Professional Documents
Culture Documents
SP/II-SR-ASPPGRD/DT N 2-13
PRESENTACIN
RESUMEN EJECUTIVO
I.
INTRODUCCIN
II.
DEFINICIONES PRELIMINARES
III.
IV.
9
9
10
10
11
12
V.
12
VI.
VII.
6
6
7
13
15
19
21
25
27
30
30
31
CASOS EXITOSOS
1. Aplicacin de las prcticas profesionales para la continuidad
del negocio y operaciones
2. Integracin entre el sector pblico y privado
33
36
CONCLUSIONES Y RECOMENDACIONES
37
BIBLIOGRAFA
33
41
SP/II-SR-ASPPGRD/DT N 2-13
SP/II-SR-ASPPGRD/DT N 2-13
RESUMEN EJECUTIVO
Amrica Latina y el Caribe es una regin donde eventos mayores han ocurrido:
terremotos, tsunamis, huracanes, tormentas tropicales, incendios, inundaciones,
deslizamientos de tierra, lluvia de cenizas a partir de erupciones volcnicas, fro extremo,
entre otros; y tanto como las poblaciones se ven afectadas, tambin las propias
organizaciones se ven impactadas por estos incidentes que las obligan a paralizar sus
operaciones.
El Sistema Econmico Latinoamericano y del Caribe (SELA), la Estrategia Internacional de
las Naciones Unidas para la Reduccin de Desastres (UNISDR) de las Naciones Unidas y la
Oficina de los Estados Unidos de Asistencia ante Desastres en el Extranjero (OFDA-USAID)
estn trabajando en iniciativas que buscan promover la participacin del sector privado
en la respuesta liderada por el sector pblico; pero tambin, las propias organizaciones
de ambos sectores pueden verse afectadas producto del desastre, con lo cual no
podrn continuar brindado los servicios claves que son la razn de ser de dichas
organizaciones pblicas y privadas. Los sistemas de servicios de energa, agua, telefona,
gas, el sector financiero, las empresas de consumo masivo, entre otros, deben continuar
operando para que tambin la sociedad contine su vida normal, a pesar del desastre
ocurrido.
La continuidad del negocio y de las operaciones tiene como objetivo la sobrevivencia
de las organizaciones durante el desastre. Sobrevivir significa que las organizaciones
debern haber priorizado de ante mano cules actividades de las que realiza
diariamente deben recuperarse o continuar operando.
Al igual que para la
sobrevivencia de una persona estn ya definidos los rganos vitales; lo mismo debe
ocurrir para las organizaciones, y debern estar definidas las actividades vitales.
Por ser actividades vitales, adems de las medidas de seguridad ya existentes en la
organizacin, deber brindrseles medidas adicionales de proteccin para minimizar el
riesgo de que el desastre las interrumpa. Pero como no hay garanta de que las medidas
preventivas sean suficientes, porque el evento impensado podr pasar, entonces las
actividades vitales debern tener ya definidas estrategias alternas de operacin que
debern estar ubicadas a distancias prudentes del sitio afectado, para que pueda la
organizacin seguir operando las actividades vitales cuanto antes.
Los incidentes severos no necesariamente avisan; por ello, la organizacin deber tener
sus protocolos o planes de continuidad debidamente documentados y actualizados
para que el personal conozca cmo actuar y utilizar las estrategias alternas durante el
incidente. Dichos protocolos sern letra muerta si no se ejercitan y practican. Los
ejercicios sern los que aseguren una respuesta y eficiente rpida de la organizacin
ante el desastre.
Sin embargo, a una misma organizacin no le pasan frecuentemente eventos tan
grandes que afecten sus operaciones; por lo cual, es necesario recordar permanente, a
sus autoridades y a todo el personal en general, la importancia de estar preparados y
que estos eventos pueden pasar.
La preparacin constante implica la definicin y el cumplimiento de unos roles que sern
asignados a las autoridades, al coordinador de la continuidad, a las jefaturas, a los
equipos de recuperacin de las actividades vitales y a todo el personal en s. Las
autoridades de la organizacin debern exigir y supervisar a travs del coordinador de
continuidad que los roles se estn cumpliendo y mejorando ao a ao.
Secretara Permanente
INTRODUCCION
SP/II-SR-ASPPGRD/DT N 2-13
DEFINICIONES PRELIMINARES
La continuidad del negocio y de las operaciones es una disciplina algo reciente por
lo que an su terminologa no est del todo uniformizada y se hace necesario recurrir a
estndares internacionales que permitan crear un lenguaje comn1.
Continuidad del negocio y de las operaciones. Es la capacidad de la organizacin para
continuar brindando sus servicios y realizando sus actividades a niveles aceptables
despus de una interrupcin.
Plan de continuidad. Son los procedimientos documentados que guan a una
organizacin durante y despus de la interrupcin en las fases de respuesta,
recuperacin, continuacin y restauracin. Pueden ser uno o varios documentos y
pueden recibir diferentes nombres (entre ellos Plan de contingencia) segn el tamao,
sector o tipo de organizacin.
Programa de continuidad. Es un proceso permanente en la organizacin soportado y
gobernado por la Alta Direccin y que cuenta con los adecuados recursos para
implementar y mantener la continuidad del negocio y de las operaciones.
Sistema de gestin de continuidad.- Es parte del sistema completo de sistemas de gestin
de una organizacin que se encarga de establecer, implementar, operar, monitorear,
mantener y mejorar la continuidad del negocio y de las operaciones.
Incidente (de continuidad). Situacin que podra ser o podra
interrupcin, prdida, emergencia o crisis. Es importante precisar que
incidente debe ser entendida desde la perspectiva de continuidad
operaciones, y podra ser diferente a los incidentes bajo el contexto
informacin, riesgo o seguridad.
conducir a una
esta definicin de
del negocio y de
de tecnologa de
Crisis. Situacin de un alto nivel de incertidumbre que interrumpe actividades clave del
negocio y/o la credibilidad de la organizacin, y que requiere de acciones inmediatas.
1
Todas las definiciones toman como base el estndar internacional ISO 22301-2012
Secretara Permanente
III.
Los estudios realizados por diferentes organizaciones sobre los Riesgos de Desastre
para Amrica Latina y el Caribe, muestran que nuestra regin es vulnerable a diferentes
amenazas.
Tal como se menciona en el Documento Tcnico elaborado el ao 2012 por el Programa
de las Naciones para el Desarrollo (PNUD) luego de la VI Cumbre de la Amricas2, "Un
total de 98 desastres mayores, climticos y geofsicos han ocurrido en Amrica Latina y el
Caribe en el ao 2010 con daos superiores a los USD 49,188 millones de dlares. Este
registro hace parte de una tendencia regional y global que refleja el incremento
preocupante de eventos desastrosos que ha hecho que el nmero de los desastres se
haya multiplicado por cinco entre los aos 1975 y 2005".
Aunque los estudios sobre Reduccin de Riesgos de Desastres estn focalizados en
evidenciar vulnerabilidades de las poblaciones, las amenazas identificadas y estudiadas
se pueden tomar como referentes para aplicarlas a las organizaciones privadas o
pblicas.
Una amenaza est definida como la causa potencial de un incidente no deseado y que
de ocurrir puede resultar en daos a las personas, a una organizacin o a un sistema3.
Una empresa u organizacin no puede tener control sobre la amenaza, sta existe por s
sola. Lo que s puede hacer la organizacin es establecer medidas de proteccin para
que en caso ocurrir la amenaza cause la mnima afectacin posible.
La continuidad del negocio y de las operaciones tiene como objetivo proteger las
actividades crticas o urgentes de recuperar, y aunque pudieran resultar interrumpidas
debido al incidente disruptivo, la organizacin ser capaz de continuar brindando
dichas actividades; de all la importancia de la continuidad.
1. Amenazas naturales
Podemos entenderlas como aquellas que ocurren sin la intervencin del ser
humano y atribuible a un fenmeno fsico de origen natural. La National Fire Protection
Association (NFPA) lista estas posibles amenazas en su estndar 1600 del ao 2010 4 de la
siguiente manera:
a) Geolgicas: terremoto, sismo; tsunami; erupcin volcnica; deslizamiento de
tierras, avalanchas de lodo, hundimientos; glaciares y icebergs.
b) Meteorolgicas: inundacin, mareas altas; sequas, hambrunas; incendios;
nevadas, heladas, granizadas y avalanchas; huracanes, tormentas tropicales,
tornados, tormentas de arena; temperaturas extremas (calor o fro); rayos;
tormentas geomagnticas.
3
4
Documento Tcnico elaborado el ao 2012 por el Programa de las Naciones Unidad para el Desarrollo
(PNUD) luego de la VI CUMBRE DE LAS AMERICAS "Conectando las Amricas: Socios para la Prosperidad Reduciendo los Riesgos y Atendiendo los Desastres
Definicin tomada del ISO22300:2012
NFPA 1600 - Estndar en Gestin de Desastres / Emergencias y Programas de Continuidad del Negocio.
Edicin 2010.
SP/II-SR-ASPPGRD/DT N 2-13
Secretara Permanente
Anuario Estadstico de Amrica Latina y el Caribe 2012 producido por la Comisin Econmica para Amrica
Latina y el Caribe (CEPAL) de las Naciones Unidas
Informe sobre Seguridad Ciudadana en las Amricas 2012 - elaborado por Alertamerica.org, El Observatorio
Hemisfrico de Seguridad de la OEA.
SP/II-SR-ASPPGRD/DT N 2-13
del internet en los pases de la regin para darnos cuenta de cules son los pases con
mayor uso de la tecnologa. De acuerdo con las estadsticas de la UIT8, el acceso de
internet en los hogares para Latinoamrica y el Caribe muestra a Brasil en primer orden,
seguido por Chile, Argentina, Costa Rica, Uruguay, Colombia, Mxico, y Panam por
encima del promedio de la regin.
IV.
Secretara Permanente
10
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
10
11
http://www.thebci.org/
American Society for Industrial Security - Organisational Resilience: Security, Preparedness and Continuity
Management Systems - https://www.asisonline.org
SP/II-SR-ASPPGRD/DT N 2-13
11
Documentacin y control
Ejercicios y pruebas
Control de registros
Auditoras Internas
Revisin de la gerencia
Mantenimiento
Mejora continua
4. NFPA 1600
NFPA 12 fue fundado en 1896 y tiene como principal objetivo la prevencin de
incendios y otros riesgos que afecten la seguridad y calidad de vida. Ha desarrollado,
publicado y distribuido ms de 300 cdigos consensuados y estndares. Desde el ao
1995 se han publicado 6 ediciones de su estndar 1600 siendo la ltima la revisin del
ao 2013. El nombre del estndar es: Estndar en Gestin de Desastres / Emergencias y
Programas de Continuidad del Negocio.
Un resumen de las secciones y partes ms importantes del estndar es:
Captulo 1:
Captulo 2:
Captulo 3:
Captulo 4:
Captulo 5:
Captulo 6:
Captulo 7:
Captulo 8:
12
Secretara Permanente
12
Introduccin
Alcance
Referencia a Normativas
Trminos y Definiciones
Contexto de la Organizacin
Partes interesadas
Alcance de la continuidad del negocio
5. Liderazgo
Compromiso de la Alta Gerencia
Poltica de Continuidad del Negocio
Roles y responsabilidades en la Continuidad del Negocio
6. Planeamiento
Objetivos de la continuidad del negocio y planes para alcanzarlos
7. Soporte
Recursos
Competencias
Creacin de conciencia
Comunicacin
Documentacin
8. Operacin
Planeamiento y control operacional
Anlisis de Impacto al Negocio (BIA) y Evaluacin de Riesgos
Estrategia de Continuidad del Negocio
Establecer e Implementar Procedimientos en Continuidad del Negocio
Ejercicios y pruebas
9. Evaluacin de Desempeo
Monitoreo, medicin, anlisis y evaluacin
Auditora Interna
Revisin de la Gerencia
10. Mejora continua
No conformidades y acciones correctivas
Mejora continua
V.
SP/II-SR-ASPPGRD/DT N 2-13
13
La palabra Autoridad debe ser entendida tanto para el sector pblico como para el sector privado, donde
tambin puede denominarse Alta Direccin o Alta Gerencia.
Secretara Permanente
14
tambin la Junta Directiva quien debe evidenciar que la continuidad del negocio y de
las operaciones soporte la continuidad y sobrevivencia de los objetivos estratgicos de la
organizacin aprobando el alcance de su aplicacin dentro de la organizacin.
Gerencia General (o autoridad equivalente). Responsable de implementar la
continuidad del negocio y de las operaciones en la organizacin. Para ello, debe
implementar y revisar de manera constante el proceso de gestin de continuidad del
negocio y de las operaciones asignndoselo a un nico responsable con la jerarqua
poltica adecuada y las competencias necesarias para llevar a cabo su labor. La
Gerencia General tambin es responsable de aprobar, segn le corresponda, las
inversiones en recursos necesarios para lograr implementar la continuidad del negocio y
de las operaciones.
Las autoridades de la organizacin, bajo el liderazgo de la gerencia general, deben
establecer, mantener y practicar un esquema de respuesta a los incidentes y crisis que
puedan presentarse tanto a nivel operativo, de emergencias o de afectacin de la
reputacin; para ello debern definir un equipo de respuesta y asignar roles de gobierno
del incidente y de la crisis y brindarle lo necesario para crear las competencias
necesarias.
Coordinador general de la continuidad de las operaciones. Responsable de implementar
y mantener el programa de continuidad del negocio y de las operaciones y reportar los
avances a la Gerencia General (o autoridad equivalente). De acuerdo con el tamao
de la organizacin, esta funcin podra ser compartida (para organizaciones medianas o
pequeas) o exclusiva (para organizaciones grandes). La implementacin del programa
de continuidad debe seguir un orden metodolgico de acuerdo con uno o un conjunto
de los estndares internacionales antes mencionados y deber involucrar a las jefaturas
de las reas o lderes de procesos.
El coordinador general de la continuidad de las operaciones deber tener las
competencias necesarias, credenciales de formacin especializada y tendr que
participar de los foros y conferencias de continuidad del negocio a nivel local, regional e
internacional.
Jefaturas de reas o Lderes de procesos. Responsables de implementar y mantener la
continuidad del negocio y de las operaciones en su mbito y responsabilidad de
operaciones. Para ello debern designar un responsable de la continuidad operativa de
su rea o proceso con la autoridad necesaria para articular los esfuerzos internos, en
coordinacin y bajo el liderazgo del coordinador general de la continuidad del negocio
y de las operaciones de la organizacin.
En el caso de las Jefaturas de apoyo o soporte a las operaciones, como Seguridad,
Recursos Humanos, Servicios Generales, Tecnologa de Informacin, u otras, debern
participar liderando la respuesta al incidente de los eventos ms comunes dentro de su
mbito (pandemia, incendio, sismo o terremoto, cada del centro de cmputo, etc.) as
como apoyo a la respuesta a incidentes que interrumpen las operaciones de las
actividades ms crticas de la organizacin.
Las jefaturas y lderes de procesos debern tener las competencias necesarias,
credenciales de formacin especializada en temas de liderazgo, continuidad del
negocio y de las operaciones.
Miembros de los equipos de planificacin y/o respuesta. Usualmente conformado por
personal operativo debajo de las jefaturas, que durante el proceso de implementacin y
SP/II-SR-ASPPGRD/DT N 2-13
15
Secretara Permanente
16
15
SP/II-SR-ASPPGRD/DT N 2-13
17
actividad (puede ser cualquiera de ellos, segn el tipo de priorizacin que se est
realizando) en cunto tiempo se alcanzan los umbrales no tolerables?. Las posibles
respuestas pueden ser muy variadas: no aplica, minutos, horas, das, semanas, o meses.
Para responder a la pregunta tambin es necesario tomar el supuesto de qu escenario
estresa ms al elemento analizado, y en qu momento se estresa ms. Esto busca
identificar si la respuesta ms apremiante es cuando el incidente disruptivo afect
nicamente a la organizacin o afect masivamente a otras organizaciones; y tambin
si la mayor afectacin ocurre en alguna fecha especfica de la semana, mes o ao.
El MTPD ser definido por el tiempo ms pequeo de todas las respuestas dadas para los
diferentes tipos de impacto de los umbrales no tolerables y siempre ser estimado
considerando el "peor escenario" que en realidad es el ms estresante para lo
organizacin y no necesariamente el de mayor dao a la comunidad. Lo que busca la
continuidad es proteger a la organizacin ante el peor escenario, no contra el ms
probable.
GRFICO 2
Matriz de estimacin de MTPDs
Servicio o Actividad
Descripcin
Estacionalidad
crtica
Escenario ms
estresante
Clientes
o
usuarios
Legal o
regulatorio
Ambiental
Seguridad de
personas
Servicio 1
...
Actividad 1
...
Secretara Permanente
18
Los recursos del tipo Personal se identifican tomando en cuenta los perfiles
mnimos necesarios para continuar operando los servicios / actividades para
cada una de las ventanas de recuperacin, e inclusive si el personal que tiene la
organizacin cumple con los perfiles de manera adecuada.
Los recursos del tipo Servicios Pblicos se identifican considerando las alternativas
de la provisin de energa elctrica, agua y desage, gas y telefona que puedan
utilizarse durante el incidente disruptivo.
16
SP/II-SR-ASPPGRD/DT N 2-13
19
Secretara Permanente
20
GRFICO 3
Matriz de riesgos ejemplo de cinco por cinco
Impacto
Probabilidad
Muy
bajo
Bajo
Medio
Alto
Muy alta
Extremo
Alta
Alto
Media
Baja
Muy baja
Muy
alto
Medio
Bajo
SP/II-SR-ASPPGRD/DT N 2-13
21
Las escalas de la matriz de riesgos podrn ser tres por tres, o cuatro por cuatro, o
cinco por cinco, o una combinacin diferente dependiendo de la mejor forma que
la organizacin entienda puede valorar los riesgos.
La escala de impacto est definida en base al nivel de dao que podra causar en la
organizacin. En continuidad se entiende el dao como el tiempo de indisponibilidad
o interrupcin del incidente. Donde se realizan actividades ms urgentes el impacto
ms alto ser en cuestin de horas; donde se realizan actividades menos urgentes el
impacto ms alto ser en cuestin de das o semanas segn corresponda.
Habiendo definido el evento de riesgo, la matriz de riesgo con sus respectivas escalas de
probabilidad, impacto y riesgo, y tambin los controles existentes, se procede a estimar
la probabilidad de ocurrencia del evento de riesgo y su impacto, convocando a los
expertos en la organizacin que conocen sobre las amenazas y la efectividad de los
controles implementados, los cuales considerando su juicio experto, determinan el nivel
de riesgo resultante.
Donde resulten riesgos extremos, altos o medios, se hace necesario implementar nuevas
medidas preventivas o controles, o en todo caso mejorarlos, para ayudar a reducir el
nivel de riesgo, todo a sugerencia de los expertos antes mencionados. La prioridad de
implementacin de las medidas nuevas o por mejorar se dar en funcin al nivel de
riesgo que buscan proteger, es decir en primer orden no deben permitirse riesgos
extremos, resueltos stos no debern permitirse riesgos altos, y as tambin luego con los
riesgos medios.
4. Establecer estrategias de continuidad y recuperacin de las actividades
Las opciones de estrategias pueden ser preventivas o reactivas. Las opciones
preventivas se identificaron utilizando el anlisis de riesgos realizado a los eventos de
riesgo que la organizacin ha evaluado y tienen como principal objetivo mitigar o
reducir la vulnerabilidad de los servicios y/o actividades ms urgentes de la organizacin.
Las opciones reactivas se identificarn a partir de los resultados de las priorizaciones de
los servicios y/o actividades de acuerdo con los MTPDs y RTOs y sobre todo, tomando en
cuenta los recursos mnimos necesarios identificados.
Secretara Permanente
22
SP/II-SR-ASPPGRD/DT N 2-13
23
GRFICO 4
Costo - beneficio de opciones de estrategias de continuidad
(Min)
Max)
(Max)
Secretara Permanente
24
17
El BCMM (Modelo de Madurez en Continuidad del Negocio por sus siglas en ingls) es un modelo
desarrollado por la compaa Virtual Corporation para calificar la madurez del programa de continuidad
de una organizacin y tambin puede ser utilizado para evaluar la madurez de un corporativo y sus
respectivas filiales como tambin de un proveedor. Puede ser utilizado como evaluacin o tambin como
lineamientos de auditora de cumplimiento.
SP/II-SR-ASPPGRD/DT N 2-13
25
Secretara Permanente
26
GRFICO 5
Tipos de planes segn su tipo de objetivo
SP/II-SR-ASPPGRD/DT N 2-13
27
Secretara Permanente
28
Un ejemplo de la vida real que ayuda a entender lo antes mencionado es "salir a correr";
puedo tomar el escenario objetivo "salir a correr en una semana una vuelta a la
manzana" como tambin "salir a correr en una semana un maratn de cuarenta y dos
kilmetros esperando lograr un tiempo clasificatorio para las prximas olimpiadas"; de
qu depende escoger un escenario de menos estrs u otro escenario de total estrs?
depende del nivel de preparacin de la persona.
Sera imprudente obligar a una persona aficionada, que nunca se ha preparado para
correr profesionalmente. A que participe en la maratn y clasifique para las olimpiadas
porque probablemente podra hasta causarle un dao mayor en su salud; de otro lado,
tampoco es razonable a una persona que diariamente sale a correr cuatro kilmetros,
pedirle que se ejercite corriendo una vuelta a la manzana, ya que no estoy forzando a
que aparezcan oportunidades de mejora en la tcnica de correr de la persona o en los
implementos que utiliza. Lo ideal ser identificar qu preparacin tiene la persona y
segn eso se pondr el escenario objetivo, si nunca ha salido a correr, claramente el
pedirle que corra una vuelta a la manzana ser un objetivo adecuado; pero una vez
domine ese objetivo, habr que incrementar el objetivo, quizs ahora es pedirle que sea
un kilmetro, y as sucesivamente. Pero para no ser juez y parte en la preparacin de la
persona, sta deber proponerse en el tiempo, por ejemplo tres meses, qu espera
lograr, siendo el primer mes correr la vuelta a la manzana, el segundo mes correr un
kilmetro y el tercer mes cuatro kilmetros.
Ejemplificando lo anterior, una organizacin que recin est iniciando su programa de
continuidad del negocio no puede tener la prueba sper compleja que implique apagar
sus operaciones y operar con las opciones alternativas que las estrategias definieron y en
menor tiempo que los RTOs exigidos. Posiblemente inicie slo con un escenario general
de incendio con ejercicios de escritorio y validando el funcionamiento de cierto
equipamiento crtico y haciendo nfasis en la evacuacin del personal. Posteriormente
podr ser el mismo escenario de incendio con heridos, con lo cual despus de la
evacuacin parte del personal est indispuesto, por lo que en los ejercicios de escritorio
participarn los alternos; as progresivamente ser ir creando complejidad del ejercicio.
Claro est que tampoco hay que esperar diez aos para que por ejemplo la
infraestructura alterna de tecnologa de informacin funcione adecuadamente; es muy
probable que los primeros escenarios buscarn el objetivo de asegurar que la tecnologa
de informacin alterna este lista y operando en dos o tres aos.
Tambin la organizacin debe planificar sus objetivos de prueba en el tiempo, es decir
qu espera lograr en un ao, en dos, en tres, quizs hasta en cinco aos, y as entonces
la propia organizacin se pone sus propios objetivos los cuales ir validando ao a ao.
Es bueno tener presente que a diferencia del ejemplo del corredor donde seguramente
ste sale a practicar diariamente, en continuidad la organizacin no realizar ejercicios
diariamente; la frecuencia de los ejercicios deber ser prudente para dar espacio a la
organizacin en cumplir sus objetivos de operacin; con lo cual los niveles de
complejidad en continuidad del negocio sern progresivos al propio ritmo que la
organizacin establezca, claro est sin dejar pasar mucho tiempo para que el personal
olvide o ante los cambios de la organizacin los planes ya no sirvan.
SP/II-SR-ASPPGRD/DT N 2-13
29
GRFICO 6
Ejercicios segn su complejidad
No avisado
Escala completa
(Min)
Simulaciones complejas
Ejercicios de desplazamiento
Pruebas de funcionamiento
Ejercicios de repaso, escritorio y juegos
Complejidad acumulativa
Avisado
(Max)
(Max)
Los tipos de ejercicios van de los menos complejos y a su vez menos costosos a los ms
complejos y costosos. Los menos complejos son los ejercicios de repaso, escritorio y
juegos, cuyo objetivo es principalmente difundir y crear conocimiento en el uso del plan
y de las opciones de estrategias que se encuentran disponibles en la organizacin; luego
estn las pruebas de funcionamiento de la infraestructura y del equipamiento para
asegurar que se encuentren operativas y funcionando y que el personal que opera
dicho equipamiento conoce su operacin y lo hace rpidamente dentro los objetivos de
tiempo establecidos. Luego estn los ejercicios de desplazamiento que buscan brindar
conocimiento de los lugares a dnde desplazarse, cmo o con qu medios desplazarse
y se logran desplazar dentro de los objetivos de tiempo establecidos. Despues estn los
ejercicios de coordinacin, comando e integracin donde ms de un equipo de
respuesta o continuidad o recuperacin participan integrados bajo la coordinacin del
comit de manejo de incidentes o crisis; luego se encuentran las simulaciones ms
complejas, que pueden ser una combinacin de los anteriores y por lo general es el
ejercicio objetivo del ao, para el cual, la organizacin se ha venido preparando con
ejercicios previos pero siempre sin afectar o paralizar algn servicio crtico y finalmente
est el ejercicio de escala completa donde adicionalmente a lo que se simula se busca
paralizar algn servicio crtico y recuperarlo dentro de los tiempos esperados con los
riesgos que ello representa y en la medida de lo posible en entornos controlados.
El hecho de realizar un ejercicio no avisado no busca "ver si el plan funciona", si no se
avisa es porque se busca crear en el personal las competencias de manejo de estrs y
niveles de alerta adecuados para un evento disruptivo; aunque no se avise a los
participantes, siempre se deber participar a la autoridad correspondiente para que
pueda prever cualquier riesgo de indisponibilidad del servicio. Los ejercicios no avisados
pueden ser en cualquiera de los tipos de ejercicios, por ejemplo podra no avisarse del
ejercicio de escritorio y con ello evaluar el nivel de compromiso e importancia de la
gente respecto a la continuidad del negocio y las operaciones.
Secretara Permanente
30
SP/II-SR-ASPPGRD/DT N 2-13
31
formato de altas, bajas y modificaciones del personal enviado por correo; otro ejemplo
es para los cambios a nivel de los sistemas informticos, la fuente es el departamento de
TI y especficamente el comit de cambios de TI y la frecuencia a consultares es una vez
al mes participando de las reuniones a invitacin de dicho comit.
Como la organizacin tienen muchos cambios, en verdad interesarn aquellos que
impacten directamente a la continuidad y son: cambios en servicios; procesos o
actividades; personas, transporte y comunicaciones; infraestructura fsica, servicios
pblicos y ambientes de trabajo; equipamiento, materiales e insumos; servicios de
tecnologa de informacin; proveedores; viabilidad financiera; entre otros.
Una vez identificado un cambio de inters para la continuidad del negocio, deber
registrarse en una bitcora de eventos de cambio y analizar el impacto en la
desactualizacin del programa de continuidad del negocio y de las operaciones; si el
impacto es bajo o moderado, podr esperarse al ciclo de actualizacin del siguiente
ao; si el impacto es alto o muy alto, deber modificarse el plan de trabajo operativo del
ao en curso (de continuidad) y contemplar la actualizacin de los componentes de la
continuidad que sean necesarios.
Una vez realizado el cambio en uno o ms documentos del programa de continuidad,
deber llevarse un registro de qu cambi, quin cambi y quin aprob lo cambiado y
cul es la nueva versin del documento modificado. En caso el documento (por
ejemplo un plan) necesite volverse a distribuir, ser necesario solicitar las versiones viejas
del documento y almacenarlas o destruirlas y entregar las nuevas versiones; inclusive
haciendo firmar la recepcin de las nuevas copias.
El documento del plan es un documento controlado. El contenido es responsabilidad
del dueo del departamento o proceso del plan y el coordinador de continuidad es
responsable del acceso al documento y de distribuirlo nicamente a los que el plan
necesite ser entregado.
9. Indicador de madurez y planeamiento estratgico en continuidad del negocio y
de las operaciones
Una organizacin sin indicadores que midan su progreso o sin un plan estratgico
no tendr cmo medir si est progresando. Lo mismo ocurre con el programa de
continuidad del negocio y de las operaciones; si no se mide su maduracin y no se
plantean objetivos estratgicos en el tiempo no podr mostrar a las autoridades si est
mejorando o no. Una continuidad del negocio y de las operaciones exitosa no slo se
mide por los planes de continuidad generados, sino tambin por otros factores que
debern darse para decir que el programa de continuidad del negocio y de las
operaciones est bien enrumbado.
El Modelo BCMM (Modelo de Madurez en Continuidad del Negocio por sus siglas en
ingls) es el ms antiguo y difundido en el medio y permite comparar que tan maduro
est el programa de continuidad del negocio y de las operaciones en la organizacin.
Establece ocho competencias que la organizacin debe lograr: (1) liderazgo por parte
de las autoridades; (2) conciencia e inters del personal en general; (3) estructura, roles y
responsabilidades; (4) interiorizacin e integracin con las partes internas y externas; (5)
medicin de indicadores ms finos de continuidad; (6) contar con recursos competentes
y efectuar inversiones acorde con los escenarios deseados a ser protegidos; (7)
aseguramiento de la cadena de suministro y del manejo de las expectativas de terceros;
y (8) orden metodolgico acorde con mejores prcticas.
Secretara Permanente
32
GRFICO 7
Variables estratgicas de la continuidad segn el BCMM
Liderazgo
Contenido
Externos
Conciencia
1 2
Recursos
6 Estructura
Integracin
Mtricas
El BCMM evala cada competencia corporativa en una escala de seis niveles, el nivel
uno, el ms bajo, donde no se realizan esfuerzos de la continuidad; el nivel dos, donde al
menos un departamento funcional est realizando algn esfuerzo a iniciativa propia; el
nivel tres, donde varios departamentos funcionales tratan de coordinar esfuerzos a travs
de alguna comisin de trabajo; el nivel cuatro, donde la organizacin est aplicando
una mejor prctica y una funcin de continuidad del negocio y de las operaciones ha
sido establecida; el nivel cinco donde la organizacin ha pasado de la teora a la
prctica en la aplicacin de las mejores prcticas y est implementando un programa
de continuidad de la organizacin en toda la organizacin (dentro del alcance de la
continuidad) aunque no con todo xito en algunos departamentos; y el nivel seis donde
la organizacin lleva una prctica regular y constante de excelencia y todos los
departamentos funcionales dentro del alcance de la continuidad estn altamente
comprometidos, existen las opciones de estrategias y ponen en prctica sus planes con
frecuencia.
Si el resultado de la evaluacin de madurez califica entre uno y dos, entonces el modelo
indica que la organizacin est en riesgo; si califica tres o cuatro, entonces el modelo
indica que la organizacin est siendo competente; si califica cinco o seis significa que
est logrando la excelencia.
Con base al resultado del modelo BCMM se pueden estimar objetivos progresivos en el
tiempo, por ejemplo: el primer ao alcanzar el nivel tres; el segundo ao mantener el
nivel; el tercer ao alcanzar el nivel tres. Otro ejemplo podra ser: el primer ao alcanzar
el nivel cuatro en las competencias de liderazgo y conciencia y en el resto al menos el
nivel tres para los departamentos con RTO menor a cuatro horas; el segundo ao
alcanzar el nivel cuatro en todas las competencias para los departamentos con RTO
SP/II-SR-ASPPGRD/DT N 2-13
33
cero, y para los departamentos de RTO veinticuatro alcanzar el nivel tres en las
competencias de liderazgo y conciencia.
As como los ejemplos anteriores podran plantearse objetivos a tres, cuatro o cinco aos
y anualmente revisar su cumplimiento y su comparacin con respecto al ao anterior; si
no se logran habr que reevaluar cada cierto tiempo los objetivos estratgicos de la
continuidad para ir sincerndolos conforme la organizacin madura.
VI.
CASOS EXITOSOS
Son muchas las organizaciones tanto privadas como pblicas que estn realizando
esfuerzos de continuidad del negocio y de sus operaciones. La fuente de informacin
presentada a continuacin son casos hechos pblicos a travs de las conferencias y
eventos organizados por la revista especializada en continuidad del negocio y
recuperacin ante desastres DRJ en Espaol. 18
1. Aplicacin de las prcticas profesionales para la continuidad del negocio y
operaciones
Los tipos de organizaciones en Latinoamrica y el Caribe que estn aplicando
buenas prcticas de continuidad del negocio son: las empresas reguladas,
principalmente banca y, aunque en menor grado, el sector asegurador; luego estn las
empresas con gran impacto ambiental como petroleras y mineras; luego estn las
empresas de servicios pblicos como son telecomunicaciones, electricidad y gas,
tambin estn las empresas que son grandes corporativos tanto en consumo masivo
como manufactura; y finalmente los grandes proveedores de servicios tecnolgicos o de
servicios tercerizados que por exigencia de sus clientes estn implementando estas
buenas prcticas.
18
Secretara Permanente
34
As como estos ejemplos hay otros especficos al resto de sectores; sin embargo, las
mismas empresas de un sector no tienen porqu necesariamente tener las mismas
prioridades de recuperacin.
Banco Supervielle es uno de los bancos lderes de Argentina y ya tienen algunos aos
con su programa de continuidad, como la gran mayora de organizaciones inici con un
alcance de tecnologa de informacin, tambin llamado DRP (Plan de Recuperacin
ante Desastres, por sus siglas en ingls), para luego incorporarle aspectos de continuidad
operativa, y a la fecha ya establecer un proceso permanente de gestin de la
continuidad del negocio y de sus operaciones. En el gobierno de la continuidad est
liderado por el propio gerente general y administrado por la gestin de riesgos;
implementaron campaas multimedia de sensibilizacin y creacin de conciencia. Es
muy interesante la colaboracin estrecha entre el departamento de tecnologa de
informacin y el de gestin de riesgos para sustentar y lograr la aceptacin de un
presupuesto para optimizar la infraestructura tecnolgica del banco no slo por
aspectos tcnicos propios del rea de sistemas, sino tambin por aspectos de riesgos de
interrupcin.
Grupo Bancolombia, es una de las organizaciones lderes en el sector financiero con
presencia en Colombia y en Centroamrica con ms de ocho millones de clientes. Su
programa de continuidad del negocio est fundamentado en estrategias concebidas e
implementadas en cuatro frentes: Personas, infraestructura, procesos y tecnologa. El
proceso de continuidad est liderado por una Gerencia Estratgica de Continuidad del
Negocio, la que coordina con Gestin Humana, Tecnologa de Informacin,
Administracin y Servicios para Clientes para mantener el programa.
Banco de Costa Rica, tiene 250 oficinas en todo el pas y es parte del Conglomerado
Financiero BCR que est compuesto por el banco, un puesto de bolsa, una sociedad
administradora de fondos de inversin, una operadora de pensiones y un corredor de
seguros. El banco tiene un programa de continuidad del negocio donde participa la
Junta Directiva y el Gerente General. Existe una Oficina de Continuidad de Negocio
responsable de liderar un Sistema de Gestin de Continuidad del Negocio que integra
los esfuerzo de operaciones, sistemas y riesgos del banco.
Banco Popular Dominicano, es uno de los bancos ms grandes de Repblica
Dominicana fundado en el ao 1963 y actualmente con 1.16 millones de clientes, posee
reconocimientos nacionales e internacionales de prestigiosas instituciones calificadoras.
El Banco tiene un programa de continuidad que, como la mayora de las organizaciones,
empez con un alcance principalmente focalizado en la tecnologa de informacin o
DRP, y a la fecha considera a todos los procesos del banco que en el anlisis de impacto
se han considera como crticos.
SP/II-SR-ASPPGRD/DT N 2-13
35
Secretara Permanente
36
prctica sus planes de continuidad del negocio debido a los incidentes disruptivos
presentados por la ola invernal que afect Colombia en los ltimos aos.
El Instituto Costarricense de Electricidad (ICE) es responsable de las telecomunicaciones y
de la energa elctrica en el pas.
A nivel de telecomunicaciones el ICE ha
implementado su programa de continuidad del negocio con nfasis en las redes e
infraestructura de telecomunicaciones del pas; ha priorizado los nodos urgentes de la
red; ha efectuado evaluaciones de riesgo en todos los nodos y estaciones crticas del
pas, ha diseado e implementado estrategias de recuperacin, ha documentado sus
planes de gestin de crisis y continuidad operativa y los ha probado progresivamente. Y
ha activado sus mecanismos de continuidad en incidentes ocurridos como son: el
terremoto en Costa Rica del ao 2012, un incendio en la estacin de El Limn (en la
costa atlntica del pas) el ao 2010, y ese mismo ao la ocurrencia de muchas
emergencia por la tormenta Thomas.
Grupo Nutresa es una de las organizaciones ms grandes de Latinoamrica en el rubro
de consumo masivo. Sus negocios consideran Galletas, Pastas, Chocolates, Helados,
Caf y Crnicos y tienen un alcance a nivel regional con plantas productivas en Estados
Unidos, Mxico, Costa Rica, Venezuela, Ecuador, Per, Colombia, Panam y Repblica
Dominicana. Nutresa tiene implementado su programa de continuidad del negocio
dentro del marco de la gestin integral del riesgo y tiene implementado planes de
gestin de riesgo y crisis; plan de respuestas a incidentes; plan de recuperacin de
desastres a nivel de sistemas de informacin, plan de emergencias, plan de sucesin,
plan de recuperacin de negocio y continuidad de operaciones, plan de soporte de
continuidad, plan de contingencia de TI y plan de coordinacin con las autoridades
pblicas.
Existen muchos otros ejemplos de empresas de Latinoamrica y El Caribe que estn
aplicando mejores prcticas de continuidad del negocio en otros sectores como es el
caso de Ecopetrol de Colombia, Minera Xstrata de Chile, Explosivos SA en Per, Grupo
ISA de Colombia y con presencia en otros pases de la regin, entre otras organizaciones.
2. Integracin entre el sector pblico y privado
La integracin entre el sector pblico y privado se da en nuestra regin de dos
formas: la primera es a travs del voluntariado del sector privado que colabora con el
sector pblico para responder a eventos catastrficos de gran magnitud geogrfica; y la
segunda es la colaboracin integral, casi regulada u obligada, entre la autoridad, el
regulador y las empresas del sector con la finalidad de continuar con el sistema que
proveen y por lo general son para los servicios pblicos como telecomunicaciones,
electricidad y bancario.
DHL con sede en Panam es un ejemplo de integracin del primer tipo. DHL a nivel
mundial ha establecido el Equipo de Ayuda en Desastres Naturales - DRT por sus siglas en
ingls, que brinda apoyo logstico sin costo para el pas donde ocurre el desastre natural,
pero en cooperacin con las Naciones Unidas y/o con acuerdos Gubernamentales
firmados con las organizaciones del rea.
DHL tiene una alianza estratgica con Naciones Unidas para la Coordinacin de Asuntos
Humanitarios (UN OCHA) desde 2005 y tiene acuerdos firmados con los gobiernos o
entidades del Estado en Panam, Guatemala, El Salvador, Honduras, Nicaragua, Costa
Rica, Per y Chile.
EL DRT para las Amricas tiene su sede en Panam y desde all coordina el
desplazamiento del personal para brindar el apoyo logstico en el lugar afectado;
SP/II-SR-ASPPGRD/DT N 2-13
37
CONCLUSIONES Y RECOMENDACIONES
Secretara Permanente
38
SP/II-SR-ASPPGRD/DT N 2-13
39
Una organizacin que recin empieza o quiere mejorar, puede consultar experiencias de
otras organizaciones que en nuestra regin ya estn aplicando estas buenas prcticas.
Una buena fuente de informacin es DRJ en Espaol, donde las empresas como Banco
Supervielle de Argentina, Grupo Bancolombia, Banco Popular Dominicano, Banco de
Costa Rica, Toyota Financial Services de Mxico, Pacfico Seguros de Per, Zurich a nivel
regional, SINCOFI de Chile, Telefnica Movistar de Colombia, El Instituto Costarricense de
Electricidad (ICE), Nutresa de Colombia, entre otras, han compartido su experiencia de
implementacin de su programa de continuidad del negocio y de las operaciones.
La integracin de los sectores pblico y privado no slo se da a travs de la
colaboracin voluntaria del privado liderada por el pblico, sino tambin cuando un
sector industrial vital para la sociedad, la mayora de veces de participacin privada,
debe recuperarse bajo el liderazgo del sector pblico para continuar con la vida de la
sociedad. Los sectores que la sociedad demanda no deban paralizar y continuar son
servicio de energa elctrica, de telecomunicaciones, de gas, de agua y desage,
bancario y financiero, consumo masivo y productos de primera necesidad, asegurador,
principalmente.
Queda el reto entonces en las sociedades, gobiernos nacionales, regionales, locales e
instituciones regionales que trabajan para la respuesta ante desastres naturales, ampliar
sus esfuerzos para no slo focalizarse en la mejora de la proteccin y repuesta de la
poblacin y sus viviendas, claramente prioritario; sino tambin en otros aspectos
industriales y empresariales que la sociedad y la poblacin demanda para continuar con
su vida.
De otro lado, tambin es necesario hacer un llamado de atencin tanto a instituciones
pblicas y privadas que poco o nada han hecho para protegerse ante incidentes
disruptivos a pesar de contar con los medios econmicos para poder hacerlo; eso
demuestra la dejadez y poca diligencia de sus autoridades respecto a la viabilidad de
sus organizaciones.
Otra conclusin, ya final, es que este concepto de continuidad del negocio y de las
operaciones, tambin puede aplicarse a "continuidad de la sociedad" y tanto los
gobiernos centrales, regionales o locales pueden aplicar. Haciendo un paralelo, una
poblacin es una organizacin que tiene servicios o actividades clave o vitales que son
vivienda, servicios bsicos, salud, alimentacin, transporte, finanzas, entre otros, los cuales
debe recuperar y ante la ocurrencia de un incidente disruptivo, este municipio debe
tener ya implementadas opciones para continuar brindando vivienda alterna; con
servicios bsicos alternos, como plantas generadoras alternas, cisternas de agua potable
alternas; centros de acopio y distribucin de alimentos y preparacin de comidas
alternos; centros de salud temporales alternos; medios de trasporte temporal masivo
alternos; viabilidad financiera para la reconstruccin de lo afectado y para facilitar
disponibilidad de efectivo en la poblacin ms pobre; medios de comunicacin alternos
con la poblacin; entre otros aspectos que se podrn considerar.
Tambin entonces, extender una invitacin a las autoridades locales, regionales y
pblicas para aplicar estos conceptos en la implementacin de los planes de
contingencia o continuidad de sus poblaciones ms vulnerables en un primer momento
e incorporar progresivamente al resto de la poblacin.
SP/II-SR-ASPPGRD/DT N 2-13
41
BIBLIOGRAFA
International Organization for Standardization. ISO 22301: Seguridad de la Sociedad Sistemas de Gestin de la Continuidad del Negocio. Ginebra, Suiza, 2012.
(disponible en http://www.iso.org)
International Organization for Standardization. ISO 31000: Gestin de Riesgos. Ginebra,
Suiza, 2012. (disponible en http://www.iso.org)
The Business Continuity Institute. GBP 2013: Guas de Buenas Prcticas. Inglaterra, Londres,
2013. (disponible en http://www.thebci.org/)
ASIS International. ASIS SPC.1: Resiliencia Organizacional: Sistemas de Gestin de la
Seguridad, Preparacin y Continuidad. Estados Unidos de Amrica, 2009.
(disponible
en
http://www.ndsu.edu/fileadmin/emgt/ASIS_SPC.12009_Item_No._1842.pdf)
Disaster Recovery Institute International. Diez prcticas profesionales. Nueva York,
Estados Unidos de Amrica, 2013. (disponible en http://www.drii.org/)
Omar Daro Cardona, Juan Carlos Bertoni, Tony Gibbs, Michel Hermelin, Allan Lavell.
Ciencia para una vida mejor: entendimiento y gestin del riesgo asociado a las
amenazas naturales: un enfoque cientfico integral para Amrica Latina y el
Caribe: Desarrollando Programas Cientficos Regionales En reas Prioritarias Para
Amrica Latina Y el Caribe. Volumen 2. Ro de Janeiro y Ciudad de Mxico: ICSU LAC,
2010.
(disponible
en
http://www.icsu.org/icsu-latinamerica/publications/reports-and-reviews/natural-hazards/disasters_spanish.pdf)
Comisin Econmica para Amrica Latina y el Caribe (CEPAL) de las Naciones Unidas.
Anuario Estadstico de Amrica Latina y el Caribe 2012, Santiago de Chile, 2012.
(disponible en http://www.eclac.org/)
Alertamerica.org, El Observatorio Hemisfrico de Seguridad de la OEA. Informe sobre
Seguridad
Ciudadana
en
las
Amricas
2012,
(disponible
en
http://www.oas.org/dsp/espanol/cpo_observatorio.asp)
Unin Internacional de Telecomunicaciones. Estadsticas de la UIT respecto al uso de la
tecnologa de informacin a nivel mundial - "Core indicators on access to, and
use of, ICT by households and individuals, latest available data", (disponible en
http://www.itu.int)
Virtual Corporation. Modelo de Madurez en Continuidad del Negocio versin 2, 2012
(disponible en http://www.virtual-corp.net/)
DRJ en Espaol. Conferencia anual Punta Cana 2012, DRJ Day 2013 de Per, Colombia,
Chile, Mxico, Costa Rica y Repblica Dominicana (disponible en
http://www.drjenespanol.com/)