PERSPECTIVAS ACTUALES

DEL PLAN DE
CONTINUIDAD DE
NEGOCIO
PARTE 1
ANÁLISIS DE RIESGOS Y DE IMPACTO

WILLIAM FALCON
AGENDA

Parte I

▪ Introducción ▪ Análisis de Riesgos

▪ Conceptos Plan de Continuidad ▪ Análisis de Impacto

▪ Que es un BCP y Que no es ▪ Consideraciones Finales

▪ Componentes del Plan de

Continuidad

2
INTRODUCCIÓN
Objetivos

▪ Comunicar los aspectos actuales relacionados a la continuidad de las

operaciones del negocio en relación a la ISO 22301.
▪ Proveer criterios para diferenciar un plan de continuidad en diseño y en
operación
▪ Analizar los diferentes puntos de vista de un plan de continuidad tomando la
perspectiva de la operación y de la auditoría.
▪ Resaltar la importancia de los resultados de los análisis de riesgos y de
impacto

3
¿QUÉ SIGNIFICA UNA ORGANIZACIÓN RESILIENTE?

▪ Las organizaciones resilientes tienen una visión de futuro y son capaces de

adaptarse a las circunstancias cambiantes que pueden tener efectos
perjudiciales en la capacidad de supervivencia de la organización.

▪ Incluyen cambios en el mercado en el que opera la organización,

competidores, legislación, tecnología, etc., así como incidentes que
interrumpen la capacidad para entregar sus productos y servicios.

▪ La continuidad del negocio es clave en cualquier organización que aspira a ser

una organización resistente. Fuente: ISO 22316:2018

4
¿QUÉ SIGNIFICA UNA ORGANIZACIÓN RESILIENTE?
Como parte de la resiliencia organizacional, las organizaciones deben cuestionar
el Status Quo. Deben preguntarse:
… se afecta la disponibilidad de los
equipos tecnológicos?
… surgen nuevos competidores en
el mercado? … Se dificultan las comunicaciones
y el acceso a la internet?
… cambian o dejen de existir
modelos de negocio clave?

… se dificulta el acceso a las

instalaciones?
… la empresa es atacada por virus,
hackers o ramsomware?
¿Qué
… se compromete la seguridad
… información confidencial o
pasaría si… física o la salud de las personas?
privada es revelada?

… la empresa no puede producir o … se incumple con los reglamentos

vender sus productos o servicios? y regulaciones?

5
RESILIENCIA Y PLAN ESTRATÉGICO
▪ “La resiliencia estratégica no es cuestión de reaccionar ante una crisis o
recuperarse de un revés. Se trata de anticipar y de tener la capacidad de
cambiar antes que la necesidad de hacerlo llegue a ser obvia”

▪ La resiliencia es en definitiva clave para la supervivencia y el éxito

profesional. No olvidemos las palabras de Darwin, “Las especies que
sobreviven no son las más fuertes ni las más inteligentes, sino las que mejor
se adaptan a la evolución”

6
¿QUÉ ESTAMOS VIVIENDO DE MANERA DIFERENTE?

¿Cambia el impacto de acuerdo al alcance del evento?

▪ El evento impacta solo a la empresa

▪ El evento afecta a las empresas a nivel regional

▪ El evento afecta a empresas a nivel mundial

8
¿QUÉ ESTAMOS VIVIENDO DE MANERA DIFERENTE?

Caso de estudio

Transporte Publico Retail

Eléctricas

¿Que empresas deben estar

Bancos
preparándose para no minimizar
el impacto de una disrupción?

Aeropuertos y Aerolíneas

Fabricas

Transporte de Carga
Tecnológicas y Telecom Gubernamentales

9
¿QUÉ ES LA ISO 22301?

Este estándar especifica la estructura y los requisitos para

ISO 22301:2019 - implementar y mantener un sistema de gestión de la
Security and resilience — continuidad del negocio (BCMS) que desarrolle la
Business continuity
continuidad del negocio apropiada para la cantidad y el
management systems
tipo de impacto que la organización puede aceptar o no
después de una interrupción.

Incidente, ya sea anticipado o no, que causa una

Disrupción desviación negativa no planificada de la entrega esperada
de productos y servicios de acuerdo con los objetivos de
una organización
ISO 22300: 2018

Evento que puede ser, o podría conducir a, una

Incidente interrupción, pérdida, emergencia o crisis
ISO 22300: 2018

10
¿QUÉ ES UN PLAN DE CONTINUIDAD DEL NEGOCIO?

Según la ISO 22301-2018

Información documentada que guía a una organización para responder a una

interrupción y reanudar, recuperar y restaurar la entrega de productos y
servicios consistentes con sus objetivos de continuidad comercial

11
¿QUÉ ES UN PLAN DE CONTINUIDAD DEL NEGOCIO?

La gestión de la continuidad del negocio identifica las prioridades de una

organización y prepara soluciones para abordar las amenazas disruptivas. Un
programa efectivo de continuidad del negocio respalda los objetivos
estratégicos de la organización y desarrolla de manera proactiva la capacidad
de continuar las operaciones comerciales en caso de interrupción. El programa
incluye la identificación de riesgos y amenazas, la creación de estructuras de
respuesta y planes para abordar incidentes y crisis, y promueve la validación
y la mejora continua.

12
¿QUÉ ES UN PLAN DE CONTINUIDAD DEL NEGOCIO?

La gestión de la continuidad del negocio identifica las prioridades de una

organización y prepara soluciones para abordar las amenazas disruptivas. Un
programa efectivo de continuidad del negocio respalda los objetivos
estratégicos de la organización y desarrolla de manera proactiva la capacidad
de continuar las operaciones comerciales en caso de interrupción. El programa
incluye la identificación de riesgos y amenazas, la creación de estructuras de
respuesta y planes para abordar incidentes y crisis, y promueve la validación
y la mejora continua.

13
¿QUÉ ES UN PLAN DE CONTINUIDAD DEL NEGOCIO?
Un BCMS, incluye los siguientes componentes:

Bases de la gestión del Plan de Continuidad

Política

Personas competentes con responsabilidades definidas

Personal

Relacionada a políticas; planificación,

implementación y operación, evaluación del
Procesos de desempeño, revisión de la gerencia y mejora
Gestión continua

Control y
Para seguimiento, monitoreo y mejora
evaluación
continua
del
desempeño
14
¿QUÉ ES UN PLAN DE CONTINUIDAD DEL NEGOCIO?
Gestión de la
DRP Continuidad del
Negocio
ITCP
(BCM)

Plan de
Continuidad
de Operaciones
(COOP)
Plan de Plan de
Plan de Plan de
Contingencia Recuperación
Recuperación BCP Emergencia
de IT del Negocio
de Desastres (OEP)
DRP (sitio) (BRP)
(DRP) ITCP Plan de
Gestión
de Crisis
(CMP)

Tecnología Personas, Procesos, Infraestructura Física

15
¿QUÉ NO ES UN PLAN DE CONTINUIDAD DEL NEGOCIO?
Un Plan de continuidad de Negocio es un conjunto de planes pero no es:

Un Documento de BIA.

Un plan de emergencia y evacuación del personal

Un documento con la metodología para diseñar un BCP

Un documento solamente que indica el diseño del BCP

Planificación de respaldos y recuperación de datos

Documentación del esquema de alta disponibilidad tecnológica

16
¿POR QUÉ ES NECESARIO UN BCP?
Las empresas que han demostrado su capacidad de evolucionar a los retos de la
pandemia y han colocado la tecnología como protagonista han obtenido:

Ventaja competitiva

Un plan de emergencia y evacuación del personal

Mejor calificación de riesgos

Aumento del nivel de madurez de la gestión y gobierno corporativo

Cumplimiento regulatorio

Mejor preparación para responder a cambios o transformaciones

17 de procesos (resilientes)
FASE DE ANÁLISIS DEL PLAN DE CONTINUIDAD
Los pasos iniciales comprenden los aspectos de establecimiento de políticas y
responsabilidades, realmente es en la etapa de análisis donde se desarrolla el
alcance que tendrá el BCP.

Análisis de Riesgos de continuidad Análisis de Impacto

▪ Se basa en Probabilidad e ▪ Se basa en Impacto y tiempo

Impacto

18
ANÁLISIS DE RIESGOS DE CONTINUIDAD
Se presentan 4 dominios que representan los potenciales niveles donde se deben considerar las
amenazas, vulnerabilidades y consecuencias que pueden afectar la continuidad.

1.- Gente 2.- Procesos

Riesgos relacionados con la estructura Riesgos operacional, medidas
organizacional, soporte a incidentes, contingentes para producción de
seguridad física, salud, servicios y productos, controles
interdependencias entre productos, preventivos y de recuperación de
servicios y personal clave. procesos y capacidad de reacción
temprana.

4.- Instalaciones Físicas

3.- Infraestructura Tecnológica Localización, construcción,
Riesgos en la arquitectura, datacenter, sitio Alterno, salidas de
administración de recursos, capacidad emergencia, áreas de
del HW y SW, estrategias de almacenamiento, dispositivos de
recuperación, alta disponibilidad. acceso

19
ANÁLISIS DE RIESGOS DE CONTINUIDAD

Ejemplos de Amenazas relacionadas a los dominios de riesgos (Personas, Procesos, Tecnología e Instalaciones)
20
ANÁLISIS DE RIESGOS DE CONTINUIDAD
Evolución del análisis de riesgos de continuidad:

21
ANÁLISIS DE RIESGOS DE CONTINUIDAD
Factores de riesgos actuales que deben ser tomados en cuenta
▪ El cambio climático y produce creciente frecuencia e intensidad de inundaciones y tormentas en
el mundo.
▪ Terremotos y erupciones de volcanes ocurren inesperadamente.
▪ Avances tecnológicos y la rápida digitalización están transformando la forma de hacer negocios,
pero generan altos riesgos de seguridad.
▪ La reciente crisis de salud (ébola, Covid19) plantea el problema de los brotes de enfermedades
mundiales.
▪ Los ataques terroristas son frecuentes y sofocan las economías.
▪ Los incendios y los incidentes de salud y medio ambiente son riesgos operativos comunes.

Tomados en conjunto, esto requiere la capacidad de recuperación de la organización, para

salvaguardar los intereses de las principales partes interesadas, la reputación, la marca y la
creación de actividades de valor

22
ANÁLISIS DE RIESGOS DE CONTINUIDAD
Necesidades que se derivan por la pandemia:

• Revisar y actualizar los riesgos de continuidad que han surgido

• Estrategias para mitigar los riesgos futuros

• Responsabilidades nuevas en la gestión de los riesgos de continuidad

23
ANÁLISIS DE IMPACTO
La principal técnica utilizada para el análisis de una organización con fines de continuidad
empresarial es el análisis de impacto.
El Análisis de Impacto analiza los productos y servicios que ofrece una organización y las
actividades y dependencias que sustentan esas entregas.

Propósito del Análisis de Impacto

Impacto RTO Prioridades Recursos Mínimos

Documentar los Identificar el período ▪ Determinar las ▪ Identificar las
impactos a lo largo máximo tolerable de prioridades para la dependencias y
del tiempo que interrupción; recuperación; recursos (tanto
resultarían de la internos como
pérdida o externos) que se
interrupción requieren para lograr
el servicio acordado.

Para cada producto o servicio

24
ANÁLISIS DE IMPACTO
Proporciona un análisis de Análisis Identifica y prioriza los
alto nivel que se pueda de productos y servicios a nivel
utilizar para desarrollar un Impacto
estratégico.
Inicial
marco para los tipo de
análisis de impacto más
detallados.

Tipos de Análisis de
Análisis de impacto
Impacto de Análisis de producto y
Actividades Impacto servicio

Determina el proceso o
procesos necesarios para la
Identifica y prioriza las Análisis de entrega de los productos y
actividades que ofrecen los Impacto de
servicios priorizados.
productos y servicios más procesos
urgentes
25
ANÁLISIS DE IMPACTO

El punto en el que la información utilizada por una

Objetivo de punto de
actividad debe restaurarse para permitir que la actividad
recuperación (RPO)
opere en la reanudación.
ISO 22301: 2012

El período de tiempo posterior a un incidente dentro del

Objetivo de tiempo de cual se debe reanudar un producto o servicio, o se debe
recuperación (RTO) reanudar la actividad, o se deben recuperar los recursos.
ISO 22301: 2012

27
ANÁLISIS DE IMPACTO
Análisis de Impacto: Objetivos de recuperación – Procesos/
Productos/ Servicios Críticos

Análisis de Impacto– Prioridades de recuperación de procesos críticos, considerando los

impactos reputacionales, financieros y legales a lo largo del tiempo
28
ANÁLISIS DE IMPACTO
Análisis de Impacto: Definir los impactos al negocio y consecuencias de una
interrupción:

Impactos cuantitativo financieros ocasionados por:

Financiero:
Multas, pérdidas, horas extras, pago de servicios, entre otros

Empleados descontentos o desleales, insatisfechos, despidos

Recurso Humano:
masivos, reducción de beneficios, paros y/o huelgas

Estratégico: Disminución en la participación del mercado, no adopción de

nuevas tendencias, perdida de ventaja competitiva.

Regulatorio: Multas, sanciones o cierre por incumplimiento.

Incumplimiento de metas de producción, productos defectuosos,

Operativo:
retrasos, reprocesos.

Imagen afectada negativamente por medios de comunicación y

Reputacional:
29 redes sociales.
ESTRATEGIAS PARA EL ANÁLISIS DE IMPACTO
Análisis de Impacto: Identificación de Recursos Críticos

• Personas mínimas

• Tecnología para soportar los procesos

• Proveedores críticos (Están preparados para un evento de continuidad)

• Recursos mínimos de material y registros vitales

30
GESTIÓN DE CONTINUIDAD DE NEGOCIO (BCM)

Plan de Continuidad
Equipo de Gestión
de Crisis
Respuesta a
Emergencia Plan de Gestión de
Crisis
Equipo de Recuperación
Un programa de T P Gestión de del Negocio
Crisis Plan de Recuperación de
resiliencia eficaz debe Negoció
T P
incluir un enfoque Equipo de Emergencia Recuperación del
integrado y T P
Negocio
coordinado entre Plan de Emergencia
todos los aspectos de
la línea de tiempo del
evento de Incidente
Tiempo
recuperación.
T P
DR Plans Recuperación de
Desastre de TI (DRP)
Equipo de
Recuperación de TI

Plan de Recuperación
31 de TI
PREVENCIÓN, RESPUESTA Y RECUPERACIÓN
Nivel de Restauración
Operaciones Respuesta y
Prevenció recuperación
n
(Normal) Incidente
Interrupción
acortada
Nivel mínimo
aceptable de
operaciones Mitigación, respuesta y gestión
de impactos

Tiempo

Resiliente No Resiliente
Prevención
Implementación de controles preventivos que reducen la probabilidad o el impacto de incidentes en los recursos que respaldan
actividades críticas.
Respuesta y Recuperación
Implementación de una respuesta efectiva a incidentes, incluida la recuperación de recursos que respaldan actividades críticas que
aseguran un nivel mínimo de operaciones aceptable para lograr sus objetivos comerciales durante el período de interrupción, hasta que
sea posible restaurar las operaciones normales.

Recursos que respaldan actividades críticas

32
Gente Instalaciones Físicas Sistemas de Información Proveedores
ESTRATEGIAS PARA EL ANÁLISIS DE IMPACTO
Evaluación actual del análisis de impacto:

• Utilización de herramientas para levantar o actualizar un BIA

• Utilización de herramientas por gestionar el BCP

• Consideraciones a tomar en cuenta para estar seguro que el análisis de

impacto esta ajustado a la realidad

• Ajustes al plan de continuidad pueda ser ajustado de acuerdo a las nuevas

tendencias y probabilidades

34
GOBIERNO DE LA GESTIÓN DE CONTINUIDAD

La Alta Dirección de la
empresa es responsable
de definir la Política, los
principios que rigen y el
Modelo de Gobierno de
Continuidad del
Negocio, el cual
establece roles y
responsabilidades

35
NECESIDAD DE RESILIENCIA
Documentación del Plan de Continuidad

Establece el compromiso
de gestión y los principios
BC Policy que regirán el BC.

Incluye los procesos que implementan la

Política BC, estableciendo así el
enfoque para planificar, implementar, Incluye los productos resultantes de la
operar, monitorear, revisar, mantener y BCMS Processes
aplicación de los procesos de BCMS, es
mejorar continuamente el BCMS. decir, BIA, RA y Estrategia de BC, varios
tipos de planes (de respuesta, gestión
BC Plans and Procedures
de crisis, la recuperación de negocios y
BC Reports and Registers
BC Vendor arrangements TI de recuperación de desastres de
emergencia), programas de formación y
sensibilización, programas de pruebas,
Documentación de la Continuidad del Negocio programas de auditoría e informes y
contratos con proveedores críticos.

36
¿QUE ESTAMOS VIVIENDO DE MANERA DIFERENTE?
Perspectiva Actual de las empresas
El factor diferencial radicará en la forma en como las empresas se preparen para
futuros eventos. De acuerdo a esto encontraremos empresas:
▪ Que han hecho una transición en su plan de continuidad
▪ Que piensan que no necesitan cambiar nada en su plan
▪ Que la pandemia no les ha permitido funcionar pero hacen esfuerzos para
cambiar su modelo y poder enfrentar nuevas amenazas
▪ Que no tienen un Plan y no han tomado conciencia
▪ Que no tienen un Plan y han aprendido de las lecciones ocurridas

37
CONSIDERACIONES FINALES
» Actualizar la documentación
1 existente de los planes.
Desde la perspectiva de la Gestión » Realizar un resumen de los
del Plan de Continuidad de Negocio aspectos relevantes y
establecer los correctivos
» Actualizar la matriz de riegos
2 de continuidad
Desde la Perspectiva de Auditoría » Revisar si la documentación de
análisis de impacto requiere ser
actualizada.
» Identificar las oportunidades de
mejora respecto a nivel de
preparación del personal clave
» Hacer los ajustes a los roles y
responsabilidades

38
CONSIDERACIONES FINALES » Identificar las desviaciones
presentadas en la activación
del plan de continuidad
1 » Validar que las decisiones y
Desde la perspectiva de la Gestión tareas criticas hayan sido
consultadas y aprobadas.
del Plan de Continuidad de Negocio » Revisar la documentación
generada en los procesos e
2 identificar vulnerabilidades.
» Validar que los controles se
Desde la Perspectiva de Auditoría hayan reestablecido.
» Validar nivel de divulgación y
entrenamiento.
» Realizar actividades de
integración relacionadas al BCP
y compartir aprendizaje
» Realizar pruebas y ejercicios de
la implementación de las
acciones surgidas.
39
¿PREGUNTAS?

WILLIAM FALCON
+1 829-750-3227
William.falcon@bdo.com.do

BDO Dominicana @bdodominicana @bdodominicana BDO Dominicana BDO Dominicana

40