Gestión de la Continuidad del Negocio

Unidad:

Estrategias de recuperación y
gestión de crisis

Docente: César Condori Ari

Logro
Al finalizar la unidad, el estudiante estará en la capacidad de
desarrollar las estrategias de continuidad del negocio alineada a
las necesidades de su organización, basado en la evaluación de
riesgos y gestión de crisis.
 Importancia
Las Estrategias de Recuperación son importantes en las
organizaciones porque permiten direccionar las acciones a seguir
como respuesta del manejo de crisis, ante algún evento que
podrían afectar parcial o totalmente los procesos del negocio.
Contenido general

• Evaluación de amenazas a través del análisis de riesgo.

• Estrategias de recuperación acorde con las

necesidades del negocio.

• Gestión de Crisis y manejo de comunicación en crisis

 Evaluación de amenazas a
través del análisis de riesgo
• Objetivos de una evaluación de riesgos y
controles
• Riesgos vs. Continuidad
• Terminología de riesgos:
amenaza, vulnerabilidad, riesgo, control
• Identificación de amenazas
• Amenazas naturales, antrópicas y
tecnológicas
• Metodología para la identificación del
riesgo
• Impacto vs. Probabilidad
• Evaluación de Controles
Planeación Estratégica

Nace debido a la necesidad de darle “continuidad a la continuidad

del negocio”

Establece un proceso continuo responsable de la maduración de la

organización en los temas de continuidad del negocio

Se orienta a actividades recurrentes del enfoque metodológico

Participan el gestor de continuidad y los líderes de recuperación de

cada área / proceso

El programa debe considerar un plan estratégico a 3 ó 5 años, y

actividades específicas a ser realizadas en el año.
Objetivos de una evaluación de riesgos y controles

Prevenir la ocurrencia de un incidente que pueda

ocasionar un desastre

Analizar los riesgos entran en juego las probabilidades

La prevención se hace tangible con controles o

procedimientos de mitigación a implementar

La inversión en prevención (controles) es inversamente

proporcional al “apetito de riesgo” de la empresa
Objetivos de una evaluación de riesgos
y controles
Identificar las amenazas de mayor probabilidad que puedan
impactar seriamente las operaciones de la empresa

Proponer un plan de inversión en controles que ayude a

mitigar la posibilidad de una amenaza

Identificar escenarios para la gestión de crisis

Identificar escenarios para orientar la respuesta a la

emergencia

Identificar posibles “peores escenarios” que ayuden a definir el

plan de acción macro del programa de continuidad del negocio
Riesgos vs. Continuidad

Riesgos Continuidad

Se focaliza en la prevención (ANTES) Se focaliza en la preparación (ANTES),

respuesta (DURANTE), y la recuperación,
restauración y retorno (DESPUES)

El riesgo previene que ocurra el desastre. Continuidad asume que el desastre va a

ocurrir.
“Riesgo” es como tener seguros preventivos “Continuidad” es como tener un seguro de
vida
Terminología de Riesgos

Causa
(Amenaza)

Vulnerabilidad
Probabilidad (Riesgo residual o
aceptable)
= Riesgo 2
Efectividad del
Control
+
+ Impacto = Efecto (Riesgo)

Amenaza 2
Contexto 1
Contexto 2
Terminología de Riesgos

Amenaza • Aquello que causa el evento

• Elemento del negocio cuya indisponibilidad afectaría la continuidad de

Componente las operaciones.

Probabilidad • Frecuencia con que el evento se presenta

Impacto • nivel de afectación de los componentes.

• Medida preventiva o correctiva que mitiga o reduce (pero no elimina) la

Control amenaza o el riesgo

Riesgo • Efecto o consecuencia de que la amenaza se vuelva

Vulnerabilidad • Riesgo no controlado

Descriptivo (ej. La destrucción de la casa)

Cualitativo (ej. Alto, Medio, Bajo)
Cuantitativo (ej. US$ 85,000 al año)
Identificación de amenazas

Las amenazas se complementan con las de la industria o

específicas al área
– A nivel industria (ej. Congestión de servicio)
– A nivel empresa (ej. Huelgas)
– A nivel área (ej. Sabotaje por empleados descontentos)
– A nivel de proceso (ej. Falta de repuestos)
– A nivel técnico (ej. Servidores informáticos sin
seguridad)
Es necesario entrevistar a los expertos del área o proceso
para complementar amenazas específicas de preocupación
diaria
– Ej. Virus informáticos
– Ej. Recursos obsoletos
Amenazas naturales, antrópicas y
tecnológicas
Ejemplo de amenazas ocasionados por el hombre
(Antrópicos)
– Accidentes aéreos
– Protestas, vandalismo
– Contaminación
– Incendios
Amenazas naturales, antrópicas y
tecnológicas
Ejemplo de amenazas naturales
– Huracanes
– Tornados
– Sismos
– Tormentas (Rayos)
– Inundaciones
– Deslizamientos
– Erupción volcánica
Amenazas naturales, antrópicas y
tecnológicas
Ejemplo de amenazas tecnológicas
– Denegación de servicios internet (DOS)
– Correos no deseados (SPAM)
– Sabotaje tecnológico (Virus, Trojans, worms, fishing,
etc.)
– Fallas en los computadores centrales
– Daño o pérdida de la infraestructura de
comunicaciones
(Voz, Data)
– Accidentes industriales, errores de ingeniería
– Colapso de instalaciones eléctricas
– Colapso de estructuras/instalaciones
Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Se identifican amenazas de tipo:
– Naturales
– Antrópicas
– Técnicas
Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Se Identifican controles existentes o controles ya
implementados para cada amenaza
– Se identifican controles existentes para cada amenaza
– Se identifican amenazas sin controles definidos
Metodología para evaluación del riesgo
Impacto vs. Probabilidad

Se identifica la probabilidad de ocurrencia considerando los

controles ya implementados
– Usar escala
(Alto, Medio, Bajo)
– Asociar escala a frecuencia
(Ej. Alto = 1 o más veces al año, Medio = 1 vez al menos
cada 5 años, Bajo = 1 vez al menos cada 25 años)

– Ver cuadro siguiente…

Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Se identifican los impactos en caso que la amenaza se haga realidad
– Usar escala (Alto, Medio, Bajo)
– Asociar escala a cualquiera de las siguientes variables
• Magnitud del daño, ejemplo:
– Alto = una o más zonas,
– Medio = varios pisos o todo el edificio,
– Bajo = sólo un piso
• Disponibilidad del servicio, ejemplo:
– Alto = se paraliza uno o más servicios,
– Medio = se paraliza un servicio,
– Bajo = Se paraliza un servicio parcialmente

– Ver cuadro siguiente…

Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Se identifican los eventos de riesgo o las amenaza de forma descriptiva
– Ejemplo
• Amenaza: Vandalismo o hurto
• Probabilidad: Alta (1 vez al mes)
• Impacto: Medio (paraliza el servicio en ciertas zonas)
• Evento de Riesgo (Descripción del Impacto):
Suspensión del servicio de atención al cliente por tres días en las zonas
afectadas

– Ver cuadro siguiente…

Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Se mide la exposición del riesgo
– Se utilizan los valores de las columnas de Probabilidad y de Impacto ya
identificadas en pasos anteriores

– Se concentran las riesgos según correspondan en el cuadro siguiente para

obtener la “Exposición del riesgo”
Metodología para evaluación del riesgo
Impacto vs. Probabilidad
Obtenemos la representación del Nivel de riesgo

R01 R02

R07 R08 R04

R10 R11

R03
R09
R06

R05
Metodología para evaluación del riesgo
Evaluación de Controles
Se identifican mejoras a controles ya existentes
– Ejemplo:
• Control existente: el personal deberá registrarse por si mismo en la bitácora
de registro
• Control a implementar: un sistema de seguridad automatizado que registre
fecha y hora de las personas que accedan a la central
Se identifican nuevos controles a implementar
– Ejemplo:
• Control existente: no aplica.
• Control a implementar: un sistema automático
de detección y alerta de incendio.
Metodología para evaluación del riesgo
Evaluación de Controles
Metodología para evaluación del riesgo
Evaluación de Controles
Para la priorización de controles se consideran:
– Los de mayor impacto
– Los de alta probabilidad
Metodología para evaluación del riesgo
Evaluación de Controles
Ejemplo del cuadro consolidado de priorización de controles
Estrategias de recuperación
acorde con las necesidades
del negocio
• Estrategias de recuperación
• Clasificación de Criticidad
• Estrategias de Recuperación según Criticidad
• Selección de Sitio Alterno
Estrategias de Recuperación

No hacer nada

Procedimiento Alternativo

Degradación del Servicio

Recíproca

Móvil

Entrega inmediata

Propia

Comercial
Clasificación de Criticidad

Cada componente analizado debe ser clasificado según su

criticidad
– Criticidad Alta (RTO menor a 4hr)
– Criticidad Media (RTO entre 4hr y 24hr)
– Criticidad Baja (RTO entre 24hr y 1 semana)
– Criticidad Muy Baja (RTO entre 1 semana y 30 días)

Los períodos (4hr, 24hr, 1sem) pueden ser cambiados según

criterios propios.
Estrategias de Recuperación según Criticidad
Nivel de Criticidad Tipo de Estrategia
Alta Media Baja Muy Baja

HOT WARM COLD SOLO BOSQUEJO Y DISEÑO

4hr 24hr 7 días 30 días

COMPONENTE HOT WARM COLD BOSQUEJO

Equipos e Replicado Sólo espacio, conectividad Sólo espacio y Sólo diseño y
infraestructura disponible e infraestructura conectividad cantidades
apagada disponible
Recursos Replicado Ubicado en sitio externo Sólo espacio Sólo diseño y
cantidades

Personal Disponibilidad inmediata Sólo asignado Sólo asignado Sólo asignado

Registros Disponibilidad inmediata Disponible Disponible Sólo listado

Vitales
Proveedores Disponibilidad inmediata Que tengan planes de Que tengan SLA Identificar
(proveedores alternos) con contingencia proveedores
planes de continuidad especializados a
contactar
Selección de Sitio Alterno

Es necesario considerar una evaluación de

sitio alterno según sea la necesidad.

Se pueden considerar alternativas propias y

tercerizadas.

Es necesario establecer los criterios de

evaluación de mayor importancia para la
organización y según ello, calificar cada
posible sitio.

Al final, se escogerá el sitio que mayor

puntaje obtenga luego de la evaluación.
Selección de Sitio Alterno

Considerar
localidades
existentes donde
ubicar los
recursos mínimos
necesarios para la
recuperación
Gestión de Crisis y manejo
de comunicación en crisis
• Gestión de Crisis
• Escalar, Notificar, Activar
• Niveles de severidad
• Estados del desastre
• Notificaciones según el estado del desastre
• Mensajes de las notificaciones
• Tipos de notificaciones
• Herramientas de notificación
• Comité de Crisis
• Plan de Gestión de Crisis
• Comunicación en Crisis
• Plan de Comunicación en Crisis
Gestión de Crisis

Está gobernado por la Alta Gerencia a través del Comité de Crisis

Sobre la base de la información escalada al Comité de Crisis, éste

tomará la decisión de esperar, notificar o activar los planes según
sea necesario

Puede considerar “escenarios” sobre la base de las amenazas más

frecuentes
Escalar, Notificar, Activar

Decidir si es un desastre
Comité de Crisis

Niveles de Severidad
 Escalar, Notificar, Activar

Cualquier empleado deberá ser capaz de reconocer y reportar un evento:

– A su jefe inmediato
– A seguridad / vigilancia
– A soporte de sistemas

24 x 7
 Niveles de severidad

Según evolucione el evento

– Normal – AZUL / VERDE
(todo funciona bien,
existen posibles riesgos,
no se interrumpe el
servicio)
– Elevado – AMARILLO
(debido a la falla, se
interrumpió el servicio)
– Alto – NARANJA
(es casi un hecho que será
un desastre, movilizar personal
preventivamente)
– Severo – ROJO (desastre declarado,
activar planes, movilizar personal de
los grupos de recuperación)
 Estados del desastre

Se establecen estados del desastre según el progreso de la situación presentada

1. Evento ocurrido
2. Posible desastre
3. Alerta de desastre
4. Desastre declarado 4
5. Desastre controlado
6. Fin de desastre 3
5
2

6
1
Mensajes de las notificaciones

Notificaciones efectivas
Que no dejen dudas de
la actuación deseada
Que no conduzcan al error
Que sean oportunos
Que no falte información
Que no sea un mensaje incompleto
Que permita un mecanismo de comunicación desde los
empleados hacia la empresa
Opcionalmente, que vaya informando de los aspectos de
seguridad y progreso de la situación
Mensajes de las notificaciones

Las partes de un mensaje son:

– A quién está dirigido (pe. A los líderes de recuperación)
– Qué acción debe tomar quien recibe el mensaje? (pe.
Movilizarse)
– Dónde? (pe. Al Sitio Alterno #2, ubicando en …)
– Cómo? (pe. En taxi, no con su propio vehículo)
– Cuándo? (pe. En 3 horas debe estar presente)
– Si es necesario que reenvíe el mensaje (pe. Avisar al
personal a su cargo según lista de llamadas)
– Que confirme la recepción del mensaje y la situación en
la que se encuentra (pe. Ingresar a la página Web y
dejar dicha su situación)
Jamás envíe un mensaje si no lo tiene pre-estructurado y
pensado
Tipos de notificaciones

Desde la empresa hacia fuera

Por ejemplo:
– Llamadas telefónicas
– Página Web
– Avisos en medios
– Comunicados en general

De fuera hacia la empresa (pasivas)

Por ejemplo:
– Páginas Web donde se pueda llenar
información
– IVR donde puedan grabarse mensajes
Herramientas de notificación

Teléfono / Celular
Correo electrónico
Radio
Teléfono satelital
Beepers (localizadores)
Radio de onda corta, larga
Radio aficionados
Intranet
Internet
Mensajería instantánea
Sistemas de notificación masiva
Grupo: Comité de Crisis

Conformado por los principales directivos de la

organización. En el ANTES es el Comité Permanente de
Continuidad del Negocio.
Cada miembro debe tener uno o más suplentes
El Gestor de Continuidad forma parte del comité
Monitorea el evento ocurrido y evalúa si los equipos de
resolución de fallas podrán solucionar el problema antes de
los RTOs
Determina si se activan los
planes de continuidad utilizando
la infraestructura alterna
Decide el curso de acción
de acuerdo con la situación
presentada utilizando los planes ya existentes
Grupo: Comité de Crisis

Establece el Centro de Operaciones de Emergencia como el

sitio que alberga el comité de crisis.
Establece Centros de Comando en la localidad afectada y en
la de recuperación (o alterna).
Soporta a los comandantes de ambas localidades en cuanto
a logística, recursos, presupuesto.
Establece, de ser necesario, un Centro de Comunicación en
Crisis para el manejo de la imagen de la institución.
Monitorea el progreso de la restauración.
Aprueba y monitorea el retorno a la normalidad.
Plan de Gestión de Crisis

Es el plan maestro que coordina y engrana todo el resto de

planes
Decide su activación y establece los momentos en los cuales
cambia el “estado del desastre”
El grupo responsable se denomina “Comité de Crisis”
Establece un sitio primario u alterno llamado Centro de
Operaciones de Emergencia (EOC en inglés)
Plan de Gestión de Crisis

Miembros / Roles del Comité de Crisis

– Director del Comité
– Coordinador de Operaciones
– Coordinador de Logística
– Coordinador de Planeamiento
– Coordinador de Finanzas
– Coordinador de apoyo en relaciones públicas
– Coordinador de apoyo en seguridad
– Otros miembros
Plan de Gestión de Crisis

Actividades principales
Convocarse a si mismo
Evaluar el progreso de la resolución de fallas y determinar
qué acciones se deben seguir
Establecer los niveles de severidad de la empresa
Establecer los estados de desastre para cada proceso /
localidad
Activar los planes de continuidad correspondientes en
cuanto la situación así lo estipule
Activar los equipos de la fase de restauración
Monitorear el retorno a la normalidad
Comunicación en Crisis

Se da sobre un evento u ocurrencia que

puede impactar las expectativas de la gente,
las empresas y las comunidades
Oportuna Simple
Puede ser interna o externa dependiendo La
de la audiencia: empleados, accionistas, Comunicación
medios, comunidad, etc.
de Crisis tiene
que ser
Directa Honesta
Comunicación en Crisis

Archivos de referencia sobre

crisis potenciales Componentes clave!

Voceros Oficiales

Contactos de
Emergencia
Políticas y Procedimientos
de Relaciones Públicas
Herramientas de comunicación

Avisos en prensa
Declaraciones preparadas
Conferencias de prensa
Conferencias telefónicas
Intranet
Internet
Correo electrónico
Reuniones “cara a cara”
Otros?
Plan de Comunicación en Crisis

Es el plan que contiene los esquemas de comunicación que

se deben seguir para manejar las expectativas de los
públicos objetivos
Los públicos objetivos pueden ser internos o externos
El grupo responsable es el de Relaciones Públicas y los
voceros que se hayan definido para cada tipo de audiencia
Necesita establecer un centro de comunicaciones en crisis.
Plan de Comunicación en Crisis

Actividades principales
Activarse por orden del comité de crisis
Establecer el centro de comunicación en crisis
Convocar voceros
Entender situación actual
Identificar audiencias interesadas
Establecer herramientas de comunicación adecuadas
Efectuar comunicación con voceros
Monitorear expectativas de interesados e informar según
convenga
 Conclusiones
• Una adecuada evaluación de riesgos de continuidad del
negocio permitirá asegurar una eficiente implementación de
controles de mitigación que permitan reducir el nivel de
riesgos a niveles aceptables por la organización.

• La Selección de las Estrategias de Continuidad de Negocio

deben alinearse a las necesidades reales del negocio, deben
actualizarse de acuerdo a los cambios en el entorno interno y
externo.

• La Gestión de crisis permite direccionar las acciones como

respuesta a los eventos de interrupción que afecten la
normal operativa del negocio, así como la adecuada
comunicación a los medios de información.
 Gracias
Docente: Cesar Condori Ari