1

Maestría en Auditoría y Administración de Riesgos Empresariales (MARE I Edición)

Análisis y evaluación del plan de continuidad de negocio (BCP) de la empresa

“Impulsadora de Créditos, S.A” durante el período 2015 – 2016.

Investigación para optar al título de Master en Auditoría y Administración de Riesgos

Empresariales.

Maestrantes:

Lic. Alba Nubia Muñoz Vanegas

Lic. Eduardo José Llanes Leytón

Managua, Nicaragua

Agosto, 2017

2

DEDICATORIA Y AGRADECIMIENTOS

1- A nuestras familias por el apoyo que me brindaron para el cumplimiento de esta meta.

2- Agradecemos al gerente general de la empresa cuyo seudónimo es “Impulsadora de

créditos S.A” por permitirnos realizar la presente investigación basado en su plan de

continuidad de negocios y por la colaboración del personal en las entrevistas

efectuadas. Así mismo queremos agradecer a nuestro tutor Edgar Celedón por el

acompañamiento técnico brindado durante todo el proceso de elaboración de nuestro

trabajo de investigación.

3

TABLA DE CONTENIDOS:

DEDICATORIA Y AGRADECIMIENTOS ...................................................................................................................... 2

TABLA DE CONTENIDOS: ........................................................................................................................................ 3

RESUMEN EJECUTIVO: ............................................................................................................................................ 6

2. TEMA DE INVESTIGACIÓN: ............................................................................................................................... 11

2.1. FORMULACIÓN DEL PROBLEMA, PREGUNTA DE INVESTIGACIÓN. ....................................................................................... 11

2.2 SÍNTOMAS: ............................................................................................................................................................ 11

2.3. LAS CAUSAS. ......................................................................................................................................................... 11

2.4 PRONÓSTICO. ......................................................................................................................................................... 12

2.5 CONTROL DE PRONÓSTICO ........................................................................................................................................ 12

2.6 SISTEMATIZACIÓN DEL PROBLEMA .............................................................................................................................. 12

2.7 Objetivos ....................................................................................................................................................... 13

Objetivo General:................................................................................................................................................. 13

Objetivos Específicos: .......................................................................................................................................... 13

2.8 JUSTIFICACIÓN DE LA INVESTIGACIÓN .......................................................................................................................... 14

3. MARCO TEORICO Y REFERENCIAL ..................................................................................................................... 15

3.1. CONCEPTOS RELACIONADOS A LA CONTINUIDAD DEL NEGOCIO ....................................................................................... 15

3.2. PRACTICAS BCP DEL DRII (DISASTER RECOVERY INTERNATIONAL INSTITUTE). ............................................................. 19

3.3. ELEMENTOS Y PRINCIPIOS BÁSICOS PARA LA GESTIÓN EFECTIVA DE LA CONTINUIDAD DEL NEGOCIO SEGÚN LA SUPERINTENDENCIA

DE BANCOS Y OTRAS INSTITUCIONES FINANCIERAS (SIBOIF). ................................................................................................ 21

3.4. .MARCO REFERENCIAL PARA LA PLANEACIÓN DE LA CONTINUIDAD DEL NEGOCIO. .............................................................. 27

3.6 EVALUACIÓN DE MADUREZ EN CONTINUIDAD DE NEGOCIO............................................................................................... 28

4. INSTRUMENTO DE INVESTIGACION: ................................................................................................................ 30

5. CAPITULOS: ................................................................................................................................................... 31

4

5.1 CAPITULO I: EVALUAR SI EL PLAN DE CONTINUIDAD DE NEGOCIOS DE LA EMPRESA “IMPULSADORA DE CRÉDITOS, S.A” INCORPORA

LAS PRÁCTICAS DEL DRII (DISASTER RECOVERY INTERNATIONAL INSTITUTE), PARA MITIGAR LOS RIESGOS DE INTERRUPCIÓN DEL

NEGOCIO ..................................................................................................................................................................... 31

Practica I: Inicio y gerencia del proyecto. ............................................................................................................ 34

Práctica II: Evaluación de Riesgos........................................................................................................................ 39

Práctica III: Análisis de impacto al negocio: ........................................................................................................ 44

Práctica IV: Desarrollo de Estrategias de Continuidad del Negocio .................................................................... 47

Práctica V: Respuesta de emergencia y operaciones .......................................................................................... 50

Práctica VI: Desarrollo e implementación de planes de continuidad de negocio. ............................................... 52

Práctica VII: Conciencia y capacitación: .............................................................................................................. 54

Practica VIII: Mantenimiento y ejercicios de los planes de continuidad de negocios. ......................................... 58

Practica IX: Relaciones publicas y coordinación de crisis. .................................................................................... 61

Practica X: Coordinación con organismos externos. ............................................................................................ 64

5.1.1 RECOMENDACIONES: .................................................................................................................................. 65

5.2. CAPITULO II: CALIFICACIÓN DEL PLAN DE CONTINUIDAD DE NEGOCIOS DE LA EMPRESA IMPULSADORA DE

CRÉDITOS, S.A DE ACUERDO AL MODELO DE MADUREZ DE LAS MEJORES PRÁCTICAS EN PLANES DE

CONTINUIDAD DE NEGOCIOS. .............................................................................................................................. 71

INTRODUCCIÓN Y OBJETIVOS: .......................................................................................................................................... 71

DESARROLLO: .............................................................................................................................................................. 72

1- Niveles de Madurez: ........................................................................................................................................ 74

2- Competencias Corporativas: ........................................................................................................................... 75

Evaluación de las prácticas del DRII de acuerdo a las competencias corporativas: ............................................ 75

6. .......................................................................................................................................................................... 80

RESULTADOS: ....................................................................................................................................................... 80

5

7. CONCLUSIONES: ............................................................................................................................................... 90

8. BIBLIOGRAFIA. .................................................................................................................................................. 94

9. ANEXOS: ........................................................................................................................................................... 96

9.1 CUESTIONARIOS: ................................................................................................................................................ 96

6

Resumen Ejecutivo:

El presente estudio consiste en realizar un análisis y evaluación del plan de continuidad

de negocios de la empresa “Impulsadora de créditos, S.A”.

El objetivo principal es determinar si el plan de continuidad de negocios de la empresa

“Impulsadora de Créditos, S.A”, se ajusta a mejores prácticas internacionales.

Para efectuar la evaluación del plan se utilizaron las diez prácticas recomendadas por el

DRII (Disaster Recovery International Institute) en planes de continuidad de negocios y

para determinar el nivel de madurez del plan se utilizó el modelo de madurez “Business

continuity maturity model – BCMM”, este modelo fue desarrollado por virtual corporation

Inc, para medir objetiva y consistentemente el estado de preparación para afrontar

contingencias de una organización.

Sin embargo, el proceso de evaluación y las métricas de calificación es la propuesta que

se pretende proporcionar a través de esta investigación.

Para lograr el objetivo de la investigación se recopiló información por medio del gerente

general, quien nos proporcionó el documento oficial utilizado en la empresa “Manual de

gestión de continuidad de negocios”.

También, se efectuaron entrevistas a los principales ejecutivos y que tienen un rol activo

dentro del manual de gestión de continuidad de negocios.

La investigación está compuesta por dos capítulos. En el primer capítulo se aborda la

evaluación del plan de continuidad de negocios de la empresa “Impulsadora de créditos,

S.A” mediante una comparación entre las prácticas y las actividades recomendadas por

el DRII (Disaster Recovery International Institute) versus el manual de gestión de

continuidad de negocios de la empresa. Mediante esta comparativa se identificará si el

manual de la empresa cuenta con todas las actividades para mitigar los riesgos de

interrupción del negocio.

En el segundo capítulo se detallan los resultados de la calificación del plan de

continuidad de negocios de la empresa “Impulsadora de créditos, S.A”, para ello se

7

propone evaluar primeramente las ocho competencias que recomienda el modelo de

madurez (liderazgo, concientización, estructura del BCP, grado de penetrabilidad,

métricas definidas, compromisos de recursos, coordinación externa, contenido del BCP)

por cada actividad de las prácticas recomendadas por el DRII (Disaster Recovery

International Institute), pero adaptadas al contexto de la empresa “Impulsadora de

créditos, S.A”.

El índice de medición de las competencias se determinó primeramente definiendo las

características que debe cumplir cada competencia, las que se extrajeron del marco

conceptual.

Posteriormente se establecieron preguntas que a nuestro criterio definen

cualitativamente las características de cada una de las competencias, luego a estas

características se les asignaron valores para calificar cuantitativamente cada una de las

competencias.

Con base en los resultados, se determinó el nivel de madurez global del plan de

continuidad de negocios de la empresa.

El resultado de la calificación ubica en el nivel de madurez “1” al plan de continuidad de

negocios de “Impulsadora de créditos S.A”.

El nivel 1 o nivel Autogobernado, según el modelo “Business continuity maturity model –

BCMM “, significa que el estado de preparación de la empresa es bajo con relación a las

practicas del modelo DRII, sin embargo el plan responde parcialmente a eventos de

interrupción cuando ocurren.

INTRODUCCION

“La continuidad del negocio (conocida en inglés como Business Continuity), es la

capacidad de una organización para continuar con la entrega de sus productos o

servicios después de una interrupción a un nivel predefinido aceptable. La planificación

de la continuidad del negocio (BCP) trata de evitar la interrupción de los servicios de

misión crítica y reestablecer el pleno funcionamiento de la forma más rápida y fácil que

8

sea posible.”1

La presente tesis es una investigación que tiene por objetivo realizar un análisis y

evaluación del plan de continuidad de negocios de la empresa “Impulsadora de créditos,

S.A” conforme a las mejores prácticas internacionales sobre planes de continuidad de

negocios.

Para realizar nuestra evaluación tomaremos como referencia las practicas del DRII

(Disaster Recovery International Institute) sobre continuidad de negocios. El período de

la evaluación comprende los años 2015- 2016.

Sin embargo, no excluimos el hecho de considerar estándares, leyes y regulaciones

sobre plan de continuidad de negocio, que por las características o giro principal del

negocio se encuentra sujeta la entidad objeto de investigación.

Impulsadora de créditos, S.A, es una entidad financiera regulada por la

Superintendencia de Bancos y otras Instituciones financieras de Nicaragua, que ofrece

productos y servicios financieros como otorgamiento de créditos al sector urbano y rural.

En el año 2015 iniciaron la elaboración del manual de gestión de continuidad de negocio

y en el año 2016 fue autorizado como documento oficial de la entidad, dirigido a

mantener la operatividad del negocio ante catástrofes naturales, caídas de sistemas,

etc.

Las normas utilizadas por la empresa para la creación del manual de gestión de

continuidad de negocios fueron las de riesgo tecnológico y riesgo operacional, así como

el estándar internacional ISO 22301.

1 International Glossary for resiliency, Chloe Demrovsky.

9

El estándar ISO 22301 especifica los requisitos para la creación y gestión de un sistema

de continuidad de negocio (SGCN) efectivo, el cual hace énfasis en la importancia de:

a. Entender las necesidades de la organización y la necesidad de establecer una

necesidad de gestión de continuidad de negocio, sus objetivos y políticas.

b. Implementar y operar los controles y medidas para administrar la capacidad

general de una organización en responder a incidentes.

c. Hacer el seguimiento y revisión de la eficacia del SGCN.

d. Mejorar continuamente basado en mediciones objetivas.

El procedimiento de evaluación realizado se desarrolla en una matriz comparativa de

información donde se detallan las recomendaciones idóneas del DRII por cada práctica

o etapa que debe contener todo manual de continuidad de negocio versus las

consideraciones utilizadas por la empresa Impulsadora de créditos, S.A. para la

elaboración de su manual.

Para determinar la suficiencia del manual de continuidad de negocios de la empresa

Impulsadora de créditos, S.A, se utilizará los niveles de madurez de “Business continuity

maturity model – BCMM “ de 1 a 6, en donde “1” significa que el nivel de la empresa es

autogobernado, es decir, el estado de preparación es bajo y la empresa reacciona a

eventos de interrupción cuando ocurren; y “6” existe sinergia, lo que significa que se ha

formulado y probado satisfactoriamente estrategias sofisticadas de protección del

negocio. Los métodos de control de cambios y mejora continua de procesos mantienen

a la organización en un nivel alto de preparación.

Según la revista de investigación de sistemas e informática, el modelo de madurez de

Continuidad del Negocio (Business Continuity Maturity Model – BCMM®) fue publicado

originalmente en el 2003 por Virtual Corporation, para dirigir a la organización a que

10

sean capaces de evaluar y mejorar su programa de continuidad del negocio, como un

mecanismo de medición de la efectividad del mismo.

De acuerdo a los resultados obtenidos se pretende realizar recomendaciones en caso

que existan brechas u oportunidades de mejora.

11

2. Tema de Investigación:

Análisis y evaluación del plan de continuidad de negocio (BCP) de la empresa

“Impulsadora de Créditos, S.A” durante el período 2015 – 2016.

2.1. Formulación del problema, pregunta de investigación.

¿Qué metodología se requiere para evaluar el plan de continuidad de negocio de la

empresa “Impulsadora de créditos, S.A”?

2.2 Síntomas:

No existe una metodología en Nicaragua para evaluar un plan de continuidad de

negocio que esté alineado a las mejores prácticas en esta materia, que permitan evaluar

e identificar actividades de mejora con base en las estrategias y necesidades de la

Organización.

2.3. Las causas.

a. Poco conocimiento sobre el tema de planes de continuidad de

negocio.

b. No se conoce en nuestro país acerca de una metodología que sea

utilizada para la revisión de los planes de continuidad de negocio.

c. Existen pocas empresas en Nicaragua que cuentan con un plan de

continuidad de negocio.

12

2.4 Pronóstico.

Un plan de continuidad de negocios inadecuado, pone en riesgo los procesos de

negocio de la empresa. Por otro lado, se produce un incumplimiento de la estrategia

organizacional, al realizar la planificación operativa sin tomar en cuenta los escenarios

adversos que pueden ser identificados producto de un adecuado proceso en la

elaboración del plan de continuidad de negocios.

2.5 Control de Pronóstico

Es necesario que las empresas que tengan planes de continuidad de negocio, se les

efectúe una revisión con el objetivo de identificar y asegurar que dichos planes sean

adecuados y suficientes para mantener la operatividad del negocio ante situaciones de

fenómenos naturales, sociales, etc.

En dicha revisión, se debe utilizar como principal marco de referencia el plan de

continuidad de negocios de la empresa; las normativas bajo las cuales fue creado el

manual, las mejores prácticas y estándares internacionales que apliquen.

2.6 Sistematización del problema

¿La empresa ha identificado cuales son las áreas y procesos críticos?

¿La empresa ha evaluado los riesgos de negocio en el plan de continuidad de negocio?

¿Bajo qué marcos de referencia deberá estar sustentado el plan de continuidad de

negocio?

13

¿Posee la empresa recursos financieros para la realización del plan de continuidad de

negocio y su cumplimiento?

¿Qué información se debe solicitar a la alta gerencia y a las áreas de la empresa

involucradas en la realización del plan de continuidad de negocio?

¿Qué aspectos deben sustentar los resultados de la evaluación del plan de continuidad

de negocios?

2.7 Objetivos

Objetivo General:

Determinar si el plan de continuidad de negocio de la empresa “Impulsadora de

Créditos, S.A”, se ajusta a mejores prácticas internacionales en cuanto a planes de

continuidad de negocios.

Objetivos Específicos:

1- Evaluar si el plan de continuidad de negocios de la empresa “ Impulsadora de

créditos S.A” cumple con las practicas del DRII ( Disaster Recovery International

Institute) para mantener la operatividad del negocio ante catástrofes naturales y casos

fortuitos.

14

2- Identificar si las áreas críticas de la empresa “Impulsadora de créditos S.A”, están

contempladas en el plan de continuidad de negocios.

3- Obtener una calificación respecto al cumplimiento de la gestión del plan de

continuidad de negocios, para ello se utilizará el modelo de madurez de continuidad de

negocio (Business Continuity Maturity Model – BCMM)

2.8 Justificación de la Investigación

En muchas ocasiones la alta dirección de las organizaciones no han evaluado los

riesgos a los cuales están expuestas, y que pueden comprometer la operación de la

misma; interrumpiendo el negocio en marcha.

El mayor riesgo al que están expuestas las organizaciones es a que la operatividad se

paralice por motivos de catástrofes naturales, fenómenos sociales, caídas de sistemas,

casos fortuitos, etc. Ante esta premisa, es de vital importancia que las organizaciones

cuenten con un plan de continuidad de negocio, con el objetivo de estar preparados y

saber de qué manera actuar ante una eventualidad.

La información, después del recurso humano, es el activo más importante para una

empresa, y su protección a través de un plan de continuidad permite que se minimice el

riesgo de que la operatividad del negocio cese a pesar de cualquier eventualidad que

pueda acontecer, de ahí esa necesidad de un mayor control y métodos de evaluación

continua.

Las evaluaciones a los planes de contingencia de una organización se pueden realizar

considerando las mejores prácticas existentes y estándares internacionales, con el

objetivo de brindar a la alta gerencia de las organizaciones un instrumento de control de

tipo preventivo que facilite la corrección oportuna de los planes de continuidad existente

antes que se materialice un evento. (Garcia, 1999)

15

El tema de investigación es de tipo descriptivo, se pretende indagar mediante la

observación, información bibliográfica sobre el tema y entrevistas de campo a los

principales responsables de la gestión de continuidad de negocios de la empresa objeto

de evaluación.

Considerando los estándares internacionales, normativas nacionales, mejores prácticas

y como profesionales en auditoría y administradores de riesgos, pretendemos aportar

un documento que contenga información que sea utilizada para realizar una evaluación

del plan de continuidad de negocios de una organización financiera y consideramos que

también, a futuro realizando algunas modificaciones, puede ser utilizada para evaluar a

otras organizaciones sin importar el giro del negocio.

Por otro lado, este trabajo quedaría como un documento de apoyo y consulta para los

futuros profesionales que investiguen respecto de este tema.

3. MARCO TEORICO Y REFERENCIAL

3.1. Conceptos Relacionados a la continuidad del Negocio

Un plan de continuidad del negocio (Business Continuity Plan, BCP) se puede definir

como la identificación y protección de los procesos y recursos del negocio considerados

críticos para sostener un desempeño aceptable, mediante la identificación de

potenciales amenazas, la definición de estrategias para su eliminación, minimización o

delegación y la preparación de procedimientos para asegurar la subsistencia de los

mismos al momento de concretar dichas amenazas. (Espiñeira, 2008)

Según Espiñeira, usualmente los planes de contingencia se organizan identificando las

causas de posibles interrupciones, o las más probables, y a partir de ellas referenciar los

procesos o acciones a seguir en caso de que las mismas se registren. Por ejemplo en

16

caso de incendio, se hace una referencia para ejecutar el proceso “Respuesta ante

incendios”, etc. esta modalidad tiene dos problemas muy importantes:

a. Es imposible poder prever todos los sucesos que puedan causar interrupciones

en la operatividad de una organización, por lo cual, pese al esfuerzo que se

realice en este sentido, seguramente se registraría una situación no prevista para

la cual, por ende, no se definió una respuesta, derivando en que el plan no sería

siempre eficaz.

b. En caso de registrarse una contingencia, es probable que se sucedan varios

incidentes a la vez (efecto cascada). Por lo anterior, esta organización y

utilización de los planes de contingencia no resulta adecuada, ya que en el mejor

de los casos es parcial.

Esta experiencia ha permitido desarrollar otro enfoque aplicado exitosamente: Una vez

identificado los procesos críticos de una organización, se debe identificar los recursos

críticos, de todo tipo, que se requieren para llevar adelante dichos procesos, lo cual

genera un conjunto de elementos finitos, sobre el cual definir el conjunto de posibles

causas de contingencias.

“Contingencia”, es toda situación en la que se interrumpa la operatividad habitual de la

organización, o se comprometa fuertemente el nivel de la misma por más tiempo del

definido como admisible (ventaja de tolerancia), no pudiéndose solucionar dicha

situación aplicando los procedimientos habituales.2

Esta definición de contingencia y el concepto de escenarios permiten a las

organizaciones resolver dos problemas prácticos fundamentales:

a. Lograr una solución de continuidad que garantice un nivel de recuperación

determinado independientemente de lo que haya sucedido.

b. Brindar una guía clara y concreta de cuando se debe activar el plan.

El desarrollo de una solución de continuidad, debe ser tratado de manera prioritaria y

desarrollado a corto plazo, considerando la necesidad de responder eficientemente ante 2 Boletín de asesoría gerencial PWC.

17

determinados eventos y el cumplimiento ante la publicación de normas por parte de

entes reguladores.

Al desarrollar un BCP, la organización debe participar en todos sus niveles y contar con

una herramienta que permita documentar y dar mantenimiento a los planes

desarrollados de manera flexible, práctica y segura.

Así mismo, es necesario que las empresas consideren una metodología para el

desarrollo de sus planes preventivos y planes de continuidad que permita dar resultados

tangibles y eficientes en el corto plazo.

Expertos en el tema de planes de continuidad del negocio como Alejandro Villarán

Vázquez E&Y Technology&security Risk Services (TSRS), definen a este como un

conjunto de tareas que permite a las organizaciones continuar su actividad en la

situación de que un evento afecte sus operaciones.

Este experto propone una metodología de plan de continuidad que incluya ciertos

objetivos cuyos resultados logran una evaluación coherente de los resultados del plan.

Dentro de estos objetivos se incluyen los siguientes:

a. Obtener una imagen clara y detallada de los procesos de negocio de la entidad,

determinando sus criticidades, interdependencias y riesgos.

b. Determinar las necesidades críticas para permitir un grado de operatividad en

línea con la estrategia definida.

c. Desarrollar una solución cuya relación coste - beneficio cumpla los requisitos y

expectativas de la entidad.

d. Prever y documentar las acciones necesarias para restaurar la actividad.

Como plan de contingencia propone que es necesario que las empresas cuenten con un

comité de crisis, constituido formalmente y un plan de recuperación ante desastres.

La definición de plan según la teoría y las opiniones de los expertos coinciden en la

necesidad que deben considerar las organizaciones e incorporar dentro de sus planes

de continuidad del negocio las posibles contingencias a las que puedan enfrentarse, así

mismo desarrollar medidas de recuperación eficaces que incidan en su operatividad y

existencia.

18

Por ende los riesgos por catástrofes naturales deben incluirse en los planes de

continuidad de las empresas y darles el tratamiento adecuado para contrarrestar los

efectos negativos que puedan generar.

Continuidad de negocio: Es la capacidad estratégica y táctica de la organización para

planificar y responder a incidentes o interrupciones del negocio con el fin de continuar

las operaciones del negocio en un nivel de tiempo predefinido aceptable3.

Gestión de la continuidad del negocio (BCM): Es un proceso de gestión holístico que

identifica las amenazas potenciales a una organización y los impactos a las operaciones

del negocio que esas amenazas, que en caso de materializarse, podrían causar; y que

proporciona una estructura para construir resiliencia organizacional con capacidad para

una respuesta efectiva que salvaguarde los intereses de sus grupos claves de interés,

su reputación, marca y actividades de valor agregado.4

Resiliencia Organizacional: Capacidad de las organizaciones para sobreponerse ante

cualquier adversidad del mercado o crisis económicas, sin comprometer elementos

característicos de su identidad corporativa.5

Análisis de impacto al negocio (BIA):Es el proceso de análisis de las funciones del

negocio y el efecto que una interrupción del negocio podría tener sobre ellas.6

3 International Glossary for Resiliency.

4 Iso 22301

5 International Glossary for Resiliency

6 Oficina de tecnologias de informacion.

19

Actividades críticas: Son aquellas actividades que deberán realizarse para garantizar el

despacho de los productos y servicios claves que le permitan a la organización cumplir

con sus más importantes objetivos. (Quevedo, 2012)

Estrategia de continuidad de negocio: Enfoque de una organización que le asegurará su

recuperación y continuidad ante el enfrentamiento de un desastre u otro tipo de

incidente o interrupción del negocio. (Quevedo, 2012)

ISO 22301:El nuevo estándar ISO 22301:2012 tiene por nombre “Seguridad de la

Sociedad: Sistemas de Continuidad del Negocio”. Este modelo aparece como producto

de una evolución de lineamientos, buenas prácticas y estándares en continuidad del

negocio.

3.2. PRACTICAS BCP DEL DRII (Disaster Recovery International Institute).

Según el Instituto DRI International, las prácticas del BCP (Business Continuity Plan)

relacionadas con la gestión de la continuidad de negocios son las siguientes:

Práctica 1: Inicio y Gerencia del Proyecto

Está práctica se refiere a la gerencia del proyecto que como resultado entregará un

Programa de Gestión de Continuidad del Negocio, en esta se busca resaltar la

importancia de determinar las fases del proyecto, los responsables, las

responsabilidades, el alcance y el compromiso por la alta dirección con el mismo.

Práctica 2: Evaluación de Riesgos

Está práctica se refiere a la importancia de determinar los hechos y el entorno ambiental

que pueden afectar negativamente a la organización y sus instalaciones con una

interrupción, así como los desastres, los eventos que pueden causar tales daños, y los

controles necesarios para evitar o minimizar los efectos de la pérdida potencial.

Proporcionar análisis costo - beneficio para justificar la inversión en los controles para

mitigar los riesgos.

20

Práctica 3: Análisis de Impacto al Negocio.

El Análisis de Impacto sobre el negocio (BIA) es el aspecto básico a considerar en el

desarrollo de un plan de recuperación ante desastres (DRP), en principio dará

continuidad a las actividades críticas y posteriormente al resto, si es posible.

El nivel de criticidad de una actividad dentro de la compañía se mide en función de lo

dependiente de ella, que es la organización y de lo que repercutiría su indisponibilidad.

En términos económicos esta valoración sería responder a la pregunta de cuánto

perdería la organización si la actividad o proceso no estuviera disponible.

Práctica 4: Desarrollo de Estrategias de Continuidad del Negocio

El Desarrollo de Estrategias de Continuidad del Negocio es el ejercicio de determinar

con base en los riesgos y los impactos identificados, las mejores alternativas para

garantizar la operación y control en contingencia de la organización y con esto su

sostenibilidad a través del tiempo.

Práctica 5: Respuesta de Emergencia y Operaciones

Consiste en el diseño e implementación de procedimientos de reacción y control de la

situación una vez ocurrido el impacto de una de las amenazas, comunicación a las

partes interesadas.

Práctica 6: Desarrollo e implementación de planes de Continuidad del Negocio.

Dentro de esta práctica podemos considerar importante las estrategias de recuperación

de la información que no es más que el proceso en el que la organización debe asegurar

el respaldo de la información crítica para la operación de los sistemas de información.

Práctica 7: Conciencia y Capacitación

Con esta práctica se debe preparar un programa para crear y mantener la conciencia

organizacional, mejorar las habilidades necesarias para desarrollar, implementar,

mantener y ejecutar todas las iniciativas de continuidad del negocio.

Práctica 8: Mantenimiento y ejercicio de los Planes de Continuidad del Negocio.

Esta práctica considera pre-planificar y coordinar los ejercicios del plan, y evaluar y

documentar los resultados de un plan de ejercicios, desarrollar procesos para mantener

la vigencia de las capacidades de la continuidad y el Plan de Continuidad de Procesos

21

del negocio (BCP por sus siglas en inglés) de acuerdo con la dirección estratégica de la

organización; adicionalmente, se debe verificar que el BCP será eficaz en comparación

con un estándar adecuado, e informar los resultados de una manera clara y concisa.

Práctica 9: Relaciones públicas y coordinación de crisis.

El objetivo de la comunicación y coordinación durante y después de una crisis, forma

parte de las actividades para la continuidad de negocio en las organizaciones, con el fin

de resolver cualquier evento inesperado que se presente y que pueda repercutir sobre

su imagen, para lo cual deben implementarse tácticas específicas de información para

encontrar una solución rápida e inmediata.

Por lo antes descrito en la estructura organizativa de las organizaciones debe existir un

área de comunicación y divulgación, que tenga claramente establecido una estrategia

de comunicación interna y externa, que ayude a recuperar el control de la situación

durante y después de la crisis.

Práctica 10: Coordinación con organismos externos.

El objetivo de la coordinación durante y después de una crisis con organismos externos

de la organización forma parte de las actividades para la continuidad de negocio, con el

objetivo de establecer procedimientos y políticas para coordinar las actividades de

respuesta, la continuidad y la restauración con las autoridades locales, al tiempo que

garantiza el cumplimiento de las leyes o regulaciones aplicables.

3.3. Elementos y principios básicos para la gestión efectiva de la

continuidad del negocio según La Superintendencia de Bancos y otras

Instituciones Financieras (SIBOIF).

En la Resolución N° CD.SIBOIF.611.1.ENE22.2010 de fecha 22 de enero de 2010.

Norma sobre gestión de riesgo operacional, establece en el Anexo los elementos y

principios básicos para la gestión efectiva de la continuidad del negocio, así como las

responsabilidades de los principales ejecutivos de la organización.

22

1. Elementos:

Análisis de impacto: Es el punto de partida de una gestión efectiva de continuidad del

negocio. Es el proceso dinámico de identificación de las operaciones y servicios críticos,

dependencias internas y externas claves y niveles apropiados de resistencia. Evalúa los

riesgos e impactos potenciales de varios escenarios de interrupción en las operaciones

y reputación de la institución.

Estrategia de recuperación: Establece objetivos de recuperación y prioridades basadas

en el análisis de impacto en el negocio. Entre otros aspectos, establece los objetivos

para el nivel de servicios que la institución procuraría prestar en caso de interrupción y

la infraestructura necesaria para el restablecimiento total de las operaciones del

negocio.

Planes de continuidad del negocio: Proporcionan una guía detallada para la

implementación de la estrategia de mantenimiento y recuperación. Establecen los roles

y delegan responsabilidades para el manejo de interrupciones operacionales y

proporcionan pautas claras con respecto a la sucesión de la autoridad en casos de

interrupciones que perjudiquen al personal clave. También, establecen de manera clara

la autoridad para la toma de decisiones y las circunstancias o eventos que activan el

plan de continuidad de negocios de la institución. La seguridad del personal debe ser la

consideración principal del plan de continuidad de negocios.

2. Principios:

Responsabilidades de la junta directiva y de la alta gerencia: La junta directiva y la alta

gerencia son conjuntamente responsables por la continuidad de las operaciones de la

institución.

La gestión de la continuidad del negocio debe ser un componente clave de la gestión

integral de los riesgos de la institución. Las políticas y procesos de la gestión de la

continuidad del negocio deben ser implementados a nivel global de la institución o,

como mínimo, a las operaciones críticas de la misma. La gestión efectiva de la

continuidad del negocio trata no sólo de los aspectos técnicos, sino también de los

recursos humanos. De esta manera reconoce que los empleados y posiblemente sus

familias, puedan verse afectados por el mismo evento que dio origen a la interrupción, y

23

como consecuencia, no todos los empleados estarán disponibles para la institución

durante o inmediatamente después de la ocurrencia del evento.

La junta directiva y la alta gerencia de la institución son responsables de la gestión

efectiva de sus políticas de continuidad de negocio y por el desarrollo e implementación

de políticas que promuevan la resistencia a, y continuidad en el evento de,

interrupciones operacionales. Estos deben reconocer que la subcontratación de

operaciones no transfiere las responsabilidades que tienen sobre la gestión de la

continuidad del negocio al proveedor de servicios. La junta directiva y la alta gerencia

deben crear y promover una cultura organizacional que tenga como una de sus

prioridades la continuidad del negocio. La junta directiva y la alta gerencia deben

proveer los recursos financieros y humanos para desarrollar e implementar el enfoque

de la institución a la gestión de la continuidad del negocio.

Se deben establecer los sistemas que permitan informar a la junta directiva y alta

gerencia sobre los temas relacionados a la continuidad del negocio, incluyendo el grado

de implementación, notificación de incidentes, resultados de las pruebas y acciones

relacionadas al fortalecimiento de la resistencia de la institución o habilidad para

reanudar operaciones específicas. La gestión de la continuidad del negocio de una

institución deben estar sujetas a revisión por los auditores, tanto externos como internos

y los hallazgos significativos deben ser puestos en conocimiento de la junta directiva y

la alta gerencia de manera oportuna.

La confusión puede ser un serio obstáculo para llevar a cabo una respuesta efectiva a

una interrupción. Consecuentemente, las responsabilidades, así como los planes de

sucesión, deben estar claramente definidas en las políticas de gestión de continuidad

del negocio de una institución.

Interrupciones operacionales mayores: Las interrupciones operacionales mayores

presentan un riesgo sustancial a la continuidad de las operaciones del sistema

financiero. Por tal razón, las instituciones financieras de manera particular deben incluir

el riesgo de una interrupción operacional mayor dentro de sus planes de continuidad del

negocio. El grado en que una institución en particular se prepara para una recuperación

en caso de una interrupción mayor debe estar en concordancia a sus características

24

propias y a su perfil de riesgo. Debido a que el acceso a los recursos necesarios para

una recuperación total puede que sean limitados durante una interrupción mayor, la

institución debe identificar a través de un análisis de impacto, aquellas funciones y

operaciones de negocios que deben ser recuperados prioritariamente, estableciendo

objetivos apropiados de recuperación para dichas operaciones.

Las interrupciones mayores de las operaciones varían en alcance y duración. Al evaluar

si su gestión de continuidad del negocio es suficiente para dar respuesta a una

interrupción mayor, las instituciones deben revisar la adecuación de sus mecanismos de

recuperación en las tres áreas siguientes:

a. La institución debe tener el cuidado de que su sitio alterno se encuentre lo

suficientemente alejado del lugar donde llevan a cabo sus operaciones

principales.

b. La institución debe asegurar que el sitio alterno cuente con la información

actualizada suficiente y los equipos y sistemas necesarios para minimizar los

efectos de las interrupciones de los servicios, mediante restauración temporal y

recuperación definitiva de sus procesos y servicios críticos, en caso de que sus

oficinas principales sean severamente dañadas o el acceso a la zona afectada se

encuentre restringido.

c. Dado que el personal de la oficina principal pueda que no se encuentre

disponible, el plan de continuidad de negocio debe incluir la forma en que la

institución proveerá el personal adecuado en términos numéricos y de

experiencia, para la reanudación de las operaciones y servicios críticos que sean

consistentes con sus objetivos de recuperación.

Objetivos de recuperación: Las instituciones financieras deben establecer objetivos de

recuperación que reflejen los riesgos que representan para la estabilidad del sistema

financiero.

La institución que sufra una interrupción operacional mayor podría afectar la capacidad

de los demás miembros de continuar con sus operaciones normales de negocios.

25

Consecuentemente, las instituciones financieras deben tomar en cuenta dicho riesgo y

mejorar su gestión de continuidad del negocio en los casos en que determinen que una

interrupción de sus operaciones afectaría la estabilidad del sistema financiero.

Los objetivos de recuperación deben identificar tanto niveles esperados de recuperación

como el tiempo que tomaría alcanzarlos.

Comunicaciones: Las instituciones financieras deben incluir en sus planes de

continuidad de negocio los mecanismos y procedimientos para comunicarse tanto

dentro de la organización, como con las partes interesadas externas en caso de una

interrupción operacional mayor.

Las instituciones financieras deben estar en capacidad para comunicarse de manera

efectiva con las partes interesadas relevantes tanto dentro, como fuera de la institución,

en caso de una interrupción operacional mayor. Particularmente en las primeras etapas

de la interrupción, donde la comunicación efectiva es necesaria para estimar el impacto

de ésta, en el personal y operaciones de la institución y en el sistema financiero en

general, y tomar la decisión de implementar o no el plan de continuidad del negocio. En

la medida en que el tiempo transcurre, la capacidad para comunicar la información más

importante disponible a las partes interesadas de manera oportuna es un factor crítico

para la recuperación de las operaciones de la institución y para el retorno del sistema

financiero a su funcionamiento normal. El mantenimiento de la confianza del público, en

la institución financiera, requiere de la capacidad para comunicarse de manera clara y

regular durante el tiempo que dure la interrupción.

Asimismo, los procedimientos y sistemas de comunicación de las instituciones

financieras deben incluir, como mínimo, los aspectos siguientes:

a. Identificación de las personas responsables de comunicarse con el personal y

demás partes interesadas externas. Este grupo puede incluir la alta gerencia, el

personal de relaciones públicas, asesores legales y el personal responsable de

los procedimientos de continuidad del negocio de la institución. Este grupo debe

estar en capacidad para comunicarse con personal ubicado en lugares remotos,

26

disperso a través de múltiples ubicaciones, o que simplemente se encuentre lejos

de las oficinas principales de la institución; y

b. Solucionar aspectos relacionados que podrían suscitarse como resultado de una

interrupción operacional mayor tales como, la respuesta que se le daría a fallas

en los sistemas de comunicación primarios. Esto puede incluir por ejemplo,

desarrollar sistemas e información de contacto para el personal clave que

facilitaría múltiples métodos de comunicación (líneas telefónicas terrestres,

digitales o analógicas; teléfonos celulares, teléfonos satelitales, mensajes de

texto, páginas de Internet, entre otros).

c. Pruebas: Las instituciones financieras deben realizar pruebas de sus planes de

continuidad de negocios, evaluar su efectividad y actualizar su gestión de

continuidad de negocios, según fuere necesario.

Probar la capacidad de recuperación de operaciones críticas tal y como fue planeado es

un componente esencial de una gestión efectiva de la continuidad del negocio. Dichas

pruebas deben ser llevadas a cabo de manera periódica, tomando en cuenta la

naturaleza, alcance y frecuencia, según fuere determinado por la importancia de las

aplicaciones y funciones de negocios, el rol de la institución dentro del mercado y

cambios materiales en el entorno, tanto externo como interno de la institución.

Adicionalmente, dichas pruebas deben identificar la necesidad de modificar el plan de

continuidad de negocios y sus aspectos relacionados. En algunos casos, esta

necesidad de cambio puede ser el resultado de modificaciones en su negocio, sistemas,

software, hardware, personal, instalaciones o el ambiente externo. Tanto la auditoría

interna como la externa, deben evaluar la efectividad del programa de pruebas de la

institución, revisar los resultados de las pruebas e informar sus hallazgos al comité de

auditoría, la alta gerencia y la junta directiva. La junta directiva y la alta gerencia deben

asegurar que cualquier deficiencia encontrada sea subsanada de manera oportuna.

Adicionalmente, a la comprobación que los planes de continuidad del negocio son

evaluados y actualizados cuando fuere necesario, las pruebas también son esenciales

para promover el entendimiento y familiaridad entre el personal clave de sus roles y

responsabilidades en el caso de una interrupción mayor. Es importante por lo tanto, que

27

los programas de pruebas incluyan al personal que seguramente estará involucrado en

caso de interrupciones operacionales mayores.

La alta gerencia debe instruir a las áreas funcionales y éstos a su vez al personal bajo

su supervisión, en los pasos a seguir en caso de una interrupción, de tal manera que

estos sean del conocimiento de todo el personal, así como elaborar los planes de

continuidad de los servicios críticos que están bajo su responsabilidad.

3.4. .Marco Referencial para la Planeación de la Continuidad del Negocio.

Control: Es un medio de gestión de riesgos, como políticas, procedimientos, directrices,

prácticas o estructuras organizacionales, que pueden ser de carácter administrativo,

técnico, de gestión o legal.7

Guía de implementación:

a. Las condiciones para activar los planes y el proceso a seguir antes de dicha

activación.

b. Los procedimientos de emergencia que describen las acciones a realizar tras

una contingencia.

c. Los procedimientos de respaldo

d. Procedimientos temporales de operación

e. Los procedimientos de reanudación.

f. El calendario de mantenimiento

g. Actividades de concientización y formación

h. Las responsabilidades de las personas

i. Los activos y recursos críticos necesarios

7 International Glossary for Resiliency.

28

3.6 Evaluación de madurez en continuidad de negocio.

El BCMM (Business Continuity Maturity Model) es un modelo desarrollado por Virtual

Corporation, Inc. para medir objetiva y consistentemente el estado de preparación para

afrontar contingencias de una organización.8

a. Es una herramienta de diagnóstico para una evaluación objetiva de la efectividad

de un programa de continuidad de negocio.

b. Produce datos consistentes a partir de los cuales se pueden realizar significativos

análisis comparativos (Benchmark).

c. Responde a las siguientes interrogantes: ¿cuál es el nivel actual de madurez del

BCP en la organización?

d. ¿qué nivel de madurez debería alcanzar la institución?

e. ¿Cuál sería la ruta más efectiva para alcanzar el próximo nivel?

El contenido del programa BCP debe de contar con las siguientes competencias:

Liderazgo: el compromiso y entendimiento demostrado por la alta dirección de un

programa corporativo global de continuidad de negocio apropiadamente escalado.

También, el grado para el cual el “caso de negocio” por implementar continuidad de

negocio sostenible ha sido articulado y entendido por el Comité Ejecutivo.

Concientización: la amplitud y profundidad de conocimientos conceptual de continuidad

del negocio en todos los niveles jerárquicos de la organización incluyendo las

consideraciones para la calidad y sostenibilidad de los programas de entrenamiento y

concientización.

Estructura del programa BCP: La escala y la relevancia del programa de BCP en la

organización. El grado en que el programa de BC cumple con el “caso de negocio”

elaborado.

Grado de penetrabilidad del programa: nivel de coordinación de continuidad del negocio

entre los diferentes departamentos, funciones y unidades de negocio a lo largo de toda

8 Revista de investigación de sistemas e informática.

29

la organización. El grado en que las consideraciones de continuidad del negocio han

sido incorporadas en otras iniciativas, programas o procesos de negocio.

Métricas definidas: El desarrollo y monitoreo de las mediciones apropiadas del

desempeño del programa de continuidad del negocio. El establecimiento y seguimiento

de un punto de partida de competencias de la continuidad del negocio.

Compromiso de recursos: la disponibilidad de suficientes recursos humanos (bien

entrenados y respaldados por la organización), financieros y otros recursos para el

sustento de un programa de continuidad del negocio.

Coordinación externa: coordinación de asuntos y requerimientos de continuidad del

negocio con la comunidad externa, incluyendo clientes, proveedores, bancos, gobierno,

acreedores, aseguradoras, etc., asegurando que los eslabones (socios de negocio)

críticos de la cadena de suministros tienen planes de BCP adecuados en su propias

organización.

Contenido del programa BCP: las previas siete competencias corporativas se refieren a

aspectos claves de un programa de BCP. Esta octava competencia corporativa dirige él

como una organización implementa las cuatro disciplinas centrales de la continuidad de

negocio.

Los componentes del programa de BCP son:

a. Administración de incidentes: se asegura de que todos los aspectos de respuesta

a la emergencia, manejo de crisis y cualquier otra actividad involucrada en el

comando, control y comunicación durante una contingencia organizacional y/o

desastre, sean manejados adecuadamente.

b. Administración de seguridad: asegura que la seguridad física (inmuebles),

informática y cualquier otra actividad asociada con proteger la integridad

específica de personas, bienes o información, estén apropiadamente enfocadas.

c. Recuperación tecnológica: asegura que el hardware, software, redes y

aplicaciones críticas de la organización son recuperadas de manera adecuada,

cumpliendo con los tiempos y objetivos previamente definidos (RTO / RPO).

30

d. RPO: (Recovery Point Objective), se refiere al volumen de datos en riesgo de

pérdida que la organización considera tolerable.

e. RTO: (Recovery Time Objective), expresa el tiempo durante el cual una

organización puede tolerar la falta de funcionamiento de sus aplicaciones y la

caída de nivel de servicio asociada, sin afectar la continuidad de negocio.

f. Recuperación del negocio: asegura que las funciones y procesos críticos del

negocio, son recuperables de manera adecuada dentro de los tiempos y

objetivos previamente definidos (RTO / RPO).

Para determinar el modelo de madurez y obtener una calificación objetiva del plan, se

realizó de acuerdo al siguiente “Ciclo Metodológico”:

Ilustración 1 Ciclo metodológico

4. INSTRUMENTO DE INVESTIGACION: Se consideró que debido al tipo de investigación a desarrollar, el instrumento idóneo a

utilizar para recopilar la información es la entrevista con respuestas abiertas.

Por medio de este instrumento se pretende:

31

a. Indagar información general sobre el plan de continuidad de negocios de la

empresa, en que consiste y cuál es el objetivo.

b. Conocimiento del rol de los principales funcionarios involucrados en el plan de

continuidad de negocio de la empresa.

c. Conocer las áreas críticas identificadas por la empresa y que se incluyeron en el

plan de continuidad de negocios.

El personal involucrado y a quien va dirigidas las entrevistas, en primera instancia

corresponden a los miembros de la junta directiva de la empresa, quienes son los que

aprueban el plan de continuidad de negocios, el gerente general quien dirige la

implementación y monitorea el cumplimiento, las áreas de: Operaciones y sistemas,

auditoría interna, riesgo integral y negocios de la empresa “Impulsadora de créditos,

S.A.”

Posteriormente a cada uno de los gerentes de las áreas involucradas en la gestión de

continuidad de negocios.

Para el desarrollo de la entrevista se han elaborado preguntas generales

complementadas con preguntas específicas por cada área.

5. CAPITULOS:

5.1 CAPITULO I: Evaluar si el plan de continuidad de negocios de la

empresa “Impulsadora de créditos, S.A” incorpora las prácticas del DRII

(Disaster Recovery International Institute), para mitigar los riesgos de

interrupción del negocio.

32

La presente investigación fue realizada en una entidad nicaragüense que se dedica al

otorgamiento de préstamos para impulsar el desarrollo en el área urbana y rural, a la

que por sigilo la llamaremos como “Impulsadora de Créditos, S.A”.

En este capítulo se abordará la evaluación del plan de la continuidad de negocios de la

empresa “Impulsadora de créditos S.A”. Para ello se realizó una comparativa entre las

diez prácticas recomendadas por el DRII (Disaster Recovery International Institute) y la

información que contempla el plan de continuidad de negocios de Impulsadora de

créditos, S.A.

Las diez prácticas en mención son las siguientes:

Práctica 1: Inicio y gerencia del proyecto.

Práctica 2: Evaluación de riesgos.

Práctica 3: Análisis de impacto al negocio.

Práctica 4: Desarrollo de estrategias de continuidad de negocios.

Practica 5: Respuesta de emergencia y operaciones.

Practica 6: Desarrollo e implementación de planes de continuidad de negocio.

Practica 7: Conciencia y capacitación.

Practica 8: Mantenimiento y ejercicio de los planes de continuidad de negocios.

Practica 9: Relaciones publicas y coordinación de crisis.

Practica 10: Coordinación con organismos externos

Un plan de continuidad del negocio (Business Continuity Plan, BCP) se puede definir

como la identificación y protección de los procesos y recursos del negocio considerado

críticos para sostener un desempeño aceptable, mediante la identificación de

potenciales amenazas, la definición de estrategias para su eliminación, minimización o

delegación y la preparación de procedimientos para asegurar la subsistencia de los

mismos al momento de concretar dichas amenazas. (Espiñeira, 2008)

Como se mencionó anteriormente, la empresa objeto de investigación está situada en el

rubro de financieras, en ese sentido; está sometida a regulaciones orientadas por la

Súper Intendencia de Bancos y de Otras Instituciones Financieras (SIBOIF), la cual por

33

exigencia obliga a las empresas de este ramo contar con un plan de continuidad de

negocio.

“Las interrupciones mayores de las operaciones varían en alcance y duración. Al

evaluar si su gestión de continuidad del negocio es suficiente para dar respuesta a una

interrupción mayor”9.

La misión primordial de un BCP es la mitigación de riesgos que puedan interrumpir las

operaciones del negocio. En ese sentido, se debe de cumplir con las caracterísitcas

antes mencionadas para tener seguridad razonable de que el BCP funcionará al

momento de una eventualidad y que se podrá tener continuidad de las operaciones.

Para evaluar un plan de continuidad de negocio, primero se debe realizar una revisión

de la metodología utilizada en la elaboración del mismo, así como también comprender

el conjunto de leyes, normas y regulaciones que la rigen.

La empresa Impulsadora de Créditos, S.A hace una declaración en su manual de

Gestión de Continuidad de Negocio que ha hecho uso de las siguientes normativas :

Normativa de la Super Intendencia de Bancos y de Otras Instituciones Financieras y

mejores prácticas emanadas de la Norma ISO 22301en lo que sea aplicable.

Por tanto inicialmente la investigación partirá de estos marcos de referencia para

determinar que bastan y son apropiados. Posterior se efectuará una comparación de

marcos de referencia metodológicos, es decir; se comparará el marco de referencia

utilizado por la empresa versus el DRII (Disaster Recovery International Institute), el cual

es el marco de referencia que se utilizó para efectos de la presente investigación (ver

marco teórico apartado 3.2).

El modelo DRII recoge una lista de actividades que se encuentran supeditadas a

prácticas recomendadas que proporcionan una guía de elaboración de un plan de

continuidad de negocio. El modelo DRII es proporcionado y ha sido recopilado e

investigado por la empresa consultora de nivel internacional Iteam, la cual se enfoca a

la generación de valor estratégico.

El resultado de la comparación efectuada se detalla a continuación: 9 Resolución no. CD.SIBOIF.611.1.ENE22.2010

34

Practica I: Inicio y gerencia del proyecto.

Esta práctica la integran las siguientes actividades:

i. Documentar la importancia de contar con un BCP.

Debe estar basada en el conocimiento de la industria de la Compañía, su entorno

regulatorio y riesgos conocidos hasta el momento, que al ser identificados dieron origen

a la necesidad de definir un plan de continuidad de negocio.

En su manual de gestión de continuidad de negocios la empresa reconoce que es

importante identificar los riesgos a los que se encuentra ante eventuales contingencias

o desastres que pudieran afectar severamente la operación normal de sus procesos y

procedimientos de negocio.

Sin embargo, la declaración sobre la importancia de la elaboración del manual de

gestión de continuidad de negocio no cuenta con el sustento que evidencie que la

empresa al momento de elaborar el manual considero todos los riesgos conocidos hasta

el momento.

ii. Definir los criterios que sustenten la elaboración:

Se tiene que definir el objetivo y las políticas de implementación del plan de continuidad

de negocios.

Los objetivos que contempla el plan de continuidad de negocios de “Impulsadora de

créditos S.A” son los siguientes:

1. Permitir a la institución trascender ante la crisis y recuperarse en el menor tiempo

posible.

2. Garantizar que los empleados:

a. Estén protegidos

b. Comprendan su papel

c. Saben a dónde ir

d. Saben que hacer

e. Saben que recursos necesitan

f. Entiendan la secuencia de las tareas críticas

35

3. Ayudar a planificar la recuperación y reanudación de las operaciones.

4. Validar asuntos de la recuperación de la institución como:

a. Necesidades de telecomunicaciones durante y después del desastre.

b. Lugar alterno para recuperación de desastre.

Se identifica el objetivo, pero se desconoce si ya se dio a conocer a su personal como

una política de estricto conocimiento y cumplimiento.

iii. Definir los objetivos y las políticas del proyecto de implementación.

El objetivo debe basarse en la protección de las vidas humanas, minimizar las pérdidas

operativas, maximizar la capacidad de recuperación de las operaciones, mantener la

posición competitiva de la compañía y mantener la confianza de los clientes.

Según el manual de gestión de continuidad de negocios de “Impulsadora de créditos,

S.A”, la comunicación al personal acerca del plan de continuidad de negocios es su

objetivo principal, el equipo de recuperación de gestión humana garantiza el

cumplimiento mediante las siguientes funciones:

a. Preparar comunicaciones para orientar y dar atención a todo el personal.

b. Coordinar las actividades a realizarse durante la situación de crisis o

contingencia.

c. Establecer los lineamientos administrativos, legales, de seguridad y de recursos

humanos.

d. Apoyar y asesorar en las decisiones y acciones que deban ser adoptadas.

e. Brindar soporte logístico y/o administrativo para la recuperación.

f. Elaborar, revisar, validar y aprobar los pagos de la nómina referentes a salarios

de los colaboradores en casos de crisis.

iv. Documentar y sustentar los objetivos.

Estos deben estar incorporados en el documento del plan de continuidad de negocios.

En el manual de continuidad de negocios de “Impulsadora de créditos, S.A” los

objetivos que se encuentran contemplados son los siguientes:

a. Proteger los procedimientos críticos de “Impulsadora de créditos, S.A,” ante

eventos de crisis o contingencia.

36

b. Lograr una recuperación oportuna de las operaciones y de la información al

momento de presentarse una contingencia.

c. Proporcionar una guía para dirigir las actividades de respuesta y recuperación

ante eventos de crisis o contingencia.

La empresa realiza una medición traducida a los tipos de prueba para evaluar la

eficiencia y eficacia de los procesos de recuperación ante crisis.

v. Nombrar al comité responsable del desarrollo del proyecto BCP:

Se debe nombrar un líder coordinador y responsable de la gestión y ejecución del

proyecto. Este comité debe estar conformado por las gerencias claves que manejan

recursos e información y con la autoridad adecuada para que puedan tomar decisiones.

En el caso del manual de gestión de continuidad de negocios de “Impulsadora de

créditos, S.A”, menciona que existe un comité de continuidad de negocios, conformado

por los siguientes cargos:

a. Gerente General – presidente

b. Gerente de finanzas y administración – miembro

c. Gerente de negocios – miembro

d. Gerente de operaciones y sistemas – miembro

e. Gerente de recursos humanos- secretario de actas

f. Gerente de gestion integral de riesgos – miembro

g. Jefe de seguridad- miembro.

vi. Asignar recursos financieros y definir responsabilidades:

Esta actividad se refiere a que deben identificarse los recursos financieros y definir las

responsabilidades de cada uno de los miembros en la consecución del proyecto.

En el manual de “Impulsadora de créditos S.A” no se especifican los recursos

financieros destinados, pero si se indican las responsabilidades de los miembros del

comité de continuidad de negocios. Los cuales son los siguientes:

a. Liderar la recuperación del procedimiento a su cargo en el caso de alguna

contingencia.

b. Identificar los procedimientos de recuperación bajo su supervisión.

37

c. Servir de enlace entre el equipo de recuperación y el comité de continuidad.

d. Mantener informado sobre el estado de recuperación al líder ejecutivo del plan de

continuidad de negocio.

e. Coordinar con los demás líderes de los equipos de recuperación.

vii. Identificar y definir las etapas del proyecto:

Debe existir un conocimiento verdadero sobre la realidad en cuanto a lo que es un Plan

de continuidad de negocio y como se puede implementar y mantener, analizando las

metodologías utilizadas a nivel mundial, con el objetivo de extraer lo mejor de cada una e

identificar cuáles son las actividades necesarias para mantener e implementar un BCP.

En el manual de gestión de continuidad de negocios de “Impulsadora de Créditos, S.A”

se identifican dos fases del proyecto: prevención y gestión de crisis. Los cuales a su

vez, contemplan:

Fase de prevención:

1. Análisis de impacto al negocio.

2. Estrategias de continuidad de negocio.

3. Ejercicio y auditoría.

Fase de gestión de crisis:

1. Plan de continuidad de negocio y plan de administración de crisis.

2. Plan de recuperación de desastres.

viii. Planificación de la política de continuidad de negocio.

Es necesario el establecimiento de los compromisos que debe adoptar la Dirección, fijar

cómo designar a un coordinador de continuidad de negocio, determinar la

documentación que debe considerarse como evidencia para el BCP y precisar las

principales características que debe poseer la Política de Continuidad de Negocio.

En el caso de impulsadora de créditos, S.A el coordinador del plan de continuidad está

dividido por áreas o comités de recuperación.

38

ix. Comprensión de la organización y análisis de riesgos.

La práctica menciona que se debe realizar un estudio que permita conocer y

comprender la organización en su totalidad y definir como se debe realizar un Análisis

de Impacto al Negocio (BIA).

En el caso del manual de impulsadora de créditos, S.A el análisis del BIA realizado por

la compañía incluye:

Niveles de criticidad:

a. Crítico.

b. Medio

c. No critico

Procesos críticos identificados:

a. Impacto de cara al cliente

b. Impacto operacional

c. Impacto normativo y legal

x. Medidas preventivas:

Se debe explicar cómo se debe realizar un plan de acción, que contemple las

tareas que la compañía pretende adoptar para prevenir contingencias.

En el manual de “Impulsadora de créditos, S.A”, respecto a esta actividad en

cada sesión de prueba deberá estar planificada en cuanto a tiempos, orden de

objetivos, procesos, lugares, estaciones físicas de operación y personal

participante en las pruebas.

xi. Estrategias de recuperación:

Establecer cómo debe realizar las estrategias de recuperación para las

actividades críticas de la organización, establecer cómo se deben definir los

cargos o los equipos necesarios para la activación del Plan de Contingencia y

determinar cómo se deben documentar los planes de contingencia.

39

Respecto a esta actividad en el manual de gestión de continuidad de negocios

de “Impulsadora de créditos, S.A” se declara que las estrategias se derivan de

los resultados obtenidos en el análisis del impacto de negocio. Las mismas

deben ser realizables y verificables mediante pruebas, tener una alta

probabilidad de éxito, ser consecuente con los requerimientos de tiempo y

presentar una relación de costo- beneficio favorable.

xii. Pruebas, revisión y mantenimiento del BCP:

Se debe precisar cómo se deben realizar las pruebas, revisiones y

actualizaciones del BCP.

Según el manual de gestión de “Impulsadora de créditos, S.A” se pueden

realizar pruebas de sobremesa de varios escenarios, hacer simulaciones,

pruebas de recuperación técnica, ensayos generales, entre otros.

En cuanto a la actualización del plan se realiza cada vez que se genere un

cambio en los procedimientos críticos, cambios en la estructura organizacional

del personal crítico y en la tecnología.

Práctica II: Evaluación de Riesgos

Esta etapa es la más importante para el diseño del plan. Contiene las siguientes

actividades:

i. Obtener un entendimiento de la industria y el negocio en el cual opera la

compañía:

Se debe identificar los procesos de negocio esenciales, los recursos o activos

que necesitan ser protegidos o resguardados para asegurar la correcta

operación del negocio ante una posible amenaza interna o externa. Algunos

ejemplos de recursos o activos pueden ser:

a. Personas (clientes, empleados, suscriptores)

b. Recursos físicos (maquinarias, equipos de comunicación y computo,

medios magnéticos)

c. Recursos de información (base de datos, sistemas, manuales de usuarios,

materiales de entrenamiento, etc.)

40

d. Documentos físicos (contratos, licencias, permisos)

En el manual de “Impulsadora de créditos, S.A”, la empresa considera dentro de sus

principales activos:

a. Desembolsos de créditos.

b. Recuperación de créditos.

c. Pago de planilla.

d. Entrega de información a otra área.

e. Entrega de información al ente regulador.

f. Cierres mensuales.

g. Monitoreo de servidores.

ii. Entender los procesos significativos de la entidad:

En esta actividad se deben detectar las debilidades o vulnerabilidades existentes en los

procesos y en la compañía que permiten que las amenazas se materialicen. Durante

esta etapa es importante hacernos las siguientes preguntas:

a. ¿Cuáles son las actividades o procesos más importantes de la compañía?

b. ¿Cuáles son los recursos o activos principales de estos procesos?

c. ¿Cuáles son las principales amenazas a las que se encuentran expuestos según

su vulnerabilidad?

d. ¿Cuáles son los riesgos que se pueden materializar, riesgos de mercado, riesgos

de producción, riesgos de ser humano, etc.?

En el manual de” Impulsadora de créditos, S.A” los riesgos o amenazas que la empresa

tiene identificadas dentro de su plan de continuidad de negocios son de origen externo y

origen interno.

a. Desastres naturales.

b. Actos maliciosos.

c. Incidentes sanitarios ambientales.

d. Incidentes financieros.

e. Incidentes laborales.

41

f. Incidentes sociales.

g. Incidentes tecnológicos.

h. Incidente persona.

i. Incidente reputación.

Los riesgos se encuentra clasificados en:

a. Riesgo ambiental.

b. Riesgo persona.

c. Riesgo tecnológico.

d. Riesgo reputacional.

iii. Evaluar el impacto o magnitud económica:

Esto con base a la probabilidad de ocurrencia de las amenazas. Considerando que

ocurren en el peor momento posible, dando lugar a un grave deterioro de la capacidad

del organismo para realizar negocios. Algunos criterios que pueden ayudar a valorar las

pérdidas pueden ser:

a. Costo de horas de trabajo perdidas.

b. Ingresos dejados de percibir por interrupción de producción.

c. Multas por incumplimiento de contratos.

d. Multas o sanciones por incumplimiento de seguridad.

Respecto a esta actividad en el manual de gestión de “Impulsadora de créditos,

S.A”, los responsables de los procedimientos deberán evaluar los impactos

negativos generados por una posible interrupción en dichos procedimientos.

Estos impactos se clasifican en cuatro categorías: financieros, legales, de

imagen o reputaciones y ante los clientes externos.

iv. Evaluar y clasificar los riesgos:

De acuerdo a criterios pertinentes establecidos, identificar los riesgos que están bajo

control de la organización (por factores internos) y los riesgos que están fuera de control

de la organización (por factores externos).

a. Clasificar los riesgos por el tipo.

42

b. Evaluar los riesgos en la categoría de alto, medio, bajo, mínimo.

Los riesgos o amenazas que la empresa tiene identificadas dentro de su plan de

continuidad de negocios son de origen externo y origen interno.

a. Desastres naturales

b. Actos maliciosos

c. Incidentes sanitario ambientales

d. Incidentes financieros

e. Incidentes laborales

f. Incidentes sociales

g. Incidentes tecnológicos

h. Incidente persona

i. Incidente reputación.

Clasificación de riesgos:

j. Riesgo ambiental

k. Riesgo persona

l. Riesgo tecnológico

m. Riesgo reputacional

v. Evaluar los riesgos, de llegar a materializarse el riesgo como afectaría la

continuidad del negocio.

En el manual de gestión de continuidad de negocios, los riesgos identificados en el

análisis de riesgos aceptables (RA) son:

a. Infraestructura.

b. Proveedores externos.

c. Entorno.

d. Imagen.

e. Seguridad física.

f. Tecnología.

43

vi. Identificar alternativas de metodologías de análisis de riesgos y herramientas:

Las metodología pueden ser cualitativas y cuantitativas, cuáles serían las ventajas y

desventajas de utilizar la metodología seleccionada.

En el manual de “impulsadora de créditos S.A” no se especifica esta actividad, que tipo

de alternativas metodológicas consideraron en la elaboración del manual.

vii. Crear en toda la organización los métodos de recopilación de información y

distribución de la misma:

Estos pueden ser; formularios, entrevistas, reuniones, revisión de la documentación y

análisis.

En el caso de impulsadora de créditos, S.A no se especifica los métodos utilizados para

recopilar la información.

viii. Tratamiento al riesgo:

Una vez que se han identificado los riesgos y se han evaluados, se prosigue a

establecer la acción más apropiada de cómo tratarlos para minimizar su impacto. En

esta etapa existen cuatro acciones posibles a seguir:

a. Reducir el riesgo.

b. Aceptar los riesgos partiendo de que su impacto será mínimo.

c. Transferir los riesgos asociados a otras partes.

En el manual de gestión de plan de continuidad de negocios de impulsadora de créditos,

S.A:

a. El nivel de riesgo aceptable definido es bajo.

b. Las incertidumbres productos de incidentes de medio o bajo impacto se hallan

cubiertas por pólizas de seguro.

ix. Crear los controles necesarios que ayuden a disminuir el impacto de los riesgos:

Se trata de llevarlos a un nivel residual aceptable por la organización. Crear controles

preventivos, detectivos o correctivos y también identificar las medidas para prevenir y/o

mitigar el efecto de la pérdida.

44

En el plan de continuidad de negocios de “impulsadora de créditos, S.A”., contempla

equipos de recuperación para mitigar pérdidas como por ejemplo: tecnología, seguridad

interna, gestión humana, negocios, finanzas.

x. Revisión constante de los controles implementados para mitigar los impactos

relacionados con los riesgos identificados:

Se debe realizar revisiones periódicas y revisiones sorpresivas, prueba de controles

alternativos y controles compensatorios.

En el manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”

se declara que los controles implementados se actualizan en conjunto con el plan de

continuidad de negocio en casos que se realice algún cambio.

xi. Organizar equipos especializados con roles y responsabilidades específicas:

Para hacer frente a la materialización de un evento que ponga en riesgo la

sostenibilidad o continuidad de la organización, equipos especializados en manejo de

incidentes, manejo corporativo de crisis, importante equipos gerenciales y funcionales

para la recuperación del negocio y para la recuperación tecnológica.

En el plan de “Impulsadora de créditos, S.A” se menciona la existencia de un comité de

administración de crisis y equipos de recuperación cuando se dé el suceso.

xii. La creación de un centro alterno:

Es decir una ubicación física alternativa, diferente a la principal, en donde se va a

establecer la estrategia de recuperación de una entidad, pudiendo ser un centro alterno

para TI y/o de operaciones.

En el manual de gestión de continuidad de negocios se declara que la alternativa de

traslado de personal hacia un sitio alterno de operación se presenta en el evento que los

funcionarios no puedan acceder a las instalaciones de la institución.

Práctica III: Análisis de impacto al negocio:

i. Obtención de la Relación de Procesos:

Establecer los procesos de negocio que se realizan en la compañía.

45

En el manual de gestión de continuidad de negocios de “impulsadora de créditos, S.A”

declara que la relación de los procesos se determina a través del uso de cuestionario

BIA y el establecimiento de niveles de criticidad.

ii. Obtención de la relación de aplicaciones:

Establecer la relación de aplicaciones que soportan los procesos de la compañía.

Para el caso del manual de gestión de “Impulsadora de créditos, S.A” los principales

aplicativos de la institución no se encuentran disponibles, como es el caso cuando el

hardware y/o software presenta fallas o cuando haya interrupción prolongada de las

comunicaciones, ocasionados por: datos corruptos, fallos de componentes, fallas de

aplicaciones y/o error humano.

iii. Relación de Departamentos y Usuarios:

Se identifican los departamentos que hay en la organización y el nombre de las

personas que la componen y que intervienen en los procesos.

En el caso de “impulsadora de créditos, S.A” se determinaron los departamentos de

administración, tecnología, gestión humana, asesoría legal, contabilidad y auditoría.

iv. Determinar cuáles son los Procesos Críticos:

Pueden darse dos valoraciones, una basada en la importancia para la compañía de los

procesos cuya ausencia tendría un impacto alto en la actividad de la compañía

(valoración cualitativa). La otra, se referiría a las pérdidas económicas por período

debido a la ausencia de los procesos (valoración cuantitativa).

En el manual de gestión de continuidad de negocios de “Impulsadora de créditos, S.A”,

se determinan como procesos críticos:

a. Desembolsos de créditos.

b. Recuperación de créditos.

c. Pago de planilla.

d. Entrega de información al ente regulador.

v. Definición del período Máximo de Interrupción:

El acumulado de pérdidas suele ir creciendo linealmente a medida que pasan los días y

las actividades están interrumpidas. No obstante, a partir de un momento que

46

denominaremos Período Máximo de Interrupción, las pérdidas sufren un aumento

significativo y las funciones no podrían ser reasumidas.

Impulsadora de Créditos, S,A. determinó su RTO en: 2 días.

vi. Identificar sitios físicos:

Se valida la lista de instalaciones físicas o entidades en donde opera los servicio de TI

de la organización.

El sitio físico según el manual de gestión de “impulsadora de créditos, S.A” se

encuentra en: Sitio alterno.

vii. Identificar sistemas de información:

Se obtiene la lista de los sistemas de información que se poseen en cada instalación y

se determina cuáles de ellos están relacionados de manera directa o indirecta con el

servicio de TI.

Los que se encuentran en el manual de gestión de continuidad de negocios de

impulsadora de créditos, S.A son:

a. Redes y comunicaciones.

b. Soporte técnico de hardware.

c. Administración de base de datos.

viii. Determinar el RTO, RPO de cada sistema:

Se estima, mediante encuestas o entrevistas, el tiempo de recuperación objetivo, el

punto de recuperación objetivo y el tiempo máximo tolerable fuera de servicio para cada

proceso en cada instalación con el fin de ayudar en la definición de las estrategias de

recuperación.

En el caso de “Impulsadora de créditos, S.A” el RTO se determinó de acuerdo a las

funciones de cada unidad de negocio. El RPO no se encuentra establecido en manual

de gestión de continuidad de negocios de la empresa.

47

Práctica IV: Desarrollo de Estrategias de Continuidad del Negocio

Esta práctica contiene cinco actividades que deben considerarse para desarrollar la

estrategia de continuidad de negocios:

i. Entender las alternativas disponibles y sus ventajas, desventajas, y los rangos de

costo, incluyendo la mitigación como una estrategia de recuperación:

a. Identificar estrategias viables de recuperación dentro de las áreas funcionales

de la organización

b. Consolidar las estrategias

c. Identificar requisitos off-site e instalaciones alternativos.

d. Desarrollar estrategias de unidad de negocio.

e. Obtener el compromiso de gestión de las estrategias desarrolladas.

f. Identificar en toda la organización los requisitos organizacionales para realizar

las estrategias de continuidad.

g. Revisión de los problemas de continuidad de negocio.

h. Los plazos, opciones, ubicación, persona, comunicaciones (crisis/medios de

comunicación y de voz/datos).

i. Examinar las cuestiones relacionadas con el soporte de la tecnología de la

continuidad de cada servicio.

j. Revisión de la tecnología que resuelva los problemas de continuidad para

cada servicio de apoyo, incluidos los servicios de apoyo que no depende de la

tecnología.

k. Comparar soluciones internas/externas

l. Identificar estrategias alternativas de continuidad:

a. No hacer nada

b. Aplazar la acción

c. Manual de procedimientos

d. Acuerdos recíprocos de alternativa lugar o la instalación de negocios.

48

e. Fuente alternativa de producto de terceros proveedores de

servicios/proveedores externos.

f. Procesamiento distribuido

g. Alternativo de comunicación

h. Mitigación

i. Planificación anticipada

j. Comparar las soluciones internas y externas

k. Evaluar los riesgos asociados a cada estrategia de continuidad opcional.

En el manual de gestión de continuidad de negocios de Impulsadora de créditos,

S.A cada proceso deberá contar con una estrategia de continuidad de negocio

que podrá ir desde la instalación de un sitio alterno, hasta la suspensión del

proceso por un tiempo determinado.