Sistema Gestin Continuidad del

Negocio
(ISO 22301)
Luis Gustavo Rojas, MBA, CPA, CISA
Agenda

Antecedentes
Situaciones que no se consideran
regularmente
Factores crticos de xito
Sistema de Gestin de la Continuidad del
Negocio (norma ISO 22301)
Conclusiones
Antecedentes
Antecedentes
El 81 por ciento de los directores cuyas
organizaciones activaron sus mecanismos de
continuidad de negocio en los ltimos 12 meses
dicen que fue efectivo en la reduccin de las
interrupciones. En resumen: la continuidad de
negocio funciona *
Plan de Contingencias (CP)
Plan de Continuidad del Negocio (BCP)
Gestin de la Continuidad del Negocio (BCM)
Sistema de Gestin Continuidad del Negocio (BCMS)
Antecedentes
C
o
b
e
r
t
u
r
a

1980 2013
Situaciones que no se consideran
generalmente
Escndalo europeo sobre carne de caballo reaparece en Francia,
Rumania reacciona
Pars, El escndalo europeo del fraude con carne de caballo salt el
domingo a Francia, donde platos preparados fueron retirados de la venta
en seis grandes cadenas de supermercados, mientras que en Rumania, los
profesionales responsabilizan al importador francs.


Cundo estamos
ante un evento o
situacin que puede
desencadenar en
una crisis?
Factores Crticos de xito
Apoyo de la Alta Direccin
La decisin de contar con un
Sistema de Gestin de
Continuidad del Negocio
(BCMS) debe nacer de la alta
administracin
Debe existir una cultura de
gobierno corporativo fuerte
Debe dotar de recursos e
invertir en capacitacin,
entrenamiento, pruebas, etc
Debe ser un participante
activo

Integracin de un Comit de Alto
Nivel
El Gerente debe integrar un equipo de trabajo o
comit de alto nivel para impulsar y evaluar el BCMS
Riesgo
Comercial
Finanzas
Tecnologa de Informacin
Operaciones
Recursos Humanos
Lograr el esfuerzo colectivo
No es un esfuerzo
solo de tecnologa de
informacin
No es un esfuerzo
solo del negocio
Definir una estrategia
Se debe utilizar una
estrategia de divide y
vencers
Quick wins
Definir un estndar o buena
prctica para seguir
Hacerse acompaar de
especialistas o entrenar
recursos humanos

ISO 22301 Seguridad Social- Sistema de
gestin de la Continuidad de Negocio
(BCMS Business continuity managment systems)
Sistema de Gestin para la
Continuidad del Negocio (BCMS)
Un BCMS hace nfasis en la importancia de:
Entender las
necesidades de
la organizacin y
los
requerimientos
de sus polticas y
objetivos
Implementar y
operacionalizar
controles y
medidas para
gestionar la
capacidad total
de la
organizacin
para manejar
incidentes
disruptivos.
Monitorear y
revisar el
desempeo y
efectividad del
BCMS
Medir el
mejoramiento
continuo del
sistema
Componentes Claves del BCMS
Poltica
Responsabilidades
definidas
Personas
Poltica
Planificacin
Implementacin y
Operacin
Evaluacin del
desempeo
Revisin de la Gestin
Mejoramiento
Administracin
de Procesos
Relacionados
con:
Que provea
evidencia
auditable
Documentacin
De continuidad del
negocio relevantes
para la organizacin
Otros procesos
de gestin
Modelo Plan-Do-Check-Act PDCA
Aplicado a los Procesos de BCMS
Establecer
(plan)
Implementar y
Operar
(Do)
Monitoreo y
revisin (check)
Mantener y
mejorar
(Act)

Partes
Interesadas













Requerimientos
para la
continuidad del
negocio

Partes
Interesadas













Administracin
de la
continuidad del
negocio
Mejoramiento continuo del sistema de gestin de la continuidad del
negocio
Modelo Plan-Do-Check-Act PDCA
Aplicado a los Procesos de BCMS
Establecer
(plan)
Implementar y
Operar
(Do)
Monitoreo y
revisin (check)
Mantener y
mejorar
(Act)

Partes
Interesadas













Requerimientos
para la
continuidad del
negocio

Partes
Interesadas













Administracin
de la
continuidad del
negocio
Mejoramiento continuo del sistema de gestin de la continuidad del
negocio
Establecer la poltica de continuidad del
negocio, objetivos, alcances, controles,
procesos y procedimientos relevantes para
mejorar la continuidad del negocio con el
fin de entregar resultados alineados con
las polticas y objetivos organizacionales
Modelo Plan-Do-Check-Act PDCA
Aplicado a los Procesos de BCMS
Establecer
(plan)
Implementar y
Operar
(Do)
Monitoreo y
revisin (check)
Mantener y
mejorar
(Act)

Partes
Interesadas













Requerimientos
para la
continuidad del
negocio

Partes
Interesadas













Administracin
de la
continuidad del
negocio
Mejoramiento continuo del sistema de gestin de la continuidad del
negocio
Implementar y operacionalizar la poltica
de continuidad del negocio, controles,
procesos y procedimientos
Modelo Plan-Do-Check-Act PDCA
Aplicado a los Procesos de BCMS
Establecer
(plan)
Implementar y
Operar
(Do)
Monitoreo y
revisin (check)
Mantener y
mejorar
(Act)

Partes
Interesadas













Requerimientos
para la
continuidad del
negocio

Partes
Interesadas













Administracin
de la
continuidad del
negocio
Mejoramiento continuo del sistema de gestin de la continuidad del
negocio
Monitorear y revisar el desempeo contra
la poltica de continuidad del negocio y los
objetivos, reportar los resultados de la
revisin de la gestin, y determinar y
autorizar acciones para remediar o mejorar
Modelo Plan-Do-Check-Act PDCA
Aplicado a los Procesos de BCMS
Establecer
(plan)
Implementar y
Operar
(Do)
Monitoreo y
revisin (check)
Mantener y
mejorar
(Act)

Partes
Interesadas













Requerimientos
para la
continuidad del
negocio

Partes
Interesadas













Administracin
de la
continuidad del
negocio
Mejoramiento continuo del sistema de gestin de la continuidad del
negocio
Mantener y mejorar el BCMS
Componentes de la
Norma ISO 22301
Alcance
Contexto de la
Organizacin
Liderazgo
Planificacin
Soporte
Operacin
Evaluacin de
desempeo
Mejoramiento
Conclusiones
Es necesario desarrollar la continuidad
Con una visin de proceso de gestin
Con un enfoque Plan- Do Check - Act
El Sistema de Gestin de la Continuidad del
Negocio
Parte de la priorizacin de actividades claves
Considera los riesgos de incidentes disruptivos
Para garantizar la suficiencia y eficiencia
Es necesario el ejercicio y las pruebas peridicas
Realizar revisiones de auditora y administrativas
Muchas Gracias
Luis Gustavo Rojas, CPA, CISA, MBA
lrojascr@outlook.com
lrojas@bancobcr.com

Entender la organizacin y su
contexto
La organizacin debe entender los
elementos internos y externos que le
son relevantes para sus propsitos y que
pueden afectar la habilidad de alcanzar
el resultado deseado de su BCMS
Entender la organizacin y su
contexto
La organizacin debe
identificar sus
actividades, funciones,
servicios, productos,
socios, cadena de
suministros, partes
interesadas y el
impacto potencial de
un incidente disruptivo
en ellas.
Entender la organizacin y su
contexto
El alineamiento entre la poltica de continuidad del
negocio y los objetivos estratgicos organizacionales
y otras polticas, incluyendo la Gestin de Riesgos
(apetito de riesgo).
Entender las necesidades y
expectativas de las partes interesadas
Al establecer un BCMS la organizacin debe entender
las partes interesadas y sus requerimientos y
expectativas, incluyendo requerimientos legales y
regulatorios

Determinar el alcance del BCMS


La organizacin
debe definir la
frontera y
aplicabilidad
del BCMS
(documentar)
Establecer las
partes de la
organizacin
que sern
incluidas
Establecer los
requerimientos
del BCMS
(visin, misin,
objetivos y
obligaciones)
Liderazgo
La alta administracin y las personas con roles
relevantes para la organizacin, deben demostrar
liderazgo con respecto al BCMS
Compromiso de la direccin
Asegurarse que las polticas y objetivos son establecidos.
Asegurar la integracin del BCMS con los procesos de negocio.
Asegurar que los recursos necesarios para el BCMS estn
disponibles.
Comunicar la importancia del BCMS
Asegurar que se logre el resultado esperado.
Nombrar las personas competentes para ser responsables de la
implementacin del BCMS y dotarlas de la autoridad apropiada
Compromiso de la direccin

Direccionar y dar soporte a las personas que contribuyen a la
efectividad del BCMS.
Promover la mejora continua
Definir los criterios de aceptacin del riesgo y los niveles
aceptables de riesgo
Participar activamente en los ejercicios y pruebas.
Asegurar que las auditorias internas del BCMS son realizadas
Conducir las revisiones administrativas del BCMS
Demostrando su compromiso con el mejoramiento continuo.
Poltica
Debe ser
apropiada
para los
propsitos
de la
organizacin
Proporcionar
un marco
para el
estableci-
miento de
objetivos de
continuidad
de negocio
Incluir el
compromiso
de satisfacer
los
requerimien-
tos
aplicables
Incluir el
compromiso
de la mejora
continua del
BCMS
Debe estar
documentada,
comunicada,
disponible y
se deben
definir los
tiempos para
su revisin.
Roles, responsabilidad y autoridad
Los roles relevantes
deben ser asignados y
comunicados a la
organizacin:
Asegurar que el sistema
cumple de conformidad
con los requerimientos
del estndar.
Reportar el desempeo
del BCMS a la alta
administracin.


Planificacin
Cuando se planifica, se deben considerar
los requerimientos y gestionar los riesgos
y oportunidades.
Considerar los eventos no deseados para
prevenirlos o reducirlos
Evaluar la efectividad de esos planes.
Establecer los objetivos de la continuidad
del negocio y comunicarlos a los niveles
apropiados de la organizacin.
Se deben establecer mtricas para medir
el alcance de los objetivos
Planificacin
Quin es responsable?
Qu se debe hacer?
Qu recursos sern
requeridos?
Cundo se debe
terminar?
Cmo sern evaluados
los resultados?


Soporte
La organizacin debe
determinar los recursos
necesarios para
establecer,
implementar, mantener
y mejorar
continuamente su
BCMS.


Competencia
Definir personas
competentes para
hacer el trabajo
Asegurar que tienen la
educacin apropiada,
entrenamiento y
experiencia.
Evaluar las
competencias
regularmente


Conciencia
Las personas que trabajan en el
BCMS deben ser consientes de:
La poltica
Su contribucin a la efectividad
del BCMS
Las implicaciones por las no
conformidades
Su rol durante los eventos
disruptivos
Comunicacin
Las organizacin debe determinar las necesidades
internas y externas de comunicacin.
Qu debe ser comunicado?
A quines se les debe comunicar?

Operacionalizar el BCMS
Actividades Soportan los Productos y Servicios
BIA
Anlisis de
Riesgos
Definicin de Estrategias
Estructura de Respuesta
a Incidentes
Procedimientos de
Continuidad
Alerta y
Comunicacin
Planes de
Continuidad
Recuperacin
Pruebas
E
v
a
l
u
a
c
i

n

d
e
l

D
e
s
e
m
p
e

o

A
u
d
i
t
o
r

a

I
n
t
e
r
n
a

R
e
v
i
s
i
o
n
e
s

A
d
m
i
n
i
s
t
r
a
t
i
v
a
s

Operacin
La organizacin
debe planificar,
implementar y
controlar el
proceso necesario
para alcanzar los
requerimientos
Anlisis de Impacto al Negocio BIA
Establecer el contexto de la evaluacin
Identificar actividades que soportan los productos y
servicios
Evaluar los impactos sobre el tiempo por no llevar a
cabo estas actividades
Definir los criterios
Compromisos legales
Cuantitativos
Cualitativos

Anlisis de Impacto al Negocio BIA
tiempo que tomara para que los efectos adversos que puedan surgir
como consecuencia de no proporcionar un producto o servicio o la no
realizacin de una actividad, sean inaceptables
MAO Maximum Acceptable Outage
(Interrupcin mxima aceptable)
tiempo que tomara para que los efectos adversos que puedan surgir
como consecuencia de no proporcionar un producto o servicio o la no
realizacin de una actividad, lleguen a ser inaceptables
MTPD Maximum tolerable period of
disruption (Perodo mximo
tolerable de interrupcin)
Nivel mnimo de servicios o productos y que sera aceptable para la
organizacin para lograr sus objetivos durante una interrupcin
MBCO minimum business continuity
objective (objetivo mnimo de
continuidad del negocio)
punto en que la informacin utilizada por una actividad debe ser
restaurada para que la actividad reanude operaciones
RPO recovery point objective (punto
objetivo de recuperacin)
perodo de tiempo despus de un incidente en el que: el producto o
servicio debe reanudarse, la actividad debe reanudarse o los recursos
debe ser recuperados
RTO recovery time objective (tiempo
objetivo de recuperacin)
Anlisis de Impacto al Negocio BIA
Establecer plazos priorizados para
la reanudacin de estas
actividades a un nivel mnimo
aceptable, teniendo en cuenta el
tiempo en el que los efectos de la
no reanudacin de ellos sera
inaceptable.
Identificar dependencias y
recursos de soporte para las
actividades, incluyendo
proveedores y otras partes
interesadas.
Evaluacin de Riesgos RA
Actividades priorizadas
Procesos
Sistemas
Informacin
Personas
Activos
Servicios tercerizados
Otros recursos de soporte
Identificar riesgos
de disrupcin para
la organizacin:
Identificar el
tratamiento de los
riesgos de acuerdo
con el apetito de
riesgo de la
organizacin
Estrategias de Continuidad del
Negocio
Determinar y seleccionar estrategias de acuerdo con
los resultados del BIA y el RA
Establecer estrategias apropiadas para estabilizar,
continuar, reanudar y recuperar las actividades
priorizadas y sus dependencias y recursos de apoyo
La estrategia deber incluir la definicin de ventanas
tiempo priorizadas para la reanudacin de las
actividades
Estrategias de Continuidad del
Negocio
La organizacin debe determinar los recursos requeridos para implementar las
estrategias seleccionadas
Personas
Informacin y datos
Edificios, ambientes de trabajo y utilitarios
Equipamiento y proveedura
Sistemas de comunicacin tecnolgicos
Transporte
Financieros
Proveedores
Estrategias de Continuidad del
Negocio
La organizacin debe darle
un tratamiento a los
riesgos para:
Reducir la probabilidad
de ocurrencia
Acortar el periodo de la
disrupcin
Limitar el impacto de la
disrupcin en los
productos y servicios
claves de la organizacin



Establecer los procedimientos de
continuidad del negocio
Se deben establecer, implementar y dar mantenimiento a los
procedimientos para administrar los incidentes disruptivos y darle
continuidad a las actividades, de acuerdo a los objetivos de
recuperacin identificados en el BIA
Protocolo de
comunicacin a lo
interno y externo
Ser especficos en
pasos que se
deben realizar
durante la
disrupcin.
Ser flexibles para
responder a
situaciones no
esperadas, o
cambios en las
condiciones
internas o externas
Desarrollarse
sobre la base de
los supuestos
establecidos y un
anlisis de las
interdependencias
Estructura de Respuesta a Incidentes
La organizacin debe establecer procedimientos y mantener una
estructura para responder a los incidentes disruptivos usando el
personal que sea necesario, con autoridad y competencias para
administrar el incidente.
identificar los
umbrales de
impacto que
justifiquen
iniciar una
respuesta
formal.
Evaluar la
naturaleza y
extensin del
incidente y su
impacto
potencial
Activar una
apropiada
respuesta de
continuidad del
negocio
Contar con
procesos y
procedimientos
para la activacin,
operacin,
coordinacin y
comunicacin de
la respuesta
Contar con los
recursos
disponibles
para soportar
los procesos y
procedimientos
o para
minimizar el
impacto
Comunicarse
con las partes
interesadas,
autoridades
as como con
los medios de
comunicacin
Alerta y Comunicacin
La organizacin debe tener procedimientos establecidos para:
Detectar un incidente
Monitoreo regular de incidentes
Comunicacin interna y documentacin para responder a las partes
interesadas
Recepcin, documentacin y repuesta a cualquier organizacin
nacional o regional de riesgos o similar
Asegurar disponibilidad para los medios de comunicacin durante el
incidente
Facilidades de comunicacin estructuradas con los servicios de
emergencia
Recolectar la informacin vital durante el incidente, acciones
tomadas, decisiones tomadas, etc
Planes de continuidad del negocio
Los planes de continuidad del negocio en conjunto
contendrn:
Roles y responsabilidades de las personas y equipos que tienen
autoridad durante el incidente
El proceso para activacin de la respuesta
Detalles del manejo de las consecuencias inmediatas:
El bienestar de las personas
Opciones operacionales tcticas y estratgicas para responder al
incidente
Prevencin de una prdida mayor por falta de disponibilidad de las
actividades priorizadas

Planes de continuidad del negocio
Detalles de cmo y bajo que circunstancias la organizacin se comunicar
con los empleados o sus familiares, partes interesadas claves o contactos de
emergencia.
Cmo la organizacin continuar o recuperar sus actividades priorizadas
en las ventanas de tiempo predefinidas
Detalles de las respuesta de la organizacin a los medios
Estrategia de comunicacin
Interfaz preferida con los medios de comunicacin
Guas o borradores de declaraciones a los medios
Vocero apropiado
Proceso para volver a la normalidad una vez que el incidente ha terminado
Recuperacin
La organizacin debe
tener procedimientos
documentados para
restablecer o retornar a
las actividades de
negocio, desde las
medidas temporales
adoptadas para
soportar los
requerimientos del
negocio luego del
incidente.


Pruebas
La organizacin debe
ejercitarse y probar sus
procedimientos de
continuidad del negocio para
asegurar que son
consistentes con los objetivos


Pruebas
La organizacin debe conducir ejercicios para probar:
Si el BCMS es consistente con el alcance y objetivos
Si estn basados en escenarios apropiados
Validar el tiempo conjunto para lograr los acuerdos de
continuidad del negocio, involucrando a las partes interesadas
pertinentes
Minimizar el riesgo de disrupcin de las operaciones
Preparar informes post-evaluacin que contengan
recomendaciones y acciones de mejora
Se examinan en el contexto de mejora continua
Son realizados en intervalos planificados y cuando ocurren
cambios significativos en la organizacin o su ambiente
Evaluacin del desempeo
La organizacin debe determinar:
Que es necesario monitorear y medir
Los mtodos para monitorear, medir, analizar y evaluar, cuando
sea aplicable, para garantizar la validez de los resultados
Cuando se debe desarrollar el monitoreo
Cuando los resultados del monitoreo y medidas deben ser
evaluados
Deben existir procedimientos para el monitoreo
del desempeo
Auditora Interna
La organizacin debe conducir auditorias
internas a intervalos planeados para proveer
informacin sobre el BCMS
La organizacin debe planear, establecer,
implementar y mantener los programas de
auditoria, incluyendo: frecuencia, mtodos,
responsabilidades y reportes.
Definir los criterios de auditora y el alcance de
cada auditora.
La auditora debe considerar las actividades de
evaluacin de riesgos de la organizacin y el
seguimiento de informes anteriores.
Revisin administrativa
La alta administracin debe revisar el BCMS de la
organizacin a intervalos planificados, para asegurar
su continuidad, idoneidad, adecuacin y eficacia.
Estatus de las acciones de revisiones administrativas
previas
Cambios internos y externos relevantes
Informacin del desempeo de la continuidad del
negocio
Oportunidades de mejoramiento continuo