Modelo Integral para la implementación de un Plan de Continuidad de Negocio en Chile

Transcripción

1 PROFESOR PATROCINANTE: OSCAR GUEVARA ARIAS ESCUELA DE INGENIERÍA CIVIL INDUSTRIAL Mdel Integral para la implementación de un Plan de Cntinuidad de Negci en Chile Trabaj de Titulación para ptar al títul de Ingenier Civil Industrial VÍCTOR ALEJANDRO SÁEZ VARGAS PUERTO MONTT CHILE

2 ii RESUMEN La prgresiva cmpetencia entre las rganizacines empresariales, las demandas cada vez más exigentes de clientes y las partes interesadas (stakehlders), las bligacines regulatrias cada vez más restrictivas, sn factres que hy en día cmprmeten a las empresas a demstrar la firmeza que deben tener las actividades del negci, para permanecer activas ante cualquier cntingencia grave. Sn múltiples las rganizacines que, independientemente de su tamañ, fracasan inclus desaparecen pr la falta de prcess, mecanisms y técnicas que mitiguen ls riesgs a ls que están expuests y garanticen una alta dispnibilidad en las peracines de su negci. Es pr est que se hace imperante para las empresas la realización de un Plan de Cntinuidad de Negci (Business Cntinuity Plan, BCP siglas en inglés), el cual cnsiste en un prces de dirección que identifica ls impacts ptenciales que amenazan a la rganización y prprcina el marc adecuad para desarrllar la capacidad de dar una respuesta efectiva, que permita prteger ls intereses, imagen y valr de las actividades realizadas pr la misma. Un de ls principales incnvenientes barreras a las que se enfrenta una rganización cuand decide abrdar cualquier tip de iniciativa relacinada cn la cntinuidad de negci es la falta de cncimient, la falta de instruccines claras y cncisas que detallen pr dónde empezar y qué aspects se deben tener en cuenta para garantizar el éxit. Es pr est, que este trabaj de grad tiene pr bjetiv crear una prpuesta metdlógica para la implementación de un Plan de Cntinuad de Negci adaptada a la cultura rganizacinal de las empresas chilenas y la cual pretende satisfacer ls siguientes interrgantes: Cóm y cuáles sn ls pass a seguir para realizar la implementación de un BCP en Chile? Cóm mantener y actualizar el BCP? Para pder lgrarl, será necesari cntar cn el apy de un estudi detallad sbre Administración y la influencia de la cultura en ls pryects empresariales, además de estudiar las metdlgías utilizadas a nivel mundial en la actualidad y ls estándares referentes a cntinuidad de Negci, identificand ls punts más fuertes de cada un y refrzand mdificand alguns de ests para btener una mejr adaptabilidad. Además este trabaj de grad, pretende sembrar la inquietud de que hay alg pendiente pr hacer y que puede ser abslutamente vital para la rganización; más aún, que puede hacer que su carencia haga peligrar la supervivencia de la misma, para que se cmience cuant antes a elabrar el Plan de Cntinuidad de Negci, ya que sn muchas las tareas que se deben realizar. Las principales partes que cmprende el trabaj de grad sn ls siguientes: En el capítul 2.1: se cntextualiza y se estudia el significad y la imprtancia de ls Planes de cntinuidad de negci, además de analizar la situación que vive chile cn respect a este tema.

3 iii En el capítul 2.2: se presenta un análisis de la cultura rganizacinal, cn las características que la integran y la manera en que esta influye en ls pryects empresariales. El capítul también abarca ls temas que deben ser entendids para llevar a cab una efectiva implementación del Plan de cntinuidad de negci. En ls capítuls 2.3 y 2.4: se analizan ls estándares, metdlgías y guías para implementar el BCP más utilizadas a nivel mundial, cada un de ls dcuments sn analizads y cmparads, cn la finalidad de identificar sus frtalezas que pdrían frmar parte del mdel que prpne el presente trabaj de grad. En el capítul 3: se explican ls prcedimients que se aplicarán para alcanzar ls bjetivs del trabaj de grad, es decir crrespnde al planteamient de una serie de actividades sucesivas y rganizadas, en las cuales se indican ls pass y las técnicas a utilizar para reclectar y analizar la infrmación. El capítul 4: es la prpuesta del trabaj de grad, acerca de un mdel para implementar un Plan de Cntinuidad de Negci en Chile, btenida sbre un análisis de cncepts teórics, mejres prácticas a nivel mundial, metdlgías y estándares internacinales. Finalmente es imprtante mencinar que la validación de este trabaj de grad es teórica, ya que n es psible esperar implementar esta metdlgía y ver ls resultads. Más adelante se busca que éste sirva para llevar a cab una implementación de un Plan de Cntinuidad de Negci en Chile, cn la finalidad de validar sus resultads.

4 iv ÍNDICE DE CONTENIDOS Página 1.ANTECEDENTES GENERALES INTRODUCCIÓN PLANTEAMIENTO DEL PROBLEMA OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS 4 2.MARCO TEÓRICO PLAN DE CONTINUIDAD DE NEGOCIO (BCP) DEFINICIÓN DE BCP EVOLUCIÓN DEL PLAN DE CONTINUIDAD DE NEGOCIO BENEFICIOS DEL BCP Y COMO SE RELACIONA CON LA COMPETITIVIDAD EN LAS ORGANIZACIONES BCP EN EL MUNDO BCP EN CHILE EMPRESAS QUE HAN IMPLEMENTADO UN BCP ADMINISTRACIÓN E INFLUENCIA DE LA CULTURA EN LOS PROYECTOS EMPRESARIALES ADMINISTRACIÓN DE PROYECTOS ADMINISTRACIÓN DE RIESGOS COMPORTAMIENTO ORGANIZACIONAL CULTURA ORGANIZACIONAL CULTURA ORGANIZACIONAL CHILENA LIDERAZGO METODOLOGÍAS Y ESTÁNDARES PARA LA ELABORACIÓN DE UN PLAN DE CONTINUIDAD DE NEGOCIO BS BS ITIL NFPA ISO ISO

5 v 2.4 BUENAS PRÁCTICAS PARA LA ELABORACIÓN DE UN PLAN DE CONTINUIDAD DE NEGOCIO GUÍA DE BUENAS PRÁCTICAS (GPG) CENTRO DE OPERACIONES DE EMERGENCIA (EOC) PRÁCTICAS GENERALMENTE ACEPTADAS (GAP) PROPUESTA DE ANÁLISIS FINANCIERO DE ORACLE 41 3.DISEÑO METODOLÓGICO TIPO DE INVESTIGACIÓN MÉTODOS Y TÉCNICAS DE INVESTIGACIÓN METODOLOGÍA PARA LA ELABORACIÓN DEL MODELO INTEGRAL DE BCP ANÁLISIS DE LA SITUACIÓN ACTUAL REFERENTE A MODELOS UTILIZADOS A NIVEL MUNDIAL PLANIFICACIÓN Y POLÍTICA DE CONTINUIDAD DE NEGOCIO COMPRENSIÓN DE LA ORGANIZACIÓN Y ANÁLISIS DE RIESGOS MEDIDAS PREVENTIVAS ESTRATEGIAS DE RECUPERACIÓN DEFINICIÓN DE RESPONSABILIDADES Y DESARROLLO DE LOS PLANES DE CONTINGENCIA PRUEBAS, REVISIÓN Y MANTENIMIENTO DEL BCP ANÁLISIS DE LA CULTURA ORGANIZACIONAL CHILENA Y LA INCORPORACIÓN DE LA CULTURA DE BCP A ÉSTA RESULTADOS Y ANÁLISIS ANÁLISIS DE LA SITUACIÓN ACTUAL REFERENTE A MODELOS UTILIZADOS A NIVEL MUNDIAL ACTIVIDADES NECESARIAS PARA DISEÑAR, IMPLEMENTAR Y MANTENER UN PLAN DE CONTINUIDAD DE NEGOCIO (BCP) EN CHILE PLANIFICACIÓN Y POLÍTICA DE CONTINUIDAD DE NEGOCIOS COMPRENSIÓN DE LA ORGANIZACIÓN Y ANÁLISIS DE RIESGOS MEDIDAS PREVENTIVAS ESTRATEGIAS DE RECUPERACIÓN DEFINICIÓN DE RESPONSABILIDADES Y DESARROLLO DE LOS PLANES DE CONTINGENCIA PRUEBAS, REVISIÓN Y MANTENIMIENTO DEL BCP ANÁLISIS DE LA CULTURA ORGANIZACIONAL CHILENA Y LA INCORPORACIÓN DE LA CULTURA DE BCP A ÉSTA PROPUESTA METODOLÓGICA PARA LA IMPLEMENTACIÓN DE UN PLAN DE CONTINUAD DE NEGOCIO EN CHILE. 76

6 vi 4.5 ANÁLISIS DE RESULTADOS ACERCA DEL OBJETIVO GENERAL DE LA INVESTIGACIÓN ACERCA DE LOS OBJETIVOS ESPECÍFICOS DE LA INVESTIGACIÓN 77 CONCLUSIONES Y RECOMENDACIONES 78 BIBLIOGRAFÍA 80 LINKOGRAFÍA 83 ANEXOS 86

7 vii ÍNDICE DE TABLAS Página Tabla Nº 2.1: Númer de Quiebras Publicadas en el períd 01/01/2005 al 31/12/ Tabla Nº 2.2: Dtación de trabajadres en declaratria de quiebra del 01/01/2005 al 31/12/ Tabla Nº 2.3: Matriz de crrelación para determinar ls grads de riesgs niveles de impact.18 Tabla Nº 2.4: Dats Generales de las metdlgías de BCP Tabla Nº 2.5: Cuadr cmparativ de la Gestión de Riesgs v/s Gestión de Cntinuidad de Negci Tabla Nº 2.6: Cmpnentes de la Guía de buenas prácticas Tabla Nº 3.1: Marc metdlógic para el desarrll del mdel Tabla Nº 4.1: Cmparación de ls elements utilizads pr cada metdlgía Tabla Nº 4.2: Ventajas y desventajas de ls estándares, metdlgías y buenas prácticas Tabla Nº 4.3: Registrs de las actividades Tabla Nº 4.4: Categrización de ls Riesgs Tabla Nº 4.5: Análisis de Riesgs Tabla Nº 4.6: Descripción de ls Camps Tabla Nº 4.7: Ejempls de medidas preventivas Tabla Nº 4.8: Ejempls de estrategias de recuperación... 64

8 viii ÍNDICE DE FIGURAS Página Figura Nº 2.1: Cicl de vida del Plan de Cntinuidad de Negci Figura Nº 2.2: Gestión y Análisis de Riesgs Figura Nº 3.1: Metdlgía para la elabración de un Mdel Integral de BCP 45 Figura Nº 4.1: Mapa para análisis de riesgs y categrías para evaluar Figura Nº 4.2: Ejempl de visualización de riesgs en la Organización Figura Nº 4.3: Relación de la cultura rganizacinal chilena cn el Plan de Cntinuidad de Negci 74 Figura Nº 4.4: Resumen del Mdel prpuest para el BCP... 75

9 ix ÍNDICE DE FÓRMULAS Página Fórmula 2.1: El Riesg de acuerd a su magnitud y frecuencia Fórmula 2.2: Cst de pérdida de prductividad (P) Fórmula 2.3: Valr de pérdida pr ventas (S) Fórmula 2.4: Cst de Recuperación de Servici (R) Fórmula 2.5: Cst Estimad de Dwntime (T) Fórmula 4.1: Cst de pérdida de prductividad (P) Fórmula 4.2: Valr de pérdida pr ventas (S) Fórmula 4.3: Cst de Recuperación de Servici (R) Fórmula 4.4: Cst Estimad de Dwntime (T)... 57

10 x ÍNDICE DE ANEXOS Anex A: Ejempl de registr de las actividades críticas. Anex B: Ejempl de Plan de Cntingencia Operacinal para una actividad crítica. Anex C: Ejempl de un Plan de Pruebas. Anex D: Ejempl de un Plan de Cmunicación interna.

11 1. ANTECEDENTES GENERALES 1.1 Intrducción La prgresiva cmpetencia entre las rganizacines empresariales, las demandas cada vez más exigentes de clientes y las partes interesadas (stakehlders), las bligacines regulatrias cada vez más restrictivas, sn factres que hy en día cmprmeten a las empresas a demstrar la firmeza que deben tener las actividades del negci, para permanecer activas ante cualquier cntingencia grave. En una épca de crisis cm la que se vive en ests mments, es necesari desarrllar ventajas cmpetitivas que permitan satisfacer las exigencias del mercad. Una de ellas es garantizar la dispnibilidad de ls servicis a ls clientes, aún después de currir un incidente. Un estudi realizad pr el Emergency Management Frum en Estads Unids dice l siguiente (ITEAM, 2013): De cada 100 empresas que afrntan un desastre sin cntar cn un Plan de Cntinuidad del Negci, el 43 pr cient nunca reabren, el 51 pr cient sbrevive per están fuera del mercad en ds añs y sól el 6 pr cient lgra sbrevivir a larg plaz. Una vez currid algún incidente en la empresa, trae cm cnsecuencia prblemas financiers, además de dañs intangibles cm disminución de la prductividad, estrés, recurss desviads, y td ell genera una mala imagen de la empresa. En el entrn de la mala reputación de la empresa, el nmbre de ls ejecutivs respnsables es l que se pne en jueg. N hay que lvidar que las empresas que sufren este tip de incidentes sn la nticia al día siguiente, la prensa es la respnsable de señalar cn nmbres y apellids a ls respnsables. Además, pr si fuera pc, ls directres crprativs pueden ser demandads pr las cnsecuencias de interrupción del negci. El Plan de Cntinuidad de Negci (BCP, siglas en inglés) es un prces de dirección que identifica ls impacts ptenciales que amenazan a la rganización y prprcina el marc adecuad para desarrllar la capacidad de dar una respuesta efectiva, que permita prteger ls intereses, imagen y valr de las actividades realizadas pr la misma. El BCP tiene cm bjetiv garantizar una respuesta frente a incidentes que pueden pner en riesg la peración de la rganización, brindar seguridad a ls empleads, prteger activs de la rganización cm prcess y tecnlgía, minimizar el tiemp de interrupción y asegurar la buena reputación de la rganización. Per el prblema que se presenta en Chile, es que muchas de las empresas aún n cuentan cn un plan adecuad, que asegure la cntinuidad perativa de su negci ante eventuales desastres que afecten sus prcess e infraestructura tecnlógica. 1

12 Pr td l anterir el presente trabaj de grad, tiene pr bjetiv prpner una metdlgía para elabrar un Plan de Cntinuidad de Negci en Chile. Para llevar a cab este trabaj, se analizarn y se evaluarn las características principales de la cultura rganizacinal chilena cn el fin de identificar y aprvechar aquellas psitivas y tratar de evitar las negativas, se analizarn también las metdlgías utilizadas a nivel mundial en la actualidad para implementar un BCP, cn el bjetiv de extraer l mejr de cada una. Además la metdlgía de este trabaj de grad cmprendió un análisis teóric sbre: administración de pryects, administración de riesgs, cmprtamient rganizacinal, cultura crprativa, y liderazg, ya que ests apyan de frma directa ls pryects empresariales, ligads a la influencia que tiene la cultura en la administración. Las fuentes bibligráficas de ls estándares y guías utilizadas, crrespnden a institucines internacinales enfcadas al estudi e implementación del Plan de Cntinuidad de Negci. 2

13 1.2 Planteamient del Prblema El atentad terrrista de las Trres Gemelas en el 2001, el accidente nuclear currid en la Central nuclear Fukushima I en el 2011 y cm n mencinar el terremt que sufrió Chile el 27 de febrer de 2010, en dnde el 45 pr cient de las empresas presentó dañs graves medians en la cntinuidad de su negci, según indicó el Centr de Estudis en Retail de la Universidad de Chile, deja en evidencia una grave falencia en el mund empresarial. De acuerd a ls ejempls mencinads anterirmente, la interrgante que se puede plantear es la siguiente: qué hacer para garantizar la cntinuidad de las actividades de la rganización tras impacts de esta magnitud? La respuesta a esta interrgante existe: ls Planes de Cntinuidad de Negci, cncids cm BCP (Business Cntinuity Plan). Mediante ests planes, las rganizacines identifican su expsición a las amenazas internas y externas, seleccinan ls activs afectads (materiales e inmateriales) y desarrllan una prevención eficaz, estableciend accines cntingentes para la rápida recuperación de la actividad de la rganización. Per el prblema que se presenta en Chile, es que muchas de las empresas aún n cuentan, cn un plan adecuad que asegure la cntinuidad perativa de su negci ante eventuales desastres que afecten sus prcess e infraestructura tecnlógica. En Chile muy pcas empresas, salv el sectr bancari, que está regulad, tiene ejecutivs designads full time a abrdar la cntinuidad perativa. A md de ejempl, recién en ener de 2009 el Banc Central de Chile, publica bases de licitación para cntratación del servici rientad a la implementación de mejras al Sistema de Gestión de Cntinuidad de Negcis (BANCO CENTRAL DE CHILE, 2013). Del mism md, tdavía n existen en Chile cmpañías certificadas en cntinuidad de negcis, es decir, ninguna rganización a nivel lcal cumple cn la nrma ISO 22301; y a nivel de rganisms internacinales, en el país prácticamente n se cncen las entidades dedicadas a regular la cntinuidad perativa, cm el DRI (Disaster Recvery Institute) en Estads Unids; y el BCI (Business Cntinuity Institute) en Inglaterra. Un indicadr demuestra ls seris prblemas que presenta Chile en Cntinuidad de Negci es la gran cantidad de quiebras bservadas entre ls añs prmediand aprximadamente 140 rganizacines quebradas anualmente (SQUIEBRAS, 2013). En síntesis, debid a la histria y el presente de Chile, que evidencia seris prblemas de cntinuidad de negcis de las empresas y que a pesar de la cmplejidad de la gegrafía de Chile y la cantidad de amenaza que afectan a las distintas actividades ecnómicas, n se encuentra literatura sbre el tema del BCP y la mdesta infrmación encntrada, se refiere al tema, cm una herramienta para ls sistemas de infrmación, es pr est que surge la necesidad de que las empresas chilenas se pngan a trabajar en l 3

14 que a cntinuidad de negcis se refiere cuant antes, ya que en países desarrllads de Eurpa es prácticamente un estándar. Además las metdlgías de BCP existentes a nivel mundial actualmente, sn pc prescriptivas, carecen de cntenids clars y lineamients específics, pseen muy pcs ejempls que ilustren de mejr frma su cmprensión y están adaptadas principalmente a ls países eurpes y nrteamericans. Otr prblema que se presenta en estas metdlgías es que pseen ciertas carencias, algunas n pseen un fque integral de td el prces, tras entregan pca nula infrmación referente a sitis alterns, tecnlgías de la infrmación, medidas preventivas, etc. Baj este escenari se pretende crear una prpuesta metdlógica para la implementación de un Plan de Cntinuad de Negci en Chile, en el que se expne de frma clara y sencilla ls aspects a cnsiderar y las actividades a desarrllar pr cualquier rganización que desee estar preparada ante psibles incidencias de seguridad que puedan paralizar la entrega de sus prducts y/ servicis. el cual de respuesta a tants prfesinales que ya sea pr petición de sus superires pr iniciativa prpia, se plantean la elabración de un BCP y cm a muchs les suele suceder n saben cóm empezar. Cn est se busca cntribuir la masificación de ls Planes de Cntinuidad de Negcis en Chile, adquiriend de entre sus múltiples beneficis ptenciar la cmpetitividad y lgrar además disminuir la quiebra de empresas chilenas, l que traería cm cnsecuencia una disminución en el desemple y una mejr estabilidad labral. En síntesis, l que se pretende es dar respuesta a las siguientes interrgantes: Cóm y cuáles sn ls pass a seguir para realizar la implementación de un Plan de Cntinuidad de Negci (BCP) en Chile? y Cóm mantener y actualizar el BCP? 1.3 Objetivs Objetiv General Crear una prpuesta metdlógica para la implementación de un Plan de Cntinuad de Negci en Chile Objetivs Específics Analizar las metdlgías existentes y estándares internacinales para la implementación de un Plan de Cntinuidad de Negci y extraer sus principales frtalezas. Identificar las actividades necesarias para diseñar, implementar y mantener un Plan de Cntinuidad de Negci (BCP) en Chile. Analizar la cultura rganizacinal de las empresas chilenas, cn el fin de detectar las características más imprtantes, para así aprvecharlas al mment de la implementación y gestión del BCP. 4

15 2. MARCO TEÓRICO En este capítul se expnen cncepts y terías que serán utilizadas psterirmente en el desarrll de la metdlgía prpuesta. 2.1 Plan de Cntinuidad de Negci (BCP) En ls cntenids de este punt se realizó una investigación de la evlución del Plan Cntinuidad de Negci, su significad, la actualidad que vive el mund y la actualidad de Chile cn respect al BCP, además de ls beneficis que aprta a la rganización el cntar cn un BCP y ls prblemas que se pueden generar pr n cntar cn un Plan de Cntinuidad de Negci Definición de BCP Capacidad estratégica y táctica de la rganización para planificar y respnder ante ls incidentes e interrupcines del negci cn el fin de permitir la cntinuidad de las actividades cmerciales en un nivel aceptable previamente definid (BSI GROUP, 2007). Una definición más cmpleta de BCP es la realizada pr ITEAM (2013), una empresa cnsultra especializada en Planes de Cntinuidad de Negci, Plan de Manej de Crisis y Riesg Empresarial. Esta señala que el BCP es una metdlgía interdisciplinaria, que se basa en prcedimients y medidas de seguridad, utilizadas para crear y validar planes lgístics, para que en la práctica la empresa pueda recuperar sus funcines críticas parcial ttalmente, después de una interrupción desastre. Además cnsiste en ls pass que el persnal de la empresa debe realizar, según ls manuales y prcedimients del BCP, para hacer frente a situacines y ambientes inesperadas, que pueden afectar la cntinuidad y el nrmal funcinamient del negci. El BCP busca asegurar que ls prducts servicis cntinúen siend entregads, a ls diferentes canales de distribución durante una interrupción n planeada. Un plan de Cntinuidad de Negci tiene cm bjetiv el sstenimient de ls servicis de la empresa y de ls prcess crítics, así cm la disminución de impacts ante events inesperads desastres. El BCP está rientad a la btención de un plan metdlógic, que garantice la cbertura técnica y rganizativa de las áreas críticas del negci Evlución del Plan de Cntinuidad de Negci El términ Plan de Cntinuidad de Negci Business Cntinuity Plan (BCP pr sus siglas en inglés), cada vez expande más su alcance. Est se cmpara cn términs utilizads anterirmente que sól estaban enfcads a áreas específicas cm Disaster Recvery y Cntingency Planning que han pasad a frmar parte del BCP(BSI GROUP, 2007). En el sigl pasad, en ls setenta Nrman L. Harris, Edward S. Devlin y Judith Rbey, al tratar de encntrar un métd de planificación y gestión que evitara la cntinua atención de ls prblemas de 5

16 frma aleatria, diern inici a una actividad que llamarn Disaster Recvery Planning. Cn est se aseguraba la planeación de cóm reaccinar en cas de un desastre. Más tarde, esa actividad fue llamada Cntingency Planning, términ que resultó ser más universal puest que la Cntingencia es alg que puede suceder n suceder puede también denminarse riesg (GASPAR, 2004). En ls inicis de la utilización de este enfque de analizar las cntingencias empresariales, cuand se cncía cm Disaster Recvery, la actividad estaba dirigida a áreas de Tecnlgías de infrmación. Más adelante, cuand las tecnlgías de la infrmación cmenzarn a frmar parte de las áreas de sprte de las peracines de tda la empresa, el Disaster Recvery expandió su alcance, llamándse ahra Business Cntinuity Plan (BCP), traducid cm Plan de Cntinuidad de Negci y Business Cntinuity Management (BCM), traducid cm Gestión de la Cntinuidad de Negci. En la actualidad el cncept de cntinuidad de negci es aplicad a tda la rganización, es un cncept glbal, que incrpra a tda la cadena lgística, es decir desde el cliente hasta el prveedr de insums Beneficis del BCP y cm se relacina cn la cmpetitividad en las rganizacines Ls beneficis que se pueden alcanzar al tener implementad de frma crrecta un Plan de Cntinuidad de Negci sn: Ventaja cmpetitiva frente a tras rganizacines: el hech de mstrar que se tman medidas para garantizar la cntinuidad de negci mejra la imagen pública de la rganización y revalriza la cnfianza frente a accinistas, inversres, clientes y prveedres. Previene minimiza las pérdidas de la rganización en cas de desastres: es capaz de identificar de frma practiva ls psibles impacts e incnvenientes que una interrupción de sus actividades de negci puede prvcar. Asegurar que las actividades del negci sprten y se recuperen ante interrupcines: aumentand la dispnibilidad de ls servicis dispuests para el cliente. Menr riesg de sufrir sancines ecnómicas: al adaptarse a requerimients regulatris. Asignación más eficiente de las inversines en materia de seguridad: gracias al análisis de riesgs (BIA), el cual permite pririzar las actividades críticas y fijar ls esfuerzs y ls presupuests en las áreas más necesitadas (GASPAR, 2004). Dentr de las estrategias que la rganización debe desarrllar para estar en un buen nivel de cmpetitividad en el mercad actual, se tienen las siguientes: Maximización de capacidades: Cm actividad del BCP está, que en cada área se cmparta el cncimient sbre las actividades que realiza cada trabajadr, est cn la finalidad de que td el equip cnzca las tareas y en cas de que la empresa tenga que declarar un estad de 6

17 cntingencia, se cmunique cn el persnal identificad cm persnal clave, para cntinuar las peracines del negci, per además se tenga una segunda y tercera alternativa (BASSI, 1999). Mejra de prcess: Cn el Análisis de Impact al Negci (BIA pr sus siglas en inglés) se btienen cm resultad un infrme sbre ls prcess clave de la rganización, ls cuáles deben ser priridad, mnitreand que en td mment se cuente cn ls recurss necesaris para n detenerls. Lgrand así un increment en la satisfacción del cliente y mejra de la calidad (BASSI, 1999). Buena imagen crprativa: estar preparad para respnder a cualquier interrupción, teniend frmas alternas de atender a ls clientes, habla muy bien de cualquier rganización. Ls clientes siempre van a preferir a un prveedr que tenga buena imagen en cuant al nivel de servici a tra que tenga reputación de que se caigan sus sistemas y n cnteste cuand se necesiten (BASSI, 1999). Cncimient del cntext dónde se desarrlla: Durante la planeación de ls prcess clave de la empresa, se estudia el marc legal en cual se pera, empezand desde las multas que casinaría n entregar un infrme a alguna institución reguladra en el sectr, cuales pdrían ser las situacines en las que n se permitiría hacer una prórrga para entregar la infrmación más tarde. Así, cuand acntezca una situación cntingente, tendrems cncimient sbre l que se puede esperar, para pder atender de frma nrmal a ls clientes, en lugar de precuparse pr elabrar ls reprtes a las institucines reguladras (BASSI, 1999). Capacidad de servici en situación de crisis: El persnal de una rganización que ha planead cm actuar en una situación emergente y ha tenid una capacitación de qué hacer y cóm hacerl, tendrá una mejr capacidad de trabajar baj esa presión que tra rganización que n ha mencinad a sus empleads, el tip de situacines catastróficas que pueden suceder en la rganización. Aun sabiend que ls planes n se seguirán detalle a detalle cóm se han planead, pues en cada situación es psible tener una variable que lleve cnsig el cambi de planes, el haber instruid al persnal sbre estas situacines sirve pues ells tienen la idea de que en cualquier mment la empresa puede estar en esta situación. Ell lleva al desarrll de la habilidad para trabajar ante ls cambis (BASSI, 1999). Dispnibilidad: Cn la implantación de un Plan de Cntinuidad de Negci, la empresa se ve bligada a estudiar la frma de tener en cualquier mment la dispnibilidad de sus servicis ante sus clientes. Para est puede apyarse cn estrategias cm redundancia de dats, virtualización, implementar el trabaj desde casa de sus empleads cn la finalidad de que en cualquier mment puedan atender las slicitudes necesarias, etc. (BASSI, 1999). Prtección de la marca: Cn la Cntinuidad de Negci después de currid un incidente, se mantiene la credibilidad de la empresa. Mediante la capacitación y cncientización al persnal, se lgra que ls empleads puedan ser cnscientes de l imprtante que es trabajar en equip. Est trae cm resultad dentr de la peración diaria, un excelente clima labral y aument de la 7

18 prductividad, en un escenari de cntingencia, est ayuda a facilitar la cmunicación entre el persnal, dand cm resultad un excelente trabaj y cntinuidad al negci (BASSI, 1999) BCP en el Mund En una épca de crisis cm la que se vive en ests mments, es necesari desarrllar ventajas cmpetitivas que permitan satisfacer las exigencias del mercad. Una de ellas es garantizar la dispnibilidad de ls servicis a ls clientes, aún después de currir un incidente. Un estudi realizad pr el Emergency Management Frum en Estads Unids dice l siguiente (ITEAM, 2013): De cada 100 empresas que afrntan un desastre sin cntar cn un Plan de Cntinuidad del Negci, el 43 pr cient nunca reabren, el 51 pr cient sbrevive per están fuera del mercad en ds añs y sól el 6 pr cient lgra sbrevivir a larg plaz. Una vez currid algún incidente en la empresa, trae cm cnsecuencia prblemas financiers, además de dañs intangibles cm disminución de la prductividad, estrés, recurss desviads, y td ell genera una mala imagen de la empresa. En el entrn de la mala reputación de la empresa, el nmbre de ls ejecutivs respnsables es l que se pne en jueg. N hay que lvidar que las empresas que sufren este tip de incidentes sn la nticia al día siguiente, la prensa es la respnsable de señalar cn nmbres y apellids a ls respnsables. Además, pr si fuera pc, ls directres crprativs pueden ser demandads pr las cnsecuencias de interrupción del negci. A nivel mundial existen rganizacines especializadas en el apy a este tema. Dentr de las más sbresalientes están (ITEAM, 2013): A nivel de cnsultaría: Delitte, KPMG, Risk Méxic, Price Water Huse Cpers y AON. A nivel de servicis de apy, cm hardware, sftware, sitis alterns centr de llamadas: Sungard, IBM, EMC, Symantec, Veritas, CITRIX y CISCO. A nivel de disciplina: Business Cntinuity Institute (BCI), Business Standar Institute (BSI), Disaster Recvery Institute Internacinal (DRII), ISO 27002, ITIL, ISO y NFPA. Una encuesta realizada pr Chartered Management Institute sbre manej de cntinuidad de negcis a 1257 gerentes de empresas del Rein Unid, arrja que sól en la mitad de sus empresas tiene un BCP, est a pesar que más de un 94 pr cient de ells están de acuerd cn su imprtancia (WOODMAN, 2007). 8

19 2.1.5 BCP en Chile En Chile se está recién cmenzand cn este tema, muy pcas empresas, salv el sectr bancari, que está regulad, tiene ejecutivs designads full time a abrdar la cntinuidad perativa. A md de ejempl, recién en ener de 2009 el Banc Central de Chile, publica bases de licitación para cntratación del servici rientad a la implementación de mejras al Sistema de Gestión de Cntinuidad de Negcis, Es relevante mencinar que el Banc usa cm referencia el estándar internacinal de Cntinuidad de Negcis BS y que están en prces de actualización al estándar ISO 22301, adptad también pr la Banca Cmercial. Actualmente, el sistema de gestión de cntinuidad del Banc Central administra 51 actividades calificadas cm críticas, para las cuales se realizan alrededr de 60 pruebas periódicas en un añ. Ls escenaris baj ls cuales se han definid planes alternativs incluyen escenaris de desastres e indispnibilidad de instalacines, falla de prveedres claves, acción malicisa y ausencia de persnal crític. El calendari de pruebas se planifica al inici del añ y las fechas específicas de cada prueba se definen de acuerd a calendaris establecids pr las unidades respnsables de las actividades críticas. El calendari de pruebas, también incluye pruebas frente a la indispnibilidad de instalacines (ficinas habituales en las cuales el Banc desarrlla sus funcines), mtiv pr el cual se traslada la peración de ls funcinaris crítics a un Siti de Operación Alternativ (BANCO CENTRAL DE CHILE, 2013). Además, tdavía n existen cmpañías certificadas en cntinuidad de negcis, es decir, ninguna rganización a nivel lcal cumple cn la nrma ISO 22301; y a nivel de rganisms internacinales, en el país prácticamente n se cncen las entidades dedicadas a regular la cntinuidad perativa, cm el DRI (Disaster Recvery Institute), en Estads Unids; y el BCI (Business Cntinuity Institute), en Inglaterra. Un indicadr que se puede utilizar para ver la carencia de la cntinuidad de ls negcis de las empresas en Chile, es la cantidad de quiebras bservadas entre ls añs y que sn presentadas a cntinuación en la Tabla Nº 2.1 (SQUIEBRAS, 2013): Tabla Nº 2.1: Númer de Quiebras Publicadas en el períd 01/01/2005 al 31/12/2012. Fuente: Superintendencia de quiebras Chile,

20 En la siguiente Tabla Nº 2.2, se puede bservar la cantidad de trabajadres existentes al mment de la declaratria de quiebra de la empresa. Tabla Nº 2.2: Dtación de trabajadres al mment de la declaratria de quiebra del 01/01/2005 al 31/12/2012. Fuente: Superintendencia de quiebras Chile, *Nta: Ls meses que figuran cn 0 trabajadres, quiere decir que n habían trabajadres cn cntrat vigente al mment de la incautación y/ n se pud determinar el númer de ésts. Cabe destacar que tdas estas quiebras declaradas sn prque estas empresas n pudiern enfrentar sus cmprmiss ecnómics, las reales causas de las mismas sn diversas, desde deficiente gestión, pérdidas de cmpetitividad, siniestrs, etc. Este simple análisis señala que existen prblemas de cntinuidad de negcis en las empresas chilenas. A cntinuación se presentan alguns cass de catástrfes que han currid en Industrias Chilenas, y que de haber cntad cn un eficiente Plan de Cntinuidad de Negci, sus impacts hubiesen sid much menres: Industria Salmnera: Desde juli de 2007, cuand se cnfirmó el primer cas de anemia infeccisa del salmón (cncida pr su sigla en inglés ISA) en un viver en la isla de Chilé, el sectr ha estad en prblemas. Obligand a las empresas a rediseñar el prces prductiv (LONG, 2009). Cas Farmacias: Prblemas legales de mnpli, han gatillad una serie de reaccines de la cmunidad y legisladres que pueden mdificar la nrmativa del rubr y eventualmente pner en riesg la cntinuidad del negci farmacéutic, tal cm sucedió cn las pequeñas farmacias cuand ingresarn al mercad. En este cas la causa de la crisis tienes sus rígenes desde el interir de las empresas, afectand en frma directa la imagen de estas. Finalmente ds sn las caras que grafican el desenlace en el llamad Cas Farmacias, mientras el Tribunal de Defensa de la Libre Cmpetencia (TDLC) multó a Salcbrand y Cruz Verde pr cerca de US $40 millnes (el mnt más alt de la histria de Chile en un cas de clusión de precis), pr tr lad ls diez imputads aceptarn el frecimient del Ministeri Públic de suspender cndicinalmente el prces. Las cndicines que deberán cumplir sn el pag a md de indemnización de un ttal de $255 millnes en benefici de rganizacines cm: Cruz Rja, Caniquem, el Institut Nacinal del Cáncer y la 10

21 Liga Chilena Cntra la Epilepsia, además de asistir y aprbar un curs de ética empresarial, buenas prácticas de gbiern crprativ respnsabilidad scial de la empresa, entre tras medidas (CASO FARMACIAS, 2013). Industria Alimentaria: En el añ 2008 se encntró carne de cerd cntaminada cn dixinas, cerrand tempralmente mercads de Japón y Krea que representan el 80% de las exprtacines de carne de cerd, pr un mnt de US$ En el añ 2009 se tiene prblemas cn la Listerisis, el primer prduct afectad es el ques, lueg es afectad ls embutids, que bligó a la empresa invlucrada a retirar del mercad su prducción, generand descnfianza de ls cnsumidres principalmente en el cnsum de embutids (CHILE POTENCIA ALIMENTARIA, 2013). El sectr Frestal: La crisis internacinal afectó en distintas magnitudes a ls subsectres de la industria frestal. Ya desde principis de 2008 cmenzó a glpear la disminución de demanda de EEUU, principal mercad chilen para madera sólida. El índice de cnstrucción de casas se desplmó en 45,2% en may de 2008 respect del mism mes del añ anterir, y casi un 80% desde Est afectó a las empresas elabradras de madera, que exprtan a ese mercad, per, después de la caída de Lehman Brthers, la cntracción de la demanda se extendió a trs mercads, tales cm Eurpa, Asia y Medi Oriente, impactand a su vez en la demanda de madera aserrada. En 2008, 148 aserraders, principalmente medians y pequeñs, paralizarn sus actividades en Chile. El últim trimestre de 2008 le tcó el turn a la industria de celulsa, cuya demanda internacinal prácticamente se detuv para Chile pr más de cuatr meses, para regresar debilitada y a precis a ls cuales ninguna planta del Hemisferi Nrte pdría prducir. Sin embarg, industrias cm la de papel y prducts sanitaris recibiern impacts much mens severs. Las empresas grandes debiern reducir las prduccines de sus aserraders y la csecha de sus bsques en 2009, y disminuir el ritm de prducción de celulsa. La celulsa, pr su parte, ha mejrad sus vlúmenes en virtud de mayres cmpras de China, aún cn precis bajs per mstrand leves alzas (RAGA, 2009). Terremt y tsunami del 27 de febrer de 2010: Un estudi realizad pr la Organización Panamericana de la Salud (2010), cmenta l siguiente: el día 27 de febrer a las 03:34 hras, hra lcal, se registró un terremt de magnitud 8,8 en la escala MW que tuv una duración aprximada de tres minuts. El epicentr se situó en la csta de la región del Maule, aprximadamente a 8 km al este de Curanipe y 115 km al nreste de Cncepción. A cntinuación se puede bservar ls efects cnsecuencias que dejó el terremt (OPS, 2010): 11

22 Efects en la pblación: En Maule y Bí Bí, las regines más glpeadas pr el terremt y tsunami, habitan persnas, el 19% de la pblación ttal del país. El desastre casinó 512 muerts, 16 desaparecids y 800 mil persnas damnificadas. La mayr cantidad de fallecids fue debid al tsunami, pr ejempl en la cmuna de Pelluhue se registrarn 47 muerts, 6 eran pbladres de este lugar y 41 fuern turistas chilens (OPS, 2010). Energía: Cm resultad del sism, se prduj un apagón ttal del área cubierta pr el Sistema Intercnectad Central (SIC), que abastece de energía desde Taltal en Antfagasta hasta la Isla Grande de Chilé, y una indispnibilidad de capacidad de generación. La electricidad fue restablecida paulatinamente en el país dentr de las primeras cuatr hras psterires al sism, a excepción de Bí Bí dnde al cab de seis hras sól el 40% de la región cntaba cn suministr (OPS, 2010). Agua y saneamient: De acuerd a la Superintendencia de Servicis Sanitaris (SISS), el terremt y el tsunami afectarn ls sistemas de agua ptable, las redes de alcantarillad y de descarga de aguas servidas, y las plantas de tratamient en znas urbanas y rurales. Hub rturas en las redes de distribución, dañs estructurales en estanques de regulación, y fallas en ls sistemas de bmbe e impulsión pr la falta de electricidad. A ell, se sumó la disminución en la dispnibilidad de clr en el país, pr ls dañs prducids en la principal planta prductra - Occidental Chemical Chile- ubicada en la bahía de Talcahuan (OPS, 2010). Transprtes y cmunicacines: El Ministeri de Obras Públicas registró dañs en km de camins, 191 puentes y 9 aeródrms aerpuerts. El terremt y tsunami también afectarn, en distints grads, la vialidad urbana en 40 cmunas entre las regines de Valparaís y La Araucanía. Ante la ausencia de la energía eléctrica, el país quedó sin cmunicación en la red de teléfns fijs y en la de celulares, y se prduj un prlngad crte de las cmunicacines de las radi emisras tant de FM cm AM. Las líneas de telefnía fija cmenzarn a recuperar su nrmalidad en las hras psterires reaccinand en general mejr que la telefnía móvil, que estuv varis días sin servici (OPS, 2010). Emple: Según la Organización Internacinal del Trabaj OIT, trabajadres perdiern su emple, de ls cuales en Bí Bí y en Maule, principalmente en la pesca, el cmerci y la agricultura. La catástrfe se ensañó cn las pequeñas empresas, que cncentran el 81% de ls emples perdids (OPS, 2010) Empresas que han implementad un BCP WAL-MART STORES INC. En Agst del 2005 cuand Katrina cambió su categría de trmenta trpical a huracán, Jasn Jacksn, Directr de Cntinuidad del Negci de Wal-Mart cambi su ubicación al centr de cmand de emergencias de Wal-Mart. Ds días después cuand el huracán llegó a Flrida, Jacksn estaba acmpañad de 50 gerentes y persnal de apy, antes de que el huracán tcara tierra en el 12

23 Glf de Méxic, Jacksn rdenó a las bdegas de Wal-Mart entregar prvisines a áreas de almacenamient designadas para tener la capacidad de abastecer a las tiendas cuand fuera psible. Cuand el sistema cmputarizad que actualiza ls inventaris de la zna de Wal-Mart qued sin señal, Jacksn atendió las llamadas de las tiendas para saber l que necesitaban, para el siguiente martes, camines de Wal-Mart fuern a abastecer generadres y tneladas de hiel sec a l larg de las tiendas ubicadas en el glf. Inicialmente 126 sucursales fuern cerrads pr encntrarse en el pas de Katrina, a pesar de las pérdidas reprtadas pr las tiendas, 15 días después, tdas a excepción de 15 tiendas, vlviern a abrir sus puertas (ZIMMERMAN, 2005). COMPAREX ESPAÑA S.A. En febrer de 2005 tuv lugar un incendi en el Edifici de Windsr, dónde estaban ls servidres centrales, después de 6 hras td el inmueble qued devastad. Ante esta situación Cmparex activa su Plan de Cntinuidad de Negci (BCP). Dentr de las estrategias que pus a pruebas están: Backups de infrmación, lugares de trabaj para que ls empleads puedan reanudar sus peracines desde tr siti, accediend a las aplicacines críticas utilizand cm base de acces el internet, infraestructura que le permitió la cmunicación de vz y dats entre ls centrs (MUR, 2013). El BCP le permitió a la rganización pder reaccinar la misma nche del incendi, se identificarn ls elements tecnlógics (servidres, sistemas de almacenamient, puests de trabaj cnectads a la red, cmunicacines, etc.) que se encntraban dispnibles y en funcinamient, así cm ls inactivs. Se recurrió a las cpias de infrmación que la rganización tenía en resguard en Madrid y Barcelna, verificand si pdía hacerse la recuperación cmpleta al últim día hábil de actividad. Se activó el alquiler de las ficinas alternas, dtándlas de equip necesari para trabajar y se cntactó a ls clientes ntificándles la situación de la cmpañía. El plan result un éxit para la cmpañía (MUR, 2013). BANKINTER El 18 de juli de 2012, BSI realizó la entrega de su primer certificad a nivel internacinal de la nueva nrma ISO 22301:2012 de Cntinuidad de Negci a Bankinter. El certificad avala que la entidad mantiene perativ un Sistema de Gestión de Cntinuidad de Negci cnfrme a ls requisits de la nueva nrma. Este certificad es el primer certificad ISO emitid pr BSI a nivel internacinal. Además Bankinter pasa a ser la primera entidad financiera a nivel mundial certificada en ISO Según ls requisits que exige esta nrma, el certificad acredita el Sistema de Gestión de Cntinuidad de Negci (SGCN) de Bankinter para ls prcess de identificación, autentificación y firma de peracines financieras y sus evidencias electrónicas a través de Internet, Teleprces Operativ y la infraestructura de ruting de Renta Variable para sus centrs de Tres Cants y Alcbendas en Madrid. (BSI GROUP, 2012). 13

24 2.2 Administración e influencia de la cultura en ls pryects empresariales Es de suma imprtancia prprcinar un panrama general sbre temas y cncepts de la administración que apyan de frma directa ls pryects empresariales, ligads a la influencia que tiene la cultura en la administración, ya que un Plan de Cntinuidad de Negci es un pryect empresarial y cm tal va a estar influenciad pr la cultura rganizacinal (ROMERO, 2008) Administración de Pryects. Hy en día, la mayría de las rganizacines recncen que la Administración de Pryects cm disciplina, tiene much que frecer al crecimient y éxit de sus estrategias de negci. Ls pryects sn la clave en esta nueva era de cmpetencia glbal (FORSBERG, 2000). Pr pequeñ que sea el pryect, se requieren habilidades de administración del mism para srtear las diferentes situacines que se presenten, y además garantizar el cumplimient de ls bjetivs dentr de ls tiemps estipulads. Estas habilidades van desde la definición del pryect, hasta la administración de sus medidas de avance. Adicinalmente, se deben incrprar técnicas para el manej de cntrats y el manej de prveedres (DACCACH, 2007). Jsé Daccach (2007), especializad en servicis de administración de pryects, identifica 12 actividades para la administración de pryects, que se detallan a cntinuación. 1) Definición del pryect: Pequeñ grande el pryect, es necesari definir su alcance, las decisines se tman y se califican mediante valración del impact que tienen en su resultad final, dad pr esta etapa de definición, cuant más grande sea el pryect, la imprtancia de dejar esta infrmación explícitamente estipulada aumenta (DACCACH, 2007). 2) Planeación del Trabaj: Se definen las actividades a realizar y la dependencia entre ellas. También se identifican ls recurss cn ls que se cuenta para realizar las actividades, ls recurss incluyen persnal, presupuest y elements requerids (DACCACH, 2007). 3) Administración de Cntrats: Hay que identificar ds temas fundamentales: la entrega de ls resultads (entregables) y el cumplimient de las fechas para estas entregas. Para ambs se establecen criteris y requerimients que permiten cntrlar el cumplimient de ls ds temas (DACCACH, 2007). 4) Administración de Prveedres: Es imperante establecer cóm se manejarán ls incumplimients, nrmales hasta ciert punt, entre l prgramad inicialmente y l que realmente está entregand el prveedr (DACCACH, 2007). 5) Administración del Plan de trabaj: Describe l que hay que hacer, el rden del trabaj, el esfuerz requerid y quien está asignad a cada tarea, per sól representa el mejr estimad de cóm cmpletar el trabaj que queda pr hacer en un mment dad de un pryect (DACCACH, 2007). 14

25 6) Administración de situacines: Pr l general, un pryect se administra en ds instancias: una a nivel de gerente y equip de pryect, y la segunda a nivel de gerencia de la cmpañía (DACCACH, 2007). 7) Administración del Alcance: El alcance de un pryect describe sus límites y l que el pryect va a entregar, qué infrmación se necesita y qué partes de la rganización se verán afectadas (DACCACH, 2007). 8) Administración de Riesgs: El riesg es una cndición futura que existe fuera del cntrl del grup del pryect, y que puede tener un impact negativ sbre el resultad del pryect si se llega a dar la cndición. Administradres reactivs esperan a reslver la situación cuand ésta suceda. Ls administradres practivs tratan de identificar y reslver prblemas ptenciales antes de que curran (DACCACH, 2007). 9) Administración de la cmunicación: Hay ds niveles de cmunicación en un pryect. Tds ls pryects deben cmunicar su estad. Adicinalmente, si el pryect es cmplej más grande, se necesita un nivel más sfisticad de cmunicación definid en un Plan de Cmunicacines (DACCACH, 2007). 10) Administración de la dcumentación: Aunque esta es una de las tareas que puede ser asistida pr tecnlgías cm un depósit dcumental, estas herramientas pueden ser difíciles de administrar e incrpran mayres prblemas al pryect. Otra decisión es el frmat estándar para ls dcuments, se recmienda utilizar el PDF para ls dcuments que n variarán una vez que se publiquen, y crear un siti Web para su almacenamient (DACCACH, 2007). 11) Administración de la calidad: La calidad de un pryect se mide baj el tiemp necesari para cumplir cn las expectativas entregables del cliente, pr l tant el bjetiv central del equip del pryect es tratar de cumplir y exceder ls requerimients del cliente. La medición de la calidad n es un event, sin un prces cntinu y un estad mental (DACCACH, 2007). 12) Administración de las métricas: Para fijar las métricas para el pryect, se sugiere identificar ls criteris de éxit en términs de entregables y ejecución, determinar cóm medir tant el lgr final cm el avance, seleccinar un númer balancead de métricas, y recger la infrmación. Es de vital imprtancia clcar parámetrs de cmparación mediante metas ya que la métrica pr sí sla, n dice much. En general, este prces es de pca imprtancia para pryects pequeñs, ya que n hay ni el tiemp para reclectar ls valres, y mens para analizar y tmar crrectivs (DACCACH, 2007). Para el inici y futuras actualizacines del cicl de vida del Plan de Cntinuidad de Negci es necesari tmar en cuenta ls punts que se han mencinad anterirmente cn el fin de generar un plan eficiente para la peración del negci. En este punt hay infrmación que n se debe pasar pr alt, per qué sucede cuand alg se sale de l planead?, y cuánd una situación cambia la dirección del trabaj?, para dar respuesta a estas y más interrgantes, es necesari estudiar sbre administración de riesgs, 15

26 lgrand cn ell estar preparad ante una situación que puede cambiar el rumb del prces administrativ en cas de currir Administración de Riesgs La administración de riesgs es una herramienta que ayuda en el prces de tma de decisines que cnvierte la incertidumbre en prtunidades, evita el suicidi financier y catástrfes de graves cnsecuencias (DE LARA, 2005). La palabra riesg viene del latín risicare, que significa atreverse a transitar pr un sender peligrs, tiene un significad negativ, relacinad cn peligr, dañ, siniestr pérdida. Sin embarg, el riesg es parte inevitable de ls prcess de tma de decisines en general y de ls prcess de inversión en particular. La medición cuantitativa del riesg se ascia cn la prbabilidad de una pérdida en el futur. Ls seres humans deben cncer y respnder intuitiva cuantitativamente a las prbabilidades que cnfrntan en cada decisión (DE LARA, 2005). Alfns de Lara Har (2005), cmenta que la clave para una crrecta evaluación de riesgs cnsiste en: Identificar el riesg (Clasificar ls tips de riesg relevantes para el negci). Definir cóm serán tratads (Evitar el riesg, cntratar segurs, utilizar cberturas cn instruments financiers, implantar metdlgías para riesgs cuantificables, etc.). Establecer cntrles (Definir prcedimients para n exceder ls límites de cada riesg). Mnitrear y reprtar la situación del riesg (infrmar periódicamente sbre la evlución de ls riesgs). La Administración de Riesgs cncierne a tds ls miembrs de una entidad e invlucra a tds sus niveles de rganización. Su actividad n es estática, ya que siempre habrá nuevs y diferentes riesgs al estar dentr de un entrn cambiante. Para que una empresa tenga una administración cmpleta, es necesari estudiar ls incidentes que pueden afectar su peración. Es cm surge la necesidad de tener un área dedicada al estudi sistemátic de ls prblemas y que este estudi, cnsiga determinar las estrategias adecuadas para reducir a su nivel mínim el dañ que puede currir (DE LARA, 2005). En cuant a l relevante para el Plan de Cntinuidad de Negci de l que Alfns de Lara (2005) cmenta en su libr Medición y Cntrl de Riesgs Financiers sbre las medidas que pdrían minimizar ls riesgs, se destacan ls siguientes: Transferir a un tercer la función causante del riesg: Pr ejempl, para un carpinter que debe entregar muebles a sus clientes, per está cnsciente de ls riesgs que existen en el transprte de mercancías, decide cntratar un prveedr que le brinde el servici de transprte de la mercancía a sus clientes (DE LARA, 2005). 16

27 Cmprar un cntrat de derivads para atenuar el riesg: Se refiere al cncimient que se debe tener sbre el aument de un preci, para evitar pagar ese aument, se elabra un cntrat para mantener el preci actual (DE LARA, 2005). Disminuir la prbabilidad de que curra el event negativ: La pérdida atribuible de un riesg depende de la prbabilidad de currencia y de la pérdida mnetaria, si existe. En algunas casines es psible aminrar la psibilidad de currencia. Un ejempl seria aminrar la prbabilidad de un incendi, sustituyend el cablead eléctric (DE LARA, 2005). Reducir la pérdida relacinada cn el event negativ: Cn el ejempl del incendi, el cst del incendi puede aminrarse instaland sistemas de rciad, diseñar instalacines cn znas de incendi, etc. (DE LARA, 2005). Prescindir las actividades que riginen el riesg: Pr ejempl, una cmpañía puede interrumpir un prduct línea de servicis en cas de que la utilidad sea menr que el riesg (DE LARA, 2005). Cuand se identifican ls riesgs, existen diferentes psibilidades para las accines que se emprenderán cn ls resultads del análisis de riesgs, de las cuales destacan las siguientes (DE LARA, 2005): Una de las alternativas es evitarls, para l cual se debe eliminar cmpletamente la fuente del riesg. Otra alternativa es mitigar ls riesgs, l cual es una acción preventiva para reducir el dañ. Para lgrar est, Alfns Har sugiere elabrar las siguientes tareas: Cambis estratégics (metdlgía de trabaj, herramientas, prveedres). Cambis lgístics. La tercera alternativa, es aceptarls, l que implica elegir entre las pcines que se mencinan a cntinuación: Pasiva: n se tma ninguna medida, sól se mnitrea el riesg de frma regular. Activa: se implementa usa un Plan de cntingencia, en cas de que el riesg suceda. A cntinuación en la Tabla Nº 2.3, se presenta un ejempl de matriz de crrelación en la que intervienen ls principales parámetrs que facilitan la caracterización y análisis de riesgs, realizada pr Jesús G. Martínez (2001): 17

28 Tabla Nº 2.3: Matriz de crrelación para determinar ls grads de riesgs niveles de impact. Zna Actividad Analizada: Caracterización tip de Riesg: Elabr: Revisión: Fecha: Clasificación de Frecuencias Durabilidad tip de Impact Niveles grads de Riesg Cnstante: 3 más veces pr añ. Frecuente: 1-2 veces pr añ. Periódica: 1 vez cada 2 añs. Ocasinal: 1-3 veces cada seis añs. Eventual: 1-3 veces cada 7 a 14 añs. Frecuencias 1. Catastrófica. 2. Muy Grave. 3. Grave. 4. Mderada. 5. Baja. 6. Mínima. a. Irreversible. b. Reversible cn tratamient. c. Prlngad. d. Durader. e. Mmentáne. f. Instantáne. Magnitudes y tips de Impacts I. Crític. II. Muy Alt. III. Alt. IV. Cntrlable. V. Aceptable Permisible. VI. Baj. a. Irreversible. b. Reversible cn tratamient. c. Prlngad. d. Durader. e. Mmentáne. f. Instantáne. Relacines de Magnitud del Impact Niveles de Riesg Cnstante I I I II III III Periódica I I I III III III Frecuente I II II III IV IV Ocasinal II II III IV IV V Eventual III III III IV V VI Remta III IV IV V V VI Fuente: Martínez, De la anterir Tabla Nº 2.3 se puede analizar que ls events que se cmprtan entre ls niveles de riesg I y II, implican la bligación necesidad de actuar de inmediat. Esta matriz frece la prtunidad de cambiar ls parámetrs de análisis (riesg impact), además siempre será cnveniente que el riesg se defina fácilmente pr la relación de la magnitud y la frecuencia (MARTÍNEZ, 2001): ( )( ) (2.1) 18

29 2.2.3 Cmprtamient rganizacinal El estudi de este punt es garantizar que la metdlgía a elabrar será parametrizada a las necesidades de la empresa, per básicamente a ls empleads y a su cmprtamient en la rganización. El cmprtamient rganizacinal es un camp de estudi en el que se investiga el impact de la cnducta que individus, grups y estructuras tienen dentr de las rganizacines, cn el prpósit de aplicar ls resultads en el mejramient de la eficacia de una rganización (ROBBINS, 2004). Dentr del cmprtamient rganizacinal es muy imprtante realizar un estudi de ls grups que surgen dentr de una rganización ya que est clabrará en plen benefici para alcanzar las metas y ls bjetivs que se planteen (GONZÁLEZ, 1994). Entre tras actividades, un grup puede rientar y reslver prblemas, expltar psibilidades alternativas en frma creativa ejecutar planes bien elabrads (GONZÁLEZ, 1994). En la terminlgía de ls sistemas, se define al grup cm: Cnjunt de sistemas de cmprtamient mutuamente independientes que n sól se afectan entre sí, sin que respnden también a las influencias exterires (HUSE, 1980). Stephen P. Rbbins (2004), hace la siguiente clasificación de grups: Frmales: se tienen nrmas y estatus, est es, que cuentan cn una sanción ficial y han sid rganizads pr una autridad administrativa de tr tip, cn el prpósit de que cumplan cn las metas de la rganización (ROBBINS, 2004). Infrmales: ests n tienen una estructura muy definida, a la vez que n cuentan cn un estatus específic. Surgen de manera espntánea en alguna rganización grup frmal. Ests se pueden frmar en razón de la amistad de ls integrantes de intereses similares (ROBBINS, 2004). De Mand: ls integrantes cmparten la respnsabilidad de administrar el grup u rganización, para lgrar cn mayr eficacia las metas prpuestas (ROBBINS, 2004). De Tarea: cnjunts de individus que se frman en grup, para plazs breves, cn tiemps especificads cn anteriridad a fin de realizar una singular serie de tareas pryects (ROBBINS, 2004). De Interés: enfcads a la búsqueda de una meta cmún, ls integrantes de este tip de grup se cupan de una varias tareas cnjuntamente y lgran intereses particulares para cada un (ROBBINS, 2004). De Amistad: ls integrantes tienen características cmunes entre sí, cada quien escge a ls integrantes, bien l hacen en cnjunt (ROBBINS, 2004). 19

30 De ls tips de grup que se han cmentad anterirmente se debe analizar cuales pueden apyar de frma más psitiva la implementación de un Plan de Cntinuidad de Negci Cultura Organizacinal La cultura rganizacinal se ha definid cm "una suma determinada de valres y nrmas que sn cmpartids pr persnas y grups de una rganización y que cntrlan la manera que interaccinan uns cn trs y ells cn el entrn de la rganización. Ls valres rganizacinales sn creencias e ideas sbre el tip de bjetivs y el md aprpiad en que se deberían cnseguir. Ls valres de la rganización desarrllan nrmas, guías y expectativas que determinan ls cmprtamients aprpiads de ls trabajadres en situacines particulares y el cntrl del cmprtamient de ls miembrs de la rganización de uns cn trs" (HILL, 2011). Una de las características de la cultura rganizacinal es su carácter simbólic. La cultura es alg intangible, aunque sus manifestacines sí sn bservables. En este sentid, la cultura de una rganización está cnstituida pr una red de símbls cstumbres que guían y mdulan, en distint grad, ls cmprtamients de quienes trabajan en ella y, sbre td, de las persnas que se van incrprand. Ests elements simbólics se manifiestan en tds ls niveles y departaments de la rganización, desde las relacines persnales y sciales hasta las nrmas de cntabilidad. Mediante ls elements simbólics de la cultura, la rganización y sus miembrs establecen prcess de identidad y exclusión (HOFSTEDE, 2010). La cultura rganizacinal tiene varis efects sbre el cmprtamient de sus miembrs. En primer lugar, en ls prcess de atracción y selección, l que perpetua aún más la cultura existente. También tendrá efects sbre ls prcess de retención y rtación vluntaria, de manera que en la medida que haya una mayr crrespndencia entre ls valres de ls trabajadres y la cultura rganizacinal, mayr será el cmprmis del trabajadr hacia la rganización, y menr la tasa de rtación abandn vluntari. Ls estils de liderazg y tma de decisines se verán también afectads pr cntingencias culturales así cm las cnductas emprendedras (BRETONES, 2009) En cnclusión la cultura desempeña numersas funcines dentr de la rganización. Primer, tiene un papel de definición de frnteras; es decir, crea distincines entre una rganización y las demás. Segund, transmite un sentid de identidad a ls miembrs de la rganización. Tercer, la cultura facilita la generación de un cmprmis cn alg más grande que el interés persnal de un individu. Y cuart, incrementa la estabilidad del sistema scial (ROBBINS, 2004) Cultura Organizacinal chilena Diferentes estudis han plantead, desde la década de ls nventa, que las características históricas y culturales de Chile han determinad que la relación tradicinal entre persnas y rganizacines se haya 20

31 basad en el paternalism, la existencia de una jerarquía respetada y el cnfrmism (RODRÍGUEZ, 2008). Este mdel ha sufrid imprtantes cambis en las últimas décadas, l que ha llevad al planteamient de una transición hacia una relación más impersnal y basada en la eficiencia y el mérit. Ls misms estudis han plantead una tensión entre individualism y gregarism. Además plantearn que en la cultura chilena es psible ser slidari, per sin perder su centr individual. En esta dirección, Abarca, Majluf y Rdríguez (1998) plantearn que el estil de administración chilen favrece la cnducta individualista sbre frmas gregarias de trabaj y participación. El individualism sería la nrma, mientras que el trabaj en equip sería la excepción (ABARCA, 1998). Otrs estudis han destacad la alta distancia cn el pder cm un rasg de la cultura latinamericana, incluyend a Chile. Esta distancia, en parte, sería reflej de la distancia scial entre superir y subrdinad, y afectaría en prácticas cm la dificultad para delegar autridad, para descentralizar y entregar pder en la tma de decisines (DÁVILA, 2005). Gómez y Rdríguez (2009) indican el fuerte sentid de jerarquía presente en el cntext rganizacinal chilen, dnde ls subrdinads asumen sin críticas las pinines, mandats e instruccines de quienes tienen pder y se acepta ser cntrlad estrechamente y supervisad en aras de ser aceptad. Además han señalad que alguns de ls elements principales de la dinámica del trabaj en Chile sn: La existencia de gran presión de trabaj, ejercida pr ls jefes y gerentes. Fc sstenid en alts niveles de eficiencia rganizacinal, cm un element aislad, que usualmente n cnsidera a las persnas. Inexistencia de autnmía en el trabaj y empderamient. Cnsideración de que la lealtad, la dedicación, la bediencia y el prfesinalism sn cualidades deseadas en ls trabajadres. Rdríguez (2008) en un trabaj que se ha cnvertid en un de ls más imprtantes que se han realizad sbre cultura rganizacinal chilena, señaló que el mdel se encntraba en transición. Indicó, pr ejempl, la creciente aplicación de una racinalidad técnica en el prces de reclutamient y selección. También señaló que el trat paternalista de prtección a cambi de lealtad estaba en retirada, siend reemplazad pr un mdel en que prevalece una relación impersnal, en que la racinalidad y la funcinalidad determinan el cmprtamient que tendrá cada individu en la rganización. En su descripción, dnde cmparó el estil latinamerican-chilen cn el japnés y el estadunidense, planteó al aument del individualism en las relacines cn la empresa y a la presencia de cmunicacines verticales y específicas en l frmal, cmplementadas cn tras instancias infrmales amplias y grupales. Indicó además la existencia de respnsabilidades difusas en ls cargs y una participación casi 21

32 inexistente en la tma de decisines, planteand que la incrpración de trabajadres más jóvenes y cn mejres niveles educacinales pdría hacer cambiar esa situación. Ls planteamients presentads pr tds ests autres, tienen en cmún que están basads en bservacines cualitativas y bservadres externs a la relación labral. Cmplementar estas pinines desde la perspectiva de ls ejecutivs que aplican las prácticas de gestión de persnas y de ls trabajadres, permitiría tener una visión glbal del estil nacinal, es pr est que a cntinuación se presenta un estudi realizad pr David E. Hjman y Gregri Pérez (2005), en el cual, se realizó una encuesta a más de visitantes del mall Parque Arauc en el sectr riente de Santiag. El Parque Arauc n es perfectamente representativ de la pinión nacinal, prque sus clientes sn de ingress medis y alts. Per de tdas maneras, ests dats permiten frmar pr l mens una idea, y en muchas preguntas el sign (psitiv negativ) del sesg respectiv será más mens evidente. La mayría de ls entrevistads sn típics empleads de empresas chilenas (entre las excepcines se encuentran estudiantes, dueñas de casa, empleadres, trabajadres pr cuenta prpia, y persnas que residen en el extranjer). Ls entrevistads estaban cnscientes que tant la inestabilidad ecnómica cm las nuevas tecnlgías habían afectad a ls empleads. Ls encuestads estaban, igualmente, dividids entre aquells que pinaban que el emple típic frecía psibilidades para el desarrll persnal, y aquells que creían l cntrari. También estaban dividids entre aquells que pensaban que ls beneficis del trabaj habían mejrad, y aquells que creían que habían disminuid. La mayría de ls entrevistads, tres de cada cuatr, creía que el acces al emple dependía de amistades cntacts familiares, y n de la publicación de aviss en medis de cmunicación y cncurss abierts (HOJMAN, 2005). Resumiend, la percepción general era de cambi crprativ e intrducción de nuevas tecnlgías que, sin embarg, n habían lgrad beneficiar, cmpensar y recncer a ls empleads adecuadamente. La visión de la abrumadra mayría era pesimista, fatalista y paternalista. La percepción que tenían ls entrevistads acerca de las relacines industriales n era particularmente buena. Un 63% pensaba que las cmpañías trataban a sus empleads exactamente cm la ley l rdenaba, ni mejr ni per. Otr 31% pensaba que ls empleads eran tratads cm desechables prescindibles. Slamente 5% creía que ls empleads eran tratads cm un recurs valis (HOJMAN, 2005). En cuant a la pinión que tenían ls entrevistads acerca de ls empleads, tampc era especialmente buena. El 75% de la muestra estuv de acuerd en que el trabajadr chilen n crre riesgs; el 57%, que es flj; el 73%, que n acepta críticas, y el 59%, que al trabajadr chilen le gusta que le digan l que hay que hacer. Per hay que recncer que, si es que la gerencia quiere que al trabajadr le guste que le digan l que hay que hacer, psiblemente a éste n le queda más remedi que gustarle, pretender que le gusta (HOJMAN, 2005). 22

33 Finalmente gracias a la infrmación anterirmente mencinada, se pueden cnseguir bastantes dats que lgren favrecer la implementación y mantenimient de un Plan de Cntinuidad de Negci en Chile, cm pr ejempl la frma en la que se debe entregar las tareas y bligacines a ls demás, las cuales deben ser de una frma impersnal y frmal, también la imprtancia de la delegación de autridad y tma de decisines, cn l cual se busca btener que ls clabradres se sientan parte de la empresa y cm un recurs valis para la misma Liderazg Debid a que el Plan de Cntinuidad de Negci (BCP) es un prces que se trabaja en gran parte de frma teórica y que se basa principalmente en la cncientización que se lgre entre ls empleads, ya que durante su trabaj diari deben elabrar ciertas tareas que apyen al BCP, es fundamental que el respnsable psea liderazg frente al grup que participa en el Plan (BASS, 1997). Existe un mdel para evaluar el cmprtamient del liderazg en las rganizacines, llamad Inventari de las prácticas de Liderazg elabrad pr James Kuzes y Barry Psner (2007), el análisis del liderazg se lleva a cab pr medi de la evaluación de cinc cmprtamients (KOUZES, 2007): Desafiar ls prcess: El líder se hace respnsable de ls riesgs que cnllevan ls prcess administrativs y perativs, además de la dinámica interna y externa que juegan ls prcess (KOUZES, 2007). Inspirar una visión cmpartida: Se refiere a la imaginación apasinante del líder sbre escenaris futurs (KOUZES, 2007). Habilitar a ls demás a que actúen: Esta característica se refiere a la facultad del líder para desarrllar un ambiente participativ y cperativ, haciend del equip de trabaj, cmpañers pr-activs (KOUZES, 2007). Mdelar el camin: Se refiere a una alta jerarquía de valres y de igual frma una alta mralidad. Clquialmente pdría decirse: El líder predica cn el ejempl (KOUZES, 2007). Dar alient cn el crazón: Es un cmprtamient transaccinal integrad en el Inventari de las prácticas de liderazg. Este cmprtamient se refiere a la retralimentación psitiva que el líder da a ls seguidres, recnciend públicamente las cntribucines individuales y celebrand ls lgrs del equip (KOUZES, 2007). De acuerd a ls punts citads anterirmente, se puede hacer una selección de la persna más idónea para el carg de Crdinadr del Plan de Cntinuidad de Negci. El liderazg cm función dentr de la Organización Operacinalmente, un grup tiende a actuar hablar a través de un de sus miembrs, cuand tds tratan de hacerl simultáneamente el resultad pr l general es cnfus ambigu. La necesidad de un 23

34 líder es evidente y real, y esta aumenta cnfrme ls bjetivs del grup sn más cmplejs y amplis (DAFT, 2006). Pr ell, para rganizarse y actuar cm una unidad, ls miembrs de un grup eligen a un líder. Este individu es un instrument del grup para lgrar sus bjetivs y, sus habilidades persnales sn valradas en la medida que le sn útiles al grup (GIL, 1990). Cm el liderazg está en función del grup, es imprtante analizar n sl las características de este sin también el cntext en el que el grup se desenvuelve. Pues se cnsidera que estas características determinan quien se cnvertirá en el líder del grup (GIL, 1990). Dependiend si la situación requiere acción rápida e inmediata permite deliberación y planeación, ls liderazgs pueden caer en persnas diferentes (GIL, 1990). En síntesis, " el líder es un prduct n de sus características, sin de sus relacines funcinales cn individus específics en una situación específica" (DAFT, 2006). Características de un líder En la dirección de las rganizacines se encuentran las elites frmada pr líderes. Se identifica al líder pr las siguientes características (DAFT, 2006): El líder debe tener el carácter de miembr del grup, es decir, debe pertenecer al grup que encabeza, cmpartiend cn ls demás miembrs ls patrnes culturales y significads que ahí existen (DAFT, 2006). La primera significación del líder n resulta pr sus rasgs individuales únics, universales (estatura alta baja, aspect, vz, etc.) (DAFT, 2006). Sin que cada grup cnsidera líder al que sbresalga en alg que le interesa, más brillante, mejr rganizadr, el que psee más tact, el que sea más agresiv, más sant más bndads. Cada grup elabra su prttip ideal y pr l tant n puede haber un ideal únic para tds ls grups (DAFT, 2006). En cuart lugar. El líder debe rganizar, vigilar, dirigir simplemente mtivar al grup a determinadas accines inaccines según sea la necesidad que se tenga (DAFT, 2006). Estas cuatr cualidades del líder, sn llamadas también carisma. Pr últim, tra exigencia que se presenta al líder es la de tener la prtunidad de cupar ese rl en el grup, si n se presenta dicha psibilidad, nunca pdrá demstrar su capacidad de líder (DAFT, 2006). 24

35 2.3 Metdlgías y estándares para la elabración de un Plan de Cntinuidad de Negci En este punt se presentan algunas de las Metdlgías que existen actualmente sbre Cntinuidad del Negci desde diferentes enfques y entre ls dcuments que pueden servir de apy en la elabración del Plan de Cntinuidad de Negci, se tienen estándares que sn recncids a nivel mundial. Ls estándares sn avalads pr institucines especializadas en el tema de Cntinuidad de Negci. En las páginas siguientes se analizan cada una de las metdlgías. A cntinuación en la Tabla Nº 2.4, se pueden bservar ls dats generales de las metdlgías utilizadas a nivel mundial de cntinuidad de negci, las cuales se explican en ls punts siguientes. Tabla Nº 2.4: Dats Generales de las metdlgías de BCP. Organización Estándar y/ Metdlgía Alcance Añ de Actualización Origen BSI BS BS BCM (Business Cntinuity Management) 2007 Inglaterra BSI BS ITDR (Infrmatin Technlgy Disaster Recvery) 2008 Inglaterra BCI Guía de las Buenas Prácticas BCM identificand el ITDR cm estrategia 2008 USA ITIL Gestión de la cntinuidad del servici Gestión de Servicis Infrmátics 2007 Inglaterra DRJ Emergency Operatin Center (EOC) Centr altern de peracines para BCM cm para ITDR 2012 USA DRI DRJ Prácticas Generalmente Aceptadas BCM 2007 USA Natinal Fire Prtectin Assciatin NFPA 1600 BCM 2013 USA ISO ISO Seguridad de la infrmación 2005 Ginebra (Suiza) ISO ISO BCM 2012 Ginebra (Suiza) Fuente: Elabración prpia. 25

36 Cm muestra la Tabla N º 2.4, las metdlgías han surgid en diferentes znas gegráficas, pr l cual es imprtante analizarlas en detalle para identificar ls punts de cada una que pueden aplicarse en Chile. Las diferentes metdlgías fuern escritas cada una enfcada a diferentes situacines, cm cmunicación de crisis, tecnlgía, prcess de negci y siti altern entre tras, debid a est es imprtante estudiar cada una de ellas, cn la finalidad de identificar el tema en el que cada una se especializa y de esta frma, frtalecer la metdlgía que se diseñará para ser aplicada en Chile BS La nrma británica BS de la Institución Británica de Nrmas, tma la idea de un plan de cntinuidad de negcis y amplía su alcance para abarcar en su ttalidad a la cmpañía. BS está dividida en ds partes: BS y BS La BS , Códig de Práctica fue publicad en diciembre de 2006 y es un dcument general que explica el prpósit de la nrma, es básicamente un dcument rientativ que prprcina las recmendacines prácticas para las el BCP. BS , la especificación, fue liberada en nviembre de 2007 y establece ls requisits para un Sistema de Gestión de la Cntinuidad (BCM). Esta es la parte de la nrma que se certifica a través de una etapa de implementación, de auditría y psterir certificación (PJR, 2013). El estándar prprcina una breve intrducción de l que es la Cntinuidad de Negci, explica prque las rganizacines deben cntar cn un Plan de Cntinuidad de Negci detalland ls beneficis que se adquieren cn la implantación de éste. Además explica la imprtancia de cntar cn un Análisis de riesgs y cm ayuda éste al Plan de Cntinuidad de Negci. Las etapas que el estándar maneja, sn cncidas cm el cicl de vida del BCP, el cual se puede bservar en la Figura Nº 2.1. Figura Nº 2.1: Cicl de vida del Plan de Cntinuidad de Negci. Fuente: BS ,

37 A cntinuación se explican brevemente las etapas de este cicl de vida (BS : 2006): Plan de Administración de Cntinuidad de Negci: Establece la imprtancia de cntar cn una administración del Plan de Cntinuidad de Negci, en el que se lleve el mnitre de tdas las actividades que integran el Plan y que permita identificar desde una frma general ls punts que falta especializar (BS : 2006). Entendiend la rganización: Un de ls punts iniciales y más imprtantes para realizar el BCP es cncer y entender de frma detallada el negci al que se dedica la rganización, para así btener cm resultad un plan de cntinuidad óptim.es en esta fase dónde se aplica el Análisis de Impact al Negci (Business Impact Analysis, BIA pr sus siglas en inglés), se determina el Tiemp Objetiv de Recuperación (RTO pr sus siglas en inglés) y el Punt Objetiv de Recuperación (RPO pr sus siglas en inglés) (BS : 2006). Determinand la estrategia de Cntinuidad de Negci: Plan de Recuperación de Tecnlgía en cas de Desastre, sitis alterns para la recuperación de tecnlgía y para la cntinuidad de las peracines, estrategias para el trabaj desde casa, un Plan de Cmunicación interna y externa durante y después del incidente, respald de infrmación en tr siti, etc. (BS : 2006). Implementación de un prgrama de respnsabilidades para la Cntinuidad de Negci: Identificar el equip para la Cntinuidad de Negci y cuáles sn las actividades que deben realizar frecuentemente, para estar preparads en cualquier mment ante una crisis. Así, cm las tareas que se deben realizar cuand el incidente sea declarad. En esta etapa se identifica el equip de Administración de Crisis y el equip de Administración de Incidentes (BS : 2006). Pruebas y mantenimient del Plan de Cntinuidad de Negci: Es de vital imprtancia realizar pruebas para determinar la eficacia cn la que puede cntinuar el negci ante la presencia de una psible interrupción, además el prces de mantenimient del plan es trascendental, para btener un Plan de cntinuidad de negci actualizad y vigente, cnsiderand que el negci cntinúa y está en cnstante cambi. En esta fase se detalla la imprtancia de prbar ls planes que se han desarrllad para verificar la capacidad que tiene y encntrar mejras que puedan ayudar a aumentar el nivel de madurez del Plan de Cntinuidad de Negci (BS : 2006). Desarrlland una cultura de Cntinuidad de Negci: Esta fase busca desarrllar en tds ls empleads de la rganización, la cncienciación de que la rganización puede tener en cualquier mment algún incidente que interrumpa la peración nrmal de la empresa, ante l cual se debe estar preparads psiclógica, tecnlógica y técnicamente para pder dar cntinuidad al negci cn ls recurss que cuenta la empresa, (BS : 2006). 27

38 Cada una de las fases que se han descrit de frma breve, sirven para frmar la base de la metdlgía prpuesta para el presente trabaj de grad, est debid a la frma tan cmpleta del Estándar BS BS En muchas rganizacines, la ejecución de ls prcess crítics depende de ls servicis de infrmación y tecnlgía de cmunicacines, definid en el BS cm ICT (Infrmatin and Cmmunicatins Technlgy) (BS 25777: 2008). La finalidad del BS es apyar a las rganizacines a implementar una crrecta estrategia para ls servicis de infrmación y tecnlgía de cmunicacines. Ls principis que cmpnen el estándar sn (BS 25777: 2008): Prtección: El análisis de ls servicis de infrmación y cmunicación permiten cncer las amenazas y vulnerabilidades, identificand cn ell, ls riesgs que pueden aminrarse (BS 25777: 2008). Detección: Este principi se refiere a identificar ls servicis que sprtan ls prcess claves del negci, para tenerls cm priridad para su recuperación (BS 25777: 2008). Reacción: Mediante la planeación de un prgrama de cntinuidad cm el ICT, se lgra la reacción de la rganización ante ls incidentes, minimizand así, el Dwntime (BS 25777: 2008). Recuperación: Sbre ls requerimients del negci de las tecnlgías de infrmación y ls tiemps en que se requieren, se puede definir un plan de acción sbre las tecnlgías que se recuperan primer y las que se recuperarán después (BS 25777: 2008). Operación: Este principi se refiere a dar sprte a la peración cntingente que la empresa desarrlle después de la currencia del incidente (BS 25777: 2008). Regres: El ICT hace énfasis a lgrar la peración del negci después de un incidente, per es necesari diseñar la mejr estrategia para migrar la peración de la rganización de regres al Edifici principal (BS 25777: 2008). El ICT debe cntar cn alguns elements que le permitan desarrllarse de la mejr manera, ests sn (BS 25777: 2008): Persnal: Además de apyar en la peración diaria, el persnal de Tecnlgías de Infrmación y Cmunicacines debe empezar a desarrllar las habilidades para apyar en cas de un escenari de cntingencia. Est se lgra a través de la capacitación y práctica del ICT (BS 25777: 2008). Lcalidades: Se debe identificar el equip necesari para llevar a cab la restauración de las tecnlgías de infrmación así cm ls lugares alterns que se utilizaran en un escenari de cntingencia (BS 25777: 2008). 28

39 Tecnlgía: Dentr de la tecnlgía pueden identificarse alguns rubrs cm (BS 25777: 2008): Servidres, frma de respalds de la infrmación, medis de almacenamient de infrmación que se utilizan y cualquier tr hardware necesari para la recuperación. Redes, servicis de vz, switches y ruters. Sftware, incluyend las aplicacines de tercers utilizads en la peración nrmal, en este punt se debe tener claramente identificadas las relacines lógicas entre aplicacines. Infrmación, este punt cuida que cualquier tip de infrmación necesaria para la recuperación se tenga lista, siempre cuidand la cnfidencialidad, integridad y dispnibilidad. Prcess, se refiere a tener bien definid y detallad un prgrama que permita recuperar ls servicis de infrmación cn tan sól tener servidres y equips de cómput en blanc. Empezand desde la instalación del Sistema Operativ. Prveedres, tr cmpnente para que ls servicis que frece el área de Tecnlgías de Infrmación y Cmunicacines se puedan mantener cntinus aún después de currid un incidente, sn ls prveedres especializads en el área cm el carrier de internet, prveedres de telefnía, entre trs (BS 25777: 2008). El BS 25777: 2008, resulta ser un estándar altamente efectiv en el área de IT, pues está cmpletamente detallad para n perder de vista ningún punt. Además tiene la ventaja que esté alinead al BS : 2007 de la misma institución, y el cual, está enfcad a ls prcess del negci, es pr est que este estándar, juega un papel crucial al mment de desarrllar ls planes de cntingencias tecnlógics, pertenecientes al Plan de Cntinuidad Operacinal ITIL La Bibliteca Infraestructuras de Tecnlgías de la Infrmación (ITIL), cntiene un punt que es muy interesante para la frmulación del Mdel de Plan de Cntinuidad de Negci y se encuentra en el apartad llamad Gestión de Cntinuidad de servicis de TI (ITSCM pr sus siglas en ingles), que tiene ls siguientes bjetivs (OSIATIS, 2013): Garantizar la prnta recuperación de ls servicis (crítics) de TI tras un desastre. Establecer plíticas y prcedimients que eviten, en la medida de l psible, las pernicisas cnsecuencias de un desastre causa de fuerza mayr. ITSCM está dirigid al área respnsable de la infrmación, buscand garantizar una rápida recuperación de ls servicis crítics de TI (Tecnlgías de Infrmación) después de un incidente. 29

40 Dentr de la Cntinuidad de Negci es indispensable elabrar un estudi de Riesgs. ITIL cn la Gestión de Cntinuidad del Servici tiene una frma de llevar a cab una Gestión y Análisis de Riesgs, para l cual se basa en la siguiente Figura Nº 2.2 (OSIATIS, 2013): Actividades prpuestas pr ITIL (OSIATIS, 2013): Figura Nº 2.2: Gestión y Análisis de Riesgs. Fuente: OSIATIS, Establecer las estrategias de cntinuidad del servici TI. Adptar medidas practivas de prevención del riesg. Desarrllar ls planes de cntingencia. Pner a prueba dichs planes. Frmar al persnal sbre ls prcedimients necesaris para la prnta recuperación del servici. Revisar periódicamente ls planes para adaptarls a las necesidades reales del negci. De acuerd cn ITIL cuant mayr sea el impact asciad a la interrupción de un servici, mayr debe ser el esfuerz para la prevención. Estudiand a detalle cada un de ls punts que marca ITIL se pueden btener beneficis para el Plan de Recuperación de Tecnlgía en cas de Desastre, siempre que puedan implementarse cn ls recurss existentes NFPA 1600 The Nrth American Business Cntinuity Standard publica la Nrma NFPA 1600, que es tr punt de vista sbre cóm puede llevarse a cab el tema de Cntinuidad de Negci y cada una de sus fases (NFPA, 2013). 30

41 La nrma NFPA 1600, presenta ls siguientes punts indispensables para la efectiva Administración de Cntinuidad de Negci (NFPA, 2013): Prgrama de Administración. Dcumentar cuál es la visión y misión del Plan de cntinuidad de Negci. Establecer un frmat para registrar ls bjetivs del persnal que participa en el prgrama y hacer revisines periódicas que permitan mnitrear el avance, cumplimient y evaluación de ls bjetivs (NFPA, 2013). Leyes y autridades. En esta fase se identifican las leyes y regulacines a las cuáles se debe alinear el Prgrama de Cntinuidad del Negci (NFPA, 2013). Evaluación de Riesgs. El estándar enfatiza en esta fase la crrecta identificación de riesgs, es decir, naturales, humans y tecnlógics (NFPA, 2013). Prevención de Incidentes. Esta fase se indica el desarrll de una estrategia para prevenir incidentes de acuerd a ls recurss humans, infraestructura y presupuest que se tenga asignad al pryect (NFPA, 2013). Mitigación. Se deben identificar ls riesgs que pueden ser eliminads e implementar la mejr estrategia que permita terminar cn ells (NFPA, 2013). Administración de recurss y lgística. En esta fase se definen ls prcedimients para la traslación al siti altern, en cas de requerirse, en que tiemps se debe ir trasladand cada equip de recuperación de tecnlgía cntinuidad de peracines. Se establece cn el prveedr de recurss de papelería sbre el lugar y hrari de atención (NFPA, 2013). Asistencia y ayuda mutua. Se debe especificar el nivel de servici y atención de ls prveedres en cas de cntingencia (NFPA, 2013). Planeación. Para cada cntact que se identifique, que deba realizar alguna actividad en un escenari de cntingencia, se debe tener bien definida una línea de cmunicación cn el prveedr dependencia, cn nmbres, númers de teléfn y crre electrónic (NFPA, 2013). Administración de incidentes. Cntar cn una plítica en el que se identifiquen las respnsabilidades, ls prcedimients para realizar la recuperación de tecnlgías de infrmación y dar cntinuidad a la peración del negci (NFPA, 2013). Cmunicads y alertas. Establece la implementación de prtcls, sftware, prcess y pruebas periódicas de ls misms prtcls. En este punt, la rganización determina las necesidades de cmunicación (NFPA, 2013). Instalacines. Identificar y dcumentar la ubicación de ls sitis cn ls que cuenta la rganización, tant de peración nrmal, cm siti altern y alguna tra ubicación que se utilice para que el persnal reanude peracines críticas en estad de cntingencia (NFPA, 2013). Entrenamient y capacitación. EL plan de capacitación debe buscar en td mment, el desarrll, implementación, mantenimient y ejecución del plan. La frecuencia y alcance debe quedar clara en el Prgrama (NFPA, 2013). 31

42 Ejercicis, evaluación y accines crrectivas. Ls ejercicis deben estar dirigids a ejercicis diferentes en cada prueba, est, cn la intención de prbar el plan ante diversas situacines que han sid definidas en las fases anterires (NFPA, 2013). Cmunicación de crisis e infrmación pública. El equip de cmunicación crprativa debe tener un plan para elabrar cmunicads externa e internamente, que tip de infrmación puede publicar, cm deben estar escrits ls mensajes que se publiquen, en que medis, en fin, tda una campaña publicitaria que se active cn el escenari de cntingencia (NFPA, 2013). Finanzas y Administración. Para la Administración y finanzas del Prces de cntinuidad del negci es imprtante marcar un antes, un ahra y un después del incidente. Es imprtante hacer la planeación para cntar cn una reserva destinada a este prgrama (NFPA, 2013). Esta nrma puede servir para refrzar algún punt del Plan de Cntinuidad de Negci. Cm se puede bservar, la Nrma NFPA 1600 está enfcada al tema de la seguridad de ls empleads y de la misma rganización. Algunas de las fases pueden ayudar a frtalecer las fases de cmunicación entre empleads en un escenari de cntingencia y administración de incidentes principalmente ISO La nrma ISO es un códig de prácticas para la seguridad de la infrmación. La base de la nrma fue riginalmente un dcument publicad pr el gbiern del Rein Unid, que se cnvirtió en un estándar "adecuad" en el añ 1995, cuand fue re-publicada pr BSI según BS En el añ 2000 de nuev se vlvió a publicar, esta vez pr la ISO, cm ISO Una nueva versión de ésta apareció en el añ 2005, junt cn una nueva publicación, la nrma ISO (DIRECTORIO ISO 27000, 2013). La versión de 2005 del estándar incluye las siguientes 11 seccines principales (ISO 27002: 2005): 1) Plítica de Seguridad de la Infrmación. 2) Organización de la Seguridad de la Infrmación. 3) Gestión de Activs de Infrmación. 4) Seguridad de ls Recurss Humans. 5) Seguridad Física y Ambiental. 6) Gestión de las Cmunicacines y Operacines. 7) Cntrl de Access. 8) Adquisición, Desarrll y Mantenimient de Sistemas de Infrmación. 9) Gestión de Incidentes en la Seguridad de la Infrmación. 10) Gestión de Cntinuidad del Negci. 11) Cumplimient. La sección más interesante para el presente trabaj de grad se centra básicamente en Gestión de la Cntinuidad de Negci, en el cual se integran aspects de seguridad de la infrmación de la Gestión de 32

43 la Cntinuidad de Negci. Este dmini tiene la finalidad de cntrarrestar la peración del negci y prteger ls prcess crítics ante desastres y fallas menres en ls sistemas de infrmación. Cn est se asegura el restablecimient prtun. Dentr del Dmini Gestión de la Cntinuidad del Negci se slicitan alguns punts cm: Incluir la seguridad de la infrmación en el prces de Gestión de Cntinuidad del Negci. Las actividades relacinadas a esta fase sn (ISO 27002: 2005): Cmprender ls riesgs de la rganización, identificar y pririzar, ls prcess crítics. Identificar ls activs implicads en ls prcess crítics. Cmprender el impact que tendrían las interrupcines del Negci. Cnsiderar la cntratación de segurs adecuads. Cnsiderar la implementación de cntrles adicinales a la prevención. Identificar recurss financiers, rganizacinales y técnics. Asegurar la seguridad de ls empleads en las instalacines. Frmular y dcumentar ls planes. Prbar y actualizar ls planes. Asegurar la incrpración del BCM a ls prcess de la rganización. Asignar a un respnsable. Elabración del análisis de riesg. Basa su principi en identificar ls events que pueden casinar una interrupción en ls prcess del negci, igual que su prbabilidad de impact. Para cumplir cn el bjetiv de esta sección se deben realizar las siguientes tareas (ISO 27002: 2005): Identificar ls Events. Evaluar el riesg determinand la prbabilidad e impact del event. Desarrllar un plan basándse en ls resultads del Análisis de Riesgs. Crear una estrategia sólida. Desarrllar planes de cntinuidad del negci incluyend aspects de seguridad de la infrmación. En esta fase se identifican prcedimients de emergencia y acuerds sbre las respnsabilidades. Alguns trs punts que se cnsideran en esta fase sn (ISO 27002: 2005): Identificación de pérdidas aceptables de infrmación y servicis. Implementación de prcedimients que permitan la recuperación y restauración de las peracines del negci, dependencias internas y externas. Dcumentación de prcedimients. Frmación del persnal del área de tecnlgías de infrmación para desarrllar la capacidad de implementar ls prcedimients. 33

44 Desarrllar en el persnal la prueba y mantenimient de ls planes. Alinearse al marc referencial para la planeación de cntinuidad del negci. El marc referencial indica tener identificadas ciertas tareas (ISO 27002: 2005): Cndicines para activar ls planes y las tareas a realizar antes de la activación. Descripción de tareas que deben realizarse tras la currencia de un incidente. Prcedimient para realizar un respald de infrmación. Calendari de mantenimient. Actividades para efectuar la capacitación. Respnsabilidades de las persnas. Recurss crítics necesaris. Prueba, mantenimient y actualización de ls Planes de Cntinuidad del Negci. La prueba de ls Planes de cntinuidad se lleva a cab cn la finalidad de verificar su vigencia y eficiencia. Para este punt deben cnsiderarse algunas actividades imprtantes (ISO 27002: 2005): Identificación y prueba de varis escenaris. Desarrllar simulacrs para entrenar al persnal. Desarrllar pruebas de Recuperación en un lugar alterativ. Pruebas de servicis de prveedres en el lugar altern. El estándar está enfcad mayrmente a la infrmación, pr l que puede ser de gran ayuda para el Plan de Cntinuidad de Negci al mment de tmar en cuenta la cntinuidad de la seguridad que la infrmación debe tener ISO La nrma ISO es, a nivel mundial, la primera nrma internacinal para la gestión de la cntinuidad de negci (GCN) y ha sid desarrllada para ayudar a las rganizacines a minimizar el riesg de sufrir interrupcines. La estandarización de la cntinuidad de negci evlucina cn ISO 22301, tmand cm base la nrma BS y agregand (BSI GROUP, 2013): Mayr énfasis en el establecimient de bjetivs, seguimient del desempeñ y de ls indicadres. Expectativas más claras sbre la Dirección. Planificación y preparación más cuidadsas de recurss requerids para el aseguramient de la cntinuidad de negci. Las clausulas claves de la nrma sn las siguientes (ISO 22301: 2012): 34

45 Cntext de la rganización: Determinar temas interns y externs que sn relevantes para el prpósit de la rganización y que afectan su habilidad de alcanzar ls resultads esperads de su SGCN. Identificar el alcance del SGCN, tmand en cuenta ls bjetivs estratégics de la rganización, sus prducts y servicis claves, su tlerancia al riesg y cualquier bligación reglamentaria, cntractual de sus partes interesadas, también frma parte de esta cláusula (ISO 22301: 2012). Liderazg: La alta dirección debe demstrar un cmprmis cntinu cn el SGCN, a través de su liderazg y accines. La dirección puede crear un ambiente en el cual distints miembrs del persnal estén cmpletamente invlucrads y el sistema de gestión pueda funcinar de manera eficaz en sinergia cn ls bjetivs de la rganización. Una tarea clave es designar un crdinadr/líder que se encargará de gestinar y supervisar el prces de elabración e implementación del plan de cntinuidad de negci, e inclus, si la inversión l permite y en función del tamañ de la rganización y el alcance del plan, es recmendable asignar persnal adicinal y cnstituir un equip de cntinuidad de negci (ISO 22301: 2012). Planificación: Esta es una etapa crítica en la que se establecen bjetivs estratégics y principis para la rientación del SGCN en su ttalidad. Ls bjetivs del SGCN sn una expresión del prpósit de la rganización para el tratamient de ls riesgs identificads y/ para cumplir cn ls requisits de las necesidades de la rganización (ISO 22301: 2012). Sprte: La gestión diaria de un sistema de gestión de la cntinuidad de negci, se basa en el us de recurss aprpiads para cada actividad. Ests recurss incluyen persnal cmpetente en base a frmacines y servicis de sprte, tma de cnciencia y cmunicación pertinentes (y demstrables), est debe ser apyad pr infrmación dcumentada adecuadamente gestinada. Las cmunicacines, tant internas cm externas, deben ser cnsideradas en esta área, incluyend su frmat, cntenid y el mment prtun de estas cmunicacines. Ls requisits para la creación, actualización y cntrl de la infrmación dcumentada, también se especifican en esta cláusula (ISO 22301: 2012). Evaluación del desempeñ: Una vez que el SGCN se ha implementad, la nrma ISO requiere un permanente seguimient del sistema, así cm revisines periódicas para mejrar su peración (ISO 22301: 2012). Mejra: La mejra cntinua puede ser definida cm tdas las accines, realizadas a l larg de la rganización, para aumentar la eficacia (cumplir bjetivs) y la eficiencia (prprción cst/benefici óptima) de ls prcess y cntrles de seguridad para brindar más beneficis a la rganización y a sus partes interesadas. Una rganización puede mejrar cntinuamente la eficacia de su sistema de gestión a través del us de la plítica de cntinuidad de negci, ls bjetivs, ls resultads de auditrías, el análisis de events cntrlads, ls indicadres, las accines crrectivas y preventivas y la revisión pr la dirección (ISO 22301: 2012). 35

46 En cnclusión ISO n es tan diferente de la BS en la mayría de ls aspects más imprtantes de la cntinuidad del negci, cm el análisis del impact y la estrategia la planificación. Ls principales cambis se encuentran en la parte de gestión de la nrma ISO 22301, ya que esta sitúa más énfasis en la cmprensión de ls requisits, el establecimient de ls bjetivs y en la medición del desempeñ. Pr l tant, será aceptada más fácilmente pr la alta gerencia que, al mism tiemp, cntribuirá cn la aceptación más generalizada de esta nrma, cm ISO 27001, ISO 9001 ISO Buenas Prácticas para la elabración de un Plan de Cntinuidad de Negci Entre ls dcuments que existen en el mercad para apy a la elabración de un Plan de cntinuidad del negci, se cuenta cn Buenas Prácticas elabradas pr institucines cn recncimient a nivel mundial. Las buenas prácticas para la cntinuidad del negci más actuales se cmentan a cntinuación: Guía de Buenas Prácticas (GPG) La Guía de buenas prácticas de Cntinuidad de Negci cncid internacinalmente cm Gd Practice Guidelines (GPG) del Business Cntinuity Institute (BCI), entrega entre tras csas una intrducción sbre l que significa cntar cn un Plan de Cntinuidad de Negci, cuales sn ls beneficis de tener implementad un Plan de Cntinuidad de Negci en la rganización y la relación que hay entre el BCP y tras disciplinas especialistas (BCI, 2010). Además el BCI cnsidera de gran imprtancia la analgía que existe entre Gestión de riesgs y la Gestión de Cntinuidad de Negci a través de la siguiente Tabla Nº 2.5: Tabla Nº 2.5: Cuadr cmparativ de la Gestión de Riesgs v/s Gestión de Cntinuidad de Negci. Gestión de Riesgs Gestión de Cntinuidad de Negci Métds Claves Análisis de Riesg. Análisis de impact en el Negci. Parámetrs Claves Impact y prbabilidad. Impact y tiemp. Tip de incidente Tamañ de ls events Alcance Intensidad Td tip de events, aunque pr l general segmentads. Tds ls tamañs de events, aunque pr l general segmentads. Se centran principalmente en la gestión de ls riesgs para ls principales bjetivs de negci. Tds, de gradual a repentin. Events que causan interrupcines significativas en el Negci. Las estrategias están previstas para hacer frente a ls incidentes que amenazan la supervivencia, per puede manejar cualquier tamañ de incidente. Se centran principalmente en la gestión de incidencias en su mayría fuera de las cmpetencias básicas de la empresa Events repentins de rápida respuesta (aunque también puede ser aprpiad si el incidente que se arrastra es sever). Fuente: BCI,

47 La Gestión de Riesgs es una administración hlística de tds ls riesgs imprtantes. Simplificand, es la vista e identificación de riesgs a través de tda la rganización y ls pass que sn tmads para manejar dichs riesgs (ESCALERA, 2011). La Gestión de la Cntinuidad de Negci pr su parte es una iniciativa administrativa cntinua, que incluye plíticas y prcess ligads a ls bjetivs estratégics de la rganización, para prepararse prfesinalmente cn el fin de sbrevivir a interrupcines y cntinuar reanudar peracines de negci diarias, especialmente en events cnsiderads pr la rganización cm desastres (ESCALERA, 2011). La Guía de buenas prácticas mencina alguns cmpnentes que frman una parte muy imprtante dentr del Plan de Cntinuidad de Negci, ests, se muestran en la siguiente Tabla Nº 2.6: Tabla Nº 2.6: Cmpnentes de la Guía de buenas prácticas Guía de Cmpnentes Intrducción Precursres Prpósit Cncepts y supuests Prcess Métds y técnicas Resultads y entregables Revisar Preguntas a cntestar Qué hay que hacer antes de est? Pr qué tenems que hacer est? Qué se va a lgrar? Qué es l que tenems que entender? Qué supsicines estams haciend? Qué tenems que hacer? Cuáles sn las herramientas que necesitams para hacerl? Qué debe prducir? Cuánd se debe hacer? Fuente: BCI, Cm se puede bservar en la Tabla Nº 2.6, la GPG está estructurada de frma cnsciente, cada una de las seccines, respnde a un cuestinamient específic, de esta frma, al integrar ls cmpnentes: intrducción, precursres, alcance, cncepts, prcess, métds y técnicas, entregables y revisines, se btiene un dcument cmplet en su cntenid y fácil de entender. La guía está frmada pr seis seccines identificadas cm: 1) Plítica de BCP y Prgrama de Administración. La Plítica de Cntinuidad de Negci es un instrument general para cumplir ls bjetivs, sn ls mecanisms puntuales para que funcine bien una actividad de la empresa, además sin plíticas n existe un rumb clar en la rganización, es decir se navega sin guía y sin rumb fij, ls punts que tca principalmente van enfcads a (BCI, 2010): Asegurar que el prgrama de BCP esté alinead a ls bjetivs y cultura de la rganización. Establecer el alcance del Plan de cntinuidad del negci. Identificar rles y respnsabilidades. 37

48 2) Entendimient de la rganización. Está sección respnde a las preguntas: cuáles sn ls bjetivs de la rganización? y cóm alcanza la rganización sus bjetivs? Las respuestas a estas preguntas se btienen mediante el BIA (Análisis de Impact al Negci), el cual además ayuda a identificar (BCI, 2010): Funcines perativas cm servici al cliente, ventas y prducción. Funcines de sprte Tecnlgías de infrmación, Recurss humans y servicis externs. Estrategias cm administración, pryects y planeación. 3) Determinand la estrategia de cntinuidad del negci. En vez de esperar a que un desastre glpee a la rganización para ver cóm esta se recupera, las medidas preventivas deben ser aplicadas cn el bjetiv de incrementar la frtaleza de sus actividades frente a psibles impacts previamente identificads en el BIA. En esta fase se habla de la imprtancia de cntar cn un siti altern que se encuentre a una hra de distancia del edifici principal. Para cmenzar cn esta sección, se utiliza cm entrada, el resultad del BIA, en el, se identifican ls tiemps bjetivs de recuperación (RTO pr sus siglas en ingles) de las actividades críticas y se determinan ls recurss que psee la rganización para pner en práctica el Plan de Cntinuidad de Negci (BCI, 2010). 4) Desarrll e implementación de respnsabilidades. Es muy imprtante definir las respnsabilidades de cada participante, antes, durante y después de la cntingencia. Cn est se lgra que en un estad crític dónde la situación se trne difícil, ls participantes tengan una idea de l que deben hacer para apyar que la peración se lleve de frma adecuada. Cóm principales bjetivs, esta fase busca btener (BCI, 2010): Prcedimients de clasificación de incidentes dentr de la rganización. Cmunicación cn scis del negci. Planes de trabaj para las actividades que fuern interrumpidas. 5) Prbar, dar mantenimient y revisión del prgrama de cntinuidad del negci. Alguns de ls bjetivs que persiguen las auditrias sn: validar el cumplimient de la rganización sbre ls estándares y plíticas existentes, verificar que ls incidentes de las pruebas sean resueltas y verificar que se le esté dand mantenimient cntinu al Prgrama de Cntinuidad del Negci. Para las pruebas, debe frmularse un plan de pruebas, en el cuál se identifiquen cada un de ls recurss necesaris para pder dar cntinuidad a ls prcess crítics. Ests recurss pueden ser: el persnal designad a cada actividad, telefnía, tecnlgía, entre trs (BCI, 2010). 38

49 6) Desarrlland una cultura de cntinuidad del negci en la rganización. La finalidad de la elabración de un Plan de Cntinuidad del Negci se debe a la necesidad de que ls empleads estén sensibilizads a que la rganización es vulnerable, cm tdas las demás, a sufrir algún tip de incidente que tenga cm cnsecuencia, la interrupción de la peración nrmal (BCI, 2010) Centr de Operacines de Emergencia (EOC) Además de ls estándares existentes, también se encuentra el Disaster Recvery Jurnal (DRJ), que es una editrial dedicada ttalmente al estudi de desastres, así cm ayudar a determinar las estrategias más adecuadas para su prevención slución. Pr la imprtancia que tiene el Centr de Operacines de Emergencia, cncid internacinalmente cm Emergency Operatins Center (EOC) denminad también cm siti altern, es necesari tmarl en cuenta para la metdlgía que prpne este trabaj de grad (DRJ, 2012). En el cas de que una amenaza llegue a materializarse, el EOC apya a la cntinuidad de las peracines de la empresa. El dcument publicad pr DRJ, marca ls lineamients que deben cumplirse para activar un Centr de peracines para la Cntinuidad del Negci, las funcines que tendrá la rganización en cas de declararse el estad de cntingencia y de esta frma puede ser una ayuda para el ITDR (Infrmatin Technlgy Disaster Recvery), pues se pueden tmar de él tips sbre ls requerimients de tecnlgía que pueda tener el negci e identificar de que frma el Área de Sistemas, en base a ls recurss cn ls que cuenta, puede apyar a las áreas del negci (DRJ, 2012). Adicinalmente el EOC prprcina las siguientes funcines (DRJ, 2012): Prvee un punt central de cntact. Ayuda a llevar un rden para hacer válid el árbl de llamadas. Registr de llamadas entrantes y salientes. Recpilación de infrmación crítica. Identificación de recurss. Infrme a ls directivs clave del estatus de la situación. Llevar un cntrl sbre el cntact que se tenga cn el Grup de Recuperación de Tecnlgía. Establecer una estrategia de cmunicación y ntificación del estatus de la cntingencia en la rganización hacia td el persnal de la empresa, clientes, prveedres, entidades regulatrias, medis de cmunicación, etc. Cm llevar adecuadamente un registr de las peracines. Preparación para la recuperación. 39

50 Emergency Operatins Center, es un dcument que puede ayudar en gran medida a frtalecer el ITDR detalland cada una de las tareas realizadas en cas de una cntingencia en el siti altern simplemente en las pruebas del ITDR Prácticas Generalmente Aceptadas (GAP) Disaster Recvery Institute Internatinal (DRII) junt a Disaster Recvery Jurnal (DRJ), definen lineamients para la planeación de las peracines del negci. Ests publican las Prácticas Generalmente Aceptadas cncidas internacinalmente cm Generally Accepted Practices (GAP) que define cierts punts para cada fase del cicl de vida del BCP, ls cuales se presentan a cntinuación (DRII, DRJ, 2007): Iniciación y Administración del pryect. En esta fase se definen las necesidades, el alcance y las metas del Plan de cntinuidad de negci, se define la Plítica de cntinuidad de negci, se identifica el cmité que apyará al equip de cntinuidad de negci, se determina el cst del pryect, se definen ls requerimients para la capacitación del persnal y se identifica a que estándares internacinales se alineará el BCP (DRII, DRJ, 2007). Evaluación del riesg y cntrles. Identificar tds ls riesgs que pueden implicar una interrupción a las peracines del negci, sean naturales, humans tecnlógics. Identificar la prbabilidad de que curra el event (DRII, DRJ, 2007). Análisis de impact al negci. Se deben identificar las funcines y prcess crítics así cm el impact financier prvcad pr la interrupción de las peracines (DRII, DRJ, 2007). Desarrll de las estrategias de Cntinuidad. Estas estrategias sn de vital imprtancia, pues cnsisten en identificar las alternativas de recuperación de las peracines en ls marcs de tiemp definids, realizand una analgía cn el cuerp human estás sn cm el crazón del BCP, puest que permitirán salvar vidas y minimizar evitar un impact negativ en el negci a causa de una crisis desastre. Identificar ls recurss financiers y humans cn ls que se cuentan para el pryect y en base a est, determinar la estrategia que mejr apye al Plan (DRII, DRJ, 2007). Respuesta de Emergencia y peracines. Identificar a scis y clabradres de la rganización cn tds sus dats para pder lcalizarls en cualquier mment. De esta fase se deriva el árbl de llamadas que indica quién le ntifica a quién sbre la situación en un escenari de cntingencia (DRII, DRJ, 2007). Desarrll e implementación de ls planes de Cntinuidad de Negci. De acuerd cn las Prácticas generalmente aceptadas, se deben plasmar tdas las slucines y pass a abrdar en un plan de cntingencias, el cual cntendrá tdas las actividades que permitirán el restablecimient de las actividades críticas en plazs raznables, en esta fase se dcumentan tdas las etapas para reanudar ls prcess claves (DRII, DRJ, 2007). 40

51 Prgramas de Sensibilización y frmación. Desarrllar un plan de capacitación del persnal, identificand para cada miembr la capacitación necesaria según el rl que desempeña y analizar las pcines crprativas cn las que se cuenta para pder implementar la capacitación (DRII, DRJ, 2007). Mantenimient y pruebas de ls Planes de Cntinuidad de Negci. En esta fase se slicita desarrllar un calendari de mantenimient a ls planes y definir ls escenaris en ls cuales se debe actualizar (DRII, DRJ, 2007). Crdinación cn las autridades públicas. Identificar las autridades lcales y reginales que revisarán la dcumentación que se desarrllarán e implementarán (DRII, DRJ, 2007). Ests punts sn de gran apy ya que mencinan detalles específics que ls estándares BCI y BS mencinan de frma superficial. L que cntribuye a incrementar el nivel de efectividad del Plan de Cntinuidad de Negci. 2.5 Prpuesta de análisis financier de ORACLE Esta metdlgía es de gran utilidad para identificar la ventaja desventaja de implementar un plan. Para el cas del Plan de Cntinuidad de Negci es imprtante tmar en cuenta ls númers que facilitan el pder ver si es viable implementar el Plan n. Oracle ha desarrllad una tería cn referencia al Análisis Financier para la Administración de Cntinuidad del Negci. Miguel Palacis (2009) de Oracle cmenta sbre la imprtancia que tiene cncer el cst del Dwntime (tiemp de inactividad), para definir la estrategia del BCP y que para cmenzar el prces de cuantificación del impact financier se debe hacer una clasificación entre ls impacts tangibles e intangibles. Clasificación de ls impacts (PALACIOS, 2009): Tangibles: Reducción de la prductividad. Pérdida en la prducción. Pérdida de ventas. Pérdida de clientes. Frustración de ls empleads. Penalidades de ls rganisms reguladres. Intangibles: Impact negativ en la reputación. Pérdida de prtunidades. 41

52 Mral de ls empleads. Impact en el valr de las accines. A cntinuación se explica en detalle la prpuesta de Oracle para la elabración del Análisis Financier. Cst de pérdida de prductividad (P) A = Cst anual de empleads. B = Númer de empleads. C = Prmedi de días trabajads pr añ. D = Prmedi de hras trabajadas pr persna pr día. E = Númer de hras de Dwntime. F = Númer de empleads afectads. ( ) ( ) ( ) (2.2) La Fórmula anterir es una herramienta que puede apyar a identificar el cst que genera para la empresa el que la peración nrmal se descntinúe. Este tema es de gran imprtancia para las rganizacines y que muy pcas veces se estudia, debid a que se cnsidera pc prbable que curra (PALACIOS, 2009). Teniend en cuenta que el Prgrama de Cntinuidad de Negci es un tema practiv, es necesari estudiar a fnd las pérdidas que se pueden generar en cas de cn cntar cn este prgrama. Est, cn la finalidad de cncer ls númers y prevenir una pérdida financiera grave. Valr de pérdida pr ventas (S) G = Ingres pr ventas anuales. H = Númer ttal de ventas pr añ. I = Númer estimad de pérdidas de ventas pr añ. ( ) ( ) ( ) (2.3) En la primera fórmula se analizó la pérdida pr hras de trabaj pérdidas. En esta segunda fórmula se analiza la pérdida pr ventas, que también es imprtante tmar en cuenta para el análisis financier (PALACIOS, 2009). 42

53 Cst de Recuperación de Servici (R) J = Trabaj de hras de sprte de TI. k = Cst hra de persnal de sprte. ( ) ( ) (2.4) Cst Estimad de Dwntime (T) ( ) ( ) (2.5) Para el cas del Plan de Cntinuidad de Negcis es imprtante elabrar un estimad de l que cstará la recuperación de la peración. Est, cn la finalidad de identificar la viabilidad y/ cnveniencia de implementar el Plan de Cntinuidad de Negci para la peración analizada. 43

54 3. DISEÑO METODOLÓGICO 3.1 Tip de Investigación Según el análisis y alcance de ls resultads, esta investigación es de carácter explratria ya que el bjetiv es examinar un tema prblema pc cncid del cual se puede inferir la psibilidad de cntinuar el estudi para prfundizarl crear nuevas investigacines a partir de la existente, en este cas es la creación de un nuev Mdel de Plan de Cntinuidad de Negci. 3.2 Métds y Técnicas de Investigación El métd utilizad para esta investigación fue el us de ls métds teórics, ls cuales crean las cndicines para ir más allá de las características superficiales de la realidad, explicar ls hechs y prfundizar en las relacines esenciales y cualidades fundamentales de ls prcess n bservables directamente. La técnica utilizada para la investigación es la dcumental, puest que sirve para cnsultar diferentes librs u tras fuentes a fin de btener infrmación en trn a las prblemáticas que se plantean en el presente trabaj de grad. 3.3 Metdlgía para la elabración del Mdel Integral de BCP Las siguientes actividades han sid elabradas, basadas principalmente en el cicl de vida del plan de cntinuidad del negci (Figura Nº 2.1) presentada en la nrma BS y cmbinada además cn la ISO 22301, debid a que esta nrma es recncida internacinalmente y puede ser certificable, se ha escgid adptar esta estructura, para que en el futur las empresas que pten pr realizar su implementación del Plan de Cntinuidad de Negci basads en este trabaj de grad, puedan cumplir cn las auditrias de certificación de estas institucines. Además se han incluid ls punts fuertes de trs estándares y buenas prácticas para la cntinuidad del negci, cn est se busca btener una mejr cmprensión y una mejr adaptabilidad a la cultura rganizacinal chilena. Para cmprender de una frma más clara la prpuesta metdlógica, se presenta a cntinuación en la Figura Nº 3.1, el planteamient de las actividades a seguir en la elabración de la prpuesta metdlógica que plantea este trabaj de grad, además en las páginas siguientes se presenta cada un de sus pass y técnicas utilizadas para su creación. Análisis de la situación actual referente a mdels utilizads a nivel mundial. A través de una investigación explratria, se cnsultó diferentes fuentes bibligráficas, cm: texts, revistas, librs e internet, para identificar las ventajas, desventajas y frtalezas que pseen las distintas metdlgías existentes a nivel mundial. 44

55 Actividades necesarias para diseñar, implementar y mantener un BCP en Chile. Planificación y Plítica de Cntinuidad de Negci: Determinar ls cmprmiss que debe adptar la Dirección: análisis cmparativ de ISO 22301, ITIL y GAP, ya que ests pseen infrmación sólida, de ls cuales se han extraíd ls punts más fuertes y que además se adapten a la cultura rganizacinal chilena, en dnde pr ejempl las bligacines se deben entregar de una frma impersnal y frmal. Fijar cóm designar a un crdinadr de cntinuidad de negci: se ha estudiad la cultura rganizacinal chilena, para que el líder que sea designad esté parametrizad baj las cualidades y/ características labrales de ls trabajadres chilens, además se ha estudiad sbre liderazg. Determinar la dcumentación que debe cnsiderarse cm evidencia para el BCP: para determinar la dcumentación que debe cnsiderarse cm evidencia, se ha replicad en su ttalidad la dcumentación exigida pr la nrma ISO y el estándar británic B Precisar las principales características que debe pseer la Plítica de Cntinuidad de Negci: análisis cn las metdlgías que presentan infrmación de mayr calidad en cuant al tema tratad, estas sn: Guía de buenas prácticas, Prácticas generalmente aceptadas, BS e ISO 22301, tmand cm base las metdlgías anterirmente mencinadas se prcedió a resumir y destacar ls punts más imprtantes que debe cntener un Plítica de Cntinuidad de Negci Establecer cóm se debe planificar el BCP: para establecer el cóm se debe planificar el BCP se realizó un estudi sbre Administración de Pryects para así determinar ls cmpnentes más relevantes del plan de trabaj que debe realizar el crdinadr equip de cntinuidad al mment de implementar un BCP. Cmprensión de la Organización y Análisis de Riesgs: Determinar cóm se debe realizar un estudi que permita cncer y cmprender la rganización en su ttalidad: análisis de cntenids de las metdlgías que presentan infrmación de mayr calidad: el estándar BS y la Guía de Buenas Prácticas tmand cm base las metdlgías anterirmente mencinadas se prcedió a resumir y destacar ls punts más imprtantes que debe cntener el estudi. Definir cm se debe realizar un Análisis de Impact al Negci (BIA): análisis de las diferentes metdlgías expuestas en el marc teóric, de las cuales se btuv l mejr de cada una referente al BIA, siend las siguientes metdlgías aquellas que pseían infrmación de mayr calidad: Practicas Generalmente Aceptadas, estándar BS 25999, ISO 27002, análisis financier de Oracle e ISO Medidas Preventivas: Explicar cóm se debe realizar un plan de acción, que cntempla las tareas que la cmpañía pretende adptar para prevenir cntingencias: análisis de ls estándares para btener l mejr de cada un, estas sn: GPG, ITIL, GAP, NFPA 1600, ISO e ISO Estrategias de Recuperación: Establecer cóm deben realizarse las estrategias de recuperación para las actividades críticas de la rganización: prfund análisis de las metdlgías y buenas prácticas para un BCP, de estas se btuviern las mejres estrategias y recmendacines. Definición de respnsabilidades y desarrll de ls Planes de Cntingencia: Establecer cóm se deben definir ls cargs ls equips necesaris para la activación del Plan de Cntingencia: estudi principalmente de la Guía de las buenas practicas (GPG), ya que esta psee un ítem cn bastante infrmación referente a ls rles que deben existir en la activación y ejecución de ls planes de cntingencia ante situacines críticas Determinar cóm se deben dcumentar ls planes de cntingencia: análisis cmparativ de BS 25999, BS 25777, ITIL, NFPA 1600, GAP, ISO y EOC, ya que ests pseen infrmación sólida respect a ls planes de cntingencia, de ls cuales se han extraíd ls punts más fuertes, para facilitar su cmprensión y eficacia. 45

56 Pruebas, revisión y mantenimient del BCP: Precisar cóm se deben realizar las pruebas, revisines y actualizacines del BCP: se ha estudiad principalmente la ISO 22301, el estándar BS y la Guía de las Buenas Practicas, ya que ests pseen mayr infrmación y de mejr calidad, referente a las pruebas y el mantenimient que debe tener un BCP. Análisis de la cultura de la rganizacinal chilena y la incrpración de la cultura de BCP a ésta. Se analizarn y evaluarn las características principales de la cultura rganizacinal chilena cn el fin de identificar y aprvechar aquellas psitivas y tratar de evitar las negativas, además se realizó un análisis de cntenids de las diferentes metdlgías expuestas en el marc teóric, las metdlgías que presentan infrmación de mayr calidad en cuant al tema tratad sn: Guía de buenas prácticas, el estándar BS y la ISO 22301, tmand cm base estas metdlgías se prcedió a resumir y destacar ls punts más imprtantes que debe cntener un prgrama de cultura, que lgre en el persnal una plena cncientización sbre la imprtancia que psee el Plan de Cntinuidad de Negci para la Organización. Prpuesta metdlógica para la implementación de un Plan de Cntinuad de Negci en Chile. Figura Nº 3.1: Metdlgía para la elabración de un Mdel Integral de BCP. Fuente: Elabración prpia. A cntinuación se presenta en detalle la metdlgía para desarrllar el Mdel Integral de BCP: Análisis de la situación actual referente a mdels utilizads a nivel mundial. A través del análisis, síntesis, inducción y deducción, de acuerd cn la infrmación recpilada en el marc teóric, se ha lgrad prprcinar un cncimient verdader sbre la realidad en cuant a l que es un Plan de cntinuidad de negci y cm se puede implementar y mantener, en dnde se analizarn las metdlgías utilizadas a nivel mundial en la actualidad para implementar un BCP, cn el bjetiv de extraer l mejr de cada una e identificar cuáles sn las actividades necesarias para mantener e implementar un BCP Planificación y Plítica de Cntinuidad de Negci. Cmprmis de la Dirección Para determinar ls cmprmiss necesaris que debe adptar la Dirección, cn el fin de cnseguir una implementación óptima y adecuada del Plan de cntinuidad de negci, se realizó un análisis cmparativ de ISO 22301, ITIL y GAP, ya que ests pseen infrmación slida respect al cmprmis 46

57 de la Dirección, de ls cuales se han extraíd ls punts más fuertes y que además se adapten a la cultura rganizacinal chilena, en dnde pr ejempl para la cultura rganizacinal chilena las tareas y bligacines se deben entregar de una frma impersnal y frmal. Designar un Crdinadr de Cntinuidad de Negci Cn el fin de establecer cóm se debe designar a un crdinadr de cntinuidad de negci se ha estudiad la cultura rganizacinal chilena, para que el líder que sea designad esté parametrizad baj las cualidades y/ características labrales de ls trabajadres chilens, cm pr ejempl la imprtancia de la delegación de autridad y tma de decisines, cn l cual se busca btener que ls clabradres se sientan parte de la empresa y cm un recurs valis para la misma, además se ha estudiad sbre liderazg, para cmprender que es el liderazg y cm se puede medir, cn el fin de hacer una selección de la persna más idónea que ha de cupar el carg de Crdinadr del Plan de Cntinuidad de Negci. Dcumentación del BCP Para determinar la dcumentación que debe cnsiderarse cm evidencia y que es un recurs altamente valis para cumplir cn las auditrias, se ha replicad en su ttalidad la dcumentación exigida pr la nrma ISO y el estándar británic B Elabrar la Plítica de Cntinuidad de Negci Para determinar las principales características que debe pseer la Plítica de Cntinuidad de Negci, se realizó un análisis de cntenids de las diferentes metdlgías expuestas en el marc teóric, en dnde se pud btener un filtr cn las metdlgías que presentan infrmación de mayr calidad en cuant al tema tratad, estas sn: Guía de buenas prácticas, Prácticas generalmente aceptadas, BS e ISO 22301, tmand cm base las metdlgías anterirmente mencinadas se prcedió a resumir y destacar ls punts más imprtantes que debe cntener un Plítica de Cntinuidad de Negci. Establecer la planificación del BCP Para establecer el cóm se debe planificar el BCP se realizó un estudi sbre Administración de Pryects para así determinar ls cmpnentes más relevantes del plan de trabaj que debe realizar el crdinadr equip de cntinuidad al mment de implementar un BCP Cmprensión de la Organización y Análisis de Riesgs Cmprensión de la Organización 47

58 Para determinar cóm se debe realizar un estudi que permita cncer y cmprender la rganización en su ttalidad, se realizó un análisis de cntenids de las diferentes metdlgías que presentan infrmación de mayr calidad en cuant al tema tratad, estas sn: el estándar BS y la Guía de Buenas Prácticas tmand cm base las metdlgías anterirmente mencinadas se prcedió a resumir y destacar ls punts más imprtantes que debe cntener el estudi. Análisis de Impact al Negci (BIA pr sus siglas en inglés) Para la cnstrucción de la prpuesta de cóm se debe cnfeccinar un BIA, se realizó un análisis de las diferentes metdlgías expuestas en el marc teóric, de las cuales se btuv l mejr de cada una referente al BIA, siend las siguientes metdlgías aquellas que pseían infrmación de mayr calidad: Practicas Generalmente Aceptadas, estándar BS 25999, ISO 27002, análisis financier de Oracle e ISO Medidas Preventivas Para explicar cóm se debe realizar un plan de acción, que cntempla las tareas que la cmpañía pretende adptar para prevenir y evitar en la medida de l psible ls riesgs que impactan la dispnibilidad de las peracines, se realizó un análisis cmparativ de las metdlgías que pseen infrmación más sólida respect a las medidas preventivas que puede ejecutar la rganización, cn el fin de btener l mejr de cada una, estas sn: GPG, ITIL, GAP, NFPA 1600, ISO e ISO Estrategias de Recuperación Para establecer cóm deben realizarse las estrategias de recuperación para las actividades críticas de la rganización, se ha hech un prfund análisis de las metdlgías y buenas prácticas para un BCP, de estas se btuviern las mejres estrategias y recmendacines Definición de respnsabilidades y desarrll de ls Planes de Cntingencia. Definir ls cargs ls equips necesaris para la activación del Plan de Cntingencia Para establecer cóm se deben definir ls cargs ls equips necesaris para la activación del Plan de Cntingencia se hech un estudi principalmente de la Guía de las buenas practicas (GPG), ya que esta psee un ítem cn bastante infrmación referente a ls rles que deben existir en la activación y ejecución de ls planes de cntingencia ante situacines críticas. Desarrllar Planes de Cntingencia Para determinar cóm se deben dcumentar ls planes de cntingencia, se realizó un análisis cmparativ de BS 25999, BS 25777, ITIL, NFPA 1600, GAP, ISO y EOC, ya que ests pseen 48

59 infrmación slida respect a ls planes de cntingencia, de ls cuales se han extraíd ls punts más fuertes, para facilitar su cmprensión y eficacia Pruebas, revisión y mantenimient del BCP Para establecer el cóm deben realizarse las pruebas, revisines, actualizacines y pder de este md prevenir que ls dcuments realizads queden bslets cn el pas de ls añs, se han estudiad las metdlgías y estándares presentes en el marc teóric, basándse principalmente en la ISO 22301, el estándar BS y la Guía de las Buenas Practicas, ya que ests pseen mayr infrmación y de mejr calidad, referente a las pruebas y mantenimients que debe tener un BCP Análisis de la cultura rganizacinal chilena y la incrpración de la cultura de BCP a ésta. Para determinar cóm se debe incrprar el BCP la cultura de la rganización, se analizarn y se evaluarn las características principales de la cultura rganizacinal chilena cn el fin de identificar y aprvechar aquellas psitivas y tratar de evitar las negativas, además se realizó un análisis de cntenids de las diferentes metdlgías expuestas en el marc teóric, las metdlgías que presentan infrmación de mayr calidad en cuant al tema tratad sn: Guía de buenas prácticas, el estándar BS y la ISO 22301, tmand cm base estas metdlgías se prcedió a resumir y destacar ls punts más imprtantes que debe cntener un prgrama de cultura, que lgre en el persnal una plena cncientización sbre la imprtancia que psee el Plan de Cntinuidad de Negci para la Organización. 49

60 4. RESULTADOS Y ANÁLISIS De acuerd al Marc metdlógic plantead en el capítul 3, se presenta a cntinuación el Mdel para la implementación de un Plan de cntinuidad de Negci en Chile, la cual se detalla a cntinuación. 4.1 Análisis de la situación actual referente a mdels utilizads a nivel mundial. A cntinuación se presenta la Tabla Nº 4.1, que muestra el resultad del análisis hech sbre las metdlgías existentes a nivel mundial, en el cual se cmparan ls elements más imprtantes que desarrllan y se identifican ls punts más fuertes que tcan cada una de ellas, para implementarlas en el Mdel de Plan Cntinuidad de Negci, según l que se ha estudiad se puede bservar l siguiente: Tabla Nº 4.1: Cmparación de ls elements utilizads pr cada metdlgía. Elements Administración BCP. Análisis de Riesgs. Análisis para entender l que cmpne la rganización. Estrategia para la cntinuidad de negci. Administración de Incidentes. Plan Recuperación T.I. Plan de Pruebas. Plan de Mantenimient del BCP. Desarrllar la cultura de BCP BS BS Metdlgía GPG ITIL EOC GAP NFPA 1600 ISO ISO ORACLE x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Plítica BCP. x x x x Prgrama de Capacitación. Acuerds de Servici cn ls prveedres. Plítica de Seguridad de la infrmación. Cntratación de segurs. x x x x x x x x x x x x x x x x Fuente: Elabración prpia. x x x x 50

61 L anterir facilita bservar de una frma más rápida el enfque que pseen las distintas metdlgías, cn el fin de btener l mejr de cada una y agregar l que se cnsidere pertinente. Además en la Tabla anterir Nº 4.1, se puede bservar que el BS junt a la ISO cuentan cn un enfque más generalizad sbre l que es un BCP, desarrlla más punts sbre l que es necesari para llevar a cab una buena práctica, pr l cual pueden servir para frmar la estructura general de la metdlgía y de acuerd cn est btener de cada un de ls trs estándares mencinads, el punt que tienen más frtalecid. A cntinuación se presenta la Tabla Nº 4.2, que cntiene las ventajas y desventajas de ls estándares, metdlgías y buenas prácticas para emprender un Mdel de Plan de Cntinuidad de Negci. Tabla Nº 4.2: Ventajas y desventajas de ls estándares, metdlgías y buenas prácticas. Estándares, Metdlgías y Buenas Prácticas BS BS ITIL NFPA 160 ISO ISO GPG EOC GAP Ventajas Orientada a la Gestión de la Cntinuidad del Negci. Establece un marc para crear y mejrar un sistema de gestión de cntinuidad de servicis en ls Sistemas de TI. Guía de buenas prácticas destinadas a facilitar la entrega de servicis de TI de alta calidad abarcand la infraestructura, desarrll y peracines de TI. Manej de Desastres/Emergencias y Prgramas de Cntinuidad del Negci. Orientada a la Gestión de la Seguridad de la Infrmación. Orientada a la Gestión de la Cntinuidad del Negci cn más más énfasis en la cmprensión de ls requisits, el establecimient de ls bjetivs y en la medición del desempeñ. Prmcina nrmas en materia de cmpetencias prfesinales, ética de las prestacines, mantenimient de servicis y planificación de la cntinuidad de negcis. Marca ls lineamients que deben cumplirse para activar un Centr de peracines de emergencia para la Cntinuidad del Negci. Desarrlla una base de cncimients en la planificación de cntingencias y el manej de riesgs. Administra ls principales prgramas de certificación de la industria. Desventajas Cntempla parcialmente el tema de Recuperación ante desastres de TI (Tecnlgías de la Infrmación). Cntempla parcialmente el tema de Cntinuidad del Negci, se usa el estándar BS cm cmplement. Cntempla la mayría de ls prcess relacinads cn la cntinuidad del servici, n tiene un enfque integrad de td el prces. Dirigid a Técnics y prfesinales encargads del cntrl y seguridad cntra incendis. Cntempla parcialmente el tema de Recuperación ante desastres de TI en la Cntinuidad del Negci. Mens prescriptiva que la nrmas británicas, l que deja una puerta abierta a interpretacines pr parte de las rganizacines que aplican la nrma, así cm pr parte de ls auditres. Cmprende parcialmente el tema de Recuperación ante desastres de TI. Cntempla la mayría de ls prcess relacinads cn la cntinuidad del servici, n tiene un enfque integrad de td el prces. Estudia parcialmente el tema de Recuperación ante desastres de TI en la Cntinuidad del Negci. Fuente: Elabración prpia. 51

62 En cnclusión, de ITIL pr ser una bibliteca recncida en ls servicis de infrmación, puede apyar la parte de servicis de IT para la prpuesta ya que tiene varis apartads dnde se cntemplan la mayría de ls prcess relacinads cn la garantía de la cntinuidad del servici, per n tiene un enfque integrad de td el prces. El EOC definitivamente tca un punt relevante en la Administración de Cntinuidad de Negci, es decir, el centr de peración. La nrma BS 25777, cntiene una guía que establece cóm abrdar la gestión de la cntinuidad de servicis de una rganización, siguiend el marc de referencia de la nrma BS 25999, sistema de gestión de cntinuidad del negci. 4.2 Actividades necesarias para diseñar, implementar y mantener un Plan de Cntinuidad de Negci (BCP) en Chile Planificación y Plítica de Cntinuidad de Negcis En esta fase, y tras haber btenid el sprte y las inversines necesarias, la empresa que decide abrdar un plan de cntinuidad de negci l primer que debe hacer es averiguar qué se va a hacer y pr qué. A cntinuación se presentaran las actividades a realizar para cmenzar cn la implementación de un Plan de Cntinuidad de Negci. Cmprmis de la Dirección El Cmprmis de la Dirección se refiere a las bligacines y respnsabilidades que adquiere la alta dirección en el desarrll y la implementación del Plan de Cntinuidad de Negci. Obligacines cmprmiss mínims que debe adptar la Dirección: Asegurarse que las plíticas y bjetivs sn establecids. Asegurar la integración del BCP cn ls prcess de negci. Asegurar que ls recurss necesaris para el BCM estén dispnibles. Cmunicar la imprtancia del BCP. Asegurar que se lgre el resultad esperad. Nmbrar las persnas cmpetentes para ser respnsables de la implementación del BCP y dtarlas de la autridad aprpiada. Direccinar y dar sprte a las persnas que cntribuyen a la efectividad del BCP. Prmver la mejra cntinua. Definir ls criteris de aceptación del riesg y ls niveles aceptables de riesg. Participar activamente en ls ejercicis y pruebas. Asegurar que las auditrías internas del BCP sn realizadas. Cnducir las revisines administrativas del BCP. 52

63 Designar un Crdinadr de Cntinuidad de Negci El crdinadr el equip deben trabajar cn la dirección para identificar el alcance y ls bjetivs que persigue el plan, así cm las actividades de negci que sn críticas en la rganización. Adicinalmente, el perfil perfiles de las figuras encargadas de la gestión de la cntinuidad de negci n tiene que estar frzsamente lcalizad en las áreas de tecnlgía y sistemas (derivad de la idea generalizada de que ls prcess de cntinuidad de negci están cnstituids principalmente pr cmpnentes tecnlógics), l más imprtante es que psea una visión integral de la rganización. El crdinadr de Cntinuidad de Negci debe pseer: Habilidades de Liderazg, para desarrllar un ambiente participativ y cperativ. Buenas relacines interpersnales. Capacidad analítica. Buena cmunicación verbal y escrita. Orientación al lgr. Trabaj en equip. Capacidad de delegar autridad y tma de decisines. Capacidad de autgestión. Además se presenta a md de recmendación utilizar el mdel elabrad pr James Kuzes y Barry Psner (2007), para evaluar el cmprtamient del liderazg en las rganizacines y así identificar al miembr del equip que psea más capacidades de liderazg frente al grup para ser designad lueg cm Crdinadr del Plan de Cntinuidad de Negci. El análisis del liderazg se lleva a cab pr medi de la evaluación de cinc cmprtamients: Desafiar ls prcess: El líder se hace respnsable de ls riesgs que cnllevan ls prcess administrativs y perativs, además de la dinámica interna y externa que juegan ls prcess. Inspirar una visión cmpartida: Se refiere a la imaginación apasinante del líder sbre escenaris futurs. Habilitar a ls demás a que actúen: Esta característica se refiere a la facultad del líder para desarrllar un ambiente participativ y cperativ, haciend del equip de trabaj, cmpañers pr-activs. Mdelar el camin: Se refiere a una alta jerarquía de valres y de igual frma una alta mralidad. Clquialmente pdría decirse: El líder predica cn el ejempl. Dar alient cn el crazón: Es un cmprtamient transaccinal integrad en el Inventari de las prácticas de liderazg. Este cmprtamient se refiere a la retralimentación psitiva que el líder da a ls seguidres, recnciend públicamente las cntribucines individuales y celebrand ls lgrs del equip. 53

64 Sumad a l anterir, se prpne que para aquellas rganizacines que cnstituyen un equip de cntinuidad de negci, se cnfrme principalmente pr persnal que pertenezca cnzca las diferentes actividades del negci (tecnlgía y sistemas, financier, cmercial, recurss humans, etc.), ya que ls riesgs y amenazas varían en función de dicha actividad y deben ser abslutamente identificads y pririzads. Dcumentación del BCP Dcuments que debe cnsiderarse cm evidencia según l establecid pr el estándar BS y el estándar ISO 22301: Plítica de Cntinuidad de Negci. Material que cntenga ls términs de referencia para que el persnal identifique ls términs claves. Análisis de riesgs de la rganización. Análisis de Impact al Negci (BIA) de cada una de las áreas cnsideradas cm área clave. Identificación de ls recurss cn ls que cuenta la rganización para el prgrama de BCP. Prgrama de Capacitación para que cada persna tenga perfectamente definidas las tareas que debe realizar una vez declarada la cntingencia.. Prgrama de cncientización. Al inici del añ se define un plan de cncientización para ls empleads referente al BCP. Cn ell se busca que ls clabradres tengan cncimient de las accines que la rganización lleva a cab para estar preparad y reaccinar en cas de una cntingencia, así cm las accines en las que se necesita de su participación y que se tenga claramente definida la imprtancia de las tareas de cada clabradr. Plan de Administración de Incidentes. El Plan debe tener ls detalles sbre la frma en que ls equips deben trasladarse al siti altern. Ls númers de cntact de las institucines que se necesite cntactar en un escenari de cntingencia. Cntrats cn terceras partes. Es necesari tener un Acuerd de Nivel de Servicis (SLA) cn cada una de las empresas que brindan algún servici, para así asegurar que en cas de cntingencia, sigan prprcinand el servici. Plan de Recuperación de Tecnlgía en cas de Desastre (DRP pr sus siglas en inglés). Para la Cntinuidad de Negci es imprtante cntar cn un Plan para la recuperación de tecnlgía actualizad al día, pues es el sprte principal del BCP. Según el alcance del Plan de Cntinuidad de Negci en cada empresa, dependerá el númer de dcuments del listad anterir que apliquen a cada cas, de cualquier frma es indispensable elabrar tds ls que cnvengan a la eficiencia del BCP, en ls siguientes punts se describe y se explica cóm se deben realizar las tareas anterirmente mencinadas. 54

65 Elabrar la Plítica de Cntinuidad de Negci La plítica de cntinuidad de negci debe ser aprpiada para ls prpósits de la rganización además debe estar dcumentada, cmunicada, dispnible y se deben definir ls tiemps para su revisión. Esta plítica tiene que establecer las directrices generales del Plan de cntinuidad de negci, cm su alcance, lineamients y bjetivs de la gestión, principales rles y respnsabilidades. A cntinuación se muestran ls punts que debe cntener una Plítica de Cntinuidad de Negci, para que permita cncer cn más exactitud el enfque que cn frecuencia es aplicad a la elabración de la misma: Intrducción: En la que se detalle de frma resumida la materia tratada (Plan de Cntinuidad de Negci), la estructura del dcument y l que se persigue a través del mism. Objetivs: En este apartad se detallan ls bjetivs que serán satisfechs mediante la aplicación de la prpia plítica, cm garantizar la cntinuidad de las actividades y de ls servicis, aplicar ls prcedimients de cntingencia y planes de respuesta necesaris, etc. Alcance: Indica ls prcess u peracines de negci que sn cubierts pr la plítica, así cm ls recurss que sprtan ls citads prcess. Si aplica, también puede llegar a cnsiderarse la zna gegráfica sujeta a las instruccines marcadas pr la plítica. Respnsabilidades: Relación de ls diferentes respnsables implicads de una frma u tra en la gestión de la cntinuidad de negci (gerencia, crdinadr, equip, áreas de negci, prveedres de servici, etc.) junt cn una descripción detallada de sus funcines y bligacines (gestión de riesgs, asignación y distribución de ls recurss, desarrll de prcedimients de respuesta, realización de pruebas periódicas, frmación, etc.). Establecer la planificación del BCP La rganización debe planificar, implementar y cntrlar el prces necesari para alcanzar ls requerimients. Finalmente el crdinadr equip de cntinuidad, debe aplicar sus habilidades en gestión de pryects, para prgramar y desarrllar ls siguientes cmpnentes del plan de trabaj: tareas a llevar a cab para satisfacer ls bjetivs descrits en la plítica de cntinuidad, respnsables de ejecutar tales tareas, tiemps de ejecución, hits, presupuests, plazs e indicadres de éxit Cmprensión de la Organización y Análisis de Riesgs Cmprensión de la Organización Esta fase tiene el prpósit de identificar ls servicis y prducts que la rganización tiene cmprmetid entregar a sus clientes, en esta fase, se definen también las actividades necesarias para 55

66 llevar a cab ese bjetiv. Ls recurss necesaris dispnibles en la rganización que permitan entregar ls servicis y prducts a ls clientes crrespndientes en tiemp y frma. Cm primer pas para llevar a cab la implantación del prces de Cntinuidad de Negci es necesari realizar un estudi detallad de la rganización, que muestre la situación en la que se encuentra en el mment anterir a la implantación del BCP. El estudi debe mstrar: Tamañ de la rganización. Sectr en el que se llevan a cab las negciacines. Estructura funcinal de la cmpañía. Objetivs de la rganización. Prcess realizads en cada una de las áreas que frman la rganización. Persnal que trabaja en la rganización y ls que participarían en el BCP. Activs y recurss cn ls que cuenta la rganización para el cumplimient de ls bjetivs. Interdependencias cn tras cmpañías, entre áreas, prcess y actividades. Después del análisis de la rganización, en el cual se tengan plens cncimients de ls punts listads anterirmente, se puede prceder a llevar a cab el Análisis de Impact al Negci, que se detalla en el punt siguiente. Análisis de Impact al Negci (BIA pr sus siglas en inglés) El BIA identifica en cada área, ls prcess crítics que se realizan, así cm ls recurss técnics, financiers y tecnlógics necesaris para pder realizarls y númer de empleads que apyan a cada prces. En el BIA se debe identificar el impact que casinaría, n realizar el prces en x númers de días de hras. Para la elabración del Análisis de Impact al Negci puede utilizarse la herramienta frmat que más se adapte a las necesidades de la rganización, a cntinuación se muestra la prpuesta de este dcument: a) Identificación de las actividades críticas Lueg de cncer en plenitud la rganización y psterir a su análisis se prcede a la identificación de las actividades críticas, para ell es necesari que las empresas realicen el esfuerz de identificar y valrar el impact que pdría tener en la rganización si una actividad se paralizase, así cm el tiemp de interrupción que puede ser sprtad pr la rganización hasta que las pérdidas n sean asumibles (tiemp máxim permitid de interrupción MTD pr sus siglas en inglés). Para definir el impact que tendría la n ejecución de cierta actividad, se puede asignar una escala de valres a ls siguientes factres: 56

67 Impact en el bienestar de ls empleads. Dañ pérdida de la infrmación. Incumplimient de las nrmas legales. Dañ de la reputación. Dañs a la viabilidad financiera. Deterir de la calidad del servici prduct. Dañ ambiental. Otrgándle valres más alts a ls factres que la rganización cnsidere más imprtantes de salvaguardar y viceversa. Para lueg sumar ls valres y pder así btener infrmación cuantitativa, que resultará ser de más fácil bservación y cmparación. Una vez identificadas tdas las actividades críticas se sugiere utilizar una Tabla cm la del Anex A, que permita visualizar tdas las actividades críticas de una frma rápida. b) Tiemps de recuperación Ya identificadas las actividades críticas de la rganización, debe elabrarse una prirización de las mismas cn la finalidad de identificar las que deben recuperarse primer en cas de una cntingencia, para l cual es necesari estimar ds parámetrs muy específics que están estrechamente relacinads cn la recuperación: Tiemp de Recuperación Objetiv (RTO) y Punt de Recuperación Objetiv (RPO). El RTO establece la urgencia que las diferentes unidades de negci precisan para vlver a su funcinamient habitual. Pr tant, determina ls plazs en ls que deben vlver a funcinar cn nrmalidad. Ests pueden establecerse en períds de tiemp en función de la criticidad de ls prcess y pueden ser cuestión de hras semanas en aquells prcess prescindibles. Pr tant, se trata de identificar el rden en que hay que tratar de recnstruir la actividad, recuperand antes aquells prcess cuya paralización supnen un mayr impact para la rganización. En una situación de crisis siempre hay recurss limitads y es necesari elegir qué hacer primer atendiend a un criteri de negci. El RPO se refiere al punt más reciente en el tiemp en el que ls sistemas pueden ser recuperads, reflejand pr tant cuánta es la cantidad de infrmación que una rganización puede permitirse perder sin que le afecte negativamente. Pr tant, el RPO determina la peridicidad cn la que deben salvaguardarse ls dats para tds aquells prcess de negci. c) Cst de Dwntime Para calcular el cst de Dwntime de cada actividad crítica que aprta cm indicadr en la prirización de las mismas, se sugiere utilizar el mdel de análisis financier de ORACLE, que se presenta a cntinuación: 57

68 Cst de pérdida de prductividad (P) A= Cst anual de empleads. B= Númer de empleads. C = Prmedi de días trabajads pr añ. D = Prmedi de hras trabajadas pr persna pr día. E = Númer de hras de Dwntime. F = Númer de empleads afectads. ( ) ( ) ( ) (4.1) Valr de pérdida pr ventas (S) G = Ingres pr ventas anuales. H = Númer ttal de ventas pr añ. I = Númer estimad de pérdidas de ventas pr añ. ( ) ( ) ( ) (4.2) Cst de Recuperación de Servici (R) J = Trabaj de hras de sprte de TI. k = Cst hra de persnal de sprte. ( ) ( ) (4.3) Cst Estimad de Dwntime (T) ( ) ( ) (4.4) El númer resultante indica la pérdida financiera pr materializarse el incidente analizad. Tmand en cuenta el resultad, la rganización determina si el impact es tan alt cm para implementar medidas para evitarl e integrarl así al BCP. 58

69 d) Criticidad En cuant a la criticidad se puede clasificar de la siguiente manera: Crítics: Funcines que pueden realizarse sól si las capacidades se reemplazan pr tras idénticas. N pueden reemplazarse pr métds manuales. Muy baja tlerancia a interrupcines. Vitales: Pueden realizarse manualmente pr un perid breve. Cst de interrupción un pc más bajs, sól si sn restaurads dentr de un tiemp determinad (5 mens días, pr ejempl). Sensitivs: Funcines que pueden realizarse manualmente pr un perid prlngad a un cst tlerable. El prces manual puede ser cmplicad y requeriría de persnal adicinal. N crítics: Funcines que pueden interrumpirse pr tiemps prlngads a un cst pequeñ nul. Finalmente se presenta una Tabla Nº 4.3, en cual se puede bservar un ejempl de cóm pueden ser registradas las actividades de la rganización en base a ls parámetrs anterirmente descrits. Tabla Nº 4.3: Registrs de las actividades. Nº 1 Nmbre de la Actividad Descripción MDT RTO RPO Cst de Dwntime Impact Criticidad Fuente: Elabración prpia. Evaluación de Riesgs Se ha de elabrar un análisis detallad de las situacines que pueden casinar una interrupción a las peracines del negci, se estudia las amenazas a la rganización, así cm la evaluación de ls impacts que pudiera prvcar cada actividad y la prbabilidad de que curra una situación de este tip. Se sugiere utilizar un mapa cm el que se muestra a cntinuación en la Figura Nº 4.1, dónde se ubiquen ls riesgs encntrads cn la finalidad de identificar visualmente la situación de la rganización. 59

70 A Prbabilidad de Ocurrencia B C D E F Severidad: Prbabilidad: I Sever A Muy Alt II Mayr B Alt III Mderad C Ocasinal IV Mínim D Baj E Muy Baj F Casi Impsible IV III II I Severidad / Categría del efect del Peligr Figura Nº 4.1: Mapa para análisis de riesgs y categrías para evaluar. Fuente: Elabración prpia. El mapa para análisis de riesgs representa la ubicación en la que se encuentran ls escenaris prpis de la rganización que se está evaluand para la implantación de un Plan de Cntinuidad de Negci. La evaluación de ls escenaris va relacinada a la severidad y prbabilidad que se tenga sbre la cntingencia estudiada. Para el análisis se debe realizar una categrización de ls riesgs, para ell es necesari estudiar las vulnerabilidades de que curran riesgs naturales, tecnlógics y/ humans. A cntinuación se presenta una Tabla Nº 4.4 cn la categrización de ls riesgs. Tabla Nº 4.4: Categrización de ls Riesgs Categría de Riesg Descripción Subcategría de Riesg Riesg Extern. Riesg pr empleads. Ls riesgs resultan de events externs a la empresa, directa indirectamente a la cmpañía. El riesg resulta de ls errres de empleads. Prveedr, desastre natural., legislación y regulación, fraude extern, actividad criminal. Persnal clave, habilidades, capacidades, relacines entre empleads, discriminación. Riesgs pr sistemas. Riesg pr prcess. Ls riesgs resultan del inadecuad falla de la infraestructura de sistemas de la cmpañía. Ls riesgs que resultan de ls inadecuads prcess interns. Hardware, sftware, interfaces, redes, cmunicacines, seguridad. Transaccines, diseñ de prcess, prcess, dats interns, dats externs, cambi de pryects, prducts defectuss, servici al cliente. Fuente: Elabración Prpia. 60

71 En Tabla anterir Nº 4.4, se identifican las categrías de riesgs que pueden aparecer en el análisis de riesgs, el cual llevará a tmar medidas para prevenir ls riesgs que así l permitan y tmar medidas crrectivas para aquells que n es psible evitar. Cn ls resultads del Análisis de Riesgs, se busca identificar medidas para implementar que: Disminuyan la prbabilidad de currencia del incidente. Acrten el períd del incidente. Limiten el impact en cas de n pder evitar que curra el incidente. Para llevar a cab el Análisis de Riesgs puede servir de apy una Tabla que permita depsitar ls dats sbre las vulnerabilidades de la rganización, cóm la Tabla Nº 4.5 que se muestra a cntinuación. Tabla Nº 4.5: Análisis de Riesgs. ID Amenaza Riesg Severidad Prbabilidad Categría Impact Escenari Nº Cnsecutiv Fuente: Elabración prpia. La tabal anterir Nº 4.5, sirve para mstrar ls dats que deben registrarse en el análisis de riesgs, ests sn: la amenaza que identifica la rganización, ls riesgs de que curra, la severidad que tendría en la rganización, prbabilidad de que el event suceda, categrías, impact que tendría sbre la peración y/ seguridad de la infrmación y el escenari que se desataría. A cntinuación se presenta una Tabla Nº 4.6 cn la descripción de ls camps mencinads. Tabla Nº 4.6: Descripción de ls Camps. Camp ID Amenaza Riesg Severidad Descripción Nº de la vulnerabilidad Vulnerabilidad situación que afecta a una aplicación, servici servidr que se está evaluand. Descripción del riesg detectad en el análisis. Td event, falla bien que pnga en peligr la integridad. Cnfidencialidad dispnibilidad de la infrmación ls recurss activs. Medida de severidad del Riesg I- Sever II- Mayr III- Mderad IV- Mínim 61

72 Prbabilidad Categría Impact Es la prbabilidad de currencia del event que se está tmand en cuenta para las amenazas y vulnerabilidades predminantes. Se utiliza la siguiente escala: A: Muy Alt La situación se presenta 1 vez más al añ. B: Alt La situación se presenta 1 vez entre 1 y 3 añs. C: Ocasinal La situación se presenta 1 vez entre 3 y 5 añs. D: Baj La situación se presenta 1 vez entre 5 y 10 añs. E: Muy Baj La situación se presenta 1 vez entre 10 y 30 añs. F: Casi impsible, la situación se presenta 1 vez en más de 30 añs. Riesg Extern. Riesg pr empleads. Riesg de sistemas. Riesg pr prcess. Efect ptencial de una falla de seguridad, teniend en cuanta sus cnsecuencias en el negci. Fuente: Elabración prpia. Para cmpletar la Tabla es recmendable l siguiente: Jerarquizar la prbabilidad basada en las situacines curridas en ls añs pasads, para la severidad e impact, es necesari tmar en cuenta el dañ a la marca, impact pr incumplimient, además de la cantidad de pérdida de ingress. Cn la infrmación almacenada en la Tabla 4.5, se prcede a graficar y queda un mapa dónde se visualiza la prbabilidad que tiene la rganización de sufrir algún riesg, a md de ejempl este se puede bservar en la Figura Nº 4.2: Vulnerabilidad Prbabilidad de Ocurrencia A B C D E F IV III II I Severidad / Categría del efect del Peligr Figura Nº 4.2: Ejempl de visualización de riesgs en la Organización. Fuente: Elabración prpia. 62

73 Finalmente l que se debe btener en esta fase una vez realizad tdas las actividades anterires es: Entender la rganización mediante la identificación de prducts y servicis claves, así cm las actividades y recurss crítics que ls sprtan. Estimar el impact y las cnsecuencias de ls psibles falls en esas actividades y recurss crítics. Y pr últim, identificar y valrar ls riesgs que pdrían interrumpir la entrega de ls prducts y servicis de la empresa, así cm de ls recurss sbre ls que están sprtads Medidas Preventivas El prpósit de esta fase cnsiste en aplicar medidas de seguridad que eviten en la medida de l psible que se prduzcan incidentes que, al n ser gestinads adecuadamente, hagan necesaria la activación del Plan de Cntinuidad de Negci. Tmand cm base ls resultads del BIA y del análisis de riesgs, la rganización debe identificar y aplicar cntrles medidas de seguridad que: Reduzcan la prbabilidad de que las actividades críticas sufran interrupcines. Disminuyan el tiemp de una eventual interrupción. Limiten el impact que una paralización de las actividades críticas pueda prvcar en la rganización. Incrementen la frtaleza del negci mediante la eliminación de punts de fall únics (access, prcess, clientes, etc.) De esta frma se elabra un plan de acción que cntempla las tareas que la cmpañía pretende adptar para prevenir y evitar en la medida de l psible ls riesgs que impactan en la dispnibilidad de las peracines. Finalmente el prces de identificar e implantar medidas de seguridad debe estar basad en un equilibri entre ls siguientes factres: Riesg que está siend mitigad impact que estaría siend reducid. Cst de implementar la/s medida/s de seguridad (ecnómic y human). Beneficis que la implementación de la/s medida/s de seguridad que aprta a la empresa. Pr l tant, en vez de esperar a que un desastre glpee a la rganización para ver cóm esta se recupera, las medidas preventivas (en casines denminadas cntramedidas) deben ser aplicadas cn el bjetiv de incrementar la frtaleza de sus actividades frente a psibles impacts previamente identificads en el BIA. Alguns ejempls de medidas preventivas más cmunes sn: 63

74 Emple de materiales de cnstrucción rbusts. Redundancia de sistemas infrmátics y líneas de cmunicación. Adquisición de segurs cn diferentes grads de cbertura. Cpias de seguridad de infrmación que sprta una actividad crítica de la rganización. Sistemas de detección y extinción de incendis. Sistemas de prevención de intrusines, cntrl de access, alarma y vigilancia. A cntinuación se presenta una Tabla Nº 4.7 cn alguns ejempls de medidas preventivas, que prprcinan una prtección ante ls riesgs que puede sufrir una rganización, y que cuya currencia se puede atenuar instrumentand cntrles adecuads. Riesg Interrupción eléctrica. Falls en Hardware. Fallas en Sftware. Fallas en Cmunicacines. Desastres naturales. Incendi. Fallas en Respalds. Virus Tabla Nº 4.7: Ejempls de medidas preventivas. Medidas Preventivas Fuentes alternas de generación eléctrica: UPS y plantas eléctricas. Mantenimient de las fuentes alternas de generación eléctrica. Estad de la instalación eléctrica y capacidad eléctrica instalada. Lámparas de emergencia. Equip de cómput utilizad y bslescencia. Capacidad de redundancia entre servidres. Mnitre de prblemas en ls servidres. Cntrats de mantenimient preventiv y crrectiv. Cndicines físicas y ambientales (limpieza, humedad, temperatura). Desarrll lcal de aplicacines (metdlgías/ estándares). Cambis y cnfiguración en aplicacines. Trascendencia de ls sistemas incluids en el estudi. Sprte técnic de ls equips utilizads. Mantenimient preventiv y crrectiv de ls equips de cmunicación. Pólizas de segur vigentes. Brigadas de atención ante situacines de emergencia. Capacitación al persnal. Rutas de evacuación. Iluminación de pasills, puertas y salidas de emergencia. Pólizas vigentes de segur. Sistemas autmátics y manuales cntra incendi (gabinetes, extintres, aspersres). Us de materiales retardantes del fueg. Almacenamient de material cmbustible. Detectres de hum revisads regularmente. Prcedimients para respald y recuperación de infrmación, fuentes, bjets, dcumentación, y cnfiguración de ls sistemas. Peridicidad de ls respalds. Facilidades y prtección para el almacenamient dentr y fuera de siti. Cnfiguración de ls discs durs de ls servidres. Dcumentación actualizada sbre prcedimients de respald y recuperación. Prgrama antivirus instalad en cmputadras y servidres. Cnfiguración y actualización del sftware antivirus. Cnsultas regulares de fuentes de infrmación para actualizacines sbre virus. Capacitación al persnal para identificar ptenciales fuentes de ataque de virus. Plíticas para el ataque de virus. 64

75 Vilacines a la Seguridad física. Intrusión (Hacke). Recurs Human. Seguridad física para el ingres al edifici, ficinas y cuarts de servidres y equips de cmunicación. Capacitación al persnal para detectar situacines que puedan representar riesg cuestinar la presencia de persnas descncidas sin identificación. Sistemas de seguridad: circuits cerrads de televisión, sensres de mvimient, alarmas. Revisión y cntrl de salida e ingres de equip de cómput. Utilización de bitácras para el registr de ingress. Prcedimients establecids para trgamient de acces a las aplicacines y plíticas de acces lógic. Prcedimients establecids para el acces a ls recurss tecnlógics (redes y aplicacines). Administración y cnfiguración de firewalls. Mnitre de ls access tant legítims cm ilegítims. Dispnibilidad de herramientas para el mnitre de la seguridad. Dependencia en el persnal. Capacitación. Dcumentación de las funcines del persnal. Fuente: Elabración Prpia Estrategias de Recuperación Derivad de ls resultads del BIA, el bjetiv perseguid en esta fase cnsiste en identificar las alternativas de recuperación de las actividades críticas de la rganización en ls marcs de tiemp definids y aceptads. La rganización debe tener en cuenta ls psibles dañs ptenciales a la hra de revisar y seleccinar las diferentes slucines alternativas de recuperación de sus actividades críticas, cnsiderand adicinalmente ls siguientes factres: El cst asciad al establecimient de la estrategia, la cual suele cnstituir un de ls mayres incnvenientes a la hra de adquirir una slución de recuperación. Ls beneficis que prprcina la citada estrategia. El Tiemp Máxim Permitid de Interrupción (MTD) de la actividad crítica. El Tiemp de Recuperación Objetiv (RTO). La pérdida máxima de infrmación que una empresa se puede permitir (RPO). A cntinuación se presenta la Tabla Nº 4.8, en la cual se pueden bservar ejempls de estrategias de recuperación. Tabla Nº 4.8: Ejempls de estrategias de recuperación. Recurs crític Objetiv Estrategias de recuperación Dcumentar actividades críticas. Persnas que Mantener el cncimient y las Frmación. participan en las capacidades del persnal cn actividades de Cncimient cmpartid y funcines y respnsabilidades en negci. multidisciplinari. actividades críticas. Separación de tareas claves. Instalacines y Puests de trabaj. Reducir el impact que genera la falta de dispnibilidad de las instalacines de trabaj. Instalacines alternativas. Acuerds recíprcs. Teletrabaj. 65

76 Tecnlgía. Infrmación y Dcumentación. Prveedres. Accinistas y Scis. Servicis civiles de emergencia (tráfic, bmbers). Entender el entrn tecnlógic que sprta las actividades críticas y mantener la capacidad para replicarl en cas de desastre. Garantizar la prtección y recuperación de la infrmación vital para la rganización. Identificar y mantener un inventari de prveedres de servicis claves que sprtan las actividades críticas. Prteger ls intereses de scis y accinistas afectads pr un desastre. Garantizar que la rganización cnce ls prcedimients de ls servicis de emergencia. Redundancia de equips y cmunicacines. Mantenimient de la misma tecnlgía en diferentes ubicacines. Cpias de sftware crític. Cpias de seguridad. Prcedimients de recuperación. Dcumentación de activación del Plan de Cntinuidad. Cntact cn prveedres alternativs. Acuerds cn tercers. Enví y almacenamient de recurss crítics en ubicacines alternativas. Acuerds que garantizan el bienestar de ls clectivs invlucrads en el desastre. Recmendacines de rutas de evacuación y punts de reunión. Participación en simulacrs. Fuente: Elabración prpia. En este sentid, es imprtante destacar ls siguientes aspects cn respect a la selección de las estrategias de recuperación: La elección de las diferentes alternativas de recuperación depende de las necesidades de la rganización: tiemps de recuperación bjetiv (RTO), csts, recurss humans, recurss técnics, etc. L más cmún y recmendable es adptar una cmbinación de las estrategias de recuperación para ls distints recurss crítics. El tiemp de recuperación bjetiv (RTO) definid pr la rganización para sus actividades críticas siempre debe ser menr al tiemp máxim permitid de interrupción (MTD). El cst de las estrategias de recuperación será generalmente mayr cuant menr sea el tiemp de recuperación bjetiv (RTO). Según ls criteris previamente detallads, y teniend en cuenta la frmalidad de ls resultads del prces BIA, se recmienda una selección de las estrategias de cntinuidad debidamente dcumentada para cada actividad crítica. Dicha selección debe ser acrdada y ratificada cn el directr el nivel directiv de la empresa. Además, es necesari destacar que las estrategias de recuperación seleccinadas para cada actividad deben ser acrdes a ls Tiemps de Recuperación Objetiv (RTO) previamente definids y aprbads.en paralel, es acnsejable diseñar una planificación para la puesta en marcha de la estrategia acrdada para determinar el aprvisinamient de ls recurss. Recmendacines para la elabración de las estrategias de recuperación Las estrategias de recuperación deben cnsiderar ls siguientes recurss: 66

77 Persnal: Es necesari definir la mejr estrategia para mantener las principales habilidades y cncimient necesari para dar cntinuidad a las peracines del negci, infrmación para prveedres, administración y retención de cncimient. Se sugiere tener un Plan de capacitación para el persnal, el cual permite identificar visualmente cuales sn las tareas que la rganización llevará a cab cn el persnal a l larg de un tiemp determinad. El Plan de Capacitación debe identificar capacitación para empleads de nuev ingres, para las áreas técnicas y para las áreas cmerciales. Instalacines: En esta sección se debe verificar que las instalacines alternas permitan llevar a cab las actividades que apyen a las peracines de la rganización, estas instalacines alternas deben cntar cn la infraestructura necesaria que permita cntinuar cn la peración a un nivel aceptable. Para tr tip de escenari puede tmarse la medida para trabajar desde casa vía remta. Las instalacines alternas cn las que cuente la rganización van a depender directamente del presupuest que psea la rganización para el Plan de Cntinuidad de Negci. Si se ha de cntar cn un prveedr para dar el servici de Instalacines de trabaj altern este debe cumplir al mens cn ls siguientes punts: Estar ubicad a 50 km de las instalacines principales. Ubicarse en una zna segura, de preferencia evitar que se encuentre cerca de fábricas industrializadras. Tener experiencia en el tema de Cntinuidad del Negci. Para elegir el prveedr que más se acerque a ls requerimients de la rganización es cnveniente llevar a cab un cncurs, en el que se entrevisten las diferentes pcines y se cmpare la ferta de cada un cn la finalidad de elegir la prpuesta que mejr se adecue a las necesidades de la rganización. Infrmación: Se debe verificar que se psea la infrmación necesaria para dar cntinuidad a las peracines del negci, esta infrmación debe cumplir cn las características de seguridad indispensables, integridad, dispnibilidad y cnfidencialidad aunque se esté en las instalacines alternas. Cm parte de las estrategias de infrmación, y siend este tema muy sensible, es necesari tmar elabrar respalds de la infrmación. También cm medida se seguridad adicinal, ls respalds pueden resguardarse en una bóveda especial para resguard de respalds, actualmente existen prveedres que brindan este servici, pr l que es recmendable realizar un exhaustiv análisis de ls prveedres existentes para elegir el que más cnvenga a las necesidades de la rganización. Tecnlgía: La tecnlgía va a depender del tip de peración que realice nrmalmente la rganización, l que se debe verificar es que la tecnlgía que se tenga, sea suficiente para pder llevar a cab la peración a un nivel aceptable en un escenari de cntingencia. Para esta 67

78 estrategia se debe elegir la infraestructura según las necesidades y el presupuest de la rganización. Para una mejr implementación de la estrategia de Tecnlgía se sugiere elabrar Inventaris de td l que tenga que ver cn Tecnlgía, en el inventari es necesari indicar la criticidad que cada element represente para la peración de la rganización, Ls inventaris que se sugieren sn sbre: Sistemas de Infrmación Crítics, Hardware de Redes, servidres, usuaris y cmunicacines, Sftware y relacines entre cada un de ests elements, cn la finalidad de tener una visión de l que se tiene en la rganización cm l sugiere ITIL. Adicinalmente se recmienda tener un inventari de l mínim necesari en materia de tecnlgía para Restaurar la Operación a un nivel aceptable en un escenari de cntingencia. Este inventari debe estar cntemplad en el análisis financier para el Prgrama de Cntinuidad del Negci. Registrs Vitales: Además de la tecnlgía, de la infrmación y del persnal que apyará en la cntinuidad de la peración, es necesari tmar en cuenta alguns recurss necesaris para que las tareas puedan realizarse, cm: Hjas membretadas. Frmats necesaris para llevar a cab alguna tarea. Dcuments que fuern entregads algún día y que se necesiten para el trabaj diari. Dcuments legales cm cntrats de ls prveedres. Tds ests ejempls sn identificads cm registrs vitales. Para cntar cn ells en un escenari de cntingencia, dónde l más factible es cntinuar cn la peración en un siti altern, se debe asegurar que ls registrs vitales estén dispnibles. Algunas de las recmendacines para slucinar este requerimient sn: Cntratar ls servicis de un prveedr especializad en este tema. Tener instalacines alternas que sirvan cm bóveda para el resguard de este tip de recurss, actualmente existen en el mercad prveedres encargads de este tema. Prtección Civil: Esta estrategia presenta afinidad cn la NFPA La rganización debe tener la capacidad de dar la seguridad necesaria a sus empleads aún, en cas de cntingencia, para ell es necesari cntar cn capacitación en tema de prtección civil. Actualmente existen rganizacines especializadas en preparar equips de trabaj para prtección civil dentr de las rganizacines. Para este punt, se sugiere rganizar un equip que este encargad de esta tarea dentr de la rganización y que reciba capacitacines de un prveedr especialista en el tema. 68

79 4.2.5 Definición de respnsabilidades y desarrll de ls Planes de Cntingencia En esta fase, es necesari situar tdas las slucines, estrategias y pass en un sl plan. Es decir, una vez que las estrategias han sid definidas, deben ser dcumentadas y puestas en marcha pr ls encargads de la cntinuidad de negci de la rganización. Así ls esfuerzs pasan de una fase de planificación a una fase de acción e implementación en la que se pretende gestinar la respuesta a incidentes y asegurar la cntinuidad de las actividades críticas. Definir ls cargs ls equips necesaris para la activación del Plan de Cntingencia La cmpsición y el númer de cargs equips que intervienen en la ejecución del plan pueden variar en función del tamañ de la rganización y de su estrategia de recuperación. Es psible destacar funcines claves que serán llevadas a cab pr ls respnsables (persnas equips, dependiend del tamañ y de ls recurss de la empresa) de la activación y ejecución del Plan de Cntinuidad de Negci: Respuesta a incidentes: Respnsables de analizar y actar el impact que una incidencia puede prvcar en la rganización de frma que n se tenga que recurrir a la activación del Plan de Cntinuidad de Negci. Cmité de crisis: Encargad de activar el Plan de Cntinuidad de Negci y dirigir las accines durante la cntingencia. Equip de alerta: Cmunicación rápida y efectiva cn ls servicis civiles de emergencia necesariamente lcalizables en cas de catástrfe (cm pr ejempl ls bmbers) que generalmente cnstituyen la primera figura de respuesta. Lgística: Respnsable de reunir tds ls medis (lugar alternativ de trabaj, material, herramientas, etc.) necesaris para cntribuir a la reactivación de la actividad. Recuperación: Asume la recuperación en servici de la infraestructura tecnlógica (sistemas, aplicacines y líneas de cmunicación). Relacines públicas: Respnsable de las cmunicacines cn clientes, accinistas, medis de cmunicación, etc. Esta designación de funcines es semejante a las que se establecen en ls planes de emergencia encuadrads en la Ley de Prevención de Riesgs Labrales (y sus crrespndientes desarrlls reglamentaris), en las que intervienen persnas encargadas de pner en práctica diferentes medidas cm: gestinar las alertas para la acción de ls equips de primera intervención, dar la alarma para facilitar la evacuación de ls empleads, gestinar la crdinación y la cperación entre ls integrantes de ls diferentes equips de emergencia, etc. Una vez que se han definid ls cargs equips, así cm las funcines a desempeñar pr ls misms, se deben desarrllar ls planes prcedimients de cntingencia a seguir. 69

80 Desarrllar ls Planes de Cntingencias Tecnlógics En el cas de que la cntingencia tenga que ver tecnlgías de infrmación, se ha de diseñar un Plan de Cntingencias Tecnlógic Disaster Recvery Plan (DRP), que cntemple las definicines, respnsabilidades y actividades que debe ejecutar el Área de Tecnlgía para recuperar las aplicacines servicis crítics ante escenaris de fallas tecnlógics, permitiend así la cntinuidad de las peracines. A cntinuación se explica cóm desarrllar un plan de estas características: Definición de rles y respnsabilidades del DRP: Directr del DRP: Respnsable pr la vigencia y mantención del DRP, respect de ls alcances, estrategia y actualización de ls prcedimients relacinads cn la recuperación de ls servicis y cntinuidad de ls prcess. Debe prveer ls recurss para la capacitación del persnal invlucrad, cn el fin de cntar cn persnal entrenad adecuadamente para el cumplimient de cada rl asignad en el prcedimient. Crdinadr Técnic DRP: Encargad de crdinar las actividades técnicas de recuperación tecnlógica. Debe actuar cm bservadr durante la realización de pruebas, cn el fin de detectar y crregir deficiencias del DRP y cm supervisr en el cas de activarse. Debe velar prque ls integrantes del DRP, cuenten cn el entrenamient y especialización técnica necesaris para llevar a cab crrectamente las tareas de recuperación de ls servicis. Debe detectar las necesidades de capacitación y slicitar el entrenamient respectiv. Debe velar pr la actualización y vigencia de ls prcedimients técnics asciads al DRP exigiend a cada encargad el cumplimient de esta bligación. Es respnsable de mantener actualizads ls prcedimients, el hardware y el sftware requerids para la recuperación de ls sistemas. En cas de emergencia es respnsable de activar la recuperación de ls sistemas habilitand tant el hardware cm el sftware asciad. Crdinadr de Cmunicacines externas, internas y cn prveedres: Asume su rl durante la cntingencia y es el encargad de la relación cn la cntraparte técnica. Es el encargad de recger y canalizar las inquietudes, liberand al grup de crdinación técnica de la bligación de atender cnsultas requerimients, de tal manera de rientar sus esfuerzs a dar cumplimient cabal a las actividades descritas en el plan. 70

81 Desarrllar ls Planes de Cntingencias Operacinales Ls Planes de Cntingencias Operacinales deben ser cnciss, factibles y accesibles a tds aquells miembrs que tienen algún tip de respnsabilidad dentr del plan. Ls bjetivs y el alcance de cada un de ells deben ser dcumentads, fáciles de leer y entender pr tds ls miembrs implicads, cnsiderand: Las actividades y recurss crítics que deben ser recuperads. Ls tiemps de recuperación de dichas actividades y recurss. En qué situación situacines debe ser utilizad cada plan. Infrmación útil para la gestión de la cntingencia (teléfns, inventaris de prveedres, servicis, direccines, check list, etc.). Adicinalmente, se deben detallar claramente las funcines y respnsabilidades de ls miembrs que frman parte activa del Plan de Cntinuidad de Negci, así cm el métd para activar invcar el mism ( baj qué circunstancias?; quiénes activan el plan?; cóm es activad el plan?). Además de est, en el Anex B, se puede bservar a md de ejempl un Plan de Cntingencia Operacinal para una actividad crítica de una Institución Financiera. Recmendacines Para evitar pérdidas de ls planes de cntingencias deben mantenerse cpias de ls misms en diferentes lcacines. Al mens una de estas lcacines debe estar alejada del lugar físic en el que principalmente se desarrllan las actividades críticas de la rganización (ficinas dmicilis particulares). También es imprtante que el BCP esté dispnible para las persnas que participan en el Plan de Cntingencias en diferentes frmats (incluyend el electrónic y el sprte en papel) Pruebas, revisión y mantenimient del BCP En esta fase se especifican ls ejercicis que más a ayuden a verificar la efectividad del Plan de Cntinuidad de Negci. Pr tal mtiv se debe diseñar un Plan de Prueba para cada actividad crítica del BCP, un ejempl de est se puede bservar en el Anex C. Sin imprtar el tip de prueba, la repetición y cnjunt de actividades que la fundamentan, estas permiten identificar detalles situacines que requieren atención. Es necesari demstrar la efectividad del BCP prband mediante ejercicis: ls rles del persnal clave, capacidad de recuperación, cncimient y tma de decisines en situacines de crisis. 71

82 Las Pruebas y ejercicis se llevan a cab cn la finalidad de cumplir ls siguientes bjetivs: Garantizar que la dcumentación prevista para ser usada durante events situacines de crisis, sea validada pr la práctica y la evaluación. Mantener vigente la dcumentación de Administración de la Cntinuidad de Negci creada en las etapas del cicl de vida del prces de BCP. Asegurar que ls planes se ajusten a ls bjetivs del negci, mediante prácticas, auditrías y prcess de aut-evaluación. Cumplir cn ls requerimients de ls prcess clave del negci (RTO y RPO). Familiarizar a ls equips cn el prces de Pruebas de BCP. Satisfacer ls requerimients legales y de auditria interna. En las diferentes Pruebas que se pueden realizar, se tienen las siguientes: Prueba de escritri: Esta prueba permite evaluar un plan sin necesidad de realizar la prueba fuera del edifici, la cual debe realizarse de manera de verificar la cnsistencia del plan cn respect a algún escenari de interrupción. Además permite validar ls dats de ls planes. Prueba funcinal: En esta prueba se evalúa la efectividad de ls planes que integran el BCP, recreand ls prcess de negci y la participación de ls usuaris desde un siti altern. Ejercici Cmplet: Permite evaluar la cntinuidad de las peracines para un escenari de desastre mayr en el cual se simularía un prcesamient desde el siti altern definid en la estrategia de recuperación. Este tip de prueba permite validar tds ls planes de cntingencia de manera integrada. Una vez realizad el ejercici prueba, se deben dcumentar ls resultads basads en ls cuestinaris de revisión y bitácras de ls participantes. Para este prces es necesari rdenar tdas las evidencias reclectadas después de la prueba ejercici y definir planes de acción para administrar ls prblemas surgids durante la prueba ejercici. Se sugiere elabrar una reunión cn ls participantes de la prueba, en la que sea de fácil visualización a través de gráficas cmparativas entre resultads anterires cntra ls actuales, un análisis entre ls requerimients y ls resultads de la prueba. Ests servirán para identificar áreas de prtunidad. Dcuments que deben ser actualizads cnstantemente El BCP cntiene punts imprtantes que deben ser actualizads cnstantemente, debid a la innvación que la rganización va experimentand, ells sn: Alcance del Plan: Cn el transcurs de ls añs, el alcance del BCP puede ampliarse, según el crecimient de la rganización. 72

83 Punts del BCP alineads a las buenas prácticas: El prgrama de Cntinuidad de Negci puede mdificarse, dependiend del códig de buenas prácticas al cual está alinead, ya sea pr cambi de versión pr cambi de un códig a tr. Plan de Pruebas: Al inici del añ, se elabra el plan de pruebas anual del BCP, en el que se definen ls ejercicis que se pretenden realizar, cn el pasar de ls meses es necesari verificar si será psible llevar a cab dichs ejercicis, en cas cntrari, se debe actualizar el Plan de Pruebas que se elabró al inici del añ. Rles y respnsabilidades: Para el BCP se tiene identificada cierta parte del persnal de la rganización que participa en éste, dependiend del cambi de rl de las persnas en la peración nrmal, debe actualizarse el BCP. Cada un de ls dcuments que han sid mencinads, deben ser actualizads cada vez que se identifique un cambi, para que el Plan de Cntinuidad de Negci sea eficiente, debe estar al día. Actualización (cicl de mejra cntinua) Ls planes de cntinuidad de negci deben ser mantenids a través de un cicl de mejra cntinua. Cualquier cambi a nivel estratégic, peracinal técnic puede impactar en el negci y pr tant en el plan de cntinuidad. Cnsecuentemente, la empresa debe emprender un prces para mantener al día la capacidad, eficacia e idneidad del Plan de Cntinuidad de Negci. Algunas prpuestas en ese sentid sn: Revisión periódica en busca de cambis en la estructura de la rganización, en ls prducts/servicis que se desarrllan, en la plantilla, etc., ls cuales pueden tener cnsecuencias en el Plan de Cntinuidad de Negci (plítica, BIA, prcedimients de recuperación, etc.). Cnfirmación de que el Plan de Cntinuidad de Negci es acrde y cntempla ls citads cambis en ls diverss cmpnentes de la rganización. Adecuación de ls planes de cntinuidad de negci a requerimients de scis, clientes, accinistas u tr tip de requerimients regulatris. Revisión de ls resultads de las pruebas realizadas y de que las mejras identificadas en las mismas han sid aplicadas. Auditrías internas externas de tds y cada un de ls cmpnentes del Plan de Cntinuidad de Negci. En el cas de que se evidencien cambis que afecten a la rganización y que tengan impact en ls prcess de negci, puede ser necesari revisar ls Análisis de Impact en el Negci (BIA) y Análisis de Riesgs para ver en qué medida dichs cambis pueden prvcar desajustes en las estrategias y ls 73

84 prcedimients. De esta frma, la rganización puede dispner de ciertas garantías sbre la efectividad de su plan de cntinuidad de negci. Finalmente para asegurar el mantenimient del Plan de Cntinuidad de Negci es recmendable el desarrll de prgramas educativs que mezclen diferentes frmas de cmunicación y aprendizaje de frma que sea fácilmente asimilable pr tda la rganización. Pr tr lad, y cm medida general, se recmienda que ls planes de cntinuidad de negci, aparte de ser flexibles, sean testads al mens una vez al añ a través de la realización periódica de simulacrs que reprduzcan de frma ficticia situacines de emergencia cntingencia. Dicha peridicidad depende de las necesidades que determine la rganización y el entrn en el que pera. 4.3 Análisis de la cultura rganizacinal chilena y la incrpración de la cultura de BCP a ésta. En esta fase se desea btener en el persnal una cncientización sbre ls beneficis que se btienen, cuand se cuenta cn una cultura de prevención, además de prprcinarles seguridad ante una situación que requiera el us del BCP, para est y de acuerd cn el análisis de la infrmación recpilada en cuant a la cultura rganizacinal chilena, la frma en la que se debe entregar las tareas y bligacines a ls demás, deben ser de una frma impersnal y frmal, también la gran imprtancia de la delegación de autridad y tma de decisines que han de tener ls clabradres debe ser significativa, cn l cual se busca btener que ls clabradres se sientan parte de la empresa y cm un recurs valis para la misma. Antes de impartir cualquier acción de frmación cncientización, es necesari que la rganización determine ls clectivs y grups bjetivs, qué tip de necesidades frmativas sn requeridas y qué estrategia de cmunicación es la más adecuada, un ejempl de est puede ser bservad en el Anex D, para lgrar la incrpración del BCP a la rganización, se pueden utilizar diverss medis en la difusión efectiva de ls paquetes frmativs, cm pr ejempl: la inclusión de mensajes y cntenids relacinads cn la cntinuidad de negci en la Intranet de la rganización, las platafrmas nline y/ sprtes semejantes, etc. Ls respnsables deben ser adecuadamente frmads y cncientizads acerca de ls diferentes cncepts que cntempla la cntinuidad de negci (riesgs, medidas preventivas, detección temprana de incidencias, etc.). Inclus cabe la psibilidad de extender ests prgramas de frmación a prveedres en general a tercers cn ls que la rganización mantiene relacines cmerciales. En esta fase se sugiere desarrllar un prgrama de cultura para el BCP que cntenga ls siguientes punts: Definición de respnsabilidades. 74

85 Actividades que frtalezcan las habilidades del persnal. Organización de talleres para la cncientización del persnal. Capacitación para el desarrll de habilidades necesarias para trabajar en una situación de crisis. Planes de ejercicis. Invlucrar al persnal en la slución de incidentes resultantes de la prueba. Finalmente cabe destacar, que entre más incrprada esté la cultura de BCP en la peración nrmal, mayr capacidad de cntinuidad de negci tendrá la rganización, ya que una cultura psitiva lgrada cn el desarrll de un prgrama de cultura eficiente, puede ayudar a infundir cnfianza en ls trabajadres, scis del negci y clientes de la rganización. A cntinuación se presenta una Figura Nº 4.3 cn las principales características de la cultura rganizacinal chilena y la implicancia que esta tendría sbre el plan de cntinuidad de negci. Principales características de la cultura rganizacinal chilena El chilen es insegur de asumir respnsabilidades y tmar decisines pr si sl. El chilen es advers a la critica, sl es tlerada cuand hay un grad mayr de cnfianza cn sus superires. El chilen hace sl l que se le rdena, necesita reglas y pass a seguir. El chilen espera que el jefe l prteja en trs ámbits adicinales al labral, a cambi de l cual reciben lealtad. El chilen requiere y demanda un trat persnalizad, exije un trat basad en el respet, las persnas sn vistas cm seres integrales. Implicancias hacia el Plan de Cntinuidad de Negci (BCP) El jefe y crdinadr del BCP debe ser una persna cn amplias capacidades de liderazg, debe prteger a sus subrdinads y debe ser respetus cn ls misms. Dentr del BCP, ls cargs y las instruccines deben ser claras y cn ls pass a seguir bien definids. La cultura de cntinuidad de negci debe incrprarse firmemente a la cultura de la rganizacin, especificamente en la cnciencia de ls trabajadres. El chilen siente temr al ridícul, al fracas, y pr l mism, se traduce en un alt nivel de autexigencia. Figura Nº 4.3: Relación de la cultura rganizacinal chilena cn el Plan de Cntinuidad de Negci. Fuente: Elabración prpia. 75