maestrí ón) aná ón del plan de continuidad de negocio (bcp ...análisis y evaluación del plan...
TRANSCRIPT
1
Maestría en Auditoría y Administración de Riesgos Empresariales (MARE I Edición)
Análisis y evaluación del plan de continuidad de negocio (BCP) de la empresa
“Impulsadora de Créditos, S.A” durante el período 2015 – 2016.
Investigación para optar al título de Master en Auditoría y Administración de Riesgos
Empresariales.
Maestrantes:
Lic. Alba Nubia Muñoz Vanegas
Lic. Eduardo José Llanes Leytón
Managua, Nicaragua
Agosto, 2017
2
DEDICATORIA Y AGRADECIMIENTOS
1- A nuestras familias por el apoyo que me brindaron para el cumplimiento de esta meta.
2- Agradecemos al gerente general de la empresa cuyo seudónimo es “Impulsadora de
créditos S.A” por permitirnos realizar la presente investigación basado en su plan de
continuidad de negocios y por la colaboración del personal en las entrevistas
efectuadas. Así mismo queremos agradecer a nuestro tutor Edgar Celedón por el
acompañamiento técnico brindado durante todo el proceso de elaboración de nuestro
trabajo de investigación.
3
TABLA DE CONTENIDOS:
DEDICATORIA Y AGRADECIMIENTOS ...................................................................................................................... 2
TABLA DE CONTENIDOS: ........................................................................................................................................ 3
RESUMEN EJECUTIVO: ............................................................................................................................................ 6
2. TEMA DE INVESTIGACIÓN: ............................................................................................................................... 11
2.1. FORMULACIÓN DEL PROBLEMA, PREGUNTA DE INVESTIGACIÓN. ....................................................................................... 11
2.2 SÍNTOMAS: ............................................................................................................................................................ 11
2.3. LAS CAUSAS. ......................................................................................................................................................... 11
2.4 PRONÓSTICO. ......................................................................................................................................................... 12
2.5 CONTROL DE PRONÓSTICO ........................................................................................................................................ 12
2.6 SISTEMATIZACIÓN DEL PROBLEMA .............................................................................................................................. 12
2.7 Objetivos ....................................................................................................................................................... 13
Objetivo General:................................................................................................................................................. 13
Objetivos Específicos: .......................................................................................................................................... 13
2.8 JUSTIFICACIÓN DE LA INVESTIGACIÓN .......................................................................................................................... 14
3. MARCO TEORICO Y REFERENCIAL ..................................................................................................................... 15
3.1. CONCEPTOS RELACIONADOS A LA CONTINUIDAD DEL NEGOCIO ....................................................................................... 15
3.2. PRACTICAS BCP DEL DRII (DISASTER RECOVERY INTERNATIONAL INSTITUTE). ............................................................. 19
3.3. ELEMENTOS Y PRINCIPIOS BÁSICOS PARA LA GESTIÓN EFECTIVA DE LA CONTINUIDAD DEL NEGOCIO SEGÚN LA SUPERINTENDENCIA
DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS (SIBOIF). ................................................................................................ 21
3.4. .MARCO REFERENCIAL PARA LA PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO. .............................................................. 27
3.6 EVALUACIÓN DE MADUREZ EN CONTINUIDAD DE NEGOCIO............................................................................................... 28
4. INSTRUMENTO DE INVESTIGACION: ................................................................................................................ 30
5. CAPITULOS: ................................................................................................................................................... 31
4
5.1 CAPITULO I: EVALUAR SI EL PLAN DE CONTINUIDAD DE NEGOCIOS DE LA EMPRESA “IMPULSADORA DE CRÉDITOS, S.A” INCORPORA
LAS PRÁCTICAS DEL DRII (DISASTER RECOVERY INTERNATIONAL INSTITUTE), PARA MITIGAR LOS RIESGOS DE INTERRUPCIÓN DEL
NEGOCIO ..................................................................................................................................................................... 31
Practica I: Inicio y gerencia del proyecto. ............................................................................................................ 34
Práctica II: Evaluación de Riesgos........................................................................................................................ 39
Práctica III: Análisis de impacto al negocio: ........................................................................................................ 44
Práctica IV: Desarrollo de Estrategias de Continuidad del Negocio .................................................................... 47
Práctica V: Respuesta de emergencia y operaciones .......................................................................................... 50
Práctica VI: Desarrollo e implementación de planes de continuidad de negocio. ............................................... 52
Práctica VII: Conciencia y capacitación: .............................................................................................................. 54
Practica VIII: Mantenimiento y ejercicios de los planes de continuidad de negocios. ......................................... 58
Practica IX: Relaciones publicas y coordinación de crisis. .................................................................................... 61
Practica X: Coordinación con organismos externos. ............................................................................................ 64
5.1.1 RECOMENDACIONES: .................................................................................................................................. 65
5.2. CAPITULO II: CALIFICACIÓN DEL PLAN DE CONTINUIDAD DE NEGOCIOS DE LA EMPRESA IMPULSADORA DE
CRÉDITOS, S.A DE ACUERDO AL MODELO DE MADUREZ DE LAS MEJORES PRÁCTICAS EN PLANES DE
CONTINUIDAD DE NEGOCIOS. .............................................................................................................................. 71
INTRODUCCIÓN Y OBJETIVOS: .......................................................................................................................................... 71
DESARROLLO: .............................................................................................................................................................. 72
1- Niveles de Madurez: ........................................................................................................................................ 74
2- Competencias Corporativas: ........................................................................................................................... 75
Evaluación de las prácticas del DRII de acuerdo a las competencias corporativas: ............................................ 75
6. .......................................................................................................................................................................... 80
RESULTADOS: ....................................................................................................................................................... 80
5
7. CONCLUSIONES: ............................................................................................................................................... 90
8. BIBLIOGRAFIA. .................................................................................................................................................. 94
9. ANEXOS: ........................................................................................................................................................... 96
9.1 CUESTIONARIOS: ................................................................................................................................................ 96
6
Resumen Ejecutivo:
El presente estudio consiste en realizar un análisis y evaluación del plan de continuidad
de negocios de la empresa “Impulsadora de créditos, S.A”.
El objetivo principal es determinar si el plan de continuidad de negocios de la empresa
“Impulsadora de Créditos, S.A”, se ajusta a mejores prácticas internacionales.
Para efectuar la evaluación del plan se utilizaron las diez prácticas recomendadas por el
DRII (Disaster Recovery International Institute) en planes de continuidad de negocios y
para determinar el nivel de madurez del plan se utilizó el modelo de madurez “Business
continuity maturity model – BCMM”, este modelo fue desarrollado por virtual corporation
Inc, para medir objetiva y consistentemente el estado de preparación para afrontar
contingencias de una organización.
Sin embargo, el proceso de evaluación y las métricas de calificación es la propuesta que
se pretende proporcionar a través de esta investigación.
Para lograr el objetivo de la investigación se recopiló información por medio del gerente
general, quien nos proporcionó el documento oficial utilizado en la empresa “Manual de
gestión de continuidad de negocios”.
También, se efectuaron entrevistas a los principales ejecutivos y que tienen un rol activo
dentro del manual de gestión de continuidad de negocios.
La investigación está compuesta por dos capítulos. En el primer capítulo se aborda la
evaluación del plan de continuidad de negocios de la empresa “Impulsadora de créditos,
S.A” mediante una comparación entre las prácticas y las actividades recomendadas por
el DRII (Disaster Recovery International Institute) versus el manual de gestión de
continuidad de negocios de la empresa. Mediante esta comparativa se identificará si el
manual de la empresa cuenta con todas las actividades para mitigar los riesgos de
interrupción del negocio.
En el segundo capítulo se detallan los resultados de la calificación del plan de
continuidad de negocios de la empresa “Impulsadora de créditos, S.A”, para ello se
7
propone evaluar primeramente las ocho competencias que recomienda el modelo de
madurez (liderazgo, concientización, estructura del BCP, grado de penetrabilidad,
métricas definidas, compromisos de recursos, coordinación externa, contenido del BCP)
por cada actividad de las prácticas recomendadas por el DRII (Disaster Recovery
International Institute), pero adaptadas al contexto de la empresa “Impulsadora de
créditos, S.A”.
El índice de medición de las competencias se determinó primeramente definiendo las
características que debe cumplir cada competencia, las que se extrajeron del marco
conceptual.
Posteriormente se establecieron preguntas que a nuestro criterio definen
cualitativamente las características de cada una de las competencias, luego a estas
características se les asignaron valores para calificar cuantitativamente cada una de las
competencias.
Con base en los resultados, se determinó el nivel de madurez global del plan de
continuidad de negocios de la empresa.
El resultado de la calificación ubica en el nivel de madurez “1” al plan de continuidad de
negocios de “Impulsadora de créditos S.A”.
El nivel 1 o nivel Autogobernado, según el modelo “Business continuity maturity model –
BCMM “, significa que el estado de preparación de la empresa es bajo con relación a las
practicas del modelo DRII, sin embargo el plan responde parcialmente a eventos de
interrupción cuando ocurren.
INTRODUCCION
“La continuidad del negocio (conocida en inglés como Business Continuity), es la
capacidad de una organización para continuar con la entrega de sus productos o
servicios después de una interrupción a un nivel predefinido aceptable. La planificación
de la continuidad del negocio (BCP) trata de evitar la interrupción de los servicios de
misión crítica y reestablecer el pleno funcionamiento de la forma más rápida y fácil que
8
sea posible.”1
La presente tesis es una investigación que tiene por objetivo realizar un análisis y
evaluación del plan de continuidad de negocios de la empresa “Impulsadora de créditos,
S.A” conforme a las mejores prácticas internacionales sobre planes de continuidad de
negocios.
Para realizar nuestra evaluación tomaremos como referencia las practicas del DRII
(Disaster Recovery International Institute) sobre continuidad de negocios. El período de
la evaluación comprende los años 2015- 2016.
Sin embargo, no excluimos el hecho de considerar estándares, leyes y regulaciones
sobre plan de continuidad de negocio, que por las características o giro principal del
negocio se encuentra sujeta la entidad objeto de investigación.
Impulsadora de créditos, S.A, es una entidad financiera regulada por la
Superintendencia de Bancos y otras Instituciones financieras de Nicaragua, que ofrece
productos y servicios financieros como otorgamiento de créditos al sector urbano y rural.
En el año 2015 iniciaron la elaboración del manual de gestión de continuidad de negocio
y en el año 2016 fue autorizado como documento oficial de la entidad, dirigido a
mantener la operatividad del negocio ante catástrofes naturales, caídas de sistemas,
etc.
Las normas utilizadas por la empresa para la creación del manual de gestión de
continuidad de negocios fueron las de riesgo tecnológico y riesgo operacional, así como
el estándar internacional ISO 22301.
1 International Glossary for resiliency, Chloe Demrovsky.
9
El estándar ISO 22301 especifica los requisitos para la creación y gestión de un sistema
de continuidad de negocio (SGCN) efectivo, el cual hace énfasis en la importancia de:
a. Entender las necesidades de la organización y la necesidad de establecer una
necesidad de gestión de continuidad de negocio, sus objetivos y políticas.
b. Implementar y operar los controles y medidas para administrar la capacidad
general de una organización en responder a incidentes.
c. Hacer el seguimiento y revisión de la eficacia del SGCN.
d. Mejorar continuamente basado en mediciones objetivas.
El procedimiento de evaluación realizado se desarrolla en una matriz comparativa de
información donde se detallan las recomendaciones idóneas del DRII por cada práctica
o etapa que debe contener todo manual de continuidad de negocio versus las
consideraciones utilizadas por la empresa Impulsadora de créditos, S.A. para la
elaboración de su manual.
Para determinar la suficiencia del manual de continuidad de negocios de la empresa
Impulsadora de créditos, S.A, se utilizará los niveles de madurez de “Business continuity
maturity model – BCMM “ de 1 a 6, en donde “1” significa que el nivel de la empresa es
autogobernado, es decir, el estado de preparación es bajo y la empresa reacciona a
eventos de interrupción cuando ocurren; y “6” existe sinergia, lo que significa que se ha
formulado y probado satisfactoriamente estrategias sofisticadas de protección del
negocio. Los métodos de control de cambios y mejora continua de procesos mantienen
a la organización en un nivel alto de preparación.
Según la revista de investigación de sistemas e informática, el modelo de madurez de
Continuidad del Negocio (Business Continuity Maturity Model – BCMM®) fue publicado
originalmente en el 2003 por Virtual Corporation, para dirigir a la organización a que
10
sean capaces de evaluar y mejorar su programa de continuidad del negocio, como un
mecanismo de medición de la efectividad del mismo.
De acuerdo a los resultados obtenidos se pretende realizar recomendaciones en caso
que existan brechas u oportunidades de mejora.
11
2. Tema de Investigación:
Análisis y evaluación del plan de continuidad de negocio (BCP) de la empresa
“Impulsadora de Créditos, S.A” durante el período 2015 – 2016.
2.1. Formulación del problema, pregunta de investigación.
¿Qué metodología se requiere para evaluar el plan de continuidad de negocio de la
empresa “Impulsadora de créditos, S.A”?
2.2 Síntomas:
No existe una metodología en Nicaragua para evaluar un plan de continuidad de
negocio que esté alineado a las mejores prácticas en esta materia, que permitan evaluar
e identificar actividades de mejora con base en las estrategias y necesidades de la
Organización.
2.3. Las causas.
a. Poco conocimiento sobre el tema de planes de continuidad de
negocio.
b. No se conoce en nuestro país acerca de una metodología que sea
utilizada para la revisión de los planes de continuidad de negocio.
c. Existen pocas empresas en Nicaragua que cuentan con un plan de
continuidad de negocio.
12
2.4 Pronóstico.
Un plan de continuidad de negocios inadecuado, pone en riesgo los procesos de
negocio de la empresa. Por otro lado, se produce un incumplimiento de la estrategia
organizacional, al realizar la planificación operativa sin tomar en cuenta los escenarios
adversos que pueden ser identificados producto de un adecuado proceso en la
elaboración del plan de continuidad de negocios.
2.5 Control de Pronóstico
Es necesario que las empresas que tengan planes de continuidad de negocio, se les
efectúe una revisión con el objetivo de identificar y asegurar que dichos planes sean
adecuados y suficientes para mantener la operatividad del negocio ante situaciones de
fenómenos naturales, sociales, etc.
En dicha revisión, se debe utilizar como principal marco de referencia el plan de
continuidad de negocios de la empresa; las normativas bajo las cuales fue creado el
manual, las mejores prácticas y estándares internacionales que apliquen.
2.6 Sistematización del problema
¿La empresa ha identificado cuales son las áreas y procesos críticos?
¿La empresa ha evaluado los riesgos de negocio en el plan de continuidad de negocio?
¿Bajo qué marcos de referencia deberá estar sustentado el plan de continuidad de
negocio?
13
¿Posee la empresa recursos financieros para la realización del plan de continuidad de
negocio y su cumplimiento?
¿Qué información se debe solicitar a la alta gerencia y a las áreas de la empresa
involucradas en la realización del plan de continuidad de negocio?
¿Qué aspectos deben sustentar los resultados de la evaluación del plan de continuidad
de negocios?
2.7 Objetivos
Objetivo General:
Determinar si el plan de continuidad de negocio de la empresa “Impulsadora de
Créditos, S.A”, se ajusta a mejores prácticas internacionales en cuanto a planes de
continuidad de negocios.
Objetivos Específicos:
1- Evaluar si el plan de continuidad de negocios de la empresa “ Impulsadora de
créditos S.A” cumple con las practicas del DRII ( Disaster Recovery International
Institute) para mantener la operatividad del negocio ante catástrofes naturales y casos
fortuitos.
14
2- Identificar si las áreas críticas de la empresa “Impulsadora de créditos S.A”, están
contempladas en el plan de continuidad de negocios.
3- Obtener una calificación respecto al cumplimiento de la gestión del plan de
continuidad de negocios, para ello se utilizará el modelo de madurez de continuidad de
negocio (Business Continuity Maturity Model – BCMM)
2.8 Justificación de la Investigación
En muchas ocasiones la alta dirección de las organizaciones no han evaluado los
riesgos a los cuales están expuestas, y que pueden comprometer la operación de la
misma; interrumpiendo el negocio en marcha.
El mayor riesgo al que están expuestas las organizaciones es a que la operatividad se
paralice por motivos de catástrofes naturales, fenómenos sociales, caídas de sistemas,
casos fortuitos, etc. Ante esta premisa, es de vital importancia que las organizaciones
cuenten con un plan de continuidad de negocio, con el objetivo de estar preparados y
saber de qué manera actuar ante una eventualidad.
La información, después del recurso humano, es el activo más importante para una
empresa, y su protección a través de un plan de continuidad permite que se minimice el
riesgo de que la operatividad del negocio cese a pesar de cualquier eventualidad que
pueda acontecer, de ahí esa necesidad de un mayor control y métodos de evaluación
continua.
Las evaluaciones a los planes de contingencia de una organización se pueden realizar
considerando las mejores prácticas existentes y estándares internacionales, con el
objetivo de brindar a la alta gerencia de las organizaciones un instrumento de control de
tipo preventivo que facilite la corrección oportuna de los planes de continuidad existente
antes que se materialice un evento. (Garcia, 1999)
15
El tema de investigación es de tipo descriptivo, se pretende indagar mediante la
observación, información bibliográfica sobre el tema y entrevistas de campo a los
principales responsables de la gestión de continuidad de negocios de la empresa objeto
de evaluación.
Considerando los estándares internacionales, normativas nacionales, mejores prácticas
y como profesionales en auditoría y administradores de riesgos, pretendemos aportar
un documento que contenga información que sea utilizada para realizar una evaluación
del plan de continuidad de negocios de una organización financiera y consideramos que
también, a futuro realizando algunas modificaciones, puede ser utilizada para evaluar a
otras organizaciones sin importar el giro del negocio.
Por otro lado, este trabajo quedaría como un documento de apoyo y consulta para los
futuros profesionales que investiguen respecto de este tema.
3. MARCO TEORICO Y REFERENCIAL
3.1. Conceptos Relacionados a la continuidad del Negocio
Un plan de continuidad del negocio (Business Continuity Plan, BCP) se puede definir
como la identificación y protección de los procesos y recursos del negocio considerados
críticos para sostener un desempeño aceptable, mediante la identificación de
potenciales amenazas, la definición de estrategias para su eliminación, minimización o
delegación y la preparación de procedimientos para asegurar la subsistencia de los
mismos al momento de concretar dichas amenazas. (Espiñeira, 2008)
Según Espiñeira, usualmente los planes de contingencia se organizan identificando las
causas de posibles interrupciones, o las más probables, y a partir de ellas referenciar los
procesos o acciones a seguir en caso de que las mismas se registren. Por ejemplo en
16
caso de incendio, se hace una referencia para ejecutar el proceso “Respuesta ante
incendios”, etc. esta modalidad tiene dos problemas muy importantes:
a. Es imposible poder prever todos los sucesos que puedan causar interrupciones
en la operatividad de una organización, por lo cual, pese al esfuerzo que se
realice en este sentido, seguramente se registraría una situación no prevista para
la cual, por ende, no se definió una respuesta, derivando en que el plan no sería
siempre eficaz.
b. En caso de registrarse una contingencia, es probable que se sucedan varios
incidentes a la vez (efecto cascada). Por lo anterior, esta organización y
utilización de los planes de contingencia no resulta adecuada, ya que en el mejor
de los casos es parcial.
Esta experiencia ha permitido desarrollar otro enfoque aplicado exitosamente: Una vez
identificado los procesos críticos de una organización, se debe identificar los recursos
críticos, de todo tipo, que se requieren para llevar adelante dichos procesos, lo cual
genera un conjunto de elementos finitos, sobre el cual definir el conjunto de posibles
causas de contingencias.
“Contingencia”, es toda situación en la que se interrumpa la operatividad habitual de la
organización, o se comprometa fuertemente el nivel de la misma por más tiempo del
definido como admisible (ventaja de tolerancia), no pudiéndose solucionar dicha
situación aplicando los procedimientos habituales.2
Esta definición de contingencia y el concepto de escenarios permiten a las
organizaciones resolver dos problemas prácticos fundamentales:
a. Lograr una solución de continuidad que garantice un nivel de recuperación
determinado independientemente de lo que haya sucedido.
b. Brindar una guía clara y concreta de cuando se debe activar el plan.
El desarrollo de una solución de continuidad, debe ser tratado de manera prioritaria y
desarrollado a corto plazo, considerando la necesidad de responder eficientemente ante 2 Boletín de asesoría gerencial PWC.
17
determinados eventos y el cumplimiento ante la publicación de normas por parte de
entes reguladores.
Al desarrollar un BCP, la organización debe participar en todos sus niveles y contar con
una herramienta que permita documentar y dar mantenimiento a los planes
desarrollados de manera flexible, práctica y segura.
Así mismo, es necesario que las empresas consideren una metodología para el
desarrollo de sus planes preventivos y planes de continuidad que permita dar resultados
tangibles y eficientes en el corto plazo.
Expertos en el tema de planes de continuidad del negocio como Alejandro Villarán
Vázquez E&Y Technology&security Risk Services (TSRS), definen a este como un
conjunto de tareas que permite a las organizaciones continuar su actividad en la
situación de que un evento afecte sus operaciones.
Este experto propone una metodología de plan de continuidad que incluya ciertos
objetivos cuyos resultados logran una evaluación coherente de los resultados del plan.
Dentro de estos objetivos se incluyen los siguientes:
a. Obtener una imagen clara y detallada de los procesos de negocio de la entidad,
determinando sus criticidades, interdependencias y riesgos.
b. Determinar las necesidades críticas para permitir un grado de operatividad en
línea con la estrategia definida.
c. Desarrollar una solución cuya relación coste - beneficio cumpla los requisitos y
expectativas de la entidad.
d. Prever y documentar las acciones necesarias para restaurar la actividad.
Como plan de contingencia propone que es necesario que las empresas cuenten con un
comité de crisis, constituido formalmente y un plan de recuperación ante desastres.
La definición de plan según la teoría y las opiniones de los expertos coinciden en la
necesidad que deben considerar las organizaciones e incorporar dentro de sus planes
de continuidad del negocio las posibles contingencias a las que puedan enfrentarse, así
mismo desarrollar medidas de recuperación eficaces que incidan en su operatividad y
existencia.
18
Por ende los riesgos por catástrofes naturales deben incluirse en los planes de
continuidad de las empresas y darles el tratamiento adecuado para contrarrestar los
efectos negativos que puedan generar.
Continuidad de negocio: Es la capacidad estratégica y táctica de la organización para
planificar y responder a incidentes o interrupciones del negocio con el fin de continuar
las operaciones del negocio en un nivel de tiempo predefinido aceptable3.
Gestión de la continuidad del negocio (BCM): Es un proceso de gestión holístico que
identifica las amenazas potenciales a una organización y los impactos a las operaciones
del negocio que esas amenazas, que en caso de materializarse, podrían causar; y que
proporciona una estructura para construir resiliencia organizacional con capacidad para
una respuesta efectiva que salvaguarde los intereses de sus grupos claves de interés,
su reputación, marca y actividades de valor agregado.4
Resiliencia Organizacional: Capacidad de las organizaciones para sobreponerse ante
cualquier adversidad del mercado o crisis económicas, sin comprometer elementos
característicos de su identidad corporativa.5
Análisis de impacto al negocio (BIA):Es el proceso de análisis de las funciones del
negocio y el efecto que una interrupción del negocio podría tener sobre ellas.6
3 International Glossary for Resiliency.
4 Iso 22301
5 International Glossary for Resiliency
6 Oficina de tecnologias de informacion.
19
Actividades críticas: Son aquellas actividades que deberán realizarse para garantizar el
despacho de los productos y servicios claves que le permitan a la organización cumplir
con sus más importantes objetivos. (Quevedo, 2012)
Estrategia de continuidad de negocio: Enfoque de una organización que le asegurará su
recuperación y continuidad ante el enfrentamiento de un desastre u otro tipo de
incidente o interrupción del negocio. (Quevedo, 2012)
ISO 22301:El nuevo estándar ISO 22301:2012 tiene por nombre “Seguridad de la
Sociedad: Sistemas de Continuidad del Negocio”. Este modelo aparece como producto
de una evolución de lineamientos, buenas prácticas y estándares en continuidad del
negocio.
3.2. PRACTICAS BCP DEL DRII (Disaster Recovery International Institute).
Según el Instituto DRI International, las prácticas del BCP (Business Continuity Plan)
relacionadas con la gestión de la continuidad de negocios son las siguientes:
Práctica 1: Inicio y Gerencia del Proyecto
Está práctica se refiere a la gerencia del proyecto que como resultado entregará un
Programa de Gestión de Continuidad del Negocio, en esta se busca resaltar la
importancia de determinar las fases del proyecto, los responsables, las
responsabilidades, el alcance y el compromiso por la alta dirección con el mismo.
Práctica 2: Evaluación de Riesgos
Está práctica se refiere a la importancia de determinar los hechos y el entorno ambiental
que pueden afectar negativamente a la organización y sus instalaciones con una
interrupción, así como los desastres, los eventos que pueden causar tales daños, y los
controles necesarios para evitar o minimizar los efectos de la pérdida potencial.
Proporcionar análisis costo - beneficio para justificar la inversión en los controles para
mitigar los riesgos.
20
Práctica 3: Análisis de Impacto al Negocio.
El Análisis de Impacto sobre el negocio (BIA) es el aspecto básico a considerar en el
desarrollo de un plan de recuperación ante desastres (DRP), en principio dará
continuidad a las actividades críticas y posteriormente al resto, si es posible.
El nivel de criticidad de una actividad dentro de la compañía se mide en función de lo
dependiente de ella, que es la organización y de lo que repercutiría su indisponibilidad.
En términos económicos esta valoración sería responder a la pregunta de cuánto
perdería la organización si la actividad o proceso no estuviera disponible.
Práctica 4: Desarrollo de Estrategias de Continuidad del Negocio
El Desarrollo de Estrategias de Continuidad del Negocio es el ejercicio de determinar
con base en los riesgos y los impactos identificados, las mejores alternativas para
garantizar la operación y control en contingencia de la organización y con esto su
sostenibilidad a través del tiempo.
Práctica 5: Respuesta de Emergencia y Operaciones
Consiste en el diseño e implementación de procedimientos de reacción y control de la
situación una vez ocurrido el impacto de una de las amenazas, comunicación a las
partes interesadas.
Práctica 6: Desarrollo e implementación de planes de Continuidad del Negocio.
Dentro de esta práctica podemos considerar importante las estrategias de recuperación
de la información que no es más que el proceso en el que la organización debe asegurar
el respaldo de la información crítica para la operación de los sistemas de información.
Práctica 7: Conciencia y Capacitación
Con esta práctica se debe preparar un programa para crear y mantener la conciencia
organizacional, mejorar las habilidades necesarias para desarrollar, implementar,
mantener y ejecutar todas las iniciativas de continuidad del negocio.
Práctica 8: Mantenimiento y ejercicio de los Planes de Continuidad del Negocio.
Esta práctica considera pre-planificar y coordinar los ejercicios del plan, y evaluar y
documentar los resultados de un plan de ejercicios, desarrollar procesos para mantener
la vigencia de las capacidades de la continuidad y el Plan de Continuidad de Procesos
21
del negocio (BCP por sus siglas en inglés) de acuerdo con la dirección estratégica de la
organización; adicionalmente, se debe verificar que el BCP será eficaz en comparación
con un estándar adecuado, e informar los resultados de una manera clara y concisa.
Práctica 9: Relaciones públicas y coordinación de crisis.
El objetivo de la comunicación y coordinación durante y después de una crisis, forma
parte de las actividades para la continuidad de negocio en las organizaciones, con el fin
de resolver cualquier evento inesperado que se presente y que pueda repercutir sobre
su imagen, para lo cual deben implementarse tácticas específicas de información para
encontrar una solución rápida e inmediata.
Por lo antes descrito en la estructura organizativa de las organizaciones debe existir un
área de comunicación y divulgación, que tenga claramente establecido una estrategia
de comunicación interna y externa, que ayude a recuperar el control de la situación
durante y después de la crisis.
Práctica 10: Coordinación con organismos externos.
El objetivo de la coordinación durante y después de una crisis con organismos externos
de la organización forma parte de las actividades para la continuidad de negocio, con el
objetivo de establecer procedimientos y políticas para coordinar las actividades de
respuesta, la continuidad y la restauración con las autoridades locales, al tiempo que
garantiza el cumplimiento de las leyes o regulaciones aplicables.
3.3. Elementos y principios básicos para la gestión efectiva de la
continuidad del negocio según La Superintendencia de Bancos y otras
Instituciones Financieras (SIBOIF).
En la Resolución N° CD.SIBOIF.611.1.ENE22.2010 de fecha 22 de enero de 2010.
Norma sobre gestión de riesgo operacional, establece en el Anexo los elementos y
principios básicos para la gestión efectiva de la continuidad del negocio, así como las
responsabilidades de los principales ejecutivos de la organización.
22
1. Elementos:
Análisis de impacto: Es el punto de partida de una gestión efectiva de continuidad del
negocio. Es el proceso dinámico de identificación de las operaciones y servicios críticos,
dependencias internas y externas claves y niveles apropiados de resistencia. Evalúa los
riesgos e impactos potenciales de varios escenarios de interrupción en las operaciones
y reputación de la institución.
Estrategia de recuperación: Establece objetivos de recuperación y prioridades basadas
en el análisis de impacto en el negocio. Entre otros aspectos, establece los objetivos
para el nivel de servicios que la institución procuraría prestar en caso de interrupción y
la infraestructura necesaria para el restablecimiento total de las operaciones del
negocio.
Planes de continuidad del negocio: Proporcionan una guía detallada para la
implementación de la estrategia de mantenimiento y recuperación. Establecen los roles
y delegan responsabilidades para el manejo de interrupciones operacionales y
proporcionan pautas claras con respecto a la sucesión de la autoridad en casos de
interrupciones que perjudiquen al personal clave. También, establecen de manera clara
la autoridad para la toma de decisiones y las circunstancias o eventos que activan el
plan de continuidad de negocios de la institución. La seguridad del personal debe ser la
consideración principal del plan de continuidad de negocios.
2. Principios:
Responsabilidades de la junta directiva y de la alta gerencia: La junta directiva y la alta
gerencia son conjuntamente responsables por la continuidad de las operaciones de la
institución.
La gestión de la continuidad del negocio debe ser un componente clave de la gestión
integral de los riesgos de la institución. Las políticas y procesos de la gestión de la
continuidad del negocio deben ser implementados a nivel global de la institución o,
como mínimo, a las operaciones críticas de la misma. La gestión efectiva de la
continuidad del negocio trata no sólo de los aspectos técnicos, sino también de los
recursos humanos. De esta manera reconoce que los empleados y posiblemente sus
familias, puedan verse afectados por el mismo evento que dio origen a la interrupción, y
23
como consecuencia, no todos los empleados estarán disponibles para la institución
durante o inmediatamente después de la ocurrencia del evento.
La junta directiva y la alta gerencia de la institución son responsables de la gestión
efectiva de sus políticas de continuidad de negocio y por el desarrollo e implementación
de políticas que promuevan la resistencia a, y continuidad en el evento de,
interrupciones operacionales. Estos deben reconocer que la subcontratación de
operaciones no transfiere las responsabilidades que tienen sobre la gestión de la
continuidad del negocio al proveedor de servicios. La junta directiva y la alta gerencia
deben crear y promover una cultura organizacional que tenga como una de sus
prioridades la continuidad del negocio. La junta directiva y la alta gerencia deben
proveer los recursos financieros y humanos para desarrollar e implementar el enfoque
de la institución a la gestión de la continuidad del negocio.
Se deben establecer los sistemas que permitan informar a la junta directiva y alta
gerencia sobre los temas relacionados a la continuidad del negocio, incluyendo el grado
de implementación, notificación de incidentes, resultados de las pruebas y acciones
relacionadas al fortalecimiento de la resistencia de la institución o habilidad para
reanudar operaciones específicas. La gestión de la continuidad del negocio de una
institución deben estar sujetas a revisión por los auditores, tanto externos como internos
y los hallazgos significativos deben ser puestos en conocimiento de la junta directiva y
la alta gerencia de manera oportuna.
La confusión puede ser un serio obstáculo para llevar a cabo una respuesta efectiva a
una interrupción. Consecuentemente, las responsabilidades, así como los planes de
sucesión, deben estar claramente definidas en las políticas de gestión de continuidad
del negocio de una institución.
Interrupciones operacionales mayores: Las interrupciones operacionales mayores
presentan un riesgo sustancial a la continuidad de las operaciones del sistema
financiero. Por tal razón, las instituciones financieras de manera particular deben incluir
el riesgo de una interrupción operacional mayor dentro de sus planes de continuidad del
negocio. El grado en que una institución en particular se prepara para una recuperación
en caso de una interrupción mayor debe estar en concordancia a sus características
24
propias y a su perfil de riesgo. Debido a que el acceso a los recursos necesarios para
una recuperación total puede que sean limitados durante una interrupción mayor, la
institución debe identificar a través de un análisis de impacto, aquellas funciones y
operaciones de negocios que deben ser recuperados prioritariamente, estableciendo
objetivos apropiados de recuperación para dichas operaciones.
Las interrupciones mayores de las operaciones varían en alcance y duración. Al evaluar
si su gestión de continuidad del negocio es suficiente para dar respuesta a una
interrupción mayor, las instituciones deben revisar la adecuación de sus mecanismos de
recuperación en las tres áreas siguientes:
a. La institución debe tener el cuidado de que su sitio alterno se encuentre lo
suficientemente alejado del lugar donde llevan a cabo sus operaciones
principales.
b. La institución debe asegurar que el sitio alterno cuente con la información
actualizada suficiente y los equipos y sistemas necesarios para minimizar los
efectos de las interrupciones de los servicios, mediante restauración temporal y
recuperación definitiva de sus procesos y servicios críticos, en caso de que sus
oficinas principales sean severamente dañadas o el acceso a la zona afectada se
encuentre restringido.
c. Dado que el personal de la oficina principal pueda que no se encuentre
disponible, el plan de continuidad de negocio debe incluir la forma en que la
institución proveerá el personal adecuado en términos numéricos y de
experiencia, para la reanudación de las operaciones y servicios críticos que sean
consistentes con sus objetivos de recuperación.
Objetivos de recuperación: Las instituciones financieras deben establecer objetivos de
recuperación que reflejen los riesgos que representan para la estabilidad del sistema
financiero.
La institución que sufra una interrupción operacional mayor podría afectar la capacidad
de los demás miembros de continuar con sus operaciones normales de negocios.
25
Consecuentemente, las instituciones financieras deben tomar en cuenta dicho riesgo y
mejorar su gestión de continuidad del negocio en los casos en que determinen que una
interrupción de sus operaciones afectaría la estabilidad del sistema financiero.
Los objetivos de recuperación deben identificar tanto niveles esperados de recuperación
como el tiempo que tomaría alcanzarlos.
Comunicaciones: Las instituciones financieras deben incluir en sus planes de
continuidad de negocio los mecanismos y procedimientos para comunicarse tanto
dentro de la organización, como con las partes interesadas externas en caso de una
interrupción operacional mayor.
Las instituciones financieras deben estar en capacidad para comunicarse de manera
efectiva con las partes interesadas relevantes tanto dentro, como fuera de la institución,
en caso de una interrupción operacional mayor. Particularmente en las primeras etapas
de la interrupción, donde la comunicación efectiva es necesaria para estimar el impacto
de ésta, en el personal y operaciones de la institución y en el sistema financiero en
general, y tomar la decisión de implementar o no el plan de continuidad del negocio. En
la medida en que el tiempo transcurre, la capacidad para comunicar la información más
importante disponible a las partes interesadas de manera oportuna es un factor crítico
para la recuperación de las operaciones de la institución y para el retorno del sistema
financiero a su funcionamiento normal. El mantenimiento de la confianza del público, en
la institución financiera, requiere de la capacidad para comunicarse de manera clara y
regular durante el tiempo que dure la interrupción.
Asimismo, los procedimientos y sistemas de comunicación de las instituciones
financieras deben incluir, como mínimo, los aspectos siguientes:
a. Identificación de las personas responsables de comunicarse con el personal y
demás partes interesadas externas. Este grupo puede incluir la alta gerencia, el
personal de relaciones públicas, asesores legales y el personal responsable de
los procedimientos de continuidad del negocio de la institución. Este grupo debe
estar en capacidad para comunicarse con personal ubicado en lugares remotos,
26
disperso a través de múltiples ubicaciones, o que simplemente se encuentre lejos
de las oficinas principales de la institución; y
b. Solucionar aspectos relacionados que podrían suscitarse como resultado de una
interrupción operacional mayor tales como, la respuesta que se le daría a fallas
en los sistemas de comunicación primarios. Esto puede incluir por ejemplo,
desarrollar sistemas e información de contacto para el personal clave que
facilitaría múltiples métodos de comunicación (líneas telefónicas terrestres,
digitales o analógicas; teléfonos celulares, teléfonos satelitales, mensajes de
texto, páginas de Internet, entre otros).
c. Pruebas: Las instituciones financieras deben realizar pruebas de sus planes de
continuidad de negocios, evaluar su efectividad y actualizar su gestión de
continuidad de negocios, según fuere necesario.
Probar la capacidad de recuperación de operaciones críticas tal y como fue planeado es
un componente esencial de una gestión efectiva de la continuidad del negocio. Dichas
pruebas deben ser llevadas a cabo de manera periódica, tomando en cuenta la
naturaleza, alcance y frecuencia, según fuere determinado por la importancia de las
aplicaciones y funciones de negocios, el rol de la institución dentro del mercado y
cambios materiales en el entorno, tanto externo como interno de la institución.
Adicionalmente, dichas pruebas deben identificar la necesidad de modificar el plan de
continuidad de negocios y sus aspectos relacionados. En algunos casos, esta
necesidad de cambio puede ser el resultado de modificaciones en su negocio, sistemas,
software, hardware, personal, instalaciones o el ambiente externo. Tanto la auditoría
interna como la externa, deben evaluar la efectividad del programa de pruebas de la
institución, revisar los resultados de las pruebas e informar sus hallazgos al comité de
auditoría, la alta gerencia y la junta directiva. La junta directiva y la alta gerencia deben
asegurar que cualquier deficiencia encontrada sea subsanada de manera oportuna.
Adicionalmente, a la comprobación que los planes de continuidad del negocio son
evaluados y actualizados cuando fuere necesario, las pruebas también son esenciales
para promover el entendimiento y familiaridad entre el personal clave de sus roles y
responsabilidades en el caso de una interrupción mayor. Es importante por lo tanto, que
27
los programas de pruebas incluyan al personal que seguramente estará involucrado en
caso de interrupciones operacionales mayores.
La alta gerencia debe instruir a las áreas funcionales y éstos a su vez al personal bajo
su supervisión, en los pasos a seguir en caso de una interrupción, de tal manera que
estos sean del conocimiento de todo el personal, así como elaborar los planes de
continuidad de los servicios críticos que están bajo su responsabilidad.
3.4. .Marco Referencial para la Planeación de la Continuidad del Negocio.
Control: Es un medio de gestión de riesgos, como políticas, procedimientos, directrices,
prácticas o estructuras organizacionales, que pueden ser de carácter administrativo,
técnico, de gestión o legal.7
Guía de implementación:
a. Las condiciones para activar los planes y el proceso a seguir antes de dicha
activación.
b. Los procedimientos de emergencia que describen las acciones a realizar tras
una contingencia.
c. Los procedimientos de respaldo
d. Procedimientos temporales de operación
e. Los procedimientos de reanudación.
f. El calendario de mantenimiento
g. Actividades de concientización y formación
h. Las responsabilidades de las personas
i. Los activos y recursos críticos necesarios
7 International Glossary for Resiliency.
28
3.6 Evaluación de madurez en continuidad de negocio.
El BCMM (Business Continuity Maturity Model) es un modelo desarrollado por Virtual
Corporation, Inc. para medir objetiva y consistentemente el estado de preparación para
afrontar contingencias de una organización.8
a. Es una herramienta de diagnóstico para una evaluación objetiva de la efectividad
de un programa de continuidad de negocio.
b. Produce datos consistentes a partir de los cuales se pueden realizar significativos
análisis comparativos (Benchmark).
c. Responde a las siguientes interrogantes: ¿cuál es el nivel actual de madurez del
BCP en la organización?
d. ¿qué nivel de madurez debería alcanzar la institución?
e. ¿Cuál sería la ruta más efectiva para alcanzar el próximo nivel?
El contenido del programa BCP debe de contar con las siguientes competencias:
Liderazgo: el compromiso y entendimiento demostrado por la alta dirección de un
programa corporativo global de continuidad de negocio apropiadamente escalado.
También, el grado para el cual el “caso de negocio” por implementar continuidad de
negocio sostenible ha sido articulado y entendido por el Comité Ejecutivo.
Concientización: la amplitud y profundidad de conocimientos conceptual de continuidad
del negocio en todos los niveles jerárquicos de la organización incluyendo las
consideraciones para la calidad y sostenibilidad de los programas de entrenamiento y
concientización.
Estructura del programa BCP: La escala y la relevancia del programa de BCP en la
organización. El grado en que el programa de BC cumple con el “caso de negocio”
elaborado.
Grado de penetrabilidad del programa: nivel de coordinación de continuidad del negocio
entre los diferentes departamentos, funciones y unidades de negocio a lo largo de toda
8 Revista de investigación de sistemas e informática.
29
la organización. El grado en que las consideraciones de continuidad del negocio han
sido incorporadas en otras iniciativas, programas o procesos de negocio.
Métricas definidas: El desarrollo y monitoreo de las mediciones apropiadas del
desempeño del programa de continuidad del negocio. El establecimiento y seguimiento
de un punto de partida de competencias de la continuidad del negocio.
Compromiso de recursos: la disponibilidad de suficientes recursos humanos (bien
entrenados y respaldados por la organización), financieros y otros recursos para el
sustento de un programa de continuidad del negocio.
Coordinación externa: coordinación de asuntos y requerimientos de continuidad del
negocio con la comunidad externa, incluyendo clientes, proveedores, bancos, gobierno,
acreedores, aseguradoras, etc., asegurando que los eslabones (socios de negocio)
críticos de la cadena de suministros tienen planes de BCP adecuados en su propias
organización.
Contenido del programa BCP: las previas siete competencias corporativas se refieren a
aspectos claves de un programa de BCP. Esta octava competencia corporativa dirige él
como una organización implementa las cuatro disciplinas centrales de la continuidad de
negocio.
Los componentes del programa de BCP son:
a. Administración de incidentes: se asegura de que todos los aspectos de respuesta
a la emergencia, manejo de crisis y cualquier otra actividad involucrada en el
comando, control y comunicación durante una contingencia organizacional y/o
desastre, sean manejados adecuadamente.
b. Administración de seguridad: asegura que la seguridad física (inmuebles),
informática y cualquier otra actividad asociada con proteger la integridad
específica de personas, bienes o información, estén apropiadamente enfocadas.
c. Recuperación tecnológica: asegura que el hardware, software, redes y
aplicaciones críticas de la organización son recuperadas de manera adecuada,
cumpliendo con los tiempos y objetivos previamente definidos (RTO / RPO).
30
d. RPO: (Recovery Point Objective), se refiere al volumen de datos en riesgo de
pérdida que la organización considera tolerable.
e. RTO: (Recovery Time Objective), expresa el tiempo durante el cual una
organización puede tolerar la falta de funcionamiento de sus aplicaciones y la
caída de nivel de servicio asociada, sin afectar la continuidad de negocio.
f. Recuperación del negocio: asegura que las funciones y procesos críticos del
negocio, son recuperables de manera adecuada dentro de los tiempos y
objetivos previamente definidos (RTO / RPO).
Para determinar el modelo de madurez y obtener una calificación objetiva del plan, se
realizó de acuerdo al siguiente “Ciclo Metodológico”:
Ilustración 1 Ciclo metodológico
4. INSTRUMENTO DE INVESTIGACION: Se consideró que debido al tipo de investigación a desarrollar, el instrumento idóneo a
utilizar para recopilar la información es la entrevista con respuestas abiertas.
Por medio de este instrumento se pretende:
31
a. Indagar información general sobre el plan de continuidad de negocios de la
empresa, en que consiste y cuál es el objetivo.
b. Conocimiento del rol de los principales funcionarios involucrados en el plan de
continuidad de negocio de la empresa.
c. Conocer las áreas críticas identificadas por la empresa y que se incluyeron en el
plan de continuidad de negocios.
El personal involucrado y a quien va dirigidas las entrevistas, en primera instancia
corresponden a los miembros de la junta directiva de la empresa, quienes son los que
aprueban el plan de continuidad de negocios, el gerente general quien dirige la
implementación y monitorea el cumplimiento, las áreas de: Operaciones y sistemas,
auditoría interna, riesgo integral y negocios de la empresa “Impulsadora de créditos,
S.A.”
Posteriormente a cada uno de los gerentes de las áreas involucradas en la gestión de
continuidad de negocios.
Para el desarrollo de la entrevista se han elaborado preguntas generales
complementadas con preguntas específicas por cada área.
5. CAPITULOS:
5.1 CAPITULO I: Evaluar si el plan de continuidad de negocios de la
empresa “Impulsadora de créditos, S.A” incorpora las prácticas del DRII
(Disaster Recovery International Institute), para mitigar los riesgos de
interrupción del negocio.
32
La presente investigación fue realizada en una entidad nicaragüense que se dedica al
otorgamiento de préstamos para impulsar el desarrollo en el área urbana y rural, a la
que por sigilo la llamaremos como “Impulsadora de Créditos, S.A”.
En este capítulo se abordará la evaluación del plan de la continuidad de negocios de la
empresa “Impulsadora de créditos S.A”. Para ello se realizó una comparativa entre las
diez prácticas recomendadas por el DRII (Disaster Recovery International Institute) y la
información que contempla el plan de continuidad de negocios de Impulsadora de
créditos, S.A.
Las diez prácticas en mención son las siguientes:
Práctica 1: Inicio y gerencia del proyecto.
Práctica 2: Evaluación de riesgos.
Práctica 3: Análisis de impacto al negocio.
Práctica 4: Desarrollo de estrategias de continuidad de negocios.
Practica 5: Respuesta de emergencia y operaciones.
Practica 6: Desarrollo e implementación de planes de continuidad de negocio.
Practica 7: Conciencia y capacitación.
Practica 8: Mantenimiento y ejercicio de los planes de continuidad de negocios.
Practica 9: Relaciones publicas y coordinación de crisis.
Practica 10: Coordinación con organismos externos
Un plan de continuidad del negocio (Business Continuity Plan, BCP) se puede definir
como la identificación y protección de los procesos y recursos del negocio considerado
críticos para sostener un desempeño aceptable, mediante la identificación de
potenciales amenazas, la definición de estrategias para su eliminación, minimización o
delegación y la preparación de procedimientos para asegurar la subsistencia de los
mismos al momento de concretar dichas amenazas. (Espiñeira, 2008)
Como se mencionó anteriormente, la empresa objeto de investigación está situada en el
rubro de financieras, en ese sentido; está sometida a regulaciones orientadas por la
Súper Intendencia de Bancos y de Otras Instituciones Financieras (SIBOIF), la cual por
33
exigencia obliga a las empresas de este ramo contar con un plan de continuidad de
negocio.
“Las interrupciones mayores de las operaciones varían en alcance y duración. Al
evaluar si su gestión de continuidad del negocio es suficiente para dar respuesta a una
interrupción mayor”9.
La misión primordial de un BCP es la mitigación de riesgos que puedan interrumpir las
operaciones del negocio. En ese sentido, se debe de cumplir con las caracterísitcas
antes mencionadas para tener seguridad razonable de que el BCP funcionará al
momento de una eventualidad y que se podrá tener continuidad de las operaciones.
Para evaluar un plan de continuidad de negocio, primero se debe realizar una revisión
de la metodología utilizada en la elaboración del mismo, así como también comprender
el conjunto de leyes, normas y regulaciones que la rigen.
La empresa Impulsadora de Créditos, S.A hace una declaración en su manual de
Gestión de Continuidad de Negocio que ha hecho uso de las siguientes normativas :
Normativa de la Super Intendencia de Bancos y de Otras Instituciones Financieras y
mejores prácticas emanadas de la Norma ISO 22301en lo que sea aplicable.
Por tanto inicialmente la investigación partirá de estos marcos de referencia para
determinar que bastan y son apropiados. Posterior se efectuará una comparación de
marcos de referencia metodológicos, es decir; se comparará el marco de referencia
utilizado por la empresa versus el DRII (Disaster Recovery International Institute), el cual
es el marco de referencia que se utilizó para efectos de la presente investigación (ver
marco teórico apartado 3.2).
El modelo DRII recoge una lista de actividades que se encuentran supeditadas a
prácticas recomendadas que proporcionan una guía de elaboración de un plan de
continuidad de negocio. El modelo DRII es proporcionado y ha sido recopilado e
investigado por la empresa consultora de nivel internacional Iteam, la cual se enfoca a
la generación de valor estratégico.
El resultado de la comparación efectuada se detalla a continuación:
9 Resolución no. CD.SIBOIF.611.1.ENE22.2010
34
Practica I: Inicio y gerencia del proyecto.
Esta práctica la integran las siguientes actividades:
i. Documentar la importancia de contar con un BCP.
Debe estar basada en el conocimiento de la industria de la Compañía, su entorno
regulatorio y riesgos conocidos hasta el momento, que al ser identificados dieron origen
a la necesidad de definir un plan de continuidad de negocio.
En su manual de gestión de continuidad de negocios la empresa reconoce que es
importante identificar los riesgos a los que se encuentra ante eventuales contingencias
o desastres que pudieran afectar severamente la operación normal de sus procesos y
procedimientos de negocio.
Sin embargo, la declaración sobre la importancia de la elaboración del manual de
gestión de continuidad de negocio no cuenta con el sustento que evidencie que la
empresa al momento de elaborar el manual considero todos los riesgos conocidos hasta
el momento.
ii. Definir los criterios que sustenten la elaboración:
Se tiene que definir el objetivo y las políticas de implementación del plan de continuidad
de negocios.
Los objetivos que contempla el plan de continuidad de negocios de “Impulsadora de
créditos S.A” son los siguientes:
1. Permitir a la institución trascender ante la crisis y recuperarse en el menor tiempo
posible.
2. Garantizar que los empleados:
a. Estén protegidos
b. Comprendan su papel
c. Saben a dónde ir
d. Saben que hacer
e. Saben que recursos necesitan
f. Entiendan la secuencia de las tareas críticas
35
3. Ayudar a planificar la recuperación y reanudación de las operaciones.
4. Validar asuntos de la recuperación de la institución como:
a. Necesidades de telecomunicaciones durante y después del desastre.
b. Lugar alterno para recuperación de desastre.
Se identifica el objetivo, pero se desconoce si ya se dio a conocer a su personal como
una política de estricto conocimiento y cumplimiento.
iii. Definir los objetivos y las políticas del proyecto de implementación.
El objetivo debe basarse en la protección de las vidas humanas, minimizar las pérdidas
operativas, maximizar la capacidad de recuperación de las operaciones, mantener la
posición competitiva de la compañía y mantener la confianza de los clientes.
Según el manual de gestión de continuidad de negocios de “Impulsadora de créditos,
S.A”, la comunicación al personal acerca del plan de continuidad de negocios es su
objetivo principal, el equipo de recuperación de gestión humana garantiza el
cumplimiento mediante las siguientes funciones:
a. Preparar comunicaciones para orientar y dar atención a todo el personal.
b. Coordinar las actividades a realizarse durante la situación de crisis o
contingencia.
c. Establecer los lineamientos administrativos, legales, de seguridad y de recursos
humanos.
d. Apoyar y asesorar en las decisiones y acciones que deban ser adoptadas.
e. Brindar soporte logístico y/o administrativo para la recuperación.
f. Elaborar, revisar, validar y aprobar los pagos de la nómina referentes a salarios
de los colaboradores en casos de crisis.
iv. Documentar y sustentar los objetivos.
Estos deben estar incorporados en el documento del plan de continuidad de negocios.
En el manual de continuidad de negocios de “Impulsadora de créditos, S.A” los
objetivos que se encuentran contemplados son los siguientes:
a. Proteger los procedimientos críticos de “Impulsadora de créditos, S.A,” ante
eventos de crisis o contingencia.
36
b. Lograr una recuperación oportuna de las operaciones y de la información al
momento de presentarse una contingencia.
c. Proporcionar una guía para dirigir las actividades de respuesta y recuperación
ante eventos de crisis o contingencia.
La empresa realiza una medición traducida a los tipos de prueba para evaluar la
eficiencia y eficacia de los procesos de recuperación ante crisis.
v. Nombrar al comité responsable del desarrollo del proyecto BCP:
Se debe nombrar un líder coordinador y responsable de la gestión y ejecución del
proyecto. Este comité debe estar conformado por las gerencias claves que manejan
recursos e información y con la autoridad adecuada para que puedan tomar decisiones.
En el caso del manual de gestión de continuidad de negocios de “Impulsadora de
créditos, S.A”, menciona que existe un comité de continuidad de negocios, conformado
por los siguientes cargos:
a. Gerente General – presidente
b. Gerente de finanzas y administración – miembro
c. Gerente de negocios – miembro
d. Gerente de operaciones y sistemas – miembro
e. Gerente de recursos humanos- secretario de actas
f. Gerente de gestion integral de riesgos – miembro
g. Jefe de seguridad- miembro.
vi. Asignar recursos financieros y definir responsabilidades:
Esta actividad se refiere a que deben identificarse los recursos financieros y definir las
responsabilidades de cada uno de los miembros en la consecución del proyecto.
En el manual de “Impulsadora de créditos S.A” no se especifican los recursos
financieros destinados, pero si se indican las responsabilidades de los miembros del
comité de continuidad de negocios. Los cuales son los siguientes:
a. Liderar la recuperación del procedimiento a su cargo en el caso de alguna
contingencia.
b. Identificar los procedimientos de recuperación bajo su supervisión.
37
c. Servir de enlace entre el equipo de recuperación y el comité de continuidad.
d. Mantener informado sobre el estado de recuperación al líder ejecutivo del plan de
continuidad de negocio.
e. Coordinar con los demás líderes de los equipos de recuperación.
vii. Identificar y definir las etapas del proyecto:
Debe existir un conocimiento verdadero sobre la realidad en cuanto a lo que es un Plan
de continuidad de negocio y como se puede implementar y mantener, analizando las
metodologías utilizadas a nivel mundial, con el objetivo de extraer lo mejor de cada una e
identificar cuáles son las actividades necesarias para mantener e implementar un BCP.
En el manual de gestión de continuidad de negocios de “Impulsadora de Créditos, S.A”
se identifican dos fases del proyecto: prevención y gestión de crisis. Los cuales a su
vez, contemplan:
Fase de prevención:
1. Análisis de impacto al negocio.
2. Estrategias de continuidad de negocio.
3. Ejercicio y auditoría.
Fase de gestión de crisis:
1. Plan de continuidad de negocio y plan de administración de crisis.
2. Plan de recuperación de desastres.
viii. Planificación de la política de continuidad de negocio.
Es necesario el establecimiento de los compromisos que debe adoptar la Dirección, fijar
cómo designar a un coordinador de continuidad de negocio, determinar la
documentación que debe considerarse como evidencia para el BCP y precisar las
principales características que debe poseer la Política de Continuidad de Negocio.
En el caso de impulsadora de créditos, S.A el coordinador del plan de continuidad está
dividido por áreas o comités de recuperación.
38
ix. Comprensión de la organización y análisis de riesgos.
La práctica menciona que se debe realizar un estudio que permita conocer y
comprender la organización en su totalidad y definir como se debe realizar un Análisis
de Impacto al Negocio (BIA).
En el caso del manual de impulsadora de créditos, S.A el análisis del BIA realizado por
la compañía incluye:
Niveles de criticidad:
a. Crítico.
b. Medio
c. No critico
Procesos críticos identificados:
a. Impacto de cara al cliente
b. Impacto operacional
c. Impacto normativo y legal
x. Medidas preventivas:
Se debe explicar cómo se debe realizar un plan de acción, que contemple las
tareas que la compañía pretende adoptar para prevenir contingencias.
En el manual de “Impulsadora de créditos, S.A”, respecto a esta actividad en
cada sesión de prueba deberá estar planificada en cuanto a tiempos, orden de
objetivos, procesos, lugares, estaciones físicas de operación y personal
participante en las pruebas.
xi. Estrategias de recuperación:
Establecer cómo debe realizar las estrategias de recuperación para las
actividades críticas de la organización, establecer cómo se deben definir los
cargos o los equipos necesarios para la activación del Plan de Contingencia y
determinar cómo se deben documentar los planes de contingencia.
39
Respecto a esta actividad en el manual de gestión de continuidad de negocios
de “Impulsadora de créditos, S.A” se declara que las estrategias se derivan de
los resultados obtenidos en el análisis del impacto de negocio. Las mismas
deben ser realizables y verificables mediante pruebas, tener una alta
probabilidad de éxito, ser consecuente con los requerimientos de tiempo y
presentar una relación de costo- beneficio favorable.
xii. Pruebas, revisión y mantenimiento del BCP:
Se debe precisar cómo se deben realizar las pruebas, revisiones y
actualizaciones del BCP.
Según el manual de gestión de “Impulsadora de créditos, S.A” se pueden
realizar pruebas de sobremesa de varios escenarios, hacer simulaciones,
pruebas de recuperación técnica, ensayos generales, entre otros.
En cuanto a la actualización del plan se realiza cada vez que se genere un
cambio en los procedimientos críticos, cambios en la estructura organizacional
del personal crítico y en la tecnología.
Práctica II: Evaluación de Riesgos
Esta etapa es la más importante para el diseño del plan. Contiene las siguientes
actividades:
i. Obtener un entendimiento de la industria y el negocio en el cual opera la
compañía:
Se debe identificar los procesos de negocio esenciales, los recursos o activos
que necesitan ser protegidos o resguardados para asegurar la correcta
operación del negocio ante una posible amenaza interna o externa. Algunos
ejemplos de recursos o activos pueden ser:
a. Personas (clientes, empleados, suscriptores)
b. Recursos físicos (maquinarias, equipos de comunicación y computo,
medios magnéticos)
c. Recursos de información (base de datos, sistemas, manuales de usuarios,
materiales de entrenamiento, etc.)
40
d. Documentos físicos (contratos, licencias, permisos)
En el manual de “Impulsadora de créditos, S.A”, la empresa considera dentro de sus
principales activos:
a. Desembolsos de créditos.
b. Recuperación de créditos.
c. Pago de planilla.
d. Entrega de información a otra área.
e. Entrega de información al ente regulador.
f. Cierres mensuales.
g. Monitoreo de servidores.
ii. Entender los procesos significativos de la entidad:
En esta actividad se deben detectar las debilidades o vulnerabilidades existentes en los
procesos y en la compañía que permiten que las amenazas se materialicen. Durante
esta etapa es importante hacernos las siguientes preguntas:
a. ¿Cuáles son las actividades o procesos más importantes de la compañía?
b. ¿Cuáles son los recursos o activos principales de estos procesos?
c. ¿Cuáles son las principales amenazas a las que se encuentran expuestos según
su vulnerabilidad?
d. ¿Cuáles son los riesgos que se pueden materializar, riesgos de mercado, riesgos
de producción, riesgos de ser humano, etc.?
En el manual de” Impulsadora de créditos, S.A” los riesgos o amenazas que la empresa
tiene identificadas dentro de su plan de continuidad de negocios son de origen externo y
origen interno.
a. Desastres naturales.
b. Actos maliciosos.
c. Incidentes sanitarios ambientales.
d. Incidentes financieros.
e. Incidentes laborales.
41
f. Incidentes sociales.
g. Incidentes tecnológicos.
h. Incidente persona.
i. Incidente reputación.
Los riesgos se encuentra clasificados en:
a. Riesgo ambiental.
b. Riesgo persona.
c. Riesgo tecnológico.
d. Riesgo reputacional.
iii. Evaluar el impacto o magnitud económica:
Esto con base a la probabilidad de ocurrencia de las amenazas. Considerando que
ocurren en el peor momento posible, dando lugar a un grave deterioro de la capacidad
del organismo para realizar negocios. Algunos criterios que pueden ayudar a valorar las
pérdidas pueden ser:
a. Costo de horas de trabajo perdidas.
b. Ingresos dejados de percibir por interrupción de producción.
c. Multas por incumplimiento de contratos.
d. Multas o sanciones por incumplimiento de seguridad.
Respecto a esta actividad en el manual de gestión de “Impulsadora de créditos,
S.A”, los responsables de los procedimientos deberán evaluar los impactos
negativos generados por una posible interrupción en dichos procedimientos.
Estos impactos se clasifican en cuatro categorías: financieros, legales, de
imagen o reputaciones y ante los clientes externos.
iv. Evaluar y clasificar los riesgos:
De acuerdo a criterios pertinentes establecidos, identificar los riesgos que están bajo
control de la organización (por factores internos) y los riesgos que están fuera de control
de la organización (por factores externos).
a. Clasificar los riesgos por el tipo.
42
b. Evaluar los riesgos en la categoría de alto, medio, bajo, mínimo.
Los riesgos o amenazas que la empresa tiene identificadas dentro de su plan de
continuidad de negocios son de origen externo y origen interno.
a. Desastres naturales
b. Actos maliciosos
c. Incidentes sanitario ambientales
d. Incidentes financieros
e. Incidentes laborales
f. Incidentes sociales
g. Incidentes tecnológicos
h. Incidente persona
i. Incidente reputación.
Clasificación de riesgos:
j. Riesgo ambiental
k. Riesgo persona
l. Riesgo tecnológico
m. Riesgo reputacional
v. Evaluar los riesgos, de llegar a materializarse el riesgo como afectaría la
continuidad del negocio.
En el manual de gestión de continuidad de negocios, los riesgos identificados en el
análisis de riesgos aceptables (RA) son:
a. Infraestructura.
b. Proveedores externos.
c. Entorno.
d. Imagen.
e. Seguridad física.
f. Tecnología.
43
vi. Identificar alternativas de metodologías de análisis de riesgos y herramientas:
Las metodología pueden ser cualitativas y cuantitativas, cuáles serían las ventajas y
desventajas de utilizar la metodología seleccionada.
En el manual de “impulsadora de créditos S.A” no se especifica esta actividad, que tipo
de alternativas metodológicas consideraron en la elaboración del manual.
vii. Crear en toda la organización los métodos de recopilación de información y
distribución de la misma:
Estos pueden ser; formularios, entrevistas, reuniones, revisión de la documentación y
análisis.
En el caso de impulsadora de créditos, S.A no se especifica los métodos utilizados para
recopilar la información.
viii. Tratamiento al riesgo:
Una vez que se han identificado los riesgos y se han evaluados, se prosigue a
establecer la acción más apropiada de cómo tratarlos para minimizar su impacto. En
esta etapa existen cuatro acciones posibles a seguir:
a. Reducir el riesgo.
b. Aceptar los riesgos partiendo de que su impacto será mínimo.
c. Transferir los riesgos asociados a otras partes.
En el manual de gestión de plan de continuidad de negocios de impulsadora de créditos,
S.A:
a. El nivel de riesgo aceptable definido es bajo.
b. Las incertidumbres productos de incidentes de medio o bajo impacto se hallan
cubiertas por pólizas de seguro.
ix. Crear los controles necesarios que ayuden a disminuir el impacto de los riesgos:
Se trata de llevarlos a un nivel residual aceptable por la organización. Crear controles
preventivos, detectivos o correctivos y también identificar las medidas para prevenir y/o
mitigar el efecto de la pérdida.
44
En el plan de continuidad de negocios de “impulsadora de créditos, S.A”., contempla
equipos de recuperación para mitigar pérdidas como por ejemplo: tecnología, seguridad
interna, gestión humana, negocios, finanzas.
x. Revisión constante de los controles implementados para mitigar los impactos
relacionados con los riesgos identificados:
Se debe realizar revisiones periódicas y revisiones sorpresivas, prueba de controles
alternativos y controles compensatorios.
En el manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”
se declara que los controles implementados se actualizan en conjunto con el plan de
continuidad de negocio en casos que se realice algún cambio.
xi. Organizar equipos especializados con roles y responsabilidades específicas:
Para hacer frente a la materialización de un evento que ponga en riesgo la
sostenibilidad o continuidad de la organización, equipos especializados en manejo de
incidentes, manejo corporativo de crisis, importante equipos gerenciales y funcionales
para la recuperación del negocio y para la recuperación tecnológica.
En el plan de “Impulsadora de créditos, S.A” se menciona la existencia de un comité de
administración de crisis y equipos de recuperación cuando se dé el suceso.
xii. La creación de un centro alterno:
Es decir una ubicación física alternativa, diferente a la principal, en donde se va a
establecer la estrategia de recuperación de una entidad, pudiendo ser un centro alterno
para TI y/o de operaciones.
En el manual de gestión de continuidad de negocios se declara que la alternativa de
traslado de personal hacia un sitio alterno de operación se presenta en el evento que los
funcionarios no puedan acceder a las instalaciones de la institución.
Práctica III: Análisis de impacto al negocio:
i. Obtención de la Relación de Procesos:
Establecer los procesos de negocio que se realizan en la compañía.
45
En el manual de gestión de continuidad de negocios de “impulsadora de créditos, S.A”
declara que la relación de los procesos se determina a través del uso de cuestionario
BIA y el establecimiento de niveles de criticidad.
ii. Obtención de la relación de aplicaciones:
Establecer la relación de aplicaciones que soportan los procesos de la compañía.
Para el caso del manual de gestión de “Impulsadora de créditos, S.A” los principales
aplicativos de la institución no se encuentran disponibles, como es el caso cuando el
hardware y/o software presenta fallas o cuando haya interrupción prolongada de las
comunicaciones, ocasionados por: datos corruptos, fallos de componentes, fallas de
aplicaciones y/o error humano.
iii. Relación de Departamentos y Usuarios:
Se identifican los departamentos que hay en la organización y el nombre de las
personas que la componen y que intervienen en los procesos.
En el caso de “impulsadora de créditos, S.A” se determinaron los departamentos de
administración, tecnología, gestión humana, asesoría legal, contabilidad y auditoría.
iv. Determinar cuáles son los Procesos Críticos:
Pueden darse dos valoraciones, una basada en la importancia para la compañía de los
procesos cuya ausencia tendría un impacto alto en la actividad de la compañía
(valoración cualitativa). La otra, se referiría a las pérdidas económicas por período
debido a la ausencia de los procesos (valoración cuantitativa).
En el manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”,
se determinan como procesos críticos:
a. Desembolsos de créditos.
b. Recuperación de créditos.
c. Pago de planilla.
d. Entrega de información al ente regulador.
v. Definición del período Máximo de Interrupción:
El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y
las actividades están interrumpidas. No obstante, a partir de un momento que
46
denominaremos Período Máximo de Interrupción, las pérdidas sufren un aumento
significativo y las funciones no podrían ser reasumidas.
Impulsadora de Créditos, S,A. determinó su RTO en: 2 días.
vi. Identificar sitios físicos:
Se valida la lista de instalaciones físicas o entidades en donde opera los servicio de TI
de la organización.
El sitio físico según el manual de gestión de “impulsadora de créditos, S.A” se
encuentra en: Sitio alterno.
vii. Identificar sistemas de información:
Se obtiene la lista de los sistemas de información que se poseen en cada instalación y
se determina cuáles de ellos están relacionados de manera directa o indirecta con el
servicio de TI.
Los que se encuentran en el manual de gestión de continuidad de negocios de
impulsadora de créditos, S.A son:
a. Redes y comunicaciones.
b. Soporte técnico de hardware.
c. Administración de base de datos.
viii. Determinar el RTO, RPO de cada sistema:
Se estima, mediante encuestas o entrevistas, el tiempo de recuperación objetivo, el
punto de recuperación objetivo y el tiempo máximo tolerable fuera de servicio para cada
proceso en cada instalación con el fin de ayudar en la definición de las estrategias de
recuperación.
En el caso de “Impulsadora de créditos, S.A” el RTO se determinó de acuerdo a las
funciones de cada unidad de negocio. El RPO no se encuentra establecido en manual
de gestión de continuidad de negocios de la empresa.
47
Práctica IV: Desarrollo de Estrategias de Continuidad del Negocio
Esta práctica contiene cinco actividades que deben considerarse para desarrollar la
estrategia de continuidad de negocios:
i. Entender las alternativas disponibles y sus ventajas, desventajas, y los rangos de
costo, incluyendo la mitigación como una estrategia de recuperación:
a. Identificar estrategias viables de recuperación dentro de las áreas funcionales
de la organización
b. Consolidar las estrategias
c. Identificar requisitos off-site e instalaciones alternativos.
d. Desarrollar estrategias de unidad de negocio.
e. Obtener el compromiso de gestión de las estrategias desarrolladas.
f. Identificar en toda la organización los requisitos organizacionales para realizar
las estrategias de continuidad.
g. Revisión de los problemas de continuidad de negocio.
h. Los plazos, opciones, ubicación, persona, comunicaciones (crisis/medios de
comunicación y de voz/datos).
i. Examinar las cuestiones relacionadas con el soporte de la tecnología de la
continuidad de cada servicio.
j. Revisión de la tecnología que resuelva los problemas de continuidad para
cada servicio de apoyo, incluidos los servicios de apoyo que no depende de la
tecnología.
k. Comparar soluciones internas/externas
l. Identificar estrategias alternativas de continuidad:
a. No hacer nada
b. Aplazar la acción
c. Manual de procedimientos
d. Acuerdos recíprocos de alternativa lugar o la instalación de negocios.
48
e. Fuente alternativa de producto de terceros proveedores de
servicios/proveedores externos.
f. Procesamiento distribuido
g. Alternativo de comunicación
h. Mitigación
i. Planificación anticipada
j. Comparar las soluciones internas y externas
k. Evaluar los riesgos asociados a cada estrategia de continuidad opcional.
En el manual de gestión de continuidad de negocios de Impulsadora de créditos,
S.A cada proceso deberá contar con una estrategia de continuidad de negocio
que podrá ir desde la instalación de un sitio alterno, hasta la suspensión del
proceso por un tiempo determinado.
La prioridad para la implementación de una estrategia empezará por los procesos
más críticos hasta los procesos menos críticos.
ii. Evaluar la idoneidad de las estrategias alternativas frente a los resultados de un
análisis del impacto organizacional, para ello:
a. El negocio en forma efectiva debe analizar las necesidades y los criterios.
b. Definir claramente los objetivos de la planificación de la continuidad de
negocio.
c. Desarrollar un método consistente para la evaluación.
d. Establecer criterios de referencia para las opciones de estrategia de
continuidad.
En el caso de “Impulsadora de créditos, S.A” para establecer las estrategias de
continuidad de negocio determinó el alcance, el cual está definido para la
operatividad del edificio central y sucursales, y se establecieron los posibles
escenarios de interrupción:
a. No hay acceso a las instalaciones.
b. Los aplicativos no están disponibles.
c. Ausencia de personal.
49
d. Falta de proveedores externos.
iii. Preparar análisis costo / beneficio de las estrategias de continuidad y presentar
sus observaciones a la Alta Dirección:
a. Emplear una metodología práctica, comprensible.
b. Establecer horarios realistas para la evaluación y redacción de informes.
c. Entregar recomendaciones concisas y específicas a la alta dirección.
En el caso de “Impulsadora de créditos, S.A”. una vez que se seleccionaron las
estrategias se deben calcular los costos de implementación, para ello se consideraron
los costos de movilización del personal al sitio alterno, equipo tecnológico necesario,
costos adicionales.
iv. Seleccionar lugares alternativos y de almacenamiento fuera del sitio:
Para ello se deben establecer:
a. Criterios.
b. Comunicaciones.
c. Consideraciones de acuerdo.
d. Las técnicas de comparación.
e. Adquisición.
Esta actividad en el caso de Impulsadora de créditos, S.A se realiza mediante un
cronograma en el que se determinarán las fechas y lugares en que se ejecutará el
programa de pruebas.
Cada sesión de prueba deberá estar planificada en cuanto a tiempos, orden de
objetivos, procesos, lugares, estaciones físicas de operación y personal participante en
las pruebas.
v. Entender los acuerdos contractuales comprendidos en los servicios de
Continuidad de Negocios:
Para ello se debe:
a. Entender y preparar los estados y los requisitos para su uso en los acuerdos
formales para la prestación de servicios de continuidad incluidos los requisitos
jurisdiccionales / normativas adecuadas.
50
b. Formular todas las especificaciones técnicas (términos de referencia) necesarias
para su uso en la "invitación a licitación" en formato.
c. Interpretar los acuerdos externos propuestos por los proveedores en relación con
los requisitos especificados originales.
d. Identificar los requisitos específicos excluidos de los acuerdos estándar
propuesto.
e. Entender y asesorar sobre la inclusión de elementos opcionales y las que son
esenciales.
f. Contraprestación contractual.
Esta actividad no se especifica en el manual de gestión de continuidad de negocios
de “Impulsadora de créditos, S.A.”.
Práctica V: Respuesta de emergencia y operaciones
Esta práctica se refiere a las estrategias y tiempos de respuestas en caso de
incidentes y contingencias:
i. Estrategias y tiempo de respuestas:
a. Para dar respuesta a los incidentes / contingencias que puedan ocurrir en la
Organización en sus instalaciones totales o por áreas específicas la organización
tiene que definir un criterio de respuesta y puede ser escalonada, el cual clasifica
las capacidades de respuesta necesarias en términos del tamaño del incidente
identificado por un análisis de riesgo y su proximidad a las instalaciones
operativas.
b. Se asegura la existencia de un sistema de respuesta de un nivel apropiado con el
objetivo de garantizar una respuesta efectiva a un incidente de acuerdo con el
riesgo y el momento de la ocurrencia.
c. Para los incidentes que ocurran durante las horas normales de trabajo, el
objetivo será establecer un tiempo de respuesta de 1 hora.
d. Para los incidentes que ocurran después de las horas normales de trabajo se
aceptará un tiempo de respuesta más largo, estimándose que las acciones
pueden comenzar dentro de un tiempo de respuesta de 2 a 3 horas. Siempre
51
tomando en cuenta que el personal de TI ya está en el sitio alterno y que las
condiciones tecnológicas para la recuperación de los procesos es óptima.
Para el caso de “Impulsadora de créditos, S.A”, en su manual de gestión de
continuidad de negocios se detallan diferentes fases del ciclo de una crisis o
contingencia:
Fase 1. Identificación y escalamiento.
Fase 2. Declaratoria.
Fase 3. Activación del plan.
Fase 4. Activación de los equipos de recuperación.
Fase 5. Regreso a la operación normal.
ii. Conformación de equipos:
a. El comité será responsable de coordinar las acciones necesarias antes,
durante y después de las operaciones de emergencia.
b. Es el encargado de tomar las acciones administrativas, relacionadas con los
recursos físicos, humanos y económicos necesarios para la eficaz ejecución
del plan.
c. Diseñar e implementar el plan de preparación para emergencias.
d. Este comité está conformado por los directivos de mayor poder de autoridad
de la organización.
e. Este grupo de personas en el momento de las emergencias están
identificadas con chalecos de colores según la responsabilidad a cargo.
f. Se deben asegurar que el comité de emergencias de la organización esté
debidamente constituido, por actividades conforme los cargos existentes,
gerentes, directores o personal a cargo de las instalaciones.
En el caso de” Impulsadora de créditos, S.A” existe un comité de administración de
crisis, a quienes se les atribuyen las funciones de:
a. Declarar el estado de crisis.
b. Tomar la decisión de declarar la contingencia.
52
c. Proporcionar un direccionamiento estratégico.
d. Mantener permanente comunicación con el líder ejecutivo del plan y los
respectivos líderes de los equipos.
e. Decidir el momento de retorno a la operación normal.
iii. Plan de respuesta de emergencia:
El comité de emergencias, que es el encargado de llevar a cabo el trabajo de redacción
e implementación del plan, las capacitaciones, coordinaciones necesarias para el
funcionamiento del plan y que en la emergencia se convierte en el equipo asesor del
Centro de Coordinación de la Emergencia (CCO).
El comité de emergencias puede estar compuesto por el gerente general y los gerentes
de las áreas críticas del negocio.
Para el caso de “Impulsadora de créditos, S.A”, respecto a esta actividad una vez que
los integrantes del CAC (Comité Administración de Crisis) toman la decisión de activar
el PCN (Plan de continuidad de negocios), se deben realizar las siguientes actividades:
a. Dar seguimiento al evento.
b. Evaluar el funcionamiento del PCN.
c. Determinar si la crisis o contingencia terminó.
d. En caso de que haya una movilización al sitio alterno, el líder ejecutivo del PCN
informará a los miembros del CAC por teléfono. Esta llamada telefónica debe ser
corta y solo debe mencionar la posible contingencia.
Práctica VI: Desarrollo e implementación de planes de continuidad de negocio.
Las actividades que integran la práctica de desarrollo e implementación son las
siguientes:
i. Estrategia de recuperación principal:
Esta actividad indica que el plan de continuidad de negocios debe contar con una
estrategia de recuperación principal que sirva de guía para ejecutar el proceso de
respaldo de la información ya que es indispensable para evitar errores en el proceso.
53
Respecto a esta actividad en el manual de “impulsadora de créditos, S.A” no se declara
la existencia de una estrategia de recuperación de respaldos. El procedimiento que
existe es para coordinar el proceso de recuperación de crisis, el cual consiste en que el
líder del plan de continuidad de negocios coordina y comunica a todos los miembros del
equipo de recuperación cuando empezar el traslado de las operaciones al centro
alterno.
ii. Estrategias de recuperación implementadas para los sistemas de información.
a. Esta actividad se refiere a los medios que utiliza la empresa para respaldar la
información. Es necesario que exista un espacio de contingencia ubicado en un
sitio alterno fuera de las instalaciones principales que aloja las aplicaciones
críticas.
b. Se deben realizar respaldos utilizando medios como: servidor de contingencia y
respaldo.
c. Los medios magnéticos que contienen los respaldos de información deben ser
debidamente protegidos contra amenazas de tipo físico, accidental o intencional.
d. Se deben garantizar respaldos diarios de la información almacenada base de
datos.
e. La empresa debe guardar copias de los respaldos en diferentes ubicaciones,
además de los que se mantienen en la organización, se trasladan a otro sitio
alterno (caja de seguridad sistemática) y garantizan la recuperación de
información en caso de daños en el centro principal de procesamiento.
f. Se deben realizar pruebas de recuperación de las copias de respaldo al menos
una vez cada seis meses, para garantizar el estado correcto del respaldo.
g. Debe existir un registro de actividades de recuperación.
h. Los equipos deben utilizar la bitácora de eventos para llevar un registro de las
actividades de recuperación, problemas que hayan acontecido, las soluciones
dadas y objetivos alcanzados.
En el manual de gestión de continuidad de negocios de “impulsadora de créditos, S.A”
referente al contenido de esta actividad, observamos que el tema de respaldos de los
54
sistemas de información se indica de forma general los procedimientos a realizar en
caso de daño físico de la infraestructura y equipos tecnológicos.
No se observa que la empresa lleve registros de las actividades de recuperación o
bitácora de eventos donde se incluyan los problemas que se hayan producido en el
proceso de respaldo, las soluciones a los problemas presentados y el cumplimiento de
objetivos, no se especifica si se realizan copias de los respaldos y a donde son
almacenados.
En las entrevistas realizadas al equipo de tecnología (vicegerente de tecnología, jefe de
redes e infraestructura, jefe de base de datos) comentaron que existe un espacio de
contingencia o sitio alterno que se encuentra en otra localidad, lejos del sitio principal.
Los respaldos se realizan diariamente y se realizan pruebas de recuperación de
respaldos, sin embargo, esta información no está contenida en el manual de gestión de
continuidad de negocios.
iii. Recursos críticos a utilizar por parte del equipo de plan de continuidad de
negocios.
Esta actividad plantea que el equipo de plan de continuidad de negocios debe contar al
menos con recursos críticos tales como: teléfonos, celular, radios, información
relacionada con el evento, transporte (vehículos de la Institución).
En el manual de gestión de continuidad de negocios de “impulsadora de créditos, S.A”,
los recursos disponibles para el equipo de continuidad de negocios incluyen hoteles,
sucursales, sitios alternos de procesamientos, hardware y otros.
Sin embargo, falta incorporar el tipo de equipo de comunicación que tienen asignados
cada miembro del plan de continuidad, también falta agregar información de las posibles
contingencias incluyendo las más severas que puedan ocurrir y que deben ser de
conocimiento de cada miembro.
Práctica VII: Conciencia y capacitación:
Esta práctica está integrada por las siguientes actividades:
i. Establecer objetivos, componentes y programas de formación corporativa sobre
el tema de BCP dirigida al personal y los diferentes proveedores, tales como:
55
a. Acciones formativas concretas en los entornos de dirección y supervisión;
ejecución y operación; orientadas a brindar a los responsables del plan,
herramientas de medición y control sobre el mismo.
b. Los responsables deben ser adecuadamente formados y estar conscientes
acerca de los diferentes conceptos que contempla la continuidad de negocio
(riesgos, medidas preventivas, detección temprana de incidencias, etc.).
c. Creación de manuales y protocolos que expliquen a detalle las acciones que se
deben tomar en circunstancias que se amerite la implementación del plan de
continuidad.
d. Extender los programas de formación a proveedores o en general terceros con
los que la organización mantiene relaciones comerciales.
e. Orientación para nuevos empleados y empleados actuales del programa de
actualización.
En el caso de “impulsadora de créditos, S.A”, según el manual de gestión de
continuidad de negocios las capacitaciones están orientadas a instruir al personal de la
compañía para que estén informados acerca de cómo actuar frente a la presencia de
una contingencia, pero no se ha estructurado ni desarrollado como un programa de
capacitaciones que detalle tipo de eventos o temas a abordar, sino que indirectamente
cada área y sucursal de la organización conforma comisiones mixtas como prácticas de
higiene y seguridad ocupacional.
“Se han capacitado a los principales miembros del comité y los principales líderes del
plan de continuidad. Se han capacitado en dos cosas que son importante: La norma y el
plan como tal, ya que son dos cosas que están alineadas”.
“Hay dos niveles a los gerentes que son los que lideran y a los operativos, porque ellos
deben saber que hacer en caso de alguna situación. Entonces el plan de continuidad de
negocios tiene como sub ramas, es decir, documentos adicionales por ejemplo el plan
de contingencia de TI está alineado con el plan de continuidad de negocios, el plan de
contingencia de las sucursales está alineado con el plan de TI y el de continuidad de
negocios.
56
En el sentido que si se cae el sistema, el personal de las sucursales debe saber que
hacer en ese momento.” (Cuestionario II .A – Gerente de riesgo integral).
Existe un esfuerzo por parte de la organización por hacer conciencia entre el personal
acerca de este tema.
ii. Desarrollar y ofrecer diversos tipos de programas de capacitación
Estos deben estar basados en computadoras, guías o plantillas de instrucciones.
“Impulsadora de créditos, S.A” incluye en el manual de gestión de continuidad de
negocios la planificación de pruebas ante la ocurrencia de una contingencia severa,
pruebas relacionadas con ejercicios de ubicación, ejercicios de respaldos y de
simulación, sin embargo, no posee un programa de capacitación a realizar dependiendo
del tipo o categoría de evento, ni tampoco cuentan con guías o instructivos de consulta
por parte del personal acerca de cómo proceder al momento de una contingencia.
“Existe una cartilla donde se indican los nombres y números telefónicos de las personas
que integran el comité de continuidad de negocios y el comité de crisis, de tal manera
que las personas estén enteradas acerca de a quien deben llamar en un momento de
crisis”. (Cuestionario II A- Gerente de riesgo integral).
iii. Identificar otras oportunidades para la educación:
Esta actividad se enfatiza en identificar otras oportunidades para la educación, tales
como:
a. Conferencias con profesionales de negocios y seminarios de planificación de la
continuidad.
b. Publicaciones y sitios relacionados con el internet.
c. Desarrollo de sesiones formativas con los colaboradores y los directores claves
de la organización, respecto de lo que es un plan de continuidad de negocio y su
importancia para asegurar la operación sostenida de la organización.
d. Inclusión de mensajes y contenidos relacionados con la continuidad del negocio
en la intranet de la organización, las plataformas online y/o soporte/s
semejante/s.
57
“Impulsadora de créditos, S.A” en su manual de gestión de continuidad de negocios no
menciona como promueve la educación continua en su personal y directores claves
acerca de temas de planes de continuidad de negocios.
Se observa que solo está contemplado la divulgación de la información en caso de que
ocurriese una contingencia, para ello la empresa cuenta con dos tipos de canales de
comunicaciones: externa e interna.
La comunicación interna puede ser por medio de mensajes de textos, correo
electrónico, sistema de altavoz, mientras que la comunicación externa tales como
comunicación de prensa, rotulación o señalización, actualizaciones en página web, etc.
iv. Adquirir o desarrollar el conocimiento y las herramientas de formación.
En esta actividad la empresa debe:
a. Planificar las pruebas, su duración y alcance, los participantes (incluidos
proveedores de servicios). Las pruebas deben simular situaciones próximas a la
realidad.
b. Cada cierto tiempo (predefinido por la organización) se debe de reevaluar los
riesgos asociados a la organización.
c. Sensibilización de la cultura organizacional, flexibilizando la respuesta del talento
humano involucrado en los procesos y servicios de TI.
d. Alineación de los equipos funcionales y gerenciales identificados dentro de los
planes de continuidad de negocio y recuperación de desastres.
e. Flujo de notificación, comunicación y activación de los planes.
f. Disponibilidad, conectividad y adecuación del centro de cómputo alterno.
g. Verificación de los procesos de operación y control en contingencias.
h. Recuperación de sistemas de información, plataformas, equipos, etc.
Se identifican en el manual de gestión de continuidad de negocios algunas de las
consideraciones que indica la actividad, por ejemplo:
1- La realización de pruebas. Estas se enfocan en la operatividad de los procesos
críticos si fallan los sistemas de información, ya que por el giro del negocio la
información se encuentra almacenada en la plataforma tecnológica.
58
2- Respecto a la reevaluación de los riesgos la empresa lo realiza cada 12 meses.
Sin embargo, falta incorporar en el manual de gestión de continuidad de negocio como
la empresa dentro de su cultura organizacional promueve la sensibilización del talento
humano acerca de las pruebas que se realicen y cuál es el flujo de comunicación
utilizado por la empresa para el proceso de activación de planes de contingencia al
realizarse el traslado al sitio alterno.
Además, debe incorporarse como se verifican los procesos de operación y control de
contingencias.
“Como se está iniciando en este mundo de pruebas de continuidad la valoración se hace
empíricamente. El negocio de la empresa recae en la plataforma del sistema de crédito,
caja y administración de clientes. Dentro de estos módulos de sistema se encuentran
los procesos críticos y por ende hay personas críticas. La continuidad de negocio está
en los procesos de crédito y caja.
Las pruebas se realizan considerando por ejemplo una caída de sistema,
funcionamiento de plantas e inversores en caso de falta de energía eléctrica,
garantizando las áreas de gestión al cliente, caja, gerencia”. (Cuestionario I A – Auditor
interno).
Practica VIII: Mantenimiento y ejercicios de los planes de continuidad de negocios.
i. Pre planificar y coordinar los ejercicios de los planes de continuidad del negocio.
Esta actividad incluye:
a. Establecer un programa de ejercicio, desarrollando una estrategia que no ponga
en riesgo la organización, que sea práctica, rentable y adecuada a la
organización.
b. Determinar los requisitos de ejercicio a través de la definición de los objetivos y
establecer los niveles aceptables de éxito.
c. Establecer y documentar el alcance del ejercicio con evidencia de quienes serán
los participantes y los horarios en los que se ejecutarán los ejercicios.
59
d. Desarrollar escenarios realistas, es decir, crear escenarios de ejercicio a la
aproximación de los tipos de incidentes de la organización.
e. Establecer criterios de ejercicio de evaluación y conclusiones del documento
desarrollando criterios alineados con los objetivos del ejercicio y el alcance.
El plan de pruebas de “impulsadora de créditos, S.A”. Contiene los distintos escenarios
que pueden afectar la operatividad de la organización, pero carece de los horarios y
niveles de éxito esperado en cada prueba. Además, no se especifica cómo se
documenta y establece el alcance del ejercicio.
“Dentro del plan de continuidad de negocios hay un plan detallado de acciones por mes
que se tiene que hacer, entonces el área de riesgos un mes antes le da seguimiento a
las actividades del siguiente mes y lo coordina con el líder del plan de continuidad de
negocios. Hay un encargado dentro del área de riesgos que da seguimiento a la
implementación del plan de continuidad de negocios que es el jefe de riesgo operativo
quien informa al área de operaciones acerca de “x” prueba a realizarse”. (Cuestionario II
A- Gerente de riesgo integral)
ii. Facilitar los ejercicios definidos:
Preparar un plan de ejercicio de control e informes, definiendo los objetivos del ejercicio
y seleccionando el escenario adecuado; adicionalmente, se debe definir y describir las
limitaciones de los supuestos y determinar los recursos necesarios para llevar a cabo el
ejercicio, identificar a los participantes, asegurar que todos entiendan los objetivos y sus
funciones.
“Impulsadora de créditos, S.A” cuenta con un plan de pruebas, pero no existe
información en cuanto a recursos definidos y como la empresa realiza el monitoreo y
control para determinar que todos los involucrados en las pruebas conocen su rol y
funciones.
iii. Evaluar y documentar los resultados.
a. Documentar los resultados según los criterios identificados esperados en
comparación con los resultados reales y resultados inesperados.
60
b. Crear un programa de ejercicio, desarrollando un programa gradual y
acumulativo estableciendo escalas de tiempo realistas.
Con relación a esta actividad “Impulsadora de créditos, S.A” en su manual de gestión de
continuidad de negocios no se encuentra documentado como evalúan los resultados y
si se han considerado los eventos reales e inesperados de una contingencia.
Sin embargo, en la entrevista realizada al gerente de riesgo integral se le consultó
acerca de la existencia de formatos que evidencien si los planes de respuesta de
incidentes fueron eficientes, quién comentó que hasta el momento no se ha tenido
ningún evento, pero que el área de auditoría cuenta con formatos para evidenciar si el
plan funcionó. (Cuestionario II –A Gerente de riesgo integral).
iv. Emitir un informe de resultados y/o evaluación de la gestión.
a. Proporcionar un resumen convincente y completo con las recomendaciones, en
consonancia con los niveles de confidencialidad solicitado por el ejercicio árbitro /
juez o según lo especificado por la organización objeto.
b. Retroalimentación y seguimiento de las acciones resultantes del ejercicio.
En esta actividad, en el manual de gestión de continuidad de negocios de “impulsadora
de créditos, S.A”, no existe información al respecto.
v. Actualizar el plan de mantenimiento y coordinar los planes de mantenimiento en
curso.
a. Definir un plan de mantenimiento y un programa que incluya la definición de la
propiedad de los datos del plan.
b. Preparar los programas de mantenimiento y procedimientos de revisión.
c. Seleccionar herramientas.
d. Establecer proceso de actualización.
e. Auditoría y control.
Esta actividad no se encuentra definida en el manual de gestión de continuidad de
negocios de “impulsadora de créditos, S.A”, sin embargo, el gerente de riesgo integral
comentó acerca de la reevaluación de los riesgos “La reevaluación debe ser continua y
61
se debe informar a la junta directiva si se quieren realizar cambios”. (Cuestionario II-A
Gerente de riesgo integral).
vi. Ayudar a establecer el Programa de Auditoría para el Plan de Continuidad del
Negocio:
a. Recomendar y acordar los objetivos de BCM (Gestión de la Continuidad del
Negocio) relacionados con las auditorías.
b. Evaluar la adecuación de las disposiciones y procedimientos de emergencia.
c. Recomendar las posiciones de mejora si existen deficiencias.
El manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”,
carece de esta información.
Se obtuvieron los comentarios del auditor interno respecto a cuál sería el alcance, las
pruebas y que debe incluir el programa de auditoría para efectuar la revisión del plan,
los cuales se detallan a continuación:
“El alcance de la revisión por parte de auditoría interna lo definen las áreas de negocios,
riesgos y TI, ya que estas áreas definen las cantidades de pruebas que deben
realizarse”.
“Las pruebas se realizan considerando por ejemplo una caída de sistema,
funcionamiento de plantas e inversores en caso de falta de energía eléctrica,
garantizando las áreas de gestión al cliente, caja, gerencia”.
“En las pruebas del plan de contingencia auditoría interna está presente y mediante la
observación verifica si el protocolo de la prueba se realizó adecuadamente dependiendo
del escenario que se desea probar (por ejemplo contingencia en caja, recepción de
pagos, aprobaciones de créditos, si es necesario movilizarse al sitio alterno con el que
contamos)”. (Cuestionario IA-Auditor interno).
Practica IX: Relaciones publicas y coordinación de crisis.
Esta práctica menciona una serie de actividades necesarias que debe considerar la
organización e incluirlas en su manual de gestión de continuidad de negocio.
62
i. Identificar y Desarrollar un Programa de Comunicación de Crisis proactiva a nivel
interno, unidad organizacional y de negocios, con grupos externos.
Clientes, proveedores, proveedores y público, y agencias externas: local, estatal,
nacional, los servicios de emergencia, reguladores, etc., y principalmente con los
medios de comunicación: prensa, radio, televisión, Internet.
“Impulsadora de créditos, S.A” define e integra en el manual de gestión de continuidad
de negocios un procedimiento de comunicación de crisis después de ocurrido el evento
y declarada la contingencia, pero no como un programa de comunicación en el que se
detalle a quienes se debe informar, cuando y como.
ii. Establecer Planes de Comunicación de Crisis con agencias externas y desarrollar
los procedimientos o herramientas para gestionar las relaciones con múltiples
agencias en su caso.
a. Servicios de emergencia.
b. Autoridades de defensa civil.
c. Oficinas de meteorología.
d. Otras agencias gubernamentales.
En el manual de gestión de continuidad de negocios de “impulsadora de créditos, S.A”
se encuentra parcialmente definido los planes de comunicación de crisis, ya que solo
incluye la comunicación entre servicios de emergencia y principales organismos de
defensa civil y protección humana.
iii. Elaborar planes de comunicación con actores internos y externos para asegurar
que se mantengan informados de los procedimientos para gestionar las
relaciones con las partes interesadas. Tales como:
a. Los propietarios accionistas.
b. Los empleados y sus familias.
c. Los clientes claves.
d. Los proveedores claves.
e. Gestión organizacional.
f. Otros interesados.
63
En el plan de continuidad de negocios de “impulsadora de créditos, S.A” se identifica el
proceso de comunicación interna, el cual consiste en que el área de comunicación y
orientación al personal informa a los colaboradores acerca de la contingencia, medidas
de seguridad y detalles sobre la atención que les podrá brindar para salvaguardar sus
vidas y la de sus familiares, sin embargo, no está definido como un programa de
comunicación sino como un procedimiento dentro del plan de continuidad de negocios.
No se observa que existan planes que incluyan a sus proveedores y clientes claves.
iv. Desarrollar Planes de Comunicación de Crisis con los medios de comunicación
sobre los procedimientos o herramientas para gestionar las relaciones con los
medios de comunicación ya sea: Impresos (periódicos, revistas, etc.), Radio,
Televisión, Internet.
“Impulsadora de créditos, S.A,” en su manual de gestión de continuidad de negocios
contempla como plan de comunicación de crisis, mensajes por medios externos tales
como comunicados de prensa, fax y pagina web.
v. Desarrollar y coordinar ejercicios para la elaboración de Planes de Comunicación
de Crisis, los que deben incluir ejercicios de comunicación de crisis, interrogar e
informar sobre los resultados del ejercicio, incluyendo los planes de acción para
las revisiones.
“Impulsadora de créditos, S.A”, en su manual no menciona que tenga previsto realizar
ejercicios o pruebas al plan de comunicación de crisis, ni que exista algún proceso para
documentar los resultados de las pruebas que sirvan de insumos para la actualización
continua del plan.
vi. Desarrollar y coordinar con el Equipo de Gestión de incidentes:
Se refiere a la evaluación de las reacciones ante incidentes, una vez terminadas las
actividades de recuperación, de forma interna y externa.
“Impulsadora de créditos, S.A” incluye en su manual esta actividad de manera parcial.
Existe un comité de administración de crisis, quien es el que decide qué tipo de equipos
de recuperación de crisis deben activarse de acuerdo a la contingencia, sin embargo, no
64
especifica quien evaluará los resultados de la comunicación y las reacciones del
personal ante el evento.
Practica X: Coordinación con organismos externos.
a. Identificar y establecer procedimientos de coordinación para el Manejo de
Emergencias.
b. Coordinar la gestión de negocios de emergencia con las agencias externa.
c. Mantener el conocimiento actual de las leyes y reglamentos relativos a manejo de
emergencias en lo que respecta a su propia organización.
En el manual de gestión de continuidad de negocios de la empresa “impulsadora de
créditos, S.A”. No se observa que existan procedimientos de coordinación para el
manejo de emergencias con agencias externas que indiquen que medidas deben
aplicarse y en qué momento se debe informar a las agencias externas para su
intervención.
Otro aspecto importante que no se observa en el manual es quien en la empresa
monitorea los cambios en las leyes y regulaciones en temas de gestión de continuidad
para la actualización y adaptación del plan de continuidad.
i. Actitudes para coordinar:
Se debe reunir e identificar las fuentes de información sobre leyes y reglamentos
aplicables (recuperación de desastres, la limpieza del medio ambiente, la reanudación
de negocios, etc.) y determinar su impacto en la propia organización y / o de la industria.
Respecto a esta actividad “Impulsadora de créditos, S.A” no documenta en su plan de
gestión de continuidad de negocios cuales son las fuentes de información en cuanto a
las leyes y reglamentos aplicables en temas de recuperación y como determinan o
miden el impacto de la aplicación de esas leyes en la industria en la que actualmente
opera la organización.
ii. Conformación de grupos y sus funciones:
65
Se refiere a un comité de emergencia, el cual debe estar conformado por funcionarios
de la alta gerencia y será el responsable de coordinar las acciones necesarias antes,
durante y después de las operaciones de emergencia.
Con relación a esta actividad “Impulsadora de créditos, S.A” define en su manual de
gestión de continuidad de negocios quienes son los miembros del comité del plan de
recuperación y de contingencia ante desastres y cuáles son las funciones de cada uno
de ellos.
iii. Brigada de emergencias:
La brigada de emergencias estará igualmente conformada por personas distribuidas
estratégicamente en la sede y buscará igualmente garantizar cobertura a cualquier hora
dentro de la jornada laboral.
En el manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”,
no se encuentra incorporado cuales son las brigadas existentes en la organización, y en
caso de existir quienes la integran y si está distribuida por departamento, áreas o
sucursales.
5.1.1 RECOMENDACIONES:
Después de realizar la comparación de las actividades recomendadas por las prácticas
del DRII en planes de continuidad de negocios, se identificaron oportunidades de
mejora para la empresa” impulsadora de créditos S.A.”.
1. Realizar en retrospectiva el análisis de los riesgos o eventos ocurridos hasta el
momento, el cual debe ser soportado mediante documentación.
2. Proceder a comunicar a los colaboradores de manera formal los procedimientos
contemplados en el BCP.
3. Realizar comunicaciones que se puedan evidenciar para transmitir al personal la
información que necesita para el momento de crisis, así como también extender
dicha comunicación hacia los clientes, con el objetivo de que estos se sientan
protegidos. Por ejemplo rótulos de zona de seguridad.
66
4. Las mediciones de tipos de pruebas para evaluar los procesos es importante que
cumplan con los criterios de suficiencia para determinar que los procesos de
revisión y mantenimiento al plan se están realizando adecuadamente.
5. Considerar en el plan de pruebas la participación de los encargados de gestionar
el BCP.
6. Incorporar al BCP el cuadro de inversiones por los esfuerzos económicos sobre
la construcción de los elementos que van a coadyuvar a la empresa a continuar
con sus operaciones a pesar de una eventualidad.
7. Documentar en el manual de gestión de continuidad de negocios a detalle la
metodología utilizada para la elaboración y gestión del plan.
8. Incluir dentro de las pruebas de control escenarios en donde el coordinador del
BCP deba de tomar decisiones y actuaciones.
9. Realizar una adecuada identificación de riesgos que permita cuantificar su
impacto en la empresa, para de esta forma crear estrategias de recuperación
más acertada ante la materialización de un evento.
10. Llevar una bitácora de realización de pruebas, en las cuales se pueda validar la
eficacia de las mismas respecto de la política de gestión de continuidad de
negocio.
11. Documentar y sustentar la efectividad de las pruebas realizadas.
12. Comprobar si las pruebas aplicadas son suficientes y adecuadas para la
evaluación y medición de la efectividad del BCP.
13. Documentar la identificación de riesgos y amenazas a través de una matriz que
indique la razón y por qué los riesgos o amenazas afectan al negocio.
14. La empresa debe de realizar un análisis de costo económico respecto de la
materialización de los riesgos que se han identificado (luego de haber realizado
la matriz de identificación de riesgos).
15. Realizar una matriz en donde se identifiquen los riesgos, con el fin de realizar una
clasificación para luego proceder a gestionarlos.
67
16. Realizar un análisis de riesgos con el fin de contener todos los escenarios
adversos posibles que afectarían la continuidad del negocio, en caso de
materializarse un evento.
17. Identificar y emplear una metodología para la evaluación de los riesgos, con el fin
de poder sustentar y gestionar los mismos.
18. Reevaluar los roles, ya que estos se han elaborados sin tener en cuenta una
matriz de identificación de riesgos.
19. Reanalizar los procesos de negocio que el sitio alterno es capaz de soportar, esto
debido a que falta la elaboración de una matriz de riesgos.
20. Documentar la elaboración y aplicación del cuestionario BIA, con el fin de poder
determinar los procesos de negocio de la empresa.
21. Evaluar de los aplicativos relacionándolos con los procesos de negocio y verificar
si estos son capaces de soportarlos, aún en momento de crisis.
22. La identificación de departamentos y personas, debe de estar acompañada con la
elaboración y aplicación del cuestionario BIA, esto con el fin de asegurar que los
departamentos y personas que han sido incluidas son las adecuadas.
23. Documentar la forma en cómo se llegó a la conclusión de la lista de los procesos
críticos de negocio, tomando en cuenta su impacto dentro de la organización en
caso de fallar.
24. Realizar la matriz de riesgos, para luego realizar un recalculo del RTO.
25. Realizar pruebas de funcionamiento al sitio alterno, las cuales puedan
documentarse con el objetivo de ajustar las mismas.
26. Documentar la forma en cómo se llegó a la conclusión de la lista de los procesos
críticos de negocio, tomando en cuenta su impacto dentro de la organización en
caso de fallar.
27. Documentar el análisis BIA en el manual de gestión de continuidad de negocios.
28. Documentar sobre el análisis de los escenarios adversos para la organización, en
ese sentido las estrategias de continuidad de negocio podrían no estar ajustadas
a la realidad de lo que podría ser una interrupción de las operaciones.
68
29. Documentar cuadro de inversiones en donde se soportan financieramente las
estrategias de recuperación. Adicionalmente, hay que tener en cuenta que las
estrategias de recuperación están soportadas por el análisis BIA, el cual también
carece de sustento.
30. Documentar los criterios bajo los cuales se construyó el sitio alterno, es decir; la
empresa no realizó un análisis que se encuentre plasmado respecto de la
relación costo-beneficio.
31. Incluir en el manual de gestión de continuidad de negocios los procedimientos
que se realizan para verificar si los proveedores de servicios tienen la capacidad
de responder ante los escenarios de interrupción de operaciones.
32. Sustentar en el plan de continuidad de negocios como se determinaron los
escenarios adversos que podrían afectar a la organización.
33. Realizar pruebas que incluyan la movilización de personal al sitio alterno.
34. Incorporar la estrategia de recuperación de respaldos en el manual de gestión de
continuidad de negocios la cual debe ser expuesta a detalle para que el proceso
se realice correctamente.
35. Documentar en el manual de gestión de continuidad de negocios que
procedimientos deben realizarse para proteger la información que se encuentra
almacenada en los respaldos, periodicidad de pruebas y registro de resultados
de pruebas.
36. Debe indicarse los medios asignados al equipo de recuperación y la información
proporcionada de acuerdo al tipo de contingencia.
37. Detallar en el manual de gestión de continuidad de negocio el programa con las
actividades de capacitación, tiempo al personal involucrado, además debe estar
orientados a los clientes, proveedores y personal externo.
38. Categorizar el tipo de capacitación y contemplarlo en el manual de gestión de
continuidad; por ejemplo en programas basados en computadora, que tipo de
capacitaciones deben realizarse y con qué frecuencia.
69
39. Fortalecer la comunicación y formación del personal, pero bajo el enfoque de
conocimiento y concientización global del plan, transmitir cuál es su importancia y
qué papel juegan dentro del mismo por medio de conferencias, publicaciones
semanales acerca del tema de continuidad de negocios.
40. Desarrollar y probar escenarios claves como por ejemplo la funcionalidad del sitio
alterno o caída de sistema de los enlaces principales y secundarios, y desarrollar
mecanismos de formación al personal involucrado en las pruebas.
41. Documentar por cada prueba el alcance, los resultados esperados y la
frecuencia.
42. Incluir en el manual de gestión de continuidad de negocio un presupuesto
estimado para cada prueba, formatos o medios utilizados para documentar el
monitoreo de la información y garantizar que los participantes conozcan y
comprendan sus funciones.
43. Indicar en el manual de gestión de continuidad de negocio que mecanismos
utiliza la empresa para documentar los resultados de las pruebas y el tiempo
estimado por cada una de ellas.
44. Mencionar en el manual de gestión de continuidad de negocios quienes son los
responsables de evaluar el plan, quien fungirá como árbitro y cuáles son los
medios utilizados para documentar la evaluación y a quien debe informarse.
45. Es recomendable indicar en una sección del manual de gestión de continuidad de
negocios, como la organización ha definido el mantenimiento y actualización del
plan de continuidad, que herramientas utilizará para este fin y cuál será el área
encargada del monitoreo y control del plan.
46. El área de riesgo integral debe definir el objetivo, alcance y programa utilizado
para realizar una evaluación del plan de continuidad de negocios de la
organización.
47. Se debe crear un programa de comunicación en el que se detalle a quienes se
debe informar, cuando y como.
70
48. Indicar nombres de las principales organizaciones que deben ser contactadas
dependiendo del tipo de contingencia y los números telefónicos de cada
organización o contactos directos.
49. Definir un programa de comunicación para la gestión con las partes interesadas,
que incluya los canales de comunicación con proveedores y clientes.
50. Documentar los resultados de las pruebas realizadas sobre esta actividad.
51. Debe indicarse en el manual de gestión de continuidad de negocios como la
empresa desarrolla y coordina los ejercicios o pruebas para la elaboración y
actualización de planes de comunicación de crisis.
52. Indicar en el manual de gestión de continuidad de negocios quienes serán los
responsables de realizar la evaluación de las actividades.
53. Declarar en el manual de gestión de continuidad de negocios cuales son los
organismos o agencias externas con los que la organización se encuentra
coordinada y cuando debe informarse y como la organización monitorea la
actualización del manual de gestión de continuidad de negocios en caso de
cambios en leyes y regulaciones que determinen los procedimientos para el
manejo de crisis.
54. Documentar a detalle en el manual de gestión de continuidad de negocios acerca
de las fuentes de información en cuanto a las leyes y reglamentos aplicables en
tema de recuperación de desastres, y como miden el impacto de la aplicación de
esas leyes en la industria en la que opera la organización.
55. Conformar brigadas establecidas estratégicamente de acuerdo al departamento y
área de la organización, y si existen sucursales debe también especificarse.
56. Indicar quien es el área encargada en primera instancia de la creación y custodia
de los formatos utilizados en las pruebas que se realicen al plan de continuidad
de negocios.
71
5.2. CAPITULO II: Calificación del plan de continuidad de negocios de
la empresa Impulsadora de créditos, S.A de acuerdo al modelo de
madurez de las mejores prácticas en planes de continuidad de
negocios.
Introducción y objetivos:
El presente capítulo aborda los resultados obtenidos en la evaluación efectuada
respecto del nivel de madurez del plan de continuidad de negocios de la empresa”
impulsadora de créditos, S.A”.
El plan de continuidad de negocios está integrado por actividades que mitiguen riesgos
de pérdidas humanas, materiales y económicas, así como actividades que garanticen
que las operatividades de la empresa no cesen a causa de desastres naturales,
conflictos sociales, caídas de sistemas, etc.
¿Por qué es importante obtener una calificación del BCP de estudio?
El objetivo principal del BCP es asegurar la continuidad de las operaciones, a pesar de
los escenarios adversos que puedan materializarse. Para ello, se debe tener certeza de
que dicho BCP abarque todos los puntos en su elaboración.
En virtud de lo anterior se pretende buscar una evaluación objetiva, partiendo de la
información contemplada en el BCP de estudio y comparándola con marcos de
referencia internacionales y buenas prácticas, las cuales se mencionaron en el marco
teórico del presente trabajo.
¿Elementos metodológicos a considerar?
Primeramente, se debe abordar la conceptualización de la evaluación a realizar.
72
Calificación, acción y efecto de calificar. La acción de calificar implica el aprecio, la
determinación de las cualidades, capacidades, entre otras, de una persona o cosa para
desarrollar una tarea o para ser utilizadas en algún aspecto según corresponda. 10
El término es especialmente utilizado para hacer referencia a un tipo de nota o valor que
se le otorga a un elemento, a una acción o a un fenómeno en una escala comparativa
previamente determinada o popularmente sabida (como puede ser la escala del 1 al
10).
Cumplimiento, se refiere a la acción y efecto de cumplir con determinada cuestión o con
alguien. En tanto, por cumplir, se entiende hacer aquello que se prometió o convino con
alguien previamente que se haría en un determinado tiempo y forma, es decir, la
realización de un deber o de una obligación.
La gestión, hace referencia a la acción y a la consecuencia de admnistrar o gestionar
algo. Al respecto, hay que decir que gestionar es llevar a cabo diligencias que hacen
posible la realización de una operación comercial o de un anhelo cualquiera.
Administrar, por otra parte, abarca las ideas de gorbernar, disponer, dirigir, ordenar u
organizar una determinada cosa o situación.
El modelo de madurez, es una metodología que permite evaluar el nivel de preparación
de una organización en función de su plan de continuidad de negocio.11
Desarrollo:
Para otorgar una calificación objetiva del plan, se realizó primeramente un análisis
comparativo de las actividades incluidas en el manual de gestión de continuidad de
negocios existente en la empresa versus las actividades propuestas en las mejores
prácticas de continuidad de negocios del DRII (Disaster Recovery International Institute),
procedimiento que se abordó en el capítulo I.
10 Diccionario ABC
11 International Glossary for Resiliency.
73
Posteriormente se asignó una calificación a cada práctica, producto del resultado
promedio de cada una de las actividades que las integran, para ello se definieron
criterios de calificación partiendo del modelo de madurez Business Continuity Maturity
Model – BCMM que a su vez consta de ocho competencias corporativas, este modelo
cual fue publicado originalmente en el 2003 por Virtual Corporation, para dirigir a la
organización a que sean capaces de evaluar y mejorar su programa de continuidad del
negocio, como un mecanismo de medición de la efectividad del mismo.
Esta versión incorpora los requerimientos de BS 25999.1 [21] y 2 [28], NFPA 1600 [6] y
ASIS SPC1 2009.1 [37], los cuales son evaluados a través de:
1. Niveles de madurez.
2. Competencias corporativas.
74
1- Niveles de Madurez:
Tabla 1 Niveles de madurez B
Nivel Descripción
1
Autogobernado
El estado de preparación es bajo a través de la empresa, y
reacciona a eventos de interrupción cuando ocurren.
2
Departamental
Al menos una unidad de negocio o función corporativa ha
iniciado esfuerzos para establecer conciencia de la importancia de
la continuidad del negocio. El nivel de participación es bajo.
3
Cooperativo
Las unidades participantes han instituido un programa de
gobierno rudimentario, que cumplan con la limitada política de
GCN. La alta dirección no ha comprometido a la empresa en el
programa de GCN.
4
Cumplimiento de estándares
La alta dirección entiende y está comprometida con la
importancia estratégica de un programa de GCN efectivo. Una
política práctica y exigible y estándares asociados han sido
adoptados. Se han identificado todas las funciones críticas y se
han desarrollado los planes.
5
Integrado
Todas las unidades han completado pruebas en todos los
elementos de sus planes. Los métodos de actualización son
efectivos.
La alta dirección ha participado en los ejercicios de gestión de
crisis. Un plan multianual se ha adoptado.
6
Sinergia
Se ha formulado y probado satisfactoriamente estrategias
sofisticadas de protección del negocio. Los métodos de control de
cambios y mejora continua de procesos mantienen a la
organización en un nivel alto de preparación.
75
2- Competencias Corporativas:
Evaluación de las prácticas del DRII de acuerdo a las competencias corporativas:
El contenido del programa BC debe de contar con las siguientes competencias:
a. Liderazgo: el compromiso y entendimiento demostrado por la alta dirección de un
programa corporativo global de continuidad de negocio apropiadamente
escalado. También, el grado para el cual el “caso de negocio” por implementar
continuidad de negocio sostenible ha sido articulado y entendido por el Comité
Ejecutivo.
b. Conciencia de empleados: la amplitud y profundidad de conocimientos
conceptual de continuidad del negocio en todos los niveles jerárquicos de la
organización incluyendo las consideraciones para la calidad y sostenibilidad de
los programas de entrenamiento y concientización.
c. Estructura del programa BCP: La escala y la relevancia del programa de BCP en
la organización. El grado en que el programa de BC cumple con el “caso de
negocio” elaborado.
d. Grado de penetrabilidad del programa: nivel de coordinación de continuidad del
negocio entre los diferentes departamentos, funciones y unidades de negocio a lo
largo de toda la organización. El grado en que las consideraciones de
continuidad del negocio han sido incorporadas en otras iniciativas, programas o
procesos de negocio.
e. Métricas definidas: El desarrollo y monitoreo de las mediciones apropiadas del
desempeño del programa de continuidad del negocio. El establecimiento y
seguimiento de un punto de partida de competencias de la continuidad del
negocio.
f. Compromiso de recursos: la disponibilidad de suficientes recursos humanos (bien
entrenados y respaldados por la organización), financieros y otros recursos para
el sustento de un programa de continuidad del negocio.
76
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Analogía atlética Capaz de
gatear
Capaz de
caminar
Capaz de
correr
Corredor
preparado
Corredor de
competencia
Corredor
olímpico
Modelo comparativo
Competencias Corporativas
Liderazgo MB B M A A A
Concientización MB B B M A A
Estructura del BCP MB B B M A A
Grado de penetrabilidad MB B B B M A
Métricas definidas MB B M M A A
Compromisos de recursos MB B M A A A
Coordinación externa MB B B M A A
Contenido del BCP MB B M A A A
Significado
MB Muy Bajo
B Bajo
M Medio
A Alto
Atributos Generales de la Organización por cada Nivel de Madurez
Organización "en riesgo" Actor "competente" "Mejor de la casta"
Auto
gobernadoDepartamental Cooperativo
Cumplimiento de
estándaresIntegrado Sinergia
Niveles de modelo de madurez
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Analogía atlética Capaz de
gatear
Capaz de
caminar
Capaz de
correr
Corredor
preparado
Corredor de
competencia
Corredor
olímpico
Modelo comparativo
Competencias Corporativas
1 1 2 3 4 4 4
2 1 2 2 3 4 4
3 1 2 2 3 4 4
4 1 2 2 2 3 4
5 1 2 3 3 4 4
6 1 2 3 4 4 4
7 1 2 2 3 4 4
8 1 2 3 4 4 4
Promedio vertical simple 1.00 2.00 2.50 3.25 3.88 4.00
Auto
gobernadoDepartamental
Niveles de modelo de madurez
Organización "en riesgo" Actor "competente" "Mejor de la casta"
Atributos Generales de la Organización por cada Nivel de Madurez
CooperativoCumplimiento
de estándaresIntegrado Sinergia
g. Coordinación externa: coordinación de asuntos y requerimientos de continuidad
del negocio con la comunidad externa, incluyendo clientes, proveedores, bancos,
gobierno, acreedores, aseguradoras, etc., asegurando que los eslabones (socios
de negocio) críticos de la cadena de suministros tienen planes de BCP
adecuados en sus propias organización.
h. Contenido del programa BCP: las previas siete competencias corporativas se
refieren a aspectos claves de un programa de BCP. Esta octava competencia
corporativa dirige él como una organización implementa las cuatro disciplinas
centrales de la continuidad de negocio.
A continuación se presenta el modelo de evaluación rescatado del modelo de
madurez Business Continuity Maturity Model – BCMM, virtual corporation. :
Tabla 2 Modelo de madurez
Con el objetivo de obtener resultados medibles, se le ha asignado valores cuantitativos
a las variables cualitativas “Atributos Generales de la Organización por cada Nivel de
Madurez”, realizándose la siguiente equivalencia:
77
MB (Muy Bajo) 1
B (Bajo) 2
M (Medio) 3
A (Alto) 4
Conversión de literal a Numérico Rango Inicial Rango Final Nivel
1.00 1.99 1
2.00 2.49 2
2.50 3.24 3
3.25 3.87 4
3.88 3.99 5
4.00 - 6
Asignación de Niveles por Rangos
COMPETENCIAS CORPORATIVAS CARACTERÍSTICAS DE LAS COMPETENCIAS
Compromiso y entendimiento demostrado por la alta dirección
Entendimiento del comité ejecutivo
Programas de entrenamiento y concientización
3 Estructura del BCP Grado con el que el BCP cumple con el giro de negocio elaborado
Disponibilidad de suficiente recursos humanos y financieros
Cumplimiento con las previas 7 comptencias corporativas
Liderazgo 1
Amplitud y profundidad del conocimiento sobre continuidad de
negocio a todos los niveles jerárquicos Concientización 2
Nivel de coordinación de continuidad de negocio entre los
diferentes departamentos de la organización
Grado en que las consideraciones de continuidad han sido
incorporadas en otras iniciativas de continuidad de negocio
Grado de penetrabilidad 4
Desarrollo y monitoreo del desempeño del programa de
continuidad de negocio
Establecimiento y seguimiento de competencias de continuidad de
negocio
Métricas definidas 5
Entrenamiento adecuado de los recursos humanos sobre tema de
continuidad de negocio
Compromisos de recursos 6
Coordinación de asuntos y temas de continuidad de negocio con la
comunidad externa
Aseguramiento que la comunidad externa cuentan con planes de
BCP adecuados en su propia organización
Coordinación externa 7
Implementación de los componentes del programa del BCP
(administración de incidentes, administración de seguridad,
recuperación tecnológica y recuperación de negocio)
Contenido del BCP 8
Tabla 3 Modelo de madurez- equivalencias
A las ocho competencias corporativas se le asignó un número del 1 al 8 en orden lineal.
En donde:
1= Liderazgo
2= Concientización
3= Estructura del BCP
4= Grado de penetrabilidad
5= Métricas definidas
6= Compromisos de recursos
7= Coordinación externa
8= Contenido del BCP
Posteriormente se procedió a elaborar un listado de las características que deben de
cumplir las competencias (rescatado del modelo DRII):
78
Tabla 4 Características de las competencias corporativas
Para determinar la valoración de los seis niveles de madurez que categorizan a un plan
de continuidad de negocios, se asignaron las siguientes equivalencias:
Muy bajo= (MB)
Bajo= (B)
Medio= (M)
Alto =(A)
Tabla 5 Medición de las competencias corporativas
Para medir cada una de las competencias corporativas se extrajeron del modelo BCMM
(Business Continuity Maturity Model) las características que debe contener cada una de
ellas, posteriormente se asignaron cuatro criterios de medición cualitativos como:
¿Existe?, ¿Está documentado?, ¿Cumple con las características como competencia?,
¿Se comunica?
Las equivalencias valoraron numéricamente del 1 al 4.
MB= 1: La competencia existe, pero no se encuentra documentada, no cumple con las
características como competencia y no se comunica
79
B=2: La competencia existe, se encuentra documentada, pero no cumple las
características como competencia y no se comunica.
B=2: La competencia existe, no se encuentra documentada, cumple con las
características como competencia, pero no se comunica.
M=3: La competencia existe, se encuentra documentada, cumple con las características
como competencia, pero no se comunica.
M=3: La competencia existe, no se encuentra documentada, cumple con las
características como competencia y se comunica.
A=4: La competencia existe, se encuentra documentada, cumple con las características
como competencia y se comunica.
80
6.RESULTADOS:
Los resultados y calificación obtenidos en la evaluación de las competencias por cada
práctica y sus actividades se resumen en el siguiente gráfico:
81
Ilustración 2 Comportamiento de competencias corporativas
82
Ilustración 3 Niveles de madurez por práctica evaluada.
83
La ilustración 2: Comportamiento de competencias corporativas muestra la calificación
obtenida por cada práctica y competencia del modelo BCMM.
En la ilustración 3 se observa el nivel en el que se encuentra cada práctica del plan de
continuidad de negocios de “Impulsadora de créditos S.A”.
Identificamos que hay oportunidades de mejora y se hará énfasis en las prácticas y
competencias con las calificaciones más bajas del total evaluado.
Practica 3: Análisis de Impacto al negocio.
Las competencias corporativas evaluadas que en esta práctica resultaron con baja
calificación fueron las métricas definidas y el contenido del BPC acerca del análisis de
impacto al negocio y la información relacionada con procesos críticos y tiempos
máximos de interrupción de los procesos.
Obtención de la relación de procesos:
“Impulsadora de créditos S.A” no documenta en el plan de continuidad de negocios la
elaboración y aplicación del cuestionario BIA (Business impact analysis).
El sustentar los procedimientos realizados para la determinación de sus procesos
críticos permite a la empresa que en caso de que algo no se haya considerado
correctamente en la evaluación de los procesos se pueden realizar mejoras.
Definición del periodo máximo de Interrupción:
Esta actividad se refiere al establecimiento RTO (Recovery Time Objective) y RPO
(Recovery Point Objective).
Para la determinación de estos tiempos la empresa “Impulsadora de créditos S.A” solo
contempla el RTO, sin embargo la práctica indica que se debe incluir en el plan de
continuidad de negocios además del periodo máximo de interrupción, los procedimientos
que le llevaron a establecer esos periodos o cálculo de la estimación.
Práctica 4: Desarrollo de estrategias de continuidad de negocios:
Las competencias corporativas con resultados bajos en esta práctica fueron las métricas
definidas y el contenido del BCP.
84
“Impulsadora de créditos S.A” debe incluir en el plan de continuidad de negocios las
métricas definidas, la evaluación de las estrategias, el análisis costo – beneficio de las
estrategias a implementar y el entendimiento acerca de los acuerdos contractuales con
los proveedores de servicios.
Evaluar la idoneidad de las estrategias alternativas frente a los resultados del análisis
de impacto organizacional.
Las estrategias de continuidad de negocios deben ajustarse a la realidad de la empresa
y a la determinación de los procesos críticos.
Para llegar a la estrategia “Impulsadora de créditos S.A” debe enfatizar en la planeación
y determinación de los objetivos de continuidad de negocio, además de establecer
criterios que permitan evaluar idóneamente la estrategia a través de las pruebas que se
realicen a los procesos identificados como críticos. Toda esta información y el flujo de
creación y evaluación deben contenerla el plan de continuidad de negocios.
Preparar análisis costo/beneficio de las estrategias de continuidad y presentar sus
observaciones a la alta dirección:
En esta actividad “ Impulsadora de créditos S.A” debe atender la parte de los costos
destinados para la implementación de la estrategia de continuidad de negocios, así
como la periodicidad de informes y la metodología o formula del cálculo del costo –
beneficio.
Se tiene identificada la estrategia en el plan de continuidad de negocios de la empresa
pero no el costo de la inversión, ni periodicidad de los informes presentados a la alta
dirección acerca del tema.
Entender los acuerdos contractuales comprendidos en los servicios de continuidad de
negocios.
85
Acerca de esta actividad en el plan de continuidad de negocios de “Impulsadora de
créditos S.A” no existe ninguna información.
Los acuerdos contractuales se refieren a que la empresa debe solicitar a sus
proveedores de servicios que en las cláusulas de sus contratos se incluya la declaración
de que ellos también poseen un plan de continuidad de negocios y que la empresa
contratante puede tener acceso a la información de ese plan.
“Impulsadora de créditos S.A” debe verificar los contratos de servicios y documentar en
el plan de continuidad de negocios como y quienes serán los encargados de realizar
esta actividad.
Practica 6: Desarrollo e implementación de planes de continuidad de negocios.
Las competencias corporativas con bajos resutados en esta práctica están relacionadas
con el grado de penetrabilidad, métricas definidas y compromiso de recursos de la
estrategia de recuperación principal.
Estrategia de recuperaciones implementadas para los sistemas de información.
“Impulsadora de créditos S.A” debe incorporar y documentar en el plan de continuidad
de negocios acerca de la estrategia de recuperación de respaldos, los procedimientos
que debe realizarse para proteger la información almacenada en los respaldos, la
periodicidad de las pruebas y el registro de los resultados de las pruebas.
Además debe indicarse los recursos con los que cuentan el equipo encargado de la
recuperación, así como describir las funciones de cada uno de ellos dependiendo del
tipo de contingencia.
Practica 7: Conciencia y capacitación.
Las competencias corporativas evaluadas y cuyos resultados no fueron satisfactorios
está relacionada con la concientización y grado de penetrabilidad acerca del plan de
continuidad de negocios al personal de la empresa y personas interesada, así como las
métricas definidas para transmitir la información y los recursos que la empresa ha
86
asignado para fortalecer y difundir acerca del tema de continuidad de negocios, y como
se encuentra contenido en el BCP (Business Continuity plan).
Establecer objetivos, componentes y programa de formación.
Las capacitaciones que impulsadora de créditos realiza está orientada a instruir al
personal de la compañía para que estén informados acerca de cómo actuar frente a
una contingencia, pero en mayor detalle dirigidas al personal directamente involucrado
en la recuperación de los procedimientos críticos de la Institución.
El manual de gestión de continuidad de negocios es el documento disponible de
consulta sobre el plan de continuidad de negocios no existe una guía detallada por tipo
de eventualidad.
Indirectamente el personal realiza actividades como prácticas de higiene y seguridad
ocupacional, como es el caso de comisiones mixtas.
No existe un programa de formación a proveedores, clientes, etc.
Se debe trabajar en la coordinación entre los departamentos de la organización,
sucursales y agencias. Debe existir una comunicación fluida que permita una excelente
coordinación para actuar en el momento en que suceda alguna eventualidad o situación
de contingencia que pueda interrumpir las operaciones normales de la empresa.
Para ello es importante transmitir al personal información acerca del objetivo de contar
con un plan de continuidad de negocios en la organización, cual es la importancia y
porque es un tema que debe ser conocido por todos los niveles de la empresa.
Esta información puede ser divulgada en capacitaciones acerca del tema, boletines, u
otros medios que faciliten su comprensión.
Desarrollar y ofrecer diversos tipos de programas de capacitación:
No existen programas de capacitación, solo se realizan pruebas las cuales se planifican
bajo el escenario de la ocurrencia de una contingencia severa, estas pruebas se realiza
cada 12 meses.
87
Las actividades están relacionadas con: ejercicio de notificación de emergencia,
ejercicio de ubicación, ejercicio de respaldo y ejercicio de simulación.
Identificar otras oportunidades para la educación:
En el plan de continuidad de negocios de “Impulsadora de créditos S.A” no existe
información acerca de la realización de seminarios o conferencias acerca de
continuidad, tampoco se especifica si la empresa realiza sus publicaciones acerca de
temas de continuidad de negocios y sesiones formativas a su personal.
Se observa en el manual de continuidad de negocios que la comunicación a todo el
personal se realiza al momento de una contingencia, la cual se ejecuta durante todo el
tiempo que dure la crisis o contingencia y se divide en comunicación externa e interna.
La comunicación interna puede ser por medio de mensajes de textos, correo
electrónico, sistema de altavoz, mientras que la comunicación externa tales como
comunicación de prensa, rotulación o señalización, actualizaciones en página web, etc.
Adquirir o desarrollar el conocimiento y las herramientas de formación:
El conocimiento y las herramientas de formación en “Impulsadora de créditos S.A” se
adquieren mediante el plan de pruebas existente que incluye pruebas en la parte
tecnológica como caída de enlace principal y falla de energía comercial.
No obstante deben robustecerse las herramientas de formación al recurso humano en
esta área, darle las pautas sobre como operar en una situación de crisis.
Practica 8: Mantenimiento y ejercicio de los planes de continuidad de negocios.
Los resultados de la evaluación de las competencias corporativas con oportunidades de
mejora están relacionadas con el contenido del BCP acerca de las métricas definidas
para el mantenimiento y ejercicio de los planes de continuidad de negocios y los
recursos que la empresa ha destinado para esta práctica.
Evaluar, documentar los resultados y la actualización y mantenimiento del plan de
continuidad de negocios:
88
El plan de continuidad de negocios de “Impulsadora de créditos S.A” no contempla
como se evalúan y documentan los resultados de las pruebas que se realizan al plan, ni
como se actualiza y da mantenimiento al plan.
Esta actividad es fundamental y debe ser incorporado en el plan de continuidad de la
empresa, para ello debe documentar el tiempo estimado para cada prueba y los
resultados de cada una de ellas a través de un cronograma de ejercicio, estableciendo
escalas de tiempo adecuados a la realidad.
Además se debe emitir un informe completo y convincente acerca de los resultados, de
modo que facilite la retroalimentación y seguimiento. Este informe debe ser elaborado
por el o los responsables de evaluar el plan, quienes deben fungir como árbitros.
En cuanto a la actualización del plan se debe indicar en una sección del plan de
continuidad de negocios acerca de las herramientas que utilizará la empresa para el
mantenimiento y actualización del plan de continuidad.
Practica 9: Relaciones públicas y coordinación de crisis.
Métricas definidas, compromisos de recursos y contenido del BCP (Business Continuity
plan) en cuanto a las relaciones publicas y coordinación de crisis son las competencias
corporativa que la empresa debe fortalecer.
Elaborar planes de comunicación con actores internos y externos para asegurar que se
mantengan informados de los procedimientos para gestionar las relaciones con las
partes interesadas.
No se observa en el plan de continuidad de negocios de “Impulsadora de créditos S.A”
los planes de comunicación externa con proveedores, clientes y partes interesadas.
Se debe definir un programa de comunicación eficaz con el objetivo de mantener
informados a las partes interesadas y a los clientes acerca del tema de continuidad de
negocios para que se encuentren preparados al momento de una contingencia.
Además se deben desarrollar planes de comunicación de crisis con los medios de
comunicación sobre los procedimientos o herramientas que utiliza la empresa para
89
gestionarla. La práctica recomienda medios impresos como periódicos, revistas, radio,
televisión e internet.
La empresa debe documentar esta práctica en su plan de continuidad de negocios.
Practica 10: Coordinación con organismos externos.
Las competencias corporativas concientización, métricas definidas, compromiso de
recursos, coordinación externa y contenido del BCP (Business Continuity Plan) acerca
de la coordinación con los diferentes organismos externos son en las que la empresa
debería hacer mayor énfasis.
Actitudes para coordinar:
No se encuentra documentado en el plan de continuidad de negocios de Impulsadora de
créditos S.A los procedimientos de coordinación para el manejo de emergencias y si la
empresa se mantiene actualizada en cuanto a leyes y reglamentos relativos a manejo
de emergencias (recuperación de desastres, limpieza del medio ambiente, reanudación
de negocios, etc.).
Brigada de emergencias:
Debe contemplarse en el plan de continuidad de negocios de “Impulsadora de créditos
S.A” Como están organizadas las brigadas de emergencias, quienes las integran y
cuáles son las funciones.
Las brigadas deben estar establecidas estratégicamente de acuerdo al departamento y
área de la organización, sucursales y agencias.
La coordinación de las brigadas debe ser homogénea en toda la empresa, tanto en la
casa matriz como en las sucursales.
90
7. CONCLUSIONES:
Luego de finalizado el estudio, se ha llegado a las siguientes conclusiones:
1. En la revisión efectuada al plan de continuidad de negocios de la empresa
“Impulsadora de créditos, S.A” se identificó que no cumple totalmente con las
diez prácticas recomendadas por el DRII (Discovery Risk International Institute) y
sus actividades. Sin embargo, existen actividades que están parcialmente
incorporadas dentro del plan. La ausencia de estas actividades minimiza su
efectividad.
A continuación se detallan las actividades más importantes en las cuales la empresa
debe hacer mayor énfasis:
Documentar la importancia de contar con un BCP.
Para cumplir con esta actividad la empresa debe realizar en retrospectiva el análisis de
los riesgos o eventos ocurridos hasta el momento, el cual debe ser soportado mediante
documentación.
Definir los objetivos, el cual debe estar basado en proteger las vidas humanas,
minimizar pérdidas operativas, mantener la posición competitiva de la empresa.
Este objetivo puede alcanzarse si se realizan comunicaciones que se puedan evidenciar
para transmitir al personal la información que necesita para el momento de crisis, así
como también extender dicha comunicación hacia los clientes, con el objetivo de que
estos se sientan protegidos y que tengan la confianza en la empresa.
Comprensión de la organización y análisis de riesgos.
La empresa debe realizar una adecuada identificación de riesgos que permita
cuantificar su impacto en la empresa, para de esta forma crear estrategias de
recuperación más acertada ante la materialización de un evento.
Obtener un entendimiento de la industria y el negocio en el cual opera la compañía.
Para ello la empresa debe documentar el análisis BIA en el manual de gestión de
continuidad de negocios.
91
Evaluar la idoneidad de las estrategias alternativas frente a los resultados de un análisis
del impacto organizacional.
Se debe documentar sobre el análisis de los escenarios adversos para la organización,
en ese sentido las estrategias de continuidad de negocio podrían no estar ajustadas a la
realidad de lo que podría ser una interrupción de las operaciones.
Entender los acuerdos contractuales comprendidos en los servicios de Continuidad de
Negocios.
Para cumplir con esta actividad se debe incluir en el manual de gestión de continuidad
de negocios los procedimientos que se realizan para verificar si los proveedores de
servicios tienen la capacidad de responder ante los escenarios de interrupción de
operaciones.
Establecer objetivos y componentes de la conciencia BCM corporativo y programa de
formación.
La empresa debe detallar en el manual de gestión de continuidad de negocio el
programa con las actividades de capacitación, tiempo al personal involucrado, además
debe estar orientados a los clientes, proveedores y personal externo.
Facilitar los ejercicios definidos.
Para ello se debe incluir en el manual de gestión de continuidad de negocio un
presupuesto estimado para cada prueba, formatos o medios utilizados para documentar
el monitoreo de la información y garantizar que los participantes conozcan y
comprendan sus funciones.
Actualizar el plan de mantenimiento y coordinar los planes de mantenimiento en curso.
Es recomendable indicar en una sección del manual de gestión de continuidad de
negocios, como la organización ha definido el mantenimiento y actualización del plan de
continuidad, que herramientas utilizará para este fin y cuál será el área encargada del
monitoreo y control del plan.
Actitudes para coordinar.
92
Se debe documentar a detalle en el manual de gestión de continuidad de negocios
acerca de las fuentes de información en cuanto a las leyes y reglamentos aplicables en
tema de recuperación de desastres, y como miden el impacto de la aplicación de esas
leyes en la industria en la que opera la organización.
Así mismo se debe indicar quien es el área encargada en primera instancia de la
creación y custodia de los formatos utilizados en las pruebas que se realicen al plan de
continuidad de negocios.
2. Existen 62 procedimientos críticos identificados en el plan de continuidad de
negocios de la empresa “Impulsadora de créditos, S.A. Sin embargo no se
contempla si estos procedimientos tienen actividades de contingencia en caso de
que ocurra algún evento, que impida su funcionamiento.
3. En la evaluación del nivel de madurez del plan de continuidad de negocios de
“Impulsadora de créditos, S.A” se determinó que se encuentra en el nivel 1, lo
que significa que el estado de preparación del plan es bajo.
Para mejorar el nivel de madurez y como la empresa puede gradualmente robustecer el
plan, consideramos:
1. Fortalecer las actividades del plan de continuidad de negocios según las mejores
prácticas en planes de continuidad de negocios (practicas DRII).
2. Establecer conciencia de la importancia de la continuidad de negocio y el
cumplimiento del plan de continuidad de negocio en toda la organización,
considerando todos los departamentos funcionales, sucursales, partes
interesadas y gobierno corporativo.
3. El plan debe ser probado cumpliendo con cada una de las pruebas programadas.
4. Los procedimientos de actualización, control de cambios y mejora continua del
plan debe ser adecuado y garantizar efectividad.
Estos procedimientos pueden ser:
a. La organización debe realizar auditorías internas a intervalos regulares para
revisar la conformidad del sistema. (ISO 22301, 9.2).
93
b. La revisión debe ir de la mano de una supervisión continua de la gestión de
continuidad de negocio con el fin de obtener resultados sobre su efectividad
y de esta manera proponer un plan de acción para mejorar las debilidades
encontradas. (ISO 22301, 9.2).
c. Se debe identificar las no conformidades, tomar acciones para corregirlas
teniendo en cuenta sus causas. (ISO 22301, 10.2)
94
8. BIBLIOGRAFIA.
Corrales, Ana M. (2016, junio).Administración de Riesgos organizacionales,
continuidad de negocios como resultado de las mejores prácticas. Seminario,
Universidad Centroamericana, k8.
Corrales, Ana M. (2016). Metodología para llevar a cabo la implementación de un
programa de continuidad de negocio. Seminario, Universidad Centroamericana,
K8.
Corrales, Ana M. (2016). Estándares Internacionales vigentes aplicables a la
empresa y proceso de gestión de continuidad de negocio. Seminario, Universidad
Centroamericana, K8.
Demrovsky, Chloe. (2015). International Glossary for Resiliency. Glosario en
español. Recuperado de https://drii.org/index.php.
Espiñeira, Sheldon. (2008). Desarrollo de un plan de continuidad de negocio.
Aplicando un enfoque rápido, económico y efectivo.
Recuperado de https://www.pwc.com/ve/es/asesoria-
gerencial/boletin/assets/boletin-advisory-edicion-09-2008.pdf
Garcia, Rafael. (1999). Reunión de auditores internos de banca central. Auditoria
a los planes de contingencia y continuidad.
Recuperado de https://www.cemla.org/auditoria/docs/aud-991109-spn.pdf.
95
Quevedo, Jesús (2012).Revisión de modelos de gestión de continuidad del
negocio.
Recuperadohttp://revistasinvestigacion.unmsm.edu.pe/index.php/sistem/article/d
ownload/5620/4877.
Rodríguez, Álvaro (2011). Modelos de madurez en business continuity
management pasó a paso a la excelencia.
Sotres, Pablo. (2012). ISO 223101 Continuidad de negocio. Mantenga
funcionando su negocio sin importar que pueda ocurrir. Recuperado de
https://www.interpresas.net/FeriaVirtual/Catalogos_y_documentos/87942/Continu
idad_Negocio-ISO-22301.pdf.
Norma sobre gestión de riesgo operacional. Resolución N°
CD.SIBOIF.611.1.ENE22.2010 Superintendencia de bancos y otras instituciones
financieras (SIBOIF), del 22 de enero de 2010. Nicaragua.
96
9. ANEXOS:
9.1 CUESTIONARIOS:
MAESTRIA EN AUDITORIA Y ADMINISTRACION DE RIESGOS EMPRESARIALES
(MARE I).
Tema de investigación: Análisis y evaluación del plan de continuidad de negocio (BCP) de la
empresa “Impulsadora de Créditos, S.A “durante el periodo 2015.2016.
Cuestionario I.A
I. DATOS GENERALES:
SEXO: M
PUESTO: AUDITOR INTERNO
AREA FUNCIONAL: AUDITORIA
1- ¿Cuál es el rol del auditor interno dentro del plan de continuidad de negocios?
“El rol del auditor interno lo define la propia norma de riesgo operacional de la SIBOIF y es
la de certificar las pruebas de continuidad de negocios, es el que debe comprobar que las pruebas
se realizaron, recomendar en caso de haber alguna mejora, así como ver la implementación de
esas mejoras.
2- ¿Cuál sería el alcance de auditoría interna en su revisión?
El alcance de la revisión por parte de auditoria interna lo definen las áreas de negocios,
riesgos y TI, ya que estas áreas definen las cantidades de pruebas que deben realizarse.
3- ¿cómo se categorizan las pruebas en orden de prioridad?
97
Como se está iniciando en este mundo de pruebas de continuidad la valoración se hace
empíricamente. El negocio de la empresa recae en la plataforma del sistema crédito, caja y
administración de clientes.
Dentro de estos módulos de sistema se encuentran los procesos críticos y por ende hay
personas críticas.
La continuidad de negocio está en los créditos y en caja.
Las pruebas se realizan considerando por ejemplo una caída de sistema, funcionamiento de
plantas e inversores en caso de falta de energía eléctrica, garantizando las áreas de gestión al
cliente, caja, gerencia.
4- ¿Qué debe incluir el programa de auditoria para efectuar la revisión del plan de
continuidad de negocios?
En las pruebas del plan de contingencia auditoria interna está presente y mediante la
observación verifica si el protocolo de la prueba se realizó adecuadamente dependiendo del
escenario que se desea probar (por ejemplo contingencia caja. recepción de pagos, aprobaciones
de créditos, si es necesario movilizarse al sitio alterno con el que contamos).
5- ¿Qué marco de referencia utiliza para realizar la revisión de las pruebas?
La norma de SIBOIF, relacionada al plan de continuidad de negocios.
6- ¿Cuál sería el impacto en caso de materializarse algún evento, es decir si los
resultados del plan de contingencia no son los esperados?
Eso dependerá del tipo de incidente que se dé, por ejemplo si se pierde una contraseña, eso no
generaría impacto al negocio, ya que puede recuperarse con el personal contingente o se realiza
cambio de contraseña.
7- ¿En caso de que no se logren los resultados esperados de una prueba se puede
cambiar el RTO Y RPO?
98
Si puede cambiarse, dependiendo de los resultados de las pruebas.
8- ¿Qué pruebas realiza auditoria interna en el sitio alterno?
Se verifican los equipos, la seguridad en cuanto a la climatización en la que se encuentran
los equipos, la funcionalidad de los equipos, se realiza un inventario, se verifica la vigencia de los
extintores, garantías de los equipos, accesibilidad al sitio, si esta ubicado estratégicamente en un
lugar no visible.
99
MAESTRIA EN AUDITORIA Y ADMINISTRACION DE RIESGOS EMPRESARIALES
(MARE I).
Tema de investigación: Análisis y evaluación del plan de continuidad de negocio (BCP) de la
empresa “Impulsadora de Créditos, S.A “durante el periodo 2015.2016.
Cuestionario II.A
I. DATOS GENERALES:
SEXO: M
PUESTO: GERENTE DE RIESGO INTEGRAL
AREA FUNCIONAL: RIESGOS
1- ¿Cuál es su rol dentro del plan de continuidad de negocios?
El rol está enmarcado según la norma de riesgo operacional, tiene un acápite final que habla
sobre la elaboración de un plan de continuidad de negocio, el cual es el de seguimiento y garante
de la implementación del plan de continuidad de negocios.
2- ¿Existen actividades de control en el plan de continuidad de negocio que tiene que
realizar el gerente de riesgo integral?
Si, hay actividades que tiene que realizar en coordinación con el líder del plan. En nuestro
plan el líder es el gerente de operaciones y sistemas.
Además existe un comité de continuidad de negocios y un comité de crisis.
Cuando se activa el comité de crisis, actúa e informa al comité de continuidad de negocios y
el comité de continuidad de negocios informa a la junta directiva.
En ambos comités estoy yo como gerente de riesgo.
100
3- Mencione algunas actividades puntuales que usted realiza dentro del plan de
continuidad de negocios.
Seguimiento al plan:
- Garantizar que se den las diferentes pruebas programadas en el año.
- Revisión del plan de continuidad de negocio anual con la líder del plan (gerente de
operaciones y sistemas).
- Ver con ella (líder) el presupuesto del plan de continuidad de negocios.
- Ver y acompañar el plan de pruebas. (consideraciones y validación a la efectividad de las
pruebas).
- En las pruebas se debe realizar un informe y estas se ejecutan con el acompañamiento del
área de riesgo y auditoria interna.
4- ¿Se han destinado suficientes recursos para la ejecución y monitoreo del plan de
continuidad de negocios?
Si, hasta se han modificado dependiendo de las exigencias del regulador. La aprobación se
realiza en comité de continuidad de negocios.
5- ¿Qué tipos de riesgos y eventos están contemplados en el plan de continuidad?
Están contemplados eventos de fuerza mayor, desastres naturales, caídas de sistema. El plan
está diseñado para responder a todo tipo de eventos.
6- ¿Se han realizado capacitaciones sobre el tema de continuidad de negocios?
Así es, se han capacitado a los principales miembros del comité y los principales líderes del
plan de continuidad. Se han capacitado en dos cosas que son importante: La norma y el plan
como tal, ya que son dos cosas que están alineadas.
101
7- ¿Estas capacitaciones se brindan solo a los gerentes o al personal operativo de la
empresa?
Hay dos niveles a los gerentes que son los que lideran y a los operativos, porque ellos deben
saber que hacer en caso de alguna situación. Entonces el plan de continuidad de negocios tiene
como sub ramas, es decir documentos adicionales por ejemplo el plan de contingencia de TI está
alineado con el plan de continuidad de negocios, el plan de contingencia de las sucursales está
alineado con el plan de TI y el de continuidad de negocios.
En el sentido que si se cae el sistema, el personal de las sucursales debe saber que hacer en
ese momento.
Además existe un plan en las sucursales que lo lidera gestión humana y que también está
alineado al plan de continuidad de negocios como lo son las comisiones mixtas.
8- ¿El plan de continuidad de negocios a que da respuesta primeramente?
Tiene un enfoque hacia las personas principalmente, luego la parte de informática y por
último la parte física (infraestructura).
9- ¿Existen formatos en los cuales se solicitan y autorizan los cambios a pruebas o
ajustes al plan de continuidad de negocios?
No, Funciona de la siguiente manera: El comité de riesgos tiene un acta, todas las propuestas
o solicitadas al comité realizadas por el área de riesgo quedan plasmadas en un acta.
Sin embargo en manual del plan de continuidad de negocios se mencionan el uso de formatos
pero para realizar las pruebas.
10- ¿Existen formatos que evidencian de que el plan de respuesta a la crisis fue eficiente?
La verdad es que hasta el momento no hemos tenido ningún evento pero el área de auditoria
tiene formatos para evidenciar si el plan funcionó.
102
11- ¿Cuál es el RPO y RTO establecido por la empresa?
Exactamente no recuerdo, pero si se encuentra en el manual al plan de continuidad de
negocios.
12- ¿Con base a que criterios se estableció el RPO Y RTO?
A estimaciones con el área de sistema, por ejemplo en cuanto tiempo se recupera la base de
datos, el servidor, el enlace de datos y con base a todos los recursos que tenemos disponibles en
la institución y de acuerdo a la experiencia del consultor que nos ayudó a elaborar el plan.
13- ¿Cómo el área de riesgo realiza el monitoreo al cumplimiento del plan de
continuidad de negocio?
Dentro del plan de continuidad de negocios hay un plan detallado de acciones por mes que se
tiene que hacer, entonces el área de riesgos con anticipación un mes anterior le da seguimiento a
las actividades del siguiente mes y lo coordina con el líder del plan de continuidad de negocios.
Hay un encargado dentro del área de riesgos que da seguimiento a la implementación del plan
de continuidad de negocios que es el jefe de riesgo operativo.
Informa al área de operaciones acerca de “x” prueba a realizarse.
14- ¿Cuáles son los procesos críticos identificados en el plan de continuidad de negocios?
Existe una matriz de riesgos en el plan de continuidad de negocios en la cual se establecen
los procesos críticos por cada área, identificados en el análisis BIA.
15- ¿Cada cuanto se reevalúan los riesgos de continuidad de negocios?
La reevaluación debe ser continua y se debe informar a la junta directiva si se quieren realizar
cambios.
103
16- ¿Existe una guía sobre el plan de continuidad de negocios que pueda ser consultada
por los encargados de liderar los equipos de crisis?
No, está en proceso de elaboración pero lo que existe es una cartilla donde se indican los
nombres y números telefónicos de las personas que integran el comité de continuidad de negocios
y el comité de crisis, de tal manera que las personas estén enteradas acerca de a quien deben
llamar en un momento de crisis.
104
MAESTRIA EN AUDITORIA Y ADMINISTRACION DE RIESGOS EMPRESARIALES
(MARE I).
Tema de investigación: Análisis y evaluación del plan de continuidad de negocio (BCP) de la
empresa “Impulsadora de Créditos, S.A “durante el periodo 2015.2016.
Cuestionario III.A
I. DATOS GENERALES:
SEXO: F
PUESTO: JEFE DE RIESGO DE CREDITO
AREA FUNCIONAL: RIESGOS
1- ¿Cuál es el rol del jefe de riesgo de crédito dentro del plan de continuidad de
negocio?
Gestión de riesgo crédito 2- ¿El área de riesgo es un área critica que se encuentra dentro
del plan de continuidad de negocio?
Es critica de manera física si le pasa algo a nuestra persona, a algunos de los miembros del
equipo de evaluación de riesgo, de negocio no es un área critica porque no se afectarían
directamente las actividades de la entidad, ya que utilizan pc portátiles que les permiten seguir
operando en otra sucursal por ejemplo, las evaluaciones de los créditos pueden continuar.
Si se daña la pc sigue realizando sus funciones de evaluación de créditos solicitando los
expedientes físicos del cliente en cualquier sucursal.
Si no hay energía eléctrica se movilizan a la sucursal más cercana. (7 sur, ciudad jardín).
En caso de caídas del sistema solo afectaría la parte de evaluación de riesgo de mora ya que es
necesaria la información de los estados de cuenta del cliente, o bien extraer la base de datos.
3- ¿Has recibido capacitaciones, acerca del plan de continuidad de negocios?
No. Sólo lo que se ha indicado es llevar control de los incidentes y la frecuencia que puedan
darse: caídas del sistema, daños de equipos. La información que contiene la hoja de control son:
105
fecha, tipo de incidente, duración del incidente, determinar si hubieron pérdidas económicas
(valor en libros). Esa información es enviada al área de riesgo operativo para su consideración.
4- ¿Ha recibido capacitaciones de cómo actuar en caso que se de algún evento?
Si, ha recibido capacitaciones en las brigadas contra incendio, y en casos de sismos.
5- ¿El sistema de plan de continuidad a que responde principalmente, que es lo que busca
preservar o proteger?
Inicialmente a los recursos humanos, luego a las operaciones, sistema y a la infraestructura.
6- ¿En caso que se dé una situación de crisis en el país, en la cuales los negocios de sus
clientes sufren algún impacto y se retrasan en sus pagos, cual es la contingencia para
preservar la calidad de la cartera y el negocio?
Esas medidas deben ser tomadas por el área de negocios, quien determinará si se dará un
tiempo de gracia o cualquier otra medida.
Sin embargo como área de riesgo de crédito podemos recomendar a negocios, o facilitar la
información necesaria mediante el análisis cuantitativo de la mora por créditos y cuál será el
impacto en la calidad de la cartera, para que se tomen las mejores medidas de recuperación.
7- ¿En caso que se dé un terremoto que dañe las garantías de los clientes, como mitigan
ese riesgo?
En ese caso considerando la norma de gestión de riesgo de la SIBOIF, la mitigante es
provisionar el 100% de ese crédito siempre y cuando en los resultados de la valoración de la
garantía no cubra ni una vez el monto del crédito asignado.
106
MAESTRIA EN AUDITORIA Y ADMINISTRACION DE RIESGOS EMPRESARIALES
(MARE I).
Tema de investigación: Análisis y evaluación del plan de continuidad de negocio (BCP) de
la empresa “Impulsadora de Créditos, S.A “durante el periodo 2015.2016.
Cuestionario IV.A
I. DATOS GENERALES:
SEXO: M
PUESTO: JEFE DE RIESGO OPERATIVO
AREA FUNCIONAL: RIESGO
1- ¿Cuál es su rol dentro del plan de continuidad de negocios?
Soy parte de la gestión de continuidad de negocios. Participamos en la recolección de la
información junto con el consultor en las diferentes áreas de la empresa, con el área de riesgo
operativo se coordinan las pruebas.
2- ¿Qué actividades de control realiza y que estén dentro del plan de continuidad de
negocios?
Más que actividades de control se hace un seguimiento a la ejecución de las pruebas y al
resultado de las pruebas.
Las pruebas tienen sus diferentes escenarios y alcance, entonces tenemos que hacer
acompañamiento en la logística y se coordina con las áreas el día y la hora en que se realizará la
prueba.
Por mencionar algunas de las pruebas, tenemos operar sin sistema, suspender el fluido
eléctrico y probar las plantas de contingencia.
3- ¿La forma y fondo de las pruebas lo realiza el área de riesgo operativo o en
coordinación con otras áreas?
107
Se realiza en conjunto con las áreas, por ejemplo TI nos informa acerca de la prueba que
quiere ejecutarse.
4- ¿Qué actividades críticas se encuentran contempladas en el plan de continuidad de
negocio de la empresa?
Esto se determinó en conjunto con el consultor en el análisis BIA, puedo mencionarle por
ejemplo el área de créditos, que corresponde al giro del negocio, así como áreas de apoyo al
negocio por ejemplo contabilidad, operaciones , TI, el área legal por la parte de los contratos.
5- ¿Tiene conocimiento de cuáles son los planes de acción para el área de operaciones
que estén dentro del manual de continuidad de negocios?
Si, por el momento se están haciendo pruebas básicas, como la interrupción del fluido
eléctrico.
6- ¿Se realizan pruebas diagnósticas al personal para conocer el grado de conocimiento
acerca de que procedimientos seguir en caso de un incidente?
Actualmente no.
7- ¿Cómo documenta el monitoreo que realiza al plan de continuidad de negocios?
Esta el cronograma que es parte del plan de continuidad de negocios. Dependiendo de los
resultados de las pruebas, se realiza un informe el cual se comparte primeramente con los
miembros del comité de riesgo y luego con los involucrados u área con el que se realizó la
prueba.
El proceso se documenta desde el inicio que es la programación de las pruebas mediante
correo y finaliza con la emisión de un informe de resultados.
108
8- ¿Existe algún formato que se llegue a utilizar a posteriori de la materialización de
algún evento?
No, lo que se hace es un cuestionario para evidenciar los resultados de las pruebas.
9- ¿Que se pretende proteger con el plan de continuidad de negocios elaborado por la
institución?
El negocio de las operaciones críticas de la empresa.
10- ¿Dentro del plan de continuidad de negocios, como se encuentra protegido el recurso
humano?
Seguro de vida en caso de fallecimiento
Planes de sucesión cuando falte personal clave.
Que las instalaciones cuenten con las condiciones mínimas para laborar.
Capacitar a las personas para actuar en caso de emergencias.
Tener rutas de evacuación
Comisiones mixtas, para primeros auxilios.
Brigadas contra incendio.
9.2 ANEXOS EXCEL
109
MEJORES PRACTICAS SOBRE PLANES CONTINUIDAD DE NEGOCIOS (BCP)
Equivalencias: E: Existe, ED: Está documentado , CCC: Cumple las carácteristicas como competencia, SC: Se comunica.
1 Actividades relacionadas con la práctica Descripción de las actividades de Impulsadora de Créditos S.A
Lid
erazg
o
Con
cien
tiza
ción
Est
rutu
ra d
el B
CP
Gra
do d
e P
enet
rab
ilid
ad
Mét
rica
s D
efin
idas
Com
pro
mis
os
de
Rec
urs
os
Coord
inaci
ón
Exte
rna
Con
ten
ido d
el B
CP
Calificación
promedio
E ED CCC SC E ED CCC SC E ED CCC SC E ED CCC SC E ED CCC SC E ED CCC SC E ED CCC SC E ED CCC SCPráctica 1: Inicio y Gerencia del Proyecto
1.1 Documentar la importancia de contar con un BCP:
Debe estar basada en el conocimiento de la industria de la Compañía, su entorno regulatorio y
riesgos conocidos hasta el momento, que al ser identificados dieron origen a la necesidad de definir
un plan de continuidad de negocio.
La empresa en el manual de gestión de continuidad de negocio reconoce que es
importante identificar los riesgos a los que se encuentra ante eventuales contingencias
o desastres que pudieran afectar severamente la operación normal de sus procesos y
procedimientos de negocio.
Como parte de una adecuada gestion de riesgo operacional adecuado a las
Si Si No No Si No No No Si Si Si No Si Si Si No Si No No No Si Si Si No Si Si No No Si No No No 2 1 3 2 1 3 2 1 1.88
1.2 Definir los criterios que sustenten la elaboración:
Definir el objetivo y las políticas de implementación del plan de continuidad de negocio.
Los objetivos son los siguientes:
1. Permitir a la institución trascender ante la crisis y recuperarse en el menor tiempo
posible.
2. Garantizar que los empleados:
a. Esten protegidos
b. Comprendan su papel
c. Saben a donde ir
d. Saben que hacer
e. Saben que recursos necesitan
f. Entiendan la secuencia de las tareas criticas
3. Ayudar a planificar la recuperación y reanudación de las operaciones.
4. Validar asuntos de la recuperación de la institucion como:
a. Necesidades de telecomunicaciones durante y después del desastre
Si Si Si Si Si No No No Si No No No Si Si Si No Si No No No Si No No No Si Si No No Si No No No 4 1 1 3 1 1 2 1 1.75
1.3 Definir los objetivos y las políticas del proyecto de implementación:
El objetivo debe basarse en la proteccion de las vidas humanas, minimizar las pérdidas operativas,
maximizar la capacidad de recuperación de las operaciones, mantener la posicion competitiva de la
compañía y mantener la confianza de los clientes.
Equipo de recuperación de gestión humana.
Mediante las siguientes funciones:
a. Preparar comunicaciones para orientar y dar atención a todo el personal.
b. Coordinar las actividades a realizarse durante la situación de crisis o contingencia.
b. Establecer los lineamientos administrativos, legales, de seguridad y de recursos
humanos.
c. Apoyar y asesorar en las decisiones y acciones que deban ser adoptadas.
Si Si Si Si Si No No No Si No No No Si Si Si No Si No No No Si No No No Si No No No Si No No No 4 1 1 2 1 1 1 1 1.50
1.4 Documentar y sustentar los objetivos:
Estos deben estar incorporados en el documento del plan de continuidad de negocio.
a. Proteger los procedimientos criticos de impulsadora de créditos S.A , ante
eventos de crisis o contingencia.
b. Lograr una recuperación oportuna de las operaciones y de la información al
momento de presentarse una contingencia.
c. Proporcionar una guia para dirigir las actividades de respuesta y recuperación
ante eventos de crisis o contingencia.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si Si No No Si No No No 1 1 1 1 1 1 2 1 1.13
1.5 Nombrar al comité responsable del desarrollo del proyecto BCP:
Se debe nombrar un líder coordinador y responsable de la gestión y ejecución del proyecto. Este
comité debe estar conformado por las gerencias claves que manejan recursos e información y con la
autoridad adecuada para que puedan tomar decisiones.
Existe un comité de continuidad de negocios, conformado por los siguientes cargos:
a. Gerente General . presidente
b. Gerente de finanzas y administración . miembro
c. Gerente de negocios . miembro
d. Gerente de operaciones y sistemas . miembro
e. Gernte de recursos humanos . Secretario de actas
f. Gerente de gestión integral de riesgos . miembro
g. Jefe de seguridad interna . miembro.
Si Si Si Si Si Si Si Si Si Si No No Si Si No No Si No No No Si Si No No Si Si No No Si No No No 4 4 2 2 1 2 2 1 2.25
1.6 Asignar recursos financieros y definir responsabilidades:
Se deben identificar los recursos financieros y definir las responsabilidades de cada uno de los
miembros en la consecución del proyecto.
No se especifica en el plan los recursos financieros destinados , pero si se indican las
responsabilidades de cada uno de los miembros del comité de continuidad de
negocios es estandar, lo que se indica es que todos deberian de cumplir con:
a. Liderar la recuperación del procedimiento a su cargo en caso de alguna
contingencia.
b. Identificar los procedimientos de recuperación bajo su supervisión.
c. Servir de enlace entre el equipo de recuperación y el comite de continuidad.
d. Mantener informado sobre el estado de recuperación al lider ejecutivo del plan de
continuidad de negocio.
e. Coordinar con los demas líderes de los equipos de recuperación.
Si Si Si Si Si No No No Si Si No No Si No No No Si No No No Si Si No No Si No No No Si No No No 4 1 2 1 1 2 1 1 1.63
1.7 Identificar y definir las etapas del proyecto:
Conocimiento verdadero sobre la realidad en cuanto a lo que es un Plan de continuidad de negocio
y como se puede implementar y mantener, analizando las metodologías utilizadas a nivel mundial,
con el objetivo de extraer lo mejor de cada una e identificar cuáles son las actividades necesarias
para mantener e implementar un BCP.
Se identifican dos fases del proyecto: prevención y gestión de crisis. Los cuales a su
vez, contemplan:
Fase de prevención:
1. Análisis de impacto al negocio.
2. Estrategias de continuidad de negocio.
3. Ejercicio y auditoría.
Fase de gestión de crisis:
1. Plan de continuidad de negocio y plan de administración de crisis.
2. Plan de recuperación de desastres.
Si No No No Si No No No Si Si No No Si Si Si No Si No No No Si Si No No Si No No No Si No No No 1 1 2 3 1 2 1 1 1.50
1.8 Planificación de la política de continuidad de negocio:
Es necesario el establecimiento de los compromisos que debe adoptar la Dirección, fijar cómo
designar a un coordinador de continuidad de negocio, determinar la documentación que debe
considerarse como evidencia para el BCP y precisar las principales características que debe poseer
la Política de Continuidad de Negocio.
El coordinador del plan de continuidad esta dividido por áreas o comités de
recuperación.
Si Si Si Si Si Si Si No Si Si Si No Si Si No No Si No No No Si Si No No Si No No No Si No No No 4 3 3 2 1 2 1 1 2.13
1.9 Comprensión de la organización y análisis de riesgos:
Se debe realizar un estudio que permita conocer y comprender la organización en su totalidad y
definir como se debe realizar un Análisis de Impacto al Negocio (BIA).
El análisis del BIA realizado por la compañía incluye:
1. Niveles de criticidad:
a. Critico
b. Medio
c. No critico
2. Procesos criticos identificados:
a. Impacto de cara al cliente
b. Impacto operacional
c. Impacto normativo y legal
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
1.10 Medidas preventivas:
Se debe explicar cómo se debe realizar un plan de acción, que contemple las tareas que la
compañía pretende adoptar para prevenir contingencias.
Cada sesión de prueba deberá estar planificada en cuanto a tiempos, orden de
objetivos, procesos, lugares, estaciones fisicas de operación y personal participante
en las pruebas.
Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
1.11 Estrategias de recuperación:
Establecer cómo debe realizar las estrategias de recuperación para las actividades críticas de la
organización, establecer cómo se deben definir los cargos o los equipos necesarios para la
activación del Plan de Contingencia y determinar cómo se deben documentar los planes de
contingencia.
Las estrategias se derivan de los resultados obtenidos en el análisis del impacto de
negocio. Las mismas deben ser realizables y verificables mediante pruebas, tener una
alta probabilidad de éxito, ser consecuente con los requerimientos de tiempo y
presentar una relación de costo.beneficio favorable.
Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
1.12 Pruebas, revisón y mantenimiento del BCP:
Se debe precisar cómo se deben realizar las pruebas, revisiones y actualizaciones del BCP.
Se pueden realizar pruebas de sobremesa de varios escenarios, hacer simulaciones,
pruebas de recuperación técnica, ensayos generales, entre otros.
La actualización se realiza cada vez que se genere un cambio en los procedimientos
críticos, cambios en la estructura organizacional del personal critico y en la
tecnología.
Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
Índice de cumplimiento para elaboración e implementación del plan de continuidad de negocios según las mejores prácticas (ver marco de referencia).
Coordinación externa:
- Coordinación de asuntos y
temas de continuidad de
negocio con la comunidad
externa .
- Aseguramiento que la
comunidad externa cuentan con
planes de BCP adecuados en su
propia organización .
Contenido del BCP:
- Cumplimiento con las previas
7 comptencias corporativas.
- Implementación de los
componentes del programa del
BCP (administración de
incidentes, administración de
seguridad, recuperación
tecnológica y recuperación de
negocio).
Liderazgo:
- Compromiso y
entendimiento
demostrado por la alta
dirección
- Entendimiento del
comité ejecutivo.
Concientización:
- Amplitud y
profundidad del
conocimiento sobre
continuidad de negocio
a todos los niveles
jerárquicos
- Programas de
entrenamiento y
concientización.
Estructura del BCP:
- Grado con el que el
BCP cumple con el giro
de negocio elaborado .
Grado de penetrabilidad:
- Nivel de coordinación de
continuidad de negocio
entre los diferentes
departamentos de la
organización.
- Grado en que las
consideraciones de
continuidad han sido
incorporadas en otras
iniciativas de continuidad
de negocio.
Métricas definidas:
- Desarrollo y monitoreo del
desempeño del programa de
continuidad de negocio.
- Establecimiento y seguimiento
de competencias de continuidad
de negocio.
Compromiso de recursos:
- Disponibilidad de suficiente
recursos humanos y
financieros.
- Entrenamiento adecuado de
los recursos humanos sobre
tema de continuidad de
negocio.
110
Práctica 2: Evaluación de Riesgos
2.1 Obtener un entendimiento de la industria y el negocio en el cual opera la compañía:
Identificar los procesos de negocio esenciales, los recursos o activos que necesitan ser protegidos o
resguardados para asegurar la correcta operación del negocio ante una posible amenaza interna o
externa. Algunos ejemplos de recursos o activos pueden ser:
a) Personas. (clientes, empleados, suscriptores)
b) Recursos fisicos ( maquinarias, equipos de comunicacion y computo, medios magneticos)
c) Recursos de informacion ( base de datos, sistemas, manuales de usuarios, materiales de
entrenamiento, etc.)
d) Documentos fisicos (contratos, licencias, permisos)
La empresa considera dentro de sus principales activos:
a. Desembolsos de créditos.
b. Recuperación de créditos.
c. Pago de planilla.
d. Entrega de información a otra área.
e. Entrega de información al ente regulador.
f. Cierres mensuales.
g. Monitoreo de servidores.
Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
2.2 Entender los procesos significativos de la entidad:
Detectar las debilidades o vulnerabilidades existentes en los procesos y en la compañía que
permiten que las amenazas se materialicen. Durante esta etapa es importante hacernos las siguientes
preguntas:
1. ¿Cuáles son las actividades o procesos más importantes de la compañia?
2. ¿Cuáles son los recursos o activos principales de estos procesos?
3. ¿Cuáles son las principales amenazas a las que se encuentran expuestos según su vulnerabilidad?
4. ¿Cuáles son los riesgos que se pueden materializar, riesgos de mercado, riesgos de producción,
riesgos de ser humano, etc.?
Los riesgos o amenzas que la empresa tiene identificadas dentro de su plan de
continuidad de negocios son de origen externo y origen interno.
a. Desastres Naturales.
b. Actos maliciosos.
c. Incidentes sanitario ambientales.
d. Incidentes financieros.
e. Incidentes laborales.
f. Incidentes sociales.
g. Incidentes tecnológicos.
h. Incidente persona.
i. Incidente reputación.
Clasificación de riesgos:
a. Riesgo ambiental.
b. Riesgo persona.
c. Riesgo tecnológico.
d. Riesgo reputacional.
Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
2.3 Evaluar el Impacto o magnitud económica:
Esto en base a la probabilidad de ocurrencia de las amenazas. Considerando que ocurren en el
peor momento posible, dando lugar a un grave deterioro de la capacidad del organismo para
realizar negocios. Algunos criterios que pueden ayudar a valorar las pérdidas pueden ser:
a) Costo de horas de trabajo perdidas.
b) Ingresos dejados de percibir por interrupción de producción.
c) Multas por incumplimiento de contratos.
d) Multas o sanciones por incumplimiento de seguridad.
Los responsables de los procedimientos deberán evaluar los impactos negativos
generados por una posible interrupción en dichos procedimientos. Estos impactos se
clasifican en cuatro categorias: financieros, legales, de imagen o reputacionales y ante
los clientes externos.Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
2.4 Evaluar y Clasificar los riesgos:
De acuerdo a criterios pertinentes establecidos, identificar los riesgos que están bajo control de la
organización (por factores internos) y los riesgos que están fuera de control de la organización (por
factores externos).
a) Clasificar los riesgos por el tipo.
b) Evaluar los riesgos en la categoria de alto, medio, bajo, minimo.
Los riesgos o amenzas que la empresa tiene identificadas dentro de su plan de
continuidad de negocios son de origen externo y origen interno.
1. Desastres Naturales
2. Actos maliciosos
3. Incidentes sanitario.ambientales
4. Incidentes financieros
5. Incidentes laborales
6. Incidentes sociales
7. Incidentes tecnologicos
8. Incidente persona
9. Incidente reputacion.
Clasificacion de riesgos:
a. Riesgo ambiental
b. Riesgo persona
c. Riesgo tecnologico
d. Riesgo reputacional
Si No No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 1 2 2 2 2 2 2 2 1.88
2.5 Evaluar los riesgos, de llegar a materializarse el riesgo como afectaría la continuidad del
negocio:
Evaluar los riesgos, de llegar a materializarse el riesgo como afectaría la continuidad del negocio.
Los riesgos identificados en el análisis RA, son:
a. Infraestructura.
b. Proveedores externos.
c. Entorno.
d. Imagen.
e. Seguridad fisica.
f. Tecnologia.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.6 Identificar alternativas de metodologías de análisis de riesgos y herramientas:
Las metodología pueden ser cualitativas y cuantitativas, cuáles serían las ventajas y desventajas de
utilizar la metodología seleccionada.
No se especifíca.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.7 Crear en toda la organización los métodos de recopilación de información y distribución de
la misma:
Estos pueden ser; formularios, entrevistas, reuniones, revisión de la documentación y análisis.
No se especifíca.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.8 Tratamiento al riesgo:
Una vez que se han identificado los riesgos y se han evaluados, se prosigue a establecer la acción
más apropiada de cómo tratarlos para minimizar su impacto. En esta etapa existen cuatro acciones
posibles a seguir:
a) Reducir el riesgo.
b) Aceptar los riesgos partiendo de que su impacto será minimo.
c) Transferir los riegsos asociados a otras partes.
a. El nivel de riesgo aceptable definido es bajo.
B. Las incertidumbres productos de incidentes de medio o bajo impacto se hallan
cubiertas por pólizas de seguro.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.9 Crear los controles necesarios que ayuden a disminuir el impacto de los riesgos:
Llevarlos a un nivel residual aceptable por la organización. Crear controles preventivos, detectivos o
correctivos y también identificar las medidas para prevenir y/o mitigar el efecto de la pérdida.
Contempla dentro del plan equipos de recuperación para mitigar pérdidas como por
ejemplo: tecnologia, seguridad interna, gestión humana, negocios, finanzas.Si Si Si No Si Si No No Si No No No Si No No No Si No No No Si Si No No Si Si No No Si No No No 3 2 1 1 1 2 2 1 1.63
2.10 Revisión constante de los controles implementados para mitigar los impactos relacionados
con los riesgos identificados:
Revisiones periódicas y revisiones sorpresivas, prueba de controles alternativos y controles
compensatorios.
Se actualiza en conjunto con el plan de continuidad de negocio en casos que se
realice algun cambio.Si Si Si No Si Si No No Si No No No Si No No No Si No No No Si Si No No Si Si No No Si No No No 3 2 1 1 1 2 2 1 1.63
2.11 Organizar equipos especializados con roles y responsabilidades específicas:
Para hacer frente a la materialización de un evento que ponga en riesgo la sostenibilidad o
continuidad de la organización, equipos especializados en manejo de incidentes, manejo
corporativo de crisis, importante equipos gerenciales y funcionales para la recuperación del negocio
y para la recuperación tecnológica.
En el plan se menciona la existencia de un comité de adiministración de crisis y
equipos de recuperación cuando se de el suceso.
Si Si Si Si Si Si No No Si Si Si No Si Si No No Si No No No Si Si No No Si Si No No Si No No No 4 2 3 2 1 2 2 1 2.13
2.12 La creación de un centro alterno:
Es decir una ubicación física alternativa, diferente a la principal, en donde se va a establecer la
estrategia de recuperación de una entidad, pudiendo ser un centro alterno para TI y/o de
operaciones.
La alternativa de traslado de personal hacia un sitio alterno de operación se presenta
en el evento que los funcionarios no puedan acceder a las instalaciones de la
institución.Si Si Si Si Si Si No No Si No No No Si Si No No Si No No No Si Si Si No Si Si No No Si No No No 4 2 1 2 1 3 2 1 2.00
111
Práctica 2: Evaluación de Riesgos
2.1 Obtener un entendimiento de la industria y el negocio en el cual opera la compañía:
Identificar los procesos de negocio esenciales, los recursos o activos que necesitan ser protegidos o
resguardados para asegurar la correcta operación del negocio ante una posible amenaza interna o
externa. Algunos ejemplos de recursos o activos pueden ser:
a) Personas. (clientes, empleados, suscriptores)
b) Recursos fisicos ( maquinarias, equipos de comunicacion y computo, medios magneticos)
c) Recursos de informacion ( base de datos, sistemas, manuales de usuarios, materiales de
entrenamiento, etc.)
d) Documentos fisicos (contratos, licencias, permisos)
La empresa considera dentro de sus principales activos:
a. Desembolsos de créditos.
b. Recuperación de créditos.
c. Pago de planilla.
d. Entrega de información a otra área.
e. Entrega de información al ente regulador.
f. Cierres mensuales.
g. Monitoreo de servidores.
Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
2.2 Entender los procesos significativos de la entidad:
Detectar las debilidades o vulnerabilidades existentes en los procesos y en la compañía que
permiten que las amenazas se materialicen. Durante esta etapa es importante hacernos las siguientes
preguntas:
1. ¿Cuáles son las actividades o procesos más importantes de la compañia?
2. ¿Cuáles son los recursos o activos principales de estos procesos?
3. ¿Cuáles son las principales amenazas a las que se encuentran expuestos según su vulnerabilidad?
4. ¿Cuáles son los riesgos que se pueden materializar, riesgos de mercado, riesgos de producción,
riesgos de ser humano, etc.?
Los riesgos o amenzas que la empresa tiene identificadas dentro de su plan de
continuidad de negocios son de origen externo y origen interno.
a. Desastres Naturales.
b. Actos maliciosos.
c. Incidentes sanitario ambientales.
d. Incidentes financieros.
e. Incidentes laborales.
f. Incidentes sociales.
g. Incidentes tecnológicos.
h. Incidente persona.
i. Incidente reputación.
Clasificación de riesgos:
a. Riesgo ambiental.
b. Riesgo persona.
c. Riesgo tecnológico.
d. Riesgo reputacional.
Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
2.3 Evaluar el Impacto o magnitud económica:
Esto en base a la probabilidad de ocurrencia de las amenazas. Considerando que ocurren en el
peor momento posible, dando lugar a un grave deterioro de la capacidad del organismo para
realizar negocios. Algunos criterios que pueden ayudar a valorar las pérdidas pueden ser:
a) Costo de horas de trabajo perdidas.
b) Ingresos dejados de percibir por interrupción de producción.
c) Multas por incumplimiento de contratos.
d) Multas o sanciones por incumplimiento de seguridad.
Los responsables de los procedimientos deberán evaluar los impactos negativos
generados por una posible interrupción en dichos procedimientos. Estos impactos se
clasifican en cuatro categorias: financieros, legales, de imagen o reputacionales y ante
los clientes externos.Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 2 2 2 2 2 2 2 2 2.00
2.4 Evaluar y Clasificar los riesgos:
De acuerdo a criterios pertinentes establecidos, identificar los riesgos que están bajo control de la
organización (por factores internos) y los riesgos que están fuera de control de la organización (por
factores externos).
a) Clasificar los riesgos por el tipo.
b) Evaluar los riesgos en la categoria de alto, medio, bajo, minimo.
Los riesgos o amenzas que la empresa tiene identificadas dentro de su plan de
continuidad de negocios son de origen externo y origen interno.
1. Desastres Naturales
2. Actos maliciosos
3. Incidentes sanitario.ambientales
4. Incidentes financieros
5. Incidentes laborales
6. Incidentes sociales
7. Incidentes tecnologicos
8. Incidente persona
9. Incidente reputacion.
Clasificacion de riesgos:
a. Riesgo ambiental
b. Riesgo persona
c. Riesgo tecnologico
d. Riesgo reputacional
Si No No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No Si Si No No 1 2 2 2 2 2 2 2 1.88
2.5 Evaluar los riesgos, de llegar a materializarse el riesgo como afectaría la continuidad del
negocio:
Evaluar los riesgos, de llegar a materializarse el riesgo como afectaría la continuidad del negocio.
Los riesgos identificados en el análisis RA, son:
a. Infraestructura.
b. Proveedores externos.
c. Entorno.
d. Imagen.
e. Seguridad fisica.
f. Tecnologia.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.6 Identificar alternativas de metodologías de análisis de riesgos y herramientas:
Las metodología pueden ser cualitativas y cuantitativas, cuáles serían las ventajas y desventajas de
utilizar la metodología seleccionada.
No se especifíca.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.7 Crear en toda la organización los métodos de recopilación de información y distribución de
la misma:
Estos pueden ser; formularios, entrevistas, reuniones, revisión de la documentación y análisis.
No se especifíca.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.8 Tratamiento al riesgo:
Una vez que se han identificado los riesgos y se han evaluados, se prosigue a establecer la acción
más apropiada de cómo tratarlos para minimizar su impacto. En esta etapa existen cuatro acciones
posibles a seguir:
a) Reducir el riesgo.
b) Aceptar los riesgos partiendo de que su impacto será minimo.
c) Transferir los riegsos asociados a otras partes.
a. El nivel de riesgo aceptable definido es bajo.
B. Las incertidumbres productos de incidentes de medio o bajo impacto se hallan
cubiertas por pólizas de seguro.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
2.9 Crear los controles necesarios que ayuden a disminuir el impacto de los riesgos:
Llevarlos a un nivel residual aceptable por la organización. Crear controles preventivos, detectivos o
correctivos y también identificar las medidas para prevenir y/o mitigar el efecto de la pérdida.
Contempla dentro del plan equipos de recuperación para mitigar pérdidas como por
ejemplo: tecnologia, seguridad interna, gestión humana, negocios, finanzas.Si Si Si No Si Si No No Si No No No Si No No No Si No No No Si Si No No Si Si No No Si No No No 3 2 1 1 1 2 2 1 1.63
2.10 Revisión constante de los controles implementados para mitigar los impactos relacionados
con los riesgos identificados:
Revisiones periódicas y revisiones sorpresivas, prueba de controles alternativos y controles
compensatorios.
Se actualiza en conjunto con el plan de continuidad de negocio en casos que se
realice algun cambio.Si Si Si No Si Si No No Si No No No Si No No No Si No No No Si Si No No Si Si No No Si No No No 3 2 1 1 1 2 2 1 1.63
2.11 Organizar equipos especializados con roles y responsabilidades específicas:
Para hacer frente a la materialización de un evento que ponga en riesgo la sostenibilidad o
continuidad de la organización, equipos especializados en manejo de incidentes, manejo
corporativo de crisis, importante equipos gerenciales y funcionales para la recuperación del negocio
y para la recuperación tecnológica.
En el plan se menciona la existencia de un comité de adiministración de crisis y
equipos de recuperación cuando se de el suceso.
Si Si Si Si Si Si No No Si Si Si No Si Si No No Si No No No Si Si No No Si Si No No Si No No No 4 2 3 2 1 2 2 1 2.13
2.12 La creación de un centro alterno:
Es decir una ubicación física alternativa, diferente a la principal, en donde se va a establecer la
estrategia de recuperación de una entidad, pudiendo ser un centro alterno para TI y/o de
operaciones.
La alternativa de traslado de personal hacia un sitio alterno de operación se presenta
en el evento que los funcionarios no puedan acceder a las instalaciones de la
institución.Si Si Si Si Si Si No No Si No No No Si Si No No Si No No No Si Si Si No Si Si No No Si No No No 4 2 1 2 1 3 2 1 2.00
112
Práctica No. 3: Análisis de Impacto al Negocio
3.1 Obtención de la Relación de Procesos:
Establecer los procesos de negocio que se realizan en la compañía.
Se determina a traves del uso de cuestionario BIA y el establecimiento de niveles de
criticidad.Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
3.2 Obtención de la Relación de Aplicaciones:
Establecer la relación de aplicaciones que soportan los procesos de la compañía.
Se mencionan los principales aplicativos de la intitucion no se encuentran
disponibles, como es el caso cuando el hardware y/o software presenta fallas o
cuando haya interrupción prolongada de las comunicaciones, ocasionados por: datos
corruptos, fallos de componentes, fallas de aplicaciones y/o error humano.
Si Si Si No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 3 1 1 1 1 1 1 1 1.25
3.3 Relación de Departamentos y Usuarios:
Se identifican los departamentos que hay en la organizazión y el nombre de las personas que la
componen y que intervienen en los procesos.
En el caso de impulsadora de creditos S.A se determinaron los departamentos de
Administración, tecnología, gestión humana, asesoria legal, contabilidad y auditoria. Si Si Si No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 3 1 1 1 1 1 1 1 1.25
3.4 Determinar cuáles son los Procesos Críticos:
Pueden darse dos valoraciones, una basada en la importancia para la compañía de los procesos
cuya ausencia tendría un impacto alto en la actividad de la compañía (valoración cualitativa). La
otra, se referiría a las pérdidas económicas por período debido a la ausencia de los procesos
(valoración cuantitativa).
a. Desembolsos de créditos.
b. Recuperación de créditos.
c. Pago de planilla.
d. Entrega de información al ente regulador.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
3.5 Definición del período Máximo de Interrupción:
El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y las
actividades están interrumpidas. No obstante, a partir de un momento que denominaremos Período
Máximo de Interrupción, las pérdidas sufren un aumento significativo y las funciones no podrían ser
reasumidas.
Impulsadora de Créditos S,A determinó su RTO en: 2 días.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
3.6 Identificar sitios físicos:
Se valida la lista de instalaciones físicas o entidades en donde opera los servicio de TI de la
organizazión.
El sitio físico se encuenta en: Sitio alterno.
Si Si Si No Si Si Si No Si Si Si No Si Si No No Si No No No Si Si No No Si Si Si No Si No No No 3 3 3 2 1 2 3 1 2.25
3.7 Identificar sistemas de información:
se obtiene la lista de los sistemas de información que se poseen en cada instalación y se determina
cuáles de ellos están relacionados de manera directa o indirecta con el servicio de TI.
a. Redes y comunicaciones.
b. Soporte técnico de hardware.
c. Administración de base de datos.Si Si Si No Si Si No No Si No No No Si Si No No Si No No No Si Si No No Si Si No No Si No No No 3 2 1 2 1 2 2 1 1.75
3.8 Determinar el RTO, RPO de cada sistema:
Se estima, mediante encuestas o entrevistas, el tiempo de recuperación objetivo, el punto de
recuperación objetivo y el tiempo máximo tolerable fuera de servicio para cada proceso en cada
instalación con el fin de ayudar en la definición de las estrategias de recuperación.
El RTO se determinó de acuerdo a las funciones de cada unidad de negocio.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
113
Práctica 4: Desarrollo de Estrategias de Continuidad del Negocio
4.1 Entender las alternativas disponibles y sus ventajas, desventajas, y los rangos de costo, incluyendo la
mitigación como una estrategia de recuperación:
a. Identificar estrategias viables de recuperación dentro de las áreas funcionales de la organización.
b. Consolidar las estrategias
c. Identificar requisitos off.site e instalaciones alternativos.
d. Desarrollar estrategias de unidad de negocio.
e. Obterner el compromiso de gestion de las estrategias desarrolladas.
f. Identificar en toda la organizacion los requisitos organizacionales para realizar las estrategias de
continuidad.
g. Revision de los problemas de continuidad de negocio:
Los plazos, opciones, ubicacion, persona , comunicaciones (crisis/medios de comunicacion y de
voz/datos)
h. Examinar las cuestiones relacionadas con el soporte de la tecnologia de la continuidad de cada
servicio.
i. Revision de la tecnologia que resuelva los problemas de continuidad para cada servicio de apoyo,
incluidos los servicios de apoyo que no depende de la tecnologia.
j. Comparar soluciones internas/externas
k. Identificar estrategias alternativas de continuidad:
l. No hacer nada
m. Aplazar la accion
n. Manual de procedimientos
ñ. Acuerdos reciprocos de alternativa lugar o la instalacion de negocios.
Fuente alternativa de producto de terceros proveedores de servicios/proveedores externos.
procesamiento distribuido
Alternativo de comunicacion
Mitigacion
Cada proceso deberá contar con una estrategia de continuidad de negocio que
podrá ir desde la instalación de un sitio alterno, hasta la suspensión del proceso por
un tiempo determinado.
La prioridad para la implementacion de una estrategia empezará por los procesos
mas criticos hasta los procesos menos criticos.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
4.2 Evaluar la idoneidad de las estrategias alternativas frente a los resultados de un análisis
del impacto organizacional:
a. El negocio en forma efectiva debe analizar las necesidades y los criterios.
b. Definir claramente los objetivos de la planificación de la continuidad de negocio.
c. Desarrollar un método consistente para la evaluación.
d. Establecer criterios de referencia para los opciones de estrategia de continuidad.
Para establecer las estrategias de continuidad de negocio, impulsadora de créditos
determinó el alcance , el cual está definido para la operatividad del edificio central y
sucursales, y se establecieron los posibles escenarios de interrupcion:
a. No hay acceso a las instalaciones.
b. Los aplicativos no estan disponibles.
c. Ausencia de personal.
d. Falta de proveedores externos.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
4.3 Preparar análisis costo / beneficio de las estrategias de continuidad y presentar sus
observaciones a la Alta Dirección:
a. Emplear una metodología práctica, comprensible.
b. Establecer horarios realistas para la evaluacion y redaccion de informes.
c. Entregar recomendaciones consisas y especificas a la alta dirección.
Una vez que se seleccionaron las estrategias se deben calcular los costos de
implementación, para ello se consideraron los costos de movilización del personal al
sitio alterno, equipo tecnológico necesario, costos adicionales. Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
4.4 Seleccionar lugares alternativos y de almacenamiento fuera del sitio:
a. Criterios.
b. Comunicaciones.
c. Consideraciones de acuerdo.
d. Las técnicas de comparacion.
e. Adquisición.
f. contraprestación contractual.
Mediante un cronograma se determinarán las fechas y lugares en que se ejecutará el
programa de pruebas,.
Cada sesión de prueba deberá estar planificada en cuanto a tiempos, orden de
objetivos, procesos, lugares, estaciones fisicas de operación y personal participante
en las pruebas.
Si Si Si No Si Si No No Si Si Si No Si Si No No Si No No No Si Si No No Si Si No No Si No No No 3 2 3 2 1 2 2 1 2.00
4.5 Entender los acuerdos contractuales comprendidos en los servicios de Continuidad de
Negocios:
a. Entender y preparar los estados y los requisitos para su uso en los acuerdos formales para la
prestación de servicios de continuidad incluidos los requisitos jurisdiccionales / normativas
adecuadas.
b. Formular todas las especificaciones técnicas (térrminos de referencia) necesarias para su uso en
la "invitación a licitación" en formato.
c. Interpretar los acuerdos externos propuestos por los proveedores en relación con los requisitos
especificados originales.
d. Identificar los requisitos especificos excluidos de los acuerdos estándar propuesto.
e. Entender y asessorar sobre la inclusión de elementos opcionales y las que son esenciales.
f. Contraprestación contractual.
No se específica en el Manual de Gestión de Continuidad de Negocio.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
114
Práctica 5: Respuesta de Emergencia y Operaciones 1.4 1.2 1.4 1.2 1 1.2 1.2 1 1.20
5.1 Estrategias y tiempo de respuestas:
a. Para dar respuesta a los incidentes / contingencias que puedan ocurrir en la Organizazión en sus
instalaciones totales o por áreas específicas la organizazión tiene que definir un criterio de respuesta
y puede ser escalonada, el cual clasifica las capacidades de respuesta necesarias en términos del
tamaño del incidente identificado por un análisis de riesgo y su proximidad a las instalaciones
operativas.
b. Se asegura la existencia de un sistema de respuesta de un nivel apropidado con el objetivo de
garantizar una respuesta efectiva a un incidente de acuerdo con el riesgo y el momento de la
ocurrencia.
c. Para los incidentes que ocurran durante las horas normales de trabajo, el objetivo será establecer
un tiempo de respuesta de 1 hora.
d. Para los incidentes que ocurran despues de las horas normales de trabajo se aceptara un tiempo
de respuesta mas largo, estimandose que las acciones pueden comenzar dentro de un tiempo de
respuesta de 2 a 3 horas. Siempre tomando en cuenta que el personal de TI ya esta en el sitio
alterno y que las condiciones tecnologicas para la recuperación de los procesos es óptima.
Se detallan diferentes fases del ciclo de una crisis o contingencia:
Fase 1. Identificación y escalamiento.
Fase 2. Declaratoria.
Fase 3. Activación del plan.
Fase 4. Activación de los equipos de recuperación.
Fase 5. Regreso a la operación normal.
Si Si Si No Si Si No No Si Si No No Si Si No No Si No No No Si Si No No Si Si Si No Si No No No 3 2 2 2 1 2 3 1 2.00
5.2 Conformación de equipos:
El comité será responsable de coordinar las acciones necesarias antes, durante y después de las
operaciones de emergencia.
a. Es el encargado de tomar las acciones administrativas, relacioandas con los recursos fisicos,
humanos y economicos necesarios para la eficaz ejecución del plan.
c. Diseñar e implementar el plan de preparación para emergencias.
d. Este comité está conformado por los directivos de mayor poder de autoridad de la oranizacion.
e. Este grupo de personas en el momento de las emergencias estan identificadas con chalecos de
colores según la responsabilidad a cargo.
f. Se deben asegurar que el comite de emergencias de la organizacion este debidamente constituido,
por actividades conforme los cargos existentes, gerentes, directores o personal a cargo de las
instalaciones.
Existe un comité de administración de crisis, a quienes se les atribuyen las funciones
de :
a. Declarar el estado de crisis.
b. Tomar la decisión de declarar la contingencia.
c. Proporcionar un direccionamiento estratégico.
d. Mantener permanente comunicación con el lider ejecutivo del plan y los
respectivos líderes de los equipos.
e. Decidir el momento de retorno a la operación normal.
Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No 3 3 3 3 3 3 3 3 3.00
5.3 Plan de respuesta de emergencia:
El Comité de Emergencias, que es el encargado de llevar a cabo el trabajo de redacción e
implementación del plan, las capacitaciones, coordinaciones necesarias para el funcionamiento del
plan y que en la emergencia se convierte en el equipo asesor del Centro de Coordinación de la
Emergencia (CCO).
El comite de emergencias puede estar compuesto por el gerente general y los gerentes de las areas
criticas del negocio.
Una vez que los integrantes del CAC, toman la decisión de activar el PCN, se
deben realizar las siguientes actividades:
a. Dar seguimiento al evento.
b. Evaluar el funcionamiento del PCN.
c. Determinar si la crisis o contingencia terminó.
d. En caso de que haya una movilización al sitio alterno, el lider ejecutivo del PCN
informará a los miembros del CAC por teléfono. Esta llamada telefónica debe ser
corta y solo debe mencionar la posible contingencia.
Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No Si Si Si No 3 3 3 3 3 3 3 3 3.00
115
Práctica 6: Desarrollo e implementación de planes de Continuidad del Negocio
6.1 Estrategia de recuperación principal:
Con el objetivo de no incurrir en errores durante el proceso de respaldo y servir de guía para los
diferentes operadores que tengan bajo su responsabilidad esta función es crítica para la operación
continua y segura.
El lider de BCP tendrá la responsabilidad de comunicar a los líderes de los equipos
de recuperación, la decisión tomada y coordinar las diferentes funciones de cada
uno para empezar a trasladar la operación al centro alterno. Si Si No No Si Si No No Si Si No No Si No No No Si No No No Si No No No Si No No No Si No No No 2 2 2 1 1 1 1 1 1.38
6.2 Estrategias de recuperación implementadas para los sistemas de información, deben estar
basadas en:
a. Recuperacion de la aplicacion en el servidor de contingencia ubicado en un sitio alterno fuera de
las instalaciones principales que aloja las aplicaciones criticas.
b. Realización de respaldos utilizando medios como: servidor de contingencia y respaldo.
c. Los medios magnéticos que contienen los respaldos de información serán debidamente
protegidos contra amenazas de tipo fisico, accidental o intencional.
d. Garantizar respaldos diarios de la informacion almacenada base de datos.
e. Guardar copias de los respaldos en diferentes ubicaciones, ademas de los que se mantienen en la
organización, se trasladan a otro sitio alterno (caja de seguridad sistemática) y garantizan la
recuperación de información en caso de daños en el centro principal de procesamiento.
f. Realizacion de pruebas de recuperación de las copias de respaldo al menos una vez cada seis
meses, para garantizar el estado correcto del respaldo.
El BCP plantea procedimientos de contingencia para eventos en el área de
tecnologia, tales como:
a. Verificación del funcionamiento de equipos de comunicación del data center
primario.
b. Verificar funcionamiento de servidores.
c. Realizar otras verificaciones a otros medios del data center.
d. Reemplazar equipos de comunicación en caso de que existan daños fisicos. Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si Si No No Si No No No 1 1 1 1 1 1 2 1 1.13
6.3 Recursos criticos:
En el evento de peor caso los recursos críticos a utilizar por parte del equipo de Plan de
Continuidad de Negocios serán:
a. Comunicaciones (teléfonos, celular, radios).
b. Información relacionada con el evento de peor caso y procesos criticos.
c. Transporte (vehículos de la institución).
Los recursos disponibles contemplados en el manual de gestión de continuidad de
negocios incluyen hoteles, sucursales, centros alternos de procesamientos, hardware
disponible, entre otros. Asímismo se deben adquirir aquellos que no están
disponibles.Si No No No Si No No Si Si Si No No Si No No No Si No No No Si No No No Si No No No Si Si No No 1 2 2 1 1 1 1 2 1.38
116
Práctica 7: Conciencia y Capacitación
7.1 Establecer objetivos y componentes de la conciencia BCM corporativo y programa de
formación:
a. Desarrollar programación de acciones formativas concretas en los entornos de dirección y
supervisión; ejecución y operación; orientadas a brindar a los responsables del plan, herramientas de
medición y control sobre el mismo.
b. Los responsables deben ser adecuadamente formados y estar conscientes acerca de los
diferentes conceptos que contempla la continuidad de negocio (riesgos, medidas preventivas,
deteccion temprana de incidencias, etc).
c. Creación de manuales y protocolos que expliquen a detalle las acciones que se deben tomar en
circunstancias que se amerite la implementación del plan de continuidad.
d. Extender los programas de formación a proveedores o en general terceros con los que la
organización mantiene relaciones comerciales.
e. Orientación para nuevos empleados y empleados actuales del programa de actualizacion.
Las capacitaciones que impulsadora de créditos realiza está orientada a instruir al
personal de la compañía para que estén informados acerca de como actuar frente a
una contingencia, pero en mayor detalle dirigidas al personal directamente
involucrado en la recuperación de los procedimientos criticos de la Institución.
El manual de gestión de continuidad de negocios es el documento disponible de
consulta sobre el plan de continuidad de negocios no existe una guia detallada por
tipo de eventualidad. Si Si No No Si No No No Si Si No No Si No No No Si No No No Si No No No Si Si No No Si No No No 2 1 2 1 1 1 2 1 1.38
7.2 Desarrollar y ofrecer diversos tipos de programas de capacitación:
Basados en computadoras, pruebas basadas en guías de instrucciones y plantillas.
La planificación de pruebas ante la ocurrencia de una contingencia severa se realiza
cada 12 meses, las actividades están relacionadas con: ejercicio de notificación de
emergencia, ejercicio de ubicación, ejercicio de respaldo y ejercicio de simulación.Si No No No Si No No No Si Si No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 2 1 1 1 1 1 1.13
7.3 Identificar otras Oportunidades para la educación:
a. Conferencias con profesionales de negocios y seminarios de planificación de la continuidad.
b. Publicaciones y sistios relacionados con el internet.
c. Desarrollo de sesiones formativas con los colaboradores y los directores claves de la
a- No hay informacion acerca de la realizacion de seminarios o conferencias acerca
de continuidad.
b- En el manual de gestion de continuidad de negocios no se aborda como la
empresa realiza sus publicaciones acerca de temas de ccontinuidad de negocios y
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si Si No No Si No No No 1 1 1 1 1 1 2 1 1.13
7.4 Adquirir o desarrollar el conocimiento y las herramientas de formación:
a. La organización debe planificar las pruebas, su duración y alcance, los participantes (incluidos
proveedores de servicios).
b. Las pruebas deben simular situaciones proximas a la realidad.
c. Cada cierto periodo de tiempo (predefinido por la organización) se debe de reevaluar los riesgos
asociados a la organización.
d. Sensibilizacion de la cultura organizacional, flexibilizando la respuesta del talento humano
involucrado en los procesos y servicios de TI.
e. Alineación de los equipos funcionales y gerenciales identificado dentro de los planes de
continuidad de negocio y recuperación de desastres.
f. Flujo de notificación, comunicación y activación de los planes.
g. Disponibilidad, conectividad y adecuación del centro de cómputo alterno.
h. Verificación de los procesos de operación y control en contingencias.
i. Recuperación de sistemas de información, plataformas, equipos etc.
Plan de pruebas del Plan de Continuidad de Negocio, los que incluye caida de
enlace principal, falla de energia comercial, caida de sistemas.
Si No No No Si No No No Si Si No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 2 1 1 1 1 1 1.13
117
Práctica 8: Mantenimiento y ejercicio de los Planes de Continuidad del Negocio
8.1 Preplanificar y coordinar los ejercicios de los planes de continuidad del negocio:
a. Establecer un programa de ejercicio, desarrollando una estrategia que no ponga en riesgo la
organización, que sea práctica, rentable y adecuada a la organización.
b. Determinar los requisitos de ejercicio a traves de la definicion de los objetivos y establecer los
niveles aceptables de exito.
c. Establecer y documentar el alcance del ejercicio con evidencia de quienes serán los participantes
y los horarios en los que se ejecutarán los ejercicios.
d. Desarrollar escenarios realistas, es decir, crear escenarios de ejercicio a la aproximación de los
tipos de incidentes de la organización.
e. Establecer criterios de ejercicio de evaluación y conclusiones del documento desarrollando
criterios alineados con los objetivos del ejercicio y el alcance.
Plan de pruebas del Plan de Continuidad de Negocio.
Si No No No Si No No No Si Si No No Si Si No No Si No No No Si No No No Si No No No Si No No No 1 1 2 2 1 1 1 1 1.25
8.2 Facilitar los ejercicios definidos:
Preparar un plan de ejercicio de control e informes, definiendo los objetivos del ejercicio y
seleccionando el escenario adecuado; adicionalmente, se debe definir y describir las limitaciones de
los supuestos y determinar los recursos necesarios para llevar a cabo el ejercicio, identificar a los
participantes, asegurar que todos entiendan los objetivos y sus funciones.
Plan de pruebas del Plan de Continuidad de Negocio.
Si No No No Si Si No No Si Si No No Si Si No No Si No No No Si No No No Si No No No Si No No No 1 2 2 2 1 1 1 1 1.38
8.3 Evaluar y documentar los resultados:
a. Documentar los resultados según los criterios identificados esperados en comparación con los
resultados reales y resultados inesperados.
b. Crear un programa de ejercicio, desarrollando un programa gradual y acumulativo estableciendo
escalas de tiempo realistas.
No se especifica como lo hacen.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
8.4 Emitir un informe de resultados y/o evaluación de gestión:
a. Proporcionar un resumen convincente y completo con las recomendaciones, en consonancia con
los niveles de confidencialidad solicitado por el ejercicio árbitro / juez o según lo especificado por la
organización objeto.
b. Retroalimentacion y seguimiento de las acciones resultantes del ejercicio.
No se especifica como lo hacen.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
8.5 Actualizar el plan de mantenimiento y coordinar los planes de mantenimiento en curso:
a. Definir un plan de mantenimiento y un programa que incluya la definición de la propiedad de los
datos del plan.
b. Preparar los programas de mantenimiento y procedimientos de revisión.
c. Seleccionar herramientas.
d. Establecer proceso de actualización.
d. Auditoría y control.
Aun no definido.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
8.6 Ayudar a establecer el Programa de Auditoría para el Plan de Continuidad del Negocio:
a. Recomendar y acordar los objetivos de BCM (Gestión de la Continuidad del Negocio)
relacionados con las auditorías.
b. Evaluar la adecuación de las disposiciones y procedimientos de emergencia.
c. Recomendar las posiciones de mejora si existen deficiencias.
Aun no definido.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
118
Práctica 9: Relaciones Publicas y Coordinación de crisis
9.1 Identificar y Desarrollar un Programa de Comunicación de Crisis proactiva a nivel interno,
unidad organizacional y de negocios, con grupos externos:
Clientes, proveedores, proveedores y público, y agencias externas: local, estatal, nacional, los
servicios de emergencia, reguladores, etc., y principalmente con los medios de comunicación:
prensa, radio, televisión, Internet.
Mensaje de comunicación externa e interna.
Si No No No Si Si No No Si Si No No Si Si No No Si No No No Si No No No Si Si No No Si No No No 1 2 2 2 1 1 2 1 1.50
9.2 Establecer Planes de Comunicación de Crisis con agencias externas y desarrollar los
procedimientos o herramientas para gestionar las relaciones con múltiples agencias en
su caso:
Tales como:
a. Servicios de emergencia.
b. Autoridades de defensa civil.
c. Oficinas de meteorología.
d. Otras agencias gubernamentales.
Se encuentra parcialmente definido.
Si No No No Si No No No Si Si No No Si Si No No Si No No No Si No No No Si Si No No Si No No No 1 1 2 2 1 1 2 1 1.38
9.3 Elaborar planes de comunicación con actores internos y externos para asegurar que se
mantengan informados de los procedimientos para gestionar las relaciones con las partes
interesadas:
Tales como:
a. Los propietarios accionistas.
b. Los empleados y sus familias.
c. Los clientes claves.
d. Los proveedores claves.
e. Gestión organizacional.
f. Otros interesados.
El area de comunicación y orientación al personal deberá comunicar a los
colaboradores la información relacionada con la contingencia, pudiendo incluir, el
estado de la contingencia, medidas de seguridad y detalles sobre la atención que les
podrá brindar para salvaguardar sus vidas y la de sus familiares.
Si No No No Si No No No Si No No No Si Si No No Si No No No Si No No No Si Si No No Si No No No 1 1 1 2 1 1 2 1 1.25
9.4 Desarrollar Planes de Comunicación de Crisis con los medios de comunicación sobre los
procedimientos o herramientas para gestionar las relaciones con los medios de
comunicación:
Impresos (periódicos, revistas, etc), Radio, Televisión, Internet.
Mensaje de comunicación externa, comunicados de prensa, fax, página web.
Si No No No Si Si No No Si Si No No Si Si No No Si No No No Si No No No Si Si No No Si No No No 1 2 2 2 1 1 2 1 1.50
9.5 Desarrollar y coordinar ejercicios para la elaboración de Planes de Comunicación de
Crisis:
Ejercicios de comunicación de crisis, interrogar e informar sobre los resultados del ejercicio,
incluyendo los planes de acción para las revisiones.
No se contempla en el plan de gestión de continuidad.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
9.6 Desarrollar y coordinar con el Equipo de Gestión de incidentes:
Evaluación de las reacciones ante tal incidente, una vez terminadas las actividades de recuperación,
tanto internamente como por parte de los medios de comunicación.
En el manual de gestión de continuidad de negocios de la organización el CAC
(comité de administración de crisis), será el responsable de decidir cuales de los
equipos de recuperación existentes serán activados según la naturaleza especifica de
la situación de crisis.
Si No No No Si No No No Si No No No Si Si No No Si No No No Si No No No Si Si No No Si No No No 1 1 1 2 1 1 2 1 1.25
Práctica 10: Coordinación con organismos externos
10.1 Coordinación con organismos externos:
a. Identificar y establecer procedimientos de coordinación para el Manejo de Emergencias.
b. Coordinar la gestión de negocios de emergencia con las agencias externa
c. Mantener el conocimiento actual de las leyes y reglamentos relativos a manejo de emergencias en
lo que respecta a su propia organización.
No se encuentra especificado el procedimiento el manual de gestion de continuidad
de negocio.
Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
10.2 Actitudes para coordinar:
Reunir e identificar las fuentes de información sobre leyes y reglamentos aplicables
(recuperación de desastres, la limpieza del medio ambiente, la reanudación de negocios, etc) y
determinar su impacto en la propia organización y / o de la industria.
No se encuentra especificado el procedimiento el manual de gestion de continuidad
de negocio.Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00
10.3 Conformación de grupos y sus funciones:
Comite de emergencia: Este Comité es conformado por funcionarios de la alta gerencia y será
responsable de coordinar las acciones necesarias antes, durante y después de las operaciones de
emergencia.
Miembros del comite del plan de recuperación y contingencia ante Desastres.
Si No No No Si No No No Si Si No No Si Si No No Si No No No Si No No No Si No No No Si No No No 1 1 2 2 1 1 1 1 1.25
10.4 Brigada de emergencias:
La brigada de emergencias estará igualmente conformada por personas distribuidas
estratégicamente en la sede y buscará igualmente garantizar cobertura a cualquier hora dentro de la
jornada laboral.
No se encuentra especificado el procedimiento el manual de gestión de continuidad
de negocio.Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No Si No No No 1 1 1 1 1 1 1 1 1.00