Maestrí ón) Aná ón del plan de continuidad de negocio...
Transcript of Maestrí ón) Aná ón del plan de continuidad de negocio...
-
1
Maestría en Auditoría y Administración de Riesgos Empresariales (MARE I Edición)
Análisis y evaluación del plan de continuidad de negocio (BCP) de la empresa
“Impulsadora de Créditos, S.A” durante el período 2015 – 2016.
Investigación para optar al título de Master en Auditoría y Administración de Riesgos
Empresariales.
Maestrantes:
Lic. Alba Nubia Muñoz Vanegas
Lic. Eduardo José Llanes Leytón
Managua, Nicaragua
Agosto, 2017
-
2
DEDICATORIA Y AGRADECIMIENTOS
1- A nuestras familias por el apoyo que me brindaron para el cumplimiento de esta meta.
2- Agradecemos al gerente general de la empresa cuyo seudónimo es “Impulsadora de
créditos S.A” por permitirnos realizar la presente investigación basado en su plan de
continuidad de negocios y por la colaboración del personal en las entrevistas
efectuadas. Así mismo queremos agradecer a nuestro tutor Edgar Celedón por el
acompañamiento técnico brindado durante todo el proceso de elaboración de nuestro
trabajo de investigación.
-
3
TABLA DE CONTENIDOS:
DEDICATORIA Y AGRADECIMIENTOS ...................................................................................................................... 2
TABLA DE CONTENIDOS: ........................................................................................................................................ 3
RESUMEN EJECUTIVO: ............................................................................................................................................ 6
2. TEMA DE INVESTIGACIÓN: ............................................................................................................................... 11
2.1. FORMULACIÓN DEL PROBLEMA, PREGUNTA DE INVESTIGACIÓN. ....................................................................................... 11
2.2 SÍNTOMAS: ............................................................................................................................................................ 11
2.3. LAS CAUSAS. ......................................................................................................................................................... 11
2.4 PRONÓSTICO. ......................................................................................................................................................... 12
2.5 CONTROL DE PRONÓSTICO ........................................................................................................................................ 12
2.6 SISTEMATIZACIÓN DEL PROBLEMA .............................................................................................................................. 12
2.7 Objetivos ....................................................................................................................................................... 13
Objetivo General:................................................................................................................................................. 13
Objetivos Específicos: .......................................................................................................................................... 13
2.8 JUSTIFICACIÓN DE LA INVESTIGACIÓN .......................................................................................................................... 14
3. MARCO TEORICO Y REFERENCIAL ..................................................................................................................... 15
3.1. CONCEPTOS RELACIONADOS A LA CONTINUIDAD DEL NEGOCIO ....................................................................................... 15
3.2. PRACTICAS BCP DEL DRII (DISASTER RECOVERY INTERNATIONAL INSTITUTE). ............................................................. 19
3.3. ELEMENTOS Y PRINCIPIOS BÁSICOS PARA LA GESTIÓN EFECTIVA DE LA CONTINUIDAD DEL NEGOCIO SEGÚN LA SUPERINTENDENCIA
DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS (SIBOIF). ................................................................................................ 21
3.4. .MARCO REFERENCIAL PARA LA PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO. .............................................................. 27
3.6 EVALUACIÓN DE MADUREZ EN CONTINUIDAD DE NEGOCIO............................................................................................... 28
4. INSTRUMENTO DE INVESTIGACION: ................................................................................................................ 30
5. CAPITULOS: ................................................................................................................................................... 31
-
4
5.1 CAPITULO I: EVALUAR SI EL PLAN DE CONTINUIDAD DE NEGOCIOS DE LA EMPRESA “IMPULSADORA DE CRÉDITOS, S.A” INCORPORA
LAS PRÁCTICAS DEL DRII (DISASTER RECOVERY INTERNATIONAL INSTITUTE), PARA MITIGAR LOS RIESGOS DE INTERRUPCIÓN DEL
NEGOCIO ..................................................................................................................................................................... 31
Practica I: Inicio y gerencia del proyecto. ............................................................................................................ 34
Práctica II: Evaluación de Riesgos........................................................................................................................ 39
Práctica III: Análisis de impacto al negocio: ........................................................................................................ 44
Práctica IV: Desarrollo de Estrategias de Continuidad del Negocio .................................................................... 47
Práctica V: Respuesta de emergencia y operaciones .......................................................................................... 50
Práctica VI: Desarrollo e implementación de planes de continuidad de negocio. ............................................... 52
Práctica VII: Conciencia y capacitación: .............................................................................................................. 54
Practica VIII: Mantenimiento y ejercicios de los planes de continuidad de negocios. ......................................... 58
Practica IX: Relaciones publicas y coordinación de crisis. .................................................................................... 61
Practica X: Coordinación con organismos externos. ............................................................................................ 64
5.1.1 RECOMENDACIONES: .................................................................................................................................. 65
5.2. CAPITULO II: CALIFICACIÓN DEL PLAN DE CONTINUIDAD DE NEGOCIOS DE LA EMPRESA IMPULSADORA DE
CRÉDITOS, S.A DE ACUERDO AL MODELO DE MADUREZ DE LAS MEJORES PRÁCTICAS EN PLANES DE
CONTINUIDAD DE NEGOCIOS. .............................................................................................................................. 71
INTRODUCCIÓN Y OBJETIVOS: .......................................................................................................................................... 71
DESARROLLO: .............................................................................................................................................................. 72
1- Niveles de Madurez: ........................................................................................................................................ 74
2- Competencias Corporativas: ........................................................................................................................... 75
Evaluación de las prácticas del DRII de acuerdo a las competencias corporativas: ............................................ 75
6. .......................................................................................................................................................................... 80
RESULTADOS: ....................................................................................................................................................... 80
-
5
7. CONCLUSIONES: ............................................................................................................................................... 90
8. BIBLIOGRAFIA. .................................................................................................................................................. 94
9. ANEXOS: ........................................................................................................................................................... 96
9.1 CUESTIONARIOS: ................................................................................................................................................ 96
-
6
Resumen Ejecutivo:
El presente estudio consiste en realizar un análisis y evaluación del plan de continuidad
de negocios de la empresa “Impulsadora de créditos, S.A”.
El objetivo principal es determinar si el plan de continuidad de negocios de la empresa
“Impulsadora de Créditos, S.A”, se ajusta a mejores prácticas internacionales.
Para efectuar la evaluación del plan se utilizaron las diez prácticas recomendadas por el
DRII (Disaster Recovery International Institute) en planes de continuidad de negocios y
para determinar el nivel de madurez del plan se utilizó el modelo de madurez “Business
continuity maturity model – BCMM”, este modelo fue desarrollado por virtual corporation
Inc, para medir objetiva y consistentemente el estado de preparación para afrontar
contingencias de una organización.
Sin embargo, el proceso de evaluación y las métricas de calificación es la propuesta que
se pretende proporcionar a través de esta investigación.
Para lograr el objetivo de la investigación se recopiló información por medio del gerente
general, quien nos proporcionó el documento oficial utilizado en la empresa “Manual de
gestión de continuidad de negocios”.
También, se efectuaron entrevistas a los principales ejecutivos y que tienen un rol activo
dentro del manual de gestión de continuidad de negocios.
La investigación está compuesta por dos capítulos. En el primer capítulo se aborda la
evaluación del plan de continuidad de negocios de la empresa “Impulsadora de créditos,
S.A” mediante una comparación entre las prácticas y las actividades recomendadas por
el DRII (Disaster Recovery International Institute) versus el manual de gestión de
continuidad de negocios de la empresa. Mediante esta comparativa se identificará si el
manual de la empresa cuenta con todas las actividades para mitigar los riesgos de
interrupción del negocio.
En el segundo capítulo se detallan los resultados de la calificación del plan de
continuidad de negocios de la empresa “Impulsadora de créditos, S.A”, para ello se
-
7
propone evaluar primeramente las ocho competencias que recomienda el modelo de
madurez (liderazgo, concientización, estructura del BCP, grado de penetrabilidad,
métricas definidas, compromisos de recursos, coordinación externa, contenido del BCP)
por cada actividad de las prácticas recomendadas por el DRII (Disaster Recovery
International Institute), pero adaptadas al contexto de la empresa “Impulsadora de
créditos, S.A”.
El índice de medición de las competencias se determinó primeramente definiendo las
características que debe cumplir cada competencia, las que se extrajeron del marco
conceptual.
Posteriormente se establecieron preguntas que a nuestro criterio definen
cualitativamente las características de cada una de las competencias, luego a estas
características se les asignaron valores para calificar cuantitativamente cada una de las
competencias.
Con base en los resultados, se determinó el nivel de madurez global del plan de
continuidad de negocios de la empresa.
El resultado de la calificación ubica en el nivel de madurez “1” al plan de continuidad de
negocios de “Impulsadora de créditos S.A”.
El nivel 1 o nivel Autogobernado, según el modelo “Business continuity maturity model –
BCMM “, significa que el estado de preparación de la empresa es bajo con relación a las
practicas del modelo DRII, sin embargo el plan responde parcialmente a eventos de
interrupción cuando ocurren.
INTRODUCCION
“La continuidad del negocio (conocida en inglés como Business Continuity), es la
capacidad de una organización para continuar con la entrega de sus productos o
servicios después de una interrupción a un nivel predefinido aceptable. La planificación
de la continuidad del negocio (BCP) trata de evitar la interrupción de los servicios de
misión crítica y reestablecer el pleno funcionamiento de la forma más rápida y fácil que
-
8
sea posible.”1
La presente tesis es una investigación que tiene por objetivo realizar un análisis y
evaluación del plan de continuidad de negocios de la empresa “Impulsadora de créditos,
S.A” conforme a las mejores prácticas internacionales sobre planes de continuidad de
negocios.
Para realizar nuestra evaluación tomaremos como referencia las practicas del DRII
(Disaster Recovery International Institute) sobre continuidad de negocios. El período de
la evaluación comprende los años 2015- 2016.
Sin embargo, no excluimos el hecho de considerar estándares, leyes y regulaciones
sobre plan de continuidad de negocio, que por las características o giro principal del
negocio se encuentra sujeta la entidad objeto de investigación.
Impulsadora de créditos, S.A, es una entidad financiera regulada por la
Superintendencia de Bancos y otras Instituciones financieras de Nicaragua, que ofrece
productos y servicios financieros como otorgamiento de créditos al sector urbano y rural.
En el año 2015 iniciaron la elaboración del manual de gestión de continuidad de negocio
y en el año 2016 fue autorizado como documento oficial de la entidad, dirigido a
mantener la operatividad del negocio ante catástrofes naturales, caídas de sistemas,
etc.
Las normas utilizadas por la empresa para la creación del manual de gestión de
continuidad de negocios fueron las de riesgo tecnológico y riesgo operacional, así como
el estándar internacional ISO 22301.
1 International Glossary for resiliency, Chloe Demrovsky.
-
9
El estándar ISO 22301 especifica los requisitos para la creación y gestión de un sistema
de continuidad de negocio (SGCN) efectivo, el cual hace énfasis en la importancia de:
a. Entender las necesidades de la organización y la necesidad de establecer una
necesidad de gestión de continuidad de negocio, sus objetivos y políticas.
b. Implementar y operar los controles y medidas para administrar la capacidad
general de una organización en responder a incidentes.
c. Hacer el seguimiento y revisión de la eficacia del SGCN.
d. Mejorar continuamente basado en mediciones objetivas.
El procedimiento de evaluación realizado se desarrolla en una matriz comparativa de
información donde se detallan las recomendaciones idóneas del DRII por cada práctica
o etapa que debe contener todo manual de continuidad de negocio versus las
consideraciones utilizadas por la empresa Impulsadora de créditos, S.A. para la
elaboración de su manual.
Para determinar la suficiencia del manual de continuidad de negocios de la empresa
Impulsadora de créditos, S.A, se utilizará los niveles de madurez de “Business continuity
maturity model – BCMM “ de 1 a 6, en donde “1” significa que el nivel de la empresa es
autogobernado, es decir, el estado de preparación es bajo y la empresa reacciona a
eventos de interrupción cuando ocurren; y “6” existe sinergia, lo que significa que se ha
formulado y probado satisfactoriamente estrategias sofisticadas de protección del
negocio. Los métodos de control de cambios y mejora continua de procesos mantienen
a la organización en un nivel alto de preparación.
Según la revista de investigación de sistemas e informática, el modelo de madurez de
Continuidad del Negocio (Business Continuity Maturity Model – BCMM®) fue publicado
originalmente en el 2003 por Virtual Corporation, para dirigir a la organización a que
-
10
sean capaces de evaluar y mejorar su programa de continuidad del negocio, como un
mecanismo de medición de la efectividad del mismo.
De acuerdo a los resultados obtenidos se pretende realizar recomendaciones en caso
que existan brechas u oportunidades de mejora.
-
11
2. Tema de Investigación:
Análisis y evaluación del plan de continuidad de negocio (BCP) de la empresa
“Impulsadora de Créditos, S.A” durante el período 2015 – 2016.
2.1. Formulación del problema, pregunta de investigación.
¿Qué metodología se requiere para evaluar el plan de continuidad de negocio de la
empresa “Impulsadora de créditos, S.A”?
2.2 Síntomas:
No existe una metodología en Nicaragua para evaluar un plan de continuidad de
negocio que esté alineado a las mejores prácticas en esta materia, que permitan evaluar
e identificar actividades de mejora con base en las estrategias y necesidades de la
Organización.
2.3. Las causas.
a. Poco conocimiento sobre el tema de planes de continuidad de
negocio.
b. No se conoce en nuestro país acerca de una metodología que sea
utilizada para la revisión de los planes de continuidad de negocio.
c. Existen pocas empresas en Nicaragua que cuentan con un plan de
continuidad de negocio.
-
12
2.4 Pronóstico.
Un plan de continuidad de negocios inadecuado, pone en riesgo los procesos de
negocio de la empresa. Por otro lado, se produce un incumplimiento de la estrategia
organizacional, al realizar la planificación operativa sin tomar en cuenta los escenarios
adversos que pueden ser identificados producto de un adecuado proceso en la
elaboración del plan de continuidad de negocios.
2.5 Control de Pronóstico
Es necesario que las empresas que tengan planes de continuidad de negocio, se les
efectúe una revisión con el objetivo de identificar y asegurar que dichos planes sean
adecuados y suficientes para mantener la operatividad del negocio ante situaciones de
fenómenos naturales, sociales, etc.
En dicha revisión, se debe utilizar como principal marco de referencia el plan de
continuidad de negocios de la empresa; las normativas bajo las cuales fue creado el
manual, las mejores prácticas y estándares internacionales que apliquen.
2.6 Sistematización del problema
¿La empresa ha identificado cuales son las áreas y procesos críticos?
¿La empresa ha evaluado los riesgos de negocio en el plan de continuidad de negocio?
¿Bajo qué marcos de referencia deberá estar sustentado el plan de continuidad de
negocio?
-
13
¿Posee la empresa recursos financieros para la realización del plan de continuidad de
negocio y su cumplimiento?
¿Qué información se debe solicitar a la alta gerencia y a las áreas de la empresa
involucradas en la realización del plan de continuidad de negocio?
¿Qué aspectos deben sustentar los resultados de la evaluación del plan de continuidad
de negocios?
2.7 Objetivos
Objetivo General:
Determinar si el plan de continuidad de negocio de la empresa “Impulsadora de
Créditos, S.A”, se ajusta a mejores prácticas internacionales en cuanto a planes de
continuidad de negocios.
Objetivos Específicos:
1- Evaluar si el plan de continuidad de negocios de la empresa “ Impulsadora de
créditos S.A” cumple con las practicas del DRII ( Disaster Recovery International
Institute) para mantener la operatividad del negocio ante catástrofes naturales y casos
fortuitos.
-
14
2- Identificar si las áreas críticas de la empresa “Impulsadora de créditos S.A”, están
contempladas en el plan de continuidad de negocios.
3- Obtener una calificación respecto al cumplimiento de la gestión del plan de
continuidad de negocios, para ello se utilizará el modelo de madurez de continuidad de
negocio (Business Continuity Maturity Model – BCMM)
2.8 Justificación de la Investigación
En muchas ocasiones la alta dirección de las organizaciones no han evaluado los
riesgos a los cuales están expuestas, y que pueden comprometer la operación de la
misma; interrumpiendo el negocio en marcha.
El mayor riesgo al que están expuestas las organizaciones es a que la operatividad se
paralice por motivos de catástrofes naturales, fenómenos sociales, caídas de sistemas,
casos fortuitos, etc. Ante esta premisa, es de vital importancia que las organizaciones
cuenten con un plan de continuidad de negocio, con el objetivo de estar preparados y
saber de qué manera actuar ante una eventualidad.
La información, después del recurso humano, es el activo más importante para una
empresa, y su protección a través de un plan de continuidad permite que se minimice el
riesgo de que la operatividad del negocio cese a pesar de cualquier eventualidad que
pueda acontecer, de ahí esa necesidad de un mayor control y métodos de evaluación
continua.
Las evaluaciones a los planes de contingencia de una organización se pueden realizar
considerando las mejores prácticas existentes y estándares internacionales, con el
objetivo de brindar a la alta gerencia de las organizaciones un instrumento de control de
tipo preventivo que facilite la corrección oportuna de los planes de continuidad existente
antes que se materialice un evento. (Garcia, 1999)
-
15
El tema de investigación es de tipo descriptivo, se pretende indagar mediante la
observación, información bibliográfica sobre el tema y entrevistas de campo a los
principales responsables de la gestión de continuidad de negocios de la empresa objeto
de evaluación.
Considerando los estándares internacionales, normativas nacionales, mejores prácticas
y como profesionales en auditoría y administradores de riesgos, pretendemos aportar
un documento que contenga información que sea utilizada para realizar una evaluación
del plan de continuidad de negocios de una organización financiera y consideramos que
también, a futuro realizando algunas modificaciones, puede ser utilizada para evaluar a
otras organizaciones sin importar el giro del negocio.
Por otro lado, este trabajo quedaría como un documento de apoyo y consulta para los
futuros profesionales que investiguen respecto de este tema.
3. MARCO TEORICO Y REFERENCIAL
3.1. Conceptos Relacionados a la continuidad del Negocio
Un plan de continuidad del negocio (Business Continuity Plan, BCP) se puede definir
como la identificación y protección de los procesos y recursos del negocio considerados
críticos para sostener un desempeño aceptable, mediante la identificación de
potenciales amenazas, la definición de estrategias para su eliminación, minimización o
delegación y la preparación de procedimientos para asegurar la subsistencia de los
mismos al momento de concretar dichas amenazas. (Espiñeira, 2008)
Según Espiñeira, usualmente los planes de contingencia se organizan identificando las
causas de posibles interrupciones, o las más probables, y a partir de ellas referenciar los
procesos o acciones a seguir en caso de que las mismas se registren. Por ejemplo en
-
16
caso de incendio, se hace una referencia para ejecutar el proceso “Respuesta ante
incendios”, etc. esta modalidad tiene dos problemas muy importantes:
a. Es imposible poder prever todos los sucesos que puedan causar interrupciones
en la operatividad de una organización, por lo cual, pese al esfuerzo que se
realice en este sentido, seguramente se registraría una situación no prevista para
la cual, por ende, no se definió una respuesta, derivando en que el plan no sería
siempre eficaz.
b. En caso de registrarse una contingencia, es probable que se sucedan varios
incidentes a la vez (efecto cascada). Por lo anterior, esta organización y
utilización de los planes de contingencia no resulta adecuada, ya que en el mejor
de los casos es parcial.
Esta experiencia ha permitido desarrollar otro enfoque aplicado exitosamente: Una vez
identificado los procesos críticos de una organización, se debe identificar los recursos
críticos, de todo tipo, que se requieren para llevar adelante dichos procesos, lo cual
genera un conjunto de elementos finitos, sobre el cual definir el conjunto de posibles
causas de contingencias.
“Contingencia”, es toda situación en la que se interrumpa la operatividad habitual de la
organización, o se comprometa fuertemente el nivel de la misma por más tiempo del
definido como admisible (ventaja de tolerancia), no pudiéndose solucionar dicha
situación aplicando los procedimientos habituales.2
Esta definición de contingencia y el concepto de escenarios permiten a las
organizaciones resolver dos problemas prácticos fundamentales:
a. Lograr una solución de continuidad que garantice un nivel de recuperación
determinado independientemente de lo que haya sucedido.
b. Brindar una guía clara y concreta de cuando se debe activar el plan.
El desarrollo de una solución de continuidad, debe ser tratado de manera prioritaria y
desarrollado a corto plazo, considerando la necesidad de responder eficientemente ante 2 Boletín de asesoría gerencial PWC.
-
17
determinados eventos y el cumplimiento ante la publicación de normas por parte de
entes reguladores.
Al desarrollar un BCP, la organización debe participar en todos sus niveles y contar con
una herramienta que permita documentar y dar mantenimiento a los planes
desarrollados de manera flexible, práctica y segura.
Así mismo, es necesario que las empresas consideren una metodología para el
desarrollo de sus planes preventivos y planes de continuidad que permita dar resultados
tangibles y eficientes en el corto plazo.
Expertos en el tema de planes de continuidad del negocio como Alejandro Villarán
Vázquez E&Y Technology&security Risk Services (TSRS), definen a este como un
conjunto de tareas que permite a las organizaciones continuar su actividad en la
situación de que un evento afecte sus operaciones.
Este experto propone una metodología de plan de continuidad que incluya ciertos
objetivos cuyos resultados logran una evaluación coherente de los resultados del plan.
Dentro de estos objetivos se incluyen los siguientes:
a. Obtener una imagen clara y detallada de los procesos de negocio de la entidad,
determinando sus criticidades, interdependencias y riesgos.
b. Determinar las necesidades críticas para permitir un grado de operatividad en
línea con la estrategia definida.
c. Desarrollar una solución cuya relación coste - beneficio cumpla los requisitos y
expectativas de la entidad.
d. Prever y documentar las acciones necesarias para restaurar la actividad.
Como plan de contingencia propone que es necesario que las empresas cuenten con un
comité de crisis, constituido formalmente y un plan de recuperación ante desastres.
La definición de plan según la teoría y las opiniones de los expertos coinciden en la
necesidad que deben considerar las organizaciones e incorporar dentro de sus planes
de continuidad del negocio las posibles contingencias a las que puedan enfrentarse, así
mismo desarrollar medidas de recuperación eficaces que incidan en su operatividad y
existencia.
-
18
Por ende los riesgos por catástrofes naturales deben incluirse en los planes de
continuidad de las empresas y darles el tratamiento adecuado para contrarrestar los
efectos negativos que puedan generar.
Continuidad de negocio: Es la capacidad estratégica y táctica de la organización para
planificar y responder a incidentes o interrupciones del negocio con el fin de continuar
las operaciones del negocio en un nivel de tiempo predefinido aceptable3.
Gestión de la continuidad del negocio (BCM): Es un proceso de gestión holístico que
identifica las amenazas potenciales a una organización y los impactos a las operaciones
del negocio que esas amenazas, que en caso de materializarse, podrían causar; y que
proporciona una estructura para construir resiliencia organizacional con capacidad para
una respuesta efectiva que salvaguarde los intereses de sus grupos claves de interés,
su reputación, marca y actividades de valor agregado.4
Resiliencia Organizacional: Capacidad de las organizaciones para sobreponerse ante
cualquier adversidad del mercado o crisis económicas, sin comprometer elementos
característicos de su identidad corporativa.5
Análisis de impacto al negocio (BIA):Es el proceso de análisis de las funciones del
negocio y el efecto que una interrupción del negocio podría tener sobre ellas.6
3 International Glossary for Resiliency.
4 Iso 22301
5 International Glossary for Resiliency
6 Oficina de tecnologias de informacion.
-
19
Actividades críticas: Son aquellas actividades que deberán realizarse para garantizar el
despacho de los productos y servicios claves que le permitan a la organización cumplir
con sus más importantes objetivos. (Quevedo, 2012)
Estrategia de continuidad de negocio: Enfoque de una organización que le asegurará su
recuperación y continuidad ante el enfrentamiento de un desastre u otro tipo de
incidente o interrupción del negocio. (Quevedo, 2012)
ISO 22301:El nuevo estándar ISO 22301:2012 tiene por nombre “Seguridad de la
Sociedad: Sistemas de Continuidad del Negocio”. Este modelo aparece como producto
de una evolución de lineamientos, buenas prácticas y estándares en continuidad del
negocio.
3.2. PRACTICAS BCP DEL DRII (Disaster Recovery International Institute).
Según el Instituto DRI International, las prácticas del BCP (Business Continuity Plan)
relacionadas con la gestión de la continuidad de negocios son las siguientes:
Práctica 1: Inicio y Gerencia del Proyecto
Está práctica se refiere a la gerencia del proyecto que como resultado entregará un
Programa de Gestión de Continuidad del Negocio, en esta se busca resaltar la
importancia de determinar las fases del proyecto, los responsables, las
responsabilidades, el alcance y el compromiso por la alta dirección con el mismo.
Práctica 2: Evaluación de Riesgos
Está práctica se refiere a la importancia de determinar los hechos y el entorno ambiental
que pueden afectar negativamente a la organización y sus instalaciones con una
interrupción, así como los desastres, los eventos que pueden causar tales daños, y los
controles necesarios para evitar o minimizar los efectos de la pérdida potencial.
Proporcionar análisis costo - beneficio para justificar la inversión en los controles para
mitigar los riesgos.
-
20
Práctica 3: Análisis de Impacto al Negocio.
El Análisis de Impacto sobre el negocio (BIA) es el aspecto básico a considerar en el
desarrollo de un plan de recuperación ante desastres (DRP), en principio dará
continuidad a las actividades críticas y posteriormente al resto, si es posible.
El nivel de criticidad de una actividad dentro de la compañía se mide en función de lo
dependiente de ella, que es la organización y de lo que repercutiría su indisponibilidad.
En términos económicos esta valoración sería responder a la pregunta de cuánto
perdería la organización si la actividad o proceso no estuviera disponible.
Práctica 4: Desarrollo de Estrategias de Continuidad del Negocio
El Desarrollo de Estrategias de Continuidad del Negocio es el ejercicio de determinar
con base en los riesgos y los impactos identificados, las mejores alternativas para
garantizar la operación y control en contingencia de la organización y con esto su
sostenibilidad a través del tiempo.
Práctica 5: Respuesta de Emergencia y Operaciones
Consiste en el diseño e implementación de procedimientos de reacción y control de la
situación una vez ocurrido el impacto de una de las amenazas, comunicación a las
partes interesadas.
Práctica 6: Desarrollo e implementación de planes de Continuidad del Negocio.
Dentro de esta práctica podemos considerar importante las estrategias de recuperación
de la información que no es más que el proceso en el que la organización debe asegurar
el respaldo de la información crítica para la operación de los sistemas de información.
Práctica 7: Conciencia y Capacitación
Con esta práctica se debe preparar un programa para crear y mantener la conciencia
organizacional, mejorar las habilidades necesarias para desarrollar, implementar,
mantener y ejecutar todas las iniciativas de continuidad del negocio.
Práctica 8: Mantenimiento y ejercicio de los Planes de Continuidad del Negocio.
Esta práctica considera pre-planificar y coordinar los ejercicios del plan, y evaluar y
documentar los resultados de un plan de ejercicios, desarrollar procesos para mantener
la vigencia de las capacidades de la continuidad y el Plan de Continuidad de Procesos
-
21
del negocio (BCP por sus siglas en inglés) de acuerdo con la dirección estratégica de la
organización; adicionalmente, se debe verificar que el BCP será eficaz en comparación
con un estándar adecuado, e informar los resultados de una manera clara y concisa.
Práctica 9: Relaciones públicas y coordinación de crisis.
El objetivo de la comunicación y coordinación durante y después de una crisis, forma
parte de las actividades para la continuidad de negocio en las organizaciones, con el fin
de resolver cualquier evento inesperado que se presente y que pueda repercutir sobre
su imagen, para lo cual deben implementarse tácticas específicas de información para
encontrar una solución rápida e inmediata.
Por lo antes descrito en la estructura organizativa de las organizaciones debe existir un
área de comunicación y divulgación, que tenga claramente establecido una estrategia
de comunicación interna y externa, que ayude a recuperar el control de la situación
durante y después de la crisis.
Práctica 10: Coordinación con organismos externos.
El objetivo de la coordinación durante y después de una crisis con organismos externos
de la organización forma parte de las actividades para la continuidad de negocio, con el
objetivo de establecer procedimientos y políticas para coordinar las actividades de
respuesta, la continuidad y la restauración con las autoridades locales, al tiempo que
garantiza el cumplimiento de las leyes o regulaciones aplicables.
3.3. Elementos y principios básicos para la gestión efectiva de la
continuidad del negocio según La Superintendencia de Bancos y otras
Instituciones Financieras (SIBOIF).
En la Resolución N° CD.SIBOIF.611.1.ENE22.2010 de fecha 22 de enero de 2010.
Norma sobre gestión de riesgo operacional, establece en el Anexo los elementos y
principios básicos para la gestión efectiva de la continuidad del negocio, así como las
responsabilidades de los principales ejecutivos de la organización.
-
22
1. Elementos:
Análisis de impacto: Es el punto de partida de una gestión efectiva de continuidad del
negocio. Es el proceso dinámico de identificación de las operaciones y servicios críticos,
dependencias internas y externas claves y niveles apropiados de resistencia. Evalúa los
riesgos e impactos potenciales de varios escenarios de interrupción en las operaciones
y reputación de la institución.
Estrategia de recuperación: Establece objetivos de recuperación y prioridades basadas
en el análisis de impacto en el negocio. Entre otros aspectos, establece los objetivos
para el nivel de servicios que la institución procuraría prestar en caso de interrupción y
la infraestructura necesaria para el restablecimiento total de las operaciones del
negocio.
Planes de continuidad del negocio: Proporcionan una guía detallada para la
implementación de la estrategia de mantenimiento y recuperación. Establecen los roles
y delegan responsabilidades para el manejo de interrupciones operacionales y
proporcionan pautas claras con respecto a la sucesión de la autoridad en casos de
interrupciones que perjudiquen al personal clave. También, establecen de manera clara
la autoridad para la toma de decisiones y las circunstancias o eventos que activan el
plan de continuidad de negocios de la institución. La seguridad del personal debe ser la
consideración principal del plan de continuidad de negocios.
2. Principios:
Responsabilidades de la junta directiva y de la alta gerencia: La junta directiva y la alta
gerencia son conjuntamente responsables por la continuidad de las operaciones de la
institución.
La gestión de la continuidad del negocio debe ser un componente clave de la gestión
integral de los riesgos de la institución. Las políticas y procesos de la gestión de la
continuidad del negocio deben ser implementados a nivel global de la institución o,
como mínimo, a las operaciones críticas de la misma. La gestión efectiva de la
continuidad del negocio trata no sólo de los aspectos técnicos, sino también de los
recursos humanos. De esta manera reconoce que los empleados y posiblemente sus
familias, puedan verse afectados por el mismo evento que dio origen a la interrupción, y
-
23
como consecuencia, no todos los empleados estarán disponibles para la institución
durante o inmediatamente después de la ocurrencia del evento.
La junta directiva y la alta gerencia de la institución son responsables de la gestión
efectiva de sus políticas de continuidad de negocio y por el desarrollo e implementación
de políticas que promuevan la resistencia a, y continuidad en el evento de,
interrupciones operacionales. Estos deben reconocer que la subcontratación de
operaciones no transfiere las responsabilidades que tienen sobre la gestión de la
continuidad del negocio al proveedor de servicios. La junta directiva y la alta gerencia
deben crear y promover una cultura organizacional que tenga como una de sus
prioridades la continuidad del negocio. La junta directiva y la alta gerencia deben
proveer los recursos financieros y humanos para desarrollar e implementar el enfoque
de la institución a la gestión de la continuidad del negocio.
Se deben establecer los sistemas que permitan informar a la junta directiva y alta
gerencia sobre los temas relacionados a la continuidad del negocio, incluyendo el grado
de implementación, notificación de incidentes, resultados de las pruebas y acciones
relacionadas al fortalecimiento de la resistencia de la institución o habilidad para
reanudar operaciones específicas. La gestión de la continuidad del negocio de una
institución deben estar sujetas a revisión por los auditores, tanto externos como internos
y los hallazgos significativos deben ser puestos en conocimiento de la junta directiva y
la alta gerencia de manera oportuna.
La confusión puede ser un serio obstáculo para llevar a cabo una respuesta efectiva a
una interrupción. Consecuentemente, las responsabilidades, así como los planes de
sucesión, deben estar claramente definidas en las políticas de gestión de continuidad
del negocio de una institución.
Interrupciones operacionales mayores: Las interrupciones operacionales mayores
presentan un riesgo sustancial a la continuidad de las operaciones del sistema
financiero. Por tal razón, las instituciones financieras de manera particular deben incluir
el riesgo de una interrupción operacional mayor dentro de sus planes de continuidad del
negocio. El grado en que una institución en particular se prepara para una recuperación
en caso de una interrupción mayor debe estar en concordancia a sus características
-
24
propias y a su perfil de riesgo. Debido a que el acceso a los recursos necesarios para
una recuperación total puede que sean limitados durante una interrupción mayor, la
institución debe identificar a través de un análisis de impacto, aquellas funciones y
operaciones de negocios que deben ser recuperados prioritariamente, estableciendo
objetivos apropiados de recuperación para dichas operaciones.
Las interrupciones mayores de las operaciones varían en alcance y duración. Al evaluar
si su gestión de continuidad del negocio es suficiente para dar respuesta a una
interrupción mayor, las instituciones deben revisar la adecuación de sus mecanismos de
recuperación en las tres áreas siguientes:
a. La institución debe tener el cuidado de que su sitio alterno se encuentre lo
suficientemente alejado del lugar donde llevan a cabo sus operaciones
principales.
b. La institución debe asegurar que el sitio alterno cuente con la información
actualizada suficiente y los equipos y sistemas necesarios para minimizar los
efectos de las interrupciones de los servicios, mediante restauración temporal y
recuperación definitiva de sus procesos y servicios críticos, en caso de que sus
oficinas principales sean severamente dañadas o el acceso a la zona afectada se
encuentre restringido.
c. Dado que el personal de la oficina principal pueda que no se encuentre
disponible, el plan de continuidad de negocio debe incluir la forma en que la
institución proveerá el personal adecuado en términos numéricos y de
experiencia, para la reanudación de las operaciones y servicios críticos que sean
consistentes con sus objetivos de recuperación.
Objetivos de recuperación: Las instituciones financieras deben establecer objetivos de
recuperación que reflejen los riesgos que representan para la estabilidad del sistema
financiero.
La institución que sufra una interrupción operacional mayor podría afectar la capacidad
de los demás miembros de continuar con sus operaciones normales de negocios.
-
25
Consecuentemente, las instituciones financieras deben tomar en cuenta dicho riesgo y
mejorar su gestión de continuidad del negocio en los casos en que determinen que una
interrupción de sus operaciones afectaría la estabilidad del sistema financiero.
Los objetivos de recuperación deben identificar tanto niveles esperados de recuperación
como el tiempo que tomaría alcanzarlos.
Comunicaciones: Las instituciones financieras deben incluir en sus planes de
continuidad de negocio los mecanismos y procedimientos para comunicarse tanto
dentro de la organización, como con las partes interesadas externas en caso de una
interrupción operacional mayor.
Las instituciones financieras deben estar en capacidad para comunicarse de manera
efectiva con las partes interesadas relevantes tanto dentro, como fuera de la institución,
en caso de una interrupción operacional mayor. Particularmente en las primeras etapas
de la interrupción, donde la comunicación efectiva es necesaria para estimar el impacto
de ésta, en el personal y operaciones de la institución y en el sistema financiero en
general, y tomar la decisión de implementar o no el plan de continuidad del negocio. En
la medida en que el tiempo transcurre, la capacidad para comunicar la información más
importante disponible a las partes interesadas de manera oportuna es un factor crítico
para la recuperación de las operaciones de la institución y para el retorno del sistema
financiero a su funcionamiento normal. El mantenimiento de la confianza del público, en
la institución financiera, requiere de la capacidad para comunicarse de manera clara y
regular durante el tiempo que dure la interrupción.
Asimismo, los procedimientos y sistemas de comunicación de las instituciones
financieras deben incluir, como mínimo, los aspectos siguientes:
a. Identificación de las personas responsables de comunicarse con el personal y
demás partes interesadas externas. Este grupo puede incluir la alta gerencia, el
personal de relaciones públicas, asesores legales y el personal responsable de
los procedimientos de continuidad del negocio de la institución. Este grupo debe
estar en capacidad para comunicarse con personal ubicado en lugares remotos,
-
26
disperso a través de múltiples ubicaciones, o que simplemente se encuentre lejos
de las oficinas principales de la institución; y
b. Solucionar aspectos relacionados que podrían suscitarse como resultado de una
interrupción operacional mayor tales como, la respuesta que se le daría a fallas
en los sistemas de comunicación primarios. Esto puede incluir por ejemplo,
desarrollar sistemas e información de contacto para el personal clave que
facilitaría múltiples métodos de comunicación (líneas telefónicas terrestres,
digitales o analógicas; teléfonos celulares, teléfonos satelitales, mensajes de
texto, páginas de Internet, entre otros).
c. Pruebas: Las instituciones financieras deben realizar pruebas de sus planes de
continuidad de negocios, evaluar su efectividad y actualizar su gestión de
continuidad de negocios, según fuere necesario.
Probar la capacidad de recuperación de operaciones críticas tal y como fue planeado es
un componente esencial de una gestión efectiva de la continuidad del negocio. Dichas
pruebas deben ser llevadas a cabo de manera periódica, tomando en cuenta la
naturaleza, alcance y frecuencia, según fuere determinado por la importancia de las
aplicaciones y funciones de negocios, el rol de la institución dentro del mercado y
cambios materiales en el entorno, tanto externo como interno de la institución.
Adicionalmente, dichas pruebas deben identificar la necesidad de modificar el plan de
continuidad de negocios y sus aspectos relacionados. En algunos casos, esta
necesidad de cambio puede ser el resultado de modificaciones en su negocio, sistemas,
software, hardware, personal, instalaciones o el ambiente externo. Tanto la auditoría
interna como la externa, deben evaluar la efectividad del programa de pruebas de la
institución, revisar los resultados de las pruebas e informar sus hallazgos al comité de
auditoría, la alta gerencia y la junta directiva. La junta directiva y la alta gerencia deben
asegurar que cualquier deficiencia encontrada sea subsanada de manera oportuna.
Adicionalmente, a la comprobación que los planes de continuidad del negocio son
evaluados y actualizados cuando fuere necesario, las pruebas también son esenciales
para promover el entendimiento y familiaridad entre el personal clave de sus roles y
responsabilidades en el caso de una interrupción mayor. Es importante por lo tanto, que
-
27
los programas de pruebas incluyan al personal que seguramente estará involucrado en
caso de interrupciones operacionales mayores.
La alta gerencia debe instruir a las áreas funcionales y éstos a su vez al personal bajo
su supervisión, en los pasos a seguir en caso de una interrupción, de tal manera que
estos sean del conocimiento de todo el personal, así como elaborar los planes de
continuidad de los servicios críticos que están bajo su responsabilidad.
3.4. .Marco Referencial para la Planeación de la Continuidad del Negocio.
Control: Es un medio de gestión de riesgos, como políticas, procedimientos, directrices,
prácticas o estructuras organizacionales, que pueden ser de carácter administrativo,
técnico, de gestión o legal.7
Guía de implementación:
a. Las condiciones para activar los planes y el proceso a seguir antes de dicha
activación.
b. Los procedimientos de emergencia que describen las acciones a realizar tras
una contingencia.
c. Los procedimientos de respaldo
d. Procedimientos temporales de operación
e. Los procedimientos de reanudación.
f. El calendario de mantenimiento
g. Actividades de concientización y formación
h. Las responsabilidades de las personas
i. Los activos y recursos críticos necesarios
7 International Glossary for Resiliency.
-
28
3.6 Evaluación de madurez en continuidad de negocio.
El BCMM (Business Continuity Maturity Model) es un modelo desarrollado por Virtual
Corporation, Inc. para medir objetiva y consistentemente el estado de preparación para
afrontar contingencias de una organización.8
a. Es una herramienta de diagnóstico para una evaluación objetiva de la efectividad
de un programa de continuidad de negocio.
b. Produce datos consistentes a partir de los cuales se pueden realizar significativos
análisis comparativos (Benchmark).
c. Responde a las siguientes interrogantes: ¿cuál es el nivel actual de madurez del
BCP en la organización?
d. ¿qué nivel de madurez debería alcanzar la institución?
e. ¿Cuál sería la ruta más efectiva para alcanzar el próximo nivel?
El contenido del programa BCP debe de contar con las siguientes competencias:
Liderazgo: el compromiso y entendimiento demostrado por la alta dirección de un
programa corporativo global de continuidad de negocio apropiadamente escalado.
También, el grado para el cual el “caso de negocio” por implementar continuidad de
negocio sostenible ha sido articulado y entendido por el Comité Ejecutivo.
Concientización: la amplitud y profundidad de conocimientos conceptual de continuidad
del negocio en todos los niveles jerárquicos de la organización incluyendo las
consideraciones para la calidad y sostenibilidad de los programas de entrenamiento y
concientización.
Estructura del programa BCP: La escala y la relevancia del programa de BCP en la
organización. El grado en que el programa de BC cumple con el “caso de negocio”
elaborado.
Grado de penetrabilidad del programa: nivel de coordinación de continuidad del negocio
entre los diferentes departamentos, funciones y unidades de negocio a lo largo de toda
8 Revista de investigación de sistemas e informática.
-
29
la organización. El grado en que las consideraciones de continuidad del negocio han
sido incorporadas en otras iniciativas, programas o procesos de negocio.
Métricas definidas: El desarrollo y monitoreo de las mediciones apropiadas del
desempeño del programa de continuidad del negocio. El establecimiento y seguimiento
de un punto de partida de competencias de la continuidad del negocio.
Compromiso de recursos: la disponibilidad de suficientes recursos humanos (bien
entrenados y respaldados por la organización), financieros y otros recursos para el
sustento de un programa de continuidad del negocio.
Coordinación externa: coordinación de asuntos y requerimientos de continuidad del
negocio con la comunidad externa, incluyendo clientes, proveedores, bancos, gobierno,
acreedores, aseguradoras, etc., asegurando que los eslabones (socios de negocio)
críticos de la cadena de suministros tienen planes de BCP adecuados en su propias
organización.
Contenido del programa BCP: las previas siete competencias corporativas se refieren a
aspectos claves de un programa de BCP. Esta octava competencia corporativa dirige él
como una organización implementa las cuatro disciplinas centrales de la continuidad de
negocio.
Los componentes del programa de BCP son:
a. Administración de incidentes: se asegura de que todos los aspectos de respuesta
a la emergencia, manejo de crisis y cualquier otra actividad involucrada en el
comando, control y comunicación durante una contingencia organizacional y/o
desastre, sean manejados adecuadamente.
b. Administración de seguridad: asegura que la seguridad física (inmuebles),
informática y cualquier otra actividad asociada con proteger la integridad
específica de personas, bienes o información, estén apropiadamente enfocadas.
c. Recuperación tecnológica: asegura que el hardware, software, redes y
aplicaciones críticas de la organización son recuperadas de manera adecuada,
cumpliendo con los tiempos y objetivos previamente definidos (RTO / RPO).
-
30
d. RPO: (Recovery Point Objective), se refiere al volumen de datos en riesgo de
pérdida que la organización considera tolerable.
e. RTO: (Recovery Time Objective), expresa el tiempo durante el cual una
organización puede tolerar la falta de funcionamiento de sus aplicaciones y la
caída de nivel de servicio asociada, sin afectar la continuidad de negocio.
f. Recuperación del negocio: asegura que las funciones y procesos críticos del
negocio, son recuperables de manera adecuada dentro de los tiempos y
objetivos previamente definidos (RTO / RPO).
Para determinar el modelo de madurez y obtener una calificación objetiva del plan, se
realizó de acuerdo al siguiente “Ciclo Metodológico”:
Ilustración 1 Ciclo metodológico
4. INSTRUMENTO DE INVESTIGACION: Se consideró que debido al tipo de investigación a desarrollar, el instrumento idóneo a
utilizar para recopilar la información es la entrevista con respuestas abiertas.
Por medio de este instrumento se pretende:
-
31
a. Indagar información general sobre el plan de continuidad de negocios de la
empresa, en que consiste y cuál es el objetivo.
b. Conocimiento del rol de los principales funcionarios involucrados en el plan de
continuidad de negocio de la empresa.
c. Conocer las áreas críticas identificadas por la empresa y que se incluyeron en el
plan de continuidad de negocios.
El personal involucrado y a quien va dirigidas las entrevistas, en primera instancia
corresponden a los miembros de la junta directiva de la empresa, quienes son los que
aprueban el plan de continuidad de negocios, el gerente general quien dirige la
implementación y monitorea el cumplimiento, las áreas de: Operaciones y sistemas,
auditoría interna, riesgo integral y negocios de la empresa “Impulsadora de créditos,
S.A.”
Posteriormente a cada uno de los gerentes de las áreas involucradas en la gestión de
continuidad de negocios.
Para el desarrollo de la entrevista se han elaborado preguntas generales
complementadas con preguntas específicas por cada área.
5. CAPITULOS:
5.1 CAPITULO I: Evaluar si el plan de continuidad de negocios de la
empresa “Impulsadora de créditos, S.A” incorpora las prácticas del DRII
(Disaster Recovery International Institute), para mitigar los riesgos de
interrupción del negocio.
-
32
La presente investigación fue realizada en una entidad nicaragüense que se dedica al
otorgamiento de préstamos para impulsar el desarrollo en el área urbana y rural, a la
que por sigilo la llamaremos como “Impulsadora de Créditos, S.A”.
En este capítulo se abordará la evaluación del plan de la continuidad de negocios de la
empresa “Impulsadora de créditos S.A”. Para ello se realizó una comparativa entre las
diez prácticas recomendadas por el DRII (Disaster Recovery International Institute) y la
información que contempla el plan de continuidad de negocios de Impulsadora de
créditos, S.A.
Las diez prácticas en mención son las siguientes:
Práctica 1: Inicio y gerencia del proyecto.
Práctica 2: Evaluación de riesgos.
Práctica 3: Análisis de impacto al negocio.
Práctica 4: Desarrollo de estrategias de continuidad de negocios.
Practica 5: Respuesta de emergencia y operaciones.
Practica 6: Desarrollo e implementación de planes de continuidad de negocio.
Practica 7: Conciencia y capacitación.
Practica 8: Mantenimiento y ejercicio de los planes de continuidad de negocios.
Practica 9: Relaciones publicas y coordinación de crisis.
Practica 10: Coordinación con organismos externos
Un plan de continuidad del negocio (Business Continuity Plan, BCP) se puede definir
como la identificación y protección de los procesos y recursos del negocio considerado
críticos para sostener un desempeño aceptable, mediante la identificación de
potenciales amenazas, la definición de estrategias para su eliminación, minimización o
delegación y la preparación de procedimientos para asegurar la subsistencia de los
mismos al momento de concretar dichas amenazas. (Espiñeira, 2008)
Como se mencionó anteriormente, la empresa objeto de investigación está situada en el
rubro de financieras, en ese sentido; está sometida a regulaciones orientadas por la
Súper Intendencia de Bancos y de Otras Instituciones Financieras (SIBOIF), la cual por
-
33
exigencia obliga a las empresas de este ramo contar con un plan de continuidad de
negocio.
“Las interrupciones mayores de las operaciones varían en alcance y duración. Al
evaluar si su gestión de continuidad del negocio es suficiente para dar respuesta a una
interrupción mayor”9.
La misión primordial de un BCP es la mitigación de riesgos que puedan interrumpir las
operaciones del negocio. En ese sentido, se debe de cumplir con las caracterísitcas
antes mencionadas para tener seguridad razonable de que el BCP funcionará al
momento de una eventualidad y que se podrá tener continuidad de las operaciones.
Para evaluar un plan de continuidad de negocio, primero se debe realizar una revisión
de la metodología utilizada en la elaboración del mismo, así como también comprender
el conjunto de leyes, normas y regulaciones que la rigen.
La empresa Impulsadora de Créditos, S.A hace una declaración en su manual de
Gestión de Continuidad de Negocio que ha hecho uso de las siguientes normativas :
Normativa de la Super Intendencia de Bancos y de Otras Instituciones Financieras y
mejores prácticas emanadas de la Norma ISO 22301en lo que sea aplicable.
Por tanto inicialmente la investigación partirá de estos marcos de referencia para
determinar que bastan y son apropiados. Posterior se efectuará una comparación de
marcos de referencia metodológicos, es decir; se comparará el marco de referencia
utilizado por la empresa versus el DRII (Disaster Recovery International Institute), el cual
es el marco de referencia que se utilizó para efectos de la presente investigación (ver
marco teórico apartado 3.2).
El modelo DRII recoge una lista de actividades que se encuentran supeditadas a
prácticas recomendadas que proporcionan una guía de elaboración de un plan de
continuidad de negocio. El modelo DRII es proporcionado y ha sido recopilado e
investigado por la empresa consultora de nivel internacional Iteam, la cual se enfoca a
la generación de valor estratégico.
El resultado de la comparación efectuada se detalla a continuación: 9 Resolución no. CD.SIBOIF.611.1.ENE22.2010
-
34
Practica I: Inicio y gerencia del proyecto.
Esta práctica la integran las siguientes actividades:
i. Documentar la importancia de contar con un BCP.
Debe estar basada en el conocimiento de la industria de la Compañía, su entorno
regulatorio y riesgos conocidos hasta el momento, que al ser identificados dieron origen
a la necesidad de definir un plan de continuidad de negocio.
En su manual de gestión de continuidad de negocios la empresa reconoce que es
importante identificar los riesgos a los que se encuentra ante eventuales contingencias
o desastres que pudieran afectar severamente la operación normal de sus procesos y
procedimientos de negocio.
Sin embargo, la declaración sobre la importancia de la elaboración del manual de
gestión de continuidad de negocio no cuenta con el sustento que evidencie que la
empresa al momento de elaborar el manual considero todos los riesgos conocidos hasta
el momento.
ii. Definir los criterios que sustenten la elaboración:
Se tiene que definir el objetivo y las políticas de implementación del plan de continuidad
de negocios.
Los objetivos que contempla el plan de continuidad de negocios de “Impulsadora de
créditos S.A” son los siguientes:
1. Permitir a la institución trascender ante la crisis y recuperarse en el menor tiempo
posible.
2. Garantizar que los empleados:
a. Estén protegidos
b. Comprendan su papel
c. Saben a dónde ir
d. Saben que hacer
e. Saben que recursos necesitan
f. Entiendan la secuencia de las tareas críticas
-
35
3. Ayudar a planificar la recuperación y reanudación de las operaciones.
4. Validar asuntos de la recuperación de la institución como:
a. Necesidades de telecomunicaciones durante y después del desastre.
b. Lugar alterno para recuperación de desastre.
Se identifica el objetivo, pero se desconoce si ya se dio a conocer a su personal como
una política de estricto conocimiento y cumplimiento.
iii. Definir los objetivos y las políticas del proyecto de implementación.
El objetivo debe basarse en la protección de las vidas humanas, minimizar las pérdidas
operativas, maximizar la capacidad de recuperación de las operaciones, mantener la
posición competitiva de la compañía y mantener la confianza de los clientes.
Según el manual de gestión de continuidad de negocios de “Impulsadora de créditos,
S.A”, la comunicación al personal acerca del plan de continuidad de negocios es su
objetivo principal, el equipo de recuperación de gestión humana garantiza el
cumplimiento mediante las siguientes funciones:
a. Preparar comunicaciones para orientar y dar atención a todo el personal.
b. Coordinar las actividades a realizarse durante la situación de crisis o
contingencia.
c. Establecer los lineamientos administrativos, legales, de seguridad y de recursos
humanos.
d. Apoyar y asesorar en las decisiones y acciones que deban ser adoptadas.
e. Brindar soporte logístico y/o administrativo para la recuperación.
f. Elaborar, revisar, validar y aprobar los pagos de la nómina referentes a salarios
de los colaboradores en casos de crisis.
iv. Documentar y sustentar los objetivos.
Estos deben estar incorporados en el documento del plan de continuidad de negocios.
En el manual de continuidad de negocios de “Impulsadora de créditos, S.A” los
objetivos que se encuentran contemplados son los siguientes:
a. Proteger los procedimientos críticos de “Impulsadora de créditos, S.A,” ante
eventos de crisis o contingencia.
-
36
b. Lograr una recuperación oportuna de las operaciones y de la información al
momento de presentarse una contingencia.
c. Proporcionar una guía para dirigir las actividades de respuesta y recuperación
ante eventos de crisis o contingencia.
La empresa realiza una medición traducida a los tipos de prueba para evaluar la
eficiencia y eficacia de los procesos de recuperación ante crisis.
v. Nombrar al comité responsable del desarrollo del proyecto BCP:
Se debe nombrar un líder coordinador y responsable de la gestión y ejecución del
proyecto. Este comité debe estar conformado por las gerencias claves que manejan
recursos e información y con la autoridad adecuada para que puedan tomar decisiones.
En el caso del manual de gestión de continuidad de negocios de “Impulsadora de
créditos, S.A”, menciona que existe un comité de continuidad de negocios, conformado
por los siguientes cargos:
a. Gerente General – presidente
b. Gerente de finanzas y administración – miembro
c. Gerente de negocios – miembro
d. Gerente de operaciones y sistemas – miembro
e. Gerente de recursos humanos- secretario de actas
f. Gerente de gestion integral de riesgos – miembro
g. Jefe de seguridad- miembro.
vi. Asignar recursos financieros y definir responsabilidades:
Esta actividad se refiere a que deben identificarse los recursos financieros y definir las
responsabilidades de cada uno de los miembros en la consecución del proyecto.
En el manual de “Impulsadora de créditos S.A” no se especifican los recursos
financieros destinados, pero si se indican las responsabilidades de los miembros del
comité de continuidad de negocios. Los cuales son los siguientes:
a. Liderar la recuperación del procedimiento a su cargo en el caso de alguna
contingencia.
b. Identificar los procedimientos de recuperación bajo su supervisión.
-
37
c. Servir de enlace entre el equipo de recuperación y el comité de continuidad.
d. Mantener informado sobre el estado de recuperación al líder ejecutivo del plan de
continuidad de negocio.
e. Coordinar con los demás líderes de los equipos de recuperación.
vii. Identificar y definir las etapas del proyecto:
Debe existir un conocimiento verdadero sobre la realidad en cuanto a lo que es un Plan
de continuidad de negocio y como se puede implementar y mantener, analizando las
metodologías utilizadas a nivel mundial, con el objetivo de extraer lo mejor de cada una e
identificar cuáles son las actividades necesarias para mantener e implementar un BCP.
En el manual de gestión de continuidad de negocios de “Impulsadora de Créditos, S.A”
se identifican dos fases del proyecto: prevención y gestión de crisis. Los cuales a su
vez, contemplan:
Fase de prevención:
1. Análisis de impacto al negocio.
2. Estrategias de continuidad de negocio.
3. Ejercicio y auditoría.
Fase de gestión de crisis:
1. Plan de continuidad de negocio y plan de administración de crisis.
2. Plan de recuperación de desastres.
viii. Planificación de la política de continuidad de negocio.
Es necesario el establecimiento de los compromisos que debe adoptar la Dirección, fijar
cómo designar a un coordinador de continuidad de negocio, determinar la
documentación que debe considerarse como evidencia para el BCP y precisar las
principales características que debe poseer la Política de Continuidad de Negocio.
En el caso de impulsadora de créditos, S.A el coordinador del plan de continuidad está
dividido por áreas o comités de recuperación.
-
38
ix. Comprensión de la organización y análisis de riesgos.
La práctica menciona que se debe realizar un estudio que permita conocer y
comprender la organización en su totalidad y definir como se debe realizar un Análisis
de Impacto al Negocio (BIA).
En el caso del manual de impulsadora de créditos, S.A el análisis del BIA realizado por
la compañía incluye:
Niveles de criticidad:
a. Crítico.
b. Medio
c. No critico
Procesos críticos identificados:
a. Impacto de cara al cliente
b. Impacto operacional
c. Impacto normativo y legal
x. Medidas preventivas:
Se debe explicar cómo se debe realizar un plan de acción, que contemple las
tareas que la compañía pretende adoptar para prevenir contingencias.
En el manual de “Impulsadora de créditos, S.A”, respecto a esta actividad en
cada sesión de prueba deberá estar planificada en cuanto a tiempos, orden de
objetivos, procesos, lugares, estaciones físicas de operación y personal
participante en las pruebas.
xi. Estrategias de recuperación:
Establecer cómo debe realizar las estrategias de recuperación para las
actividades críticas de la organización, establecer cómo se deben definir los
cargos o los equipos necesarios para la activación del Plan de Contingencia y
determinar cómo se deben documentar los planes de contingencia.
-
39
Respecto a esta actividad en el manual de gestión de continuidad de negocios
de “Impulsadora de créditos, S.A” se declara que las estrategias se derivan de
los resultados obtenidos en el análisis del impacto de negocio. Las mismas
deben ser realizables y verificables mediante pruebas, tener una alta
probabilidad de éxito, ser consecuente con los requerimientos de tiempo y
presentar una relación de costo- beneficio favorable.
xii. Pruebas, revisión y mantenimiento del BCP:
Se debe precisar cómo se deben realizar las pruebas, revisiones y
actualizaciones del BCP.
Según el manual de gestión de “Impulsadora de créditos, S.A” se pueden
realizar pruebas de sobremesa de varios escenarios, hacer simulaciones,
pruebas de recuperación técnica, ensayos generales, entre otros.
En cuanto a la actualización del plan se realiza cada vez que se genere un
cambio en los procedimientos críticos, cambios en la estructura organizacional
del personal crítico y en la tecnología.
Práctica II: Evaluación de Riesgos
Esta etapa es la más importante para el diseño del plan. Contiene las siguientes
actividades:
i. Obtener un entendimiento de la industria y el negocio en el cual opera la
compañía:
Se debe identificar los procesos de negocio esenciales, los recursos o activos
que necesitan ser protegidos o resguardados para asegurar la correcta
operación del negocio ante una posible amenaza interna o externa. Algunos
ejemplos de recursos o activos pueden ser:
a. Personas (clientes, empleados, suscriptores)
b. Recursos físicos (maquinarias, equipos de comunicación y computo,
medios magnéticos)
c. Recursos de información (base de datos, sistemas, manuales de usuarios,
materiales de entrenamiento, etc.)
-
40
d. Documentos físicos (contratos, licencias, permisos)
En el manual de “Impulsadora de créditos, S.A”, la empresa considera dentro de sus
principales activos:
a. Desembolsos de créditos.
b. Recuperación de créditos.
c. Pago de planilla.
d. Entrega de información a otra área.
e. Entrega de información al ente regulador.
f. Cierres mensuales.
g. Monitoreo de servidores.
ii. Entender los procesos significativos de la entidad:
En esta actividad se deben detectar las debilidades o vulnerabilidades existentes en los
procesos y en la compañía que permiten que las amenazas se materialicen. Durante
esta etapa es importante hacernos las siguientes preguntas:
a. ¿Cuáles son las actividades o procesos más importantes de la compañía?
b. ¿Cuáles son los recursos o activos principales de estos procesos?
c. ¿Cuáles son las principales amenazas a las que se encuentran expuestos según
su vulnerabilidad?
d. ¿Cuáles son los riesgos que se pueden materializar, riesgos de mercado, riesgos
de producción, riesgos de ser humano, etc.?
En el manual de” Impulsadora de créditos, S.A” los riesgos o amenazas que la empresa
tiene identificadas dentro de su plan de continuidad de negocios son de origen externo y
origen interno.
a. Desastres naturales.
b. Actos maliciosos.
c. Incidentes sanitarios ambientales.
d. Incidentes financieros.
e. Incidentes laborales.
-
41
f. Incidentes sociales.
g. Incidentes tecnológicos.
h. Incidente persona.
i. Incidente reputación.
Los riesgos se encuentra clasificados en:
a. Riesgo ambiental.
b. Riesgo persona.
c. Riesgo tecnológico.
d. Riesgo reputacional.
iii. Evaluar el impacto o magnitud económica:
Esto con base a la probabilidad de ocurrencia de las amenazas. Considerando que
ocurren en el peor momento posible, dando lugar a un grave deterioro de la capacidad
del organismo para realizar negocios. Algunos criterios que pueden ayudar a valorar las
pérdidas pueden ser:
a. Costo de horas de trabajo perdidas.
b. Ingresos dejados de percibir por interrupción de producción.
c. Multas por incumplimiento de contratos.
d. Multas o sanciones por incumplimiento de seguridad.
Respecto a esta actividad en el manual de gestión de “Impulsadora de créditos,
S.A”, los responsables de los procedimientos deberán evaluar los impactos
negativos generados por una posible interrupción en dichos procedimientos.
Estos impactos se clasifican en cuatro categorías: financieros, legales, de
imagen o reputaciones y ante los clientes externos.
iv. Evaluar y clasificar los riesgos:
De acuerdo a criterios pertinentes establecidos, identificar los riesgos que están bajo
control de la organización (por factores internos) y los riesgos que están fuera de control
de la organización (por factores externos).
a. Clasificar los riesgos por el tipo.
-
42
b. Evaluar los riesgos en la categoría de alto, medio, bajo, mínimo.
Los riesgos o amenazas que la empresa tiene identificadas dentro de su plan de
continuidad de negocios son de origen externo y origen interno.
a. Desastres naturales
b. Actos maliciosos
c. Incidentes sanitario ambientales
d. Incidentes financieros
e. Incidentes laborales
f. Incidentes sociales
g. Incidentes tecnológicos
h. Incidente persona
i. Incidente reputación.
Clasificación de riesgos:
j. Riesgo ambiental
k. Riesgo persona
l. Riesgo tecnológico
m. Riesgo reputacional
v. Evaluar los riesgos, de llegar a materializarse el riesgo como afectaría la
continuidad del negocio.
En el manual de gestión de continuidad de negocios, los riesgos identificados en el
análisis de riesgos aceptables (RA) son:
a. Infraestructura.
b. Proveedores externos.
c. Entorno.
d. Imagen.
e. Seguridad física.
f. Tecnología.
-
43
vi. Identificar alternativas de metodologías de análisis de riesgos y herramientas:
Las metodología pueden ser cualitativas y cuantitativas, cuáles serían las ventajas y
desventajas de utilizar la metodología seleccionada.
En el manual de “impulsadora de créditos S.A” no se especifica esta actividad, que tipo
de alternativas metodológicas consideraron en la elaboración del manual.
vii. Crear en toda la organización los métodos de recopilación de información y
distribución de la misma:
Estos pueden ser; formularios, entrevistas, reuniones, revisión de la documentación y
análisis.
En el caso de impulsadora de créditos, S.A no se especifica los métodos utilizados para
recopilar la información.
viii. Tratamiento al riesgo:
Una vez que se han identificado los riesgos y se han evaluados, se prosigue a
establecer la acción más apropiada de cómo tratarlos para minimizar su impacto. En
esta etapa existen cuatro acciones posibles a seguir:
a. Reducir el riesgo.
b. Aceptar los riesgos partiendo de que su impacto será mínimo.
c. Transferir los riesgos asociados a otras partes.
En el manual de gestión de plan de continuidad de negocios de impulsadora de créditos,
S.A:
a. El nivel de riesgo aceptable definido es bajo.
b. Las incertidumbres productos de incidentes de medio o bajo impacto se hallan
cubiertas por pólizas de seguro.
ix. Crear los controles necesarios que ayuden a disminuir el impacto de los riesgos:
Se trata de llevarlos a un nivel residual aceptable por la organización. Crear controles
preventivos, detectivos o correctivos y también identificar las medidas para prevenir y/o
mitigar el efecto de la pérdida.
-
44
En el plan de continuidad de negocios de “impulsadora de créditos, S.A”., contempla
equipos de recuperación para mitigar pérdidas como por ejemplo: tecnología, seguridad
interna, gestión humana, negocios, finanzas.
x. Revisión constante de los controles implementados para mitigar los impactos
relacionados con los riesgos identificados:
Se debe realizar revisiones periódicas y revisiones sorpresivas, prueba de controles
alternativos y controles compensatorios.
En el manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”
se declara que los controles implementados se actualizan en conjunto con el plan de
continuidad de negocio en casos que se realice algún cambio.
xi. Organizar equipos especializados con roles y responsabilidades específicas:
Para hacer frente a la materialización de un evento que ponga en riesgo la
sostenibilidad o continuidad de la organización, equipos especializados en manejo de
incidentes, manejo corporativo de crisis, importante equipos gerenciales y funcionales
para la recuperación del negocio y para la recuperación tecnológica.
En el plan de “Impulsadora de créditos, S.A” se menciona la existencia de un comité de
administración de crisis y equipos de recuperación cuando se dé el suceso.
xii. La creación de un centro alterno:
Es decir una ubicación física alternativa, diferente a la principal, en donde se va a
establecer la estrategia de recuperación de una entidad, pudiendo ser un centro alterno
para TI y/o de operaciones.
En el manual de gestión de continuidad de negocios se declara que la alternativa de
traslado de personal hacia un sitio alterno de operación se presenta en el evento que los
funcionarios no puedan acceder a las instalaciones de la institución.
Práctica III: Análisis de impacto al negocio:
i. Obtención de la Relación de Procesos:
Establecer los procesos de negocio que se realizan en la compañía.
-
45
En el manual de gestión de continuidad de negocios de “impulsadora de créditos, S.A”
declara que la relación de los procesos se determina a través del uso de cuestionario
BIA y el establecimiento de niveles de criticidad.
ii. Obtención de la relación de aplicaciones:
Establecer la relación de aplicaciones que soportan los procesos de la compañía.
Para el caso del manual de gestión de “Impulsadora de créditos, S.A” los principales
aplicativos de la institución no se encuentran disponibles, como es el caso cuando el
hardware y/o software presenta fallas o cuando haya interrupción prolongada de las
comunicaciones, ocasionados por: datos corruptos, fallos de componentes, fallas de
aplicaciones y/o error humano.
iii. Relación de Departamentos y Usuarios:
Se identifican los departamentos que hay en la organización y el nombre de las
personas que la componen y que intervienen en los procesos.
En el caso de “impulsadora de créditos, S.A” se determinaron los departamentos de
administración, tecnología, gestión humana, asesoría legal, contabilidad y auditoría.
iv. Determinar cuáles son los Procesos Críticos:
Pueden darse dos valoraciones, una basada en la importancia para la compañía de los
procesos cuya ausencia tendría un impacto alto en la actividad de la compañía
(valoración cualitativa). La otra, se referiría a las pérdidas económicas por período
debido a la ausencia de los procesos (valoración cuantitativa).
En el manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”,
se determinan como procesos críticos:
a. Desembolsos de créditos.
b. Recuperación de créditos.
c. Pago de planilla.
d. Entrega de información al ente regulador.
v. Definición del período Máximo de Interrupción:
El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y
las actividades están interrumpidas. No obstante, a partir de un momento que
-
46
denominaremos Período Máximo de Interrupción, las pérdidas sufren un aumento
significativo y las funciones no podrían ser reasumidas.
Impulsadora de Créditos, S,A. determinó su RTO en: 2 días.
vi. Identificar sitios físicos:
Se valida la lista de instalaciones físicas o entidades en donde opera los servicio de TI
de la organización.
El sitio físico según el manual de gestión de “impulsadora de créditos, S.A” se
encuentra en: Sitio alterno.
vii. Identificar sistemas de información:
Se obtiene la lista de los sistemas de información que se poseen en cada instalación y
se determina cuáles de ellos están relacionados de manera directa o indirecta con el
servicio de TI.
Los que se encuentran en el manual de gestión de continuidad de negocios de
impulsadora de créditos, S.A son:
a. Redes y comunicaciones.
b. Soporte técnico de hardware.
c. Administración de base de datos.
viii. Determinar el RTO, RPO de cada sistema:
Se estima, mediante encuestas o entrevistas, el tiempo de recuperación objetivo, el
punto de recuperación objetivo y el tiempo máximo tolerable fuera de servicio para cada
proceso en cada instalación con el fin de ayudar en la definición de las estrategias de
recuperación.
En el caso de “Impulsadora de créditos, S.A” el RTO se determinó de acuerdo a las
funciones de cada unidad de negocio. El RPO no se encuentra establecido en manual
de gestión de continuidad de negocios de la empresa.
-
47
Práctica IV: Desarrollo de Estrategias de Continuidad del Negocio
Esta práctica contiene cinco actividades que deben considerarse para desarrollar la
estrategia de continuidad de negocios:
i. Entender las alternativas disponibles y sus ventajas, desventajas, y los rangos de
costo, incluyendo la mitigación como una estrategia de recuperación:
a. Identificar estrategias viables de recuperación dentro de las áreas funcionales
de la organización
b. Consolidar las estrategias
c. Identificar requisitos off-site e instalaciones alternativos.
d. Desarrollar estrategias de unidad de negocio.
e. Obtener el compromiso de gestión de las estrategias desarrolladas.
f. Identificar en toda la organización los requisitos organizacionales para realizar
las estrategias de continuidad.
g. Revisión de los problemas de continuidad de negocio.
h. Los plazos, opciones, ubicación, persona, comunicaciones (crisis/medios de
comunicación y de voz/datos).
i. Examinar las cuestiones relacionadas con el soporte de la tecnología de la
continuidad de cada servicio.
j. Revisión de la tecnología que resuelva los problemas de continuidad para
cada servicio de apoyo, incluidos los servicios de apoyo que no depende de la
tecnología.
k. Comparar soluciones internas/externas
l. Identificar estrategias alternativas de continuidad:
a. No hacer nada
b. Aplazar la acción
c. Manual de procedimientos
d. Acuerdos recíprocos de alternativa lugar o la instalación de negocios.
-
48
e. Fuente alternativa de producto de terceros proveedores de
servicios/proveedores externos.
f. Procesamiento distribuido
g. Alternativo de comunicación
h. Mitigación
i. Planificación anticipada
j. Comparar las soluciones internas y externas
k. Evaluar los riesgos asociados a cada estrategia de continuidad opcional.
En el manual de gestión de continuidad de negocios de Impulsadora de créditos,
S.A cada proceso deberá contar con una estrategia de continuidad de negocio
que podrá ir desde la instalación de un sitio alterno, hasta la suspensión del
proceso por un tiempo determinado.