Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Jess Quevedo
jesus.quevedouribe@gmail.com
RESUMEN
Eventos tales como el terrorismo, terremotos, fallas de la tecnologa, entre otros, que pueden ge-
nerar interrupciones en la entrega de productos y servicios, generan desde hace muchos aos la
necesidad de establecer lineamientos para la gestin de continuidad del negocio, que permitan
a las empresas seguir entregando sus productos y servicios a un nivel aceptable. En el presente
artculo se abordan los conceptos ms relevantes respecto de la continuidad del negocio, se realiza
una breve revisin de la literatura desde sus orgenes y se describen los modelos de gestin de
continuidad del negocio ms recientes.
Palabras clave: continuidad del negocio, modelo, impacto, riesgo.
ABSTRACT
Events such as terrorism, earthquakes, technology failures, among others, that can generate inte-
rruptions in delivery of products and services, generate since many years ago the need to establish
a framework for business continuity management, that enable companies continue to deliver its
products and services at an acceptable level. This article addresses the most relevant concepts of
business continuity, presents a brief review of the literature from its origins and describes the latest
business continuity management models.
Keywords: business continuity, model, impact, risk.
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
92
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
realiza una breve revisin de los esfuerzos realizados La Gestin de la Continuidad del Negocio GCN, que
sobre la continuidad del negocio desde sus orgenes, forma parte de una adecuada gestin del riesgo ope-
en la seccin 4 se describen los modelos de gestin de racional, es un proceso, efectuado por el Directorio,
continuidad del negocio ms recientes, y finalmente en la Gerencia y el personal, que implementa respuestas
la seccin 5 se tienen las conclusiones de la revisin. efectivas para que la operatividad del negocio de la em-
presa contine de una manera razonable, con el fin de
salvaguardar los intereses de sus principales grupos de
2. MARCO TERICO
inters, ante la ocurrencia de eventos que pueden crear
2.1 Riesgo Operacional una interrupcin o inestabilidad en las operaciones de
la empresa [15].
El riesgo es la condicin en la que existe la posibilidad
de que un evento ocurra e impacte negativamente so- Establece un marco de referencia estratgico y opera-
bre los objetivos de la empresa [11]. cional para implementar proactivamente una resisten-
cia organizacional ante la interrupcin o la prdida en la
La Gestin Integral de Riesgos es un proceso, efectua-
entrega de productos y servicios [16]. No deberan ser
do por el Directorio, la Gerencia y el personal aplicado
slo medidas reactivas tomadas luego de un incidente
en toda la empresa y en la definicin de su estrategia,
que ha ocurrido. La GCN requiere el planeamiento a lo
diseado para identificar potenciales eventos que pue-
largo de muchas reas de la organizacin, y su resis-
den afectarla, gestionarlos de acuerdo a su apetito por
el riesgo y proveer una seguridad razonable en el logro tencia depende de manera equitativa de su personal
de sus objetivos [11]. administrativo y operacional, tanto como de la tecnolo-
ga y el establecimiento de un programa de GCN [17].
Los riesgos pueden surgir por diversas fuentes, inter-
nas o externas, y pueden agruparse en diversas cate- Debido a que el riesgo operacional considera eventos
goras o tipos como son: riesgo de crdito, estratgico, de Interrupcin del negocio y fallos en los sistemas, de-
de liquidez, de mercado, operacional, de seguro, de finido como prdidas derivadas de interrupciones en el
reputacin [11]. negocio y de fallos en los sistemas, la continuidad del
negocio es parte de la gestin del riesgo operacional
En el Acuerdo de Basilea II, emitido en el 2004 por el [12].
Comit de Basilea con el objetivo de establecer un mar-
co que fortaleciera en mayor medida la solidez y estabi-
lidad del sistema bancario internacional, se norma por 3. REVISIN DE LA LITERATURA
primera vez el concepto de riesgo operacional, definido El primer uso conocido del trmino "Continuidad del
como el riesgo de sufrir prdidas debido a la inade- Negocio" fue hecho por Ron Ginn (posteriormente
cuacin o a fallos de los procesos, el personal y los Presidente del Instituto de Continuidad del Negocio -
sistemas internos o bien a causa de acontecimientos
BCI) en 1986, despus de haber investigado el tema
externos. Esta definicin incluye el riesgo legal, pero
en Estados Unidos y de haber entrevistado a muchos
excluye el riesgo estratgico y el de reputacin [12].
destacados profesionales. l escribi un libro titulado
Los eventos de prdida por riesgo operacional pueden "Planificacin de la Continuidad", que sugiere la apli-
ser agrupados de la siguiente manera: Fraude interno, cacin de un conjunto de habilidades de DRP a un ran-
Fraude externo, Relaciones laborales y seguridad en el go ms amplio de riesgos de negocio e interrupciones
puesto de trabajo, Clientes, productos y prcticas em- operativas potenciales [3].
presariales, Daos a activos materiales, Interrupcin
del negocio y fallos en los sistemas, y Ejecucin, entre- El Concejo de Estndares NFPA, de Estados Unidos,
ga y gestin de procesos [13]. estableci el Comit de Gestin de Desastres en ene-
ro de 1991, con la responsabilidad de desarrollar do-
2.2 Continuidad del Negocio cumentos relacionados a la preparacin, respuesta, y
recuperacinde desastres resultados de eventos natu-
Es la capacidad estratgica y tctica de la organizacin
rales, humanos o tecnolgicos [6].
para la planeacin y respuesta a incidentes e interrup-
ciones del negocio para continuar las operaciones del En 1994 se fund en el Reino Unido el Instituto de Con-
negocio a un nivel predefinido aceptable [14]. tinuidad del Negocio (Business Continuity Institute
93
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
BCI), como un grupo de trabajo encargado de definir el prcticas de PAS56, las guas de GCN que soporta el
conjunto de habilidades para medir y juzgar la capaci- Acta de Contingencias Civiles del Reino Unido del 2004
dad de aquellos que buscaban el reconocimiento como [19] y otros recursos de todo el mundo [1]. En el 2007
profesionales de continuidad del negocio, las cuales se el BSI public la segunda parte del nuevo estndar que
desarrollaron en un esfuerzo cooperativo con el Institu- es una especificacin de GCN para las organizaciones
to de Recuperacin de Desastres (ahora DRII) [3]. que desean certificarse: BS 25999-2, Gestin de Con-
tinuidad del Negocio Parte 2 Especificacin [1]. Este
En 1995 se realiza el lanzamiento de la Norma Brit-
nica para la Seguridad de Informacin BS 7799 y su ltimo se basa en el ciclo de la ISO 9000 Planear-Ha-
posterior versin americana ISO/IEC 17799 Cdigo de cer-Verificar-Actuar (Plan-Do-Check-Act PDCA) [20],
Buenas Prcticas para la Gestin de la Seguridad de establecindose como el ciclo de vida de la continuidad
la Informacin. Esto incluye en sus principios bsicos del negocio las fases de: entendimiento de la organiza-
la necesidad de la GCN, que se define en trminos de cin, determinacin de la estrategia, desarrollo e imple-
disponibilidad de datos. Esto aadi ms confusin al mentacin de la respuesta, ejercicio, mantenimiento y
debate y dio lugar a que muchos profesionales de TI revisin, y forjamiento de la cultura organizacional de
afirmaran que la GCN era simplemente un subconjunto continuidad del negocio [21]. El mismo ao se actualiza
de seguridad de la informacin [3]. Ese ao tambin se el NFPA 1600, identificando la prevencin como un as-
lanza el NFPA 1600 Prcticas recomendadas para la pecto adicional a la mitigacin, preparacin, respuesta
Gestin de Desastres, presentado en la Reunin Anual y recuperacin, identificado en versiones anteriores.
de los miembros en Estados Unidos [6]. As mismo, reconoce la colaboracin del Departamen-
to de Seguridad interna de los Estados Unidos (DHS),
Knight y Pretty de Templeton College, Oxford, realizaron IAEM3 y NEMA4 [22].
una investigacin en fines de los 90s que mostr que la
falta de confianza en la habilidad de los directores para En el 2008, John Sharp, auspiciado por el BCI, elabora
actuar rpida y profesionalmente en el momento de un un libro para la implementacin de la BS 25999-2, indi-
desastre lleva a la reduccin del valor de las acciones. cando lineamientos ms especficos, casos y plantillas
La GCN efectiva integra la gestin de crisis/incidentes del cmo y quines implementan el SGCN [1].
para asegurar que si un incidente mayor ocurre, la or- En el 2010 se lanza la actualizacin de la norma NFPA
ganizacin no est solo preparada para mantener la 1600 de Gestin de Emergencias y Desastres y Pro-
continuidad de sus operaciones, sino para asegurar a gramas de Continuidad del Negocio, alineada al ciclo
la comunidad que todo est bajo control [18]. PDCA. El captulo Gestin del Programa fue expandido
En el 2000 el comit de NFPA incorpora en el NFPA para enfatizar la importancia del liderazgo y el compro-
1600 la aproximacin a la gestin de desastres/emer- miso, incluyendo nuevos requerimientos para definir
gencias y programas de continuidad del negocio [6]. En los objetivos de desempeo y gestin de registros. Se
el 2003 el BSI public la Especificacin Disponible al conforman otros cuatro captulos de Planeacin, Imple-
Pblico PAS56 Gua para la Gestin de Continuidad del mentacin, Pruebas y Ejercicios, y Mejora del Progra-
Negocio, que muestra las mejores prcticas en GCN, ma. El anlisis de impacto al negocio y la evaluacin
que fue adoptado por muchas organizaciones alrede- de riesgos ahora estn separados. En el captulo de
dor del mundo [17]. implementacin se incluye una seccin de asistencia
al empleado y soporte [6]. Paralelamente, el NIST
En el 2004 el comit NFPA actualiz la terminologa y el
publica la Especificacin Pblica NIST 800-34 Rev. 1
formato del NFPA 1600 de acuerdo al Manual de Estilo
Gua de Planificacin de Contingencia para Sistemas
para los documentos tcnicos del NFPA emitido en el
de Informacin Federales, tomando en consideracin
2003 [6].
los requerimientos del estndar FIPS 199 Categoriza-
En el 2006 PAS56 fue remplazada por un nuevo estn- cin de Seguridad para Informacin Federal y Sistemas
dar britnico para la GCN: BS 25999-1. Este es un c- de Informacin [23], y de la publicacin NIST 800-53
digo de prcticas para la GCN e incorpora las mejores Controles de Seguridad recomendados para Sistemas
94
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
de Informacin y Organizaciones Federales [24]. Este toma como referencias las normas ISO 9000 [20],
estndar establece siete etapas del ciclo de vida del ISO 20000 [26], ISO 27001 [14] y PAS77 [27].
desarrollo del sistema de contingencias: desarrollo de BS 25999-2, Gestin de Continuidad del Negocio Parte
la poltica, anlisis de impacto al negocio, identificacin 2 Especificacin [28]. Este documento indica lo
de controles preventivos, creacin de estrategias de
que la organizacin debe hacer para implementar
contingencia, desarrollo de planes de contingencia,
la GCN. Esto es para el uso de partes internas y ex-
pruebas, entrenamiento y ejercicio del plan, y mante-
ternas, incluyendo organizaciones de certificacin,
nimiento del plan [5].
para evaluar la habilidad de las organizaciones de
En el 2011 la empresa Virtual Corporation publica la cumplir con los requerimientos regulatorios y de
segunda versin del Modelo de Madurez de Continui- clientes, y sus propios requerimientos. Contiene
dad del Negocio (Business Continuity Maturity Model slo requerimientos que pueden ser auditados ob-
BCMM), publicado originalmente en 2003 para dirigir jetivamente y la demostracin de una implementa-
a la organizacin a que sean capaces de evaluar y me- cin exitosa puede ser usada para asegurar a las
jorar su programa de continuidad del negocio, como un partes interesadas que se cuenta con un Sistema
mecanismo de medicin de la efectividad del mismo [8].
de Gestin de Continuidad del Negocio SGCN [1].
Ese mismo ao Roberta Witty establece los componen-
tes principales de un programa efectivo de gestin de Este modelo establece el ciclo de vida de la GCN como
crisis e incidentes, los cuales son: marco de referencia, un ciclo repetitivo y constante que se muestra en la Fi-
equipo de gestin de crisis/incidentes, centro de ope- gura 1:
raciones de comando/emergencia, software de GCN, y
ejercitacin de los procedimientos de gestin de crisis
[7].
En mayo de este ao se publica la norma ISO/IEC
22301 Sociedad de Seguridad Sistema de Gestin de
Continuidad del Negocio Requerimientos, en reem-
plazo de la BS 25999-2, que manteniendo el ciclo de
vida del SGCN y alineado al modelo PDCA establece
nuevas consideraciones y mejoras respecto a su pre-
decesor. Esta norma es certificable [9]. Finalmente
como complemento, John Sharp actualiza su libro de
Mapa de Ruta, alineado en esta oportunidad a la ISO
22301 [25].
4. REVISIN DE MODELOS
El estndar creado por el Instituto Britnico de Estan- A continuacin se describen los componentes del ciclo
darizacin en el 2007 para la gestin de continuidad del de vida de la GCN:
negocio consiste en dos partes [1]:
4.1.1 Gestin del Programa de la GCN
BS 25999-1, Gestin de Continuidad del Negocio Parte
1 - Cdigo de Prcticas [21]. Este documento toma Una gestin efectiva del programa establece la aproxi-
la forma de gua de buenas prcticas y recomen- macin de la organizacin a la continuidad del negocio.
daciones, indicando qu prcticas debe emprender La participacin de la alta direccin es clave para ase-
la organizacin para implementar la GCN efecti- gurar que el proceso de GCN es correctamente intro-
vamente. Las organizaciones deben escoger si si- ducido, adecuadamente soportado y establecido como
guen todo o parte del cdigo de prctica. En ella se parte de la cultura de la organizacin.
95
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
96
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
Las medidas de impacto pueden ser: prdida financie- moto y uso de fuerza de trabajo alternativo.
ra, impacto en la entrega del servicio, prdida de repu- Tecnologa: dispersin geogrfica de la tecnolo-
tacin, amenaza a la seguridad del personal, infraccin ga (mantener la misma tecnologa en diferentes
a la privacidad personal, falla en el cumplimiento de locales), mantener equipamiento antiguo como
obligaciones regulatorias, y efecto en los objetivos de reemplazo en una emergencia. Tener en cuenta
proyectos y cronogramas. los RTO, la distancia entre locales, el acceso re-
moto, la conectividad redundante y la naturaleza
4.2.2 Determinacin de las estrategias de continui-
de la falla.
dad de negocio
Informacin: respaldo en un local seguro de ma-
- Estructura de respuesta de incidentes (Incident nera fsica o virtual; teniendo en cuenta el punto
Response Structure - IRS). El autor define cuatro de recuperacin en el tiempo acordado con la alta
elementos clave para un buen IRS: Evaluacin direccin.
de la situacin, Activacin del IRS, Capacidad de
comunicacin, y Proceso de toma de decisiones. Proveedores: acuerdos de entrega de stock en
El procedimiento tiene que ser apropiado para el corto tiempo, proveedores alternativos, trasferen-
tamao y naturaleza de la organizacin y estable- cia de operaciones, acuerdos de niveles de ser-
cer las bases cuando ha ocurrido una interrup- vicio.
cin, definiendo qu planes deben ser activados. 4.2.3 Desarrollo e implementacin de una respues-
La lnea del tiempo para la respuesta se muestra ta de GCN
en la Figura 3, que indica una implementacin se-
cuencial de los planes de incidentes, continuidad y El autor establece como contenido mnimo de los pla-
recuperacin, sin embargo, en algunos casos, los nes: propsito y alcance, roles y responsabilidades, in-
planes deben ser implementados en una sucesin vocacin del plan, locales alternativos, planes de recu-
rpida o simultneamente. peracin del sistema, detalles del contacto, prioridades,
documentos y recursos vitales, listas de verificacin y
Incidente registros de auditoria, necesidades del personal, perfil
pblico, retorno de la normalidad. Asimismo presenta el
Respuestas a Incidentes (entre minutos y
Horas) evacuacin, bienestar de personal,
alcance que debe ser considerado para implementar las
contencin y evaluacin de deos,
invocacin del BCP.
respuestas de GCN, el cual se muestra en la Figura 4:
97
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
El autor muestra de manera ms detallada lo que est Este modelo se desarrolla en una lista de verificacin
estipulado en las normas BS 25999, pero de manera resultado de la comparacin con los modelos CSA
similar a su antecesor, el enfoque brindado es por pro- Z1600-08 Gestin de Emergencias y Programas de
cesos. Asimismo el autor contina con la lnea del es- Continuidad del Negocio [29] y las Prcticas Profesio-
tndar al abarcar cualquier tipo de empresa, siendo el nales para los Profesionales de Continuidad del Nego-
sector de estudio motivo de la tesis el sector financiero cio del DRII [30]. Tambin toma como referencias las
peruano, el cual requiere de mtodos y controles ms guas de gestin de recursos en emergencias de la
enfocados. ASTM E2640-10 [31]. Las fases del ciclo se especifican
a continuacin:
4.3 Modelo NFPA 1600 Gestin de Emergencias y
Desastres y Programas de Continuidad del Negocio 4.3.1 Gestin del Programa
Este modelo brinda una herramienta para la autoeva- - El compromiso de la direccin incluye polticas,
luacin de la NFPA 1600, de acuerdo al ciclo estable- planes, procedimientos, recursos, revisiones y
cido para la Gestin de Emergencias/Desastres y Pro- evaluaciones, y correcciones.
gramas de Continuidad del Negocio que se muestra en - Se ha determinado un Coordinador del Programa
la Figura 6: para desarrollar, implementar, administrar, evaluar
y mantener el programa.
- La documentacin del programa consta de polti-
ca, misin, visin, roles y responsabilidades, au-
toridades, alcance, metas, objetivos, mtodo de
evaluacin, presupuesto y cronograma.
- Los objetivos de desempeo dependen de los
resultados de la identificacin de amenazas, la
evaluacin de riesgos, y el anlisis de impacto al
negocio.
- Se cuentan con procedimientos financieros, admi-
nistrativos y de gestin de crisis para soportar el
programa antes, durante y despus del incidente.
- Se gestionan los registros: clasificacin, confiden-
Fig. 6. Ciclo Planear-Hacer-Verificar-Actuar [6]. cialidad e integridad, retencin, almacenamiento,
98
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
99
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
4.4 Modelo NIST Publicacin Especial 800-34 Pla- para asumir sus roles, y teniendo los sistemas y com-
neamiento de Contingencia para Sistemas de Infor- ponentes de sistemas probados para asegurar su ope-
macin Federales ratividad en el ambiente especificado en el plan [34].
Este modelo ha sido desarrollado de manera alineada 4.4.6 Mantener el plan
a los requerimientos del estndar FIPS1 199 Categori-
zacin de Seguridad para Informacin Federal y Sis- Los sistemas de informacin estn sometidos a cam-
temas de Informacin [23], tomando como referencia bios frecuentes debido a las necesidades del negocio,
diferentes lineamientos del gobierno estadounidense, actualizacin de tecnologa o nuevas polticas internas
entre ellos la publicacin NIST 800-53 Controles de Se- y externas. La revisin de los planesdeben enfocarse
guridad recomendados para Sistemas de Informacin en los siguientes elementos: requerimientos operacio-
y Organizaciones Federales [24], y otros [32] [33] [34] nales, requerimientos de seguridad, procedimientos
[35], estableciendo las siguientes etapas del ciclo de tcnicos, informacin de contacto, tecnologa, registros
vida del desarrollo de un sistema de contingencia: vitales o requerimientos alternos.
4.4.1 Desarrollar la poltica del plan de contingen- A travs de este modelo los autores buscan ayudar a
cia las organizaciones a entender el objetivo, proceso y
formato para el desarrollo de un Plan de Contingencia
Debe definir los objetivos globales de contingencia de
de Sistemas de Informacin (Information System Con-
la organizacin y establecer el marco de referencia y
tingency Plans ISCPs) a travs de guas prcticas y
responsabilidades organizacionales para el planea-
basadas en el mundo real. Mientras los principios es-
miento de sistemas de contingencia.
tablecen una lnea base para conocer las necesidades
4.4.2 Llevar a cabo el BIA de la mayora de las organizaciones, es reconocido que
cada organizacin puede tener requerimientos adicio-
Su objetivo es correlacionar los sistemas con los pro-
nales especficos a su propio ambiente operativo [5].
cesos crticos del negocio y servicios entregados, y con
base a esa informacin, caracterizar las consecuencias Deben considerarse varios enfoques alternativos cuan-
de una interrupcin, determinar los requerimientos del do se desarrollan y comparan estrategias, incluyendo
plan de contingencia y las prioridades de recuperacin. costos, tiempos de interrupcin mximos, seguridad,
prioridades de recuperacin, e integracin con planes
4.4.3 Identificar controles preventivos
de contingencia ms amplios a nivel organizacional.
En algunos casos los impactos del BIA deben ser mi- Asimismo los autores muestran un resumen de criterios
tigados o eliminados a travs de controles preventivos que pueden ser utilizados para determinar qu tipo de
que impidan, detecten o reduzcan el impacto en los sitio alterno cubre las necesidades de la organizacin,
sistemas. Donde es posible y efectivo en costos, los considerando la seguridad del sistema, controles de
controles preventivos son preferibles, tal como grupos administracin y operativos compatibles con el pros-
electrgenos, sistemas de aire acondicionado, sis- pecto de sitio alterno, firewalls, controles de acceso
temas anti incendios, detectores de humedad, entre fsico y requerimientos de seguridad de personal del
otros. grupo que soporta el sitio.
4.4.4 Crear estrategias de contingencia La Figura 7 identifica cinco componentes principales
Las estrategias de contingencia son creadas para del plan de contingencia. La informacin de soporte y
mitigar los riesgos, teniendo en cuenta respaldo y re- los anexos al plan proveen informacin esencial para
cuperacin, almacenamiento externo, sitios alternos, asegurar un plan comprensible. Las fases de activacin
remplazo de equipos, y consideraciones de costo. y notificacin, recuperacin y reconstruccin indican
acciones especficas que la organizacin debe seguir
4.4.5 Pruebas, entrenamiento y ejercicios del plan frente a una interrupcin del sistema o emergencia.
Un plan de contingencia debe mantenerse en un es- El modelo estudiado, al ser emitido cumpliendo con la
tado de preparacin, que incluye personal entrenado ley Federal de Gestin de la Seguridad de Informacin
101
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
(Federal Information Security Management Act FIS- - Alcance del programa de GCN y seleccin de
MA) emitida en el 2002 [36], el contenido del mismo se alternativas: definir qu productos y servicios se
centraliza en la gestin de la informacin y tecnologas consideran dentro del programa y los criterios
de informacin y comunicaciones y la generacin de claves de xito para su entrega. Asimismo la lo-
planes de contingencia y de gestin de incidentes tec- calizacin limita el alcance, incluye o excluye al-
nolgicos, los cuales pueden complementar un modelo gunos sitios o locales. Si un producto o servicio
de gestin de continuidad empresarial, pero por s solo. se considera dentro del alcance, entonces todas
Resalta que a pesar de que no se evidencia en su con- las actividades que soportan su entrega deben ser
incluidas en el programa. Las alternativas definen
tenido alguna referencia al estndar BS 25999, sus eta-
cmo la organizacin pretende proteger o no su
pas son similares, lo cual favorece a su acoplamiento.
habilidad para mantener la entrega.
4.5 Modelo para la implementacin de prcticas - Desarrollar la poltica de GCN: el objetivo es co-
globales de Gestin de Continuidad del Negocio municar a los stakeholders los principios de con-
tinuidad a los que la organizacin aspira, la cual
Lyndon Bird, a travs del BCI, establece una gua que debe ser corta, clara, precisa e ir al punto. Debe
cubre las seis fases de la GCN pero lo relaciona direc- contener los objetivos, alcance, responsabilida-
tamente a lo que ahora se define como Prcticas Profe- des, mtodos y estndares.
sionales (PP). Las seis PPs estn subdivididas en dos
- Gestin del programa de GCN: los elementos cla-
Prcticas de Gestin y cuatro Prcticas Tcnicas [3]:
ve son:
4.5.1. Prcticas de Gestin Asignacin de responsabilidades: designar un
responsable de la gestin y asignar un comit
Polticas y Gestin del Programa de apoyo, equipos de continuidad y de res-
- Alineando la Poltica de GCN en la cultura de la puesta a incidentes.
organizacin: un programa de GCN necesita refle- Implementacin de la GCN en la organizacin:
jar la estrategia, objetivos y cultura de la organiza- procesos de iniciacin, planeamiento, coordi-
cin, para asegurar que el programa es relevante, nacin e implementacin de los proyectos de
efectivo y apropiado. GCN por cada fase.
101
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
102
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
- Continuidad: respuesta inicial del negocio para 4.6 Modelo de Madurez de Continuidad del Negocio
asegurar que las actividades principales pueden 2.0
continuar operando a un nivel mnimo aceptable.
El Modelo de Madurez de Continuidad del Negocio
- Recuperacin: recuperar actividades a un nivel (Business Continuity Maturity Model BCMM) fue
sostenible. publicado originalmente en el 2003 por Virtual Corpora-
- Reanudacin: reanudar operaciones a nivel nor- tion, para dirigir a la organizacin a que sean capaces
mal. de evaluar y mejorar su programa de continuidad del
negocio, como un mecanismo de medicin de la efec-
Probar, Mantener y Revisar el SGCN
tividad del mismo. Esta versin incorpora los requeri-
La capacidad del SGCN no puede ser considerada con- mientos de BS 25999-1 [21] y 2 [28], NFPA 1600 [6] y
fiable hasta que sea probada. Esto verificar el trabajo ASIS SPC1 2009-1 [37], los cuales son evaluados a tra-
adecuado de los equipos, procedimientos correctos, vs de niveles de madurez, competencias corporativas
integracin de procedimientos, cumplimiento del RTO y contenido del programa de continuidad del negocio
y la capacidad del personal. Los tipos de pruebas son: (ver Figura 8):
de escritorio, simulacin, unidad de prueba, unidad de
ensayo, prueba punto a punto y ensayo total. 4.6.1 Niveles de Madurez
103
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
- Nivel 6 Sinergia: se han formulado y probado sa- - Recuperacin de tecnologa: asegurar que el
tisfactoriamente estrategias sofisticadas de pro- hardware, software, redes y aplicaciones de siste-
teccin del negocio. Los mtodos de control de mas de informacin crticas sean adecuadamente
cambios y mejora continua de procesos mantienen recuperadas de acuerdo a los tiempos objetivos.
a la organizacin en un nivel alto de preparacin.
- Recuperacin del negocio: asegurar que las fun-
4.6.2 Competencias Corporativas ciones crticas de negocios y recursos son ade-
- Liderazgo: el compromiso y entendimiento demos- cuadamente recuperados de acuerdo a los tiem-
trado por la alta direccin para asegurar la imple- pos objetivos.
mentacin apropiada del programa. - Gestin de Seguridad: asegurar que la seguridad
- Conciencia de empleados: la amplitud y profun- fsica, seguridad de informacin y otras activida-
didad del conocimiento y conciencia de la conti- des asociadas a proteger la integridad de la infor-
nuidad a travs de todos los niveles incluyendo la macin es apropiadamente dirigida.
consideracin para la calidad y sostenibilidad del
programa de concientizacin y entrenamiento. 4.7 Modelo para el Planeamiento de Gestin de Cri-
sis e Incidentes
- Estructura del programa de continuidad del ne-
gocio: la escala y oportunidad del programa im- Segn Roberta Witty, hay seis componentes principa-
plementado a travs de la empresa, el grado de les en un programa de Gestin de Crisis/Incidentes (C/
articulacin con los casos de negocio. IM) efectivo [7]:
- Penetracin del programa: el nivel de coordinacin
entre departamentos, funciones y unidades de ne- 4.7.1 Marco de Referencia
gocio. El grado en el cual las consideraciones de Durante un evento, mantendr la respuesta y evitar el
continuidad se han incorporado en iniciativas pro- riesgo de informacin extraa e irrelevante que se con-
pias del negocio.
vierte en una distraccin a los esfuerzos de respuesta.
- Mtricas: desarrollo y monitoreo de medidas apro- El marco recomendado se muestra en la Figura 9:
piadas del desempeo del programa. El estableci-
miento y seguimiento de la lnea base de compe- Meta: Establecer la autoridad y el control
tencia de continuidad. comunicacin y control
- Compromiso de recursos: la aplicacin de sufi-
ciente y apropiado entrenamiento de personal; Activacin del Sistema
finanzas y otros recursos para asegurar la sosteni-
Respuesta Inicial
bilidad del programa.
- Coordinacin externa: coordinacin de los pro- Evaluacin
blemas y requerimientos de continuidad con la
Activacin de recursos
comunidad, incluyendo clientes, vendedores, go-
bierno, socios, bancos, acreedores, entre otros; Administracin en curso
asegurando que la cadena de provisin tenga una
adecuado programa de BCM. Conclusin/Referida
- Gestin de incidentes: asegurar que todos los as- Conociendo quines en la organizacin estn a cargo
pectos de respuesta a la emergencia, gestin de de las actividades de C/IM, y los roles de los integran-
crisis y otras actividades relacionadas al mando, tes del equipo, es clave para una ejecucin exitosa de
control y comunicacin han sido establecidas. los procedimientos de C/IM.
104
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
4.7.3 Centrode operaciones de comando/emergen- En el 2012 la ISO emiti el estndar ISO 22301 Socie-
cia dad de Seguridad Sistema de Gestin de Continui-
dad del Negocio Requerimientos, que provee nuevos
Sea un espacio fsico, un saln virtual o la combina-
requerimientos y especificaciones para la GCN, y que
cin de ambos, tener todos los roles crticos en un solo
se complementa con la nueva gua de la GCN an en
lugar es vital para asegurar que el evento est siendo
desarrollo, la ISO 22313 [25]. Los requerimientos espe-
monitoreado y manejado para la mejor capacidad de la
cificados en este estndar internacional son genricos
organizacin.
e intentan ser aplicables a todas las organizaciones,
4.7.4 Procedimientos de comunicaciones en crisis o parte de las mismas, sin importar su tipo, tamao o
naturaleza [9]. Incorpora, entre otras, las definiciones
Los mensajes bien direccionados son vitales para de gestin de riesgos [39], las consideraciones para
asegurar que la organizacin mantenga el control de la preparacin ante incidentes y continuidad operativa
la situacin, y que el miedo, incertidumbre y rumores [40] y para la recuperacin de servicios de tecnologas
se mantengan al mnimo. Las relaciones pblicas, co- de informacin y comunicaciones [41].
municaciones corporativas, TI, reas legales y mdicas
deben ser consultadas para asegurar que los mensajes A continuacin se indican las fases que lo comprenden:
enviados son apropiados para el evento. Los servicios
4.8.1 Contexto de la organizacin
de notificacin masivos hacia proveedores, clientes y
pblico en general pueden ayudar al objetivo. - Entendimiento de la organizacin y su contexto.
Se debe identificar y documentar: actividades,
4.7.5 Software de GCN funciones, servicios, productos, socios, cadenas
Usar las herramientas automatizadas correctas puede de suministro, relaciones con partes interesadas,
asistir a las organizaciones en la ejecucin exitosa de y el impacto potencial relacionado a un incidente
los procedimientos de respuesta y recuperacin. Aqu de interrupcin. La relacin entre la poltica, los
se incluye el software de creacin, administracin y objetivos de la organizacin y otras polticas, in-
prueba de planes de recuperacin, software de planea- cluyendo su estrategia de gestin de riesgos y el
miento y de notificacin masiva de emergencia. apetito por el riesgo.
- Entendimiento de las necesidades y expectativas
4.7.6 Ejercitacin de los procedimientos de gestin de las partes interesadas. Se debe entender a las
de crisis partes interesadas relevantes para el SGCN y sus
Muchas organizaciones no enfrentan un desastre muy requerimientos. Tener en cuenta los requerimien-
seguido, por lo que los planes y procedimientos de tos regulatorios de SGCN y otros que deban con-
recuperacin no son familiares para la mayora de las siderarse.
personas en el momento que ms lo necesitan. Es por - Determinar el alcance del SGCN. Se debe esta-
ello que ejercitar es el nico camino para asegurar que blecer los requerimientos del SGCN, consideran-
los planes son viables en el evento de un incidente real. do la misin, metas, obligaciones internas y ex-
ternas, responsabilidades legales y regulatorias.
En este modelo si bien se establece un marco de refe-
Asimismo identificar productos y servicios y todas
rencia para la gestin de crisis, as como la necesidad
las actividades relacionadas al alcance del SGCN,
de formacin de equipos, no se indica quines deben
tomando en cuenta a las partes interesadas, como
mantener la responsabilidad de cada proceso del mar-
clientes, inversionistas, accionistas, cadena de su-
co. Asimismo no se indica cules son las condiciones
ministro, necesidades del pblico.
para la activacin de cada paso del marco ni para la
intervencin de cada equipo, y no se considera la di- 4.8.2. razgo
ferenciacin en la gestin de crisis dependiendo de los
La alta direccin debe demostrar su compromiso y lide-
escenarios enfrentados.
razgo a travs de:
4.8 Modelo americano ISO/IEC 22301 Sociedad de - Compromiso de la direccin. Se debe asegurar
Seguridad Sistema de Gestin de Continuidad del que se establecen las polticas y objetivos del
Negocio Requerimientos SGCN, y que son compatibles con la direccin
105
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
estratgica de la organizacin, que los recursos - Informacin documentada. Debe ser adecuada-
necesarios estn disponibles, y que se logre los mente identificada y descrita, formateada, alma-
resultados previstos. Se debe comunicar al per- cenada, revisada y aprobada para su idoneidad y
sonal la importancia de la gestin de continuidad adecuacin. Debe estar disponible donde y cuan-
efectiva. do se necesite, y estar adecuadamente protegida
- Poltica. Debe ser apropiada a los propsitos de para evitar la prdida de confidencialidad o integri-
la organizacin y proveer un marco de referencia dad, o uso inapropiado.
para establecer los objetivos de continuidad del 4.8.5. Operacin
negocio. Debe incluir el compromiso para satisfa-
cer los requerimientos aplicables y para continuar - Anlisis de impacto al negocio. Se debe identificar
mejorando el SGCN. las actividades que soportan la provisin de pro-
ductos y servicios, evaluar el impacto en el tiem-
- Roles organizacionales, responsabilidades y auto-
po de no ejecutar dichas actividades, priorizar los
ridades. Asegurar que las responsabilidades y au-
plazos para la reanudacin de las actividades a un
toridades para los roles relevantes son asignados
nivel mnimo aceptable, considerando el tiempo
y comunicados a la organizacin.
en que el impacto de no reanudarlos se vuelve in-
4.8.3. Planeacin aceptable, e identificar las dependencias y los re-
cursos de soporte a dichas actividades, incluyen-
- Acciones para abordar riesgos y oportunidades.
do proveedores, socios y otras partes interesadas.
Determinar los riesgos y oportunidades nece-
sarias para asegurar que el sistema de gestin - Evaluacin de riesgos. La organizacin debe iden-
puede alcanzar su estado deseado, y prevenir o tificar y analizar los riesgos de interrupcin para
reducir los efectos no deseados. las actividades priorizadas de la organizacin,
sistemas, informacin, personas, activos, socios y
- Objetivos de continuidad del negocio y planes
otros recursos que las soporten; e identificar trata-
para lograrlos. Deben ser consistentes con las po-
mientos de acuerdo con el apetito.
lticas de continuidad del negocio, tomar en cuenta
el nivel mnimo de productos y servicios para lo- - Estrategia de continuidad del negocio. La estra-
grar los objetivos, y ser medibles, monitoreados y tegia debe proteger las actividades priorizadas,
actualizados como sea apropiado. establecer los requerimientos de recursos, e im-
plementar las medidas para reducir los riesgos y
4.8.4. Soporte los periodos de interrupcin.
- Recursos. La organizacin debe determinar y pro- - Establecer e implementar los procedimientos de
veer los recursos necesarios para el SGCN. continuidad del negocio. Los procedimientos de-
- Competencia. Se deben determinar las compe- ben establecer los protocolos de comunicacin
tencias necesarias del personal para realizar su interna y externa, indicar los pasos especficos a
trabajo, y asegurarse que sean competentes. tomar durante una interrupcin, ser flexible para
- Concientizacin. El personal debe ser consciente responder a amenazas no anticipadas, y focalizar-
de la poltica de continuidad, de su contribucin se en el impacto de los eventos.
a la efectividad del SGCN, las implicancias de no - Estructura de respuesta a incidentes. Se identifi-
alinearse a los requerimientos, y su rol durante los can los umbrales de impacto que justifiquen una
incidentes de interrupcin. respuesta formal, evaluar la naturaleza y exten-
- Comunicacin. Se deben establecer los procedi- sin del incidente y su potencial impacto, activar
mientos para la comunicacin interna con partes una respuesta apropiada de continuidad del ne-
interesadas y empleados, la comunicacin exter- gocio, tener procesos y procedimientos para la ac-
na con clientes, socios, comunidad, medios y par- tivacin, operacin, coordinacin y comunicacin
tes interesadas; recibir, documentar y responder a de la respuesta.
comunicaciones de partes interesadas, y operar y - Planes de continuidad del negocio. Deben con-
probar la capacidad de comunicacin a usar du- tener roles y responsabilidades definidos durante
rante una interrupcin. y despus del incidente, un procedimiento para
106
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
activar la respuesta, detalle para salvaguardar el sus expectativas es reunir un grupo de directivos
bienestar de las personas, opciones para respon- y conseguir que hagan una lista de los grupos de
der a la interrupcin, detalles de cmo y bajo qu inters y sus expectativas, y luego clasificarlos en
circunstancias la organizacin se comunicar con orden de importancia para la organizacin. Debe-
los empleados y sus familiares; cmo la organiza- ra hacerse especial hincapi en las expectativas
cin continuar o recuperar sus actividades prio- de los clientes en el momento de la interrupcin.
rizadas, y procedimientos para restaurar y retornar
- Determinar el alcance del SGCN. Se debe docu-
a la normalidad.
mentar reas, productos, servicios y actividades
De manera similar al estndar BS 25999, se estable- que sern y no sern incluidas en el SGCN.
ce un modelo orientado a procesos y no a lneas de
negocio, que sin embargo pone mayor nfasis en la 4.9.2 Liderazgo
definicin de los objetivos y la participacin de la alta
- Poltica. Debe ser breve y apropiada para la orga-
direccin a travs del liderazgo. Asimismo se mantiene
nizacin, teniendo en cuenta su naturaleza, tama-
general de manera que cualquier tipo de empresa pue-
o, complejidad, geografa y actividades crticas.
da tomarlo de gua, pero indicando el qu y no el cmo.
Debe reflejar la cultura, dependencias y ambiente
4.9. Modelo de buenas prcticas para la implemen- operativo.
tacin de los requerimientos de la ISO 22301 - Roles organizacionales, responsabilidades y auto-
El autor [25] hace una explicacin de la metodologa ridades. Estos se reflejan en una estructura suge-
PDCA en la cual se basa la ISO 22301 [9], el cual pro- rida por el autor a travs de la Figura 11:
duce resultados de continuidad del negocio que hacen
frente a los requerimientos y expectativas de las partes
interesadas. A continuacin se detalla el ciclo de vida
de la GCN, que se mantiene similar al de la BS 25999
(ver Figura 1).
4.9.3 Planeacin
Acciones para abordar riesgos y oportunidades. Tra-
tar de no hacer mucho la primera vez o desarrollar un
SGCN muy complicado y exhaustivo. Acordar expec-
tativas realistas con la alta direccin, dando el tiempo
suficiente para la fase de diseo. Los esfuerzos inicia-
Fig, 10. Ambiente que rodea e impacta a una organizacin [25]. les deben ser percibidos como tiles y con legitimidad
- Entendimiento de las necesidades y expectativas organizacional. La alta direccin debe reconocer el
de las partes interesadas. Una tcnica sugerida tiempo y esfuerzo que se requiere para desarrollar e
por el autor para identificar a los stakeholders y implementar el SGCN.
107
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
4.9.4 Soporte
- Recursos. Se pueden definir costo de oportunidad
como: costo de ventas perdidas si la produccin
se interrumpe ms de X horas, penalidades si no
se puede entregar el producto o servicio, o por no
cumplir con regulaciones, y prdida de clientes si
la interrupcin dura ms de X das.
- Concientizacin. Una organizacin se beneficiar
de una cultura positiva de GCN si desarrolla un
programa de GCN, inspira confianza en las partes
interesadas en su habilidad de manejar las inte-
rrupciones, incrementa su resiliencia en el tiempo Figura 12. Mapeado de recursos de las actividades crticas [25].
y minimiza la probabilidad e impacto de interrup-
ciones. La evaluacin de riesgos ahora puede realizarse so-
bre los recursos identificados. Se deben determinar los
- Comunicacin. Contar con material preparado
puntos individuales de falla (Single Points of Failure -
que pueda ser rpidamente adaptado cuando se
SPoF), como un miembro crtico del equipo, un local o
requiera puede salvar tiempo, que incluya una de- un proveedor.
claracin e informacin general de la organizacin.
Tener en cuenta medios como Facebook o Twitter 4.9.6 Estrategias de continuidad del negocio
para comunicarse rpidamente y de manera ms
Determinar cmo se usarn los recursos crticos: per-
accesible. Las instalaciones alternativas deben
sonas, locales, herramientas, equipos, artculos de
ser de conocimiento incluso de los proveedores. consumo, tecnologas de informacin y comunicacio-
- Documentacin. Contexto, necesidades y expec- nes, transporte, finanzas, proveedores e informacin.
tativas de las partes interesadas, requerimientos
Se recomienda el desarrollo de estrategias para cua-
regulatorios y legales, alcance y exclusiones,
tro escenarios: denegacin de acceso a los locales,
compromiso de la alta direccin, poltica, roles y
escasez de personal, falla de la tecnologa, y falla del
responsabilidades, objetivos y planes, procedi-
proveedor o socio clave. Los ejemplos de soluciones
mientos, BIA y evaluacin de riesgos, estrategias, seran: oficinas alternas equipadas, proveedores alter-
pruebas. nativos, jefes interinos, contratos de reciprocidad con
4.9.5 Operacin empresas similares.
La ISO 22301 no indica en qu orden debe emprender- 4.9.7 Establecer e implementar procedimientos de
se el BIA y la evaluacin de riesgos. Para ello se deben continuidad del negocio
identificar los productos y servicios clave. Para ello una Al definir la Estructura de Respuesta a Incidentes (In-
opcin es obtener la opinin de la gestin operacio- cident Response Structure IRS) debe tener cuatro
nal respecto de los que considera importante para la elementos: evaluacin de la situacin, activacin del
organizacin, priorizando las actividades de reanuda- IRS, capacidad de comunicacin, y proceso de toma de
cin, siendo el riesgo de que cada jefe vea sus propias decisin. Asimismo debe considerar la formacin de un
operaciones como importantes. La segunda opcin es equipo de respuesta, el cual se sugiere tenga un lder,
contar con un equipo de alta direccin que priorice los representantes de salud y seguridad, comunicaciones
productos y servicios, as como el MTPD y RTO. corporativas, recursos humanos, legal, operaciones,
Luego de identificar los productos y servicios crticos, coordinador y administrador de equipo.
se debe mapear las actividades crticas. Una forma es 4.9.8 Respuesta a incidentes y planes de continui-
entrevistarse con la persona que realiza la actividad dad del negocio
y usando notas adhesivas por actividad a manera de
diagrama de flujo, indicar la informacin y recursos El autor presenta una plantilla de evaluacin para los
asociados. Finalmente, se obtiene como resultado un planes, de manera que se verifique que cumpla requi-
mapeado similar al de la Figura 12: sitos mnimos.
108
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
109
RISI 9(1), 91 - 110 (2012) REVISIN DE MODELOS DE GESTIN DE CONTINUIDAD DEL NEGOCIO
[21] British Standard Institute, BS 25999-1 Gestin de [34] National Institute of Standards and Technology,
Continuidad del Negocio Parte 1 Cdigo de Prc- NIST SP 800-84, Guide to Test, Training and
ticas, Reino Unido, 2006. Exercise Programs for Information Technology
[22] D. Schmidt,Implementing NFPA 1600 National Plans and Capabilities, EE.UU., 2006.
Preparedness Standard, National Fire Protection [35] National Institute of Standards and Technology,
Association, EE.UU., 2007. NIST SP 800-37, Rev. 1, Guide for Applying the
[23] National Institute of Standards and Technolo- Risk Management Framework to Federal Informa-
gy, Federal Information Processing Standards tion Systems, EE.UU., 2010.
(FIPS) 199, Standards for Security Categorization [36] National Institute of Standards and Technology,
of Federal Information and Information Systems,
Federal Information Security Management Act
EE.UU., 2004.
FISMA, Public Law 107-347, EE.UU., 2002.
[24] National Institute of Standards and Technology,
[37] American National Standards Institute, ASIS
NIST SP 800-53, Rev.3, Recommended Security
SPC1 2009-1 Organizational Resilience: Secu-
Controls for Federal Information Systems and Or-
ganizations, EE.UU., 2009. rity, Preparedness, and Continuity Management
Systems Requirements with Guidance for use,
[25] J. Sharp, The route map to Business Continuity
EE.UU., 2009.
Management Meeting the requirements of ISO
22301; British Standards Institution, Segunda Edi- [38] Gartner Group, http://blogs.gartner.com/business-
cin, Londres-Reino Unido, 2012. continuity/, 2010.
[26] International Organization for Standardization, [39] International Organization for Standardization,
ISO/IEC 20000 (both parts), Information Techno- ISO/IEC Guide 73, Risk management Vocabu-
logyService management, Suiza, 2005. lary, Suiza, 2002.
[27] British Standards Institution, PAS77 IT Service [40] International Organization for Standardization,
Continuity Management, Londres-Reino Unido, ISO/PAS 22399, Societal security Guideline for
2006. incident preparedness and operational continuity
[28] British Standard Institute, BS 25999-2 Gestin de Management, Suiza, 2007.
Continuidad del Negocio Parte 2 Especificacin, [41] International Organization for Standardization,
Reino Unido, 2007. ISO/IEC 24762, Information technology Secu-
[29] Canadian Standards Association, CSA Z1600, rity techniques Guidelines for Information and
Emergency Management and Business Continuity communications technology disaster recovery ser-
Programs, Canad, 2008. vices, Suiza, 2008.
[30] Disaster Recovery Institute International, Profes- Jess Quevedo. Ingeniera de Sistemas de la Universi-
sional Practices for Business Continuity Practitio- dad Nacional Mayor de San Marcos, con ocho aos de
ners, Nueva York-EE.UU., 2008. experiencia en el sector financiero peruano: en el Ban-
[31] ASTM International, ASTM E2640-10, Standard co de la Nacin como analista de Seguridad de Infor-
Guide for Resource Management in Emergency macin, en EDPYME Raz como Jefe de Ingeniera de
Management and Homeland Security, EE.UU., Procesos, en Caja Rural Prymera como analista de pro-
2010. cesos, en Banco Falabella como analista de Seguridad
[32] Federal Continuity Directive (FCD), Federal Exe- de Informacin, y actualmente en Financiera TFC como
cutive Branch National Continuity Program and Jefe de Riesgo Operacional y Oficial de Seguridad de
Requirements, EE.UU., 2008. Informacin y Continuidad del Negocio. Miembro de
[33] National Institute of Standards and Technology, ISACA y representante de Financiera TFC en los comi-
NIST SP 800-47, Security Guide for Interconnec- ts de riesgo operacional, seguridad de informacin y
ting Information Technology Systems, EE.UU., continuidad del negocio de la Asociacin de Bancos del
2002. Per ASBANC.
110