Administración de la Continuidad del Negocio - dgrv.org · Administración de la Continuidad del...

Confederación Alemana de Cooperativas Confederação Alemã das Cooperativas

Administración de la Continuidad del Negocio Y su importancia para las Cooperativas de Ahorro y

Crédito

Estudios de la DGRV No. 10

La serie “Estudios de la DGRV” es un esfuerzo de esta organización por analizar más profundamente temas y avances de importancia

para el sector cooperativo-financiero en América Latina

José I. Castro M. Gerente General GSI Corporation República Dominicana

www.dgrv.org Página web en español Website em portugués

San José, Mayo 2007

DGRV São Paulo Estudio No. 10 - Continuidad Negocio CACs ________________________________________________________________________________________

____________________________________________________________________________________ Mayo 2007 3

334 C355a Castro, Jose Israel Administración de la Continuidad del Negocio y su

importancia para las Cooperativas de Ahorro y Crédito / José I. Castro. – 1ª. ed. – San José, C. R. Confederación Alemana de Cooperativas (DGRV), 2007.

37 p.; 21x14 cm. ISBN 9968-913-66-9 1. Cooperativismo. 2. Cooperativas de Ahorro y Crédito 3.

Cooperativas I. Título

© 2007. Prohibida su reproducción total o parcial sin previa autorización escrita de la

DGRV Sāo Paulo.


____________________________________________________________________________________________ Mayo 2007 3

Administración de la continuidad del negocio Su importancia para las Cooperativas de Ahorro y Cr édito

José I. Castro M. [email protected] República Dominicana

Programa de Administración para la Continuidad de Negocio “Un proceso continuo de Administración y Gobernabilidad, soportado por la alta gerencia y provisto de recursos para asegurar que son dados los pasos necesarios para identificar el impacto de pérdidas potenciales, mantener las estrategias y planes de recuperación viable y asegurar la continuidad de los productos y servicios mediante el ejercicio continuo, aplicación práctica, pruebas recurrentes, capacitación, mantenimiento y aseguramiento” The Business Continuity Institute


____________________________________________________________________________________________ Mayo 2007 4

Tabla de Contenido Tabla de Contenido ..............................................................................................................................4 1. Introducción .....................................................................................................................................5 2. Propósito del presente trabajo ..........................................................................................................7 3. A quien está dirigido ........................................................................................................................8

3.1. Participantes de las Cooperativas de Ahorro y Crédito.- ..........................................................8 3.2. Autoridades Financieras............................................................................................................8

4. Responsabilidades del Consejo de Directores y los ejecutivos........................................................9 5. Administración Efectiva de la Continuidad del Negocio...............................................................11 6. El proceso de Planificar la continuidad del negocio - (Business Continuity Planning)................12

6.1. Importancia del proceso ..........................................................................................................12 6.2. Análisis de Impacto del Negocio (BIA)..................................................................................14 6.3. Evaluación de riesgos..............................................................................................................15 6.4. Administración de riesgos – Desarrollo del BCP...................................................................17 6.5. Otras políticas, estándares y procesos.....................................................................................19 6.6. Monitoreo del Riesgo..............................................................................................................22 6.7. Estrategia de pruebas...............................................................................................................22 6.8. Alcance de las pruebas y objetivos .........................................................................................22

7. Principios de Alto Nivel para la Continuidad de Negocios ...........................................................23 8. Amenazas Internas y Externas .......................................................................................................24 9. Interdependencias...........................................................................................................................28

9.1. Infraestructura de Telecomunicaciones...................................................................................28 9.2. Proveedores claves ..................................................................................................................30 9.3. Socios de negocio....................................................................................................................30

10. Resumen y aplicaciones ..............................................................................................................32 11. Fuentes de Información…………………………………………………………………………33 12. Anexo 1……………………………………………………………………………………… .34 12. Sitios Web relacionados………………………………………………………………………...36


____________________________________________________________________________________________ Mayo 2007 5

1. Introducción Las interrupciones operativas pueden ocurrir con o sin aviso, y los resultados pueden ser predecibles o impredecibles. Debido al rol de las instituciones financieras en las economías de los países, es importante que sus operaciones de negocios sean confiables y el efecto de interrupción en los servicios sea minimizado para mantener la confianza pública en el sistema financiero. Un Plan de Continuidad de Negocios efectivo, permite establecer las bases para que las cooperativas de servicios financieros puedan mantenerse y recuperarse en sus procesos de negocios, cuando las operaciones han sido interrumpidas de forma inesperada. Es por eso que hoy existen instituciones para velar y examinar los procedimientos, así como asistir a las instituciones financieras en el manejo de sus procesos de administración de riesgos, para asegurar disponibilidad de los servicios financieros considerados críticos.

Los huracanes ocurridos en 2004 y 2005 evidenciaron una vez más tanto el crecido impacto global de los desastres como la necesidad de disponer de medidas de contingencia, alerta y preparación para múltiples amenazas y eventos extremos con períodos largos de retorno. Pero sobre todo quedó claro cómo la intervención en el medio natural puede acarrear consecuencias desastrosas si la vulnerabilidad construida no se atiende de manera adecuada. También se reveló la necesidad de adoptar la reducción del riesgo como una política nacional explícita en la agenda del desarrollo.

En el año 2005 se ratificó la tendencia ya observada desde 2004. Con un impacto global que superará los 208.000 millones de dólares, más de 4.636 personas fallecidas, la afectación a más de 11,1 millones de personas, son hechos que motivan preocupación tanto en la comunidad humanitaria como en los círculos financieros, reaseguradores, y en la comunidad académica. Excluidos los daños registrados en Estados Unidos, las estimaciones preliminares sobre el monto de daños y pérdidas en América Latina y el Caribe superan los 8.000 millones de dólares (de los cuales la CEPAL ha evaluado eventos en Mesoamérica y en el Caribe por $6.448.000 dólares).

La Planificación de la Continuidad del Negocio (inglés BCP por Business Continuity Planning) es el proceso mediante el cual las instituciones de servicios y financieras se aseguran de mantener o recuperar sus operaciones, incluyendo servicios al cliente, cuando confrontan eventos adversos, tales como DESASTRES NATURALES, FALLAS TECNOLOGICAS, ERRORES HUMANOS O TERRORISMO. Una efectiva planeación en la continuidad del negocio, establece lo básico para que las instituciones financieras puedan mantener y recuperar sus procesos de negocios cuando las operaciones han sido interrumpidas inesperadamente. Esta incluye la capacidad para gestionar sus activos físicos. La eficacia y eficiencia futuras de las compañías dependen cada vez en mayor grado del funcionamiento ininterrumpido de los sistemas de aplicación, ya que los mismos deben hacer posible dirigir y controlar el negocio mediante la distribución de la información en forma y tiempo tales que permitan a la Gerencia cumplir con sus responsabilidades.


____________________________________________________________________________________________ Mayo 2007 6

Los objetivos de un plan de continuidad de negocios (BCP por sus siglas en inglés – Business Continuity Plan) son minimizar las perdidas financieras de la institución, continuar ofreciendo servicio al cliente y a los participantes en los mercados financieros, así como mitigar los efectos negativos dejados por las interrupciones en los planes estratégicos de la institución, su reputación, las operaciones, liquidez, calidad de crédito, posición de mercado y capacidad para mantenerse en cumplimiento con las leyes y regulaciones aplicables. Los cada vez más cambiantes procesos de negocios y los nuevos escenarios de amenaza requieren que las instituciones financieras puedan mantener un BCP actualizado y viable. Revisar el Plan de Continuidad de una institución financiera es una parte de lo establecido en la evaluaciones de las agencias miembros del FFIEC (Federal Financial Institutions Examination Council). De todas formas, las prácticas de nuevos negocios, cambios en la tecnología y las preocupaciones cada vez mayores por el terrorismo, deben enfocar una mayor atención en la necesidad de un efectivo Plan de Continuidad del negocio y han alterado las pruebas y evaluaciones para un plan efectivo. Por ejemplo, un efectivo Plan de Continuidad debe tomar en cuenta el potencial para un área más amplia de desastres que impacta la región, con el resultado de pérdida de accesibilidad por parte de los empleados. Además debe considerar y direccionar interdependencias, tanto de mercado como geográficas, entre participantes del sistema financiero, así como los proveedores de servicios de infraestructura. En la mayoría de los casos, los Objetivos de Tiempo de Recuperación (RTO) 1 son ahora mucho más cortos de lo que eran hace unos pocos años. Para algunas instituciones estos objetivos de recuperación están basados en horas y hasta en minutos. Algunas instituciones financieras están incorporando consideraciones de continuidad de negocios, en el desarrollo de sus procesos de negocios para mitigar de manera pro-activa el riesgo de interrupción de servicios. En la creación de un efectivo BCP, las cooperativas de servicios financieros deben no asumir una reducida demanda de servicios durante las interrupciones, en realidad la demanda de algunos servicios (ejemplo ATMs) tienden a incrementarse durante algún desastre.

1 Recovery Time Objective (RTO – Un elemento esencial obtenido del Análisis de Impacto de Negocio (Business Impact Analysis) que

identifica el tiempo máximo que las actividades de misión critica y/o sus dependencias deben ser recuperadas. Glossary of general, Business Continuity Management Terms. The Business Continuity Institute (thebci.org)


____________________________________________________________________________________________ Mayo 2007 7

2. Propósito del presente trabajo

En este documento estaremos profundizando en los aspectos relevantes relacionados con la importancia de un proceso de Administración de la Continuidad del negocio (BCM), de manera que pueda proveer una guía básica para asistir en la elaboración de un Análisis de Impacto de Negocio, como base para un plan de continuidad y control de riesgos para proveedores de servicios, tanto internos como externos y asegurar la disponibilidad de los servicios financieros.

Cómo puede un plan actualizado ayudarnos a ser efectivos en caso de contingencias o desastres, considerando las estructuras y el nivel de madurez de las Cooperativas de Ahorro y Crédito en América Latina y El Caribe? Esta es una de las preguntas a desarrollar en el presente contenido. Este trabajo pretende resaltar la importancia de un buen Plan de Continuidad de negocios, Administrado, Actualizado y organizado, como factor fundamental para generar confianza de los clientes, empleados, socios, proveedores y la comunidad. Elevar los niveles de conciencia acerca de las causas que pueden originar la interrupción del servicio y la necesidad de contar con un plan de continuidad que garantice -a nuestros clientes y de nuestros proveedores-, el control de los riesgos y la realización de las actividades adecuadas que contribuyan a garantizar la recuperación de los servicios y procesos críticos en el menor tiempo posible. Algunos conceptos importantes de conocer sobre Continuidad de Negocios son los siguientes:

• Un Plan de Recuperación de Negocios (BRP por sus siglas en inglés) son actividades avanzadas para restablecer los procesos críticos del negocio, luego de una interrupción o evento. Por ejemplo, un BRP provee los planes para restablecer las operaciones de la empresa en una ubicación alterna, luego de un desastre como una inundación, huracán o un tornado.

• Un Plan de Recuperación de Desastre (DRP) contiene los pasos necesarios para recuperar

los datos e informaciones críticas, Sistemas Operativos, Aplicaciones y equipos asociados luego de una interrupción o impacto (ejemplo: Falla de energía). La recuperación de desastres también incluye los sistemas de telecomunicaciones y las redes.

• Un Procedimiento de Respuesta a Emergencia (ERP) son procedimientos para proteger a

las personas y propiedades durante una emergencia como un incendio, inundación o un terremoto. Estos procedimientos de respuestas a emergencias son normalmente un componente del programa de manejo de crisis, al igual que los planes de comunicaciones.

• Los planes de comunicación de crisis son los escritos por los cuales la empresa va a

comunicar a sus empleados (y sus familiares), clientes, suplidores o vendedores, accionistas, instituciones reguladoras y el público en general, luego de un desastre o incidente negativo.


____________________________________________________________________________________________ Mayo 2007 8

3. A quién está dirigido? Los principios de continuidad de negocios incluidos en este documento, han sido enfocados para dos segmentos diferentes aunque relacionados –los participantes en las diferentes instituciones cooperativas de ahorro y crédito y las autoridades financieras encargadas de vigilar el cumplimiento de las regulaciones. Aunque ambos tienen una perspectiva diferente, roles y responsabilidades en el evento de una interrupción operacional, ambos son integrados en cualquier esfuerzo significativo para mejorar la confiabilidad del sistema financiero ante estas interrupciones. El mismo nivel de esfuerzo no sería requerido en todas las organizaciones de estos para lograr los objetivos de cada principio expuesto en este documento. En realidad, muchas organizaciones, tanto empresas de servicios financieros como entidades reguladoras, disponen de un enfoque completo a la administración de la continuidad del negocio. Sin embargo, existen también organizaciones de ambos grupos, a las cuales la atención a estos principios no solo contribuirá a mejorar su prevención a las interrupciones operativas de alto impacto sino que beneficiará la capacidad de prevención del sistema financiero más ampliamente.

3.1. Participantes de las Cooperativas de Ahorro y Crédito Para todo propósito en este documento, los participantes de las Cooperativas de Ahorro y Crédito, en su más amplio sentido, implica las áreas y responsables dentro de la institución, como Seguridad, Operaciones, Servicios al cliente, Auditoria, Administración de Riesgos, entre otras, pero también a aquellas empresas proveedoras de servicios que son considerados necesarios para que el sistema financiero pueda operar, tales como Comunicaciones, papel, transportación, valores y operadores del sistema de pago y liquidación. Una interrupción de los servicios provistos por estos participantes externos, para los cuales no exista un sustituto viable inmediato en muchos casos, tendría un efecto cascada en el sistema financiero. Adicionalmente, en algunos países pueden existir participantes cuya incapacidad de continuar sus operaciones normales pueda, debido a la importancia de sus funciones en estos mercados, afectar los participantes en el sistema y por tanto, originar un efecto cascada en el sistema financiero. Para estos participantes, hay un inevitable paso en sus obligaciones para asegurar un alto grado de confiabilidad en caso de una interrupción operacional de alto impacto. En cambio, la incapacidad de un participante del sector financiero para continuar operando en caso de una interrupción, generalmente no va a rendir los mercados en los que este opera de manera disfuncional, excepto donde este participante es considerado crítico para el mercado.

3.2. Autoridades financieras Las autoridades financieras incluyen las organizaciones con responsabilidad de regulación o supervisión en el sector financiero. Por ejemplo supervisores prudenciales, compañías de seguros y firmas de seguridad están incluidas como agencias de protección al consumidor para los servicios financieros y autoridades responsables de la supervisión de los mercados financieros. Los bancos centrales no supervisores podrían estar incluidos además en su capacidad como supervisores del sistema de pagos y liquidación.


____________________________________________________________________________________________ Mayo 2007 9

Porque los mandatos de las autoridades financieras varían, sin embargo el enfoque de Administración de la continuidad del negocio que es más apropiado para una autoridad financiera, puede no ser apropiado para otra. Además de tener que ocuparse de sus propias actividades para garantizar la continuidad de las instituciones supervisadas, en caso en el evento de una interrupción operacional mayor, las autoridades financieras tienen una responsabilidad más amplia para salvaguardar y mantener la confianza pública en el sistema financiero. Las autoridades financieras pueden también considerar varios niveles de alertas, para permitir a los participantes del sector financiero enfocarse en recuperar las operaciones criticas y proveer los servicios esenciales a sus clientes. Por tanto, los principios que aplican para las autoridades financieras, incorporan de manera explícita la necesidad de entender como una interrupción operativa mayor puede afectar el funcionamiento de los participantes del sector financiero y del sistema financiero en un general, así como identificar participantes del sector financiero cuya incapacidad de recuperarse de sus operaciones y reiniciar sus actividades de negocio de manera normal en un marco de tiempo razonable tendría más amplias implicaciones en el sistema financiero. Los principios presentados en este trabajo, están basados en los estándares internacionales de las organizaciones que los fijan y en autoridades financieras nacionales de varios países, en sus esfuerzos para mejorar la capacidad del sistema financiero frente a interrupciones operativas. Estas no se encuentran descritas en todo el detalle, pero si proveen un marco general para el uso de las organizaciones en el desarrollo de sus planes de continuidad de negocios. Estas además proveen un contexto consistente para sus procesos y permitirán promover una base de conocimientos común a través de las fronteras y regulaciones de los diferentes países y regiones. Más aun, dada la naturaleza global de la industria financiera y la función de las autoridades financieras como punto focal del intercambio de información a través de las fronteras y acciones en caso de eventos que originen interrupción operativa, muchos principios permiten introducir mejoras para los canales de comunicación entre países, que puedan ser utilizados en estas interrupciones o amenazas. La Continuidad del negocio es una prioridad para la industria y las autoridades financieras. Los recientes actos de terrorismo en New York, Londres, Estambul, Madrid y otras ciudades, brotes como el Síndrome Respiratorio Agudo Severo (SARS) y la fiebre Aviar, así como otros desastres naturales dispersados, han servido para elevar esa prioridad, subrayando el riesgo sustancial y las interrupciones operativas mayores para el sistema financiero. Las autoridades financieras y los participantes de la industria financiera tienen un interés común en promover la confiabilidad del sistema financiero a las interrupciones operativas de impacto. Este interés es el resultado de múltiples factores, que incluyen:

• El papel que la intermediación financiera juega en facilitar y promover las actividades de la economía nacional y mundial, proveyendo los medios de realizar y recibir pagos, tomar y otorgar préstamos, realizar transacciones, aseguramiento de riesgos y generación de capital y promoción de inversiones;

• La concentración de los procesos de compensación y liquidación en la mayoría de los sistemas financieros. Las interrupciones de estos procesos pueden representar consecuencias adversas materiales para el sistema financiero e impedir que participantes importantes del mercado puedan completar sus transacciones y cumplir sus obligaciones.


____________________________________________________________________________________________ Mayo 2007 10

• La cada vez más profunda dependencia entre los participantes de la industria financiera en y a través de las jurisdicciones. La velocidad con la cual el dinero y las garantías se convierten diariamente, sostiene las considerables dependencias – en la forma de riesgo de liquidación y últimamente riesgo de crédito y liquidez – entre los participantes del sector financiero y los inversionistas. Los resultados son que las interrupciones operacionales en un participante del sector financiero puede causar dificultades en otros. Más aún, dado el incremento en la globalización de los mercados, las interrupciones en una jurisdicción pueden causar serias implicaciones para otros mediante los conocidos efectos de contagio;

• La posibilidad de terrorismo u otros ataques maliciosos dirigidos, directa o indirectamente, a la infraestructura del sistema financiero.

• La importancia de la confianza pública en la capacidad de funcionamiento normal del sistema financiero. Las interrupciones repetidas o prolongadas en las operaciones de un sistema financiero reduce la confianza y puede resultar en retiros de capital de ese sistema por parte de participantes locales o internacionales.

Al mismo tiempo, otros factores tales como el incremento en la complejidad y el riesgo operacional en todas las áreas del sistema financiero, sumadas al reto de promover su nivel de confiabilidad. Por ejemplo, el sistema financiero es altamente dependiente de la automatización y por ende, en esos elementos de la infraestructura física que soportan la automatización, como las telecomunicaciones y la energía eléctrica. Mientras que las empresas que proveen estas facilidades y servicios que abarcan la infraestructura física están comprometidas de manera activa en sus esfuerzos para mejorar su capacidad de manejo de interrupciones operacionales mayores, las autoridades financieras y los participantes de la industria financiera no tienen control directo sobre sus decisiones cuando ocurren interrupciones operacionales mayores. 4. Responsabilidades del Consejo de Directores y los ejecutivos El consejo de directores y la alta gerencia de las instituciones financieras son responsables de:

• Identificar suficientes recursos y personal con el conocimiento necesario para desarrollar un BCP

• Fijar las políticas para determinar como la institución va a manejar y controlar los riesgos identificados

• Revisar el resultado de las pruebas del BCP

• Aprobar el BCP anualmente

• Asegurarse que el BCP es mantenido y actualizado y los empleados son entrenados y avisados de su role en su implementación y puesta en marcha.

La alta gerencia y el consejo de directores son responsables de identificar , acceder, priorizar , manejar y controlar los riesgos. Estos deben asegurar los recursos necesarios asignados en la creación, mantenimiento y pruebas del plan. El consejo habrá cumplido con sus responsabilidades en la planificación de la continuidad del negocio, al fijar las políticas, priorizar las funciones


____________________________________________________________________________________________ Mayo 2007 11

criticas del negocio, ubicar suficientes recursos y personal, proveerles apoyo y aprobación en la elaboración del BCP, revisar los resultados de las pruebas y asegurar el mantenimiento del plan. La efectividad de un plan de continuidad de negocios depende del compromiso de la gerencia y la capacidad para identificar claramente que hace los procesos de negocios existentes funcionar. Cada institución financiera debe evaluar sus propias y únicas circunstancias y ambiente para desarrollar un plan comprensivo de BCP. El consejo y la gerencia deben designar personal para participar en el desarrollo de un BCP. Asignar los recursos de forma adecuada va a representar un reto en todo el ciclo de desarrollo y mantenimiento de un BCP. Una institución grande y compleja puede necesitar un departamento de planificación de continuidad de negocios con un equipo que tenga sus relaciones interdepartamentales en toda la organización. En cambio una institución pequeña, menos compleja puede requerir solo un coordinador de BCP. Aunque el personal de planificación pueda recomendar ciertas prioridades, al final el consejo de directores y la gerencia son los responsables de entender los procesos críticos de negocios y subsecuentemente establecer un plan para cumplir con los requerimientos de procesos de negocios de manera segura y práctica. 5. Administración efectiva de la continuidad del negocio

La administración de la continuidad del negocio es un proceso continuo que identifica potenciales impactos que amenazan a una organización y provee un marco para la elaboración de pasos con la capacidad de una respuesta efectiva que salvaguarde los intereses de los principales accionistas, su reputación y sus actividades de creación de valor.

La administración de la continuidad del negocio, un componente importante de la Administración del riesgo operacional, es un enfoque al negocio en su todo, que incluye Políticas, Estándares y procedimientos para asegurar que operaciones específicas pueden ser mantenidas o recuperadas en un muy corto tiempo, en el caso de una interrupción. Su propósito es minimizar las consecuencias operativas, financieras, legales, de reputación y otras que se puedan generar de una interrupción.

Una administración efectiva de la continuidad del negocio, se concentra en el impacto, más que en el origen de la interrupción, lo cual permite al sector financiero y a sus participantes una mayor flexibilidad al direccionar un amplio rango de interrupciones. Al mismo tiempo, las organizaciones no pueden ignorar la naturaleza de los riesgos a los que están expuestos. Por ejemplo, las organizaciones localizadas en regiones propensas a terremotos, comúnmente planifican para el impacto de interrupciones operacionales causadas por efectos de terremotos.

Una efectiva administración de la continuidad del negocio, típicamente incorpora Análisis de impacto de negocio, Estrategias de recuperación y planes de continuidad, así como programas de pruebas, capacitación y programas de alertas, comunicación y administración de crisis.

- Un Análisis de Impacto de Negocio es el punto inicial - Es un proceso dinámico que permite identificar operaciones criticas y servicios, dependencias internas y externas claves y niveles de capacidad apropiados. Este determina los riesgos e impacto potencial de varios escenarios de interrupciones en las operaciones y reputación de una organización.


____________________________________________________________________________________________ Mayo 2007 12

- Una Estrategia de Recuperación permite precisar los objetivos de recuperación y prioridades que han sido basadas en el análisis de impacto de negocio. Esta además permite establecer objetivos para el nivel de servicio que la organización requiere dispensar en el evento de una interrupción y el marco para luego reanudar las operaciones normales del negocio.

- Los Planes de Continuidad de Negocio proveen una guía detallada para implementar una estrategia de recuperación. Estos establecen los roles y asignan responsabilidades para el manejo de las interrupciones operacionales y proveen una dirección clara acerca de la sucesión de la autoridad en el evento de una interrupción que inhabilite o no permita localizar personal clave de la institución. Estos también precisan claramente la autoridad en la toma de decisiones y definen las condiciones o indicadores para invocar el plan de continuidad de la organización. La seguridad del personal debe ser la consideración suprema del plan de continuidad de negocio de una organización.

6. El proceso de planificar la continuidad del negocio (Business Continuity Planning)

El proceso de implementar una planificación en la continuidad de negocios de una institución debe reflejar los siguientes objetivos:

• Mantener, reiniciar y recuperar el negocio, no solo recuperar la tecnología • El proceso de planificación debe ser conducido sobre la base de toda la organización • Un cuidadoso análisis de Impacto de negocios y evaluación de riesgos son la base de un

efectivo BCP • La efectividad de un BCP puede ser validada únicamente por la aplicación práctica y las

pruebas. • Los resultados de las pruebas del BCP debe estar sujetos a una auditoria independiente y

revisión por el consejo de directores. • Un BCP debe ser actualizado periódicamente para reflejar y responder a los cambios en la

institución financiera o sus proveedores de servicios.

6.1. Importancia del proceso Las Cooperativas de ahorro y crédito deben conducir una planificación de Continuidad de negocios, en toda la organización. En esta planificación, una institución considera cada aspecto crítico de su negocio en la creación de un plan que defina, como va a responder a las interrupciones. Este plan no es limitado solo a restaurar la información de los sistemas y aplicaciones de tecnología y los servicios, o datos mantenidos en formularios electrónicos, debido a que estas acciones por si solas, no siempre pueden colocar la institución de nuevo al negocio. Sin un plan de BCP que considere cada unidad crítica de negocios, incluyendo personal, espacios de trabajo y aspectos similares, una institución no puede ser capaz de reiniciar el servicio a sus clientes en niveles aceptables. Las cooperativas que utilizan los servicios de un procesamiento externo (outsourcing) la mayoría de sus procesos de negocio u otras aplicaciones o servicios de TI están aun en necesidad de implementar un apropiado BCP que dirija los equipos, personal y proceso que están bajo su control.


____________________________________________________________________________________________ Mayo 2007 13

Todas las instituciones financieras deben además reconocer su papel en el soporte a los procesos de negocios del mercado financiero (ej. Cámaras de compensación interbancarias y liquidación), ya que la interrupción de estos servicios en su institución, pueden afectar significativamente la integridad de los mercados financieros. Las agencias FFIEC animan a todas las instituciones a trabajar con niveles de interdependencia para coordinar el desarrollo y pruebas de un BCP. Estos esperan que las instituciones financieras puedan jugar un mayor papel en los mercados financieros críticos, para tener una planificación más robusta y pruebas coordinadas con otros participantes de la industria. (Los mercados críticos incluyen, los mercados para fondos federales, Casas de Cambio, Papeles Comerciales y bonos del estado y corporativos). Las instituciones financieras que no participan directamente en los mercados financieros críticos, pero no obstante, realizan servicios financieros o soportan actividades del mercado financiero, llevan a los sectores financieros regionales o nacionales, a pensar seriamente en establecer un Plan de Continuidad de Negocios (BCP) y capacidades de recuperación para conmensurar con su rol. Las cooperativas más pequeñas y menos complejas generalmente no necesitan el mismo nivel de planificación, pero se espera que cumplan con su responsabilidad en desarrollar un apropiado BCP y realizar pruebas periódicas adecuadas. La gerencia debe actualizar el BCP en la medida en que cambian sus procesos de negocios. Por ejemplo, las instituciones financieras de todo tamaño, descansan cada vez más en las soluciones de redes distribuidas, para soportar sus procesos de negocios. Esta confianza puede incluir el hecho de que computadoras personales den mantenimiento a aplicaciones claves del negocio. Mientras que la capacidad de redes distribuidas provee flexibilidad al permitir al personal de las instituciones realizar operaciones donde se encuentren sus empleados y clientes, esto además significa que los usuarios finales deben mantener actualizados al personal de BCP en lo que constituyen sus actuales procesos de negocios y cambios significativos. Los avances tecnológicos están permitiendo más rápidos y eficientes procesamientos, reduciendo de este modo los periodos de recuperación de procesos aceptables. En respuesta a las demandas competitivas y de clientes, muchas instituciones financieras se están moviendo hacia reducir los periodos de tiempo de recuperación y diseñando soluciones de tecnología de recuperación en sus procesos de negocios. Estos avances tecnológicos incrementan la importancia de la planificación de continuidad de negocios (BCP). Las agencias del FFIEC inducen a las instituciones financieras a adoptar un enfoque orientado a procesos en lo que respecta a BCP que incluye: 1. Análisis de Impacto del Negocio (Business Impact Analysis o BIA) ; 2. Evaluación de Riesgos (Risk Assessment); 3. Administración de Riesgos (Risk Management); y 4. Monitoreo de Riesgos (Risk Monitoring). Este marco es aplicable independientemente del tamaño de la institución. BCP debe enfocarse en todas las funciones críticas del negocio que necesitan ser recuperadas para reiniciar las operaciones. La planificación en la continuidad para tecnología solamente, no debe ser ya el foco


____________________________________________________________________________________________ Mayo 2007 14

primario de un BCP, sino ver como un aspecto critico los procesos de negocios en todo lo ancho de la organización. Claro, la revisión de cada función crítica de negocio, debe incluir además la tecnología que lo soporta.

6.2. Análisis de impacto del negocio (BIA) Un BIA es el primer paso para desarrollar un Plan de Continuidad de Negocios. Este incluye:

• Identificación del impacto potencial de eventos no-específicos, no controlados, en los procesos de negocio de la institución y sus clientes.

• Consideración de todas las funciones de negocios de los departamentos que conforman la empresa (no solo de tecnología y PED)

• Estimación del tiempo máximo permitido sin esa función de negocios, y los niveles aceptables de datos, operaciones y pérdidas financieras.

El primer paso de una institución para desarrollar un BCP es realizar un BIA, la cantidad de tiempo y recursos necesarios para completar el BIA va a depender del tamaño y la complejidad de la institución. La institución debe incluir TODAS sus funciones de negocios y departamentos en este proceso, no solo procesamiento de datos. Las fases del BIA identifica el impacto potencial de eventos no controlados, cualquiera que puedan afectar los procesos de negocios de la institución. El BIA además debe determinar qué y cuanto está en riesgo al identificar sus funciones criticas de negocios y priorizarlas. Este debe estimar el máximo de tiempo fuera permitido para cada proceso crítico de negocio, puntos de recuperación, objetivos y transacciones reservadas o realizadas durante el tiempo fuera. La gerencia debe establecer las prioridades de recuperación para cada proceso de negocios que identifique personal indispensable, tecnologías, facilidades (espacio físico), sistemas de comunicaciones, registros vitales y datos. El BIA también considera el impacto de requerimientos legales y regulatorios, tales como la privacidad y disponibilidad de los datos del cliente y requiere notificar al regulador primario de la institución y a los clientes, cuando las facilidades son reubicadas. Cuando determinamos las necesidades criticas de una institución financiera, debemos revisar todas las funciones, procesos y personal en cada departamento. Cada departamento debe documentar las funciones de misión crítica realizadas. Para esto deben ser consideradas las siguientes preguntas:

• Qué equipos especializados son requeridos y cómo es este usado? • Cómo funcionaría el departamento si el procesador central, la red o el acceso a Internet no

estuviera disponible? • Cuáles puntos de falla existen y cuán significativo son esos riesgos? • Cuáles son las relaciones externas críticas y sus dependencias?


____________________________________________________________________________________________ Mayo 2007 15

• Cuál es el número de personal mínimo y espacio requerido en un lugar alterno o de recuperación?

• Cuáles formularios especiales o suministro se estaría necesitando en un lugar alterno? (que no sea la oficina).

• Cuáles dispositivos de comunicación serían necesarios en un lugar alterno? (fax, teléfono…) • Qué operaciones críticas o controles de seguridad requieren ser implementados antes de una

recuperación? • Existe algún impacto potencial de un lugar alterno normal, usando múltiples líneas de

negocios o departamentos? • Han recibido los empleados entrenamiento cruzado y ha recibido el departamento definido

empleados de respaldo de funciones/roles que deben realizar si el personal clave no está disponible?

• Están siendo considerados de forma adecuada los aspectos relacionados con el soporte emocional y cuidado de la familia?

6.3. Evaluación de riesgos

La evaluación de riesgos es el segundo paso en desarrollar un BCP, este debe incluir:

• Una lista con las prioridades de las interrupciones potenciales de negocios, basados en la severidad y probabilidad de ocurrencia.

• Un gap análisis comparando el plan existente de continuidad, si existe alguno, con lo que sea necesario para lograr tiempos y objetivos de recuperación y,

• Un análisis de las amenazas, basadas en el impacto a la institución, sus clientes y el mercado financiero, no solo la naturaleza de la amenaza

El paso de la evaluación de riesgo es crítico y representa una diferencia significativa en si los esfuerzos en la planificación del negocio serán exitosos. Si los escenarios de amenaza desarrollados son limitados razonablemente, el BCP resultante puede ser inadecuado. Durante la evaluación de riesgos, los procesos de negocios y las consideraciones del análisis de impacto de negocios (BIA) son sometidos a prueba con varios escenarios de amenaza. Esto presentara un rango de informes o resultados, algunos que no requieren acción para que los procesos de negocios sean satisfactorios, y otros que requerirán un plan de continuidad (BCP) a ser desarrollado y soportado con recursos (financieros y de personal). Las instituciones financieras deben desarrollar escenarios de amenazas realistas que puedan potencialmente interrumpir sus procesos de negocios y la capacidad de cumplir con las expectativas de sus relacionados (Internos, socios de negocios o clientes). Las amenazas pueden tomar cualquier forma, incluyendo actividades maliciosas como desastres técnicos y naturales. En la medida de lo posible, las instituciones deben analizar una amenaza enfocando en su impacto a la institución, no en la naturaleza de la amenaza. Por ejemplo, el efecto de ciertos escenarios de amenaza puede ser reducido a la interrupción de una parte del negocio que afecta solo áreas específicas, sistemas, facilidades (edificios) o áreas geográficas. Adicionalmente, la magnitud de una interrupción del negocio puede considerar una amplia variedad de escenarios de amenaza, basados en experiencias prácticas y circunstancias potenciales y eventos.


____________________________________________________________________________________________ Mayo 2007 16

Si los escenarios de amenazas no son comprensivos, el BCP puede ser muy básico y omitir pasos razonables que pueden incrementar la posibilidad de interrupciones a los procesos de negocio. Los escenarios de amenaza necesitan considerar el impacto de una interrupción y la probabilidad de ocurrencia de esta amenaza. Los rangos de amenaza desde aquellos con una alta probabilidad de ocurrencia y bajo impacto a la institución (ejemplo una breve interrupción eléctrica), hasta aquellos con una baja probabilidad de ocurrencia, pero con un alto impacto a la institución (ejemplo huracanes, terrorismo). Las amenazas de alta prioridad son mayormente soportadas por un BCP muy específico. No obstante, las amenazas más difíciles de direccionar son aquellas que tienen un alto impacto en la institución, pero baja probabilidad de ocurrencia. Con el proceso de Evaluación de Riesgos, el BCP puede ser más flexible y adaptable a tipos de interrupciones especificas que puedan no ser consideraras inicialmente. Es en este punto del proceso de planificación de la continuidad del negocio, que las instituciones financieras deben realizar un gap análisis; en este contexto, un gap análisis es una comparación metodológica de que tipos de planes la institución (o línea de negocio) necesita para mantener, reiniciar o recuperar sus operaciones normales de negocios en el evento de una interrupción, Vs que provee el existente plan BCP. La diferencia entre estos dos, resalta la exposición a riesgos adicionales que la gerencia y el consejo de directores debe enfocar en el desarrollo de un BCP. La evaluación del riesgo considera:

• El impacto de varios escenarios de interrupción de negocios, tanto para la institución como para sus clientes

• La probabilidad de ocurrencia basados, por ejemplo, en un nivel de Alto, medio y bajo

• El impacto de pérdidas de servicios de Información, Tecnología, Personal, Facilidades y proveedores de servicios, tanto de fuentes internas como externas.

• La seguridad de los documentos de procesamiento critico y registros vitales, y

• Un amplio rango de posibles interrupciones del negocio incluyendo amenazas naturales, técnicas y humanas.

Al evaluar la probabilidad de ocurrencia de un evento especifico, las instituciones financieras y proveedores de servicios tecnológicos deben considerar la ubicación geográfica de las facilidades y sus susceptibilidades a las amenazas naturales (ej. Localidades que puedan sufrir inundaciones) y la proximidad a la infraestructura critica (ej. fuentes de energía, plantas nucleares, aeropuertos, puntos de interés, principales autopistas, ferrocarriles). La evaluación del riesgo debe incluir:


____________________________________________________________________________________________ Mayo 2007 17

• Todas las facilidades y ubicaciones de la institución financiera y sus proveedores de servicio.

• El peor escenario, tales como la destrucción de las facilidades y la pérdida de vidas, deben ser considerados.

En la conclusión de esta fase, la institución debe haber priorizado sus procesos de negocios y estimado como pueden ser interrumpidos bajo una variedad de escenarios de amenazas.

6.4. Administración de riesgos – Desarrollo del BCP La administración de riesgos es el desarrollo de un plan escrito, para toda la organización. Esta debe asegurarse de que un BCP es:

• Escrito y diseminado de manera que los diferentes grupos de personas puedan implementarlo en tiempo y forma

• Especifico, en cuanto a cuales condiciones deben avisar la puesta en marcha del plan

• Especifico en cuanto que pasos necesarios deben ser dados durante una interrupción

• Flexible para responder a escenarios de amenazas no anticipadas y cambios en las condiciones internas

• Enfocado en cómo recuperar el negocio en el evento de que una facilidad o función es interrumpida, en lugar de concentrarse en la precisa naturaleza de la interrupción. Y

• Efectivo en minimizar las interrupciones de los servicios y las pérdidas financieras. Luego de realizar el BIA y la evaluación de riesgos, la gerencia debe preparar un BCP escrito. El plan debe documentar las estrategias y procedimientos para mantener, reiniciar y recuperar las funciones críticas de negocios y sus procesos y debe incluir procedimientos para ejecutar las prioridades del plan para las funciones criticas versus no críticas, los servicios y procesos. Un plan de BCP bien elaborado, debe describir en algunos detalles los tipos de eventos que pueden llevar a una declaración formal de interrupción y los procesos para invocar el BCP. Este debe además describir las responsabilidades y procedimientos a seguir por cada equipo de continuidad y contener una lista del personal crítico a contactar. El BCP debe describir en detalles los procedimientos a seguir en la recuperación de cada función de negocio afectada por la interrupción y debe estar elaborado de tal manera que varios grupos de personal puedan ponerlo en marcha en el momento y la forma necesaria. Como planteamos previamente, un BCP es más de la recuperación de tecnología, es la recuperación de todas las operaciones críticas de negocio. Un BCP debe ser flexible para responder a las cambiantes condiciones internas y externas y a los nuevos escenarios de amenaza. En lugar de ser desarrollado alrededor de eventos específicos (Fuego, tornado, volcán), el plan será más efectivo si es elaborado para direccionar de forma adecuada los diferentes tipos de escenarios y el resultado esperado.


____________________________________________________________________________________________ Mayo 2007 18

Un BCP debe describir los pasos inmediatos a ser dados durante un evento para minimizar el daño de una interrupción, así como las acciones necesarias para recuperarse. Así, la Planificación de la continuidad del Negocio debe ser enfocada en Mantenimiento, Reinicio y Recuperación de las Operaciones de la empresa luego de una interrupción. Escenarios específicos deben incluir como la institución financiera va a responde si:

• El personal critico no está disponible

• Los edificios principales, facilidades o regiones geográficas no están accesibles

• Los equipos no funcionan correctamente (hardware, telecomunicaciones equipos operacionales)

• Los sistemas y los datos no están accesibles o están corrompidos

• La asistencia de un proveedor de servicios o vendedor no está disponible

• Los servicios no están disponibles (energía eléctrica, telecomunicaciones) y

• La documentación critica y/o los registros no están disponibles. Las instituciones financieras deben considerar cuidadosamente las asumpsiones sobre las cuales está basado un BCP. Las instituciones no deben asumir que un desastre va a limitar una facilidad únicamente o una pequeña área geográfica. Estas tampoco deben asumir que estarán en capacidad de tener acceso a las facilidades que no han sido dañadas o que el personal critico (incluyendo la alta gerencia) va a estar disponible inmediatamente luego de una interrupción. Asumir que los sistemas de transporte públicos como las aerolíneas, ferrocarriles y trenes van a estar operando, puede también ser incorrecto. Las instituciones financieras deben no asumir que los sistemas de comunicaciones están operando en una capacidad normal. Un BCP consiste de muchos componentes que son internos y externos a la institución financiera. La activación de un plan de continuidad y restauración del negocio en el evento de una emergencia es dependiente de la interacción exitosa de varios componentes. La fortaleza y efectividad del BCP puede ser disminuida por su componente más débil. Un efectivo plan de continuidad de negocios puede coordinar a través de muchos componentes, identificar dependencias potenciales entre procesos o sistemas y mitigar riesgos de interdependencias. Típicamente, el coordinador de continuidad de negocios o el equipo, facilita la identificación de riesgos y desarrolla las estrategias de mitigación de estos riesgos a través de las áreas de negocios. Las causas internas de interdependencias pueden incluir dependencias de líneas de negocios, líneas de telecomunicaciones, y/o recursos compartidos (impresoras, sistemas de correo electrónico). Las fuentes externas de interdependencias que pueden impactar de manera negativa el plan de continuidad de negocios puede incluir los proveedores de telecomunicaciones, proveedores de servicios, socios de negocios y suplidores.


____________________________________________________________________________________________ Mayo 2007 19

6.5. Otras políticas, estándares y procesos Otras policitas de toda institución financiera, en adición al BCP, debe incorporar consideraciones para la planificación de la continuidad del negocio, estas incluyen:

• Ciclo de vida del desarrollo/implementación de sistemas (Software Development L ife Cycle)

• Políticas de control de cambios

• Procedimientos de sincronización de datos

• Plan de comunicación y entrenamiento de empleados

• Pólizas de seguros

• Políticas de comunicación y relaciones con los medios y el gobierno y

• Seguridad En adición a la documentación del BCP, otras políticas, estándares y prácticas deben visualizar consideraciones en la continuidad y disponibilidad. Estas incluyen SDLC, Control de cambios y sincronización de datos. Ciclo de vida del desarrollo de sistemas (SDLC) Como parte del proceso de desarrollo de sistemas, la gerencia debe incorporar consideraciones de continuidad de negocios en los planes de proyectos. Evaluar las necesidades de continuidad del negocio durante el proceso de desarrollo de sistemas, permite una preparación anticipada cuando una institución está adquiriendo o desarrollando un nuevo sistema. Evaluar los requerimientos de continuidad del negocio durante las etapas del ciclo de vida de desarrollo/implementación facilita el desarrollo de sistemas más robustos que permitirán una continuación más fácil del negocio en caso de una interrupción. Durante el desarrollo y adquisición de nuevos sistemas, los estándares de SDLC y planes de proyectos deben enfocar al menos aspectos como:

• Requerimientos alternativos de las unidades de negocio para reiniciar o recuperar

• Información de respaldo y almacenada

• Requerimientos de hardware y software en los sitios alternos y de recuperación.

• BCP y mantenimiento de la documentación

• Pruebas de recuperación en caso de desastres

• Personal y facilidades Control de cambios El control de cambios y políticas de control y procedimientos deben enfocar de manera apropiada los cambios en el entorno operativo. Todos los cambios a programas deben ser autorizados y documentados, las consideraciones de la continuidad de negocio deben ser incluidas en el proceso de control de cambios y fase de implementación. Siempre que es realizado un cambio a una aplicación, sistema operativo o utilitarios que residen en el ambiente de producción, se debe contar


____________________________________________________________________________________________ Mayo 2007 20

con una metodología que asegure que las copias de respaldo de esos sistemas están actualizadas para reflejar el nuevo entorno. En adición, si un sistema nuevo o cambiado es implementado y cambian los resultados en el nuevo equipo, requerimientos de capacidad u otra tecnología, la gerencia debe asegurarse que el BCP está actualizado y el sitio alterno puede soportar el nuevo ambiente de producción. Sincronización de datos La sincronización de datos se convierte en un reto cuando lidiamos con un ambiente de respaldo y activo (clustering). Cuanto más grande y compleja es la institución (periodos de salida operacional aceptados son más cortos, mayor volumen de datos, mayor distancia entre las ubicaciones primarias y alternas), mas difícil es la sincronización de datos. Si las copias de respaldo son producidas el cierre del día de trabajo, y ocurre una interrupción relativamente tarde al siguiente día, todas las transacciones realizadas luego de las copias del back-up tendrían que ser recreadas, quizás de forma manual, para sincronizar el sitio alterno con el primario. Administrar y probar los planes de contingencia es crítico para asegurarse que los ambientes de recuperaron están sincronizados con el ambiente de trabajo primario. Estas pruebas incluyen asegurarse que las versiones de software son las mismas, que las interfaces existen y han sido probadas, y los equipos de telecomunicaciones son compatibles. Planificación de las comunicaciones y el entrenamiento a empleados Las instituciones financieras deben proveer capacitación en la continuidad del negocio para el personal, de forma que puedan asegurar que todos están al tanto de sus responsabilidades en caso de que ocurra un desastre. Los empleados claves deben estar involucrados en el proceso de desarrollo de la continuidad del negocio, así como en los ejercicios de entrenamientos periódicos. El programa de entrenamientos debe incorporar talleres en toda la organización, así como entrenamientos especiales para todas unidades de negocios particulares. Los empleados deben estar advertidos sobre cuales condiciones activan la marcha de todas o alguna parte del BCP, quien es responsable de ejecutarlo para las unidades de negocios y la institución y qué hacer si sus empleados claves no están disponibles al momento de un desastre. El entrenamiento cruzado debe ser utilizado para anticipar el reinicio de las operaciones en ausencia de los empleados claves. El entrenamiento al empleado debe ser calendarizado regularmente para actualizar y enfocar los cambios en el BCP. La planificación en las comunicaciones debe identificar canales de comunicación alterno a utilizar durante un desastre, tales como Beepers, teléfonos celulares, emails o radios de comunicación privada. Un número de teléfono de emergencia, una dirección de correo electrónico, una lista de direcciones físicas deben ser provistas a los empleados para asistirles en los esfuerzos de comunicación durante un desastre. La lista debe contener todos los números alternos debido a que uno o más de los sistemas de telecomunicaciones pueden estar no disponibles. Adicionalmente, la lista de teléfonos debe proveer números de los proveedores, servicios de emergencia, transportación y agencias reguladoras. Tarjetas de billeteras, papeles autoadhesivos, y


____________________________________________________________________________________________ Mayo 2007 21

plan de escalamiento de llamadas son posibles formas de distribuir información a los empleados. Además, las instituciones deben establecer ubicaciones de reporte o de llamadas para asistirles en caso de que todo el personal se vea afectado por un desastre (ejemplo: Puntos de encuentro). Las instituciones financieras deben considerar desarrollar un programa de avisos para informar a sus clientes, proveedores de servicios y reguladores, como contactar la institución si los canales normales de comunicación no están en operación. El plan debe también designar personal que se va a comunicar con los medios de prensa, los vendedores y otras compañías y proveerles de todo tipo de información. Seguros Los seguros son comúnmente usados para recuperar las pérdidas de riesgos que no pudieron ser completamente prevenidos. Generalmente, las coberturas de los seguros es contratada por riesgos que no pueden ser completamente controlados, aun así, pueden representar un potencial significativo para pérdidas financieras y otras consecuencias desastrosas. La decisión de obtener un seguro debe estar basada en la probabilidad y grado de pérdida identificada durante el BIA. Las instituciones financieras deben determinar su exposición potencial a los diferentes tipos de desastres y revisar las opciones de seguro disponibles para asegurarse de estar provistos con una cobertura apropiada. La gerencia debe conocer los límites y cobertura detallada de las pólizas de seguros para asegurarse de que la cobertura es apropiada dado el perfil de riesgo de las instituciones. Las instituciones deben realizar una revisión anual de las pólizas, para asegurarse de que los niveles y tipos de cobertura son comercialmente razonables y consistentes con cualquier requerimiento legal, gerencial y del consejo de directores. Además, las instituciones deben crear y retener un inventario de hardware y software en lugar seguro fuera de las instalaciones para facilitar cualquier proceso de reclamos. Las instituciones financieras deben estar al tanto de las limitaciones del seguro. El seguro puede reembolsar una institución por algunas o todas las pérdidas financieras ocurridas como resultado de un desastre u otro evento significativo. Aun así, el seguro de ninguna forma es el sustituto para un efectivo BCP, debido a que el objetivo primario no es la recuperación del negocio, sino la CONTINUIDAD. Por ejemplo, los seguros no pueden rembolsar a una institución por los daños en su reputación. Gobierno y la comunidad Una institución puede necesitar coordinar con la comunidad y los oficiales del gobierno y los medios de prensa para asegurar una exitosa implementación de un BCP. Idealmente, estas relaciones pueden ser establecidas durante las fases de planificación o pruebas del plan de continuidad de negocios. Esta establece un protocolo propio en caso de eventos que impacten las operaciones de una institución en toda la ciudad o la región. Las instituciones financieras deben motivarse a contactar las autoridades locales y estatales durante el proceso de evaluación de riesgos, para consultar sobre riesgos específicos o exposiciones para todas sus localidades y ubicaciones geográficas y requerimientos especiales para acceder zonas de emergencia.


____________________________________________________________________________________________ Mayo 2007 22

Durante la fase de recuperación, el acceso a las facilidades, energía eléctrica y sistemas de telecomunicaciones, serian coordinados con varias entidades para asegurar el reinicio de las operaciones en un tiempo mínimo. El acceso a las facilidades debe ser coordinado con la policía y el departamento de bomberos y, dependiendo de la naturaleza o extensión del desastre, posiblemente con la unidad de operaciones de emergencia.

6.6. Monitoreo del riesgo El monitoreo del riesgo es el paso final en la planificación de la continuidad del negocio, este debe asegurar que el BCP de la institución es viable mediante:

• Pruebas del plan al menos una vez por año

• Que el plan sea sujeto de una auditoría independiente y revisión

• Actualización del BCP basado en cambios de personal y ambiente interno y externo.

6.7. Estrategia de pruebas El desarrollo de las estrategias de pruebas requiere una decisión de negocios en cuanto al nivel y la frecuencia de las pruebas necesarias para asegurar que los objetivos son logrados durante un desastre o interrupción del negocio. La frecuencia y la complejidad de las pruebas están basadas en el riesgo de la institución. Aun instituciones pequeñas de servicios, deben participar en las pruebas con sus principales proveedores de servicios y probar otros componentes críticos del BCP. Las estrategias de pruebas deben detallar las condiciones y frecuencias para las pruebas de aplicaciones y funciones de negocios, incluyendo el procesamiento de información de soporte. La estrategia debe incluir los objetivos de las pruebas, escritos y calendarios/horarios, así como proveer los reportes de resultados para revisión y evaluación. La gerencia debe asegurarse de que las pruebas de recuperación son realizadas al menos una vez por año, o más frecuentemente, dependiendo del entorno operativo y de forma crítica, de las funciones de negocios y las aplicaciones. La gerencia debe evaluar los riesgos y los meritos de las diferentes tipos de pruebas y desarrollar estrategias basadas en la interrupción y las necesidades de recuperación.

6.8. Alcance de las pruebas y objetivos La gerencia debe definir claramente que funciones, sistemas o procesos van a ser probados y que se define como una prueba exitosa. El objetivo de un programa de pruebas es asegurarse que el BCP permanece confiable, relevante y operable durante condiciones adversas. Las pruebas deben incluir aplicaciones y funciones de negocios que fueron identificadas durante el BIA. El BIA determina los objetivos de puntos de recuperación y el tiempo de recuperación, lo que entonces ayuda a determinar la estrategia de recuperación apropiada.


____________________________________________________________________________________________ Mayo 2007 23

Los objetivos de pruebas deben iniciar pequeños e incrementarse gradualmente en el alcance. El alcance de las pruebas individuales puede ser extendido continuamente hasta alcanzar eventualmente pruebas en todo lo ancho de la organización, incluyendo proveedores y participantes claves del mercado. Lograr los siguientes objetivos provee niveles progresivos de seguridad y confianza en el plan, como mínimo y claramente un plan de pruebas establecido debe:

• No afectar las operaciones normales del negocio

• Incrementar gradualmente su complejidad, niveles de participación, funciones y ubicaciones físicas envueltas.

• Demostrar una variedad de pre-eficiencias de administración y respuesta bajo condiciones simuladas de crisis, involucrando de manera progresiva más recursos y participantes;

• Descubrir inadecuaciones, de manera que las configuraciones y procedimientos puedan ser corregidos; y

• Considerar la desviación de las condiciones de pruebas, para adelantarse a eventos no planificados, tales como la perdida de individuos o servicios claves.

7. Principios de alto nivel para la continuidad de negocios Autoridades financieras de algunos centros financieros importantes, han estado trabajando muy de cerca con los participantes del sector financiero, para establecer un consenso a fin de elaborar estándares aplicados para la Continuidad de Negocios.

Este esfuerzo ha sido soportado por recientes iniciativas del sector privado y en el verano del 2004, el Fórum para la Estabilidad Financiera y el Banco de Inglaterra, organizaron un simposio sobre Continuidad de Negocios. Basado en los resultados de este simposio, el Fórum para la Estabilidad Financiera, ha solicitado a organismos sectoriales de estándares como el Comité de Supervisión Bancaria de Basilea (BCBS), La Comisión de Organizaciones de seguridad Internacional (IOSCO) y la Asociación Internacional de Supervisores de Seguros (IAIS) o el Foro Común, revisar los enfoques de continuidad de negocios en todos los países y sectores financieros, así como considerar si estos pueden ser apropiados para desarrollar Principios de Alto nivel que puedan aplicar al sistema financiero mundial.

Las organizaciones que formaron inicialmente el Foro Común (BCBS, IOSCO, IAIS) confirmaron en Febrero del 2005 que principios de alto nivel en continuidad de negocios, contribuirían al beneficio de la confianza del sistema financiero mundial. Estos principios de alto nivel fueron publicados en un papel consultivo en Diciembre del 2005 y son los siguientes:

Principio 1: Responsabilidad de la alta gerencia

Los participantes de la industria financiera y las autoridades financieras deben tener enfoques efectivos y comprensivos sobre la administración de la continuidad del negocio. El consejo de directores de una organización y la alta gerencia son colectivamente responsables.

Principio 2: Interrupciones Operacionales importantes


____________________________________________________________________________________________ Mayo 2007 24

Los participantes de la industria financiera y las autoridades financieras deben incorporar el riesgo de interrupción operacional importante, en sus enfoques para la administración de la continuidad del negocio. La administración de la continuidad de las autoridades financieras, además debe definir la forma en que estos van a responder a una interrupción operacional mayor, que pueda afectar las operaciones de los participantes del sector financiero o el sistema financiero por el cual estos son responsables.

Principio 3: Objetivos de recuperación

Los participantes de la industria financiera deben implementar objetivos de recuperación que reflejen el riesgo que estos representan para las operaciones del sistema financiero. Estos objetivos de recuperación de recuperación deben ser establecidos y consultados de manera conjunta con las autoridades financieras.

Principio 4: Comunicaciones

Los participantes de la industria financiera y las autoridades financieras deben incluir en sus Planes de continuidad de negocio, los procedimientos para comunicarse con sus organizaciones y con las entidades externas en el caso de una interrupción operacional mayor. Principio 5: Comunicaciones fronterizas

Los procedimientos de comunicación de los participantes de la industria financiera y de las autoridades financieras deben considerar comunicaciones con las autoridades financieras de otras jurisdicciones en el evento de una interrupción operacional mayor, con implicaciones en países vecinos.

Principio 6: Pruebas

Los participantes de la industria financiera y las autoridades financieras deben realizar pruebas de sus planes de continuidad de negocios, evaluar su efectividad y actualizar sus procesos de administración de continuidad del negocio periódicamente y cuando se considere apropiado.

Principio 7: Revisiones de la administración de continuidad de negocio por las autoridades financieras

Las autoridades financieras deben incorporar revisiones a los procesos de administración de la continuidad de negocio en sus marcos de evaluación para los participantes de la industria financiera por la cual estos son responsables.

8. Amenazas internas y externas Mientras que un BCP debe enfocarse en restaurar la capacidad de la institución financiera para realizar sus negocios y operaciones independientemente de la naturaleza de la interrupción, cada tipo de interrupción requiere una variedad de respuestas para reanudar los negocios. Muchos tipos de desastres impactan no solo la institución financiera, sino también la comunidad circundante. El elemento humano puede ser impredecible en una situación de crisis, y no debe ser pasado por alto cuando se desarrolla un BCP. Los empleados y sus familiares pueden ser afectados de manera tan significativa o más, como la institución. Por lo tanto, la gerencia debe considerar el impacto de tales interrupciones que puedan afectar el personal con ciertas responsabilidades en la institución durante algún tipo de desastre. Por ejemplo, proveer facilidades de hospedaje y servicios para las familias de los empleados o asegurándose que las facilidades alternas se encuentren localizadas en


____________________________________________________________________________________________ Mayo 2007 25

las proximidades de las viviendas de empleados, puede hacer mas fácil para los empleados poner en marcha un BCP. Además de la capacitación cruzada de personal en los planes de sucesión pueden ser tan esenciales como los procedimientos de respaldo cuando se refiere a equipos, datos, sistemas operativos y programas de aplicación. Las tres categorías primarias de amenazas internas y externas son:

1. Actividad maliciosa

a. Fraude, robo, chantaje Dado que el fraude, robo o chantaje pueden ser perpetuados más fácilmente desde lo interno de la institución, es esencial la implementación de programas de conocimiento para los empleados y políticas de seguridad y uso de computadores. Estas amenazas pueden causar perdida, daño o no disponibilidad de información, resultando en interrupción del servicio a los clientes. La restricción de acceso a información que pueda ser alterada o mal apropiada reduce este riesgo. La institución puede ser considerada responsable por liberar información sensitiva o confidencial que pueda afectar a sus clientes; por tanto, es necesario contar con los procedimientos para guardar en un lugar seguro la información.

b. Sabotaje El personal debe saber cómo manejar a los intrusos, bombas amenazas y otros disturbios. La localización de centros de operación criticas no debe ser hecha publica y las facilidades debe ser discretas. Un empleado contrariado puede tratar de sabotear facilidades, equipos o archivos. Por tanto, las políticas de personal pueden requerir la transferencia de un empleado considerado como una amenaza, de espacios críticos de la institución, así como la revocación inmediata de sus facilidades de acceso y privilegios. Puertas con cerraduras electrónicas, detectores de movimientos, guardias y otros controles para la restricción de acceso físico son medidas preventivas importantes.

c. Terrorismo El riesgo de terrorismo es real una adecuada planificación para la continuidad de negocio es crítico para las instituciones financieras, en los casos de que un posible ataque terrorista ocurra. Algunas formas de terrorismo (contaminación química o biológica) pueden dejar las facilidades intactas, pero inaccesibles por un periodo de tiempo extenso. Cuanto más anticipado es detectada la posibilidad de un ataque, mejor es la oportunidad para una reacción, manejo adecuado y recuperación. El terrorismo no es nuevo, pero la magnitud de interrupción y destrucción continúa creciendo. La pérdida de vidas, destrucción total de las facilidades y equipos, así como el trauma físico y psicológico para los empleados puede ser devastadora. Los daños colaterales pueden resultar en la perdida de comunicaciones, energía eléctrica y acceso a las áreas geográficas que no han sido directamente afectadas.


____________________________________________________________________________________________ Mayo 2007 26

Los ataques terroristas pueden ir desde bombardeos a facilidades hasta ataques cibernéticos a las comunicaciones, energía eléctrica o infraestructura financiera. El objetivo de un ciber-ataque es interrumpir el funcionamiento de los sistemas de información y comunicaciones.

2. Desastres naturales

a. Incendios

Un incendio puede resultar en la pérdida de vidas, equipos y datos. El personal del centro de procesamiento de datos debe saber qué hacer en el caso de un incendio, para minimizar sus efectos y riesgos. Deben ser publicados planes con instrucciones y rutas de evacuación en ubicaciones estratégicas, además debe incluirse la designación de un lugar externo de reunión, de manera que el personal pueda ser instruido debidamente en caso de una emergencia, así como instrucciones de cómo asegurar o remover elementos en caso de que el tiempo lo permita. Es importante realizar simulacros de incendios periódicamente, como forma de asegurarnos que el personal entiende sus responsabilidades.

b. Inundaciones y otros daños por agua Una institución financiera que tenga oficinas en o cercano a un lugar de inundación, se expone a un riesgo creciente, y debe tomar las acciones necesarias para manejar ese nivel de exposición. Dado que las aguas buscan el nivel más bajo, los archivos críticos y equipos deben ser localizados en los pisos más altos, de ser posible, para mitigar este riesgo. Pisos falsos o elevar el cableado y los servidores varias pulgadas sobre el piso puede prevenir o limitar el daño por agua. Además las instituciones deben conocer que los daños por agua pueden ocurrir de otras fuentes, tales como tuberías de agua rota, ventanas o sistemas de distribución de agua. Si existe un piso sobre la sala de cómputo o el cuarto de equipos críticos (comunicación, central telefónica y otros), el techo debe ser sellado para prevenir daños por agua que pueda salir desde arriba.

c. Mal tiempo / clima Un desastre resultado de un terremoto, huracán, tornado u otros climas severos, típicamente tienen sus probabilidades de ocurrencia en localizaciones geográficas definidas. Dada la naturaleza aleatoria de estos desastres naturales, las cooperativas localizadas en un área que experimente cualquiera de estos eventos, debe considerar la inclusión de escenarios apropiados en sus procesos y planes de continuidad de negocios. En casos en donde existen sistemas de advertencia temprana, la gerencia debe proveer procedimientos a ser implementados previos al desastre, como forma de reducir las pérdidas.

d. Contaminantes de aire Algunos desastres producen problemas secundarios de contaminación de aire en una amplia área geográfica. Los desastres naturales como las inundaciones pueden resultar en otros tipos de contaminación reflejados luego de que el agua retrocede. La severidad de esta contaminación puede impactar la calidad de aire en una institución y hasta resultar en una evacuación por un periodo de tiempo extenso.


____________________________________________________________________________________________ Mayo 2007 27

La planificación de la continuidad del negocio, debe considerar la posibilidad de contaminación de aire e incluir planes de evacuación y el apagado de los sistemas de aire acondicionado, para minimizar los riesgos causados por la contaminación. En adición, deben tomar en cuenta la duración de los tiempos que afecten las facilidades, dado que estas pueden estar inoperables o inaccesibles durante ese tiempo.

e. Derramamientos químicos peligrosos Algunas instituciones financieras mantienen facilidades cercanas a plantas químicas, rieles de ferrocarriles o autopistas de importancia usadas para el transporte de químicos peligrosos. Una fuga o derramamiento puede resultar en la contaminación de aire descrita anteriormente, incendios químicos, así como otros riesgos a la salud. Las cooperativas deben realizar esfuerzos razonables para determinar los tipos de químicos que se producen o se transportan en las cercanías, obtener información acerca de los riesgos que cada una pueda generar y dar los pasos para mitigar estos riesgos.

3. Desastres técnicos

a. Falla en las comunicaciones El ambiente de procesamiento distribuido ha resultado en el incremento de la confianza en las redes de telecomunicaciones, -para voz y datos- hacia los clientes, relacionados y sitios de respaldo. Las cooperativas que carecen de diversidad en su infraestructura de comunicaciones, pueden ser susceptibles a puntos de falla en caso de que un desastre afecte uno o más de sus sistemas críticos. Las Cooperativas deben realizar esfuerzos para identificar y documentar esos posibles puntos de falla en sus sistemas de comunicación interno y externo. Si se hacen acuerdos con varios proveedores de telecomunicaciones para diversas rutas que permitan lograr sistemas redundantes en un intento para mitigar este riesgo, la gerencia debe identificar puntos comunes de falla en estos sistemas. Una técnica que puede aplicarse es realizar un rastreo de inicio a fin para todos los circuitos críticos o sensitivos, a fin de encontrar puntos de falla en los componentes que intervienen, como Switch, Router, PBX o central telefónica. Además de restablecer las líneas de comunicación de datos con los afiliados y proveedores, el restablecimiento de las comunicaciones con los empleados debe ser crítica en la definición del BCP. Como una alternativa para las líneas de voz alambica, las cooperativas deben considerar teléfonos celulares, radios de comunicación de dos vías, beepers de texto, sistemas de email público y corporativo. Otro medio de comunicación efectivo es establecer un dominio web que sea activado durante un desastre, con una página informativa que les permita comunicar informaciones e instrucciones a empleados, clientes y/o afiliados, dependiendo de los requerimientos individuales, teléfonos satelitales pueden ser de utilidad para la comunicación con personal clave.


____________________________________________________________________________________________ Mayo 2007 28

b. Falla de energía eléctrica

La falla de energía eléctrica puede ocurrir por una variedad de razones, incluyendo tormentas, incendios, actos malintencionados, apagones y otros. Una falla de energía puede resultar en la pérdida de los sistemas de cómputos, el alumbrado, el aire acondicionado, -en países fríos- los sistemas de calefacción y los sistemas de seguridad y protección. Adicionalmente cambios de voltaje pueden ocurrir mientras es restablecido el servicio y sin una planificación adecuada, puede causar daños a los equipos. Como un medio de controlar estos riesgos, el voltaje de entrada al cuarto de cómputos debe ser monitoreado por un voltímetro que pueda ir registrando y regulando todos los niveles y fluctuaciones de voltaje. En el caso de una falla de energía, las cooperativas deben usar una fuente alternativa, como un UPS o generadores de gasolina, gasoil o kerosene. Un UPS permite generar energía por espacios cortos de tiempo a través de un banco de baterías. Al seleccionar un UPS, las cooperativas deben estar segura de que este tienen suficiente capacidad para proveer el tiempo suficiente de energía antes de que se que el sistema se baterías se descargue, como forma de prevenir que el sistema no pierda datos o se corrompan.

c. Falla en equipos y software

Las fallas de equipos y software pueden resultar en extensos retrasos y/o puesta en marcha de un BCP por parte de varias unidades de negocios, dependiendo de la severidad de la falla. El mantenimiento preventivo mejora la confiabilidad de los sistemas y debe ser realizada para todos los equipos de soporte, incluyendo los sistemas de control de temperatura y humedad, sistemas de alarma y dispositivos de detección de humo.

d. Interrupción del sistema de transportación

Las cooperativas no deben asumir que los sistemas de transportaciones regionales o nacionales van a continuar operando normalmente durante una interrupción mayor. El tráfico aéreo y los sistemas de trenes pueden ser detenidos por un desastre natural o técnico, actividad maliciosa, trabajos en las vías o accidentes. Esto puede impactar de manera adversa en la distribución del efectivo, liquidación de cheques y reubicación del personal para los sitios alternos de respaldo. Las cooperativas deben investigar las opciones de usar transportación privada terrestre, como servicios de mensajería, compañías de camiones y autobuses, para asegurar la continuidad de sus funciones vitales.

9. Interdependencias

9.1. Infraestructura de telecomunicaciones Las comunicaciones de voz y datos son esenciales para los negocios y conectar los elementos críticos de una institución, como sus áreas de negocios, clientes y proveedores de servicios. Los


____________________________________________________________________________________________ Mayo 2007 29

avances en las tecnologías de redes permiten una separación geográfica mayor entre las personas y los recursos de sistemas, así como el procesamiento en localizaciones alternas. Las tecnologías de redes pueden jugar un papel clave en permitir el entorno de procesamiento distribuido, lo que refleja una confianza importante en las redes de telecomunicaciones de voz y datos. Dada su naturaleza crítica e importancia, es necesario que las cooperativas puedan diseñar/implementar altos niveles de redundancia en sus infraestructuras de comunicaciones de datos y voz. En adición, el contar con acuerdos efectivos para el procesamiento continuo del centro de cómputos, es de igual importancia contar con acuerdos de respaldo para las líneas de telecomunicaciones de voz y datos. Dado que la infraestructura de voz y datos son típicamente recursos compartidos por todas las áreas de negocios de la institución, la dependencia y criticidad de estos recursos son aun de mayor importancia. La infraestructura de comunicaciones contiene puntos de falla que pueden representar vulnerabilidades y riesgos para la institución financiera. Los elementos de riesgos se encuentran en la infraestructura de redes de telecomunicaciones públicas y están fuera del control de una institución. Esto hace necesario para las cooperativas, ser pro-activas en el establecimiento de procesos robustos para asegurar la resistencia y diversidad en las telecomunicaciones. Las cooperativas deben desarrollar prácticas de administración de riesgos que les permitan identificar y eliminar los puntos de falla a través de la infraestructura de redes. Las estrategias de administración de riesgos necesitan ser incorporadas en el diseño, adquisición, implementación y mantenimiento de procesos relacionados con redes de comunicaciones y deben direccionar puntos de falla o puntos de concordancia relacionados con:

• Infraestructura de redes primarias o de respaldo • Transportadores de telecomunicaciones (Carriers) • Puntos de entrada a las facilidades • Ruteo de telecomunicaciones a través de las oficinas centrales y • Centrales telefónicas dentro del a institución

Las cooperativas deben administrar de manera efectiva su relación de servicios con sus proveedores de telecomunicaciones, como forma de manejar el riesgo de manera más efectiva. En coordinación con sus proveedores, la gerencia debe asegurarse que, como mínimo, las estrategias de riesgo:

• Establecen acuerdos de niveles de servicios que permita establecer medidas de contingencia y administración de cambios para los servicios provistos;

• Establecer procesos de inventario y validación de los circuitos de telecomunicaciones y trayectorias de rutas y;

• Incluir un marco para verificar periódicamente las rutas de las telecomunicaciones. Un BCP debe establecer prioridades e identificar los componentes críticos de la red. Componentes del plan original, como confiabilidad, flexibilidad y compatibilidad deben ser también considerados en la formulación de un plan de respaldo. Por ejemplo, un modem usado para respaldo puede no contar con el nivel de servicio o velocidad requerida, o una línea puede transmitir voz satisfactoriamente, pero ser insuficiente en calidad y velocidad para la transmisión de datos. El costo de varias alternativas de respaldo debe ser sopesado con el nivel de protección de riesgo provisto por las alternativas.


____________________________________________________________________________________________ Mayo 2007 30

9.2. Proveedores claves La confianza en proveedores de nuestros proveedores y nuestros suplidores claves o Asociados de negocios puede exponernos como institución a puntos de falla que puedan prevenir el reanudar operaciones en tiempo y forma, según planificado. El riesgo de tercerizar la información, el procesamiento de transacciones y las actividades de liquidación incluye amenazas a la seguridad, disponibilidad e integridad de los sistemas y recursos, a la confidencialidad de la información y cumplimiento de las regulaciones. En adición, cuando un tercero realiza servicios en nombre de la institución, puede resultar en riesgos de reputación, niveles de crédito, liquidez y transacción. Las cooperativas deben revisar y entender los Planes de Continuidad de Negocio (BCP) de sus proveedores, para asegurar que los servicios críticos son restablecidos dentro de marcos de tiempo aceptables, basados en las necesidades de la institución. El contrato debe contemplar la responsabilidad del proveedor de servicios de mantener y probar sus planes de recuperación de desastres y contingencia. Los proveedores deben suministrar a la institución los resultados de las pruebas y revisiones de auditoría, para que esta pueda determinar la suficiencia de los planes y efectividad del proceso de pruebas. De ser posible la institución debe considerar el participar en estos procesos de prueba del proveedor de servicios. Los contratos deben incluir marcos de recuperación de negocio detallados, que puedan cumplir las necesidades de continuidad de negocio de la institución. El proceso de planificación de continuidad de negocio de las cooperativas debe incluir el desarrollo de listas de llamadas necesarias para el contacto de individuos claves en las localizaciones –primarias y alternas- del proveedor de servicio. El BCP de las cooperativas debe contemplar además, el intercambio de información con sus proveedores de servicios, cuando la institución este operando desde un sitio alterno, como transmisión a través de una facilidad de sucursal que tiene líneas de comunicación redundantes con sus proveedores de servicio.

9.3. Socios de negocio / Contratos Muchas instituciones realizan contratos con proveedores de servicios y otros suplidores para asistencia durante la recuperación de desastres. Estos acuerdos pueden ser costo-efectivo para pequeñas instituciones, dado que el costo de mantener un sitio alterno dedicado puede ser sustancial. Al contratar proveedores de servicios para recuperación, las cooperativas deben considerar:

• Personal – que tipo de personal de soporte técnico está el proveedor obligado a tener disponible en las facilidades de la cooperativa, para asistir a los empleados en el proceso de poner en operación el sitio alterno?

• Disponibilidad de tiempo de procesamiento – Asumiendo que otros clientes están usando el mismo sitio alterno, cuanto tiempo de procesamiento esta asignado a la institución para un sistema de cómputos en particular? Se le garantiza a la institución un tiempo de procesamiento suficiente para manejar el volumen de trabajo que va a necesitar en el sitio alterno?


____________________________________________________________________________________________ Mayo 2007 31

• Derechos de acceso – Dado que muchos sitios alternos de respaldo pueden ser usados por numerosos clientes, tiene la institución garantizado los derechos de acceso y uso del sitio en caso de emergencia? Acepta el proveedor clientes en orden de llegada hasta que el sitio llega a su capacidad total?

• Hardware y software - Está el sitio alterno equipado con las computadoras adecuadas y el software que la institución necesita para continuar sus operaciones? Será la cooperativa notificada de cambios en el equipamiento del sitio alterno de recuperación?

• Controles de seguridad – Tiene el sitio alterno la seguridad física y lógica necesaria para proteger los activos de información de la cooperativa?

• Pruebas – Permite el contrato con el proveedor de servicios, realizar una prueba completa en el sitio alterno, una vez al año? Realiza el proveedor de servicios, pruebas de su propio BCP y envía los reportes de resultados de estas a las instituciones clientes?

• Confidencialidad de los datos – En el evento de otras empresas están también usando el sitio alterno, qué pasos tomara el proveedor de servicio para asegurar la seguridad y confidencialidad de los datos de la institución? Ha entrado el proveedor en un contrato de servicios apropiado con la institución, que cubre los requerimientos de las instituciones que estándares para el resguardo de información de clientes?

• Telecomunicaciones – Ha tomado el proveedor los pasos apropiados para asegurar que el sitio alterno cuente con los servicios de telecomunicaciones de voz y datos, para el número de personal que estaría trabajando en el sitio y el volumen de transmisión de datos que se ha anticipado?

• Acuerdos recíprocos – En el caso de que el sitio de recuperación de una cooperativa sea el sitio de otra cooperativa, con quienes tiene esta acuerdos recíprocos, tiene la otra institución capacidad de computación suficiente para asegurar que el trabajo de ambas instituciones va a ser realizado? Son el hardware y el software compatibles con los sistemas de la institución afectada en el sitio alterno?

• Espacio – Tiene el sitio alterno el espacio adecuado y los servicios para acomodar el personal de las instituciones afectadas y permitirles realizar sus actividades? Esto puede incluir consideraciones de espacio en el proveedor de servicio o en una comunidad local para proveer alimentos, baños, suministros médicos, cuidado familiar, consejería, noticias y esparcimiento para el personal.

• Formularios y archivos de papel - Mantiene el sitio alterno suficiente inventario de archivos de papel y formularios que son necesarios para conducir las actividades de negocio de las instituciones afectadas?

• Capacidad y disponibilidad de impresión – Mantiene el sitio alterno la capacidad adecuada de impresión para cubrir las demandas de las instituciones afectadas?

• Contactos – Quién en la cooperativa está autorizado a iniciar el uso del sitio alterno? A quién contacta la cooperativa en el sitio alterno?


____________________________________________________________________________________________ Mayo 2007 32

10. Resumen y aplicaciones

El espectro de las amenazas ha crecido más allá de los amenazas físicas tradicionales (incendios, fugas de gas) para incluir una lista mucho más amplia de retos tecnológicos, tales como fallas en los sistemas de telecomunicaciones y seguridad de datos). Los planes de continuidad de negocios deben ser comprensivos y multifacéticos, incluyendo tantos componentes diversos como alternativos o sitios alternos para centros de datos y operaciones de negocios, capacidades de comunicación de emergencias y planes de evacuación. El monitoreo continuo, las pruebas y actualización del plan de continuidad de negocios de una organización, son comúnmente dejados de lado. La continuidad del negocio puede consumir hasta entre 3 a 4% del presupuesto de TI. En resumen, los siguientes factores constituyen aspectos críticos para una planificación de continuidad de negocios efectiva:

• Un BCP debe ser conducido y orientado enfocando TODA LA ORGANIZACIÓN y en todos sus niveles y empresas relacionadas.

• Un análisis de impacto de negocios profundo y una evaluación de riesgos son las bases de un efectivo Plan de Continuidad de Negocios (BCP)

• La planificación de la continuidad del negocio es más que la recuperación de la tecnología; es la RECUPERACION DEL NEGOCIO.

• La efectividad de un BCP puede ser validada únicamente a través de las pruebas profundas.

• El BCP y el resultado de las pruebas deben estar sujetos a una auditoría independiente.

• Un BCP debe ser actualizado periódicamente para reflejar y responder a los cambios de la institución.


____________________________________________________________________________________________ Mayo 2007 33

11. Fuentes de información [1] The IT Examination Handbook – Business Continuity Planning – Federal Financial Institution

Examination Council, March 2003. [2] High-level principles for Business Continuity – The Joint forum – Basel committee on banking

supervision, August 2006 [3] National Credit Union Administration (NCUA) Letter to Credit Unions – Disaster Recovery and

Business Resumption contingency plans – March 2006 [4] What is BCP?: Essays & Articles How to Plan for Organization-Wide Business & Service

Continuity – Baseline Magazine – June 2006

[5] Why Do So Many Information Protection Programs Fail? Tom Peltier – Nov. 2006

[6] BCP Lessons learned on Sept. 11 – Brian Turley - Strohl systems article archives – Jan. 2003


____________________________________________________________________________________________ Mayo 2007 34

Anexo 1: Ejemplos de desastres naturales El Caribe y Centro América – Los huracanes Sur y Centro América – Los volcanes, deslizamientos y otros desastres naturales Con el transcurso de los años y dada la elevada exposición a amenazas vinculadas con fenómenos naturales, a lo que se suma la creciente vulnerabilidad asociada al crecimiento demográfico, al establecimiento de asentamientos humanos, a la infraestructura de creciente valor y a procesos productivos sin una adecuada gestión del riesgo, la región de América Latina y el Caribe ha sufrido el impacto negativo de los desastres. Si bien el número de víctimas fatales ha descendido tanto en términos relativos como absolutos, otros eventos con consecuencias catastróficas en términos de pérdidas de vidas, inundaciones, deslizamientos, destrucción de viviendas y perjuicios en actividades productivas afectaron a la región en 2005, sin que se hayan evaluado en su totalidad: terremotos en Chile y Perú, lluvias torrenciales en Venezuela y Colombia, y actividad volcánica del Galeras en este último país. Estos fenómenos evidencian que la actividad hidroclimática muestra un franco incremento con consecuencias negativas que reclaman la necesidad de adaptación por parte de los países a este cambio climático y de adoptar como parte de las políticas de desarrollo de competitividad, mejora de la productividad y cumplimiento de los Objetivos del Milenio, la de reducir la vulnerabilidad frente a amenazas crecientes y múltiples. Por otra parte, por sus condiciones geomorfológicas, un buen número de países de la región requieren adoptar planes de ordenamiento territorial y normas de asentamientos humanos, códigos de construcción y estándares de seguridad para enfrentar múltiples amenazas, que al cristalizarse en desastres no sólo alejan el cumplimiento de metas de desarrollo y reducen el bienestar colectivo, sino que obligan a reponer infraestructura construida con grandes esfuerzos y —en muchos casos— sobre la base de endeudamiento externo aún en proceso de amortización. De ello se concluye la necesidad de buscar —en el plano regional y con particular énfasis en los países de menor desarrollo relativo y tamaño y con economías menos diversificadas y resistentes (más dependientes de sectores primarios y del patrimonio natural)— instrumentos de reducción y transferencia del riesgo. Tales instrumentos financieros tendrían por objetivo la captación de antemano de recursos para la compensación frente a pérdidas esperables. Por ello la recuperación debe enfocarse en por lo menos tres niveles:

1. Nivel Local, en el contexto de vulnerabilidad social, física, económica y ambiental de las comunidades en entornos diversos en su topografía, estructura económica y productiva, etnicidad y multicultural.

2. Nivel Nacional: el impacto no sólo es diferencial en su dimensión absoluta, sino sobre todo en la relativa a la dinámica y capacidad de recuperación de los grupos vulnerables más afectados.

3. Regional o Internacional: dada la acumulación y superposición de eventos y efectos que presionan tanto sobre las instituciones regionales de respuesta como sobre la capacidad de asistencia regional e internacional. A título ilustrativo, la gestión de la vulnerabilidad física de cuencas hidrográficas trasciende la gestión local o nacional cuando éstas cruzan más de un país.


____________________________________________________________________________________________ Mayo 2007 35

De igual forma, un evento expulsa población de la zona devastada hacia otras, incrementando la vulnerabilidad de estas últimas o elevando la presión por servicios sociales básicos en ellas. Otro ejemplo de impacto “indirecto” sería la posible afectación en flujos o transferencias (remesas por ejemplo) desde una zona afectada hacia los destinatarios de tales remesas. Por último, un impacto productivo negativo puede afectar los precios de mercados internacionales, como sería el caso del petróleo por la lenta recuperación de la capacidad productiva en las zonas afectadas del golfo de México. Necesidades distintas pero complementarias que apuntan al tercer nivel: el regional, en donde no sólo hay consecuencias del evento que trascienden las fronteras de un país, sino que la recuperación, reconstrucción y reducción de la vulnerabilidad y el riesgo en el corto, mediano y largo plazo se verán acelerados de manera sinérgica de llevarse a cabo acciones regionales de cooperación. Sobresalen de manera prioritaria, primero, la gestión compartida y cooperativa de biosistemas que agrupan comunidades, recursos y estructuras similares, la gestión territorial —en particular en las cuencas hidrográficas— y, segundo, el potencial de disminuir los montos de recursos necesarios o el costo financiero de la mitigación del riesgo. En este último contexto se apunta a la necesidad de valorar mejor hacia el futuro la gestión ambiental como elemento estratégico para la reducción del riesgo, la valoración de servicios ambientales como fuente de ingresos alternativos para las poblaciones ubicadas en estos biosistemas frágiles y degradados donde las actividades productivas corrientes no sólo agotan el patrimonio ambiental, sino que estarían al borde de su capacidad de sostenimiento. Finalmente se requiere el apalancamiento de recursos financieros, no sólo como instrumentos compensatorios frente a los costos de futuras emergencias, sino también para movilizar recursos de inversión que permitan emprender ambiciosas iniciativas plurinacionales de reducción del riesgo. Se apunta a la necesidad de —sobre la valoración del medio ambiente y sus servicios, particularmente el de atemperar el riesgo— potenciar instrumentos financieros, transables en los mercados internacionales. En estas iniciativas aparece como necesaria la participación de las poblaciones locales afectadas con respeto a sus diversidades etnoculturales, de género y otros. A partir de una valoración sectorializada de los daños (“en el acervo público y privado, la destrucción parcial o total de capital en los distintos sectores económicos, sociales y la infraestructura, así como sobre el medio ambiente”) y de las pérdidas (“alteración en los flujos que generan producción e ingreso, inclusive los mayores gastos y costos de diverso tipo que se ocasionan por tal destrucción de acervo”),

En conclusión, la actividad hidroclimática muestra un franco incremento con consecuencias negativas que obligan a tomar en cuenta la necesidad de adaptación por parte de los países a este cambio climático. En segundo término, se torna más urgente adoptar, como parte de las políticas de desarrollo de competitividad, mejora de la productividad y cumplimiento de los Objetivos del Milenio, medidas que mitiguen la vulnerabilidad frente a amenazas crecientes y múltiples.

Por la exposición a eventos extremos en la región, se requiere poner en práctica planes de ordenamiento territorial y asentamientos humanos, códigos de construcción y estándares de seguridad para enfrentar múltiples amenazas, que al cristalizarse en desastres no sólo alejan el


____________________________________________________________________________________________ Mayo 2007 36

cumplimiento de metas de desarrollo y reducen el bienestar colectivo, sino que también obligan a reponer infraestructura construida con grandes esfuerzos y -en muchos casos- sobre la base de endeudamiento externo aun en proceso de amortización.


____________________________________________________________________________________________ Mayo 2007 37

Anexo 2: Sitios Web relacionados

www.thebci.org The Business Continuity Institute

www.dri.org Disaster Recovery Institute

www.ffiec.gov The Federal Financial Institutions Examination Council

www.sec.gov U.S. Securities and Exchange Commission

www.caf.com Corporación Andina de Fomento

www.ifc.org International Finance Corporation – World Bank Group

Date post:	11-Oct-2018
Category:	Documents
Upload:	vuquynh
View:	235 times
Download:	4 times

Administración de la Continuidad del Negocio - dgrv.org · Administración de la Continuidad del...

Documents