Plan de Continuidad de Operaciones

Acerca de la Normativa aplicable

Indice de Contenidos
%. &erti'icaci ! (st!dar )!ter!acio!al DR)) *Disaster Reco#er" )!stitute )!ter!atio!al+ 2. &erti'icaci ! Norma B, 2-999 3. &erti'icaci ! Norma ),/ 22399 .. &erti'icaci ! ,e$uridad de la )!'ormaci ! Norma ),/ 2700% 3 . 0 7

Acerca de la Normativa aplicable

1. Certificacin Estndar Internacional " isaster !ecover# Institute International$

1.1. %eneralidades

!II

(l 1la! de &o!ti!uidad de /peracio!es de esta empresa est basado e! el DR)) (Disaster Recovery Institute International), " co!stitu"e el co!2u!to de prcticas pro'esio!ales para la Gestin de Continuidad de Negocio, cu"o ob2eti#o pri!cipal es permitir a las operacio!es comerciales de la empresa, el se$uir opera!do ba2o co!dicio!es ad#ersas, al impla!tar estrate$ias adecuadas, ob2eti#os de recuperaci !, pla!es de $esti ! de crisis " estrate$ias de $esti ! de ries$os. (ste co!2u!to de prcticas abarca reas como so!3 )!iciaci ! " 4esti ! del pro"ecto (#aluaci ! " co!trol de ries$o A!lisis de impacto del !e$ocio (strate$ias de la 4esti ! de &o!ti!uidad del Ne$ocio Respuesta a emer$e!cias " operacio!es (laboraci ! " Aplicaci ! de pla!es de &o!ti!uidad de Ne$ocio ,e!sibilizaci ! " capacitaci ! del perso!al (2ercicio " ma!te!imie!to de los pla!es de &o!ti!uidad del Ne$ocio &omu!icacio!es e! las crisis " &oordi!aci ! co! a$e!cias e5ter!as.

Plan Continuidad de Operaciones &C'

(Business Continuity Management)

(! la empresa se 6a! aplicado las me2ores prcticas pro'esio!ales se$7! el DRI International, las cuales resumimos a co!ti!uaci ! " desarrollamos ms adela!te e! este mismo docume!to3 INICIO ( A 'INI)*!ACI+N E, P!O(EC*O

(stos criterios 6a! permitido establecer la !ecesidad de la Admi!istraci ! de &o!ti!uidad de Ne$ocios de los procesos o 'u!cio!es, i!clu"e!do la capacidad de recuperaci !, ob2eti#os de recuperaci !, pla!es de co!ti!uidad del !e$ocio " de ma!e2o de crisis, i!clu"e!do el apo"o de la Direcci ! " or$a!izar " ma!e2ar el desarrollo de la 'u!ci ! o proceso, "a sea e! colaboraci ! co!, o como u! compo!e!te cla#e de u!a i!iciati#a i!te$rada de ma!e2o de ries$os. E-A,.ACI+N ( AN/,I)I) E !IE)%O

8a e#aluaci ! " a!lisis del ries$o 6a permitido determi!ar los e#e!tos " los 'actores e5ter!os que puede! a'ectar e! 'orma ad#ersa a la empresa " sus i!stalacio!es co! u!a i!terrupci ! o u! desastre, el da9o que dic6os e#e!tos puede! causar " los co!troles !ecesarios para pre#e!ir o mi!imizar los e'ectos de p:rdidas pote!ciales. 1roporcio!ar u! a!lisis de costo be!e'icio para 2usti'icar la i!#ersi ! e! co!troles para miti$ar los rie$os. AN/,I)I) E I'PAC*O A, NE%OCIO

(l a!lisis e ide!ti'icaci ! de los impactos que resulta! de esce!arios de i!terrupcio!es " desastres que pueda! a'ectar a la empresa " las t:c!icas que puede! utilizarse para cua!ti'icar " cuali'icar dic6os impactos 6a permitido a la empresa el establecer las operacio!es cr;ticas, sus prioridades de recuperaci ! " sus i!terdepe!de!cias, de tal ma!era que pueda! establecerse los /b2eti#os de <iempo de Recuperaci ! *R</s+.

Acerca de la Normativa aplicable

E)A!!O,,O

E E)*!A*E%IA) &C1 !

Nos permitido determi!ar " $uiar e! la selecci ! de alter!ati#as de estrate$ias de recuperaci ! del !e$ocio para la recuperaci ! del !e$ocio " tec!olo$;as de i!'ormaci ! de!tro del ob2eti#o de tiempo de recuperaci !, mie!tras que se ma!tie!e! las 'u!cio!es cr;ticas de la compa9;a. P!EPA!ACI+N ( !E)P.E)*A E E'E!%ENCIA ,e 6a desarrollado e impleme!tado procedimie!tos para respuesta " estabilizaci ! de la situaci ! despu:s de u! i!cide!te o e#e!to, i!clu"e!do el establecimie!to " ma!e2o del &e!tro de /peracio!es de (mer$e!cia a ser usado como u! ce!tro de coma!do dura!te u!a emer$e!cia. E)A!!O,,O E I'P,E'EN*ACI+N ,e 6a dise9a!do, desarrollado e impleme!tado pla!es de &o!ti!uidad " 4esti ! de &risis que cumple! co! la recuperaci ! de las acti#idades del !e$ocio de!tro de u! marco de tiempo aceptable. CONCIEN*I2ACI+N ( CAPACI*ACI+N =emos preparado u! pro$rama para crear co!cie!cia corporati#a " me2orar las 6abilidades requeridas para desarrollar, impleme!tar, ma!te!er " e2ecutar el 1la! para la co!ti!uidad del !e$ocio. 'AN*ENI'IEN*O ( AC*.A,I2ACI+N E P,ANE)

,e 6a pla!i'icado " coordi!ado e2ercicios de los pla!es adems de e#aluar " docume!tar los resultados. ,e 6a! desarrollado procesos para ma!te!er actualizada la capacidad de recuperaci ! " la docume!taci ! de los pla!es se$7! la direcci ! estrat:$ica de la or$a!izaci !. )$ualme!te se 6a #eri'icado que los pla!es so! e'ecti#os al compararlos co!tra u! est!dar adecuado, " reporta los resultados de ma!era clara " co!cisa. CO'.NICACI+N E C!I)I)

,e 6a desarrollado, coordi!ado, e#aluado " probado pla!es para comu!icarse co! i!#olucrados i!ter!os *empleados, $ere!tes, etc.+ i!#olucrados e5ter!os *clie!tes, acci !istas, pro#eedores, etc+ " los medios de comu!icaci ! *pre!sa, radio, tele#isi !, )!ter!et, etc.+ COO! INACI+N CON A.*O!I A E) E3*E!NA) ,e 6a! establecido los procedimie!tos !ecesarios para coordi!ar las acti#idades de respuesta, co!ti!uidad " restauraci ! co! las a$e!cias e5ter!as *locales, estatales, !acio!ales, respuesta de emer$e!cia, de'e!sa, etc.+ mie!tras se ase$ura el cumplimie!to co! estatutos " re$ulacio!es aplicables.

2. Certificacin Norma &) 24555

2.1. %eneralidades
(l 1la! de &o!ti!uidad de /peracio!es de esta empresa est basado e! la Norma &)I 24555 (Sistema de Gestin desarrollado por el British Standard Institution). 8a $ere!cia del pla! de co!ti!uidad del !e$ocio es u! proceso de $esti ! abarcadora que ide!ti'ica los ries$os " sus pote!ciales impactos e! los procesos de la or$a!izaci !. Asimismo, pro#ee u!a estructura para ma!te!er la 'le5ibilidad " la co!ti!uidad de los procesos

Acerca de la Normativa aplicable

or$a!izacio!ales, co! la capacidad de u!a e'ecti#a respuesta e! la protecci ! de los i!tereses pri!cipales de las or$a!izacio!es, tales como3 i!'ormaci !, #isi !, marca, acti#os de #alor, etc. (sta empresa tie!e co!cie!cia acerca de la importa!cia de la bue!a pla!eaci ! e! todas las reas de !e$ocio de!tro de la or$a!izaci !, por lo que se 6a preparado para la &o!ti!uidad del Ne$ocio, Recuperaci ! de Desastres " Respuesta de (mer$e!cia bas!dose " aplica!do la Norma B,) 2-999, !orma brit!ica para la $esti ! de co!ti!uidad de !e$ocio que abarca todo el ciclo de #ida de la $esti ! de co!ti!uidad de !e$ocio3 6El cdi7o de buenas prcticas8 que !os 6a proporcio!ado recome!dacio!es de bue!as prcticas " 6,a especificacin8 que !os 6a permitido i!corporar procesos de me2ora co!ti!ua para i!creme!tar la recuperaci ! de la or$a!izaci ! a!te u!a co!ti!$e!cia o desastre, " cumplir co! los requerimie!tos re$ulatorios de co!ti!uidad de !e$ocio, reducir es'uerzos " costos deri#ados de la e2ecuci ! de auditorias i!ter!as " de pro#eedores, 2usti'icar $astos de impla!taci ! " obte!er la co!'ia!za de los directi#os, clie!tes, accio!istas e! la supervivencia del !e$ocio.

Plan Continuidad de Operaciones &C'

(Business Continuity Management)

=emos aplicado las me2ores prcticas pro'esio!ales se$7! Norma BS 25999 las cuales resumimos a co!ti!uaci ! " desarrollamos ms adela!te e! este mismo docume!to3 B, 2-999>%32000 ? & di$o de 1rctica 4esti ! de &o!ti!uidad del Ne$ocio. 1ol;tica de 4esti ! de &o!ti!uidad del Ne$ocio. 4esti ! del 1ro$rama de &o!ti!uidad del Ne$ocio. (!te!die!do la /r$a!izaci !. Desarrollo e )mpleme!taci ! de Respuestas a B&@. Determi!a!do (strate$ias de &o!ti!uidad del Ne$ocio. (2ercita!do, @a!te!ie!do " A!aliza!do el pla! de B&@. Ai2a!do el B&@ e! la &ultura de la /r$a!izaci !. B, 2-999>232007 ? (speci'icaci ! 1la!eaci ! del ,istema de 4esti ! de B&@. )mpleme!ta!do " /pera!do el ,istema. @o!itoreo " Re#isi ! del ,istema. @a!te!imie!to " @e2ora del ,istema. &eneficios de la aplicacin del pro7rama de &C' en la Or7ani9acin 8os be!e'icios de 6aber desarrollado " aplicado u! pro$rama e'icaz de B&@ media!te la B, 2-999 e! la or$a!izaci ! so! los si$uie!tes3 Nos proporcio!a u!a estructura com7!, basada e! me2ores prcticas i!ter!acio!ales para $ere!cia de u! proceso de co!ti!uidad de !e$ocios. Nos 6a capacitado para ide!ti'icar proacti#ame!te los impactos de u!a i!terrupci ! operati#a. Nos 6a permitido dispo!er de u!a respuesta e'ecti#a a!te i!terrupcio!es, mi!imiza!do su impacto. Nos permite dispo!er de u! m:todo probado de restaurar la capacidad para pro#eer productos " ser#icios cr;ticos a u! !i#el " tiempo aceptable. @a!tie!e la capacidad de $estio!ar ries$os !o ase$urables. Aome!ta el traba2o e!tre equipos.

Acerca de la Normativa aplicable

Nos capacita para demostrar u!a respuesta cre;ble a tra#:s de e2ercicios " simulacros. @e2ora !uestra reputaci ! " la ima$e! e5terior de la empresa. 1ermite u! me2or posicio!amie!to estrat:$ico " competiti#o a tra#:s de la capacidad demostrada de ma!te!er e! caso de i!cide!tes, la e!tre$a de productos " ser#icios. Nos permite dispo!er de u!a compre!si ! 6ol;stica " mas clara de los !e$ocios de la or$a!izaci ! *co!cepci ! de cada realidad como u! todo disti!to de la suma de las partes que lo compo!e!+ a 'i! de poder ide!ti'icar oportu!idades de me2ora. Demuestra que estamos obser#a!do e! la /r$a!izaci ! los requisitos le$ales " las re$ulacio!es aplicables.

!esultados de la aplicacin del pro7rama de &C' en la Or7ani9acin 8os resultados obte!idos al 6aber desarrollado " aplicado u! pro$rama e'icaz de B&@ media!te la B, 2-999 e! la or$a!izaci ! so! los si$uie!tes3 =emos ide!ti'icado " prote$ido los productos " ser#icios cla#es, ase$ura!do su co!ti!uidad. Dispo!emos de la capacidad de $esti ! de i!cide!tes para proporcio!ar u!a respuesta e'icaz. Nos 6a permitido desarrollar, docume!tar " e!te!der adecuadame!te las relacio!es co! otras or$a!izacio!es, r$a!os de re$ulaci ! o departame!tos $uber!ame!tales, autoridades locales " de ser#icios de emer$e!cia. A6ora dispo!emos de perso!al capacitado, para respo!der e'icazme!te a u! i!cide!te o i!terrupci ! media!te la realizaci ! de e2ercicios " simulacros apropiados. (l perso!al de la empresa recibe el soporte " comu!icaci ! adecuadas e! el caso de u!a i!terrupci ! para co!ti!uar las operacio!es. Ase$uramos la cade!a de sumi!istro de la or$a!izaci !, porque estamos preparados para i!terrupcio!es " sabemos como actuar. 1rote$emos la reputaci ! de la or$a!izaci !. Nos permite cumplir !o solo co! !uestras obli$acio!es le$ales " re$lame!tarias, si!o co! !uestro compromiso pro'esio!al " de ser#icio.

3. Certificacin Norma I)O 22355

3.1. %eneralidades
(l 1la! de &o!ti!uidad de /peracio!es de esta empresa est basado e! la Norma I)O 22355, que prese!ta los pri!cipios " eleme!tos $e!erales para la preparaci ! e! caso de u! i!cide!te " te!er co!ti!uidad operati#a e! la or$a!izaci !. 8a impla!taci ! de este sistema de $esti ! e! la co!ti!uidad de operacio!es, 6a permitido orie!tar a la or$a!izaci ! para desarrollar criterios propios " perso!alizados " el dise9o ms adecuado del ,istema de 4esti ! impla!tado3 )de!ti'ica!do ob2eti#os. &ompre!die!do los obstculos, los ries$os " perturbacio!es que puede! obstaculizar los ob2eti#os cr;ticos. (#alua!do el ries$o " la tolera!cia para e!te!der los resultados de los co!troles " las estrate$ias de miti$aci !. 1ermitie!do alca!zar los ob2eti#os e! caso de que se produzca u! i!cide!te. 1ermitie!do el establecimie!to de procedimie!tos de actuaci !. De'i!ie!do las 'u!cio!es, respo!sabilidades " recursos para respo!der a u! i!cide!te. &umplie!do co! las disposicio!es le$ales " re$lame!tarias. (stablecie!do medios de comu!icaci ! " 1romo#ie!do u! cambio cultural de!tro de la or$a!izaci !.

Acerca de la Normativa aplicable

Plan Continuidad de Operaciones &C'

(Business Continuity Management)

(l 1la! de &o!ti!uidad desarrollado e impla!tado, co!stitu"e el co!2u!to de prcticas pro'esio!ales para la Gestin de Continuidad de Negocio, cu"o ob2eti#o pri!cipal es permitir a las operacio!es comerciales de la empresa, el se$uir opera!do ba2o co!dicio!es ad#ersas, al impla!tar estrate$ias adecuadas, ob2eti#os de recuperaci !, pla!es de $esti ! de crisis " estrate$ias de $esti ! de ries$os. =emos aplicado las me2ores prcticas pro'esio!ales se$7! la Norma I)O 22355 las cuales desarrollamos ms adela!te e! este mismo docume!to.

0. Certificacin )e7uridad de la Informacin Norma I)O 2;<<1

0.1. %eneralidades
(l 1la! de &o!ti!uidad de /peracio!es de esta empresa est basado e! la Norma I)O 2;<<1, que es u!a !orma i!ter!acio!al auditable que de'i!e los requisitos para u! sistema de $esti ! de la se$uridad de la i!'ormaci ! *,4,)+. 8a !orma 6a permitido adoptar a la or$a!izaci ! u! e!'oque por procesos para establecer, impla!tar, operar, super#isar, re#isar, ma!te!er " me2orar el ,4,) desarrollado.

)istema de %estin de )e7uridad de la Informacin

(Sistemas GSI)

(l sistema de $esti ! desarrollado e impla!tado, co!stitu"e el co!2u!to de prcticas pro'esio!ales para la Gestin de la Seguridad de la In!ormacin, !o co!sidera!do otros aspectos de la empresa, "a que el ob2eti#o pri!cipal es permitir ma!te!er la e'icacia del ,istema de )!'ormaci ! de la /r$a!izaci !, permitie!do el se$uir opera!do ba2o co!dicio!es ad#ersas, al impla!tar estrate$ias adecuadas, ob2eti#os de recuperaci !, pla!es de $esti ! de crisis " estrate$ias a te!er e! cue!ta3 8a impla!taci ! de la ),/ 2700%3200- 6a supuesto u!a i!#ersi ! e! el 'uturo de la compa9;a. =a permitido impla!tar u! ,istema de 4esti ! Bbasado en el ries oC, para a"udar a la or$a!izaci !, pla!i'icaci ! e impleme!taci ! de u! Sistema de Gestin de Seguridad de la In!ormacin (IS!S). ,upo!e u! apo"o !otable a la or$a!izaci !, al pro#eer u!a apro5imaci ! estructurada " proacti#a 6acia la se$uridad de la i!'ormaci !3 a$ 4ara!tiza!do que las perso!as, procedimie!tos, procesos " tec!olo$;a apropiados, est! e! su lu$ar para prote$er i!'ormacio!es, bie!es " acti#o. b$ A"uda!do a mi!imizar posibles da9os a or$a!izacio!es que puede! ser causadas por accio!es deliberadas o accide!tales. Nos permite impleme!tar u! &iclo de me2ora &o!ti!ua *Ciclo "DC#+.

Acerca de la Normativa aplicable

(l ciclo 1D&A (acrnimo de "lan# Do# $hec%# &ct), o D&;rculo de Demi!$D, es la estrate$ia impla!tada e! la empresa, que !os permite e! cuatro pasos, impleme!tar el co!cepto de $Me%ora continua$ 3 Plan ""lani!icar) )de!ti'icar el proceso que se quiere me2orar Recopilar datos para pro'u!dizar e! el co!ocimie!to del proceso A!lisis e i!terpretaci ! de los datos (stablecer los ob2eti#os de me2ora Detallar las especi'icacio!es de los resultados esperados De'i!ir los procesos !ecesarios para co!se$uir estos ob2eti#os, #eri'ica!do las especi'icacio!es o (&acer) (2ecutar los procesos de'i!idos e! el paso a!terior Docume!tar las accio!es realizadas.

C>ec? ('eri!icar) 1asado u! periodo de tiempo pre#isto de a!tema!o, #ol#er a recopilar datos de co!trol " a!alizarlos, compar!dolos co! los ob2eti#os " especi'icacio!es i!iciales, para e#aluar si se 6a producido la me2ora esperada Docume!tar las co!clusio!es

Act (#ctuar) @odi'icar los procesos se$7! las co!clusio!es del paso a!terior para alca!zar los ob2eti#os co! las especi'icacio!es i!iciales, si 'uese !ecesario Aplicar !ue#as me2oras, si se 6a! detectado errores e! el paso a!terior Docume!tar el proceso

&eneficios de implantar en la Or7ani9acin un )istema I)O 2;<<1@ Nos permite te!er respo!sabilidad reducida debido a las pol;ticas " a los procedimie!tos !o impleme!tados o re'orzados Nos supo!e la oportu!idad de ide!ti'icar " elimi!ar 'laquezas )mplica a la 4ere!cia, participa!do de la ,e$uridad de la )!'ormaci ! 4ara!tiza se$uridad a todas las partes i!teresadas @e2or co!scie!cia de la se$uridad E!e recursos co! otros sistemas de $ere!cia

Acerca de la Normativa aplicable

@eca!ismo para medir la $esti ! del sistema

Razo!es para adoptar la ),/ 2700% F ('icacia me2orada de la ,e$uridad de la )!'ormaci ! F Di'ere!ciaci ! del @ercado F ,atis'acer e5i$e!cias de los clie!tes F G!ico patr ! co! aceptaci ! $lobal F Respo!sabilidades e!'ocadas al equipo de traba2o F Ate!dimie!to de Requisitos 8e$ales *complia!ce+