas aprobadas por la alta dirección.  Diseño para la continuidad y recuperación que se emplearán en los planes.  Proyectos con presupuesto y recursos para su ejecución.  Detalles suficientes para diseñar la estructura de respuesta a incidentes.

Estrategias y tácticas de continuidad y recuperación  Entregables y Revisión  Se harán revisiones del diseño :  Anuales, seguido de un análisis de los requerimientos.  Después de alguna prueba de recuperación.  Frente a cambios significativos en:  Productos o servicios.  Infraestructura.  Actividades.  Requerimientos legales  Personas y habilidades

Estrategias y tácticas de continuidad y recuperación  Medidas de mitigación de Amenazas  Propósito: Identificar medidas que puedan implementarse para reducir la probabilidad o impacto de una interrupción.  Principios generales: o Concentraciones no aceptables de riesgo. o Amenazas a actividades claves de la organización.  Supuesto: o Se pueden estimar los beneficios de las medidas propuestas, a partir de información histórica.

Estrategias y tácticas de continuidad y recuperación  Medidas de mitigación de Amenazas  Proceso o Análisis costo beneficio o Reducción de amenazas:  Seguridad física.  Seguridad de Información  Sistemas de monitoreo  Sistemas de supresión de fuego.

Estrategias y tácticas de continuidad y recuperación  Medidas de mitigación de Amenazas  Proceso o Pasos claves:  Revisar el BIA operacional: identificar áreas no aceptables de riesgo.  Identificar medidas que se direccionen a las actividades claves.  Informar a la Alta dirección de las medidas de selección identificadas.  Obtener aprobación.  Diseñar los proyectos asociados.

Estrategias y tácticas de continuidad y recuperación  Medidas de mitigación de Amenazas  Salidas y revisión o Los principales entregables son los proyectos destinados a reducir la probabilidad ocurrencia o impacto de las principales actividades. o Es necesario reevaluar las medidas:  Anualmente.  Cambios en las actividades más importantes en la empresa.  Al producirse algún incidente.

Estrategias y tácticas de continuidad y recuperación  Estructura de la respuesta a incidentes  Se busca asegurar que existe documentación de los mecanismos a ejecutar frente a la ocurrencia de un incidente, independiente de su causa.  La estructura de respuesta identifica: o Equipos responsables para las actividades de respuesta y recuperación. o Relación entre los equipos. o Roles y responsabilidades de los equipos.  Es necesario establecer los criterios para el escalamiento de decisiones.

Estrategias y tácticas de continuidad y recuperación  Estructura de la respuesta a incidentes  Se busca asegurar que existe documentación de los mecanismos a ejecutar frente a la ocurrencia de un incidente, independiente de su causa.  La estructura de respuesta identifica: o Equipos responsables para las actividades de respuesta y recuperación. o Relación entre los equipos. o Roles y responsabilidades de los equipos.  Es necesario establecer los criterios para el escalamiento de decisiones.

Estrategias y tácticas de continuidad y recuperación  Conceptos y supuestos  Los niveles estratégicos, tácticos y operativos llevan a cabo distintos roles.  Estratégico: describe cómo la Alta Dirección direccionará y gestionará los aspectos asociados a un incidente mayor.  Táctico: detalla la gestión y coordinación de las operaciones de recuperación, asegurando los recursos necesarios.  Operativo: direcciona la recuperación de actividades o sistemas a niveles predefinidos del servicio.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Diseño de la estructura o Se requiere tener identificados a los equipos de emergencia y gestión de incidentes y recuperación. o Se deben identificar a los equipos de los niveles estratégico, táctico y operativo. o Se deben tener en cuenta algunos factores:  Estructura de gestión vigente.  Naturaleza de la organización, complejidad e infraestructura de procesos.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Diseño de la estructura  Estrategias de continuidad y recuperación seleccionadas.  La urgencia, complejidad, naturaleza de los requerimientos de recuperación.

Estrategias y tácticas de continuidad y recuperación  Métodos y técnicas  Roles y responsabilidades: se deben contar con responsabilidades para los siguientes puntos. o Equipos de movilización. o Planes de activación. o Recursos requeridos. o Comunicación a interesados. o Comunicación a la prensa. o Personal de bienestar social. o Escalamiento. o Cambios de prioridades a medida que la situación cambia.

Estrategias y tácticas de continuidad y recuperación  Proceso  Identificar la estructura de gestión y requerimientos de recuperación.  Identificar el personal y equipos responsables para la respuesta a emergencias, crisis y planes de gestión de incidentes.  Desarrollar un borrador de la estructura del plan de respuesta a incidentes.  Revisar el borrador.  Prepara propuesta para la alta dirección.  Obtener la aprobación de la alta dirección  Publicar y comunicar la estructura de respuesta a incidentes.

Estrategias y tácticas de continuidad y recuperación  Salidas y revisión  Equipos de respuesta y recuperación.  Relación entre equipos.  Roles y responsabilidades entre equipos.  Es necesario llevar a cabo una revisión de la estructura frente a cambios en:  Alcance del SGCN.  Estructura de gestión.  Infraestructura de procesos.  Estrategias y tácticas de continuidad y recuperación.  Ocurrencia de un incidente mayor.

6. Implementación

I. Introducción

Introducción  La fase de implementación ejecuta las estrategias y tácticas aprobadas.  Se busca identificar y documentar las PRIORIDADES, PROCEDIMIENTOS, RESPONSABILIDADES Y RECURSOS que asisten a la organización para gestionar una interrupción.  Los requerimientos claves para una respuesta efectiva son:  La habilidad para reconocer y evaluar amenazas potenciales cuando ocurren y determinar una respuesta apropiada.

Introducción  Un entendimiento claro para la activación, escalamiento y control de los procedimientos de respuesta a incidentes (estructura de respuesta).  Contar con personal con autoridad y habilidad para implementar las estrategias de continuidad de acuerdo a lo definido por los planes de la organización.  Habilidad para comunicarse efectivamente con interesados internos y externos.  Acceso a recursos suficientes para soportar la estrategia de Continuidad de Negocios.

II. Plan de Continuidad de Negocios

Plan de Continuidad de Negocios  Si bien implica un documento, puede existir en cualquier nivel, pudiendo tener un detalle de procedimiento.  Puede abarcar a toda la organización o a una parte de la misma, pudiendo estructurarse por producto, servicio, locación o departamentos, escenarios particulares.

Plan de Continuidad de Negocios  Principios generales:  ISO 22301: define los planes de continuidad como “ procedimientos documentados que guían a las organizaciones para responder, recuperar, restaurar los niveles predefinidos de operación frente a una interrupción”.  También se emplean otro tipo de términos para hacer mención a los procedimientos documentados: Planes de Emergencia, Planes de Crisis, DRP.

Plan de Continuidad de Negocios  Principios generales:  Otros planes que se pueden mencionar:  Plan de respuesta a la prensa.  Plan frente a pandemia.  Plan de Contingencia.  Plan de Continuidad de Servicios.  Etc.

Plan de Continuidad de Negocios  Conceptos y Supuestos.  Un plan de continuidad debe presentar ciertas características para ser efectivo: o Directo: planes claros, orientado a acciones o Adaptable: debe permitir a la organización responder a varios incidentes, incluyendo aquellos que no hayan sido anticipados. o Conciso: deben contener guías, información y herramientas que puedan emplear los equipos. o Relevantes: información actualizada y aplicable al equipo que lo empleará.

Plan de Continuidad de Negocios  Conceptos y Supuestos. o Debe direccionar niveles estratégicos, tácticos y operativos. o El número y tipo de planes se determinan por contexto más que por teoría. o No existe una solución única para estructurar los planes. o Se aprovecha la combinación de experiencia y conocimiento para estructurar los planes en cada organización.

Plan de Continuidad de Negocios  Métodos y técnicas. o Los niveles estratégicos, tácticos y operativos brindan un modelo para cualquier tamaño de organización, pero debe ajustarse a cada organización. o Organización pequeñas de un sóla sede: todos los niveles de respuesta se pueden implementar en un solo plan, con un solo equipo de respuesta para toda la organización.

Plan de Continuidad de Negocios  Métodos y técnicas. o Organización de tamaño medio:  Nivel estratégico: un plan de gestión de incidentes, con un equipo de respuesta que incluye miembros de la Alta dirección.  Nivel táctico: un único plan que abarque todas las operaciones de la organización, con un equipo de respuesta compuesto por jefe de departamentos o líderes funcionales.  Nivel operacional: un plan táctico, el DRP se maneja por separado, debido a los detalles de TI.

Plan de Continuidad de Negocios  Métodos y técnicas. o Organización de gran tamaño:  Nivel estratégico: un plan de gestión de incidentes, con un equipo de respuesta que incluye miembros de la Alta dirección.  Nivel táctico: Varios planes, cada uno cubriendo varios productos, servicios o locaciones, cada uno con su equipo de respuesta.  Nivel operacional: varios planes tácticos, excepto TI, Finanzas y RRHH, que son especializados.

Plan de Continuidad de Negocios  Métodos y técnicas. o Organización multinacionales:  Nivel estratégico: un plan de gestión de incidentes global, con responsabilidades globales, un plan de incidentes para cada territorio, con un equipo que cuenta con miembros de la Alta dirección en cada territorio.

Plan de Continuidad de Negocios  Métodos y técnicas. o Organización multinacionales:  Nivel táctico: cada territorio puede tener varios planes, cubriendo productos y servicios, cada uno con su equipo de respuesta.  Nivel operacional: cada ubicación puede tener su propio plan operativo, con su propio equipo de respuesta en cada locación.

Plan de Continuidad de Negocios  Desarrollo y gestión de planes. o Introducción  El número y tipos de planes serán determinados usando la estructura de respuesta a incidentes, la estrategia de continuidad, las opciones tácticas seleccionadas, así como la complejidad de la organización.

Plan de Continuidad de Negocios  Desarrollo y gestión de planes. o Principios generales  Se requiere diferentes niveles de énfasis para distintos planes.  Se debe involucrar a la Alta Dirección en el desarrollo e implementación.  En situaciones de incidentes mayores se requiere una gestión rápida y efectiva para proteger a la organización de daño operacional, financiero y reputacional.

Plan de Continuidad de Negocios  Desarrollo y gestión de planes. o Conceptos y supuestos  Debido a que los planes tácticos y operacionales tendrán información de recuperación, NO se pueden elaborar hasta que la estrategia de continuidad y las opciones tácticas se hayan determinado.  Los planes estratégicos se desarrollan desde el principio, ANTES que los otros planes.

Plan de Continuidad de Negocios  Desarrollo y gestión de planes. o Proceso: para diseñar un plan se tienen en cuenta los siguientes pasos clave:  Identificar un dueño o patrocinador para el plan.  Definir los objetivos y el alcance.  Desarrollar y aprobar un proceso de desarrollo del plan.  Crear un equipo de planeamiento.  Acordar responsabilidades para el equipo de respuesta y su relación con otros planes y equipos de respuesta (estratégico, táctico y operacional).

Plan de Continuidad de Negocios  Desarrollo y gestión de planes.  Crear un equipo de respuesta con los skills necesarios.  Decidir la estructura, formato, componentes y contenido del plan.  Determinar las estrategias, tales como locaciones alternas, sobre las cuales se basará el plan.  Obtener información para el plan.  Elaborar un borrador del plan.  Distribuir borrador para obtener retroalimentación y observaciones.

Plan de Continuidad de Negocios  Desarrollo y gestión de planes.  Actualizar el plan si fuera el caso.  Aprobar un programa de pruebas mantenimiento del plan

y

Plan de Continuidad de Negocios  Métodos y técnicas o Para el desarrollo de planes se emplearán las siguientes herramientas:  Reuniones y entrevistas.  Checklists  Talleres de trabajo. o Los planes deben ser concisos y de fácil lectura. o Tener en cuenta que serán leídos en situaciones de alta presión y bajo stress. o No deben incluir información no relevante y de poca importancia.

Plan de Continuidad de Negocios  Métodos y técnicas o Los planes se puede elaborar de forma modular, con secciones separadas, las cuales se distribuyen sólo a los equipos que los necesiten. o Si se opta por lo anterior, debe existir un responsable de la custodia de la versión compilada. o Planes NO deben diseñarse de forma AISLADA. o Deben almacenarse en ubicaciones a las que los interesados tengan acceso.

Plan de Continuidad de Negocios  Métodos y técnicas o Todos los planes deben tener la siguiente estructura:  Propósito y alcance.  Objetivos y supuestos.  Estructura de gestión de incidentes.  Responsabilidades de los equipos de respuesta.  Líderes de equipos de respuesta.  Responsabilidades de los miembros del equipo de respuesta.

Plan de Continuidad de Negocios  Métodos y técnicas  Instrucciones de movilización.  Plan de activación: procedimientos y autorización.  Invocación.  Detalles de contactos.  Ubicaciones de lugares de reunión.  Comunicaciones  Información clave de las fases previas del SGCN

Plan de Continuidad de Negocios  Métodos y técnicas o Roles y responsabilidades  Líder de equipo: se asegura que el equipo de respuesta se active.  Personal de bienestar.  Comunicaciones internas: para mantener comunicación con otros equipos.  Comunicaciones externas: para establecer y mantener contacto con interesados y la prensa.  Operaciones.

Plan de Continuidad de Negocios  Métodos y técnicas o Roles y responsabilidades  Soporte técnico.  Soporte administrativo. o

Movilización de equipos:  Plan debe incluir las condiciones necesarias en las que los equipos se movilizarán.  El plan puede incluir niveles de interrupción, impactos, escalamiento hacia otros equipos.

Plan de Continuidad de Negocios  Métodos y técnicas o Movilización de equipos:  El plan debe mostrar los miembros que tienen la autoridad para movilizar los equipos, equipamiento y otras facilidades.  Debe existir cierta flexibilidad en los planes frente a la ausencia de algunos miembros de los equipos.  Debe documentarse cada movimiento de los equipos.

Plan de Continuidad de Negocios  Métodos y técnicas o Lugares de reunión  El equipo debe acordar anticipadamente un número posible de lugares de reunión, priorizando aquellos que cuentan con los recursos necesarios.  Se deben definir al menos dos ubicaciones como centro de comando central, uno on site y el otro off site.  La ubicación off site no necesariamente es propiedad de la organización.

Plan de Continuidad de Negocios  Métodos y técnicas o Lugares de reunión  Para eventos de largo alcance, surge el concepto de equipo virtual de gestión de incidentes con un centro de comando virtual, sobre la base de una infraestructura mínima de comunicaciones.  Se deben tener en cuenta algunas consideraciones del uso de espacios:  Comunicaciones: entrada y salida.  Grabación de eventos, decisiones, acciones y temas.

Plan de Continuidad de Negocios  Métodos y técnicas o Lugares de reunión  Para eventos de largo alcance, surge el concepto de equipo virtual de gestión de incidentes con un centro de comando virtual, sobre la base de una infraestructura mínima de comunicaciones.  Se deben tener en cuenta algunas consideraciones del uso de espacios:  Comunicaciones: entrada y salida.  Grabación de eventos, decisiones, acciones y temas.

Plan de Continuidad de Negocios  Métodos y técnicas o Lugares de reunión  Monitoreo de información respecto del incidente.  Control de ingreso  Se deben considerar los siguientes recursos.  Línea continua de energía estabilizada.  Líneas telefónicas, equipos de teleconferencia.  Computadoras e impresoras  Celulares con cargadores.

Plan de Continuidad de Negocios  Métodos y técnicas o Lugares de reunión  Correo electrónico, internet, fax con acceso seguro.  Copias impresas de planes relevantes e información urgente.  Equipos de radio y tv.  Pizarras  Acceso a : bebidas (no alcohólicas), transporte, instalaciones para dormir, servicios higiénicos.

Plan de Continuidad de Negocios  Métodos y técnicas o Actividades de personas  Las empresas tienen una obligación LEGAL de salvaguardar la salud y seguridad de sus empleados, contratistas, visitantes y clientes.  Se deben considerar los siguientes aspectos:  Requerimientos especiales: responsabilidades familiares, embarazadas, discapacitados  Gestionar los casos de fallecidos

Plan de Continuidad de Negocios  Métodos y técnicas o Actividades de personas  Durante un incidente, uno o más personas deben asumir responsabilidad por lo siguiente:  Evacuación del lugar.  Comunicación con personal de otras ubicaciones.  Contactar a familiares de personal.  Asistencia en el transporte.  Implementar una línea telefónica de información.  Servicios de traducción.

Plan de Continuidad de Negocios  Métodos y técnicas o Actividades de personas  Se pueden presentar adicionales:

necesidades

 Servicios de rehabilitación.  Reubicación temporal.  Acceso a cash de emergencia.

III. Elaboración y Gestión de Planes

Planes Estratégicos  Introducción o Definen cómo deben manejarse los aspectos estratégicos a partir del resultado de incidentes mayores, por parte de la Alta Dirección. o Algunos incidentes requerirán una respuesta de nivel estratégico, no necesariamente por interrupciones de las actividades  amenazas a la reputación. Por tanto NO es necesaria una activación de plan. o Podría ser necesario desarrollar una movilización de algunos roles hacia las ubicaciones donde es potencial el impacto a la reputación.

Planes Estratégicos  Introducción o En casos como el anterior es necesario que intervenga un equipo de nivel estratégico. o Las organizaciones asignan un nombre al plan de acuerdo a su estructura o cultura:  “Plan de Gestión de Reputación”  “Plan de Gestión de Imagen Corporativa”  “Plan de Gestión de Reputación e Imagen empresaria”.

Planes Estratégicos  Principios Generales o Una vez activado, el plan estratégico debe direccionar las comunicaciones y control de actividades con todos los involucrados. o El contenido del plan debe estar ajustado a la naturaleza y complejidad de la organización. o El plan puede contener material referencial respecto a las distintas estrategias o respuestas generales de la organización frente a incidentes específicos.

Planes Estratégicos  Conceptos y Supuestos o Durante un incidente de interrupción, los miembros del equipo estratégico son responsables por la reputación, estabilidad y continuidad de la organización. o Algunas responsabilidades del equipo estratégico son:  Definir los objetivos estratégicos de la respuesta frente al incidente.  Identificar estrategias de corto, mediano y largo plazo, acorde a la naturaleza del incidente.

Planes Estratégicos  Conceptos y Supuestos  Administrar las comunicaciones con los involucrados, incluyendo la prensa.  Aprobar comunicados antes de difundirse, haciendo seguimiento a la estrategia de comunicación.  Resolver conflictos en la respuesta y recuperación.  Identificar y maximizar oportunidades derivadas del incidente.  Asegurar la salud financiera de la organización.

Planes Estratégicos  Conceptos y Supuestos o Algunos recursos que pueden ser considerados por el equipo de estrategia pueden incluir:  Facilidades de radio y tv para entrevistas.  Líneas de comunicación y cámaras para transmitir entrevistas  Ambientes para recepción de la prensa. o

Todos los recursos deben estar sujetos a la disponibilidad presupuestal.

Planes Estratégicos  Comunicaciones o El plan de comunicaciones debe contemplar la forma en que la organización gestionará las comunicaciones internas y externas. o El plan debe:  Debe identificar los interesados internos y externos, guardar la información de contacto.  Definir los canales o métodos de comunicación con cada grupo.  Identificar al grupo o persona de la organización que tiene la responsabilidad, autoridad para transmitir la comunicación.

Planes Estratégicos  Comunicaciones o De forma anticipada, se han designado a los portavoces, asegurando que:  Han sido capacitados en su rol.  El proceso para crear una declaración es conocido, incluyendo la forma de aprobarla.  Existe una persona técnica designada si es necesario de acuerdo al incidente.  Si fuera el caso, la organización puede trabajar con empresas de relaciones públicas en el diseño de las respuestas a la prensa.

Planes Estratégicos  Comunicaciones o El volumen, variedad y urgencia de las comunicaciones después de un incidente puede ser significativa. o El plan puede:  Anticipar la información que necesitarán los interesados, tales como los empleados, clientes, etc.  Desarrollar comunicados pre escritos.  Identificar preguntas y respuestas a preguntas usuales para los incidentes más conocidos.

Planes Estratégicos  Salida y revisión o Un plan que será empleado por la alta dirección durante la ocurrencia de un incidente. o Un plan para gestionar a los interesados y comunicaciones durante la ocurrencia de un incidente. o Evidencia de una gestión de incidentes frente a internos o externos. o Cumplimiento de los requerimientos legales, regulatorios y gubernamentales.

Planes Tácticos  Introducción o Estos planes establecen la respuesta de toda la empresa frente a un incidente, permitiendo la recuperación de actividades de negocio. o Quienes emplean estos planes pueden analizar la información de los equipos de respuesta en lo referente al impacto de un incidente, selección de estrategia, brindando información a los equipos de estrategia.

Planes Tácticos  Principios generales o Contenido variable de una organización a otra. o Distinto nivel de detalle basado en la cultura de la organización, complejidad tecnológica y operaciones de negocio. o No es posible escribirlos si no se ha elaborado previamente los elementos estratégicos.

Planes Tácticos  Conceptos y supuestos o Planes orientados a acciones. o No debe incluir información o documentos que no serán necesarios durante un incidente. o Debe contener supuestos asociados al incidente que se está atendiendo.

Planes Tácticos  Proceso o Identificar una persona para el desarrollo de todos los planes. o Elaborar un proceso de elaboración y un cronograma. o Decidir la estructura, formato, componentes y contenido del plan. o Desarrollar una plantilla para estandarizar, con la opción de que sea actualizada.

Planes Tácticos  Proceso o Los planes tácticos deben contener información suficiente que permita a los equipos tácticos continuar con las actividades de recuperación del negocio o El plan táctico debe incluir procedimientos detallados para que el equipo:  Tenga una respuesta inmediata ante la activación del plan.  Evalúe la información y tome decisiones.  Iniciar procedimientos de respuesta y actividades de recuperación.

Planes Tácticos  Proceso  Comunicar y recibir información de otros equipos.  Monitorear el progreso y reportar la situación al equipo estratégico.  Métodos y técnicas  Responsabilidades específicas del equipo de respuestas incluye: o Coordinar y monitorear la respuesta y recuperación de los equipos subordinados.

Planes Tácticos  Métodos y técnicas o Facilitar recursos a los equipos subordinados. o Cambiar las prioridades y acciones de recuperación de acuerdo a situaciones estacionales, condiciones de negocio o de acuerdo a indicaciones del nivel estratégico. o Monitorear las principales funciones de soporte de TI, Recursos Humanos, Financiera, etc.

Planes Tácticos  Métodos y técnicas o Solicitar o recibir información de otros equipos de respuesta. o Informar al equipo de gestión de incidentes. o Movilizar proveedores especializados de acuerdo a lo requerido. o Algunos recursos a usar pueden ser:   

Personal Locaciones alternas Facilidades de seguridad

Planes Tácticos  Métodos y técnicas   

o

Tecnología, comunicaciones y datos Transporte y logística Otros proveedores de servicio.

El plan puede incluir:     

Información de contacto en la organización. Información de interés para los grupos y detalles de contactos. Almacenamiento seguro para documentos legales. Espacios contratados de trabajo Procedimientos de emergencia para obtener liquidez.

Planes Tácticos  Salidas y revisión o La revisión del proceso de planeamiento incluye:  Aprobado por la Alta Dirección.  Un framework que permite que los planes operativos puedan operar. o Alguna información que pueda desactualizarse debe ser revisada periódicamente. o Algunas situaciones que generan una revisión:  Un cambio significativo en la organización.  Un cambio significativo en el proceso de negocio.  Un cambio significativo en el personal.  Un cambio significativo en los servicios TI.

Planes Operativos  Introducción o Cubren la respuesta de las unidades de negocio frente a un incidente. o Planes elementales se ejecutarán rápidamente, en relación a los procedimientos de recuperación, si están en un solo documentos. o Se busca contar con planes de recuperación para cada unidad, siendo cada una responsable de los mismos.

Planes Operativos  Principios generales o Ejemplos de planes operacionales son:  Un plan de una unidad de negocios para restablecer sus funciones en un tiempo predefinido.  Una respuesta de RRHH frente a incidentes.  Procedimientos para asistir los equipos de nivel táctico, liderados por unidades que hacen frente a respuestas de incidentes físicos.  La respuesta de TI frente a interrupciones en sistemas, aplicaciones y servicios.

Planes Operativos  Conceptos y Supuestos o La complejidad y urgencia de los procesos de negocio pueden determinar lo que cubre un plan operativo, desde una actividad o un conjunto de las mismas. o Estos planes pueden tener soporte de otros más específicos, asociados a diversas locaciones y equipamiento. o Debido a la relación entre los planes tácticos y los operativos, los planes tácticos deben ser escritos ANTES de los operativos.

Planes Operativos  Proceso o El plan debe ser orientado a la acción, de fácil lectura y acceso en condiciones de presión. o Fases específicas:  Establecer una persona para gestionar la elaboración de todos los planes operativos.  Identificar un representante de cada unidad de negocio para elaborar su plan.  Elaborar un proceso de planeamiento y cronograma. Priorizar los planes más urgentes.

Planes Operativos  Proceso  Decidir la estructura, formato, componentes y contenido de los planes.  Documentar la relación con planes de nivel táctico y con otros planes operativos.  Gestionar el desarrollo de planes entre cada unidad de negocio.  Compartir el borrador de los planes para obtener retroalimentación.  Obtener opinión de consultorías.  Validar el plan mediante pruebas con cada unidad de negocio.

Planes Operativos  Métodos y técnicas  Planes pueden incluir: o Acceso y uso de las instalaciones. o Recuperación de actividades de unidad de negocio de acuerdo a los tiempos objetivos. o Movilización de equipos e invocación de recursos requeridos.  Los planes pueden incluir procedimientos e información referidos a: o Planes de evacuación de instalaciones

Planes Operativos  Métodos o o o o

o o o o

y técnicas Puntos de evacuación. Procedimientos para amenazas de bomba Procedimientos de escalamiento. Procedimientos para verificación de cantidad de personal. Contacto con miembros de equipos. Priorización de actividades de acuerdo a los tiempos. Recursos y materiales requeridos. Procedimientos no estándares y especiales

Planes Operativos  Salidas y revisión o Planes documentados para cada unidad de negocio. o Criterios de éxito. o Roles claramente definidos dentro de cada unidad de negocio.  Los planes operacionales deben ser revisados frente a un cambio importante en los procesos de negocio o tecnología al interior de cada unidad de negocio.

7. Validación

I. Generalidades

Generalidades  La validación confirma que el programa de gestión de continuidad de negocios cumpla con la política de continuidad de negocios y que el SGCN se ajusta a la realidad de la organización.  Se lleva a cabo por medio de las siguientes actividades:   

Pruebas Mantenimiento Revisión

II. Elaboración de un programa de pruebas

Elaboración de un programa de pruebas  El programa es necesario para asegurar que todos los aspectos de la respuesta a un incidente han sido probados.  Se busca en especial validar: o o o

La información en los planes se ha validado. Los planes han sido evaluados Todo el personal ha sido capacitado.

 La única manera de garantizar que un SGCN funciona es probándolo

Elaboración de un programa de pruebas  En las pruebas se busca: o Probar la actual capacidad de respuesta de la organización. o Identificar mejoras. o Crear confianza entre los participantes. o Desarrollar el trabajo en equipo. o Concientizar la organización en lo referido al SGCN. o Evaluar la efectividad y tiempos de los procedimientos de recuperación.

Elaboración de un programa de pruebas  En las pruebas se deben evaluar distintos elementos: o Técnicos: funciona todo el equipamiento necesario. o Procedimientos: son correctos los planes y procedimientos.? o Logísticos: se cuentan con todos los elementos para que los planes se ejecuten sin problemas. o Tiempo: se pueden cumplir con todos los RTO. o Administrativos: son viables y gestionables todos los procedimientos.

Elaboración de un programa de pruebas o

Personal: se cuenta con personal idóneo para las responsabilidades asignadas.  La frecuencia recomendada para las pruebas es de mínimo 1 vez al año.

Elaboración de un programa de pruebas  Proceso: o Revisar el alcance (planes a probar, recursos y actividades) de pruebas pasadas para ver qué aspectos no se han probado aún. o Evaluar con la Alta Dirección puntos débiles y prioridades. o Elaborar el presupuesto necesario para la prueba. o Decidir qué tipos de prueba serán ejecutadas en el periodo. o Validar la disponibilidad de personal e infraestructura.

Elaboración de un programa de pruebas  Proceso: o Esbozar un programa de pruebas. o Poner el programa a revisión y aprobación de la Alta Dirección. o Identificar cualquier necesidad de entrenamiento para los participantes.

Elaboración de un programa de pruebas  Métodos y técnicas: Tipos de pruebas o Basadas en discusión:  Consideradas las más efectivas en costo.  Consumen menos tiempo.  Participantes observan aspectos relevantes y siguen los planes en un entorno sin presiones.  Se enfocan en un área específica que ha sido identificada como candidata para buscar una solución.

Elaboración de un programa de pruebas  Métodos y técnicas: Tipos de pruebas o De escritorio:  Usadas comúnmente sobre la base de un escenario relevante, con una línea de tiempo que permite desplegarse por cada una de las fases del escenario en prueba.  Se espera que los participantes estén familiarizados con los planes y demuestren cómo estos planes trabajan de forma coordinada.  Son efectivas en costo y método.

Elaboración de un programa de pruebas  Métodos y técnicas: Tipos de pruebas o Puesto de mando:  Involucran a los equipos estratégicos, tácticos y operacionales.  Los participantes están ubicados a lo largo de toda la organización.  Se brinda información que estimula un escenario real.  Participantes responden como si fuera una situación real.

Elaboración de un programa de pruebas  Métodos y técnicas: Tipos de pruebas o En vivo:  Pueden llevarse a cabo en menor o mayor proporción.  Se diseñan de tal forma que se involucran a todos los roles más importantes de acuerdo a la prueba.  Son especialmente importantes cuando existen exigencias regulatorias o se presentan riesgos en niveles extremos.  Es necesario cuidar de no afectar las operaciones en producción.

Elaboración de un programa de pruebas  Métodos y técnicas: Tipos de pruebas o Test:  Tipo de prueba única y particular, con resultado de falla o sin falla.  Usualmente aplicada a un equipo, procedimiento de recuperación, tecnología.  NO es para personas.

Elaboración de un programa de pruebas  Salidas y revisión:  Programa de pruebas efectivo.  Requerimientos de recursos definidos.  El programa debe ser revisado de forma periódica para asegurar que se cumplen con los objetivos.

III. Elaborar una prueba

Elaborar una prueba  Cada prueba debe ser planeada para maximizar los beneficios, a partir del tiempo en elaborarla y ejecutarla.  Se deben tener en cuenta algunos conceptos y supuestos:  Realismo: deben ser lo más cercanas a la realidad, empleando los procedimientos y métodos que se emplearían en una situación real. Es necesario tener mucho cuidado de no afectar los ambientes de producción.

Elaborar una prueba  Mínima exposición: es necesario evitar la ocurrencia de una interrupción. Es necesario crear condiciones que minimicen el impacto en caso se diera una interrupción. Debe quedar claro el riesgo que se asume.  Costos y beneficios: los costos dependen del tipo de prueba. Pruebas más complejas ofrecen mayor confiabilidad de los resultados en escenarios reales.  Preparación: se ejecutará a partir de la complejidad y las competencias del personal a involucrar.

Elaborar una prueba  Participantes: • Facilitadores • Observadores • Equipos estratégicos, tácticos y operativos • Proveedores de servicios y recursos • Auditores • Planificadores de autoridades de emergencia locales Se pueden convocar más participantes según sea el caso.

Elaborar una prueba  Proceso o Acordar el alcance, objetivos y expectativas de los resultados. o Identificar al equipo de pruebas. o Diseñar: incluye el presupuesto, identificación de riesgos en ambientes de producción. o Ejecutar la prueba o Evaluar los resultados. o Seguimiento a observaciones.

Elaborar una prueba  Métodos y técnicas o Planificar la prueba: deben enumerarse una lista cronológica de eventos, especialmente:  Objetivo de la prueba.  Tiempo objetivo.  Descripción del evento.  Miembros de equipo involucrado.  Personal

Elaborar una prueba  Métodos y técnicas o Antes de iniciar la prueba: se debe tener claro lo que se necesitará antes y después de la prueba:  Roles y responsabilidades durante la prueba  Sistemas a emplear  Acciones a ejecutar si ocurren aspectos no contemplados.  Requerimientos post prueba.

Elaborar una prueba  Métodos y técnicas o Inicio de la prueba: se debe comunicar a todos los participantes, no deben existir ambigüedades. o Durante la prueba: Se deben ejecutar las pruebas de acuerdo al plan. o Suspensión de la prueba: se detiene o suspende la prueba. Los participantes deben tener claro cuando se suspende la prueba. o Fin de la prueba

Elaborar una prueba  Métodos y técnicas o Evaluación de la prueba: debe tener en cuenta:  Derechos del personal.  Evaluación equitativa.  Hot wash, formal. o Reporte post prueba: debe distribuir en todo el personal que participó en la prueba. Se debe evaluar rehacer la prueba con las acciones correctivas.

Elaborar una prueba  Salidas y revisión o Procesos de escalamiento, invocación, alertas. o Log de incidentes. o Estructura de gestión de incidentes o Roles y responsabilidades o Líneas de comunicación con interesados. o Aspectos técnicos, logísticos y administrativos validados. o Personal disponible para reubicación. o Conocimiento de procedimientos de emergencia

Mantenimiento  Introducción o Se busca asegurar que el SGCN está actualizado, asegurando que la organización esté preparada para afrontar incidentes de forma efectiva, a pesar de los cambios que se vayan presentando. o Es importante considerar que la DOCUMENTACIÓN esté actualizada y distribuida a los interesados.

Mantenimiento  Principios generales o Actividades de mantenimiento deben estar embebidas en la organización. o Las actividades de mantenimiento son identificadas por medio de:  Lecciones aprendidas a partir de las pruebas.  Cambios en el entorno de la organización.  Auditorías.  Incidentes reales  Cambios en los BIAS

Mantenimiento  Proceso o Revisión de cambios en el último mantenimiento. o Evaluar el impacto de los cambios. o Compartir los cambios con todas las áreas involucradas. o Actualizar los planes de acuerdo a la necesidad. o Brindar capacitación a partir de la identificación de brechas. o Establecer una fecha para las próximas revisiones.

Mantenimiento  Proceso o El análisis del impacto de los cambios debe incluir:  Revisar todos los supuestos que se han adoptado.  Revisar los tiempos objetivos actualizados  Evaluar la disponibilidad de servicios que podrían ser requeridos.  Revisar el alcance que tienen los proveedores claves.

Mantenimiento  Métodos y técnicas o Responsabilidad debe asignarse, sea de forma individual o en equipos. o Cualquier cambio a la documentación debe distribuirse bajo un proceso formal de cambio. o Se deben elaborar reportes que identifican el progreso en el mantenimiento, puntos débiles y recomendaciones para mejora de procesos.

Mantenimiento  Salidas y revisión o Cronograma planificado de mantenimiento. o Reportes de avance. o Procedimientos y políticas efectivas. o Distribución a interesados.

Revisión  Existen los siguientes tipos:  Auditoria  Autoevaluación  Control de calidad  Desempeño de proveedores

Revisión  Auditoria  Verificar el cumplimiento de políticas estándares.  Revisión del programa asociados al SGCN.  Verificar que se ejecutan pruebas periódicas.  Resaltar deficiencias asegurando su atención.  La revisión debe ser de preferencia anual.

y

Revisión  Autoevaluación  Revisar la implementación del SGCN.  Tomar como punto de referencia las auditorias realizadas.  Ejecutarlas después de una implementación inicial del SGCN.

Revisión  Control de calidad  Evaluar que se cumplan con las expectativas y requerimientos de la organización.  Se puede tomar como referencia los roadmap empleados con fines de certificación.

Revisión  Desempeño de proveedores  Evaluar los contratos y los niveles de servicio.  Evitar tener contratos de renovación automática.  Manejar un cartera de proveedores similares para posibles cambios.