Documente Academic
Documente Profesional
Documente Cultură
GESTIÓN DE CONTINUIDAD DE
NEGOCIOS
Mg. Moises Villena Aguilar, AMBCI, CISA, CISM, CRISC, CGEIT
moises.villena@net-line-consulting.com
2014
Expositor
Moisés Villena Aguilar
Ingeniero Informático – Pontificia Universidad Católica del Perú
Colegiatura HABIL N° 141093
Grado Académico de MBA IT – Universidad de Lima
Certificaciones: CISM, CISA, CRISC, CGEIT, COBIT, ITIL V3, ISO/IEC
27002:2005, ISO/IEC 20000:2005, AMBCI
Experiencia Profesional:
Gerente GRC: NETLINE CONSULTING
Jefe de Riesgo Operacional: FINANCIERA TFC
Supervisor de Riesgo Operacional: FONDO MIVIVIENDA
Jefe de Seguridad TI: YANBAL INTERNATIONAL
Analista de Seguridad de Información: BANCO FALABELLA PERU
Contenido
4. Análisis
I. Generalidades
II. Análisis de Impacto
III. Evaluación de Amenazas
5. Diseño
I. Introducción
II. Estrategias y tácticas de continuidad y recuperación.
6. Implementación
I. Introducción
II. Plan de Continuidad de Negocios
III. Elaboración y gestión de planes
Contenido
7. Validación
I. Generalidades
II. Elaboración de un programa de pruebas
III. Elaborar una prueba
IV. Mantenimiento
1. Orígenes de la Continuidad de Negocios
I. Antecedentes
Antecedentes
• Actividades terroristas
– Perdida de vidas humanas .
– Empresas detenidas.
– Infraestructura de TI afectada.
Antecedentes
• Climas extremos
– Actividades económicas comprometidas.
– Vías de comunicación afectadas.
Antecedentes
• Pandemias
– Actividades económicas comprometidas.
– Ausencia de personal clave.
Antecedentes
Se busca proteger:
Personas.
Información.
Procesos y operaciones de negocio.
Empresa
Qué es la Gestión de Continuidad de Negocios?
Es importante porque:
Se protegen las vidas humanas.
Se reduce la confusión.
Se pueden tomar decisiones efectivas en medio de una crisis.
Se reduce la dependencia de personas específicas.
Se reduce la pérdida de información.
Se reduce la pérdida de clientes.
Se facilita la recuperación oportuna de los procesos de
negocio.
Se blinda la reputación e imagen pública de la organización.
III. Tendencias y Observaciones
Tendencias y Observaciones
• De acuerdo al BCI:
No es sólo para incidentes físicos de gran impacto y baja
probabilidad:
De quién es la responsabilidad?
De quién es la responsabilidad?
De quién es la responsabilidad?
Soporte y Financiamiento:
Operacional:
Error humano.
Error del proveedor de servicios.
Técnica
Fallas de energía.
Fallas de hardware y software.
Tendencias y Observaciones
Nuevas tecnologías
Mayor disponibilidad.
Cambios en localidad.
Ataques de hackers.
Infecciones de malware.
Tendencias y Observaciones
Entendimiento de la Organización
Entendimiento de la Organización
Entendimiento de la Organización
Pruebas y Mantenimiento
Nivel de impacto de
Estrategia de respaldo/recuperación
disponibilidad
hardware es configuración
Iteración permanente
Evaluación de la cultura actual de la organización.
Entendimiento de a dónde quiere ir la organización
Evaluación e identificación de las diferencias entre las anteriores.
o Principios generales:
o Claridad de qué procesos, con las áreas participantes, serán
incluidos en el programa.
o Productos y servicios.
o Se puede tener un alcance preliminar y luego ampliarlo.
Política y Gestión del Programa
o Proceso:
o Establecimiento de un comité que haga recomendaciones a
la Alta Dirección.
o Este comité revisará los productos y servicios, haciendo un
paralelo con la estrategia, objetivos, cultura, política,
requerimiento regulatorios.
o De existir un BIA previo, se hará una revisión del mismo.
o Se deben documentar las razones por las cuales NO se
considera un producto o servicio en el alcance del programa,
teniendo el visto bueno de la Alta Dirección.
Política y Gestión del Programa
Factores de Éxito
Apoyo visible y continuo de la Alta Dirección.
Involucramiento de todos los responsables en las campañas.
Alineamiento de las prioridades de la organización con el mensaje emitido
en las campañas.
Métodos y técnicas
Soporte y respaldo de la Alta Dirección.
Incorporar el programa del SGCN en las operaciones del día a día de la
organización.
Crear competencias, por medio del entrenamiento y concientización.
El nivel de competencia y concientización cambiará a medida que:
Las responsabilidades de los gerentes cambien.
Procesos de negocios se modifican.
Cambios en los empleados ocurran.
Eventos internos o externos inesperados se presentan.
4. Análisis
I. Generalidades
Generalidades
Conceptos y supuestos
Para cada producto y servicio, el propósito del BIA es:
Documentar el impacto en el tiempo que resultaría de una
interrupción.
Identificar el máximo periodo tolerable de la interrupción.
Establecer las prioridades para la recuperación.
Identificar las dependencias y recursos (internos y externos) que
deben tener en cuenta acorde a los niveles de servicio.
La norma ISO 22301 emplea dos indicadores:
MAO (maximum acceptable outage) ó
MTPD (maximum tolerable period of disruption),
definido como el tiempo que tomará el tener impactos
adversos, resultado de no brindar los servicios o
productos.
Análisis de Impacto de Negocio
Proceso
Las metodologías para elaborar un BIA pueden variar.
Cada industria puede tener necesidades de información
distinta para el BIA.
Al llevar a cabo un a BIA deben en tenerse en cuenta los
siguientes aspectos:
En una BIA inicial no siempre hay consenso de los
resultados.
La determinación de impactos permitirá que la Alta Dirección
sepa la rapidez con la que debe recuperarse la organización.
Debe emplearse información pertinente y relevante para
llevar a cabo el análisis.
Los impactos no podrán precisarse con exactitud.
Análisis de Impacto de Negocio
Métodos y técnicas
El MTPD se puede alcanzar cuando:
Los clientes no renueven sus contratos y la organización no puede
obtener nuevos clientes.
Cuando la reputación de la empresa es seriamente dañada, que
produce un alejamiento de inversionistas.
La organización está en la bancarrota o cerca de ella.
Presiones externas provocan un cambio mayor en la dirección de la
empresa o en su estrategia.
Los factores que se pueden considerar para estimar el
MTPD son:
Daño financiero.
Daño reputacional.
Fallas para lograr los objetivos organizacionales.
Análisis de Impacto de Negocio
Métodos y técnicas
Fallas en los distintos sectores pueden resultar de:
Implicaciones de salud debido a una falla de servicio
Requerimientos regulatorios.
Impactos financieros.
Daño ambiental.
Demoras en los proyectos o lanzamiento de productos.
Oportunidad para la competencia.
Métodos y técnicas
Reuniones de trabajo.
Cuestionarios en papel o automatizados.
Entrevistas
Combinación de los anteriores.
Salidas y revisión
Estructura organizada de productos y servicios,
procesos y actividades.
Una lista de todos los procesos y actividades que
contribuyen a la entrega de productos y servicios.
Análisis de Impacto de Negocio- BIA Inicial
Salidas y revisión
El MTPD y su justificación para cada producto,
proceso y actividad. Esto ayudará a determinar
las prioridades de continuidad y estrategias de
recuperación
Principales dependencias entre actividades, tanto
internas como externas.
Una lista de productos, servicios y procesos que
han sido excluidos, con la respectiva justificación
de dicha decisión.
Análisis de Impacto de Negocio- BIA Inicial
Salidas y revisión
El MTPD y su justificación para cada producto,
proceso y actividad. Esto ayudará a determinar
las prioridades de continuidad y estrategias de
recuperación
Principales dependencias entre actividades, tanto
internas como externas.
Una lista de productos, servicios y procesos que
han sido excluidos, con la respectiva justificación
de dicha decisión.
Análisis de Impacto de Negocio- BIA Estratégico
Introducción
Se identifican y priorizan los productos y servicios.
Se determina el MTPD y el MBCO.
Se puede emplear para determinar el impacto de la
interrupción de forma anticipada, frente a cambios
significativos como:
o Un nuevo producto, proceso o tecnología.
o Reubicación o cambio geográfico del negocio.
o Cambios significativos en las operaciones de
negocio, estructura o nivele de personal
o Nuevos proveedores o contratos de outsourcing.
Análisis de Impacto de Negocio- BIA Estratégico
Proceso
Reevaluar el alcance del SGCN, revisando
cualquier exclusión y consideración de nuevos
productos.
Entender el potencial impacto de desarrollos
futuros dentro de la organización.
Con fines de análisis, asignar productos y
servicios a grupos basados en urgencia de
entrega, separados por cliente o ubicación.
Revisión de impactos considerados como
criterios para determinar el MBCO.
Análisis de Impacto de Negocio- BIA Estratégico
Proceso
Documentar los impactos de tiempo en la
organización.
Estimar un MTPD para cada grupo de productos
o servicios.
Obtener el visto bueno de la Alta Dirección.
Proceder con el BIA Táctico.
Análisis de Impacto de Negocio- BIA Estratégico
Salidas y revisión
Una validación o modificación del alcance del
SGCN.
MBCO aprobado y firmado por la Alta Dirección.
MPTDs para cada grupo de servicios o
productos.
Una lista de grupos de productos o servicios más
urgentes.
Análisis de Impacto de Negocio- BIA Táctico
Métodos y técnicas
Los resultados del BIA táctico se harán sobre la
base del BIA estratégico.
El BIA táctico permitirá verificar las conclusiones
del BIA estratégico.
Los tiempos tendrán variaciones en las distintas
industrias: en algunos casos se habla de minutos
u horas, en otras de días.
Salidas
Una lista de procesos que dan soporte a los
productos y servicios más importantes.
MTPD y su justificación para cada proceso.
Análisis de Impacto de Negocio- BIA Operacional
Conceptos y supuestos
Los recursos a necesitarse después de una
interrupción serán una fracción de los empleados
en operación normal.
En algunos casos, en las primeras horas de la
interrupción se podría emplear mas recursos.
Ejemplo: Llamadas al call center durante la
interrupción.
La pérdida de datos puede complicar la
recuperación de la parte operativa.
Análisis de Impacto de Negocio- BIA Operacional
Conceptos y supuestos
La norma 22301:2012 hace referencia al RPO
como la pérdida máxima de datos.
Se busca obtener información de los recursos en
esta fase para:
Brindar información de recursos para poder
sugerir la mejor estrategia a la alta dirección.
Identificar requerimientos de recursos que
resulten de la dependencia de actividades
identificadas en el nivel táctico.
Análisis de Impacto de Negocio- BIA Operacional
Proceso
El proceso para determinar las actividades más
urgentes en el nivel operacional es similar a lo
ejecutado en el nivel táctico.
Sin embargo, se concentra en el nivel más
granular, a nivel de actividad.
El proceso debería identificar y priorizar las
actividades que contribuyen a que el proceso
permita la entrega de servicios o productos.
Cuantificar los recursos alineados al MTPD.
Análisis de Impacto de Negocio- BIA Operacional
Proceso
Tomar en cuenta cualquier actividad extra como
consecuencia de la interrupción, considerando
las siguientes categorías:
Personas
Locales
Recursos
Proveedores
Obtener la aprobación del dueño de negocio,
validando la información.
Obtener la aprobación de la alta dirección
respecto a las conclusiones.
Análisis de Impacto de Negocio- BIA Operacional
Métodos y técnicas
Se debe obtener información referida a:
Recursos necesarios por departamentos o
áreas y por tiempo.
Requerimientos de TI por tiempo.
Dependencias que impactarán los principales
procesos.
El BIA operacional debe ser desarrollado con
apoyo de un representante especializado por
departamento.
Análisis de Impacto de Negocio- BIA Operacional
Salidas
Lista de recursos internos y externos para
recuperar los productos y servicios más urgentes.
Actividades revisadas, respecto a los cambios
organizacionales.
III. Evaluación de Amenazas
Evaluación de Amenazas
Proceso
Listar las amenazas internas y externas que
pueden crear una interrupción a las actividades
mas urgentes, identificadas en el BIA.
Establecer un análisis de riesgo, que cuente con
la aprobación de la alta dirección.
Estimar el impacto en la organización para cada
amenaza.
Calcular el nivel de riesgo a partir de niveles de
probabilidad de ocurrencia e impacto.
Identificar riesgos no aceptables.
5. Diseño
I. Introducción
Introducción
Estrategias
Diversificación.
Replicación.
Standby.
Adquisición post incidente.
No hacer nada.
Subcontratar
Estrategias y tácticas de continuidad y recuperación
Tácticas
Son necesarias para que se ejecuten a partir de
eventos de pérdida de :
o Personas (habilidades y conocimiento)
o Instalaciones
o Recursos (TI, información, equipos,
materiales)
o Proveedores (productos y servicios brindados
por terceros).
Las tácticas deben poder ejecutarse de forma
individual o en conjunto.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Diversificación
De actividades y recursos para asegurar
operaciones continuas que se requieren en
ubicaciones geográficas dispersas. A la caída
de una ubicación, las otras continúan.
Puede ser bastante costosa.
No tiene cobertura frente a situaciones de
pandemia o infección de virus informático.
Es adecuada cuando el RTO está expresado
en minutos u horas.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Replicación
Brinda la capacidad de llevar a cabo todas
las actividades requeridas pero implicará
mover el personal hacia el lugar replicado
luego del incidente.
Es adecuada cuando el RTO es mayor a
algunas horas pero menor a un día.
Es necesario asegurar que exista personal
dispuesto a trasladarse a la nueva ubicación
por un periodo de tiempo.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Standby
Adecuado cuando el RTO es mayor a un día.
Se cuenta con un local listo para habilitarlo
operacionalmente.
El local presenta características favorables
para ponerlo operativo en un corto tiempo.
Es necesario contar con personal dispuesto a
trabajar en la nueva ubicación.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Adquisición post incidente
Adquirir recursos necesarios para llevar a
cabo las actividades después de un incidente
es viable cuando el RTO está expresado en
días o semanas, habiendo precalificado a
proveedores específicos.
No son viables los requerimientos especiales,
que impliquen tiempo de entrega amplios.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
No hacer nada
Es viable cuando el RTO está expresado en
meses.
Se aplica después de un incidente, tomando
la decisión en el momento.
Es necesario documentar por qué se optó por
esta estrategia.
Esta estrategia es adoptada por cualquier
organización que no ha implementado
un SGCN.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Subcontratar
Dependerá de qué tan rápido la organización
requiere el servicio o producto subcontratado
entre a operar.
Es necesario evaluar los RTO para poder
establecer las condiciones apropiadas para la
subcontratación.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Seguros
Permite brindar una compensación
económica frente a la pérdida de activos,
incremento de costos de trabajo, protección
frente a temas legales.
No es recomendable cuando el RTO está
expresado en meses y se requiere equipo
especializado, instalaciones o habilidades.
Es necesario tener claro que los seguros no
permiten la recuperación inmediata, salvo con
RTO medidos en meses o años.
Estrategias y tácticas de continuidad y recuperación
Proceso
Estratégico
RTO para productos y servicios se
determinan y seleccionan las estrategias que
permitirán implementarlos.
Los pasos claves son:
o Dimensionar los RTO a partir del MTPD.
o Identificar los RTO por servicio si la
recuperación se llevará a cabo por fases.
o Identificar las estrategias para lograr los
RTO acordados.
Estrategias y tácticas de continuidad y recuperación
Proceso
o Retroalimentar a la alta dirección con las
opciones de estrategia, brindando las
recomendaciones del caso.
o Todas las decisiones necesitarán contar
con el respaldo y soporte de la Alta
Dirección.
Táctico y Operacional
Se ejecutan las medidas necesarias para
cumplir con los RTO asociados a nivel de
procesos y actividades.
Balance costo beneficio.
Estrategias y tácticas de continuidad y recuperación
Proceso
Se ejecutan las medidas necesarias para
cumplir con los RTO asociados a nivel de
procesos y actividades.
Balance costo beneficio.
Los pasos a ejecutar son:
o Identificar RTO por servicio.
o Ejecutar tácticas que permitan cumplir con
los RTO
o Analizar la efectividad y costos asociados
a cada táctica.
Estrategias y tácticas de continuidad y recuperación
Proceso
o Mostrar a la alta dirección la evaluación de
las alternativas con las respectivas
recomendaciones.
o Identificar proyectos de implementación
asociadas a cada táctica.
o Aprobación de la alta dirección.
Estrategias y tácticas de continuidad y recuperación
Proceso
Consolidación
o Las tácticas seleccionadas para los procesos
y actividades se deben consolidar para:
Asegurar son consistentes a lo largo de la
organización.
Que no entran en conflicto unas con otras.
Determinar la mejor forma de obtener
requerimientos externos.
Asistir en el diseño de las respuestas a
incidentes e identificar el número de
planes requeridos.
Estrategias y tácticas de continuidad y recuperación
Proceso
Consolidación
o Los pasos claves para el proceso de
consolidación son:
Totalizar los requerimientos de las tácticas
seleccionadas.
Validar que las opciones seleccionadas
son consistentes a lo largo de la
organización.
Verificar que no hayan conflictos.
Verificar que los requerimientos de
terceros se pueden obtener.
Estrategias y tácticas de continuidad y recuperación
Proceso
Consolidación
Evaluar las implicaciones de recursos de
las tácticas escogidas, a nivel operativo.
Reevaluar alternativas si se presentan
conflictos.
Reconfirmar la importancia estratégicas
los productos y servicios.
Retroalimentar a la alta dirección con los
requerimientos consolidados.
Obtener los recursos presupuestales
Estrategias y tácticas de continuidad y recuperación
Entregables y Revisión
Estrategias y tácticas aprobadas por la alta
dirección.
Diseño para la continuidad y recuperación que se
emplearán en los planes.
Proyectos con presupuesto y recursos para su
ejecución.
Detalles suficientes para diseñar la estructura de
respuesta a incidentes.
Estrategias y tácticas de continuidad y recuperación
Entregables y Revisión
Se harán revisiones del diseño :
Anuales, seguido de un análisis de los
requerimientos.
Después de alguna prueba de recuperación.
Frente a cambios significativos en:
Productos o servicios.
Infraestructura.
Actividades.
Requerimientos legales
Personas y habilidades
Estrategias y tácticas de continuidad y recuperación
Conceptos y supuestos
Los niveles estratégicos, tácticos y operativos
llevan a cabo distintos roles.
Estratégico: describe cómo la Alta Dirección
direccionará y gestionará los aspectos asociados
a un incidente mayor.
Táctico: detalla la gestión y coordinación de las
operaciones de recuperación, asegurando los
recursos necesarios.
Operativo: direcciona la recuperación de
actividades o sistemas a niveles predefinidos del
servicio.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Diseño de la estructura
o Se requiere tener identificados a los equipos
de emergencia y gestión de incidentes y
recuperación.
o Se deben identificar a los equipos de los
niveles estratégico, táctico y operativo.
o Se deben tener en cuenta algunos factores:
Estructura de gestión vigente.
Naturaleza de la organización,
complejidad e infraestructura de procesos.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Diseño de la estructura
Estrategias de continuidad y recuperación
seleccionadas.
La urgencia, complejidad, naturaleza de
los requerimientos de recuperación.
Estrategias y tácticas de continuidad y recuperación
Métodos y técnicas
Roles y responsabilidades: se deben contar con
responsabilidades para los siguientes puntos.
o Equipos de movilización.
o Planes de activación.
o Recursos requeridos.
o Comunicación a interesados.
o Comunicación a la prensa.
o Personal de bienestar social.
o Escalamiento.
o Cambios de prioridades a medida que la
situación cambia.
Estrategias y tácticas de continuidad y recuperación
Proceso
Identificar la estructura de gestión y
requerimientos de recuperación.
Identificar el personal y equipos responsables
para la respuesta a emergencias, crisis y planes
de gestión de incidentes.
Desarrollar un borrador de la estructura del plan
de respuesta a incidentes.
Revisar el borrador.
Prepara propuesta para la alta dirección.
Obtener la aprobación de la alta dirección
Publicar y comunicar la estructura de respuesta a
incidentes.
Estrategias y tácticas de continuidad y recuperación
Salidas y revisión
Equipos de respuesta y recuperación.
Relación entre equipos.
Roles y responsabilidades entre equipos.
Es necesario llevar a cabo una revisión de la
estructura frente a cambios en:
Alcance del SGCN.
Estructura de gestión.
Infraestructura de procesos.
Estrategias y tácticas de continuidad y
recuperación.
Ocurrencia de un incidente mayor.
6. Implementación
I. Introducción
Introducción
Principios generales:
ISO 22301: define los planes de continuidad
como “ procedimientos documentados que guían
a las organizaciones para responder, recuperar,
restaurar los niveles predefinidos de operación
frente a una interrupción”.
También se emplean otro tipo de términos para
hacer mención a los procedimientos
documentados: Planes de Emergencia, Planes
de Crisis, DRP.
Plan de Continuidad de Negocios
Principios generales:
Otros planes que se pueden mencionar:
Plan de respuesta a la prensa.
Plan frente a pandemia.
Plan de Contingencia.
Plan de Continuidad de Servicios.
Etc.
Plan de Continuidad de Negocios
Conceptos y Supuestos.
Un plan de continuidad debe presentar ciertas
características para ser efectivo:
o Directo: planes claros, orientado a acciones
o Adaptable: debe permitir a la organización
responder a varios incidentes, incluyendo
aquellos que no hayan sido anticipados.
o Conciso: deben contener guías, información y
herramientas que puedan emplear los
equipos.
o Relevantes: información actualizada y
aplicable al equipo que lo empleará.
Plan de Continuidad de Negocios
Conceptos y Supuestos.
o Debe direccionar niveles estratégicos, tácticos
y operativos.
o El número y tipo de planes se determinan por
contexto más que por teoría.
o No existe una solución única para estructurar
los planes.
o Se aprovecha la combinación de experiencia
y conocimiento para estructurar los planes en
cada organización.
Plan de Continuidad de Negocios
Métodos y técnicas.
o Los niveles estratégicos, tácticos y operativos
brindan un modelo para cualquier tamaño de
organización, pero debe ajustarse a cada
organización.
o Organización pequeñas de un sóla sede:
todos los niveles de respuesta se pueden
implementar en un solo plan, con un solo
equipo de respuesta para toda la
organización.
Plan de Continuidad de Negocios
Métodos y técnicas.
o Organización de tamaño medio:
Nivel estratégico: un plan de gestión de
incidentes, con un equipo de respuesta que
incluye miembros de la Alta dirección.
Nivel táctico: un único plan que abarque todas
las operaciones de la organización, con un
equipo de respuesta compuesto por jefe de
departamentos o líderes funcionales.
Nivel operacional: un plan táctico, el DRP se
maneja por separado, debido a los detalles de
TI.
Plan de Continuidad de Negocios
Métodos y técnicas.
o Organización de gran tamaño:
Nivel estratégico: un plan de gestión de
incidentes, con un equipo de respuesta
que incluye miembros de la Alta dirección.
Nivel táctico: Varios planes, cada uno
cubriendo varios productos, servicios o
locaciones, cada uno con su equipo de
respuesta.
Nivel operacional: varios planes tácticos,
excepto TI, Finanzas y RRHH, que son
especializados.
Plan de Continuidad de Negocios
Métodos y técnicas.
o Organización multinacionales:
Nivel estratégico: un plan de gestión de
incidentes global, con responsabilidades
globales, un plan de incidentes para cada
territorio, con un equipo que cuenta con
miembros de la Alta dirección en cada
territorio.
Plan de Continuidad de Negocios
Métodos y técnicas.
o Organización multinacionales:
Nivel táctico: cada territorio puede tener
varios planes, cubriendo productos y
servicios, cada uno con su equipo de
respuesta.
Nivel operacional: cada ubicación puede
tener su propio plan operativo, con su
propio equipo de respuesta en cada
locación.
Plan de Continuidad de Negocios
Métodos y técnicas
o Para el desarrollo de planes se emplearán las
siguientes herramientas:
Reuniones y entrevistas.
Checklists
Talleres de trabajo.
o Los planes deben ser concisos y de fácil lectura.
o Tener en cuenta que serán leídos en situaciones
de alta presión y bajo stress.
o No deben incluir información no relevante y de
poca importancia.
Plan de Continuidad de Negocios
Métodos y técnicas
o Los planes se puede elaborar de forma modular,
con secciones separadas, las cuales se
distribuyen sólo a los equipos que los necesiten.
o Si se opta por lo anterior, debe existir un
responsable de la custodia de la versión
compilada.
o Planes NO deben diseñarse de forma AISLADA.
o Deben almacenarse en ubicaciones a las que los
interesados tengan acceso.
Plan de Continuidad de Negocios
Métodos y técnicas
o Todos los planes deben tener la siguiente
estructura:
Propósito y alcance.
Objetivos y supuestos.
Estructura de gestión de incidentes.
Responsabilidades de los equipos de
respuesta.
Líderes de equipos de respuesta.
Responsabilidades de los miembros del
equipo de respuesta.
Plan de Continuidad de Negocios
Métodos y técnicas
Instrucciones de movilización.
Plan de activación: procedimientos y
autorización.
Invocación.
Detalles de contactos.
Ubicaciones de lugares de reunión.
Comunicaciones
Información clave de las fases previas del
SGCN
Plan de Continuidad de Negocios
Métodos y técnicas
o Roles y responsabilidades
Líder de equipo: se asegura que el equipo de
respuesta se active.
Personal de bienestar.
Comunicaciones internas: para mantener
comunicación con otros equipos.
Comunicaciones externas: para establecer y
mantener contacto con interesados y la
prensa.
Operaciones.
Plan de Continuidad de Negocios
Métodos y técnicas
o Roles y responsabilidades
Soporte técnico.
Soporte administrativo.
o Movilización de equipos:
Plan debe incluir las condiciones necesarias
en las que los equipos se movilizarán.
El plan puede incluir niveles de interrupción,
impactos, escalamiento hacia otros equipos.
Plan de Continuidad de Negocios
Métodos y técnicas
o Movilización de equipos:
El plan debe mostrar los miembros que tienen
la autoridad para movilizar los equipos,
equipamiento y otras facilidades.
Debe existir cierta flexibilidad en los planes
frente a la ausencia de algunos miembros de
los equipos.
Debe documentarse cada movimiento de los
equipos.
Plan de Continuidad de Negocios
Métodos y técnicas
o Lugares de reunión
El equipo debe acordar anticipadamente un
número posible de lugares de reunión,
priorizando aquellos que cuentan con los
recursos necesarios.
Se deben definir al menos dos ubicaciones
como centro de comando central, uno on site
y el otro off site.
La ubicación off site no necesariamente es
propiedad de la organización.
Plan de Continuidad de Negocios
Métodos y técnicas
o Lugares de reunión
Para eventos de largo alcance, surge el
concepto de equipo virtual de gestión de
incidentes con un centro de comando virtual,
sobre la base de una infraestructura mínima
de comunicaciones.
Se deben tener en cuenta algunas
consideraciones del uso de espacios:
Comunicaciones: entrada y salida.
Grabación de eventos, decisiones,
acciones y temas.
Plan de Continuidad de Negocios
Métodos y técnicas
o Lugares de reunión
Para eventos de largo alcance, surge el
concepto de equipo virtual de gestión de
incidentes con un centro de comando virtual,
sobre la base de una infraestructura mínima
de comunicaciones.
Se deben tener en cuenta algunas
consideraciones del uso de espacios:
Comunicaciones: entrada y salida.
Grabación de eventos, decisiones,
acciones y temas.
Plan de Continuidad de Negocios
Métodos y técnicas
o Lugares de reunión
Monitoreo de información respecto del
incidente.
Control de ingreso
Se deben considerar los siguientes recursos.
Línea continua de energía estabilizada.
Líneas telefónicas, equipos de
teleconferencia.
Computadoras e impresoras
Celulares con cargadores.
Plan de Continuidad de Negocios
Métodos y técnicas
o Lugares de reunión
Correo electrónico, internet, fax con
acceso seguro.
Copias impresas de planes relevantes e
información urgente.
Equipos de radio y tv.
Pizarras
Acceso a : bebidas (no alcohólicas),
transporte, instalaciones para dormir,
servicios higiénicos.
Plan de Continuidad de Negocios
Métodos y técnicas
o Actividades de personas
Las empresas tienen una obligación
LEGAL de salvaguardar la salud y
seguridad de sus empleados, contratistas,
visitantes y clientes.
Se deben considerar los siguientes
aspectos:
Requerimientos especiales:
responsabilidades familiares,
embarazadas, discapacitados
Gestionar los casos de fallecidos
Plan de Continuidad de Negocios
Métodos y técnicas
o Actividades de personas
Durante un incidente, uno o más personas
deben asumir responsabilidad por lo siguiente:
Evacuación del lugar.
Comunicación con personal de otras
ubicaciones.
Contactar a familiares de personal.
Asistencia en el transporte.
Implementar una línea telefónica de
información.
Servicios de traducción.
Plan de Continuidad de Negocios
Métodos y técnicas
o Actividades de personas
Se pueden presentar necesidades
adicionales:
Servicios de rehabilitación.
Reubicación temporal.
Acceso a cash de emergencia.
III. Elaboración y Gestión de Planes
Planes Estratégicos
Introducción
o Definen cómo deben manejarse los aspectos
estratégicos a partir del resultado de incidentes
mayores, por parte de la Alta Dirección.
o Algunos incidentes requerirán una respuesta de
nivel estratégico, no necesariamente por
interrupciones de las actividades amenazas a
la reputación. Por tanto NO es necesaria una
activación de plan.
o Podría ser necesario desarrollar una movilización
de algunos roles hacia las ubicaciones donde es
potencial el impacto a la reputación.
Planes Estratégicos
Introducción
o En casos como el anterior es necesario que
intervenga un equipo de nivel estratégico.
o Las organizaciones asignan un nombre al plan
de acuerdo a su estructura o cultura:
“Plan de Gestión de Reputación”
“Plan de Gestión de Imagen Corporativa”
“Plan de Gestión de Reputación e Imagen
empresaria”.
Planes Estratégicos
Principios Generales
o Una vez activado, el plan estratégico debe
direccionar las comunicaciones y control de
actividades con todos los involucrados.
o El contenido del plan debe estar ajustado a la
naturaleza y complejidad de la organización.
o El plan puede contener material referencial
respecto a las distintas estrategias o respuestas
generales de la organización frente a incidentes
específicos.
Planes Estratégicos
Conceptos y Supuestos
o Durante un incidente de interrupción, los
miembros del equipo estratégico son
responsables por la reputación, estabilidad y
continuidad de la organización.
o Algunas responsabilidades del equipo estratégico
son:
Definir los objetivos estratégicos de la
respuesta frente al incidente.
Identificar estrategias de corto, mediano y
largo plazo, acorde a la naturaleza del
incidente.
Planes Estratégicos
Conceptos y Supuestos
Administrar las comunicaciones con los
involucrados, incluyendo la prensa.
Aprobar comunicados antes de difundirse,
haciendo seguimiento a la estrategia de
comunicación.
Resolver conflictos en la respuesta y
recuperación.
Identificar y maximizar oportunidades
derivadas del incidente.
Asegurar la salud financiera de la
organización.
Planes Estratégicos
Conceptos y Supuestos
o Algunos recursos que pueden ser considerados
por el equipo de estrategia pueden incluir:
Facilidades de radio y tv para entrevistas.
Líneas de comunicación y cámaras para
transmitir entrevistas
Ambientes para recepción de la prensa.
Métodos y técnicas
Responsabilidades específicas del equipo de
respuestas incluye:
o Coordinar y monitorear la respuesta y
recuperación de los equipos
subordinados.
Planes Tácticos
Métodos y técnicas
o Facilitar recursos a los equipos
subordinados.
o Cambiar las prioridades y acciones de
recuperación de acuerdo a situaciones
estacionales, condiciones de negocio o de
acuerdo a indicaciones del nivel
estratégico.
o Monitorear las principales funciones de
soporte de TI, Recursos Humanos,
Financiera, etc.
Planes Tácticos
Métodos y técnicas
o Solicitar o recibir información de otros
equipos de respuesta.
o Informar al equipo de gestión de
incidentes.
o Movilizar proveedores especializados de
acuerdo a lo requerido.
o Algunos recursos a usar pueden ser:
Personal
Locaciones alternas
Facilidades de seguridad
Planes Tácticos
Métodos y técnicas
Tecnología, comunicaciones y datos
Transporte y logística
Otros proveedores de servicio.
o El plan puede incluir:
Información de contacto en la
organización.
Información de interés para los grupos y
detalles de contactos.
Almacenamiento seguro para documentos
legales.
Espacios contratados de trabajo
Procedimientos de emergencia para
obtener liquidez.
Planes Tácticos
Salidas y revisión
o La revisión del proceso de planeamiento incluye:
Aprobado por la Alta Dirección.
Un framework que permite que los planes
operativos puedan operar.
o Alguna información que pueda desactualizarse
debe ser revisada periódicamente.
o Algunas situaciones que generan una revisión:
Un cambio significativo en la organización.
Un cambio significativo en el proceso de
negocio.
Un cambio significativo en el personal.
Un cambio significativo en los servicios TI.
Planes Operativos
Introducción
o Cubren la respuesta de las unidades de negocio
frente a un incidente.
o Planes elementales se ejecutarán rápidamente,
en relación a los procedimientos de
recuperación, si están en un solo documentos.
o Se busca contar con planes de recuperación
para cada unidad, siendo cada una responsable
de los mismos.
Planes Operativos
Principios generales
o Ejemplos de planes operacionales son:
Un plan de una unidad de negocios para
restablecer sus funciones en un tiempo
predefinido.
Una respuesta de RRHH frente a incidentes.
Procedimientos para asistir los equipos de
nivel táctico, liderados por unidades que
hacen frente a respuestas de incidentes
físicos.
La respuesta de TI frente a interrupciones en
sistemas, aplicaciones y servicios.
Planes Operativos
Conceptos y Supuestos
o La complejidad y urgencia de los procesos de
negocio pueden determinar lo que cubre un plan
operativo, desde una actividad o un conjunto de
las mismas.
o Estos planes pueden tener soporte de otros más
específicos, asociados a diversas locaciones y
equipamiento.
o Debido a la relación entre los planes tácticos y
los operativos, los planes tácticos deben ser
escritos ANTES de los operativos.
Planes Operativos
Proceso
o El plan debe ser orientado a la acción, de fácil
lectura y acceso en condiciones de presión.
o Fases específicas:
Establecer una persona para gestionar la
elaboración de todos los planes operativos.
Identificar un representante de cada unidad
de negocio para elaborar su plan.
Elaborar un proceso de planeamiento y
cronograma. Priorizar los planes más
urgentes.
Planes Operativos
Proceso
Decidir la estructura, formato, componentes y
contenido de los planes.
Documentar la relación con planes de nivel
táctico y con otros planes operativos.
Gestionar el desarrollo de planes entre cada
unidad de negocio.
Compartir el borrador de los planes para
obtener retroalimentación.
Obtener opinión de consultorías.
Validar el plan mediante pruebas con cada
unidad de negocio.
Planes Operativos
Métodos y técnicas
Planes pueden incluir:
o Acceso y uso de las instalaciones.
o Recuperación de actividades de unidad de
negocio de acuerdo a los tiempos
objetivos.
o Movilización de equipos e invocación de
recursos requeridos.
Los planes pueden incluir procedimientos e
información referidos a:
o Planes de evacuación de instalaciones
Planes Operativos
Métodos y técnicas
o Puntos de evacuación.
o Procedimientos para amenazas de bomba
o Procedimientos de escalamiento.
o Procedimientos para verificación de
cantidad de personal.
o Contacto con miembros de equipos.
o Priorización de actividades de acuerdo a
los tiempos.
o Recursos y materiales requeridos.
o Procedimientos no estándares y
especiales
Planes Operativos
Salidas y revisión
o Planes documentados para cada unidad
de negocio.
o Criterios de éxito.
o Roles claramente definidos dentro de cada
unidad de negocio.
Los planes operacionales deben ser
revisados frente a un cambio importante en
los procesos de negocio o tecnología al
interior de cada unidad de negocio.
7. Validación
I. Generalidades
Generalidades
Proceso:
o Revisar el alcance (planes a probar, recursos y
actividades) de pruebas pasadas para ver qué
aspectos no se han probado aún.
o Evaluar con la Alta Dirección puntos débiles y
prioridades.
o Elaborar el presupuesto necesario para la
prueba.
o Decidir qué tipos de prueba serán ejecutadas en
el periodo.
o Validar la disponibilidad de personal e
infraestructura.
Elaboración de un programa de pruebas
Proceso:
o Esbozar un programa de pruebas.
o Poner el programa a revisión y aprobación de la
Alta Dirección.
o Identificar cualquier necesidad de entrenamiento
para los participantes.
Elaboración de un programa de pruebas
Salidas y revisión:
Programa de pruebas efectivo.
Requerimientos de recursos definidos.
Participantes:
• Facilitadores
• Observadores
• Equipos estratégicos, tácticos y operativos
• Proveedores de servicios y recursos
• Auditores
• Planificadores de autoridades de emergencia
locales
Se pueden convocar más participantes según sea
el caso.
Elaborar una prueba
Proceso
o Acordar el alcance, objetivos y expectativas de
los resultados.
o Identificar al equipo de pruebas.
o Diseñar: incluye el presupuesto, identificación de
riesgos en ambientes de producción.
o Ejecutar la prueba
o Evaluar los resultados.
o Seguimiento a observaciones.
Elaborar una prueba
Métodos y técnicas
o Planificar la prueba: deben enumerarse una lista
cronológica de eventos, especialmente:
Objetivo de la prueba.
Tiempo objetivo.
Descripción del evento.
Miembros de equipo involucrado.
Personal
Elaborar una prueba
Métodos y técnicas
o Antes de iniciar la prueba: se debe tener claro lo
que se necesitará antes y después de la prueba:
Roles y responsabilidades durante la prueba
Sistemas a emplear
Acciones a ejecutar si ocurren aspectos no
contemplados.
Requerimientos post prueba.
Elaborar una prueba
Métodos y técnicas
o Inicio de la prueba: se debe comunicar a todos
los participantes, no deben existir ambigüedades.
o Durante la prueba: Se deben ejecutar las
pruebas de acuerdo al plan.
o Suspensión de la prueba: se detiene o suspende
la prueba. Los participantes deben tener claro
cuando se suspende la prueba.
o Fin de la prueba
Elaborar una prueba
Métodos y técnicas
o Evaluación de la prueba: debe tener en cuenta:
Derechos del personal.
Evaluación equitativa.
Hot wash, formal.
o Reporte post prueba: debe distribuir en todo el
personal que participó en la prueba. Se debe
evaluar rehacer la prueba con las acciones
correctivas.
Elaborar una prueba
Salidas y revisión
o Procesos de escalamiento, invocación, alertas.
o Log de incidentes.
o Estructura de gestión de incidentes
o Roles y responsabilidades
o Líneas de comunicación con interesados.
o Aspectos técnicos, logísticos y administrativos
validados.
o Personal disponible para reubicación.
o Conocimiento de procedimientos de emergencia
Mantenimiento
Introducción
o Se busca asegurar que el SGCN está
actualizado, asegurando que la organización esté
preparada para afrontar incidentes de forma
efectiva, a pesar de los cambios que se vayan
presentando.
o Es importante considerar que la
DOCUMENTACIÓN esté actualizada y distribuida
a los interesados.
Mantenimiento
Principios generales
o Actividades de mantenimiento deben estar
embebidas en la organización.
o Las actividades de mantenimiento son
identificadas por medio de:
Lecciones aprendidas a partir de las pruebas.
Cambios en el entorno de la organización.
Auditorías.
Incidentes reales
Cambios en los BIAS
Mantenimiento
Proceso
o Revisión de cambios en el último mantenimiento.
o Evaluar el impacto de los cambios.
o Compartir los cambios con todas las áreas
involucradas.
o Actualizar los planes de acuerdo a la necesidad.
o Brindar capacitación a partir de la identificación
de brechas.
o Establecer una fecha para las próximas
revisiones.
Mantenimiento
Proceso
o El análisis del impacto de los cambios debe
incluir:
Revisar todos los supuestos que se han
adoptado.
Revisar los tiempos objetivos actualizados
Evaluar la disponibilidad de servicios que
podrían ser requeridos.
Revisar el alcance que tienen los proveedores
claves.
Mantenimiento
Métodos y técnicas
o Responsabilidad debe asignarse, sea de forma
individual o en equipos.
o Cualquier cambio a la documentación debe
distribuirse bajo un proceso formal de cambio.
o Se deben elaborar reportes que identifican el
progreso en el mantenimiento, puntos débiles y
recomendaciones para mejora de procesos.
Mantenimiento
Salidas y revisión
o Cronograma planificado de mantenimiento.
o Reportes de avance.
o Procedimientos y políticas efectivas.
o Distribución a interesados.
Revisión
Auditoria
Verificar el cumplimiento de políticas y
estándares.
Revisión del programa asociados al SGCN.
Verificar que se ejecutan pruebas periódicas.
Resaltar deficiencias asegurando su atención.
La revisión debe ser de preferencia anual.
Revisión
Autoevaluación
Revisar la implementación del SGCN.
Tomar como punto de referencia las auditorias
realizadas.
Ejecutarlas después de una implementación
inicial del SGCN.
Revisión
Control de calidad
Evaluar que se cumplan con las expectativas y
requerimientos de la organización.
Se puede tomar como referencia los roadmap
empleados con fines de certificación.
Revisión
Desempeño de proveedores
Evaluar los contratos y los niveles de servicio.
Evitar tener contratos de renovación automática.
Manejar un cartera de proveedores similares
para posibles cambios.