Sunteți pe pagina 1din 291

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERÍA DE SISTEMAS E


INFORMÁTICA

GESTIÓN DE CONTINUIDAD DE
NEGOCIOS
Mg. Moises Villena Aguilar, AMBCI, CISA, CISM, CRISC, CGEIT
moises.villena@net-line-consulting.com

2014
Expositor
Moisés Villena Aguilar
Ingeniero Informático – Pontificia Universidad Católica del Perú
Colegiatura HABIL N° 141093
Grado Académico de MBA IT – Universidad de Lima
Certificaciones: CISM, CISA, CRISC, CGEIT, COBIT, ITIL V3, ISO/IEC
27002:2005, ISO/IEC 20000:2005, AMBCI
Experiencia Profesional:
 Gerente GRC: NETLINE CONSULTING
 Jefe de Riesgo Operacional: FINANCIERA TFC
 Supervisor de Riesgo Operacional: FONDO MIVIVIENDA
 Jefe de Seguridad TI: YANBAL INTERNATIONAL
 Analista de Seguridad de Información: BANCO FALABELLA PERU
Contenido

1. Orígenes de la Continuidad de Negocios


I. Antecedentes
II. Qué es la Continuidad de Negocios
III. Tendencias y Observaciones
IV. Retos de la Continuidad
V. Gestión de Continuidad en contexto
VI. Modelos, estándares y prácticas

2. Política y Gestión del Programa


3. Embebiendo la Continuidad
I. Integrar la GCN en la cultura organizacional
Contenido

4. Análisis
I. Generalidades
II. Análisis de Impacto
III. Evaluación de Amenazas

5. Diseño
I. Introducción
II. Estrategias y tácticas de continuidad y recuperación.

6. Implementación
I. Introducción
II. Plan de Continuidad de Negocios
III. Elaboración y gestión de planes
Contenido

7. Validación
I. Generalidades
II. Elaboración de un programa de pruebas
III. Elaborar una prueba
IV. Mantenimiento
1. Orígenes de la Continuidad de Negocios
I. Antecedentes
Antecedentes

• Actividades terroristas
– Perdida de vidas humanas .
– Empresas detenidas.
– Infraestructura de TI afectada.
Antecedentes

• Climas extremos
– Actividades económicas comprometidas.
– Vías de comunicación afectadas.
Antecedentes

• Pandemias
– Actividades económicas comprometidas.
– Ausencia de personal clave.
Antecedentes

• Los terremotos, las erupciones volcánicas y las huelgas


industriales, son sólo algunos de los incidentes que han
llevado a una mayor sensibilización de las empresas
sobre lo que significa la continuidad en toda América
[Varshney 2012].
Antecedentes

• Los sitios de recuperación de desastres fueron


inicialmente creados en Estados Unidos (EE.UU.) a
finales de los 70’s y esto creó inevitablemente la
demanda para servicios de consultoría de terceros.

• Estas consultorías tuvieron como resultado la definición


del concepto de Planeamiento de Recuperación de
Desastres (Disaster Recovery Planning - DRP) [Bird
2010].
Antecedentes

• El primer uso conocido del término ‘Continuidad del


Negocio’ fue hecho por Ron Ginn (posteriormente
Presidente del Business Continuity Institute - BCI) en
1986, después de haber investigado el tema en EE.UU.
y de haber entrevistado a muchos destacados
profesionales.

• Él escribió un libro titulado "Planificación de la


Continuidad", que sugiere la aplicación de un conjunto
de habilidades de DRP a un rango más amplio de
riesgos de negocio e interrupciones operativas
potenciales [Bird 2010].
Antecedentes

• Uno de los problemas iniciales que se enfrentó durante


este planeamiento fue la dificultad de convencer a la
Alta Dirección de la justificación para hacer una
importante inversión en algo que probablemente nunca
iba a suceder.

• Esto llevó al concepto de un Análisis de Impacto en el


Negocio (Business Impact Analysis - BIA) para añadir
más atención a los procesos de negocio. Esta
metodología fue aplicada a mediados de los 80’s en
EE.UU. y poco después en el Reino Unido y Australia
[Bird 2010].
Antecedentes

• En 1988 se creó una organización inglesa llamada


‘Survive’ con el objetivo de servir a las necesidades
emergentes de un fórum en el cual se pudieran
compartir experiencias y conocimientos relacionados a
recuperación de desastres.
Antecedentes

• En 1994, como resultado directo de las


recomendaciones de dicha organización, se fundó el
Instituto de Continuidad del Negocio (BCI), como un
grupo de trabajo encargado de definir el conjunto de
habilidades para medir y juzgar la capacidad de
aquellos que buscaban el reconocimiento como
profesionales de continuidad del negocio, las cuales se
desarrollaron en un esfuerzo cooperativo con el Instituto
de Recuperación de Desastres de EE.UU. (ahora DRII)
[Bird 2010].
Antecedentes

• Otro acontecimiento importante fue el lanzamiento de la


Norma Británica para la Seguridad de Información BS
7799 (1995) y su posterior versión americana ISO/IEC
17799 Código de Buenas Prácticas para la Gestión de
la Seguridad de la Información. Estas incluyeron en sus
principios básicos la necesidad de la Gestión de la
Continuidad del Negocio (GCN), que se definió en
términos de disponibilidad de datos.
Antecedentes

• Esto añadió más confusión al debate y dio lugar a que


muchos profesionales de tecnologías de información
(TI) afirmaran que la GCN era simplemente un
subconjunto de seguridad de la información [Bird 2010].

• En el 2003 el Instituto Británico de Estandarización


(British Standard Institute – BSI) publicó la
Especificación Disponible al Público PAS56 Guía para
la Gestión de Continuidad del Negocio, que muestra las
mejores prácticas en GCN, que fue adoptado por
muchas organizaciones alrededor del mundo [BSI
2003].
Antecedentes

• En el 2006, PAS56 fue remplazada por un nuevo


estándar británico para la GCN: BS 25999-1.
• Este es un código de prácticas para la GCN e incorpora
las mejores prácticas de PAS56, las guías de GCN que
soporta el Acta de Contingencias Civiles del Reino
Unido del 2004 [UKCO 2005] y otros recursos de todo
el mundo.
• En el 2007 el BSI publicó la segunda parte del nuevo
estándar que provee una especificación de GCN para
que las organizaciones puedan certificarse, llamada BS
25999-2 [Sharp 2008].
Antecedentes

• El estándar británico ha sido actualizado en mayo del


2012 a través del estándar ISO 22301 Seguridad Social
– Requerimientos para un Sistema de Gestión de
Continuidad del Negocio, el cual brinda:

– Mayor énfasis en la definición de los objetivos, el seguimiento,


el rendimiento y la métrica.
– Más claras expectativas sobre la gestión.
– Mejor y más cuidadosa planificación y preparación de los
recursos necesarios para garantizar la continuidad del negocio
[St-Germain+ 2012].
Antecedentes

• En el Perú, la Superintendencia de Banca, Seguros y


Asociación de Fondo de Pensiones del Perú (SBS),
mediante Circular N° G-139-2009 del 2 de abril,
aprueba las normas sobre gestión de la continuidad del
negocio para el sector financiero peruano,
estableciendo que el Directorio, la Gerencia y el
personal deben implementar respuestas efectivas para
que la operatividad del negocio continúe de manera
razonable, con el fin de salvaguardar los intereses de
sus principales grupos de interés, ante la ocurrencia de
eventos que pueden crear una interrupción o
inestabilidad en las operaciones de la empresa [SBS
2010].
Antecedentes

• La SBS ha normado el cumplimiento de la


implementación de la gestión de la continuidad del
negocio en el sistema financiero de manera alineada a
la gestión del riesgo operacional, indicando los
entregables con los que se debe contar:
– Análisis de Impacto al Negocio
– Evaluación de riesgos
– Estrategias de continuidad del negocio
– Plan de Gestión de Crisis
– Planes de Continuidad del Negocio
– Plan de Emergencia
– Plan de recuperación de los servicios de tecnología de
información
II. Qué es la Continuidad de Negocios?
Qué es la Gestión de Continuidad de Negocios?

• Es un proceso holístico que identifica las amenazas


potenciales a una organización y los impactos a las
operaciones de negocio que esas amenazas podrían
causar si se materializan. [BCI (Business Continuity
Institute, Inglaterra)]
Qué es la Gestión de Continuidad de Negocios?

• Un programa holístico determinado por los


requerimientos de negocio, el cual: [DRI (Disaster
Recovery Institute, USA)].
Está dirigido por un grupo directivo con autoridad para
responder a las interrupciones.
Modifica las consecuencias de una interrupción a un nivel
aceptable por la Dirección.
Proporciona un medio probado para enfrentar las crisis.
Qué es la Gestión de Continuidad de Negocios?

 De acuerdo al DRI, sus elementos básicos son:


 Lo que se hace para reducir el riesgo ANTES de un evento.
 Como se responde DURANTE un evento.
 Lo que se hace para recuperarse DESPUES de un evento.
Qué es la Gestión de Continuidad de Negocios?

 Se busca proteger:
 Personas.
 Información.
 Procesos y operaciones de negocio.
 Empresa
Qué es la Gestión de Continuidad de Negocios?

 Es importante porque:
 Se protegen las vidas humanas.
 Se reduce la confusión.
 Se pueden tomar decisiones efectivas en medio de una crisis.
 Se reduce la dependencia de personas específicas.
 Se reduce la pérdida de información.
 Se reduce la pérdida de clientes.
 Se facilita la recuperación oportuna de los procesos de
negocio.
 Se blinda la reputación e imagen pública de la organización.
III. Tendencias y Observaciones
Tendencias y Observaciones

• De acuerdo al BCI:
 No es sólo para incidentes físicos de gran impacto y baja
probabilidad:

 Se ha convertido en parte de la operación regular.


 Enfoque de identificación y protección de las fuentes
de valor dentro de la organización
 Se está empleando para hacer frente a incidentes no
físicos.
Tendencias y Observaciones
 Existen alternativas para una gestión integrada o centralizada

 Durante las primeras fases de implementación de un


SGCN será necesario para los especialistas administrar
proyectos, coordinar el desarrollo de planes, organización
de ejercicios, pruebas y validaciones.

 En organizaciones más maduras, donde las técnicas ya


están integradas en los niveles funcionales, el rol del gestor
u Oficial de Continuidad de Negocios será de hacerse
responsable de las políticas, gobierno y actividades de
aseguramiento. Posiblemente reporte a una Gerencia de
Riesgos, Auditoría, etc. según sea el caso de la
organización.
Tendencias y Observaciones

 Un gestor u Oficial de Continuidad de Negocios no es el único


modelo

 Un SGCN es transversal en las organizaciones.

 El Oficial de Continuidad de Negocios tiene un rol de gestor y


administrador del SGCN.

 Los planes que conforman el SGCN son propiedad de las


áreas de la organización que necesitan proteger sus
actividades claves que generan valor.

 Será distinto quiénes se encuentren involucrados en el SGCN,


reflejando su propio modelo organizacional y de negocios.
Tendencias y Observaciones

 En organizaciones pequeñas, un SGCN es visto como un


anexo a un número de disciplinas tales como Salud y
Seguridad, Seguridad y Tecnología.

 Un SGCN debe iniciarse desde la Alta Dirección porque


encierra lo más importante y abarca las actividades más
sensibles al tiempo.
Tendencias y Observaciones

 De quién es la responsabilidad?

 De acuerdo al DRI, este es el esquema:

 Antes: Centro de Cómputo


 Ahora: Parte Corporativa del organigrama:
o Vínculos con tecnología.
o Manejo de crisis.
o Unidades de Negocio.
o Procesos y funciones de negocio
o Áreas de trabajo.
Tendencias y Observaciones

 De quién es la responsabilidad?

 Responsabilidad de los directivos:

 Responsables por consecuencias de:


o Interrupción del negocio.
o Pérdida de información crítica de la organización.
o Protección de la información exigida por ley.

 Directores por áreas de responsabilidad.


 TODOS los empleados por su participación
Tendencias y Observaciones

 De quién es la responsabilidad?

 Soporte y Financiamiento:

 Los requerimientos de continuidad de negocios pasan por


una evaluación.
 Los recursos son distribuidos.
 Los procedimientos se terminan y se prueban.
Tendencias y Observaciones

 Las causas de las interrupciones de negocios tienen muchas


facetas:

 Operacional:

 Error humano.
 Error del proveedor de servicios.

 Técnica

 Fallas de energía.
 Fallas de hardware y software.
Tendencias y Observaciones

 Nuevas tecnologías

 Mayor disponibilidad.

 Menor tiempo de interrupción de servicios.

 Mayor dependencia de múltiples proveedores externos.

 Tecnología presente en casi todos los procesos y


procedimientos de las organizaciones.
Tendencias y Observaciones

 Aumento de interrupciones originadas por:

 Cambios en localidad.
 Ataques de hackers.
 Infecciones de malware.
Tendencias y Observaciones

 Presencia de amenazas potenciales, que implicarán:

 Recuperación de centro de cómputo.


 Recuperación de la red de datos.
 Recuperación de información respaldada.
Tendencias y Observaciones

 Tiempos de recuperación mucho menores:

 Reducción considerable de los RTOs.


Tendencias y Observaciones
 Evolución estratégica de la Gestión de Continuidad de Negocios:

 Se incorporan manejo de emergencias, seguridad, servicios


internos, salud.
 Necesidad de concientización creciente, resaltando el valor de
la Continuidad de Negocios en toda la organización.
IV. Retos de la Continuidad de Negocios
Retos de la Continuidad de Negocios

 Lograr un retorno de la inversión considerado como


aceptable para la organización.
 Lograr ampliar los casos de éxito frente a situaciones
reales.
 Dejar claro que existen vulnerabilidades potenciales en
las organizaciones.
 Uso difundido del Business Case como herramienta de
sustento y aprobación para las iniciativas de
Continuidad de Negocios.
Retos de la Continuidad de Negocios

 Creación de regulación asociada a la exigencia de la


Continuidad de Negocios.
 Concientizar a los directivos de los riesgos de no
contar con un Sistema de Gestión de Continuidad de
Negocios (SGCN).
Retos de la Continuidad de Negocios

 Contar con herramientas que permitan hacer una


evaluación de la efectividad, eficiencia y madurez de
los programas y estrategias.
V. Gestión de Continuidad en Contexto
Gestión de Continuidad en Contexto

 La Gestión de Continuidad de Negocios (GCN) NO se


trata de “TODO”.
 Es una herramienta que permite mejorar el
desempeño de las organizaciones.
 Se enfoca en aquello que es importante y urgente 
nuestro PROCESOS DE NEGOCIO O SERVICIOS
PRIMORDIALES.
 Algunos aspectos de la GCN siempre han estado
presente en las organizaciones, con nombres
distintos.
Gestión de Continuidad en Contexto

 Existen siete categorías que pueden verse afectadas


en una organización:
 Reputación.
 Cadena de Suministro.
 Información y Comunicaciones.
 Sedes e Instalaciones.
 Personas.
 Finanzas.
 Clientes.
Gestión de Continuidad en Contexto

 Haciendo frente a estas categorías, la GCN adquiere


una categoría holística, incrementando su
RESILIENCIA.

 RESILIENCIA: Capacidad de una organización para


absorber, responder y recuperarse de interrupciones.

 La RESILIENCIA no se trata de cómo detener o


prevenir la ocurrencia de una interrupción, pues la
mayoría de incidentes son en gran medida
IMPREDECIBLES.
Gestión de Continuidad en Contexto

 Por lo general la GCN está posicionada bajo la Gestión


de Riesgos.

 Se busca seguir de cerca los siguientes aspectos:


 El modelo corporativo y negocio de la organización.
 Productos y Servicios claves que generan valor.
 Procesos de Negocio críticos.
 Amenazas existentes presentes y futuras.
 Respuesta de la organización ante una pérdida y desastre.
 Evidencia que el Sistema de Gestión de Continuidad de
Negocios (SGCN) funcionará en la práctica.
Gestión de Continuidad en Contexto

 La GCN NO está encargada de identificar, analizar y


reportar todos los riesgos en una organización, su
mercado, clientes y el mundo en el que opera.

 La GCN se enfoca en identificar VULNERABILIDADES


en las organizaciones, en especial aquellas asociadas
al valor y revisa el IMPACTO de su no disponibilidad en
el tiempo en la organización.
Gestión de Continuidad en Contexto

 La GCN tiene una relación estrecha con la Gestión de


Crisis, a través del componente Gestión de Incidentes.

 Los incidentes toman distintas formas y tamaños,


invocando el SGCN según sea el caso.

 Pocos incidentes son considerados como “crisis”.

 La Gestión de Crisis está vista como el dominio del


profesional de relaciones públicas y de
comunicaciones, con el profesional GCN en el rol de
apoyo.
Gestión de Continuidad en Contexto

 La relación entre la Gestión de la Crisis y la de


Incidentes es que GCN considera cualquier
interrupción de manera holística y determina cómo la
organización responderá a la interrupción, continuando
con sus actividades.

 El Plan de Emergencias está asociado a la Gestión de


Incidentes.
VI. Modelos, estándares y prácticas
Modelos, estándares, prácticas

 Modelo de buenas prácticas para la implementación de los


requerimientos de la BS 25999 de Sharp (2008)

 El autor define como documentación requerida del SGCN lo siguiente:

 Política del SGCN.


 Alcance del SGCN.
 Procedimientos y controles para soportar el SGCN.
 Resultados del BIA y análisis de riesgos.
 La(s) estrategia(s) del SGCN.
 Planes de Continuidad de Negocio y gestión de incidentes.
 Contactos actualizados y detalles de movilización del personal y recursos
requeridos.
 Calendario de pruebas, resultados y acciones correctivas y preventivas.
 Revisión post incidente
 Programa de entrenamiento.
Modelos, estándares, prácticas

 Entendimiento de la Organización

 Se definen las actividades críticas que permiten a la organización


cumplir con su misión, visión y objetivos de alto nivel,
identificando productos y servicios claves, procesos, terceras
partes, de acuerdo a la siguiente figura:

Fuente: Sharp 2008


Modelos, estándares, prácticas

 Entendimiento de la Organización

 Se presenta una plantilla para llevar a cabo el BIA cuya


información es: productos y servicios claves, áreas de impacto,
nivel de impacto, indicadores de tiempo y nivel de servicio
mínimo.
 El BIA debe ser desarrollado con los dueños de procesos, de tal
forma que se llegue a un acuerdo respecto a la información que
se documentará.
 Es crítico que el BIA refleje un escenario viable y aceptable en
condiciones de contingencia.
Modelos, estándares, prácticas

 Entendimiento de la Organización

Fuente: NIST Special Publication 800-34, rev 1 2010


Modelos, estándares, prácticas
 Desarrollo e implementación de una respuesta del SGCN

 Contenido del plan:


o Propósito y alcance.
o Roles y responsabilidades.
o Invocación del plan.
o Locales alternativos.
o Planes de Recuperación de los sistemas (DRP).
o Detalles de contactos.
o Prioridades.
o Documentos y recursos vitales.
o Listas de verificación.
o Registros de auditoría.
o Necesidades de personal.
o Perfil público.
o Retorno a la normalidad.
Modelos, estándares, prácticas

 Pruebas y Mantenimiento

Fuente: Sharp 2008


Modelos, estándares, prácticas

 Modelo NFPA 1600 Gestión de Emergencias y


Desastres y Programas de Continuidad del Negocio
(2010)

 Este modelo brinda una herramienta para la autoevaluación de la


NFPA 1600, de acuerdo al ciclo establecido para la Gestión de
Emergencias/Desastres y Programas de Continuidad del Negocio.
Modelos, estándares, prácticas

Fuente: NFPA 2010


Modelos, estándares, prácticas

 Modelo NIST Publicación Especial 800-34


Planeamiento de Contingencia para Sistemas de
Información Federales (2010)
 Autores: Marianne Swanson, Pauline Bowen, Amy Wohl Phillips,
Dean Gallup, David Lynes).
 Busca ayudar a las organizaciones a entender el objetivo, proceso y
formato para el desarrollo de un Plan de Contingencia de Sistemas de
Información (Information System Contingency Plans – ISCPs) a través
de guías prácticas y basadas en el mundo real.
 Mientras los principios establecen una línea base para conocer las
necesidades de la mayoría de las organizaciones, es reconocido que
cada organización puede tener requerimientos adicionales específicos
a su propio ambiente operativo.
Modelos, estándares, prácticas

Fuente: Swanson 2010


Modelos, estándares, prácticas

 Deben considerarse varios enfoques alternativos cuando se


desarrollan y comparan estrategias, incluyendo costos, tiempos de
interrupción máximos, seguridad, prioridades de recuperación, e
integración con planes de contingencia más amplios a nivel
organizacional.

 A partir del nivel de impacto de disponibilidad, se pueden adoptar


distintas estrategias:
Modelos, estándares, prácticas

Nivel de impacto de
Estrategia de respaldo/recuperación
disponibilidad

Bajo Respaldo: cinta de respaldo

Estrategia: reubicación o cold site

Moderado Respaldo: respaldo óptico, replicación WLAN/VLAN

Estrategia: cold o warm site

Alto Respaldo: sistemas espejo y replicación de disco

Estrategia: hot site


Modelos, estándares, prácticas

 El modelo brinda un resumen de criterios que pueden ser utilizados


para determinar qué tipo de sitio alterno cubre las necesidades de la
organización.

Sitio Costo Equipo de Telecomunicacion Tiempo de

hardware es configuración

Cold Bajo Ninguno Ninguna Largo

Warm Medio Parcial Parcial/Completo Medio

Hot Medio/Alto Completo Completo Corto


Modelos, estándares, prácticas

 Se debe asegurar que la seguridad del sistema, controles de


administración y operativos son compatibles con el prospecto de sitio.
Los controles pueden incluir firewalls, controles de acceso físico y
requerimientos de seguridad de personal del grupo que soporta el
sitio.

Sitio Costo Equipo de Telecomunicacio Tiempo de

hardware nes configuración

Cold Bajo Ninguno Ninguna Largo

Warm Medio Parcial Parcial/Completo Medio

Hot Medio/Alto Completo Completo Corto


Modelos, estándares, prácticas

 Se debe asegurar que la estrategia seleccionada puede ser


implementada efectivamente con el personal disponible y los recursos
financieros.

 El costo de cada sitio alterno, reemplazo de equipos y opción de


almacenamiento debe ser bien analizado en referencia a las
limitaciones de presupuesto, respecto de los costos del proveedor,
hardware, software, de viaje, de compra y de pruebas.
Modelos, estándares, prácticas
2. Política y Gestión del Programa
Política y Gestión del Programa

Fuente: BCI Guidelines 2013


Política y Gestión del Programa
 La Política del SGCN es un documento clave, dado
que:
 Establece el gobierno y el alcance del SGCN.
 Señala las razones del porqué se implementa el
SGCN.
 Deja claro el contexto en el cual es necesario
implementar el SGCN para la organización.
 Debe mostrar un alineamiento con la cultura
organizacional.
Política y Gestión del Programa
 Comunica a las partes interesadas los principios de
Continuidad de Negocios a los que aspira llegar la
organización.
 Debe ser corta, clara, precisa y puntual. Si es muy
extensa será una barrera para la comunicación.
 Como mínimo su estructura debe contener:
 Objetivos.
 Alcance.
 Responsabilidades.
 Estándares y métodos empleados.
 Definición de la GCN organizacional.
Política y Gestión del Programa
 Cómo logramos alinear la Política a la cultura de la
organización?
 Se pueden plantear algunas interrogantes tales
como:
 Cuáles son los objetivos de la organización?
 Cómo se alcanzan estos objetivos?
 Cuáles son los productos y servicios que permiten alcanzar
estos objetivos?
 Cuál es el alcance geográfico de la organización?
 Cuál es la reacción probable de los clientes y competidores
si se interrumpen las operaciones?
 Opera en ambientes regulados?
 Cuenta con muchos proveedores?
Política y Gestión del Programa
 Existen dos técnicas que sirven para identificar la
estrategia, objetivos y cultura de la organización:
 Entrevista con la Alta Dirección.
 Revisión de documentos generados por la organización
tales como:
 Planes de negocio.
 Planes estratégicos.
 Reportes anuales.
 Información detallada de procesos de negocio, con sus respectivos
indicadores.
Política y Gestión del Programa

 Se vuelve necesario definir un alcance para el


SGCN, teniendo en cuenta distintas alternativas.
 Se tiene que hacer el inventario de servicios y
productos, para tener una visión clara de lo que se
quiere incluir y proteger en el SGCN.
 Cada servicio y producto se componen de una serie
de actividades, siguiendo el enfoque de proceso.
Política y Gestión del Programa

Fuente: BCI Guidelines 2013


Política y Gestión del Programa

 Debe constituirse un grupo de especialistas en


Continuidad de Negocios que le hará
recomendaciones a la Alta Dirección.
 De no existir especialistas, se vuelve necesario
contar con asesoría especializada.
 El grupo revisará los productos y servicios de la
organización contra su estrategia, objetivos, cultura,
política ética, requerimientos legales y regulatorios,
para considerar la opción para cada producto y/o
servicio.
Política y Gestión del Programa

 Se puede tomar como base un Análisis de Impacto


de Negocio que la organización puede haber
realizado.
 La Alta Dirección recibirá las recomendaciones del
grupo para establecer las prioridades para todos los
productos y servicios. La decisión debe
documentarse formalmente, al interior en lo posible
de un Comité de Continuidad de Negocio.
 Cada producto y servicio deben estar identificados
con un nivel apropiado de detalle.
Política y Gestión del Programa
 Algunas razones para considerar un producto o
servicio dentro de alcance son:
 Requerimiento de un cliente.
 Requerimiento regulatorio.
 Percepción de alto riesgo debido a la proximidad a otros
locales o amenazas físicas.
 Productos o servicios que brindan ingresos importantes
para la organización.
 Daños a la reputación como resultado de una interrupción.
 Relevancia de un análisis de riesgo desarrollado.
Política y Gestión del Programa

 Algunas razones para no considerar un producto o


servicio dentro de alcance son:
 Productos o servicios próximos a darse de baja.
 Productos o servicios con bajos niveles de rentabilidad.

 Para aquellos productos o servicios fuera del


alcance del SGCN, se les debe dar algunos de los
siguiente tratamientos:
 Aceptación: reconocer que está en riesgo de interrupción.
 Transferir: Trasladar el riesgo de interrupción a un tercero.
 Cambiar, suspender o dar de baja al servicio o producto.
Política y Gestión del Programa

 Se pueden mencionar algunas técnicas y


herramientas para desarrollar las alternativas de
estrategia de una organización para los productos y
servicios:
 Análisis costo-beneficio.
 Análisis FODA.
 Referencias frente a estándares nacionales e internacionales.
 Análisis PAST (Política, Ambiente, Social, Técnico)-
 Análisis de mercados para determinar la viabilidad del suministro de un
producto luego de una interrupción.
Política y Gestión del Programa

 Los resultados que deben obtenerse son:

 Una estrategia acordada para la protección de cada uno de los


productos y servicios de la organización.
 El alcance del SGCN deberá documentarse en la política del
SGCN.

 Por lo menos una vez al año se debe hacer la


revisión de la estrategia organizacional de
protección de los productos y servicios.
Política y Gestión del Programa
 Algunos eventos que pueden obligar a una
inmediata revisión de la estrategia son:

 Resultados reflejados en los análisis de impacto de negocio, que


den cuenta de cambios importantes y prioridades importantes en
los procesos de negocio.
 Nuevos productos o servicios.
 Nuevos requerimientos legales o regulatorios.
 Condiciones del mercado.
 Cambio en el perfil de riesgo ( generalmente por la ocurrencia de
un incidente significativo).
Política y Gestión del Programa
 Es necesario tomar en cuenta las tercerizaciones, y
no perder de vista:

 Tendencia de los proveedores de servicios.


 Especificación de requerimientos de GCN en los términos de
referencia de documentos de licitaciones y contratos.
 SLA´s realistas que se miden antes la ocurrencia de algún evento.
 Involucramiento de proveedores en la capacitación y ejercicios de
prueba.
 Revisar a la finalización de cada contrato los aspectos
contractuales que posiblemente necesiten una actualización o
ampliación. No se recomienda renovación automática de
contratos.
Política y Gestión del Programa

 Un factor crítico de éxito es la designación de


personas competentes para supervisar y gestionar
el SGCN
 Los elementos claves para la gestión del SGCN
son:
 Asignación de responsabilidades.
 Implementación del SGCN en la organización.
 Gestión del proyecto.
 Gestión continua de la Continuidad de Negocio.
 Documentación del SGCN.
Política y Gestión del Programa
 Asignación de responsabilidades
 Aquellos que han estado involucrados en la implementación del SGCN
pueden ser los más indicados para asumir el liderazgo durante la
respuesta a un incidente, teniendo a otros profesionales listos a actuar.
 Un miembro de la Alta Dirección debe hacer la rendición de cuentas sobre
el SGCN de la organización y su efectividad.
 Debe nombrarse a un individuo como Oficial de Continuidad de Negocio,
el cual dependiendo del tamaño de la organización puede ser un rol a
tiempo parcial o completo.
 Se formarán los siguiente equipos por lo general: Emergencia, Crisis,
Equipos de Continuidad de Negocio.
 Es recomendable contactar con asesoría especializada en las primeras
etapas, de tal forma que puedan hacer un acompañamiento adecuado.
 Es recomendable que el Oficial de Continuidad de Negocios sea una
persona certificada, de tal forma que se garantice una gestión acorde con
las prácticas y estándares internacionales.
Política y Gestión del Programa
 Implementación del SGCN en la organización
 Sensibilización: eventos que mantienen el interés por la GCN.
 Planificación: Desarrollo de planes para hacer frentes a incidentes que
pudieran no ocurrir.
 Medidas de mitigación: para contrarrestar el impacto de los incidentes que
puedan presentarse.
 Ejercicios y pruebas: para que el personal tenga claro cómo actuar en
cualquier situación que se presente, respecto a los escenarios
contemplados.
 Asignación de recursos: tanto presupuestales, tecnológicos, asesorías,
capacitaciones permanentes, etc.
 Un programa SOSTENIBLE es el que ha ganado el COMPROMISO de la
organización y cuenta con una estructura, procedimientos operando y
personal altamente capacitado.
Política y Gestión del Programa

 Implementación del SGCN en la organización


 Los pasos secuenciales son:
 Proceso de iniciación
 Planificación, coordinación e implementación de proyectos del SGCN para comprometer la
implementación inicial del ciclo de vida de la GCN
 Mantener niveles de conciencia
 Gestión continua

 Es crítico emplear la disciplina de Gestión de Proyectos

 Al final de la implementación se deberá tener:


 Un estado inicial de disponibilidad de los procedimientos de Gestión de incidentes
suficientemente demostrado por los ejercicios de escritorio.
 Procedimientos , estructuras y habilidades para mantener y desarrollar la capacidad de la
GCN.
 En la fase inicial de implementación, el SGCN debe revisarse
MENSUALMENTE.
Política y Gestión del Programa

 Gestión del Proyecto


 Se emplea para identificar los proyectos que respaldarán al SGCN.
 Tomar en cuenta las prácticas del PMI o del PRINCE2.
 Cada proyecto debe ser planificado y monitoreado, definiéndose en
términos de :
 Objetivos
 Alcance
 Tareas
 Escala de Tiempo
 Personas involucradas
 Entregables
 Hitos
Política y Gestión del Programa

 Gestión en curso de la Continuidad de Negocio


 Implementado el SGCN debe gestionarse en un ciclo de mejora continua.
 Se pueden emplear las siguientes herramientas:
 BSC o cuadros de mando.
 Evaluaciones anuales de desempeño del personal contratado.
 Gestión de relación con proveedores.
 Gestión financiera.
 Avisos legales y regulatorios
 Estándares internacionales
 Auditorias internas o externas.
 Consultoría especializada

 Se deben obtener como resultados, entre otros:


 SGCN claramente definido y documentado.
 Reportes de desempeño del SGCN.
 Presupuesto anual para la GCN.
 Reporte de auditoría del SGCN
 Reporte de capacitaciones especializadas.
 Notificaciones exitosas de experiencias reales en respuesta a incidentes.
Política y Gestión del Programa
 Documentación del SGCN
 Constitución del Comité de Continuidad de Negocios.
 Política del SGCN.
 Roles, responsabilidades y recursos del SGCN.
 Proyectos del SGCN (en curso y concluidos).
 Reportes de avance de los proyectos.
 Resultados de los Análisis de Impacto de Negocios (BIAS).
 Resultados del Análisis Continuo de Requerimientos (CRA).
 Análisis de Amenazas.
 Estrategias del SGCN con sus respectivas estrategias documentadas.
 Planes para la Gestión de Incidentes.
 Planes de Continuidad de Negocios.
 Planes de Recuperación Tecnológica.
 Contratos y acuerdo de niveles de Servicio con proveedores involucrados.
 Cronograma de revisiones y mejoras para el SGCN.
Política y Gestión del Programa

 Iteración permanente
 Evaluación de la cultura actual de la organización.
 Entendimiento de a dónde quiere ir la organización
 Evaluación e identificación de las diferencias entre las anteriores.

 Se evalúa el nivel actual de conciencia y


compromiso con la GCN, para identificar brechas.
 Campañas de concientización: charlas
especializadas, expositores certificados, etc.
 Eliminar la principal barrera: “Nunca sucederá aquí”.
Política y Gestión del Programa

 Determinar el alcance del Programa

o La política del SGCN debe incluir el alcance del programa en


términos de lo que se ha diseñado para PROTEGER y el máximo
alcance del DAÑO, INTERRUPCIÓN O PÉRDIDA, a la que la
organización puede sobrevivir.

o Principios generales:
o Claridad de qué procesos, con las áreas participantes, serán
incluidos en el programa.
o Productos y servicios.
o Se puede tener un alcance preliminar y luego ampliarlo.
Política y Gestión del Programa

 Determinar el alcance del Programa

o Proceso:
o Establecimiento de un comité que haga recomendaciones a
la Alta Dirección.
o Este comité revisará los productos y servicios, haciendo un
paralelo con la estrategia, objetivos, cultura, política,
requerimiento regulatorios.
o De existir un BIA previo, se hará una revisión del mismo.
o Se deben documentar las razones por las cuales NO se
considera un producto o servicio en el alcance del programa,
teniendo el visto bueno de la Alta Dirección.
Política y Gestión del Programa

 Determinar el alcance del Programa

o Algunos ejemplos de productos o servicios pueden incluir:


 Soporte telefónico para una empresa de servicios.
 Recolección de desperdicios para una municipalidad.

o Las decisiones por las cuales un producto o servicio se


incluyen en el alcance pueden seguir algunos de los
siguientes factores:
 Requerimiento de clientes.
 Exigencia regulatoria.
 Percepción de riesgo alto.
 Aporte a la rentabilidad.
Política y Gestión del Programa

 Determinar el alcance del Programa

o Las decisiones por las cuales un producto o servicio se


puede EXCLUIR en el alcance pueden seguir algunos de los
siguientes factores:
 Producto o servicio cerca de su final en el ciclo de vida
del mismo.
 Producto o servicio con poco margen de rentabilidad.
o Respecto a productos o servicios fuera del alcance del
programa, la Alta Dirección:
 Acepta el riesgo.
 Transfiere el riesgo.
 Cambia, suspende o elimina el producto o servicio.
3. Embebiendo la Continuidad
I. Integrar la GCN en la cultura organizacional
Integrar GCN en la cultura organizacional

Fuente: BCI Guidelines 2013


Integrar GCN en la cultura organizacional

 Factores de Éxito
 Apoyo visible y continuo de la Alta Dirección.
 Involucramiento de todos los responsables en las campañas.
 Alineamiento de las prioridades de la organización con el mensaje emitido
en las campañas.

 Se evalúa el nivel actual de conciencia y


compromiso con la GCN, para identificar brechas.
 Campañas de concientización: charlas
especializadas, expositores certificados, etc.
 Eliminar la principal barrera: “Nunca sucederá aquí”.
Integrar GCN en la cultura organizacional

 Análisis de Necesidades de Formación


 Identificar el nivel actual de conocimiento y sensibilización.
 Establecer el nivel deseado (Oficial de Continuidad de Negocios
certificado o no?)
 Cerrar brechas identificadas con el apoyo de especialistas (interno o
externos).

 Algunos requerimientos mínimos a tener en cuenta


pueden incluir:
 Cómo activar una alarma.
 Responder a amenazas específicas.
 Qué hacer cuando es evacuado del sitio.
 Conocimiento de los planes que constituyen el SGCN
Integrar GCN en la cultura organizacional

 La sensibilización puede tener los siguientes niveles:


 Incompetencia inconsciente: el personal es inconsciente de los temas del
SGCN, no saben lo que conocen.
 Incompetencia consciente: personal es consciente de los temas del SGCN,
pero saben muy poco del detalle de sus requerimientos.
 Competencia consciente: personal consciente de los temas del SGCN y es
competente (siguen los procedimientos formales).
 Competencia inconsciente: personal es completamente competente en forma
instintiva para los temas del SGCN en la mayor variedad de escenarios.

 Algunos requerimientos mínimos a tener en cuenta


pueden incluir:
 Cómo activar una alarma.
 Responder a amenazas específicas.
 Qué hacer cuando es evacuado del sitio.
 Conocimiento de los planes que constituyen el SGCN
Integrar GCN en la cultura organizacional

 En el diseño de las campañas se debe llevar a cabo


las siguientes tareas:
 Identificar las audiencias.
 Identificar los temas en educación y formación.
 Seleccionar el orden y los métodos de entrega.

 Los resultados de una campaña pueden incluir:


 Mejor conciencia general sobre la GCN.
 Sensibilización sobre la importancia de la GCN para la
organización y sus prioridades de negocio.
 Mejor desempeño en la tareas efectuadas dentro del
SGCN.
Integrar GCN en la cultura organizacional

 Métodos y técnicas
 Soporte y respaldo de la Alta Dirección.
 Incorporar el programa del SGCN en las operaciones del día a día de la
organización.
 Crear competencias, por medio del entrenamiento y concientización.
 El nivel de competencia y concientización cambiará a medida que:
 Las responsabilidades de los gerentes cambien.
 Procesos de negocios se modifican.
 Cambios en los empleados ocurran.
 Eventos internos o externos inesperados se presentan.
4. Análisis
I. Generalidades
Generalidades

 El análisis es la práctica profesional del ciclo de vida


del SGCN que analiza una organización desde el
punto de vista de su operación.
 Se busca preparar a la organización para hacer
frente a potenciales situaciones que pueden
afectarla.
 La técnica más empleada es el BIA (Análisis de
Impacto del Negocio).
 Otro método empleado es la Evaluación de
Amenazas, que permite identificar la probabilidad y
el impacto en actividades asociadas a las mismas.
Generalidades

 La asignación del tiempo y el presupuesto deben


ser calculados para hacer frente a las amenazas
puntuales, sobre la base de la experiencia, pues no
se cuentan con fórmulas.
 A partir de ambas prácticas se pueden detectar
ineficiencias en la organización y alternativas para
una mejora.
II. Análisis de Impacto de Negocio
Análisis de Impacto de Negocio

 Se constituye como la base de la continuidad de


negocio.
 Identifica y cuantifica los impactos, tiempo de un
desastre o interrupción que afecta la operatividad
normal de una organización.
 Brinda la información necesaria para diseñar las
estrategias de continuidad.
 Se tienen tipos distintos de BIA: inicial, estratégico,
táctico y el operativo.
Análisis de Impacto de Negocio

 Conceptos y supuestos
 Para cada producto y servicio, el propósito del BIA es:
 Documentar el impacto en el tiempo que resultaría de una
interrupción.
 Identificar el máximo periodo tolerable de la interrupción.
 Establecer las prioridades para la recuperación.
 Identificar las dependencias y recursos (internos y externos) que
deben tener en cuenta acorde a los niveles de servicio.
 La norma ISO 22301 emplea dos indicadores:
 MAO (maximum acceptable outage) ó
 MTPD (maximum tolerable period of disruption),
definido como el tiempo que tomará el tener impactos
adversos, resultado de no brindar los servicios o
productos.
Análisis de Impacto de Negocio

 Proceso
 Las metodologías para elaborar un BIA pueden variar.
 Cada industria puede tener necesidades de información
distinta para el BIA.
 Al llevar a cabo un a BIA deben en tenerse en cuenta los
siguientes aspectos:
 En una BIA inicial no siempre hay consenso de los
resultados.
 La determinación de impactos permitirá que la Alta Dirección
sepa la rapidez con la que debe recuperarse la organización.
 Debe emplearse información pertinente y relevante para
llevar a cabo el análisis.
 Los impactos no podrán precisarse con exactitud.
Análisis de Impacto de Negocio

 Métodos y técnicas
 El MTPD se puede alcanzar cuando:
 Los clientes no renueven sus contratos y la organización no puede
obtener nuevos clientes.
 Cuando la reputación de la empresa es seriamente dañada, que
produce un alejamiento de inversionistas.
 La organización está en la bancarrota o cerca de ella.
 Presiones externas provocan un cambio mayor en la dirección de la
empresa o en su estrategia.
 Los factores que se pueden considerar para estimar el
MTPD son:
 Daño financiero.
 Daño reputacional.
 Fallas para lograr los objetivos organizacionales.
Análisis de Impacto de Negocio

 Métodos y técnicas
 Fallas en los distintos sectores pueden resultar de:
 Implicaciones de salud debido a una falla de servicio
 Requerimientos regulatorios.
 Impactos financieros.
 Daño ambiental.
 Demoras en los proyectos o lanzamiento de productos.
 Oportunidad para la competencia.

 La estacionalidad también puede afectar el MTPD:


 Navidad, día de la madre, día del padre, año nuevo, etc.
 Días previos a feriados largos.
Análisis de Impacto de Negocio
 Métodos y técnicas
 De acuerdo a la norma ISO 22301, el RTO es el periodo de
tiempo que sigue a un incidente dentro del cual el servicio o
producto debe ser restablecido o los recursos deben ser
recuperados.
 El RTO debe ser menor que el MTPD, de acuerdo al
apetito por el riesgo de la organización.
 El MBCO (Minimum business continuity objective) es el
nivel mínimo de servicios o productos que es aceptable
para la organización durante la interrupción.
 El MBCO suele ser menor que las condiciones usuales, el
mismo en situaciones puntuales o mayores.
 El MBCO debe ser diseñado para ser alcanzado en un
tiempo específico después de iniciada la interrupción.
Análisis de Impacto de Negocio
 Observaciones
 Las palabras “crítico” y “clave” se emplean a menudo para
describir actividades, productos y personal.
 Se emplean para resaltar algo importante pero pueden
llevar a errores y exageraciones cuando se recolecta
información para un BIA.
 Después de identificar un MTPD para cada actividad, es
conveniente asociarlo a otras actividades con
requerimientos similares.
 Se deben emplear terminología sin ambigüedades, como
“actividades prioritarias” , “sensibles al tiempo”, “urgentes”.
Análisis de Impacto de Negocio- BIA Inicial

 En la preparación del primer BIA, suele existir poca


claridad respecto a los productos, servicios,
PROCESOS, actividades.
 El BIA inicial debe analizar el negocio que impliquen
actividades estratégicas, tácticas y operacionales.
 Es crítico tener claramente definido el ALCANCE del
SGCN.
 El objetivo básico es IDENTIFICAR los grupos de
productos y servicios, procesos y actividades dentro
de la estructura organizacional.
Análisis de Impacto de Negocio- BIA Inicial

 Un aspecto que debe asegurarse es garantizar el


apoyo de la Alta Dirección antes de elaborar el BIA
inicial, caso contrario los gerentes no le darán
importancia.
 Para llevar a cabo los BIA podrían emplearse
herramientas automatizadas, pero no es exigible.
 Dichas herramientas facilitan la recolección de
resultados, reportes y almacenamiento de
información. Pero siempre se tendrán que hacer las
entrevistas con los involucrados.
Análisis de Impacto de Negocio- BIA Inicial

 Proceso para elaboración:


 Delimitar el alcance del análisis.
 Asignar los productos y servicios a grupos sobre
la base de la urgencia de entrega, haciendo una
división por cliente y ubicación geográfica, si es
el caso.
 Acordar impactos que deben considerarse, así
como los criterios para determinar niveles no
aceptables.
 Documentar impactos en el tiempo para la
organización.
Análisis de Impacto de Negocio- BIA Inicial

 Proceso para elaboración:


 Estimar los MTPD para cada grupo de productos
o servicios y acordarlo con el patrocinador del
proyecto.
 Identificar procesos de negocio a lo largo de la
organización que entregan productos o servicios.
 Identificar dueños de proceso que brinden
información y detalles del mismo.
 Identificar como y cuando una interrupción al
proceso puede resultar en un daño para la
entrega de servicios o productos.
Análisis de Impacto de Negocio- BIA Inicial

 Métodos y técnicas
 Reuniones de trabajo.
 Cuestionarios en papel o automatizados.
 Entrevistas
 Combinación de los anteriores.

 Salidas y revisión
 Estructura organizada de productos y servicios,
procesos y actividades.
 Una lista de todos los procesos y actividades que
contribuyen a la entrega de productos y servicios.
Análisis de Impacto de Negocio- BIA Inicial

 Salidas y revisión
 El MTPD y su justificación para cada producto,
proceso y actividad. Esto ayudará a determinar
las prioridades de continuidad y estrategias de
recuperación
 Principales dependencias entre actividades, tanto
internas como externas.
 Una lista de productos, servicios y procesos que
han sido excluidos, con la respectiva justificación
de dicha decisión.
Análisis de Impacto de Negocio- BIA Inicial

 Salidas y revisión
 El MTPD y su justificación para cada producto,
proceso y actividad. Esto ayudará a determinar
las prioridades de continuidad y estrategias de
recuperación
 Principales dependencias entre actividades, tanto
internas como externas.
 Una lista de productos, servicios y procesos que
han sido excluidos, con la respectiva justificación
de dicha decisión.
Análisis de Impacto de Negocio- BIA Estratégico

 Introducción
 Se identifican y priorizan los productos y servicios.
 Se determina el MTPD y el MBCO.
 Se puede emplear para determinar el impacto de la
interrupción de forma anticipada, frente a cambios
significativos como:
o Un nuevo producto, proceso o tecnología.
o Reubicación o cambio geográfico del negocio.
o Cambios significativos en las operaciones de
negocio, estructura o nivele de personal
o Nuevos proveedores o contratos de outsourcing.
Análisis de Impacto de Negocio- BIA Estratégico

 Proceso
 Reevaluar el alcance del SGCN, revisando
cualquier exclusión y consideración de nuevos
productos.
 Entender el potencial impacto de desarrollos
futuros dentro de la organización.
 Con fines de análisis, asignar productos y
servicios a grupos basados en urgencia de
entrega, separados por cliente o ubicación.
 Revisión de impactos considerados como
criterios para determinar el MBCO.
Análisis de Impacto de Negocio- BIA Estratégico

 Proceso
 Documentar los impactos de tiempo en la
organización.
 Estimar un MTPD para cada grupo de productos
o servicios.
 Obtener el visto bueno de la Alta Dirección.
 Proceder con el BIA Táctico.
Análisis de Impacto de Negocio- BIA Estratégico

 Salidas y revisión
 Una validación o modificación del alcance del
SGCN.
 MBCO aprobado y firmado por la Alta Dirección.
 MPTDs para cada grupo de servicios o
productos.
 Una lista de grupos de productos o servicios más
urgentes.
Análisis de Impacto de Negocio- BIA Táctico

 Determina el proceso o procesos necesarios para la


entrega de los principales productos y servicios,
evaluando el impacto de la interrupción de los
mismos.
 Su alcance puede ser un subconjunto del alcance
del BIA estratégico.
 Proceso
 Identificar a los dueños de proceso.
 Establecer el alcance del BIA táctico, descrito en
función al grupo de productos y servicios
examinados.
Análisis de Impacto de Negocio- BIA Táctico

 Identificar las dependencias de los procesos que


entregan los productos y servicios más urgentes.
 Identificar el staff adecuado que se encargue de
ubicar la información referida a los procesos de
negocio.
 Identificar como una interrupción puede resultar
en la detención en la entrega de un producto o
servicio.
 Tomando como base el MTPD, estimar los otros
indicadores, tales como el RPO, RTO.
 Publicar los resultados del BIA táctico.
Análisis de Impacto de Negocio- BIA Táctico

 Métodos y técnicas
 Los resultados del BIA táctico se harán sobre la
base del BIA estratégico.
 El BIA táctico permitirá verificar las conclusiones
del BIA estratégico.
 Los tiempos tendrán variaciones en las distintas
industrias: en algunos casos se habla de minutos
u horas, en otras de días.
 Salidas
 Una lista de procesos que dan soporte a los
productos y servicios más importantes.
 MTPD y su justificación para cada proceso.
Análisis de Impacto de Negocio- BIA Operacional

 Identifica y prioriza las actividades a nivel operativo,


lo cual contribuye a identificar procesos que
entregan los productos y servicios más urgentes.
 Muestra información detallada de los recursos
requeridos para continuar, recuperar y reactivar las
actividades que dan soporte a los objetivos de la
organización.
 Permite identificar la dependencia de proveedores
externos (energía, telecomunicaciones, agua, etc.)
Análisis de Impacto de Negocio- BIA Operacional

 Conceptos y supuestos
 Los recursos a necesitarse después de una
interrupción serán una fracción de los empleados
en operación normal.
 En algunos casos, en las primeras horas de la
interrupción se podría emplear mas recursos.
Ejemplo: Llamadas al call center durante la
interrupción.
 La pérdida de datos puede complicar la
recuperación de la parte operativa.
Análisis de Impacto de Negocio- BIA Operacional

 Conceptos y supuestos
 La norma 22301:2012 hace referencia al RPO
como la pérdida máxima de datos.
 Se busca obtener información de los recursos en
esta fase para:
 Brindar información de recursos para poder
sugerir la mejor estrategia a la alta dirección.
 Identificar requerimientos de recursos que
resulten de la dependencia de actividades
identificadas en el nivel táctico.
Análisis de Impacto de Negocio- BIA Operacional

 Proceso
 El proceso para determinar las actividades más
urgentes en el nivel operacional es similar a lo
ejecutado en el nivel táctico.
 Sin embargo, se concentra en el nivel más
granular, a nivel de actividad.
 El proceso debería identificar y priorizar las
actividades que contribuyen a que el proceso
permita la entrega de servicios o productos.
 Cuantificar los recursos alineados al MTPD.
Análisis de Impacto de Negocio- BIA Operacional

 Proceso
 Tomar en cuenta cualquier actividad extra como
consecuencia de la interrupción, considerando
las siguientes categorías:
 Personas
 Locales
 Recursos
 Proveedores
 Obtener la aprobación del dueño de negocio,
validando la información.
 Obtener la aprobación de la alta dirección
respecto a las conclusiones.
Análisis de Impacto de Negocio- BIA Operacional

 Métodos y técnicas
 Se debe obtener información referida a:
 Recursos necesarios por departamentos o
áreas y por tiempo.
 Requerimientos de TI por tiempo.
 Dependencias que impactarán los principales
procesos.
 El BIA operacional debe ser desarrollado con
apoyo de un representante especializado por
departamento.
Análisis de Impacto de Negocio- BIA Operacional

 Salidas
 Lista de recursos internos y externos para
recuperar los productos y servicios más urgentes.
 Actividades revisadas, respecto a los cambios
organizacionales.
III. Evaluación de Amenazas
Evaluación de Amenazas

 La evaluación de amenazas emplea técnicas de


evaluación de riesgos para identificar riesgos no
aceptables en las actividades.
 La gestión de riesgos paralela es recomendable
pero no obligatoria.
 Es importante tener en cuenta que no siempre se
pueden identificar TODAS las amenazas.
 Es necesario identificar las vulnerabilidades que
pueden ser explotadas por las amenazas.
 Se puede aprovechar una metodologías de riesgos,
con las escalas ajustadas a la organización.
Evaluación de Amenazas

 Proceso
 Listar las amenazas internas y externas que
pueden crear una interrupción a las actividades
mas urgentes, identificadas en el BIA.
 Establecer un análisis de riesgo, que cuente con
la aprobación de la alta dirección.
 Estimar el impacto en la organización para cada
amenaza.
 Calcular el nivel de riesgo a partir de niveles de
probabilidad de ocurrencia e impacto.
 Identificar riesgos no aceptables.
5. Diseño
I. Introducción
Introducción

 La fase de diseño identifica y selecciona


ESTRATEGIAS y PRACTICAS que permitan
determinar como se llevará a cabo la continuidad y
recuperación de una interrupción.
 Se emplea información de la fase de Análisis para
diseñar soluciones a las siguientes áreas:
 Estrategias y tácticas de continuidad y
recuperación
 Medidas de mitigación de amenazas
 Estructura de respuesta a incidentes.
II. Estrategias y tácticas de continuidad y
recuperación
Estrategias y tácticas de continuidad y recuperación

 Se busca diseñar estrategias que permitan


establecer ventanas de tiempo para la recuperación.
 Se lleva a cabo en tres niveles:
 Estratégico: productos y servicios.
 Táctico: infraestructura de procesos.
 Operacional: actividades que permiten la entrega
de servicios o productos.
 En la etapa de análisis se identificó en el nivel
estratégico los productos y servicios.
 En el nivel táctico, la infraestructura de procesos
consiste en los servicios e instalaciones necesarios
para entregar los servicios o productos.
Estrategias y tácticas de continuidad y recuperación

 El diseño de soluciones operativas podría exigir


habilidades técnicas especializadas más allá de
continuidad de negocios. Se puede necesitar ayuda
especializada en TI, Compras, Inventarios,
Planeamiento de Capacidad.
 Principios generales:
 Se tiene identificado el MTPD desde la fase de
análisis, para todos los productos y servicios,
procesos y actividades.
 En la fase de Diseño se acordará el RTO para
cada producto, servicios, proceso y actividad.
Estrategias y tácticas de continuidad y recuperación

 El RTO de cada producto, servicios, proceso y


actividad, debe ser MENOR al MTPD. De esa
manera se garantiza que interrupciones
individuales no afecten toda la organización.
 Conceptos y Supuestos
 Balance de costos y velocidad de recuperación.
 RTO, RPO mas cortos  mayores costos.
 RTO amplios no podrán cumplir con el MTPD.
 RPO amplios complicarán la recuperación de
datos.
Estrategias y tácticas de continuidad y recuperación

 Estrategias
 Diversificación.
 Replicación.
 Standby.
 Adquisición post incidente.
 No hacer nada.
 Subcontratar
Estrategias y tácticas de continuidad y recuperación

 Tácticas
 Son necesarias para que se ejecuten a partir de
eventos de pérdida de :
o Personas (habilidades y conocimiento)
o Instalaciones
o Recursos (TI, información, equipos,
materiales)
o Proveedores (productos y servicios brindados
por terceros).
 Las tácticas deben poder ejecutarse de forma
individual o en conjunto.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Diversificación
 De actividades y recursos para asegurar
operaciones continuas que se requieren en
ubicaciones geográficas dispersas. A la caída
de una ubicación, las otras continúan.
 Puede ser bastante costosa.
 No tiene cobertura frente a situaciones de
pandemia o infección de virus informático.
 Es adecuada cuando el RTO está expresado
en minutos u horas.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Replicación
 Brinda la capacidad de llevar a cabo todas
las actividades requeridas pero implicará
mover el personal hacia el lugar replicado
luego del incidente.
 Es adecuada cuando el RTO es mayor a
algunas horas pero menor a un día.
 Es necesario asegurar que exista personal
dispuesto a trasladarse a la nueva ubicación
por un periodo de tiempo.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Standby
 Adecuado cuando el RTO es mayor a un día.
 Se cuenta con un local listo para habilitarlo
operacionalmente.
 El local presenta características favorables
para ponerlo operativo en un corto tiempo.
 Es necesario contar con personal dispuesto a
trabajar en la nueva ubicación.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Adquisición post incidente
 Adquirir recursos necesarios para llevar a
cabo las actividades después de un incidente
es viable cuando el RTO está expresado en
días o semanas, habiendo precalificado a
proveedores específicos.
 No son viables los requerimientos especiales,
que impliquen tiempo de entrega amplios.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 No hacer nada
 Es viable cuando el RTO está expresado en
meses.
 Se aplica después de un incidente, tomando
la decisión en el momento.
 Es necesario documentar por qué se optó por
esta estrategia.
 Esta estrategia es adoptada por cualquier
organización que no ha implementado
un SGCN.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Subcontratar
 Dependerá de qué tan rápido la organización
requiere el servicio o producto subcontratado
entre a operar.
 Es necesario evaluar los RTO para poder
establecer las condiciones apropiadas para la
subcontratación.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Seguros
 Permite brindar una compensación
económica frente a la pérdida de activos,
incremento de costos de trabajo, protección
frente a temas legales.
 No es recomendable cuando el RTO está
expresado en meses y se requiere equipo
especializado, instalaciones o habilidades.
 Es necesario tener claro que los seguros no
permiten la recuperación inmediata, salvo con
RTO medidos en meses o años.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Distancia de separación seguras
 Se debe empezar por tener copias por
duplicado de recursos vitales.
 Se debe contar con varios proveedores.
 Replicar las operaciones en diferentes
locaciones.
 Dado que pueden darse daños para acceder
a una locación, debe existir una separación
entre los recursos.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Distancia de separación seguras
 La elección de una locación distinta
determinará la máxima extensión geográfica
asociada a un incidente, del que podrá
recuperarse una organización.
 La elección dependerá de la organización,
sus objetivos y su cultura.
 Es necesario tener en cuenta lo trabajado en
la fase de análisis, respecto a las amenazas
asociadas a ubicaciones geográficas
específicas.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Distancia de separación seguras
 Locaciones alternas con fuentes de energía
alternas y distintos proveedores.
 Tener en cuenta el alcance que logran las
pandemias a nivel local, regional o mundial.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Niveles de servicio
 Es necesario identificar los niveles de servicio
mínimos aceptables que debe tener la
organización para operar en medio de una
interrupción.
 Tomar en cuenta el MBCO identificado en la
fase de análisis.
 A medida que se incorporan o restablecen los
recursos comprometidos con la interrupción,
los niveles aumentarán hasta llegar niveles
normales.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Detalles de diseño
 Se deben evaluar a partir de la urgencia que
exige poner operativos nuevamente los
procesos, actividades e infraestructura.
 Será necesario contemplar detalles de diseño
cuando los RTO sean cortos.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Confiabilidad
 Cuando la recuperación y las tácticas
implican la provisión del servicio de un
tercero.
 Cuanto más corto el RTO, se vuelve más
exigente el nivel de confiabilidad provisto.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Necesidades de las partes afectadas
 Pueden existir varios individuos o grupos
afectados por el incidente.
 Debe quedar claramente establecida la
responsabilidad legal y moral de la
organización.
 Es necesario tener identificadas y priorizadas
las necesidades de estas partes cuando se
diseñen las respuestas a los incidentes.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Equipos de emergencia civil
 La organización debe estar familiarizado con
los procedimientos de contacto con entidades
u organismos gubernamentales responsables
frente a situaciones de desastres.
 Al diseñar las estrategias se deben tener en
cuenta los procedimientos de las autoridades,
los cuales tienen mas relevancia que los
internos.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas para las tácticas


 Disponibilidad de servicios de terceros
 Referido a instalaciones de terceros para
facilitar la recuperación de la organización.
 Dependiendo de las leyes del país donde se
encuentra la organización, estos servicios
podrían no estar disponibles.
Estrategias y tácticas de continuidad y recuperación

 Proceso
 Estratégico
 RTO para productos y servicios se
determinan y seleccionan las estrategias que
permitirán implementarlos.
 Los pasos claves son:
o Dimensionar los RTO a partir del MTPD.
o Identificar los RTO por servicio si la
recuperación se llevará a cabo por fases.
o Identificar las estrategias para lograr los
RTO acordados.
Estrategias y tácticas de continuidad y recuperación

 Proceso
o Retroalimentar a la alta dirección con las
opciones de estrategia, brindando las
recomendaciones del caso.
o Todas las decisiones necesitarán contar
con el respaldo y soporte de la Alta
Dirección.
 Táctico y Operacional
 Se ejecutan las medidas necesarias para
cumplir con los RTO asociados a nivel de
procesos y actividades.
 Balance costo beneficio.
Estrategias y tácticas de continuidad y recuperación

 Proceso
 Se ejecutan las medidas necesarias para
cumplir con los RTO asociados a nivel de
procesos y actividades.
 Balance costo beneficio.
 Los pasos a ejecutar son:
o Identificar RTO por servicio.
o Ejecutar tácticas que permitan cumplir con
los RTO
o Analizar la efectividad y costos asociados
a cada táctica.
Estrategias y tácticas de continuidad y recuperación

 Proceso
o Mostrar a la alta dirección la evaluación de
las alternativas con las respectivas
recomendaciones.
o Identificar proyectos de implementación
asociadas a cada táctica.
o Aprobación de la alta dirección.
Estrategias y tácticas de continuidad y recuperación

 Proceso
 Consolidación
o Las tácticas seleccionadas para los procesos
y actividades se deben consolidar para:
 Asegurar son consistentes a lo largo de la
organización.
 Que no entran en conflicto unas con otras.
 Determinar la mejor forma de obtener
requerimientos externos.
 Asistir en el diseño de las respuestas a
incidentes e identificar el número de
planes requeridos.
Estrategias y tácticas de continuidad y recuperación

 Proceso
 Consolidación
o Los pasos claves para el proceso de
consolidación son:
 Totalizar los requerimientos de las tácticas
seleccionadas.
 Validar que las opciones seleccionadas
son consistentes a lo largo de la
organización.
 Verificar que no hayan conflictos.
 Verificar que los requerimientos de
terceros se pueden obtener.
Estrategias y tácticas de continuidad y recuperación

 Proceso
 Consolidación
 Evaluar las implicaciones de recursos de
las tácticas escogidas, a nivel operativo.
 Reevaluar alternativas si se presentan
conflictos.
 Reconfirmar la importancia estratégicas
los productos y servicios.
 Retroalimentar a la alta dirección con los
requerimientos consolidados.
 Obtener los recursos presupuestales
Estrategias y tácticas de continuidad y recuperación

 Entregables y Revisión
 Estrategias y tácticas aprobadas por la alta
dirección.
 Diseño para la continuidad y recuperación que se
emplearán en los planes.
 Proyectos con presupuesto y recursos para su
ejecución.
 Detalles suficientes para diseñar la estructura de
respuesta a incidentes.
Estrategias y tácticas de continuidad y recuperación

 Entregables y Revisión
 Se harán revisiones del diseño :
 Anuales, seguido de un análisis de los
requerimientos.
 Después de alguna prueba de recuperación.
 Frente a cambios significativos en:
 Productos o servicios.
 Infraestructura.
 Actividades.
 Requerimientos legales
 Personas y habilidades
Estrategias y tácticas de continuidad y recuperación

 Medidas de mitigación de Amenazas


 Propósito: Identificar medidas que puedan
implementarse para reducir la probabilidad o
impacto de una interrupción.
 Principios generales:
o Concentraciones no aceptables de riesgo.
o Amenazas a actividades claves de la
organización.
 Supuesto:
o Se pueden estimar los beneficios de las
medidas propuestas, a partir de información
histórica.
Estrategias y tácticas de continuidad y recuperación

 Medidas de mitigación de Amenazas


 Proceso
o Análisis costo beneficio
o Reducción de amenazas:
 Seguridad física.
 Seguridad de Información
 Sistemas de monitoreo
 Sistemas de supresión de fuego.
Estrategias y tácticas de continuidad y recuperación

 Medidas de mitigación de Amenazas


 Proceso
o Pasos claves:
 Revisar el BIA operacional: identificar
áreas no aceptables de riesgo.
 Identificar medidas que se direccionen a
las actividades claves.
 Informar a la Alta dirección de las medidas
de selección identificadas.
 Obtener aprobación.
 Diseñar los proyectos asociados.
Estrategias y tácticas de continuidad y recuperación

 Medidas de mitigación de Amenazas


 Salidas y revisión
o Los principales entregables son los proyectos
destinados a reducir la probabilidad
ocurrencia o impacto de las principales
actividades.
o Es necesario reevaluar las medidas:
 Anualmente.
 Cambios en las actividades más
importantes en la empresa.
 Al producirse algún incidente.
Estrategias y tácticas de continuidad y recuperación

 Estructura de la respuesta a incidentes


 Se busca asegurar que existe documentación de
los mecanismos a ejecutar frente a la ocurrencia
de un incidente, independiente de su causa.
 La estructura de respuesta identifica:
o Equipos responsables para las actividades de
respuesta y recuperación.
o Relación entre los equipos.
o Roles y responsabilidades de los equipos.
 Es necesario establecer los criterios para el
escalamiento de decisiones.
Estrategias y tácticas de continuidad y recuperación

 Estructura de la respuesta a incidentes


 Se busca asegurar que existe documentación de
los mecanismos a ejecutar frente a la ocurrencia
de un incidente, independiente de su causa.
 La estructura de respuesta identifica:
o Equipos responsables para las actividades de
respuesta y recuperación.
o Relación entre los equipos.
o Roles y responsabilidades de los equipos.
 Es necesario establecer los criterios para el
escalamiento de decisiones.
Estrategias y tácticas de continuidad y recuperación

 Conceptos y supuestos
 Los niveles estratégicos, tácticos y operativos
llevan a cabo distintos roles.
 Estratégico: describe cómo la Alta Dirección
direccionará y gestionará los aspectos asociados
a un incidente mayor.
 Táctico: detalla la gestión y coordinación de las
operaciones de recuperación, asegurando los
recursos necesarios.
 Operativo: direcciona la recuperación de
actividades o sistemas a niveles predefinidos del
servicio.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Diseño de la estructura
o Se requiere tener identificados a los equipos
de emergencia y gestión de incidentes y
recuperación.
o Se deben identificar a los equipos de los
niveles estratégico, táctico y operativo.
o Se deben tener en cuenta algunos factores:
 Estructura de gestión vigente.
 Naturaleza de la organización,
complejidad e infraestructura de procesos.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Diseño de la estructura
 Estrategias de continuidad y recuperación
seleccionadas.
 La urgencia, complejidad, naturaleza de
los requerimientos de recuperación.
Estrategias y tácticas de continuidad y recuperación

 Métodos y técnicas
 Roles y responsabilidades: se deben contar con
responsabilidades para los siguientes puntos.
o Equipos de movilización.
o Planes de activación.
o Recursos requeridos.
o Comunicación a interesados.
o Comunicación a la prensa.
o Personal de bienestar social.
o Escalamiento.
o Cambios de prioridades a medida que la
situación cambia.
Estrategias y tácticas de continuidad y recuperación

 Proceso
 Identificar la estructura de gestión y
requerimientos de recuperación.
 Identificar el personal y equipos responsables
para la respuesta a emergencias, crisis y planes
de gestión de incidentes.
 Desarrollar un borrador de la estructura del plan
de respuesta a incidentes.
 Revisar el borrador.
 Prepara propuesta para la alta dirección.
 Obtener la aprobación de la alta dirección
 Publicar y comunicar la estructura de respuesta a
incidentes.
Estrategias y tácticas de continuidad y recuperación

 Salidas y revisión
 Equipos de respuesta y recuperación.
 Relación entre equipos.
 Roles y responsabilidades entre equipos.
 Es necesario llevar a cabo una revisión de la
estructura frente a cambios en:
 Alcance del SGCN.
 Estructura de gestión.
 Infraestructura de procesos.
 Estrategias y tácticas de continuidad y
recuperación.
 Ocurrencia de un incidente mayor.
6. Implementación
I. Introducción
Introducción

 La fase de implementación ejecuta las estrategias y


tácticas aprobadas.
 Se busca identificar y documentar las
PRIORIDADES, PROCEDIMIENTOS,
RESPONSABILIDADES Y RECURSOS que asisten
a la organización para gestionar una interrupción.
 Los requerimientos claves para una respuesta
efectiva son:
 La habilidad para reconocer y evaluar amenazas
potenciales cuando ocurren y determinar una
respuesta apropiada.
Introducción

 Un entendimiento claro para la activación,


escalamiento y control de los procedimientos de
respuesta a incidentes (estructura de respuesta).
 Contar con personal con autoridad y habilidad
para implementar las estrategias de continuidad
de acuerdo a lo definido por los planes de la
organización.
 Habilidad para comunicarse efectivamente con
interesados internos y externos.
 Acceso a recursos suficientes para soportar la
estrategia de Continuidad de Negocios.
II. Plan de Continuidad de Negocios
Plan de Continuidad de Negocios

 Si bien implica un documento, puede existir en


cualquier nivel, pudiendo tener un detalle de
procedimiento.
 Puede abarcar a toda la organización o a una parte
de la misma, pudiendo estructurarse por producto,
servicio, locación o departamentos, escenarios
particulares.
Plan de Continuidad de Negocios

 Principios generales:
 ISO 22301: define los planes de continuidad
como “ procedimientos documentados que guían
a las organizaciones para responder, recuperar,
restaurar los niveles predefinidos de operación
frente a una interrupción”.
 También se emplean otro tipo de términos para
hacer mención a los procedimientos
documentados: Planes de Emergencia, Planes
de Crisis, DRP.
Plan de Continuidad de Negocios

 Principios generales:
 Otros planes que se pueden mencionar:
 Plan de respuesta a la prensa.
 Plan frente a pandemia.
 Plan de Contingencia.
 Plan de Continuidad de Servicios.
 Etc.
Plan de Continuidad de Negocios

 Conceptos y Supuestos.
 Un plan de continuidad debe presentar ciertas
características para ser efectivo:
o Directo: planes claros, orientado a acciones
o Adaptable: debe permitir a la organización
responder a varios incidentes, incluyendo
aquellos que no hayan sido anticipados.
o Conciso: deben contener guías, información y
herramientas que puedan emplear los
equipos.
o Relevantes: información actualizada y
aplicable al equipo que lo empleará.
Plan de Continuidad de Negocios

 Conceptos y Supuestos.
o Debe direccionar niveles estratégicos, tácticos
y operativos.
o El número y tipo de planes se determinan por
contexto más que por teoría.
o No existe una solución única para estructurar
los planes.
o Se aprovecha la combinación de experiencia
y conocimiento para estructurar los planes en
cada organización.
Plan de Continuidad de Negocios

 Métodos y técnicas.
o Los niveles estratégicos, tácticos y operativos
brindan un modelo para cualquier tamaño de
organización, pero debe ajustarse a cada
organización.
o Organización pequeñas de un sóla sede:
todos los niveles de respuesta se pueden
implementar en un solo plan, con un solo
equipo de respuesta para toda la
organización.
Plan de Continuidad de Negocios

 Métodos y técnicas.
o Organización de tamaño medio:
 Nivel estratégico: un plan de gestión de
incidentes, con un equipo de respuesta que
incluye miembros de la Alta dirección.
 Nivel táctico: un único plan que abarque todas
las operaciones de la organización, con un
equipo de respuesta compuesto por jefe de
departamentos o líderes funcionales.
 Nivel operacional: un plan táctico, el DRP se
maneja por separado, debido a los detalles de
TI.
Plan de Continuidad de Negocios

 Métodos y técnicas.
o Organización de gran tamaño:
 Nivel estratégico: un plan de gestión de
incidentes, con un equipo de respuesta
que incluye miembros de la Alta dirección.
 Nivel táctico: Varios planes, cada uno
cubriendo varios productos, servicios o
locaciones, cada uno con su equipo de
respuesta.
 Nivel operacional: varios planes tácticos,
excepto TI, Finanzas y RRHH, que son
especializados.
Plan de Continuidad de Negocios

 Métodos y técnicas.
o Organización multinacionales:
 Nivel estratégico: un plan de gestión de
incidentes global, con responsabilidades
globales, un plan de incidentes para cada
territorio, con un equipo que cuenta con
miembros de la Alta dirección en cada
territorio.
Plan de Continuidad de Negocios

 Métodos y técnicas.
o Organización multinacionales:
 Nivel táctico: cada territorio puede tener
varios planes, cubriendo productos y
servicios, cada uno con su equipo de
respuesta.
 Nivel operacional: cada ubicación puede
tener su propio plan operativo, con su
propio equipo de respuesta en cada
locación.
Plan de Continuidad de Negocios

 Desarrollo y gestión de planes.


o Introducción
 El número y tipos de planes serán
determinados usando la estructura de
respuesta a incidentes, la estrategia de
continuidad, las opciones tácticas
seleccionadas, así como la complejidad de
la organización.
Plan de Continuidad de Negocios

 Desarrollo y gestión de planes.


o Principios generales
 Se requiere diferentes niveles de énfasis
para distintos planes.
 Se debe involucrar a la Alta Dirección en
el desarrollo e implementación.
 En situaciones de incidentes mayores se
requiere una gestión rápida y efectiva para
proteger a la organización de daño
operacional, financiero y reputacional.
Plan de Continuidad de Negocios

 Desarrollo y gestión de planes.


o Conceptos y supuestos
 Debido a que los planes tácticos y
operacionales tendrán información de
recuperación, NO se pueden elaborar
hasta que la estrategia de continuidad y
las opciones tácticas se hayan
determinado.
 Los planes estratégicos se desarrollan
desde el principio, ANTES que los otros
planes.
Plan de Continuidad de Negocios

 Desarrollo y gestión de planes.


o Proceso: para diseñar un plan se tienen en
cuenta los siguientes pasos clave:
 Identificar un dueño o patrocinador para el
plan.
 Definir los objetivos y el alcance.
 Desarrollar y aprobar un proceso de
desarrollo del plan.
 Crear un equipo de planeamiento.
 Acordar responsabilidades para el equipo
de respuesta y su relación con otros
planes y equipos de respuesta
(estratégico, táctico y operacional).
Plan de Continuidad de Negocios

 Desarrollo y gestión de planes.


 Crear un equipo de respuesta con los
skills necesarios.
 Decidir la estructura, formato,
componentes y contenido del plan.
 Determinar las estrategias, tales como
locaciones alternas, sobre las cuales se
basará el plan.
 Obtener información para el plan.
 Elaborar un borrador del plan.
 Distribuir borrador para obtener
retroalimentación y observaciones.
Plan de Continuidad de Negocios

 Desarrollo y gestión de planes.


 Actualizar el plan si fuera el caso.
 Aprobar un programa de pruebas y
mantenimiento del plan
Plan de Continuidad de Negocios

 Métodos y técnicas
o Para el desarrollo de planes se emplearán las
siguientes herramientas:
 Reuniones y entrevistas.
 Checklists
 Talleres de trabajo.
o Los planes deben ser concisos y de fácil lectura.
o Tener en cuenta que serán leídos en situaciones
de alta presión y bajo stress.
o No deben incluir información no relevante y de
poca importancia.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Los planes se puede elaborar de forma modular,
con secciones separadas, las cuales se
distribuyen sólo a los equipos que los necesiten.
o Si se opta por lo anterior, debe existir un
responsable de la custodia de la versión
compilada.
o Planes NO deben diseñarse de forma AISLADA.
o Deben almacenarse en ubicaciones a las que los
interesados tengan acceso.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Todos los planes deben tener la siguiente
estructura:
 Propósito y alcance.
 Objetivos y supuestos.
 Estructura de gestión de incidentes.
 Responsabilidades de los equipos de
respuesta.
 Líderes de equipos de respuesta.
 Responsabilidades de los miembros del
equipo de respuesta.
Plan de Continuidad de Negocios

 Métodos y técnicas
 Instrucciones de movilización.
 Plan de activación: procedimientos y
autorización.
 Invocación.
 Detalles de contactos.
 Ubicaciones de lugares de reunión.
 Comunicaciones
 Información clave de las fases previas del
SGCN
Plan de Continuidad de Negocios

 Métodos y técnicas
o Roles y responsabilidades
 Líder de equipo: se asegura que el equipo de
respuesta se active.
 Personal de bienestar.
 Comunicaciones internas: para mantener
comunicación con otros equipos.
 Comunicaciones externas: para establecer y
mantener contacto con interesados y la
prensa.
 Operaciones.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Roles y responsabilidades
 Soporte técnico.
 Soporte administrativo.

o Movilización de equipos:
 Plan debe incluir las condiciones necesarias
en las que los equipos se movilizarán.
 El plan puede incluir niveles de interrupción,
impactos, escalamiento hacia otros equipos.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Movilización de equipos:
 El plan debe mostrar los miembros que tienen
la autoridad para movilizar los equipos,
equipamiento y otras facilidades.
 Debe existir cierta flexibilidad en los planes
frente a la ausencia de algunos miembros de
los equipos.
 Debe documentarse cada movimiento de los
equipos.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Lugares de reunión
 El equipo debe acordar anticipadamente un
número posible de lugares de reunión,
priorizando aquellos que cuentan con los
recursos necesarios.
 Se deben definir al menos dos ubicaciones
como centro de comando central, uno on site
y el otro off site.
 La ubicación off site no necesariamente es
propiedad de la organización.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Lugares de reunión
 Para eventos de largo alcance, surge el
concepto de equipo virtual de gestión de
incidentes con un centro de comando virtual,
sobre la base de una infraestructura mínima
de comunicaciones.
 Se deben tener en cuenta algunas
consideraciones del uso de espacios:
 Comunicaciones: entrada y salida.
 Grabación de eventos, decisiones,
acciones y temas.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Lugares de reunión
 Para eventos de largo alcance, surge el
concepto de equipo virtual de gestión de
incidentes con un centro de comando virtual,
sobre la base de una infraestructura mínima
de comunicaciones.
 Se deben tener en cuenta algunas
consideraciones del uso de espacios:
 Comunicaciones: entrada y salida.
 Grabación de eventos, decisiones,
acciones y temas.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Lugares de reunión
 Monitoreo de información respecto del
incidente.
 Control de ingreso
 Se deben considerar los siguientes recursos.
 Línea continua de energía estabilizada.
 Líneas telefónicas, equipos de
teleconferencia.
 Computadoras e impresoras
 Celulares con cargadores.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Lugares de reunión
 Correo electrónico, internet, fax con
acceso seguro.
 Copias impresas de planes relevantes e
información urgente.
 Equipos de radio y tv.
 Pizarras
 Acceso a : bebidas (no alcohólicas),
transporte, instalaciones para dormir,
servicios higiénicos.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Actividades de personas
 Las empresas tienen una obligación
LEGAL de salvaguardar la salud y
seguridad de sus empleados, contratistas,
visitantes y clientes.
 Se deben considerar los siguientes
aspectos:
 Requerimientos especiales:
responsabilidades familiares,
embarazadas, discapacitados
 Gestionar los casos de fallecidos
Plan de Continuidad de Negocios

 Métodos y técnicas
o Actividades de personas
 Durante un incidente, uno o más personas
deben asumir responsabilidad por lo siguiente:
 Evacuación del lugar.
 Comunicación con personal de otras
ubicaciones.
 Contactar a familiares de personal.
 Asistencia en el transporte.
 Implementar una línea telefónica de
información.
 Servicios de traducción.
Plan de Continuidad de Negocios

 Métodos y técnicas
o Actividades de personas
 Se pueden presentar necesidades
adicionales:
 Servicios de rehabilitación.
 Reubicación temporal.
 Acceso a cash de emergencia.
III. Elaboración y Gestión de Planes
Planes Estratégicos

 Introducción
o Definen cómo deben manejarse los aspectos
estratégicos a partir del resultado de incidentes
mayores, por parte de la Alta Dirección.
o Algunos incidentes requerirán una respuesta de
nivel estratégico, no necesariamente por
interrupciones de las actividades  amenazas a
la reputación. Por tanto NO es necesaria una
activación de plan.
o Podría ser necesario desarrollar una movilización
de algunos roles hacia las ubicaciones donde es
potencial el impacto a la reputación.
Planes Estratégicos

 Introducción
o En casos como el anterior es necesario que
intervenga un equipo de nivel estratégico.
o Las organizaciones asignan un nombre al plan
de acuerdo a su estructura o cultura:
 “Plan de Gestión de Reputación”
 “Plan de Gestión de Imagen Corporativa”
 “Plan de Gestión de Reputación e Imagen
empresaria”.
Planes Estratégicos

 Principios Generales
o Una vez activado, el plan estratégico debe
direccionar las comunicaciones y control de
actividades con todos los involucrados.
o El contenido del plan debe estar ajustado a la
naturaleza y complejidad de la organización.
o El plan puede contener material referencial
respecto a las distintas estrategias o respuestas
generales de la organización frente a incidentes
específicos.
Planes Estratégicos
 Conceptos y Supuestos
o Durante un incidente de interrupción, los
miembros del equipo estratégico son
responsables por la reputación, estabilidad y
continuidad de la organización.
o Algunas responsabilidades del equipo estratégico
son:
 Definir los objetivos estratégicos de la
respuesta frente al incidente.
 Identificar estrategias de corto, mediano y
largo plazo, acorde a la naturaleza del
incidente.
Planes Estratégicos
 Conceptos y Supuestos
 Administrar las comunicaciones con los
involucrados, incluyendo la prensa.
 Aprobar comunicados antes de difundirse,
haciendo seguimiento a la estrategia de
comunicación.
 Resolver conflictos en la respuesta y
recuperación.
 Identificar y maximizar oportunidades
derivadas del incidente.
 Asegurar la salud financiera de la
organización.
Planes Estratégicos
 Conceptos y Supuestos
o Algunos recursos que pueden ser considerados
por el equipo de estrategia pueden incluir:
 Facilidades de radio y tv para entrevistas.
 Líneas de comunicación y cámaras para
transmitir entrevistas
 Ambientes para recepción de la prensa.

o Todos los recursos deben estar sujetos a la


disponibilidad presupuestal.
Planes Estratégicos
 Comunicaciones
o El plan de comunicaciones debe contemplar la
forma en que la organización gestionará las
comunicaciones internas y externas.
o El plan debe:
 Debe identificar los interesados internos y
externos, guardar la información de contacto.
 Definir los canales o métodos de
comunicación con cada grupo.
 Identificar al grupo o persona de la
organización que tiene la responsabilidad,
autoridad para transmitir la comunicación.
Planes Estratégicos
 Comunicaciones
o De forma anticipada, se han designado a los
portavoces, asegurando que:
 Han sido capacitados en su rol.
 El proceso para crear una declaración es
conocido, incluyendo la forma de aprobarla.
 Existe una persona técnica designada si es
necesario de acuerdo al incidente.
 Si fuera el caso, la organización puede trabajar
con empresas de relaciones públicas en el
diseño de las respuestas a la prensa.
Planes Estratégicos
 Comunicaciones
o El volumen, variedad y urgencia de las
comunicaciones después de un incidente puede
ser significativa.
o El plan puede:
 Anticipar la información que necesitarán los
interesados, tales como los empleados,
clientes, etc.
 Desarrollar comunicados pre escritos.
 Identificar preguntas y respuestas a preguntas
usuales para los incidentes más conocidos.
Planes Estratégicos
 Salida y revisión
o Un plan que será empleado por la alta dirección
durante la ocurrencia de un incidente.
o Un plan para gestionar a los interesados y
comunicaciones durante la ocurrencia de un
incidente.
o Evidencia de una gestión de incidentes frente a
internos o externos.
o Cumplimiento de los requerimientos legales,
regulatorios y gubernamentales.
Planes Tácticos
 Introducción
o Estos planes establecen la respuesta de toda la
empresa frente a un incidente, permitiendo la
recuperación de actividades de negocio.
o Quienes emplean estos planes pueden analizar
la información de los equipos de respuesta en lo
referente al impacto de un incidente, selección
de estrategia, brindando información a los
equipos de estrategia.
Planes Tácticos
 Principios generales
o Contenido variable de una organización a otra.
o Distinto nivel de detalle basado en la cultura de la
organización, complejidad tecnológica y
operaciones de negocio.
o No es posible escribirlos si no se ha elaborado
previamente los elementos estratégicos.
Planes Tácticos
 Conceptos y supuestos
o Planes orientados a acciones.
o No debe incluir información o documentos que no
serán necesarios durante un incidente.
o Debe contener supuestos asociados al incidente
que se está atendiendo.
Planes Tácticos
 Proceso
o Identificar una persona para el desarrollo de
todos los planes.
o Elaborar un proceso de elaboración y un
cronograma.
o Decidir la estructura, formato, componentes y
contenido del plan.
o Desarrollar una plantilla para estandarizar, con la
opción de que sea actualizada.
Planes Tácticos
 Proceso
o Los planes tácticos deben contener información
suficiente que permita a los equipos tácticos
continuar con las actividades de recuperación del
negocio
o El plan táctico debe incluir procedimientos
detallados para que el equipo:
 Tenga una respuesta inmediata ante la
activación del plan.
 Evalúe la información y tome decisiones.
 Iniciar procedimientos de respuesta y
actividades de recuperación.
Planes Tácticos
 Proceso
 Comunicar y recibir información de otros
equipos.
 Monitorear el progreso y reportar la situación
al equipo estratégico.

 Métodos y técnicas
 Responsabilidades específicas del equipo de
respuestas incluye:
o Coordinar y monitorear la respuesta y
recuperación de los equipos
subordinados.
Planes Tácticos
 Métodos y técnicas
o Facilitar recursos a los equipos
subordinados.
o Cambiar las prioridades y acciones de
recuperación de acuerdo a situaciones
estacionales, condiciones de negocio o de
acuerdo a indicaciones del nivel
estratégico.
o Monitorear las principales funciones de
soporte de TI, Recursos Humanos,
Financiera, etc.
Planes Tácticos
 Métodos y técnicas
o Solicitar o recibir información de otros
equipos de respuesta.
o Informar al equipo de gestión de
incidentes.
o Movilizar proveedores especializados de
acuerdo a lo requerido.
o Algunos recursos a usar pueden ser:
 Personal
 Locaciones alternas
 Facilidades de seguridad
Planes Tácticos
 Métodos y técnicas
 Tecnología, comunicaciones y datos
 Transporte y logística
 Otros proveedores de servicio.
o El plan puede incluir:
 Información de contacto en la
organización.
 Información de interés para los grupos y
detalles de contactos.
 Almacenamiento seguro para documentos
legales.
 Espacios contratados de trabajo
 Procedimientos de emergencia para
obtener liquidez.
Planes Tácticos
 Salidas y revisión
o La revisión del proceso de planeamiento incluye:
 Aprobado por la Alta Dirección.
 Un framework que permite que los planes
operativos puedan operar.
o Alguna información que pueda desactualizarse
debe ser revisada periódicamente.
o Algunas situaciones que generan una revisión:
 Un cambio significativo en la organización.
 Un cambio significativo en el proceso de
negocio.
 Un cambio significativo en el personal.
 Un cambio significativo en los servicios TI.
Planes Operativos
 Introducción
o Cubren la respuesta de las unidades de negocio
frente a un incidente.
o Planes elementales se ejecutarán rápidamente,
en relación a los procedimientos de
recuperación, si están en un solo documentos.
o Se busca contar con planes de recuperación
para cada unidad, siendo cada una responsable
de los mismos.
Planes Operativos
 Principios generales
o Ejemplos de planes operacionales son:
 Un plan de una unidad de negocios para
restablecer sus funciones en un tiempo
predefinido.
 Una respuesta de RRHH frente a incidentes.
 Procedimientos para asistir los equipos de
nivel táctico, liderados por unidades que
hacen frente a respuestas de incidentes
físicos.
 La respuesta de TI frente a interrupciones en
sistemas, aplicaciones y servicios.
Planes Operativos
 Conceptos y Supuestos
o La complejidad y urgencia de los procesos de
negocio pueden determinar lo que cubre un plan
operativo, desde una actividad o un conjunto de
las mismas.
o Estos planes pueden tener soporte de otros más
específicos, asociados a diversas locaciones y
equipamiento.
o Debido a la relación entre los planes tácticos y
los operativos, los planes tácticos deben ser
escritos ANTES de los operativos.
Planes Operativos
 Proceso
o El plan debe ser orientado a la acción, de fácil
lectura y acceso en condiciones de presión.
o Fases específicas:
 Establecer una persona para gestionar la
elaboración de todos los planes operativos.
 Identificar un representante de cada unidad
de negocio para elaborar su plan.
 Elaborar un proceso de planeamiento y
cronograma. Priorizar los planes más
urgentes.
Planes Operativos
 Proceso
 Decidir la estructura, formato, componentes y
contenido de los planes.
 Documentar la relación con planes de nivel
táctico y con otros planes operativos.
 Gestionar el desarrollo de planes entre cada
unidad de negocio.
 Compartir el borrador de los planes para
obtener retroalimentación.
 Obtener opinión de consultorías.
 Validar el plan mediante pruebas con cada
unidad de negocio.
Planes Operativos
 Métodos y técnicas
 Planes pueden incluir:
o Acceso y uso de las instalaciones.
o Recuperación de actividades de unidad de
negocio de acuerdo a los tiempos
objetivos.
o Movilización de equipos e invocación de
recursos requeridos.
 Los planes pueden incluir procedimientos e
información referidos a:
o Planes de evacuación de instalaciones
Planes Operativos
 Métodos y técnicas
o Puntos de evacuación.
o Procedimientos para amenazas de bomba
o Procedimientos de escalamiento.
o Procedimientos para verificación de
cantidad de personal.
o Contacto con miembros de equipos.
o Priorización de actividades de acuerdo a
los tiempos.
o Recursos y materiales requeridos.
o Procedimientos no estándares y
especiales
Planes Operativos
 Salidas y revisión
o Planes documentados para cada unidad
de negocio.
o Criterios de éxito.
o Roles claramente definidos dentro de cada
unidad de negocio.
 Los planes operacionales deben ser
revisados frente a un cambio importante en
los procesos de negocio o tecnología al
interior de cada unidad de negocio.
7. Validación
I. Generalidades
Generalidades

 La validación confirma que el programa de gestión


de continuidad de negocios cumpla con la política
de continuidad de negocios y que el SGCN se
ajusta a la realidad de la organización.
 Se lleva a cabo por medio de las siguientes
actividades:
 Pruebas
 Mantenimiento
 Revisión
II. Elaboración de un programa de pruebas
Elaboración de un programa de pruebas

 El programa es necesario para asegurar que todos


los aspectos de la respuesta a un incidente han sido
probados.
 Se busca en especial validar:
o La información en los planes se ha validado.
o Los planes han sido evaluados
o Todo el personal ha sido capacitado.

 La única manera de garantizar que un SGCN


funciona es probándolo
Elaboración de un programa de pruebas

 En las pruebas se busca:


o Probar la actual capacidad de respuesta de la
organización.
o Identificar mejoras.
o Crear confianza entre los participantes.
o Desarrollar el trabajo en equipo.
o Concientizar la organización en lo referido al
SGCN.
o Evaluar la efectividad y tiempos de los
procedimientos de recuperación.
Elaboración de un programa de pruebas

 En las pruebas se deben evaluar distintos


elementos:
o Técnicos: funciona todo el equipamiento
necesario.
o Procedimientos: son correctos los planes y
procedimientos.?
o Logísticos: se cuentan con todos los elementos
para que los planes se ejecuten sin problemas.
o Tiempo: se pueden cumplir con todos los RTO.
o Administrativos: son viables y gestionables todos
los procedimientos.
Elaboración de un programa de pruebas

o Personal: se cuenta con personal idóneo para las


responsabilidades asignadas.
 La frecuencia recomendada para las pruebas es de
mínimo 1 vez al año.
Elaboración de un programa de pruebas

 Proceso:
o Revisar el alcance (planes a probar, recursos y
actividades) de pruebas pasadas para ver qué
aspectos no se han probado aún.
o Evaluar con la Alta Dirección puntos débiles y
prioridades.
o Elaborar el presupuesto necesario para la
prueba.
o Decidir qué tipos de prueba serán ejecutadas en
el periodo.
o Validar la disponibilidad de personal e
infraestructura.
Elaboración de un programa de pruebas

 Proceso:
o Esbozar un programa de pruebas.
o Poner el programa a revisión y aprobación de la
Alta Dirección.
o Identificar cualquier necesidad de entrenamiento
para los participantes.
Elaboración de un programa de pruebas

 Métodos y técnicas: Tipos de pruebas


o Basadas en discusión:
 Consideradas las más efectivas en costo.
 Consumen menos tiempo.
 Participantes observan aspectos relevantes y
siguen los planes en un entorno sin
presiones.
 Se enfocan en un área específica que ha sido
identificada como candidata para buscar una
solución.
Elaboración de un programa de pruebas

 Métodos y técnicas: Tipos de pruebas


o De escritorio:
 Usadas comúnmente sobre la base de un
escenario relevante, con una línea de tiempo
que permite desplegarse por cada una de las
fases del escenario en prueba.
 Se espera que los participantes estén
familiarizados con los planes y demuestren
cómo estos planes trabajan de forma
coordinada.
 Son efectivas en costo y método.
Elaboración de un programa de pruebas

 Métodos y técnicas: Tipos de pruebas


o Puesto de mando:
 Involucran a los equipos estratégicos, tácticos
y operacionales.
 Los participantes están ubicados a lo largo de
toda la organización.
 Se brinda información que estimula un
escenario real.
 Participantes responden como si fuera una
situación real.
Elaboración de un programa de pruebas

 Métodos y técnicas: Tipos de pruebas


o En vivo:
 Pueden llevarse a cabo en menor o mayor
proporción.
 Se diseñan de tal forma que se involucran a
todos los roles más importantes de acuerdo a
la prueba.
 Son especialmente importantes cuando
existen exigencias regulatorias o se
presentan riesgos en niveles extremos.
 Es necesario cuidar de no afectar las
operaciones en producción.
Elaboración de un programa de pruebas

 Métodos y técnicas: Tipos de pruebas


o Test:
 Tipo de prueba única y particular, con
resultado de falla o sin falla.
 Usualmente aplicada a un equipo,
procedimiento de recuperación, tecnología.
 NO es para personas.
Elaboración de un programa de pruebas

 Salidas y revisión:
 Programa de pruebas efectivo.
 Requerimientos de recursos definidos.

 El programa debe ser revisado de forma periódica


para asegurar que se cumplen con los objetivos.
III. Elaborar una prueba
Elaborar una prueba

 Cada prueba debe ser planeada para maximizar los


beneficios, a partir del tiempo en elaborarla y
ejecutarla.
 Se deben tener en cuenta algunos conceptos y
supuestos:
 Realismo: deben ser lo más cercanas a la
realidad, empleando los procedimientos y
métodos que se emplearían en una situación
real. Es necesario tener mucho cuidado de no
afectar los ambientes de producción.
Elaborar una prueba

 Mínima exposición: es necesario evitar la


ocurrencia de una interrupción. Es necesario
crear condiciones que minimicen el impacto en
caso se diera una interrupción. Debe quedar
claro el riesgo que se asume.
 Costos y beneficios: los costos dependen del tipo
de prueba. Pruebas más complejas ofrecen
mayor confiabilidad de los resultados en
escenarios reales.
 Preparación: se ejecutará a partir de la
complejidad y las competencias del personal a
involucrar.
Elaborar una prueba

 Participantes:
• Facilitadores
• Observadores
• Equipos estratégicos, tácticos y operativos
• Proveedores de servicios y recursos
• Auditores
• Planificadores de autoridades de emergencia
locales
Se pueden convocar más participantes según sea
el caso.
Elaborar una prueba

 Proceso
o Acordar el alcance, objetivos y expectativas de
los resultados.
o Identificar al equipo de pruebas.
o Diseñar: incluye el presupuesto, identificación de
riesgos en ambientes de producción.
o Ejecutar la prueba
o Evaluar los resultados.
o Seguimiento a observaciones.
Elaborar una prueba

 Métodos y técnicas
o Planificar la prueba: deben enumerarse una lista
cronológica de eventos, especialmente:
 Objetivo de la prueba.
 Tiempo objetivo.
 Descripción del evento.
 Miembros de equipo involucrado.
 Personal
Elaborar una prueba

 Métodos y técnicas
o Antes de iniciar la prueba: se debe tener claro lo
que se necesitará antes y después de la prueba:
 Roles y responsabilidades durante la prueba
 Sistemas a emplear
 Acciones a ejecutar si ocurren aspectos no
contemplados.
 Requerimientos post prueba.
Elaborar una prueba

 Métodos y técnicas
o Inicio de la prueba: se debe comunicar a todos
los participantes, no deben existir ambigüedades.
o Durante la prueba: Se deben ejecutar las
pruebas de acuerdo al plan.
o Suspensión de la prueba: se detiene o suspende
la prueba. Los participantes deben tener claro
cuando se suspende la prueba.
o Fin de la prueba
Elaborar una prueba

 Métodos y técnicas
o Evaluación de la prueba: debe tener en cuenta:
 Derechos del personal.
 Evaluación equitativa.
 Hot wash, formal.
o Reporte post prueba: debe distribuir en todo el
personal que participó en la prueba. Se debe
evaluar rehacer la prueba con las acciones
correctivas.
Elaborar una prueba

 Salidas y revisión
o Procesos de escalamiento, invocación, alertas.
o Log de incidentes.
o Estructura de gestión de incidentes
o Roles y responsabilidades
o Líneas de comunicación con interesados.
o Aspectos técnicos, logísticos y administrativos
validados.
o Personal disponible para reubicación.
o Conocimiento de procedimientos de emergencia
Mantenimiento

 Introducción
o Se busca asegurar que el SGCN está
actualizado, asegurando que la organización esté
preparada para afrontar incidentes de forma
efectiva, a pesar de los cambios que se vayan
presentando.
o Es importante considerar que la
DOCUMENTACIÓN esté actualizada y distribuida
a los interesados.
Mantenimiento

 Principios generales
o Actividades de mantenimiento deben estar
embebidas en la organización.
o Las actividades de mantenimiento son
identificadas por medio de:
 Lecciones aprendidas a partir de las pruebas.
 Cambios en el entorno de la organización.
 Auditorías.
 Incidentes reales
 Cambios en los BIAS
Mantenimiento

 Proceso
o Revisión de cambios en el último mantenimiento.
o Evaluar el impacto de los cambios.
o Compartir los cambios con todas las áreas
involucradas.
o Actualizar los planes de acuerdo a la necesidad.
o Brindar capacitación a partir de la identificación
de brechas.
o Establecer una fecha para las próximas
revisiones.
Mantenimiento

 Proceso
o El análisis del impacto de los cambios debe
incluir:
 Revisar todos los supuestos que se han
adoptado.
 Revisar los tiempos objetivos actualizados
 Evaluar la disponibilidad de servicios que
podrían ser requeridos.
 Revisar el alcance que tienen los proveedores
claves.
Mantenimiento

 Métodos y técnicas
o Responsabilidad debe asignarse, sea de forma
individual o en equipos.
o Cualquier cambio a la documentación debe
distribuirse bajo un proceso formal de cambio.
o Se deben elaborar reportes que identifican el
progreso en el mantenimiento, puntos débiles y
recomendaciones para mejora de procesos.
Mantenimiento

 Salidas y revisión
o Cronograma planificado de mantenimiento.
o Reportes de avance.
o Procedimientos y políticas efectivas.
o Distribución a interesados.
Revisión

 Existen los siguientes tipos:


 Auditoria
 Autoevaluación
 Control de calidad
 Desempeño de proveedores
Revisión

 Auditoria
 Verificar el cumplimiento de políticas y
estándares.
 Revisión del programa asociados al SGCN.
 Verificar que se ejecutan pruebas periódicas.
 Resaltar deficiencias asegurando su atención.
 La revisión debe ser de preferencia anual.
Revisión

 Autoevaluación
 Revisar la implementación del SGCN.
 Tomar como punto de referencia las auditorias
realizadas.
 Ejecutarlas después de una implementación
inicial del SGCN.
Revisión

 Control de calidad
 Evaluar que se cumplan con las expectativas y
requerimientos de la organización.
 Se puede tomar como referencia los roadmap
empleados con fines de certificación.
Revisión

 Desempeño de proveedores
 Evaluar los contratos y los niveles de servicio.
 Evitar tener contratos de renovación automática.
 Manejar un cartera de proveedores similares
para posibles cambios.

S-ar putea să vă placă și