LibroRojo - BCM - Agil - CN V1 27012020 PDF

CONTINUIDAD DEL
NEGOCIO
TRATADO ROJO – BCM AGIL
BCM = BIA + BCP + DRP

La continuidad de Negocio es responsabilidad de Todos,
No de TIC`s.
1
2
Tratado Rojo – BCM Ágil
CONTINUIDAD DEL NEGOCIO – TRATADO ROJO - BCM – AGIL
Contenido
BCM = BIA + BCP + DRP...........................................................................................................................................................................................................................................................1
Tratado de Continuidad de Negocio ................................................................................................................................................................................................................................ 6
Introducción: .................................................................................................................................................................................................................................................................. 6
High Performance Business Continuity Management – BCP/DRP práctico y efectivo........................................................................................................................... 6
Business Continuity Management (BCM) ............................................................................................................................................................................................................... 6
Enfoque incompleto ..................................................................................................................................................................................................................................................... 6
Optimismo y complacencia ....................................................................................................................................................................................................................................... 6
Demasiada inversión (tiempo y dinero) ................................................................................................................................................................................................................ 6
High Performance Business Continuity Management (HPBCM) ..................................................................................................................................................................... 6
HPBCM se compone de cuatro fases: ..................................................................................................................................................................................................................... 7
Planeación ...................................................................................................................................................................................................................................................................... 7
Desarrollo ....................................................................................................................................................................................................................................................................... 7
Puesta en marcha ........................................................................................................................................................................................................................................................ 7
Mantenimiento y pruebas .......................................................................................................................................................................................................................................... 7
Conclusión .............................................................................................................................................................................................................................................................. 7
Importancia del Plan de Continuidad de Negocio: ............................................................................................................................................................................................. 8
Normas o Buenas Prácticas: ..................................................................................................................................................................................................................................... 8
International Organization for Standardization ............................................................................................................................................................................................... 10
Organizaciones Internacionales de Continuidad del Negocio ...................................................................................................................................................................... 10
Set de componentes de la Continuidad de Negocio. ................................................................................................................................................................................................. 11
Capítulo 1: Comprensión del Negocio – As Is – Situación Actual ................................................................................................................................................................. 11
Situación actual del negocio en términos de: ........................................................................................................................................................................................... 11
Diagnóstico de TIC`s: ........................................................................................................................................................................................................................................... 11
Diagnóstico de Continuidad de Negocio: ...................................................................................................................................................................................................... 11
Resultado de situación vigente As Is: ........................................................................................................................................................................................................... 11
Identificación de situación futura deseada To Be: ................................................................................................................................................................................... 11
Brechas entre buenas prácticas – As Is y el To Be: ................................................................................................................................................................................. 11
Resultados Esperados: ...................................................................................................................................................................................................................................... 11
Aspectos Clave Realizar: .................................................................................................................................................................................................................................. 11
Capítulo 2: Estrategias de Continuidad de Negocio – To Be.......................................................................................................................................................................... 12
Definir un RoadMap de trabajo para los próximos 5 a 7 años de Construcción de la estrategia de Continuidad de Negocio: ..................................... 12
Diseñar un Programa de Continuidad de Negocio en base al RoadMap: ......................................................................................................................................... 12
BCM Ágil = BIA + BCM + DRP

3
Establecer un Alcance por Olas de la continuidad de Negocio en términos de: ........................................................................................................................... 12

El Alcance de la continuidad de Negocio debe establecer:.................................................................................................................................................................. 12
El Alcance de la Continuidad de Negocio se basará en la definición de: ........................................................................................................................................ 12
El alcance de la continuidad de negocio debe revisar que se cubren los 5 ejes clave del Modelo de Negocio: ............................................................... 12
En términos de Alcance se debe vigilar: .................................................................................................................................................................................................... 12
Resultados Esperados: ..................................................................................................................................................................................................................................... 13
Aspectos Clave Realizar: ................................................................................................................................................................................................................................. 13
Capítulo 3: Enfoque de la Continuidad de Negocio........................................................................................................................................................................................... 13
Horizontes de Continuidad de Negocio en términos de: ........................................................................................................................................................................ 13
Establecer los tipos de escenarios de desastres o crisis que se pueden cubrir en términos de continuidad de negocio: ............................................ 13
Ciclo de vida de la continuidad del negocio: ............................................................................................................................................................................................. 13
Capítulo 4: Análisis de Impacto al Negocio - BIA ............................................................................................................................................................................................. 14
Análisis de Riesgos de Procesos Críticos de Negocio: ........................................................................................................................................................................... 14
Análisis de Impacto al Negocio: ..................................................................................................................................................................................................................... 14
Componentes Clave del Análisis de Impacto al Negocio:...................................................................................................................................................................... 14
Análisis y Desarrollo de Estrategias Viables: ........................................................................................................................................................................................... 14
Capítulo 5: Ciclo de vida de Manejo de Crisis .................................................................................................................................................................................................... 15
Desarrollo de Planes de Continuidad de Negocio: ................................................................................................................................................................................... 15
Escenarios de Crisis en donde se aplican los planes: ........................................................................................................................................................................... 15
Política de Continuidad de Negocio: ............................................................................................................................................................................................................. 15
Reglas de Gestión de Continuidad de Negocio: ......................................................................................................................................................................................... 15
Criterios Clave para activar un ciclo de manejo de Crisis 4R: ........................................................................................................................................................... 15
Ciclo de Vida de la Gestión de Crisis 4R: .................................................................................................................................................................................................... 15
Revisión de la restauración de la operación después de la crisis: ................................................................................................................................................... 16
Capítulo 6: Ciclo de Administración y Gestión de la Continuidad del Negocio. ...................................................................................................................................... 16
Implementación de la continuidad de Negocio: ....................................................................................................................................................................................... 16
Definir – Inicio del alcance de la continuidad de negocio en corto, mediano y largo plazo. .................................................................................................... 16
Diseñar – Planificar según BIA: ..................................................................................................................................................................................................................... 16
Metodologías Agiles para Diseñar y Planificar: ....................................................................................................................................................................................... 16

4
Gestionar y Ejecutar Planes de continuidad: ............................................................................................................................................................................................ 16

Administrar – Monitoreo y Control de Planes de Continuidad: ........................................................................................................................................................... 17
Iniciativas que Gestionan los equipos de Continuidad de Negocio: ................................................................................................................................................... 17
Transición y Despliegue de planes de continuidad: ................................................................................................................................................................................ 17
Comunicación interna y externa: .................................................................................................................................................................................................................. 17
Capacitación Entrenamiento y Talleres:..................................................................................................................................................................................................... 17
Evaluación y Despliegue de Planes: ............................................................................................................................................................................................................. 17
Liberar - Operación de Planes de Continuidad: ....................................................................................................................................................................................... 18
Capítulo 7: Dominios de la Continuidad del Negocio. ...................................................................................................................................................................................... 18
Relaciones y acuerdos con Clientes y Proveedores: .............................................................................................................................................................................. 18
Mercados y Competencia: ................................................................................................................................................................................................................................ 18
Ciclo de Vida de Datos e Información: ......................................................................................................................................................................................................... 18
Operaciones de los procesos de negocio End To End (PN-E2E). .......................................................................................................................................................... 18
En términos de Valor Agregado: .................................................................................................................................................................................................................... 18
Resultados esperados: ..................................................................................................................................................................................................................................... 19
Capítulo 8: Metodología de administración de la continuidad de negocio. ............................................................................................................................................. 19
Marco de administración y gestión de la continuidad de negocio: ................................................................................................................................................... 19
Aspectos Clave para gestionar en la oficina de continuidad de negocio: ....................................................................................................................................... 19
Resultados esperados: .................................................................................................................................................................................................................................... 20
Aspectos Clave Realizar: ................................................................................................................................................................................................................................ 20
Capítulo 9: Oficina de Continuidad de Negocio................................................................................................................................................................................................. 20
Equipo de continuidad de negocio (Oficina): ............................................................................................................................................................................................. 20
Funciones oficina de continuidad de negocio: ......................................................................................................................................................................................... 20
Roles de la oficina de continuidad de negocio: ....................................................................................................................................................................................... 20
Administración de los componentes de la continuidad de negocio: ................................................................................................................................................ 20
Resultados esperados: ..................................................................................................................................................................................................................................... 21
Capítulo 10: Premisas de la continuidad de negocio. ..................................................................................................................................................................................... 21
Administrar y Gestionar los elementos necesarios procesos críticos: ............................................................................................................................................ 21
Observador en la transformación digital: .................................................................................................................................................................................................. 21

5
Capítulo 11: Administración Programa de Continuidad de Negocio. .......................................................................................................................................................... 22

Componentes críticos de la continuidad de negocio: ............................................................................................................................................................................ 22
Capítulo 12: Cultura de Continuidad de Negocio. ............................................................................................................................................................................................. 22
Estrategias de prevención y enfoque para garantizar la continuidad del negocio: ................................................................................................................... 22
Sistema de gestión de la continuidad de negocio SGCN: ..................................................................................................................................................................... 22
Anexos ....................................................................................................................................................................................................................................................................................23
Anexo 1: Definiciones Técnicas. .....................................................................................................................................................................................................................23
Anexo 2: Glosario de Términos. .....................................................................................................................................................................................................................23
Anexo 3: Gráficos de Continuidad Negocio. ................................................................................................................................................................................................23
Anexo 4: SIPOC Procesos Negocio. ................................................................................................................................................................................................................23

6
Tratado de Continuidad de Negocio
Introducción:
High Performance Business Continuity Management – BCP/DRP práctico y efectivo

Los sucesos recientes recalcan la necesidad de estar preparado para enfrentar situaciones de contingencia desde
pequeños incidentes hasta afectaciones mayores por desastres naturales, problemas en la plataforma tecnológica,
manifestaciones sociales y más; ninguna organización está exenta de ser afectada por eventos fuera de su control.
La diferencia será que tan raspada salga cada una.
Business Continuity Management (BCM)

La continuidad del negocio es un tema que cada día preocupa más a los directivos, pues se compromete el
crecimiento, estabilidad y permanencia de la empresa en el mercado. Por este motivo es necesario proteger los
procesos de negocio críticos de la organización a través de planes previamente elaborados y desarrollados para que
reduzcan el impacto y riesgo del negocio.
El objetivo de la Gestión de la Continuidad Negocio (BCM) es garantizar a pesar de una catástrofe: la Continuidad
financiera, la Satisfacción de cliente y la productividad; minimizando los efectos negativos al lograr la recuperación
en el menor tiempo posible, mientras se minimizan las pérdidas y se evita el caos.
Enfoque incompleto
Algunas organizaciones se enfocan en la parte de la infraestructura y sitios de trabajo alternos en los proyectos de
DRP/BCP. Por supuesto son componentes necesarios, pero sin una estrategia, planes, procedimientos, capacitación
y comunicación adecuada; no funcionarán. Las acciones tomadas sin la planeación adecuada podrían tener pésimos
resultados, como peces fuera del agua:
• ¿Ya salimos y ahora qué hacemos?

• ¿A quién le tocaba traer el equipo para respirar?
Son varios los motivos por los que generalmente no se prepara de manera completa y a conciencia un plan de
continuidad ya sea para mantener los procesos de negocio (BCP) o para recuperar los servicios de la plataforma
tecnológica (DRP); dentro de los más comunes están:
Optimismo y complacencia
▪ Se piensa que el en caso de uno nunca se va a poner tan mal.
▪ Se piensa que la gente sabe de sobra como restablecer los servicios.
▪ Se piensa que los elementos clave estarán disponibles.
Demasiada inversión (tiempo y dinero)
▪ Ya se va a invertir mucho en infraestructura e inmuebles, la planeación se debe poder realizar internamente.
▪ Ya están el hardware, el software y los respaldo fuera de sitio ¿qué puede hacer falta?
▪ El proyecto de preparar el BCP/DRP implica demasiado tiempo, no es posible dedicarlo ahora.
High Performance Business Continuity Management (HPBCM)

Se requiere un modelo que refleje necesidades reales de negocio y que genere entendimiento al negocio; debe
proporcionar resultados específicos y concretos que guíen los esfuerzos de continuidad y conviertan las iniciativas en
prácticas sustentables.

7
HPBCM inicia con el entendimiento de negocio continúa con la determinación de objetivos específicos para el
proyecto, análisis, planeación, desarrollo, medición y cierra el ciclo con la mejora continua. Se trata de un modelo
integral que se acopla a otras soluciones para en conjunto conformar un modelo alineado, práctico y efectivo; un
modelo pues de alto rendimiento (HPBCM).
HPBCM se compone de cuatro fases:
Planeación
Es la piedra angular del proyecto si no se hacen bien los planes, los resultados no serán lo esperado, es en esta fase
donde se determinarán las prioridades, los tiempos de recuperación y se plantearán las estrategias de recuperación
a seguir.
Desarrollo
En esta etapa se define todo el marco que materializará la planeación y coordinará las acciones para lograr los
objetivos establecidos en el inicio.
Puesta en marcha
En esta etapa se aplica todo lo desarrollado en la fase anterior.
Mantenimiento y pruebas
Lo que no se mide no se controla y lo que no se controla … Como son planes de recuperación y las variables en
juego son muchas es indispensable probar de manera periódica la efectividad y la preparación de la organización
para ejecutar.
Conclusión
La Gestión de Continuidad de Negocio no solo se trata de tener herramientas, respaldos o mecanismos de
contingencia y recurrir a ellos en caso de un incidente, sino tener un plan previamente definido, conocido y probado
por la organización.
Para que un esfuerzo de Continuidad de Negocio sea efectivo requiere hacerse completo, puede además darse un
enfoque esbelto y ágil, es decir high performance. A continuación, se presentan algunos elementos necesarios para
efectividad y agilidad.

8
Importancia del Plan de Continuidad de Negocio:
Continuidad de negocio El plan de continuidad de negocio es un documento que se mantiene vivo, de forma regular
se encuentra constituido, testeado y comprendido de manera transversal en cuanto a las necesidades de una
organización. Se pueden establecer una serie de pasos clave para construir un plan de continuidad de negocio.
Definir los elementos que se deben proteger

Es lo primero que se deberá plantear a la hora de definir un plan de continuidad de negocio, de tal forma que se
identifique lo que si nos falta la empresa no pueda funcionar.
Revisar los niveles de protección

Es necesario establecer a qué nivel de servicio mínimo es necesario llegar cuando un elemento protegido cae, con
el fin de mantener la continuidad de negocio.
Por lo que, sería necesario definir un Punto de Recuperación Objetivo (RTO), es decir, qué cantidad de pérdida de
datos durante un desastre la compañía considera tolerable, y el Tiempo de Recuperación Objetivo (RTO), siendo el
máximo tiempo en el que se puede mantener el negocio inoperativo.
Normas o Buenas Prácticas:
La Gestión de la Continuidad de Negocio o Business Continuity Management (BCM) es un proceso administrativo el

cual nos permite estar preparados con un plan previo que permita responder a los incidentes que se puedan suscitar
y proteger los intereses de los accionistas, la reputación, la marca y las actividades que se realizan.
Prioriza las amenazas y minimiza los incidentes que puedan provocar una interrupción en las actividades; ayuda a
disminuir la probabilidad de que se pueda producir y también de asegurar a la empresa de tener una recuperación
pronta. La Gestión de Continuidad del Negocio busca proteger a la organización sobre cualquier tipo de desastre que
pueda tener repercusiones y evitar procesos críticos, así como saber responder ante un desastre ya sea externo o
interno.
La gestión de la continuidad tiene diferentes niveles desde lo más básico que son planes de contingencia, por lo
general independientes, hasta modelo integrales de gestión, Business Continuity Management Systems, alineados
con la gestión de riesgos empresarial y la toma de decisiones.

9
Si se tiene un buen plan de continuidad de negocio o Business Continuity Plan (BCP) de negocio la posibilidad de
recuperarse ante una crisis es alta al igual que continuar trabajando a largo plazo. El plan de recuperación de una
empresa debe ser anticipado de manera que ante una crisis se pueda ejecutar de manera ordenada y coordinada.
Para crear un buen Plan de Continuidad de Negocio (BCP) es necesario ejecutar una serie de pasos como lo son:
▪ Realizar el análisis de contexto, para entender a la organización

▪ Desarrollar planes de respuesta inmediata
▪ Realizar un Análisis de Impacto al Negocio / Business Impact Analysis (BIA)
▪ Desarrollar planes de gestión de crisis y planes de recuperación
▪ Ejecutar un análisis de los riesgos que pueden existir para la organización
▪ Probar y evaluar los planes y el desempeño de su ejecución
▪ Analizar los escenarios posibles de desastre
▪ Priorizar las acciones a tomar y el orden de la recuperación
▪ Capacitar y sensibilizar al personal
▪ Crear estrategias de continuidad que ayuden a restablecer las operaciones y estrategias alternativas
▪ Entre otros más
Todo esto fomenta a responder de una manera efectiva ante un acontecimiento. El BCM tiene que formar parte
práctica de un buen gobierno corporativo, y del Modelo de Capacidad de GRC ya que todos nos enfrentamos a la
incertidumbre.
Los beneficios de implementar el BCM son de gran utilidad ya que ayuda a aumentar las probabilidades de subsistir
ante una catástrofe, proporciona una reputación alta, evita perdidas y errores costosos, optimiza los recursos,
ventajas competitivas por la capacidad en que se sobrellevo el proceso, entre muchas más.
La Gestión de Continuidad del Negocio conlleva un gran compromiso a la empresa, por eso es necesario se desarrolle
de manera correcta y se cumplan los objetivos. BCM tiene como finalidad crear una estructura que permita anticipar
incidentes o eventos siniestros y se encuentre una respuesta efectiva de que se debe hacer estratégicamente de
forma planeada y ensayada.
Las buenas prácticas asociadas al tema son:

▪ COSO ERM
▪ RISK IT -Val IT
▪ COBIT
▪ ITIL
▪ SIX SIGMA
Los estándares relacionados al tema son:

▪ ISO 31000
▪ ISO 23100
▪ ISO 27000
▪ ISO 23117
▪ ISO 38500
▪ ISO 20000

10
International Organization for Standardization

▪ ISO/IEC 27001:2005 (antes BS 7799-2:2002): Sistema de gestión de la seguridad de la información.
▪ ISO/IEC 27002:2005 (renumerado ISO17999:2005): Código de práctica. Gestión de seguridad de la
información.
▪ ISO/IEC 27031:2011: Tecnología de información - Técnicas de seguridad - Guías para preparación de
tecnologías de información y comunicaciones para continuidad de negocios.
▪ ISO/PAS 22399:2007: Guía para la preparación frente a incidentes y la gestión de continuidad operacional.
▪ ISO 22301:2012: Requerimientos para la implementación de sistemas de gestión de continuidad de
negocio
▪ ISO/IEC 24762:2008: Directrices para los servicios de recuperación de desastres de las tecnologías de
información y comunicaciones.
▪ IWA 5:2006: Preparación para emergencias.
▪ Martínez, Juan Gaspar. (2006). Plan de Continuidd de Negocio. Guía Práctica para su Elaboración. Madrid:
Ediciones Días de Santos S. A.
▪ Las Prácticas Profesionales para la Gestión de Continuidad de Negocios. DRI International, 2017.1
Organizaciones Internacionales de Continuidad del Negocio

▪ British Standards Institution - Continuidad de Negocio ISO 22301 (BSI)
▪ ISO 22301: Portal de la Norma (En Español).
▪ Disaster Recovery Institute International (DRII)
▪ Disaster Recovery Institute International (DRI MÉXICO)
▪ The Business Continuity Institute (BCI)

11
Set de componentes de la Continuidad de Negocio.
Capítulo 1: Comprensión del Negocio – As Is – Situación Actual

Situación actual del negocio en términos de:
 Tamaño
 Plan estratégico
 Cultura Organizacional
 Procesos de Negocio End To End
 Giro de Negocio
 Estructura Organizacional
 Tecnologías de la Información y Comunicación.
 Plan de Estrategia de Transformación Digital.
 Portafolio, Programas y Proyectos del Negocio.
Diagnóstico de TIC`s:
 Contar con un mecanismo de evaluación de la madurez de la gestión de TIC`s
 El plan estratégico de TIC`s
 RoadMap de Transformación Digital.
Diagnóstico de Continuidad de Negocio:

 Evaluación de Componentes de Continuidad de Negocio.
Resultado de situación vigente As Is:

 Documento que identifica la situación actual del negocio en términos de continuidad de negocio, así
como las brechas.
Identificación de situación futura deseada To Be:

 Documento de la situación futura deseada en términos de continuidad de negocio con aval de alta
dirección.
Brechas entre buenas prácticas – As Is y el To Be:

 Documento con evaluación de brechas entre As Is y el To Be según las buenas prácticas o estándares
de referencia.
Resultados Esperados:
▪ Determinar una situación actual
▪ Determinar las brechas a cerrar
▪ Contar con insumos para el RoadMap
Aspectos Clave Realizar:

▪ Diagnóstico de Continuidad de Negocio.
▪ Identificación del Modelo de Negocio actual.
▪ Visualizar los cambios del negocio según la estrategia.

12
Capítulo 2: Estrategias de Continuidad de Negocio – To Be

Definir un RoadMap de trabajo para los próximos 5 a 7 años de Construcción de la estrategia de Continuidad de
Negocio:
 Elaborar un RoadMap de Alto Nivel que establezca los Hitos Clave
 Linea de Tiempo de 5 a 7 años
 Lista de Hitos de Alto Nivel más Relevantes por año
 Crear un documento que detalle la visión, misión, objetivos y metas del RoadMap que permita dar
seguimiento a la evolución del trabajo de construcción de la Estrategia de Continuidad de Negocio.
Diseñar un Programa de Continuidad de Negocio en base al RoadMap:

 Aspectos Generales de la continuidad de Negocio.
 Términos y Definiciones de Continuidad de Negocio que deben ser administrados.
 Ciclo de Mejora Continua de las versiones de la documentación de Continuidad de Negocio.
Establecer un Alcance por Olas de la continuidad de Negocio en términos de:

 Que implica la continuidad de negocio.
 Como aplicar la continuidad de negocio.
 Cuando aplicar la continuidad de negocio.
 Donde aplicar la continuidad de negocio.
 Quien aplica la continuidad de negocio.
 Para que aplicar la continuidad de negocio.
El Alcance de la continuidad de Negocio debe establecer:

 Lo que está cubierto por la continuidad de negocio
 Lo que esta FUERA del alcance de la continuidad de negocio.
El Alcance de la Continuidad de Negocio se basará en la definición de:

 Mapa de Procesos de Negocio End To End
 Criterios de Criticidad de Procesos de Negocio.
 Evaluar y determinar los procesos Críticos del Negocio según Mapa vigente.
 Definir los procesos Críticos a soportar en la continuidad de negocio.
El alcance de la continuidad de negocio debe revisar que se cubren los 5 ejes clave del Modelo de Negocio:
 Clientes
 Competencia
 Datos e Información
 Operación del Negocio
 Valor agregado al Cliente
En términos de Alcance se debe vigilar:

 Reputación
 Credibilidad
 Imagen
 Confianza del inversionista
 Impacto Económico

13
▪ RoadMap y Documento de Plan de Trabajo Continuidad de Negocio.
▪ Programa de Continuidad de Negocio.
▪ Alcance de la continuidad de Negocio.

▪ Diseñar un programa de Continuidad de Negocio.
▪ Establecer un Alcance en Olas.
▪ Definir el Mecanismo de Rendición de Cuentas de la Evolución de la Continuidad de Negocio según el
RoadMap.
▪ Determinar los indicadores (KPI`s) anuales.
▪ Modelar el Primer DashBoard de Continuidad de Negocio de la Organización a 7 años.
Capítulo 3: Enfoque de la Continuidad de Negocio

Horizontes de Continuidad de Negocio en términos de:
 Cultura Organizacional y Gente.
 Económico y Riesgos.
 Lógico y Automatizado.
 Físico y Sistematizado.
 Competencia y Valor Agregado.
 Confianza del cliente.
Establecer los tipos de escenarios de desastres o crisis que se pueden cubrir en términos de continuidad de
negocio:
 Catástrofes Naturales (Terremotos, Erupciones Volcánicas, Tsunamis, Inundaciones, Huracanes, etc.).
 Fuego.
 Fallos en el suministro eléctrico.
 Ataques terroristas.
 Interrupciones organizadas o deliberadas.
 Sistema y/o fallos del equipo.
 Error humano.
 Virus, amenazas y ataques informáticos.
 Regulaciones legales.
 Políticos.
 Económicos.
 Huelgas de empleados.
 Conmoción social o disturbios.
 Accidentes laborales.
 Fallas en Cadena de Suministros.
 Otros.
Ciclo de vida de la continuidad del negocio:

 Definir los posibles escenarios de crisis a soportar.
 Planificar y establecer la manera de sopórtalos.
 Preparar los temas clave a realizar y simulacros para las pruebas.
 Probar, validar, verificar, y aprender sobre el escenario de crisis.
 Liberar escenarios de crisis aprobados.

14
▪ Nivel de Continuidad de Negocio esperado.
▪ Escenarios de crisis a Soportar.

▪ Definir el Inicio de un Proyecto de Continuidad de Negocio.
▪ Diseñar y Planificar el proyecto de Continuidad de Negocio.
▪ Ejecutar y Gestionar el proyecto de Continuidad de Negocio.
▪ Administrar, Monitorear y Controlar el proyecto de Continuidad de Negocio.
▪ Desplegar y Transicionar los planes de continuidad de Negocio.
▪ Liberar y soportar los planes de continuidad de negocio.
Capítulo 4: Análisis de Impacto al Negocio - BIA

Análisis de Riesgos de Procesos Críticos de Negocio:
 Mapa de procesos Críticos End To End.
 Tipos de Riesgos.
 Mapa de Calor de Riesgos.
 Acciones para gestionar el Riesgo.
Análisis de Impacto al Negocio:

 Recursos Físicos de los procesos Críticos del Negocio.
 Recursos Lógicos que soportan los procesos críticos del negocio.
 Tiempo que el negocio soporta sin operar.
 Tiempo que la gente puede estar sin trabajar.
 Impacto económico del costo de la no operación.
 Impacto en Credibilidad, reputación, imagen y confianza del cliente.
 Viabilidad de las estrategias de continuidad.
Componentes Clave del Análisis de Impacto al Negocio:

 SLA – Acuerdos de Niveles de Servicio (ANS) con clientes, Proveedores y Áreas internas de Negocio
(OLA`s – Organization Level Agreement)
 MTO – Tiempo máximo de Corte de Operaciones.
 WRT – Tiempo de trabajo de Recuperación.
 CROPB – Recursos Críticos para la operación de los procesos de Negocio End To End Críticos.
 RPO – Punto Objetivo de Recuperación – Respaldo datos del negocio.
 ROL – Niveles Mínimos de Recuperación parcial de los servicios de la operación del negocio – Calidad del
servicio.
 RTO – Tiempo Objetivo de Recuperación de los procesos críticos.
 MTDP – Tiempo Máximo de Caída de los Procesos Críticos.
Análisis y Desarrollo de Estrategias Viables:

 Impacto Económico de una crisis en el negocio según escenarios.
 Impacto de tipo Reputacional ante los clientes.
 Impacto en Credibilidad ante el mercado.
 Impacto en Imagen ante la competencia.
 Impacto en Confianza ante los inversionistas.

15
 Matriz de Impacto y Viabilidad de las estrategias.
▪ Lista de procesos críticos para soportar.
▪ Componentes clave del Análisis de Impacto.
▪ Documento preliminar del BIA.

▪ Estrategias viables de continuidad de Negocio.
Capítulo 5: Ciclo de vida de Manejo de Crisis

Desarrollo de Planes de Continuidad de Negocio:
 Según BIA Preliminar.
 BCP - Planes Operativos (Tácticos) del Negocio para garantizar instalaciones y recursos para una crisis.
 BCP - Planes Tecnológicos (Tácticos) para garantizar los centros de datos principal y alterno y los
procesos críticos de negocio.
 DRP TIC`s – Planes de recuperación ante desastres de TIC`s para soportar los procesos críticos de
negocio.
 DRP Operativo – Planes para soportar la infraestructura física del negocio como instalaciones y equipo
necesario para la operación en una crisis.
Escenarios de Crisis en donde se aplican los planes:

 BCP
 DRP
Política de Continuidad de Negocio:

 Acciones que permiten habilitar el ciclo de manejo de crisis.
Reglas de Gestión de Continuidad de Negocio:

 Que responder ante una crisis.
 Como responder ante una crisis.
 Cuando responder ante una crisis.
 Quienes responden ante una crisis.
 Para que responden ante una crisis.
 Con que responden ante una crisis.
Criterios Clave para activar un ciclo de manejo de Crisis 4R:

 Qué criterios aplicar para evaluar la crisis.
 Como aplicar los criterios.
 5 a 7 criterios a cumplir para activar una situación de crisis 4R.
 Quien evalúa la situación de crisis.
 Mecanismo de activación de la situación de crisis.
 Tipo de Crisis
 Planes de crisis a activar.
Ciclo de Vida de la Gestión de Crisis 4R:

 Responder a la Crisis.

16
 Reanudar la operación critica del negocio y parcialmente.

 Recuperar la operación de manera gradual.
 Restaurar la operación de manera normal.
Revisión de la restauración de la operación después de la crisis:

 Inventario de daños.
 Impacto en datos e información.
 Evaluación de la operación reanudada.
▪ Documentos de BCP
▪ Documentos de DRP
▪ Mecanismos de gestión de Crisis 4R.

▪ Planes BCP Y DRP.
▪ Políticas para la gestión de la crisis.
▪ Reglas de gestión de la crisis.
▪ Criterios clave para gestionar la crisis 4R.
▪ Mecanismo para gestionar la crisis 4R.
▪ Mecanismo para revisar la restauración de la operación.
Capítulo 6: Ciclo de Administración y Gestión de la Continuidad del Negocio.

Implementación de la continuidad de Negocio:
Definir – Inicio del alcance de la continuidad de negocio en corto, mediano y largo plazo.
 Premisas.
 Objetivos.
 Metas.
 Recursos.
 Tiempo.
Diseñar – Planificar según BIA:

 Escenario de crisis a cubrir.
 Planes operativos para desplegar en un determinado escenario de crisis sin automatización.
 Planes Tecnológico para afrontar la disrupción de la operación cotidiana y normal del negocio.
Metodologías Agiles para Diseñar y Planificar:

 Design Thinking
 Scrum
Gestionar y Ejecutar Planes de continuidad:

 BCP sin TIC`s
 BCP de Centro de Datos Primario
 BCP de Centro de Datos Alterno.
 DRP de operaciones de Negocio que garantice los recursos necesarios para físicos y logísticos para
operación critica (Infraestructura Física, Instalaciones, equipamiento, Recursos y Servicios)
17
 DRP de Tecnologías de la Información y Comunicaciones (Centros de Datos y Procesos Críticos Negocio)
Administrar – Monitoreo y Control de Planes de Continuidad:

 Hitos clave de Planificación.
 RoadMap BCM
 KPI`s según Plan
 Mecanismos de rendición de cuentas.
 Iniciativas de continuidad de Negocio.
 Roles y Funciones de las iniciativas.
Iniciativas que Gestionan los equipos de Continuidad de Negocio:

 Crisis Comunicación interna y Táctica;
 Conocimiento y concientización;
 Plan de Continuidad negocio (BIA+BCP+DRP=BCM);
 De información y TIC´s;
 De riesgos y control interno;
 Estabilidad Operativa de procesos negocios;
 Documentación continuidad Negocio;
 Ciclo de vida 4R de la Continuidad Negocio.
Transición y Despliegue de planes de continuidad:

 Simulacros de Planes y Escenarios.
 Lecciones Aprendidas.
 Revisión de versiones de documentación.
 Pruebas de planes operativos.
 Pruebas de planes de TIC`s.
 Pruebas de Recuperación de Desastres operativas.
 Pruebas de Recuperación de Desastres TIC`s.
Comunicación interna y externa:

 Mensaje en una crisis.
 Duración esperada para restaurar la operación.
 Mensaje a Clientes y Proveedores.
 Mensaje en Redes Sociales.
 Tipos de mensajes a gestionar.
Capacitación Entrenamiento y Talleres:

 Capacitación escenarios de Crisis y Planes de respuesta.
 Entrenamiento en Continuidad de Negocio.
 Talleres de puesta en práctica continuidad de negocio.
 Lecciones aprendidas de talleres.
Evaluación y Despliegue de Planes:

 Nivel de Conocimiento de Gente Capacitada.
 Lecciones aprendidas de Pruebas unitarias e integrales y talleres.
 Cierre de brechas de lecciones aprendidas.

18
 Resultados de pruebas de BCP y DRP según lo planeado.

 Evaluación de Liberación de planes al negocio.
Liberar - Operación de Planes de Continuidad:

 Publicar planes oficiales de continuidad de negocio.
 Publicar escenarios oficiales de continuidad de negocio.
 Actualizar versiones de documentos de Continuidad de Negocio.
 Actualizar versiones de capacitaciones.
 Plan de simulacros.
 Plan de pruebas unitarias e integrales.
 Plan de mejoras.
▪ Ciclo de Implementación de Continuidad de Negocio.

▪ Definir – Diseñar – Idear - Prototipar y Probar.
Capítulo 7: Dominios de la Continuidad del Negocio.

Relaciones y acuerdos con Clientes y Proveedores:
 ANS con Clientes.
 ANS con Proveedores.
 OLA`s con áreas Internas del negocio y sus Usuarios Internos.
 Aspectos clave a considerar en relaciona a entes reguladores o gubernamentales.
Mercados y Competencia:
 Posición de Mercado de la organización con respecto a la competencia.
 Benchmarking de buenas prácticas de continuidad de negocio.
 FODA de la organización en temas de continuidad de negocio.
 Diferenciador de la organización con respecto a la competencia.
Ciclo de Vida de Datos e Información:

 Tipos de datos a respaldar.
 Periodo de tiempo de datos a respaldar.
 Tipos de información no estructurada a respaldar.
 Tiempo de Información no estructurada a respaldar.
Operaciones de los procesos de negocio End To End (PN-E2E).
 Aspectos de la excelencia operativa a soporta en continuidad de negocio.
 Aspectos de la excelencia en el servicio a soportar en continuidad de negocio.
 Niveles de degradación aceptables en excelencia operativa y de servicio.
 Estrategia de monitoreo y aseguramiento en términos de continuidad de negocio para productos y servicios
nuevos o temas de innovación del negocio.
 Estrategia de monitoreo de cambios en el modelo de gestión empresarial a un modelo de gestión basado
en la transformación digital.
En términos de Valor Agregado:

19
 Aspectos clave a soportar en una crisis en los planes de continuidad ante el cliente.
 Niveles de servicio a prestar al cliente en una crisis.
 Niveles de automatización a soportar en una crisis.
 Aspectos para soportar en términos de los cambios de transformación digital del negocio en un evento de
crisis y continuidad de negocio.
 En términos de productividad que aspectos son los claves para manejar en la crisis.
Resultados esperados:
▪ Mapeo de acuerdos con clientes y proveedores que podrían tener relevancia para la continuidad del
negocio.
▪ Cuadrante de Mercados y Competencia.
▪ Periodo de tiempo de datos e información a soportar en continuidad de negocio.
▪ Niveles de degradación de los servicios en una crisis.

▪ Identificar ANS con clientes y características de los acuerdos.
▪ Identificar ANS con los Proveedores.
▪ Identificar OLA`s con las áreas de negocio en términos de Continuidad de Negocio. En caso de no contar
elaborar los mismos.
▪ Establecer los niveles de degradación aceptables en la prestación de servicios en una crisis.
Capítulo 8: Metodología de administración de la continuidad de negocio.

Marco de administración y gestión de la continuidad de negocio:
 Política general de Continuidad de Negocio.
 Acuerdo de Gobierno de Continuidad de Negocio.
 Reglas de gestión de continuidad de negocio.
 Procesos de administración de la oficina de continuidad de negocio.
 Procedimientos de administración de la oficina de continuidad de negocio.
 Manuales de puesto para gestionar la crisis.
 Instructivos de sistemas de información a utilizar en la continuidad del negocio.
 Matriz RACSI -VF para establecer los Roles y Funciones de los puestos de la oficina de continuidad de
negocio en cada uno de los procesos de gestión.
 Protocolos para utilizar en una gestión del ciclo de vida de la crisis 4r según el escenario a soportar.
Aspectos Clave para gestionar en la oficina de continuidad de negocio:

 Ciclo de vida de la crisis 4R.
 Continuidad parcial y gradual de la operación del negocio.
 Coordinar temas de Comunicación interna y externa con las áreas responsables.
 Coordinar los planes de capacitación, conocimiento y concientización en temas de continuidad de negocio.
 Coordinar los talleres de evaluación de conocimiento en temas de continuidad de negocio.
 Coordinar los Simulacros de Continuidad de negocio.
 Coordinar las pruebas unitarias e integrales de continuidad de negocio.
 Administrar el registro de lecciones aprendidas.
 Gestionar el cierre de brechas de las lecciones aprendidas.
 Coordinar aspectos logísticos en pruebas y situaciones de crisis.
 Mejorar los procesos de gestión de la continuidad de negocio.

20
 Identificar riesgos en procesos críticos de negocio que pueden impactar en una situación de continuidad de
negocio.
 Aplicar los controles que Auditoria Interna requiere en aspectos de continuidad de negocio.
 Gestionar los Comités de continuidad de negocio.
 Custodiar y Mejorar la documentación de soporte en términos de continuidad de negocio.
 Gestionar la cultura de continuidad de negocio a través de la concientización y talleres en temas de crisis.
▪ Metodología de administración de la continuidad de negocio.

▪ Construcción del marco de administración y gestión de la continuidad de negocio.
Capítulo 9: Oficina de Continuidad de Negocio.

Equipo de continuidad de negocio (Oficina):
 Administración, Monitoreo y Control de la continuidad de negocio.
 Ciclo de vida de gestión crisis 4R.
 Gestionar la documentación de continuidad de negocio.
 Monitorear los Riesgos de la continuidad de negocio.
 Rendir cuentas de la gestión de continuidad de negocio a Auditoría interna.
 Coordinar la comunicación interna y externa en una crisis.
 Coordinar el conocimiento y concientización en términos de continuidad de negocio.
 Gestionar los planes de continuidad de negocio BCP y DRP respectivamente.
 Elaborar el BIA según los cambios del negocio.
 Monitorear la estabilidad operativa en una crisis de continuidad de negocio.
 Alimentar el DashBoard de gestión de Crisis.
Funciones oficina de continuidad de negocio:

 Coordinar a los equipos de gestión de crisis (iniciativas de continuidad de negocio)
 Velar por la evolución de la continuidad de negocio.
 Coordinar los recursos necesarios en una crisis.
 Coordinar las pruebas y simulacros.
 Monitoreo de los riesgos asociados a continuidad de negocio.
 Recopilar los indicadores KPI`s de continuidad de negocio por iniciativa.
Roles de la oficina de continuidad de negocio:

 Monitoreo del mapa de procesos de negocio críticos.
 Creación de planes de gestión de crisis.
 Elaboración de escenarios de crisis.
 Control de simulacros y pruebas.
 Gestión del marco metodológico de continuidad de negocio.
 Administración del marco de trabajo del equipo de continuidad de negocio.
 Fortalecer la cultura de continuidad de negocio.
Administración de los componentes de la continuidad de negocio:

 Nivel de madurez de BCM.
 Escenarios de crisis para la continuidad del negocio.

21
 BIA
 BCP
 DRP
 Monitoreo de los cambios en procesos críticos de negocio y sus componentes.
 Gestión del RoadMap para la continuidad de negocio.
 Monitoreo de la aplicación de las políticas de continuidad de negocio.
 Monitoreo de la correcta aplicación de las reglas de gestión de la crisis.
 Pruebas controladas.
 Niveles de reacción a la crisis.
 Componentes del BIA.
 Recursos BCM.
 Cultura de Riesgos de continuidad de negocio.
 Equipos de trabajo de continuidad de negocio.
 Comités de continuidad de negocio.
 Gestión de comités de BCM.
 Metodología BCM.
 Programa de Comunicación BCM.
 Gestión táctica de crisis 4R.
 Programa de Simulacros.
 Programa de Pruebas unitarias e integrales.
 Gestión de riesgos asociados a continuidad de negocio.
 Gestión parcial de la recuperación de la continuidad de negocio.
 Gestión de conocimiento en términos de continuidad de negocio.
 Monitoreo del cumplimiento de acuerdo de gobierno de continuidad de negocio.
 Cultura de Continuidad de negocio.
 DashBoard de la evolución de la cultura de la continuidad de negocio.
 DashBoard de cumplimiento del RoadMap de continuidad de negocio.
▪ Estructura Organizacional.
▪ Roles y Funciones del equipo de trabajo.

▪ Formalización de la oficina de continuidad de negocio y su equipo de trabajo, recursos.
Capítulo 10: Premisas de la continuidad de negocio.
Administrar y Gestionar los elementos necesarios procesos críticos:
 Ciclo de Crisis 4R.
 Componentes de la Crisis.
 BIA
 BCP
 DRP.
Observador en la transformación digital:

 Monitoreo del mapa de procesos End To End.
 Monitoreo de los cambios al sistema de gestión empresarial.
 Velar por los cambios de la continuidad de negocio iterativa.
 Monitoreo del modelo de transformación digital.

22
▪ Documentos de Monitoreo.

▪ Aplicación de controles para el monitoreo.
Capítulo 11: Administración Programa de Continuidad de Negocio.

Componentes críticos de la continuidad de negocio:
 Actualizaciones del BIA.
 Actualizaciones de BCP`s.
 Actualizaciones de DRP`s.
 Ciclos de pruebas Controladas.
 Ciclos de Simulacros.
 Mejora continua de los componentes de la continuidad de negocio.
 Recursos necesarios para la operación de los procesos críticos.
 Metodología y marco de trabajo.
▪ Indicadores KPI`s actualizados del programa de continuidad de negocio.

▪ Administración del programa.
Capítulo 12: Cultura de Continuidad de Negocio.

Estrategias de prevención y enfoque para garantizar la continuidad del negocio:
 Gestión de escenarios de Crisis.
 Administración de los capítulos del 1 al 11.
 Establecer los niveles de madurez de la organización en términos de continuidad de negocio.
 DashBoard de Continuidad de Negocio en términos de Cultura.
Sistema de gestión de la continuidad de negocio SGCN:

 Adopción de Herramienta de Software para SGCN.
 Implementación de Flujos de trabajo.
▪ Evolución del RoadMap de Continuidad de Negocio.
▪ DashBoard de Continuidad de Negocio.

▪ Administrar y Gestionar los capítulos del 1 al 11.

23
Anexos
Anexo 1: Definiciones Técnicas.
Anexo 2: Glosario de Términos.
Anexo 3: Gráficos de Continuidad Negocio.
Anexo 4: SIPOC Procesos Negocio.

LibroRojo - BCM - Agil - CN V1 27012020 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

LibroRojo - BCM - Agil - CN V1 27012020 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

CONTINUIDAD DEL

BCM = BIA + BCP + DRP

CONTINUIDAD DEL NEGOCIO – TRATADO ROJO - BCM – AGIL

BCM Ágil = BIA + BCM + DRP

Establecer un Alcance por Olas de la continuidad de Negocio en términos de: ........................................................................................................................... 12

BCM Ágil = BIA + BCM + DRP

Gestionar y Ejecutar Planes de continuidad: ............................................................................................................................................................................................ 16

BCM Ágil = BIA + BCM + DRP

Capítulo 11: Administración Programa de Continuidad de Negocio. .......................................................................................................................................................... 22

BCM Ágil = BIA + BCM + DRP

Tratado de Continuidad de Negocio

High Performance Business Continuity Management – BCP/DRP práctico y efectivo

Business Continuity Management (BCM)

• ¿Ya salimos y ahora qué hacemos?

High Performance Business Continuity Management (HPBCM)

BCM Ágil = BIA + BCM + DRP

HPBCM se compone de cuatro fases:

BCM Ágil = BIA + BCM + DRP

Importancia del Plan de Continuidad de Negocio:

Definir los elementos que se deben proteger

Revisar los niveles de protección

Normas o Buenas Prácticas:

La Gestión de la Continuidad de Negocio o Business Continuity Management (BCM) es un proceso administrativo el

BCM Ágil = BIA + BCM + DRP

▪ Realizar el análisis de contexto, para entender a la organización

Las buenas prácticas asociadas al tema son:

Los estándares relacionados al tema son:

BCM Ágil = BIA + BCM + DRP

International Organization for Standardization

Organizaciones Internacionales de Continuidad del Negocio

BCM Ágil = BIA + BCM + DRP

Set de componentes de la Continuidad de Negocio.

Capítulo 1: Comprensión del Negocio – As Is – Situación Actual

Diagnóstico de Continuidad de Negocio:

Resultado de situación vigente As Is:

Identificación de situación futura deseada To Be:

Brechas entre buenas prácticas – As Is y el To Be:

Aspectos Clave Realizar:

BCM Ágil = BIA + BCM + DRP

Capítulo 2: Estrategias de Continuidad de Negocio – To Be

Diseñar un Programa de Continuidad de Negocio en base al RoadMap:

Establecer un Alcance por Olas de la continuidad de Negocio en términos de:

El Alcance de la continuidad de Negocio debe establecer:

El Alcance de la Continuidad de Negocio se basará en la definición de:

En términos de Alcance se debe vigilar:

BCM Ágil = BIA + BCM + DRP

Aspectos Clave Realizar:

Capítulo 3: Enfoque de la Continuidad de Negocio

Ciclo de vida de la continuidad del negocio:

BCM Ágil = BIA + BCM + DRP

Aspectos Clave Realizar:

Capítulo 4: Análisis de Impacto al Negocio - BIA

Análisis de Impacto al Negocio:

Componentes Clave del Análisis de Impacto al Negocio:

Análisis y Desarrollo de Estrategias Viables:

BCM Ágil = BIA + BCM + DRP

 Matriz de Impacto y Viabilidad de las estrategias.

Aspectos Clave Realizar:

Capítulo 5: Ciclo de vida de Manejo de Crisis

Escenarios de Crisis en donde se aplican los planes:

Política de Continuidad de Negocio:

Reglas de Gestión de Continuidad de Negocio:

Criterios Clave para activar un ciclo de manejo de Crisis 4R: