UNIVERSIDAD PRIVADA SAN JUAN BAUTISTA

FACULTAD DE INGENIERIA DE COMPUTACION Y SISTEMA

ESCUELA PROFESIONAL DE INGENIERIA DE COMPUTACION SISTEMAS

Continuidad del Negocio

Docente

QUIROZ PEÑA ELMER OMAR

Presentado por

Chava Gonzales Romer Israel

ICA – PERÚ

2019
 Agradecimiento

A mis padres quienes a lo largo de toda mi vida me han apoyado y motivado en mi formación

académica, creyeron en todo momento y no dudaron de la habilidad con la que cuento.

A mis profesores a quienes les debemos gran parte de todo el conocimiento que he obtenido

a lo largo de mi carrera, gracias a su paciencia y enseñanza, finalmente un eterno

agradicimiento.

A es prestigiosa universidad la cual abre sus puertas a jóvenes como yo preparándonos para

futuro competitivo y formándonos como profesionales con sentido de seriedad,

responsabilidad y rigor académico.

 TABLA DE CONTENIDO

RESUMEN……………………………………………………………………9

1. INTRODUCCIÓN ............................................................................................ 6
1.1. JUSTIFICACIÓN.............................................................................................. 6
1.2. PROBLEMA ..................................................................................................... 7

1.3. OBJETIVOS...................................................................................................... 8
1.3.1. OBJETIVO GENERAL .................................................................................... 8
1.3.2. OBJETIVOS ESPECÍFICOS ............................................................................ 8
1.4. ORGANIZACIÓN DEL DOCUMENTO ......................................................... 8
2. SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO ................ 9
2.1. Gestión de continuidad del negocio en una organización ................................. 9
2.2. Gestión de continuidad del negocio en el mundo ........................................... 10
2.3. Empresa que enfrentaron situaciones adversas por no contar con un plan de
continuidad del negocio .................................................................................. 14
2.3.1. PHILIPS .......................................................................................................... 14
2.3.2. TORRES GEMELAS ...................................................................................... 14
3.1. Definición del modelo PHVA ......................................................................... 15
3.2. Etapas del modelo PHVA ............................................................................... 16
3.2.1. Planear: diagnostico y diseño: ....................................................................... 20
3.2.1.1. Gobierno y estructura ................................................................................. 20
3.2.1.2. Análisis de riesgos ....................................................................................... 22
3.2.1.3. Análisis de impacto del negocio (BIA) ....................................................... 25
3.2.2. Hacer: implementación y ejecución ............................................................... 28
3.2.2.1 Estrategias de continuidad del negocio ........................................................ 28
3.2.2.2. Desarrollo de los planes de continuidad de negocio ................................... 32
3.2.3. Verificar: monitoreo y medición .................................................................... 41
3.2.4. Actuar: mejoramiento continuo ...................................................................... 45
3.2.4.1. Mantenimiento y actualización .................................................................... 45
4. EMPRESAS QUE HAN IMPLEMENTADO PLAN DE CONTINUIDAD
DEL NEGOCIO BASÁNDOSE EN EL MODELO PHVA ........................... 49
4.1. BANESCO (Banco Universal, Caracas Venezuela) .......................................... 49
4.2. Asociación de Bancos en México ................................................................... 50
4.3. CITIGROUP (Computer world, 2007)............................................................ 51
4.4. Bouygues Construction (Microsoft, 2008) ...................................................... 51
4.5. BANXICO (Banco de México ,2008) ............................................................ 52
4.6. BANORTE ...................................................................................................... 52
4.7. COMPAREX ESPAÑA S.A. (The availability architects) ............................. 53
4.8. WAL MART STORES INC. .......................................................................... 54
5. DISCUSIÓN.................................................................................................... 55
6. CONCLUSIONES .......................................................................................... 58
7. BIBLIOGRAFÍA ............................................................................................. 60
 RESUMEN

La Continuidad del Negocio permite revisar constantemente los riesgos del negocio y el

conocer el grado real de preparación para responder ante situaciones imprevistas, ayudando

a minimizar el impacto en el negocio de las posibles interrupciones.

La capacidad de una organización para recuperarse de un desastre está directamente

relacionada con el grado de planificación de la continuidad de negocio que ha tenido lugar

antes del desastre [1].

Planes de continuidad del negocio son fundamentales para el funcionamiento continuo de

todo tipo de empresas. Más importante todavía, estos planes están adquiriendo mayor

importancia a medida que las empresas se vuelven cada vez más dependientes de la

tecnología para hacer negocios.

1. INTRODUCCIÓN

El Sistema de Gestión de Continuidad de Negocio (SGCN) es una parte integral de las buenas

prácticas de gestión y un elemento esencial para la buena dirección corporativa; es genérica

e independiente de cualquier sector industrial, social o económico; es un proceso iterativo

que consta de etapas que, cuando se realizan en secuencia, permiten la mejora continua en la

toma de decisiones [2].

El enfoque de esta monografía apunta a la elaboración de un estado del arte sobre la gestión

de continuidad del negocio y el modelo Planificar-Hacer-Verificar-Actuar (PHVA) [3] para

aquellas organizaciones que quieren implementar planes de contingencia y poder salvar su

negocio de cualquier tipo de amenaza que está presente.

La gestión de continuidad de negocio, debería formar parte de la cultura de una organización,

debería estar radicada en los procesos, en la filosofía y las prácticas para que así se logre que

todos en la organización se involucren con la continuidad de negocio, de forma eficiente y

se tiene más probabilidad de alcanzar sus objetivos, de hacerlo a menor costo y de satisfacer

y exceder las expectativas y requerimientos de las partes interesadas, al mismo tiempo

preparándose para afrontar desastres catastróficos.

1.1. JUSTIFICACIÓN

El Sistema de Gestión de Continuidad de Negocio (SGCN) consiste en una preparación

proactiva de la organización frente a contingencias, mediante el desarrollo de mecanismos

para restaurar los procesos clave, protegiendo el servicio al cliente y por ende la reputación

de la compañía [4].
Si la empresa llegase a perder su información generaría crisis financiera, perdida de datos de

clientes, proveedores, etc. Es por eso que esta monografía consiste en la elaboración de un

estado del arte sobre gestión de continuidad del negocio y el modelo PHVA para aquellas

organizaciones que quieran implementar planes de contingencia y salvar su negocio de

cualquier amenaza y así mantener la continuidad de sus operaciones y servicios.

Desde el punto de vista del especialista en seguridad de la información estará en capacidad

de minimizar el riesgo asociado a la perdida de integridad, confidencialidad y disponibilidad

de la información, elaborando planes de contingencia mediante la adaptación, desarrollo e

implementación de mejores prácticas.

1.2. PROBLEMA

A nivel de investigación sobre gestión de continuidad del negocio se ha visto que la

información suele casi siempre enfocarse en su definición como tal y es muy raro ver cuando

las fuentes nos muestran información completa sobre continuidad del negocio.

La problemática de este tema de investigación se debe a que las fuentes nos muestran un

concepto general el cual nos aporta información muy limitada, que no nos suele ayudar al

enfoque empresarial. Por tanto, la organización que quería perdurar necesita desarrollar

procesos internos enfocados en garantizar la continuidad de negocio, que incluyan a las partes

interesadas y a la comunidad en general, así como también los procesos, la infraestructura y

las herramientas tecnológicas utilizadas por dicha organización.

1.3. OBJETIVOS

1.3.1. OBJETIVO GENERAL

Elaborar un estado del arte sobre la gestión de la continuidad del negocio y particularmente

en el modelo PHVA.

1.3.2. OBJETIVOS ESPECÍFICOS

 Investigar y analizar lo referente a gestión en la continuidad del negocio

 Investigar y describir el modelo PHVA y su funcionamiento

 Realizar una discusión sobre la importancia de utilizar planes de continuidad del

negocio y en especial, el modelo PHVA

1.4. ORGANIZACIÓN DEL DOCUMENTO

Esta monografía está organizada por 3 capítulos:

El primer capítulo está conformado por sistemas de gestión de continuidad del negocio,

dentro de este capítulo tenemos los subtemas gestión de continuidad del negocio en una

organización, Gestión de continuidad del negocio en el mundo y empresas que enfrentaron

situaciones adversas por no contar con un plan de continuidad del negocio.

El segundo capítulo está conformado por el modelo PHVA dentro de este capítulo tenemos

los subtemas definición del modelo phva, Etapas o fases del modelo PHVA.

El tercer capítulo habla sobre las empresas que han implementado planes de contingencia

basados en el modelo PHVA

2. SISTEMAS DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO

2.1. Gestión de continuidad del negocio en una organización

La presencia de diferentes tipos de riesgo sumando a la falta de procesos organizacionales

sistemáticos encargados de identificarlos y gestionarlos se convierte en una de las principales

causas por las cuales se presentan siniestros en las organizaciones, llegando, incluso, a

provocar su desaparición del mercado. Por tanto, la organización que quería perdurar necesita

desarrollar procesos internos enfocados en garantizar la continuidad de negocio, que incluyan

a las partes interesadas y a la comunidad en general, así como también los procesos, la

infraestructura y las herramientas tecnológicas utilizadas por dicha organización.

Es por eso que esta monografía está enfocada dentro del modelo planificar-hacer-verificar-

actuar (PHVA) [3] de los sistemas de gestión, con el fin de apoyar la gestión de la dirección

de la organización y así mantener la continuidad de sus operaciones y servicios.

Figura 1. Sistema de gestión de continuidad del negocio

2.2. Gestión de continuidad del negocio en el mundo

Un estudio realizado por el Emergency Management Forum (Oak Ridge Regional

Emergency Management, 2009) en Estados Unidos dice lo siguiente: “de cada 100 empresas

que afrontan un desastre sin contar con un Plan de Continuidad del Negocio, el 43% nunca

reabren, 51% sobrevive pero están fuera del mercado en 2 años y sólo el 6% logra sobrevivir

a largo plazo”.

Apoyado en los resultados de este estudio, es necesario poner en marcha medidas que nos

permitan estar preparados ante los cambios que un incidente pueda ocasionar a nuestro

negocio. La globalización y los cambios tecnológicos son sólo algunos de los elementos que

marcan el ritmo de planeación que debe tener una organización.

El empresario debe pensar de forma activa, agregando integridad, disponibilidad y

confiabilidad a todos los procesos críticos de negocio desde el principio. Tener una respuesta

rápida a las emergencias y lograr una recuperación eficiente sólo se logra con una adecuada

planeación y control de la continuidad del negocio [4].

A nivel mundial existen organizaciones especializadas en el apoyo a este tema. Dentro de las

más sobresalientes están:

 A nivel de consultaría: Deloitte, KPMG, Risk México, Price Water House Coopers.

 A nivel de servicios de apoyo, como hardware, software, sitios alternos o centro de

llamadas: IBM, EMC, Symantec, Veritas, CITRIX, CISCO.

 A nivel de disciplina: Business Continuity Institute (BCI), Business Standar Institute

(BSI),

 Disaster Recovery Institute Internacional (DRII), COBIT, ISO17799, NIST-SP800-34-

BCP, ITIL, NFPA [5].

En 2004, el Cartered Management Institute realizó una encuesta sobre las empresas que

cuentan con un Plan de Continuidad del Negocio (Angela Martín, 2004). La encuesta tuvo

como finalidad explorar el alcance y naturaleza de sus planes. Esta encuesta fue realizada en

el Reino Unido a 461 Gerentes y entre los resultados más importantes tenemos los siguientes:

Las causas de interrupción, según ese estudio, son mostradas en la Figura 1. Donde el 25%

corresponde a pérdida de capacidad de IT, el 23% a Fallas de Telecomunicaciones y el 20%

a Fallas Humanas.
 Figura 2. Tabulación de las encuestas realizada por el UK a los gerentes de diferentes empresas que

cuentan con plan de contingencia

Fuente:

http://www.channelplanet.com/index.php?idcategoria=12410, consultado el 1 Octubre 2009.

Así mismo, el cese de operaciones se muestra en la Figura 2, donde el 16% corresponde a

Publicidad negativa, el 12% Interrupciones de la cadena de suministro, el 10% Inundaciones

y vientos fuertes, el 8% Daños en la reputación e imagen corporativa, el 8% Salud de los

empleados, el 7% Presión de grupos de protesta, el 7% Conflictos militares y con 1% Daños

ocasionados por el terrorismo

 Figura 3. Cese de operaciones

Dentro de las estrategias para cuidar la imagen de las empresas y darle continuidad a las

comunicaciones, tenemos que el 66% Se enfocan en mantener las comunicaciones de voz, el

53% Acceso a Internet, el 46% Aplicaciones en tiempo real y con un 38% Acceso a la

información Histórica. De las empresas que fueron encuestadas, sólo 47% tiene un Plan de

Continuidad del Negocio [6].

SunGard (2003), líder mundial en servicios de Continuidad del Negocio, nos habla sobre la

Importancia que tiene solicitar servicios de outsourcing para el manejo del tema de

continuidad del negocio, obteniendo como resultado liberar al personal interno para que sea

más dedicado a las operaciones relacionadas con el negocio. Además de tener acceso a

capacidades y materiales de clase mundial, permite compartir riesgos, permite flexibilidad

ante cambios del mercado.

Sobre el costo de “Down time” por hora, SunGard (2003) nos comenta las siguientes cifras,

según el conocimiento que tiene de sus clientes, el de Telecomunicaciones es de US$780,000,

Bancos US$360,000, Fiduciario US$240,000, Otros US$180,000 [7].

Estos datos evidencian que si las empresas no establecen planes de contingencia pueden

llegar al fracaso e incluso a la quiebra.

2.3. Empresa que enfrentaron situaciones adversas por no contar con un plan

de continuidad del negocio

2.3.1. PHILIPS

Philips no contaba con un Plan de Continuidad del Negocio. Después del Incendio en una

planta de producción de chips de Philips Semiconductors causó el cierre por seis semanas.

Las perdidas obtenidas en las seis semanas fueron mucho más de lo que hubiera invertido en

un Plan de Continuidad del Negocio [8].

2.3.2. TORRES GEMELAS

Las torres gemelas no contaban con un plan de de continuidad del negocio después del ataque

terrorista que se vio en vuelta, causo pedidas financieras, perdidas de información muy

valiosa e incluso genero crisis financiera en España.

3. MODELO PHVA

3.1. Definición del modelo PHVA

El ciclo de mejora continua “Planificar- hacer-Verificar-Actuar” fue desarrollado

inicialmente en la década de 1920 por Walter Shewhart, y fue popularizado por W, Edwars

Deming. Por esta razón es frecuentemente conocido como el “Ciclo de Deming”.

Dentro del contexto de un Sistema de Gestión de la Calidad, el PHVA es un ciclo dinámico

que puede desarrollarse dentro de cada proceso de la organización y en el sistema de procesos

como un todo. Está íntimamente asociado con la planificación, implementación, control y

mejora continua, tanto en la realización del producto como en otros procesos del SGC.

El mantenimiento y la mejora continua de la capacidad del proceso puede lograrse aplicando

el concepto de PHVA en todos los niveles dentro de la organización, esto aplica por igual a

los procesos estratégicos de alto nivel, tales como la planificación de los Sistemas de Gestión

de la Calidad o la revisión por la dirección, y a las actividades operacionales simples llevadas

a cabo como una parte de los procesos de realización del producto.

El enfoque basado en procesos indica que todos los procesos como las auditorías internas, la

revisión por la dirección el análisis de datos y el proceso de gestión de recursos, entre otros,

pueden ser gestionados utilizando como base el ciclo de mejora continua PHVA [9].

La Norma ISO 9001:2000 explica que el ciclo PHVA aplica a los procesos tal y como se

muestra en la figura 4 [10].

 Figura 4. Modelo PHVA según la ISO 9000:2000

Fuente: http://johnnavas.galeon.com/productos1002127.html

3.2. Etapas del modelo PHVA

En la Tabla 1 se muestra el ciclo de vida del SGCN, enmarcado dentro del ciclo PHVA, el

cual está compuesto por cuatro fases básicas, dentro de las cuales se incorporan los

componentes claves del sistema que lo hacen modular, flexible y adaptable a la dinámica de

la organización y su entorno. Estas son [11]:

Tabla 1. Fases del sistema de gestión de continuidad del negocio

Fase- Modelo (PHVA) Descripción

Planear: diagnostico y diseño: En esta fase se dimensiona el SGCN

 Procesos identificando las características más

 Gobierno y estructura relevantes de la organización. Sus

  Análisis de riesgos necesidades particulares, los riesgos

 Análisis de impacto del negocio existentes, su nivel de exposición y control,

(BIA) así como los impactos producto de la

 Diseño global del programa materialización de dichos riesgos.

Así mismo, se definen planes de acción a

corto, mediano y largo plazo y se diseñan

las estrategias de continuidad que serán

implementadas, con características de

confiabilidad, disponibilidad, seguridad y

recuperabilidad, por medio las cuales se

definirán los recursos mínimos requeridos

para la reanudación y recuperación de los

procesos críticos del negocio.

Hacer: implementación y ejecución: En esta fase busca aplicar las estrategias y

 Implementación de estrategias planes diseñados, con el fin de obtener los

 Desarrollo e implementación de resultados planificados; en esta fase se

planes de continuidad de debería llevar a cabo la sensibilización del

operaciones, respuesta a SGCN.

emergencia y manejo de crisis También se definen los equipos de

continuidad del negocio que actuaran en las

distintas instancias de una situación de

contingencia y se desarrollaran los

 diferentes tipos de planes que integran el

SGCN.

Finalmente, se divulgara el programa en la

organización y se implementaran esquemas

de formación y entrenamiento para sus

miembros.

Verificar: monitoreo y medición Durante esta fase de efectuar el seguimiento

 Pruebas y ejercicios a la implementación de las estrategias

seleccionadas, además se realizan las

respectivas mediciones para detectar las

desviaciones e identificar las oportunidades

de mejora que se deben documentar y que

son el insumo para la fase del sistema.

Actuar: mejoramiento continuo En esta fase se consolidan las oportunidades

 Mantenimiento y actualización de mejora y corrigen las desviaciones

 Auditorias documentadas en la fase anterior.

Las oportunidades de mejora deben

considerar el cumplimiento de los requisitos

y el aprovechamiento de los recursos, para

luego plasmarlas en planes o programas de

trabajo con asignación de recursos,

 responsables y posibles fechas de

cumplimiento, para así lograr el ajuste y la

optimización del SGCN y entrar en el ciclo

de mejora continua-

Fuente: guía técnica colombiana

Figura 5. Ciclo de vida del sistema de gestión de continuidad del negocio

Fuente: http://dexconsultores.blogspot.com/2013/06/ntc-iso-223012012-gestion-de-la.html

Es importante tener en cuenta como el SGCN integra diferentes factores, los cuales podrían

ser generadores de riesgo para la organización, afectando la continuidad del negocio.

3.2.1. Planear: diagnostico y diseño:

3.2.1.1. Gobierno y estructura

Uno de los elementos claves en el SGCN es la definición de un marco de referencia del

gobierno para su administración, que sea la base fundamental para encaminar y orientar el

desarrollo permanente de la disciplina de continuidad que deben adquirir todos aquellos que

de una u otra forma son responsables de mantenerla [12].

Las políticas, al igual que los procesos, son la base fundamental para alcanzar un ambiente

óptimo en las organizaciones que buscan mantener la continuidad de las operaciones claves

de la organización.

El gobierno requiere de una estructura organizacional que oriente de manera general el

desarrollo permanente de la continuidad en la organización, para que se visualicen los

elementos que componen el SGCN, tales como los tecnológicos, operativos, de salvamento

y administración de incidentes en general. La continuidad del negocio es responsabilidad de

todos los miembros de la organización y la gestión de la continuidad requiere de la presencia

de un líder que motive y desarrolle las condiciones necesarias con el apoyo de la alta

dirección [13].
 Figura 6. Gobierno de la gestión de continuidad de negocio

Fuente: NTC-5722:2000

La alta dirección de la organización debería evidenciar su compromiso con el SGCN

manteniendo y respetando el modelo PHVA para diagnosticar, implementar, verificar y

establecer planes de mejoramiento que alimenten al sistema en forma permanente, así:

 Mediante el establecimiento de una o varias políticas del SGCN

 Asegurando que se establezcan los objetivos y planes del SGCN

 Estableciendo la estructura organizacional, las funciones, los roles y las

responsabilidades en el tema de continuidad del negocio.

 Comunicando a la organización la importancia de cumplir los objetivos y la política de

la continuidad de negocio, sus responsabilidades legales, y la necesidad de la mejora

continua.

 Asignando los recursos suficientes para mantener, operar y mejorar el modelo PHVA del

sistema de gestión de continuidad.

 Asegurando que se realizan las verificaciones o auditorías internas del SGCN [14].

3.2.1.2. Análisis de riesgos

El análisis de riesgos consiste en identificar las amenazas sobre estos activos y su

probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que las

citadas amenazas pueden provocar sobre la disponibilidad de los mismos.[15]

Si bien existen diversas metodologías de análisis de riesgos (MAGERIT, OCTAVE), e

incluso herramientas que ayudan a automatizar el proceso (EAR/PILAR), todas ellas siguen

la siguiente secuencia de acción:

 Identificar activos: para cada una de las actividades críticas de la organización, es

necesario identificar y valorar los activos involucrados. La mayor parte de esta tarea

debiera haber sido completada en el BIA.

 identificar y evaluar las amenazas sobre los activos identificados previamente y su

probabilidad de que sucedan. Aunque existen di-versas tipologías de amenazas, algunos

ejemplos de ellas son fuego, inundación, fallo eléctrico, absentismo laboral, huelgas, etc.

 Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las cuales

pueden ser explotadas por las amenazas.

 Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad del

activo y provoque daño sobre el mismo.

 Calcular el riesgo como la probabilidad de que se produzca un impacto determinado en

la organización.[16]

El proceso de análisis de riesgos puede ser abordado de forma cualitativa, cuantitativa o

incluso mezcla de ambos. En la siguiente tabla se describen los 2 tipos de análisis de riesgos

junto con las ventajas e inconvenientes asociados a los mismos [16].

Tabla 2. Descripción de tipos de análisis de riesgos

Tipo de Análisis de

riesgos Descripción ventajas Inconvenientes

Basado en  Sencillez

clasificaciones  Rapidez subjetividad

Cualitativo
descriptivas y subjetivas  Equilibrio

del negocio

Cuantitativo Basado en términos  Exactitud Complejidad para

monetarios  integridad estimar costes reales

Fuente: el autor

Independientemente de la metodología o de las herramientas empleadas para el análisis de

riesgos, el resultado del proceso será un mapa de riesgos que permite identificar y priorizar
 aquellos que pueden provocar una paralización de las actividades de negocio de la

organización o de los recursos críticos sobre los cuales dichas actividades están soportadas.

¿Qué puede hacer la organización ante los riesgos que ha identificado? Existen diferentes

opciones para hacer frente a los mismos:

 Aceptar el riesgo: la organización conoce el riesgo y decide asumirlo sin tomar ninguna

acción al respecto, bien porque no tiene capacidad o bien porque el coste para mitigar

el riesgo es desproporcionado para los beneficios que aporta.

 Transferir el riesgo: como por ejemplo a través de la subcontratación de servicios o

mediante la contratación de un seguro de cobertura, de forma que si el riesgo se

materializa exista una compensación externa que lo mitigue.

 Reducir el riesgo a niveles aceptables por la organización: mediante el diseño y la

implantación de controles o medidas preventivas o que atenúen los impactos y las

consecuencias del mismo.

 Evitar el riesgo: mediante la eliminación del mismo (por ejemplo a través de la

reingeniería de procesos o incluso suspendiendo la actividad que origina el riesgo sin

penalizar los objetivos de negocio de la organización) [17].

Las distintas opciones para hacer frente a los riesgos pueden ser utilizadas simultáneamente,

si bien es destacable que no todos los riesgos pueden ser reducidos o prevenidos a un nivel

aceptable.

La continuidad de negocio constituye por sí misma una estrategia o una opción de respuesta

para hacer frente a aquellos riesgos que pueden interrumpir las operaciones de la

organización.
3.2.1.3. Análisis de impacto del negocio (BIA)

El análisis de impacto al negocio inicia con la identificación de las funciones y procesos

críticos de la organización, con el fin de determinar el impacto asociado a los riesgos que

pueden afectar la continuidad del negocio.

La estimación del impacto debería tener en cuenta aspectos tangibles e intangibles, los cuales

deben estar expresados en términos cuantitativos y cualitativos [18].

Como aspectos tangibles se pueden considerar, entre otros, los siguientes:

 Disminución de las utilidades

 Penalidades y multas

 Disminución en la productividad

Y como intangibles:

 Costo de oportunidad

 Reconstrucción de la imagen y credibilidad de la organización

 Perdida de información [19].

Objetivos del BIA

 Evaluar impactos de interrupción/tiempo

 Determinar impactos financieros y operacionales

 Determinar la criticidad de tiempo para los procesos de negocio, funciones,

departamentos y aéreas de trabajo considerando toda la organización.

 Determinar las características del momento crítico [20].

Beneficios del BIA

 Reducir la responsabilidad legal

 Minimizar las posibles pérdidas económicas

 Disminuir la exposición de la imagen

 Reducir la interrupción de las operaciones normales

 Asegura la estabilidad de la empresa

 Asegurar un recuperación ordenada

 Minimizar los valores seguros

 Incrementa la protección de activos

 Garantiza la seguridad del personal, de los clientes y socios

 Cumple con las disposiciones legales y normativas [20].

Hay términos fundamentales que se asocian típicamente al BIA

MAO Maximum Aceptable Outage (Interrupción máxima aceptable): tiempo que tomaría

para que los efectos adversos que puedan surgir como consecuencia de no proporcionar un

producto o servicio o la no realización de una actividad, sean inaceptables [21].

MTPD Maximum tolerable period of disruption (Período máximo tolerable de

interrupción): tiempo que tomaría para que los efectos adversos que puedan surgir como

consecuencia de no proporcionar un producto o servicio o la no realización de una actividad,

lleguen a ser inaceptables [22].

MBCO minimum business continuity objective (objetivo mínimo de continuidad del

negocio): Nivel mínimo de servicios o productos y que sería aceptable para la organización

para lograr sus objetivos durante una interrupción. [23]

RPO recovery point objective (punto objetivo de recuperación): • punto en que la

información utilizada por una actividad debe ser restaurada para que la actividad reanude

operaciones. [24]

RTO recovery time objective (tiempo objetivo de recuperación): período de tiempo después

de un incidente en el que: el producto o servicio debe reanudarse, la actividad debe

reanudarse o los recursos debe ser recuperados [25]

Etapas del análisis de impacto al negocio:

Identificar los procesos críticos del negocio: en esta etapa se identifican las funciones y

procesos críticos del negocio, sus entradas y resultados y la relación que tiene con otros

procesos de la organización, de tal forma que se logre identificar la dependencia e influencia

que la función o el proceso analizado tiene con otras funciones y procesos. La elaboración

de matrices y mapas de procesos, entre otras herramientas, permite conocer más a fondo el

funcionamiento de la organización.

Valorar el impacto operativo y financiero: el impacto cuantitativo está compuesto de todas

aquellas pérdidas económicas que puedan reflejarse en un costo para la organización. Es

importante tener en cuenta las perdidas entendidas como un menor valor en el ingreso y

también como una disminución en el patrimonio y capital de la organización; igualmente se

debe valorar el impacto económico producto de gastos extras en los que sea necesario incurrir

en un evento que amenace la continuidad de negocio.

Determinar los tiempos objetivos de recuperación: para cada uno de los procesos en

evaluación, se establecerá un objetivo de tiempo de recuperación y un objetivo de punto de

recuperación. Para este último se recomienda identificar la información de forma automática

y/o manual, en caso de ser necesario.

Priorizar los procesos para su recuperación: a partir de esta etapa se establece la prioridad

de los procesos para la recuperación. Allí se da la clasificación final de criticidad de los

procesos, de modo que sea posible elegir cuáles de ellos serán recuperados y restaurados ante

una situación de crisis, es decir se establece la secuencia de recuperación para los procesos

elegidos.

Determinar los recursos mínimos de recuperación: es necesario identificar los recursos

que estan asociados a los procesos críticos en relación con aspectos antrópicos, tecnológicos,

ambientales y documentales, etc. Se define la secuencia de recuperación de dichos recursos

acorde con la prioridad de procesos y los tiempos de recuperación establecidos.

Identificar previamente las estrategias: se debería identificar previamente las posibles

estrategias necesarias para reanudar los procesos críticos, incluyendo aquellas estrategias que

permitirán darle continuidad a la operación, aun sin soporte tecnológico [26].

3.2.2. Hacer: implementación y ejecución

3.2.2.1 Estrategias de continuidad del negocio

Las estrategias de continuidad de negocio se basan en elegir la mejor opcion u opciones,

desde el punto de vista económico, técnico u operativo, para gestionar la continuidad de los

procesos críticos, partiendo del análisis de riesgo y el resultado obtenido del análisis de

impacto del negocio. Estos son los insumos necesarios para desarrollar la estrategia de

continuidad, la cual debería definir su alcance y estar enfocada de manera prioritaria a los

procesos que tengan alto impacto y/o alto riesgo [27].

Aspectos por tener en cuenta para la elección de las estrategias:

 Identificación de alternativas internas y externas

 Análisis de factibilidad (técnica y operativa) de implementación de las diferentes

alternativas de continuidad identificadas

 Análisis de relación costo-beneficio de la estrategia y presentar dicho análisis a la alta

dirección, con el fin de tomar decisiones.

 Análisis de objetivos de punto de respuesta (RPO) y objetivos de tiempo de respuesta

(RTO) más conveniente para la organización [27].

Estrategias genéricas para la continuidad del negocio

1. Reducción del riesgo: actividad dirigida a evitar que ocurran eventos adversos o al

menos, mitigar sus consecuencias.

Las actividades que se realicen dentro del marco de la reducción del riesgo deben

conllevar un esfuerzo claro y explicito por reducir la posibilidad de ocurrencia de eventos

adversos y/o la consecuencia derivada de los mismos. Existen dos formas de reducción

del riesgo:

 Prevención: conjunto de acciones cuyo objeto es impedir la ocurrencia de eventos

adversos, ya sean naturales, tecnológicos o antrópicos. La prevención reduce el riesgo

disminuyendo la probabilidad de ocurrencia de los eventos adversos.

 Mitigación: conjunto de acciones cuyo objeto es reducir los efectos o consecuencias

derivadas de la ocurrencia de eventos adversos. En mitigación, la inversión es una

acción destinada a modificar:

  Las características de un fenómeno, con el fin de reducir las consecuencias del

mismo.

 Las características intrínsecas de un sistema biológico, físico, social u

organizacional, a fin de reducir su vulnerabilidad.

 Reducir los efectos no deseados sobre vidas y propiedades.

2. Manejo de eventos adversos: la mejor manera de enfrentar los eventos adversos es

preverlos. Existen dos alternativas para el manejo de eventos adversos:

 Preparación: conjunto de medidas y acciones para reducir al mismo la pérdida de vidas

humanas y otros daños, organizando oportuna y eficazmente la respuesta y la

rehabilitación. A este componente corresponden, entre otras, las siguientes actividades:

 Definición de las funciones de las aéreas operativas o unidades de negocio (planes).

 Inventario de recursos físicos, humanos y financieros (planes)

 Capacitación e información al personal, acerca de riesgos e instrucciones a cumplir

en caso de un evento adverso.

 Instalación de elementos de alerta, tales como detectores, sensores y redes de

monitoreo.

 Ejercicios de simulación y simulacros

 Respuesta: acciones llevadas a cabo ante un evento adverso y que tienen por objeto

salvar vidas, reducir el sufrimiento y disminuir pérdidas.

3. Recuperación: proceso de restablecimiento de las condiciones normales de operación de

la organización. Existen dos alternativas de recuperación:

 Rehabilitación: recuperación, a corto plazo y en forma transitoria, de los servicios

básicos de subsistencia e inicio de la reparación del daño; inicia con poner en

funcionamiento los procesos estratégicos de la organización.

 Reconstrucción: proceso de reparación, a mediano y largo plazo, del daño, a un nivel de

desarrollo superior al existente antes del evento. Mediante la reconstrucción se logra la

solución permanente de los problemas de riesgos anteriores a la ocurrencia del evento

adverso y el mejoramiento de la calidad de vida de la continuidad.

4. Transferencia del riesgo: transferir el riesgo involucra que otra organización asuma

todo el riesgo o comparta parte de él. Usualmente por medio de un contrato. Las formas

más comunes de compartir riesgos son la subcontratación, la contratación externa, los

seguros, si es aplicable. En algunos casos el uso de instrumentos financieros para

compartir, proteger contra los riesgos económicos antes de que ocurra un evento adverso

o una perdida.

5. Planificación anticipada: la organización puede contemplar dentro de su planificación

anticipada las siguientes opciones:

 Centro de operaciones alterno y propio: asegura a la compañía instalaciones, las

cuales estarán disponibles durante todos los desastres que se puedan presentar y que,

por su condición, se utilizaran para realizar pruebas en el momento en que se

considere necesario.
  Acuerdo de ayuda mutua: este acuerdo se puede realizar con organizaciones del

mismo sector o grupo económico, compartiendo recursos y buscando así minimizar

los costos.

 Acuerdos con proveedores: este acuerdo se puede establecer en el contrato con el

proveedor; la razón por la cual es viable está asociada directamente a la efectividad

del proveedor y a su conocimiento en relación con el producto o servicio

suministrado.

 Empresas de servicios especializados: al tener el centro de operaciones alterno bajo

la custodia de una empresa de servicio especializada en el tema, el soporte técnico de

operación, comunicación de datos y planificación está garantizando. Adicionalmente,

las empresas de servicio especializados cuentan con una instalación normalmente

idónea, soluciones y costos a la medida de la organización [28].

3.2.2.2. Desarrollo de los planes de continuidad de negocio

Una vez la organización ha analizado su exposición al riesgo, el impacto directo al negocio

y ha evaluado estrategias que le permitan continuar con su operación normal, debería elaborar

y formalizar los planes de continuidad de negocio.

Todas las actividades que deberían realizarse durante una situación de crisis, se convierten

en un proyecto complejo en el que interviene en numerosas funciones y personas, se

administran gran cantidad de recursos y se aplican numerosos procedimientos tanto técnicos

como operativos. Esta investigación se traduce en planes de continuidad de negocios, los

cuales se deberían activar y ejecutar en tiempos muy breves, por lo que las actividades

deberían estar planificadas con rigor.

Estos planes son planes estratégicos definidos por la alta dirección, los cuales se desarrollan

para conseguir una restauración progresiva y ágil de los servicios afectados por una

interrupción total o parcial de la capacidad operativa de la organización.

Un plan de continuidad del negocio busca establecer como una organización puede continuar

con sus operaciones en el evento que se produzca una interrupción; la responsabilidad que

este exista, este bien dimensionando y cuente con los recursos necesarios para llevarse a cabo

[29].

Para la elaboración y desarrollo de los planes de continuidad de negocios, se deben tener en

cuenta los siguientes elementos:

1. identificación de escenarios: es importante tener claro cuál o cuáles son los

escenarios de falla que se pretende cubrir con el plan, es decir, puede diseñarse para cubrir

un evento de falla del sistema de información o de una línea de producción, puede estar

enfocado a cubrir la ausencia del personal clave, la perdida de las instalaciones físicas o la

destrucción total.

2. Selección del recurso humano: posteriormente se definirán los grupos humanos que

estarán al frente de las actividades. En forma general se presentan algunos ejemplos de los

equipos y sus roles. Que dependiendo del tamaño de la organización se podrían establecer:

 Equipo directivo: está conformado por la alta dirección y es encargado de dar la

instrucción para activar los planes de continuidad del negocio.

Algunos de los roles que cumple el equipo directivo son:

  Equipo de manejo de crisis: conformado por el personal encargado de brindar

información a los medios de comunicaciones y a las partes interesadas, además de

tomar el control del evento que género la crisis.

 Equipo de unidades de negocio: conformado por el representante de la alta dirección

responsable de una unidad de negocio especifica y el personal clave para ejecutar las

funciones de esta. El equipo debe estar alineado con la estructura organizacional.

 Equipos funcionales: conformado por el personal de la organización asignado para

ejecutar las actividades asociadas a los planes de continuidad específicos y liderado por

el miembro del equipo de unidad de negocios responsable del proceso.

Algunos de los roles que cumple el equipo funcional son:

 Equipos funcionales de tecnología: conformado por el personal del área de

tecnología encargado de ejecutar los planes de continuidad del negocio ej.: soporte

técnico, comunicaciones y redes, etc.

 Equipos de logística: conformado por el personal del área administrativa

responsable de realizar la movilización del personal, la coordinación de la

alimentación y disponibilidad de instalaciones etc.

 Figura 7. Despliegue de los equipos hacia los planes de continuidad

Fuente: guía técnica de Colombia

3. Definición de actividades del plan: cada uno de los equipos debería tener su propio

plan y a la vez contar con uno general que involucre las actividades de todos frente al mismo

escenario.

Los integrantes de cada uno de los equipos deberían definir, con base en su conocimiento

ante un evento inesperado, de la siguiente manera:

 Antes del evento

 Evaluación del incidente

 Declaración de la contingencia

 Activación de los planes

 Regreso a la normalidad [30].

Un plan de continuidad de negocios debería conjugar los tres elementos de cualquier sistema

de protección: seguridad, eficiencia y costo, y por otra parte los elementos que aseguren la

necesaria coordinación entre los diferentes planes con que la organización cuenta para cada

uno de sus procesos.

Entre los diferentes aspectos que deben tenerse en cuenta para el desarrollo de un plan de

continuidad de negocios estan los siguientes:

 Establecimiento de un grupo de trabajo para el desarrollo y posterior implantación del

plan. Este grupo se configura durante situaciones normales y no después.

 Definición de equipos de actuación y nombramiento de responsables de cada equipo

 Priorización de actividades para recuperar las distintas aéreas en el menor tiempo posible.

 Definición de tareas y secuencia en que se deben realizar.

 uso de recursos alternativos

 asignación de responsabilidades al resto de personas que vayan a componer los equipos

de actuación

Fases y tareas que deberían contemplar el plan son

Figura 8. Fases y tareas de un plan de continuidad de negocio

 Fuente: guía técnica de Colombia

4. elementos del plan de continuidad de negocio: un plan de continuidad involucra a los

responsables de los procesos de soporte y a los responsables de las operaciones en la

organización. El recurso humano responsable de estos procesos, los procesos que deben

ser atendidos y las localidades externas que serán utilizadas para garantizar la continuidad

de las operaciones forman parte de los elementos básicos que se requieren para construir

un plan de continuidad de negocio [31]

 Personal (gerente)
 Localidades

 Procesos

Figura 9. Elementos del plan de continuidad de negocios

Fuente: guía técnica de Colombia

5. Tipos de planes: los planes de continuidad del negocio contienen las medidas técnicas,

humanas y de procedimientos necesarios para garantizar la continuidad de las

operaciones en la organización; los planes son desarrollados en casos particulares y

aplicados a departamentos, procesos específicos.

Dada su importancia, alcance y orientación, podemos mencionar tres principales tipos de

planes: plan de manejo de crisis, plan de recuperación de desastres y plan de atención de

emergencias.

A. Plan de manejo de crisis: es un plan global, cuyo objetivo primordial es garantizar

que la organización pueda tomar el control de las situaciones adversas, manejando

adecuadamente la comunicación interna y externa. Este plan suele estar liderado por

la Alta Dirección y su importancia radica en proteger la imagen y generar un ambiente

apropiado para la ejecución posterior de los planes de operación del negocio.

B. Plan de recuperación de desastres: son los planes que buscan la recuperación y la

continuidad tecnológica, es decir, cubren escenarios de falla relacionados con

servidores, aplicativos informáticos, base de datos, comunicaciones, seguridad de la

información, etc. Estos planes son diseñados y ejecutados por personal de procesos

tecnológicos.

C. Plan de atención de emergencias: son los planes enfocados a atender situaciones

que representen emergencias (atentados, incendios, desastres naturales, etc.) para la

 organización, en los cuales busca la protección de las vidas y de los activos.

Usualmente involucra personal de varias aéreas y elementos de seguridad industrial

y salud ocupacional, por ejemplo, brigadas de primeros auxilios [32].

6. Resultados del desarrollo de un plan de continuidad del negocio

El plan de continuidad del negocio busca reducir las consecuencias de un evento adverso

a niveles aceptables y aprobados por la alta dirección.

A través de este plan también se busca que se identifiquen los procesos de alto impacto.

Esta identificación debe incluir a todas las unidades o funciones, o ambas, y debe evaluar

todos los aspectos de la organización.

El resultado del desarrollo del plan de continuidad del negocio es un documento cuya

información requiere incluir como mínimo los siguientes elementos:

 Las responsabilidades de cada una de las personas que ejecutan las acciones de

recuperación.

 Los recursos que se necesitan para recuperar, reanudar, continuar o restaurar las

funciones de negocio.

 Los sitios alternos donde se reanudaran las funciones corporativas, de negocios y

operacionales.

 El momento cuando deben reanudaran las funciones y operaciones del negocio.

 Los procedimientos detallados de recuperación, rehabilitación, continuidad y

restauración [33].
Es primordial contar con un plan de continuidad del negocio confiable, actualizado y

ejecutable, para que la organización pueda responder en forma ordenada y recuperarse de

una crisis, o desastre, con el fin de alcanzar los requisitos de recuperación establecidos.

3.2.3. Verificar: monitoreo y medición

Pruebas y ejercicios:

Las pruebas pueden ejecutarse por diversos métodos:

 Pruebas. Utilizados cuando el procedimiento está siendo probado continuamente.

 Ensayos. Son la práctica de un procedimiento específico el cual requiere el

seguimiento de un script para impartir conocimiento.

 Ejercicios. Está basado en un escenario, es decir eventos que desean ser analizados y

sus consecuencias. [11]

Sin importar el tipo de prueba, la repetición y conjunto de actividades que la fundamentan

permiten identificar detalles o situaciones que requieren atención.

Es necesario demostrar la efectividad del BCM probando mediante ejercicios: los

Roles del personal clave, capacidad de recuperación, conocimiento y toma de decisiones en

situaciones de crisis.
El tiempo y los recursos necesarios para las pruebas y ejercicios de BCM son parte

fundamental del proceso así como infundir confianza y conocimiento necesario a los

participantes. Se debe probar la eficiencia de las pruebas en términos de severidad, realismo

y mínima exposición, términos que se describen a continuación:

 Complejidad. Las pruebas pueden llevarse a cabo con los mismos procedimientos y

métodos que son ejecutados a diario e irlos incrementando a fin de llegar a eventos lo

más cercano a la realidad. Por lo tanto la complejidad de una prueba demostrará que el

negocio está preparado para responder a cualquier riesgo.

 Realismo. La utilidad de una prueba radica en seleccionar escenarios reales. La

simulación de un evento demuestra la viabilidad del BCM en cualquier circunstancia.

 Exposición. Las pruebas pueden desarrollarse en el lugar del negocio o en instalaciones

alternas, dependiendo la complejidad de la prueba y el número de participantes en ella,

el diseño de la prueba demostrará:

 Una prueba simple de mínimo riesgo de la interrupción de las operaciones.

 Una prueba compleja expondrá el riesgo de la interrupción de las operaciones [26].

Las Pruebas y ejercicios se llevan a cabo con la finalidad de cumplir los siguientes objetivos:

 Garantizar que la documentación prevista para ser usada durante eventos o

situaciones de crisis sea validada por la práctica y la evaluación.

 Mantener vigente la documentación de Administración de la Continuidad del Negocio

creada en las etapas del ciclo de vida del proceso de BCM.

 Asegurar que los planes se alineen a los objetivos del negocio, mediante prácticas,
  auditorias y procesos de auto-evaluación.

 Cumplir con los requerimientos de los procesos clave del negocio (RTO&RPO).

 Familiarizar a los equipos con el proceso de Pruebas de BCM.

 Satisfacer los requerimientos legales y de auditoría interna [28].

En las diferentes Pruebas que se pueden realizar, tenemos las siguientes:

 Prueba de escritorio. Esta prueba permite evaluar un plan sin necesidad de realizar la

prueba fuera del edificio. Este tipo de ejercicio debe realizarse a manera de verificar la

consistencia del plan con respecto a algún escenario de interrupción. Este tipo de prueba

permite validar los datos de los planes

 Prueba funcional. En esta prueba se evalúa la efectividad de los planes que integran el

BCM, recreando los procesos de negocio y la participación de los usuarios desde un sitio

alterno.

 Ejercicio Completo. Permite evaluar la continuidad de las operaciones para un escenario

de desastre mayor en el cual se simularía un procesamiento desde el sitio alterno definido

en la estrategia de recuperación. Este tipo de prueba permite validar todos los planes de

contingencia de manera integrada. [28]

En la siguiente tabla se muestra más detalle de cada una de estas pruebas:

Tabla 3. Tipos de ejercicios y pruebas para la BCN

ELEMENTOS ACTIVIDADES PARTICIPANTES

 TIPO DE

PRUEBA

 auditoria

PRUEBA DE  validación Revisar y validar  Dueño del plan

ESCRITORIO
 verificación
el contenido del plan  Autor del plan

 Auditor del plan

PRUEBA  Escenario  Empleados en un

Mover de lugar y recrear
FUNCIONAL  Lugar alterno área de negocio
los procesos de negocio y
 Controles especifica
las funciones de los
 Tiempo de  Instalaciones
participantes desde un
duración  Coordinadores
sitio alterno
 Activación del plan  Observadores

 Componentes  Reguladores

Individuales

 Componentes

integrados

 Escenario

 Lugar alterno  Todos los empleados

Cerrar totalmente la
PRUEBA  Controles  Instalaciones
empresa y cambiar la
EJERCICIO  Tiempo de  Coordinadores
localización de los
COMPLETO duración procesos del negocio  Observadores

 Activación del plan  Reguladores

 Componentes

Individuales

 Componentes

integrados

Fuente: Ana María puentes

Una vez realizado el ejercicio o prueba, se deben probar los resultados con base en los

cuestionarios de revisión. Para este proceso es necesario ordenar todas las evidencias

recolectadas después de la prueba o ejercicio.

Se propone elaborar una reunión con los participantes de la prueba, en la que sea de fácil

visualización a través de gráficas comparativas entre resultados anteriores contra los actuales.

3.2.4. Actuar: mejoramiento continuo

3.2.4.1. Mantenimiento y actualización

El mantenimiento y la actualización de los planes se deberían realizar mediante la evaluación

de los elementos del plan entre otros aspectos del SGCN.

El mantenimiento y actualización de los planes de continuidad deberían contar con el apoyo

de la alta dirección, con los recursos requeridos y considerar este proceso como un asunto

primordial [34].

Responsabilidades del mantenimiento y actualización

Para lograr que un plan se mantenga actualizando y permita la recuperación ante un evento

no deseado es indispensable determinar claramente las responsabilidades de las personas

involucradas en el sistema de gestión de continuidad sobre su mantenimiento, entre las cuales

debería tenerse en cuenta como mínimo las siguientes:

Personal responsable del SGCN: tiene como función coordinar, dirigir y controlar el

mantenimiento del plan, además de identificar los cambios que se presenten en la

organización y que puedan afectar el plan de continuidad de negocio.

Auditores: son los responsables de examinar el plan para determinar si cumple con los

objetivos y la política del SGCN, si es adecuado a los propósitos de la organización y se

encuentra actualizado.

Dueños del plan: responsables por el mantenimiento detallado del plan y por el

establecimiento de los procedimientos de actualización, así como de las revisiones periódicas

del plan de continuidad de negocio y la frecuencia con que se realizaran dichas revisiones.

Grupos de trabajo: responsables por el mantenimiento de las secciones del grupo y el

monitoreo de las actividades.

Alta dirección: responsable de la revisión y aprobación del plan [35].

Para lograr una actualización efectiva de los planes, es necesario que cada tarea de

actualización tenga un responsable, se establezcan fechas límites para las actualizaciones,

que se valide la terminación de cada tarea y se asegure que los cambios realizados como

resultado de una prueba o ejercicio sean implementados

3.2.4.2. Auditorias

La auditoria es una herramienta eficiente y fiable que proporciona información sobre

la cual una organización puede actuar para mejorar su desempeño. El desarrollo de la

auditoria se basa en la validación de los requisitos solicitados por el SGCN y la

existencia de los mismos en la organización. Esto genera un hallazgo, que

 comparando con los objetivos de la auditoria genera, así mismo, una conclusión de la

auditoria.

Figura 10. Auditorias

Fuente: ISO-IEC 27006

Dentro del proceso de auditoría se llevan a cabo las siguientes fases:

Figura 11. Fases de la auditoria

selección del
equipo
auditor

revision de diseño del

resultados de programa de
la auditoria auditoria

realizacion del
desarrollo del
seguimiento
programa de
de la
auditoria
auditoria

Fuente: Ana María puentes

Como resultado de la auditoria se obtienen hallazgos y conclusiones que generalmente se

dividen en:

 Debilidades

 Fortalezas

 Aspectos por mejorar[37]

Si se establece

 Políticas de continuidad
Obtendremos
 Planes CONTINUIDAD

 Formación

 Mantenimiento y actualización
4. EMPRESAS QUE HAN IMPLEMENTADO PLAN DE CONTINUIDAD

DEL NEGOCIO BASÁNDOSE EN EL MODELO PHVA

Para la presente monografía se analizaron 8 empresas las cuales 5 corresponden a Bancos, 1

corresponde a una empresa financiera, 1 corresponde a una empresa especializada en obras

civiles, y la ultima corresponde a una empresa encargada en software, consultorías y

servicios, Se escogieron estas empresas por cuanto son las de mayor riesgo en la gestión de

continuidad del negocio:

4.1. BANESCO (Banco Universal, Caracas Venezuela)

En el 2005, el Banco Universal de Caracas comenzó con el desarrollo de su programa de

Continuidad del Negocio con la asesoría de proveedores como IBM, Unisys, Espiñeira &

Asociados utilizando las metodologías DRII y BCI. Generando en el primer año la definición

de la estrategia de Continuidad del Negocio.

En el 2006 se empezó la elaboración del Análisis de Impacto al Negocio, El Plan de Manejo

de Crisis y el Plan de Manejo de Incidentes. Se elaboró un estudio sobre las posibles

alternativas para los centros Alternos de Operación (cómputo, registros vitales, crisis y

trabajo alterno).

En 2007 se elaboró el Plan de Pruebas, se actualizaron los Análisis de Impacto al Negocio y

los Planes de Continuidad del Negocio.

En 2008 se incluyó un escenario de falla eléctrica al estudio de riesgos, con lo cual se

modificó el Plan de Pruebas y se agregó el Plan de Sensibilización a todo el personal.

En 2009 se actualizó el BIA y se implantó una herramienta WEB para automatizar el

proceso [38].

4.2. Asociación de Bancos en México

Frente a la reciente epidemia de gripe porcina presentada en Abril de 2009, la Asociación de

Bancos en México activó el Plan de Continuidad del Negocio, el cual incluyó las siguientes

Medidas:

 Continuidad en el Sistema de Pagos. Los bancos promovieron el uso de canales alternos

para la realización de operaciones bancarias: ATM’s, Banca Telefónica e Internet.

 En sucursales y edificios Corporativos se adoptaron medidas sanitarias para evitar el

contagio de empleados y clientes.

 Detectando al personal crítico, se organizó la distribución de personal entre edificios.

 Se pusieron en marcha planes de comunicación entre empleados y clientes como: carteles,

correo electrónico, línea de atención telefónica, intranet, entre otros.

 Continuidad de servicios Financieros. En caso de agravarse la situación, se planeaba

facilitar la operación de clientes del sistema de manera indistinta en las sucursales de

cualquier banco.

Las medidas anteriormente citadas, dieron como resultado el cuidado de la salud de las

personas involucradas en el escenario de riesgo [39].

4.3. CITIGROUP (Computer world, 2007)

Después de 3 años de contrato con IBM, Cititgruop, una de las mayores entidades financieras

del mundo por capitalización bursátil, ha renovado su contrato con el proveedor de servicios

de continuidad del negocio.

El proveedor le ofrece 712 lugares equipados para tareas específicas que desarrolla el

personal de Citi. Los lugares tienen además, los servicios de telefonía digital, distribución de

llamadas y grabación de voz. El servicio le ofrece los sitios alternos en Madrid y Barcelona

para poder retomar sus actividades en un escenario de Crisis [40].

4.4. Bouygues Construction (Microsoft, 2008)

Bouygues Construction, empresa especializada en obras civiles y contratos eléctricos y de

mantenimiento, cuenta con un personal de 51,100 empleados distribuidos en 80 países. En el

2006 la empresa implemento la virtualización con Microsoft Server 2005 RD Service pack

1.

El objetivo es reducir el número de servidores en el centro de datos que tienen en Paris, con

esto buscan mejorar el Proceso de Recuperación de Desastres. Están utilizando el sistema

operativo de Windows Server 2008 Enterprise con tecnología de virtualización de Hyper-V

Microsoft System center virtual machina manager 2008. Se espera incrementar el tiempo de

actividad de aplicaciones del negocio [41].

4.5. BANXICO (Banco de México ,2008)

En Septiembre de 2008 BANXICO publicó un análisis que lleva por título Continuidad del

Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe” en el cual se evaluaron siete

bancos de países diferentes, dentro de los resultados obtenidos por el análisis, destacan los

siguientes:

 Todos los países pueden recuperar su principal sistema de pagos el mismo día del

incidente. Dos países reportan un RTO de 3 horas o menos.

 En casi todos los países, excepto uno, existen mecanismos de comunicación bien

definidos que permiten informar al personal de eventos de contingencia y coordinar los

planes de recuperación o movilización al sitio alterno.

 Todos los países cuentan con sitios alternos de operación.

 Todos los países cuentan con infraestructura tecnológica recomendada (respaldo de

datos, replicación de operaciones, etc.)

 Cinco de siete países cuentan con una identificación de escenarios que pueden afectar las

operaciones del Banco.

 Sólo dos países cuenta con formalización de roles y revisiones periódicas al Plan.

 Algunos de los países aún no han llevado a cabo pruebas a sus planes [42].

4.6. BANORTE
En 2006 BANORTE anunció la creación de más avanzado esquema de recuperación de

infraestructura informática, así como la disponibilidad e integridad de la información de los

clientes y operaciones de forma inmediata, después de ocurrido un incidente.

El Plan de Continuidad del Negocio adoptado por BANORTE, está soportado con el servicio

de proveedores como: Hitachi Data Systems, Sun Microsystems, Telmex e IBM de México

[43].

4.7. COMPAREX ESPAÑA S.A. (The availability architects)

En febrero de 2005 tuvo lugar un incendio en el Edificio de Windsor, dónde estaban los

servidores centrales, después de 6 horas todo el inmueble quedo devastado. Ante esta

situación Comparex activa sus Planes de Continuidad del Negocio. Dentro de las estrategias

que puso a pruebas están: Backups de información, lugares de trabajo para que los empleados

puedan reanudar sus operaciones desde otro sitio, accesando a las aplicaciones críticas

utilizando como base de acceso el internet, infraestructura que le permitió la comunicación

de voz y datos entre los centros.

El Plan de continuidad del Negocio le permitió a la organización poder reaccionar la misma

noche del incendio, se identificaron los elementos tecnológicos (servidores, sistemas de

almacenamiento, puestos de trabajo conectados a la red, comunicaciones, etc.) que se

encontraban disponibles y en funcionamiento, así como los inactivos. Se recurrió a las copias

de información que la organización tenía en resguardo en Madrid y Barcelona, verificando

si podía hacerse la recuperación completa al último día hábil de actividad. Se activó el

alquiler de las oficinas alternas, dotándolas de equipo necesario para trabajar, se contactó a

los clientes notificándoles la situación de la compañía, definir el plan de comunicación. El

plan resulto un éxito para la compañía [44].

4.8. WAL MART STORES INC.

En Agosto del 2005 cuando Katrina cambió su categoría de tormenta tropical a huracán,

Jason Jackson, Director de Continuidad del Negocio de Wal-Mart cambio su ubicación al

centro de comando de emergencias de Wal-Mart. Dos días después cuando el huracán llegó

a Florida,

Jackson estaba acompañado de 50 gerentes y personal de apoyo, antes de que el huracán

tocara tierra en el Golfo de México, Jackson ordenó a las bodegas de Wal-Mart entregar

provisiones a áreas de almacenamiento designadas para tener la capacidad de abastecer a las

tiendas cuando fuera posible.

Cuando el sistema computarizado que actualiza los inventarios de la zona de Wal-Mart quedo

sin señal, Jackson atendió las llamadas de las tiendas para saber lo que necesitaban, para el

siguiente martes, camiones de Wal-Mart fueron a abastecer generadores y toneladas de hielo

seco a lo largo de las tiendas ubicadas en el golfo.

Inicialmente 126 sucursales fueron cerrados por encontrarse en el paso de Katrina, a pesar de

las pérdidas reportadas por las tiendas, 15 días después, todas a excepción de 15 tiendas,

volvieron a abrir sus puertas [45].

5. DISCUSIÓN

Para la elaboración y desarrollo de los planes de continuidad de negocios, se deben tener en

cuenta los siguientes elementos:

 identificación de escenarios

 Selección del recurso humano

 Definición de actividades del plan: dentro de este elemento se incluye las Fases y tareas

que deberían contemplar el plan como lo son: planificación con una tarea de

participación de la dirección, designación del grupo de trabajo y el desarrollo y

aprobación del plan. Acciones de emergencia con una tarea de alerta y activación y

evaluación de daños. Proceso alterno con una tarea de dar soluciones alternas. Proceso

de recuperación con una tarea de recuperación de actividades. Fin de la emergencia con

una tarea de un informe final de la emergencia y por ultimo Gestión del plan con una

tarea de programas de pruebas, mantenimiento y de auditoría

 elementos del plan de continuidad de negocio los cuales forman parte el personal, las

localidades y los procesos.

 Tipos de planes Dada su importancia, alcance y orientación, podemos mencionar tres

principales tipos de planes: plan de manejo de crisis, plan de recuperación de desastres y

plan de atención de emergencias.

 Resultados del desarrollo de un plan de continuidad del negocio

La necesidad de proteger la información crítica exige a las empresas diseñar planes para

prever situaciones de desastre y reaccionar ante ellas

Es importante Invertir en Planes de Continuidad de Negocio esto ayuda a la gestión de la

continuidad de negocio en cualquier empresa. Es necesario saber que el plan de continuidad

de negocio tiene que ser entendible y sencillo de utilizar y conservar.

Un plan de continuidad de negocio debe cubrir, al menos, lo más importante de la

organización, debe establecer claramente quiénes formarían parte del mismo, sus funciones,

responsabilidades y autoridad.

Un plan de continuidad de negocio no se produce ante cualquier incidente de seguridad, sino

en situaciones de crisis y/o emergencia.

La definición y ejecución de un plan de continuidad de negocio debe realizarse en muchas

ocasiones en diferentes fases dentro de la organización.

El modelo PHVA está enfocado por 4 fases los cuales son:

 Planear: dentro de esta fase tenemos gobierno y estructura, análisis de riesgos y el

análisis de impacto al negocio.

 Hacer: dentro de esta fase tenemos la implementación de estrategias y el desarrollo de

los planes de continuidad.

 Verificar: dentro de esta fase tenemos las pruebas y ejercicios

 Actuar: dentro de esta fase tenemos mantenimiento y actualización y auditorias.

La importancia que tiene la aplicabilidad el modelo PHVA en las empresas es que brinda

una solución que realmente permite mantener la competitividad de los productos y servicios,

mejora la calidad, reduce los costos, mejora la productividad, aumenta la participación de

mercado, provee nuevos puestos de trabajo y aumenta la rentabilidad de la empresa.

Con la aplicación de este modelo, el proceso no termina cuando se logra el resultado deseado,

sino que más bien, se inicia un nuevo reto no sólo para el responsable de cada proceso, sino

también para la propia organización. Además, permite identificar las oportunidades de

mejora y se aplican análisis con métodos más simples y eficientes para reducir costos, y

mejorar la calidad de los productos y los servicios.

6. CONCLUSIONES

 La adopción de un SGCN es una decisión estratégica de la organización, ya que depende

de las necesidades y objetivos, requisitos de seguridad, los procesos empleados y el

tamaño y estructura de la organización.

 Los resultados de la ejecución de este modelo permiten a las empresas una mejora

integral de la competitividad, de los productos y servicios, mejorando continuamente la

calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios,

incrementando la participación del mercado y aumentando la rentabilidad de la empresa

u organización.

 El desempeño por parte de una organización de un plan de continuidad de negocio no se

produce ante cualquier incidente de seguridad, sino en situaciones de crisis y/o

emergencia.

 Es importante mencionar que la validación de esta investigación es teórica, ya que no es

posible esperar a implementar este sistema de gestión de continuidad del negocio

aplicando el modelo PHVA para que las organizaciones puedan efectuar planes de

contingencia ante cualquier amenaza y ver los resultados. Más adelante se busca que esta

investigación sirva para llevarse a cabo en las organizaciones, con la finalidad de validar

los resultados de esta investigación.

7. BIBLIOGRAFÍA

[1]. Salazar Solís Carlos tomada de: http://www.solis.com.ve/que-es-un-sistema-de-gestion-

de-continuidad-de-negocio/

[2]. Sistema de Gestión de Continuidad del Negocio (SGCN). Tomada de:

http://www.femp.es/files/566-100-archivo/Manual%20RSE.pdf.

[3]. modelo Planificar-Hacer-Verificar-Actuar (PHVA). Tomada de:

http://digibug.ugr.es/bitstream/10481/15411/1/19563085.pdf

[4]. Sistema de gestión de Continuidad del negocio. Tomada de:

https://www.positiva.gov.co/positiva/Sistema-Integrado-de-

Gestion/Paginas/Continuidad-de-Negocio.aspx.

[5]. Oak Ridge Regional Emergency Management (2009), Emergency Management tomada

de:

http://www.oakridge.doe.gov/external/Home/PublicActivities/EmergencyManagementF

orum/tabid/ 307/Default.aspx, consultado el: 1 de octubre de 2009

[6]. Catalogo de organismo y agencias de cooperación internacional tomada

de:http://www.sre.gob.mx/coordinacionpolitica/images/stories/documentos_gobierno

s/catalogos/agenciasci

[7]. Martín Angela (2004), Las empresas siguen concentrando sus planes de continuidad del

negocio en torno a su capacidad de Tecnologías de Información (IT), tomada de:

http://www.channelplanet.com/index.php?idcategoria=12410, consultado el 1 Octubre

2009.

[8]. Morales Yesenia Repositorio digital instituto politécnico nacional tomada de:

http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/5394/TESIS%20M

ORALES%20BRACHO%20YESENIA%20LIZBETH.pdf?sequence=1

[9]. Respuestas a emergencia y continuidad. Tomada de:

http://www.sela.org/attach/258/default/Di18_Respuesta_a_emergencias_y_continuidad

_Sector_asegurador_Luis_Bravo_Asesor.pdf

[10]. Uso de las normas ISO y el ciclo PHVA. Tomada de:

http://johnnavas.galeon.com/productos1002127.html

[11]. Norma ISO 9001:2000

[12]. NTC-ISO-IEC 17799. Tecnología de la información. Técnicas de seguridad. Código de

practica la gestión de la seguridad de la información.

[13]. NTC-ISO-IEC 17799. Tecnología de la información. Técnicas de seguridad. Código de

practica la gestión de la seguridad de la información.

[14]. NTC-ISO-IEC 27001. Tecnología de la información. Técnicas de seguridad. Sistemas

de gestión de la seguridad de la información

[15]. BS 25999-1:2006 Gestión de continuidad de negocio códigos de practicas

[16]. BS 25999-2:2007. Especificaciones para la continuidad de negocio

[17]. Pass 77:2006 IT servicio de continuidad de negocio.

[18]. Pass 56:2003. Guía para la gestión de la continuidad del negocio

[19]. Inteco cert tomada de: Http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/.

[20]. Disaster Recovery Institute International tomada de: http://www.drii.org

[21]. BIA business impact analysis tomada de:

http://www.sisteseg.com/files/Microsoft_Word__BIA_BUSINESS_IMPACT_ANAL

YSIS.pdf
[22]. Seguridad de la información en Colombia. Análisis de impacto de negocios tomada de:

http://seguridadinformacioncolombia.blogspot.com/2010/05/analisis-de-impacto-de-

negocios.html

[23]. Edgar tauta. Gestión de continuidad de negocio.2013

[24]. Maximum Acceptable Outage (Definition) tomada de:

http://www.riskythinking.com/glossary/maximum_acceptable_outage.php

[25]. MTPD Maximum tolerable period of disruption. Tomada de:

http://www.continuitycentral.com/feature0845.html

[26]. MBCO minimum business continuity Objective. Tomada de: http://www.goh-moh-

heng.com/

[27]. RPO recovery point Objective, RTO recovery time Objective tomada de:

http://www.praxiom.com/iso-22301-definitions.htm

[28]. Manual de administración del plan de continuidad de negocios

[29]. BS 25999. Especificaciones para la continuidad de negocio

[30]. ISO 22301 SGCN tomada de: http://pecb.org/iso22301es/

[31].Planeación tomada de:

http://www.virtual.unal.edu.co/cursos/sedes/manizales/4010014/Contenidos/Capitulo

s%20PDF/CAPITULOS%201%20AL%204.pdf

[32]. Deloitte Guía para la elaboración de planes de continuidad de gestión TIC

[33]. Planes de continuidad de negocio Technology and security Risk service. Tomada de:

http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-

MU_archivos/E&Y.pdf

[34]. NFPA 1600: 2007 Normas para desastres, gestión de emergencias y de continuidad de

negocio.

[35]. Espiñeira, Sheldon y Asociados. Boletín de asesoría gerencial. Desarrollo de un plan de

contingencia. Tomada de: https://www.pwc.com/ve/es/asesoria-

gerencial/boletin/assets/boletin-advisory-edicion-09-2008.pdf

[36]. NTC-5722:2009
[37]. ISO-IEC 27006 information Technology rerirements for bodies providing audit and

certification of information security management systems.

[38]. Morales Yesenia Repositorio digital instituto politécnico nacional tomada de:

http://www.repositoriodigital.ipn.mx/bitstream/handle/123456789/5394/TESIS%20M

ORALES%20BRACHO%20YESENIA%20LIZBETH.pdf?sequence=1

[39]. Banesco Banco Universal tomada de: http://banesco-prod-

cdn.s3.amazonaws.com/wpcontent/uploads/2012/03/informe_segundo_semestre_2008

_espanol61.pdf

[40]. The Grill: Citigroup Green IT director Michelle Erickson tomada de:

http://www.computerworld.com/s/article/331868/Michelle_Erickson

[41].Bouygues Construction Microsoft éxito tomada de:

https://www.microsoft.com/spain/virtualizacion/casestudies/business-

continuity/default.mspx

[42]. CNN expansión banco de México tomada de:

http://www.cnnexpansion.com/economia/2008/07/30/banco-de-mexico-espera-

inflacion-de-6
[43]. Grupo financiero Banorte tomada de:

http://www.banorte.com/pv_obj_cache/pv_obj_id_849C1EAE756F214588ECF68DA

AE266E6A1B70200/filename/Reporte_Anual_GFNorte_2006_CNBV.pdf

[44]. Lafaya, Y. (2005), COMPAREX Casos de éxito, Disponible en:

Http://www.comparex.es/download/CASO_DE_EXITO_WINDSOR_CPX.pdf,

consultado el 26 de febrero

[45]. Wal-Mart store Inc. convirtiéndose en la empresa más grande del mundo tomada de:

http://biblio3.url.edu.gt/Publi/Libros/ADMestrategicaypolitica/22-09.pdf

8. GLOSARIO

 BS 25999:2006 – (British Standard en inglés) primera norma británica para la gestión

de continuidad de negocio. Desarrollada por un amplio grupo de expertos

representativos de sectores de la industria y la administración. Proporciona la base

para comprender, desarrollar e implantar la continuidad de negocio en una

organización. Está previsto que se convierta en ISO 22301. Comprende dos partes•

Parte 1: Código de buenas prácticas y recomendaciones para Gestión de Continuidad

de Negocio (parte que sustituye al PAS 56).• Parte 2: publicada el 20 de Noviembre

de 2007, como norma certificable establece los requisitos para implementar un

Sistema de Gestión de Continuidad de Negocio.

 ISO/IEC 27002:2005 – código de buenas prácticas para la Gestión de la Seguridad

de la Información. Es la antigua ISO 17799 y comprende un apartado dedicado

especialmente a la continuidad de negocio.

 PAS 77:2006 – (Publicly Available Specification en inglés) guía de buenas prácticas

de la continuidad de los servicios de tecnologías de la información (TI) emitida por

British Standards Institute (BSI). En esta norma se establecen los principios y técnicas

recomendadas para la Gestión de la continuidad de los servicios tecnológicos.

 ISO/IEC 20000 – gestión de los servicios relacionados con las tecnologías de la

información.

 Amenaza: eventos que, aprovechando una vulnerabilidad, pueden desencadenar un

incidente en la empresa, produciendo daños materiales o pérdidas inmateriales en sus

activos. Dentro de eventos se consideran tanto acciones, como interrupciones o falta

de acción.

 Análisis de Impacto en el Negocio o Business Impact Analysis (BIA por sus siglas

en inglés): proceso de análisis de las actividades de negocio y las consecuencias que

una interrupción sobre las mismas puede provocar en la organización.

 Análisis de Riesgos: proceso de identificación, análisis y evaluación de riesgos.

 EAR/PILAR: herramienta de análisis de riesgos que implementa la metodología

Magerit, desarrollada por el Centro Criptológico Nacional (CCN www.ccn-

cert.cni.es) y de amplia utilización en la administración pública española.

 Impacto: consecuencia evaluada de una interrupción.

 Incidente: cualquier evento que no forma parte de la operación estándar de un

servicio y que causa, o puede causar una interrupción o una reducción de la calidad

de ese servicio.

 ISO: Organización Internacional para la Estandarización (www.iso.or), es el

encargado de promover el desarrollo de las normas internacionales industriales y

comerciales conocidas como normas ISO.

 Magerit: metodología de análisis y gestión de riesgos elaborada por el Consejo

Superior de Administración Electrónica (disponible en http://www.

csi.map.es/csi/pg5m20.htm).

 OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, por

sus siglas en inglés): es un conjunto de herramientas, técnicas y métodos

(desarrollados por el CERT Coordination Center del Software Engineering Institute

de la Universidad Carnegie Mellon de Pensilvania, Estados Unidos) empleados para

el análisis de riesgos tecnológicos (disponible en http://www.cert.org/octave/.)

 Plan de continuidad de Negocio (PCN) o Business Continuity Plan (BCP por sus

siglas en inglés) es un conjunto de directrices, criterios, normas de actuación y

herramientas organizativas que, ante la ocurrencia de una contingencia que provocase

la interrupción de alguna o todas las áreas de negocio de una organización, permiten

la recuperación de la operatividad de las mismas en el menor tiempo posible, de modo

que las pérdidas económicas ocasionadas sean mínimas.

 Plan de recuperación ante desastres (PRD) o Disaster Recovery Plan (DRP por sus

siglas en inglés): constituye una parte del Plan de Continuidad de Negocio en aquellas

compañías que dispongan de infraestructura tecnológica para soportar sus

 operaciones y, de forma análoga al Plan de Continuidad de Negocio, consta de todas

las prácticas necesarias que, en caso de desastre, permiten recuperar en el menor

tiempo posible el entorno tecnológico (sistemas, aplicaciones e infraestructuras) que

soporta las actividades de una organización.

 P unto de Recuperación Objetivo – RPO (Recovery Point Objective por sus siglas

en inglés): cantidad de información que la organización puede llegar a perder como

consecuencia de un desastre. Marca desde un punto de vista tecnológico la estrategia

de realización de copias de seguridad de la información.

 Riesgo: probabilidad de que una amenaza aproveche y explote una debilidad asociada

a un proceso/activo/recurso provocando daño sobre el mismo.

 Tiempo de Recuperación Objetivo - RTO (Recovery Time Objective por sus siglas

en inglés): variable temporal dentro de la cual una actividad de negocio debe ser

recuperada después de un desastre. •

 Tiempo Máximo Permitido de Recuperación – MTD (Maximum Tolerable Down

time por sus siglas en inglés): periodo de tiempo (medido en segundos, minutos, horas

o incluso meses en función de la actividad) asociado a la paralización de una actividad

que, una vez superado, la viabilidad de la organización se verá amenazada

irrevocablemente.

 Vulnerabilidad: debilidad o falta de control asociada a un proceso o recurso que

puede ser explotada provocando un daño sobre dicho proceso. Un ejemplo de

vulnerabilidad es el hecho de que una organización no disponga de medidas físicas

que impidan el acceso a sus instalaciones a personal no autorizado.