QUE ES UN SISTEMA DE GESTION DE CONTINUIDAD DEL NEGOCIO
Plan de Continuidad de Negocios se utiliza tanto para describir actividades diseñadas con el propósito de administrar el riesgo reduciendo la probabilidad y el impacto de una interrupción significativa de las operaciones del negocio desarrollando respuestas adecuadas de manera oportuna. Los planes son desarrollados para permitir la reanudación oportuna de funciones y operaciones críticas de apoyo cuando una interrupción ocurre.
Las principales funciones de Planes de Continuidad de Negocio (PCN) podrían resumirse en: q Minimizar la toma de decisiones durante una crisis. q Realizar respuestas eficientes y efectivas a eventos que interrumpan las operaciones. q Definir alternativas para la continuidad de prestación de servicios críticos. q Establecer prioridades organizacionales y requerimientos de tiempo. q Definir planes de recuperación para escenarios probables de interrupción.
Los beneficios esperados son: q Mitigar riesgos (impacto y probabilidad de ocurrencia). q Prevenir es más rentable que recuperar. q Entrenar y concientizar incrementan la participación de los funcionarios en la planificación de la recuperación y en el mantenimiento de los procesos. q Comprender los requerimientos de tiempos de recuperación (RTO). q Identificar necesidades de información, registros vitales y su recuperación si es necesario (RPO). q Mejorar operaciones del negocio con procesos fáciles y menos costosos. q Ser un elemento de soporte para el diseño e implementación del Modelo de Gestión de Riesgo Operacional. q Cumplir con regulaciones gubernamentales.
Los Planes de Continuidad del Negocio (PCN) se aplican a la recuperación de funciones del negocio. Los Planes de Recuperación de Desastres (DRP) se aplican a la recuperación de servicios informáticos o sistemas de comunicaciones (voz y datos) en apoyo de las funciones de negocio.
Un plan de continuidad de negocio dirige la supervivencia de una organización y no los negocios como es usual. Un plan de continuidad de negocio proporciona un marco para la recuperación y para responder a una situación de desastre real que típicamente requerirá la participación cercana del equipo administrador de crisis. Un plan tiene que ser desarrollado en una empresa por los individuos que directamente estarán implicados en la recuperación en caso de una interrupción de servicios o un desastre.
El resultado de completar un PCN y un DRP no es sólo tener un plan, también es una planificación de actividades (cronograma) y el proceso de mantenimiento que se espera seguir a lo largo del año si el plan permanece viable. Toda la planificación, el mantenimiento y ejercicio de actividades del plan son procesos que deben ser iterativos. Los Proyectos de Continuidad de Negocio deben ser actualizados al menos una vez al año, aunque es posible que se requieran actualizaciones más frecuentes para asegurar que las estrategias, procedimientos, nombres, números telefónicos y la información en general estén actualizadas según ocurran cambios en la organización.
Una adecuada estrategia de “Continuidad” debe estar soportada en una buena gestión de riesgos, cumplir con los lineamientos regulatorios (internos y externos) y contractuales y brindar el apoyo gerencial que permita una buena gestión y desarrollo del buen gobierno corporativo.
SUG
Normas y buenas prácticas aplicables COBIT, ITIL, DRII, ISO31000, ISO38500
GOBIERNO CORPORATIVO Políticas Institucionales, COSO, MECI
ISO27001
ISO14001
ISO20000
ISO22301
ISO9001 NTCGP1000
SGA
SGSI
SGTI
SGCN
SGC
Gobierno corporativo, Sistema Integrado de gestión y normas aplicables
Por otra parte, un sistema de gestión de continuidad del negocio (SGCN) adicionalmente hace énfasis en la importancia de implementar y operar controles, estrategias y medidas para gestionar la capacidad de la organización de mantenerse operativa cuando se presenten incidentes que pudiesen interrumpir las operaciones y funciones del negocio.
Como cualquier sistema de gestión, requiere de una adecuada planeación, estructuración y ejecución. Para esto debe estar apoyado por una política corporativa, profesionales con responsabilidades definidas, un proyecto adecuadamente estructurado y el cubrimiento de los procesos misionales y de apoyo de mayor criticidad.
Como se observa en la figura presentada anterior, un SGCN hace parte de un adecuado Gobierno Corporativo como uno de los elementos importantes del Sistema Unificado de Gestión (SUG) en el cual el SGCN debe interactuar con otros sistemas de gestión para mejorar su eficiencia y efectividad, así como la de todo el SUG.
El SGCN se puede evaluar más fácilmente verificando su eficiencia y efectividad permitiendo ajustarlo y actualizarlo de manera permanente cuando su estructura cumple con el ciclo PHVA (Planear Hacer Verificar y Actuar).
El SGCN se aplica a todos los procedimientos, funciones, operaciones y recursos necesarios para gestionar la continuidad de los procesos en todas las instalaciones (independientemente de su ubicación geográfica) en caso de que sus operaciones normales, se vean interrumpidas o amenazadas de interrupción. El SGCN se aplica a todo el personal el cual debe estar familiarizado con la política, las estrategias y los procedimientos de continuidad y con sus respectivos roles y responsabilidades.
Política: Una adecuada política de continuidad puede contener los siguientes elementos: q Diseñar e implementar controles preventivos que permitan disminuir la posibilidad de eventos o incidentes que ocasionen la interrupción de los procesos y servicios prestados a las partes interesadas. q Dar respuesta de manera oportuna y adecuada ante eventos de interrupción de los servicios ofrecidos, de manera que se propenda por la continuidad y la recuperación de las operaciones críticas en el menor tiempo posible, desde el instante que se declare el incidente hasta el regreso a la normalidad, velando por mantener la disponibilidad y efectividad de las comunicaciones, la protección de la integridad de las personas y de los activos. q Responder a los requerimientos de clientes y proveedores de manera oportuna y adecuada cuando se presente una interrupción de las operaciones. q Desarrollar planes y procedimientos para mantener la operación activa en los niveles adecuados cuando se presente algún tipo de interrupción y hasta cuando sea posible regresar a la actividad normal.
Todas las áreas en todas las instalaciones independientemente de su ubicación geográfica deben cumplir con lo establecido en la presente política y deben realizar un análisis de riesgos e impactos relacionados con continuidad del negocio, así como diseñar, implementar y probar estrategias preventivas y reactivas para recuperación y restauración de las operaciones en caso de ser necesario. La evaluación de riesgos, de impacto y de las estrategias debe ser documentada y deben considerar:
Identificar todas las amenazas.
Asumir la peor situación posible.
Conocer y asumir el nivel de riesgo aceptable.
Identificar y evaluar vulnerabilidades.
Analizar el costo-beneficio de la implementación de medidas de mitigación, prevención o control de riesgos.
Definir los niveles suficientes de seguridad física.
Definir los niveles suficientes de seguridad de la información.
Garantizar la protección de la memoria histórica.
Identificar un sitio alterno de trabajo para ser utilizado en caso de ser necesario.