MODELO SISTEMA DE GESTIÓN DE CONTINUIDAD DE

NEGOCIO APLICADO A LA BANCA

Jorge Zúñiga Mayorga (Mg.Ing.)

Auditor Líder ISO 22.301 Continuidad Operacional de Negocio
¿QUÉ SE ENTIENDE POR CONTINUIDAD DE
NEGOCIO?

 Es la capacidad que posee la organización para

continuar entregando sus productos o servicios a
niveles aceptables tras un incidente disruptivo.

2
¿Qué servicios / productos?
 Red de Sucursales
 Portal Web del Banco

 Dispensadores de Dinero

 Pagos Proveedores

 Operaciones en Mesas de Dinero

 Etc…

3
¿QUÉ TIPO DE INCIDENTES?
 Ocasionados por la naturaleza
 Ocasionados por el hombre

4
 Destrucción a la propiedad
pública y privada
Interrupción red vial
Temor en la población
Alto costo de reparación
Destrucción a la propiedad
pública y privada Daño a la propiedad pública
Temor en la población Terremotos
y privada.
Alto costo de reparación Interrupción de la red vial.
Incendios Personas lesionadas /
Tsunamis muertas.

Daños a la propiedad pública Anegamiento vías de

Lesiones y muertes. circulación.
Daño a la infraestructura Interrupción de la red
pública y privada. vial.
Ausentismo escolar y laboral Interrupción de la red
energética.
Volcán en Ocasionados Temporales
Erupción
por la
Naturaleza
Interrupción red energética. Interrupción de la red vial.
Daños a la propiedad. Interrupción red energética.
Daños a la propiedad pública Daños a la propiedad.
Lesiones y muertes. Lesiones y muertes.
Alto costo de reparación. Reubicación población.

Tormentas Deslizamientos
eléctricas de tierra

Pandemia 5
Incertidumbre en la
población.
Ausentismo laboral y
escolar.
 Inaccesibilidad a las
instalaciones. Ocasionados
Interrupción de las por la
operaciones.
Indisponibilidad de personal. Naturaleza
Inaccesibilidad a las Caos,, saqueos, etc.
instalaciones.
Paralización de actividades.
Daños en equipos y Terremotos
sistemas.
Interrupción de servicios Inaccesibilidad a las
básicos.
Incendios
instalaciones.
Tsunamis
Interrupción de las
actividades
Incumplimiento contractual
Inaccesibilidad a las con clientes.
instalaciones.
Paralización de actividades.
Daños en equipos y
sistemas.
Interrupción de servicios Inaccesibilidad a las
básicos. Volcán en instalaciones.
Temporales
Erupción Interrupción de las
IMPACTO actividades
Incumplimiento
contractual con clientes.
Daños en equipos y
sistemas.
Interrupción de servicios
Inaccesibilidad a las básicos.
instalaciones.
Paralización de actividades. Inaccesibilidad a las
Daños en equipos y Tormentas Deslizamientos instalaciones.
sistemas. eléctricas de tierra Paralización de actividades.
Interrupción de servicios Daños en equipos y
básicos. sistemas.
Interrupción de servicios
Pandemia básicos.
6
Ausentismo laboral y escolar.
Interrupción de las actividades
Incumplimiento contractual con
clientes.
Instauración del terror en Destrucción de bases de Un buen negocio
ciudadanía y gobierno como datos. Legislación favorable
medio de obtener beneficios. Robo de información. Estacional
Desestabilidad de los Ataques a los servidores.
gobernos. Juegos escolares.
Asaltos
Mejoras salariales
Mejoras en condiciones
de seguridad
Terrorismo Ataques Huelgas
Informáticos

Alteración del orden

público.
Interrupción medios de
transporte.
Daño intencional por Sabotaje – Destrucción propiedad
trabajador descontento. Espionaje Ocasionados Movimientos privada y pública.
Obtener información Sociales -
privilegiada para beneficiar
Industrial por el Cívicos
a la competencia . Hombre

Interrupción de energía
eléctrica, agua, gas,
Accidentes y Falla
muertes Suministros
Condiciones de trabajo trabajadores Básicos
deficientes
Riesgos no identificados
Falla en
Falta de Supervisión Equipos y 7
Sistemas
Interrupción de los
enlaces comunicaciones,
servidores, etc…
 Detención actividades Ocasionados
empresa
Efecto psicológico en los
por el
Incremento en los costos
de protección. Destrucción de bases de datos. trabajadores. Hombre
Implantación de psicosis Pérdida de información. Pérdidas económicas.
colectiva. Daños en los equipos y sus
aplicaciones. Asaltos
Paralización faenas.
Terrorismo Ataques Huelgas Incumplimiento de contratos con
Informáticos clientes.
Pérdida de contratos con clientes.
Daños en imagen y en la Marca.

Sabotaje –
Espionaje Movimientos
Paralización de procesos. Sociales -
Pérdidas económicas.
Industrial IMPACTOS Cívicos Inaccesibilidad a las
instalaciones.
Daño a la propiedad.
Daño a las instalaciones.
Clima de desconfianza.
Incumplimientos con clientes.
Competencia desleal.
Lesiones a los trabajadores

Accidentes y Falla Interrupción de actividades

Aumento siniestralidad. muertes Suministros administrativas y productivas.
Aumento en cotización. trabajadores Básicos Paralización de los trabajos.
Cuestionamiento al sistema
Falla en Cierre transitorio de las
de seguridad.
Intervención de los sindicatos. Equipos y instalaciones. 8
Intervención de organismos Sistemas
fiscalizadores. Interrupción operación
equipos y procesos de
soporte.
INTRODUCCIÓN A LA CONTINUIDAD OPERACIONAL

 ¿Estamos preparados?
 Para identificarlos
 Para anticiparlos
INCIDENTES
DISRUPTIVOS  Para detectarlos
 Para enfrentarlos
 Para controlarlos
 Para eliminarlos

9
¿SE PUEDE ANTICIPAR SU OCURRENCIA?

Estudios Científicos
Ocasionados Mejores prácticas construcción.
por la Análisis prospectivo.
Naturaleza Consultando a los expertos.
Consultando a instituciones de
INCIDENTES gobierno.
DISRUPTIVOS
Control Interno.
Ocasionados Procedimientos de trabajo seguro.
por el Establecimiento áreas restringidas.
Hombre Aplicado Políticas de Seguridad de
la Información.
Control de personal externo.

10
¡Incidente!
CRONOGRAMA DEL INCIDENTE
Objetivo de recuperación general:
Tiempo
Cero
Vuelta a la normalidad lo antes posible

Cronograma

Respuesta a Incidente

Continuidad de Negocio

Recuperación / Reanudación – Regreso a la Normalidad

11
NORMAS RELACIONADAS CON SGCN
ISO
9.001
NFPA ISO BS
ISO 1.600 27.001 25.999
14.001

Basilea ISO22.301 OHSAS

II SGCN 18.001

BS ISO
17.999 28.000
ISO 12
20.000-1
PRESENTACIÓN ESTRUCTURA ISO 22.301

Planificar

Actuar SGCN Hacer

Verificar 13
 Jorge Zúñiga Mayorga - Auditor Líder ISO
22.301. Continuidad Operacional de
14

Negocio
MODELO PHVA
PRESENTACIÓN ESTRUCTURA ISO 22.301
 0: Introducción.
 1: Alcance y Campo de Aplicación.
 2: Referencias Normativas.
 3: Términos y Definiciones.
 4: Contexto de la Organización.
 5: Liderazgo.
 6: Planificación.
 7: Apoyo.
 8: Funcionamiento.
 9: Evaluación de Desempeño.
 10: Mejoramiento.
15
0. INTRODUCCIÓN - GENERALIDADES
Posee los componentes claves siguientes:
a. Una política;
b. Personas con responsabilidades definidas;
c. Gestión de procesos relativos a:
1. Política,
2. Planificación,
3. Implementación y operación,
4. Evaluación del desempeño,
5. Revisión de la gestión, y
6. Mejoramiento;
d. Documentación que provea evidencia auditable; y
a. Cualquier proceso de gestión de continuidad del negocio
relevante para la organización.
16
CLÁUSULAS DE LA NORMA
1. Alcance y Aplicación.

2. Referencias Normativas: No se citan

documentos de referencia

3. Términos y definiciones: 55 definiciones.

17
 DIAGRAMA DEL PROCESO
4. Contexto de 5. Liderazgo 6. Planeación 7.Soporte 8.Operación 9. Desempeño 10.Mejora
la Organización y Evaluación

Entendimiento Compromiso Acciones para Recursos Operaciones Medición del No

de la con la Gestión considerar el Planificación y monitoreo, conformidad y
organización riesgo y la Control análisis y acciones
oportunidad evaluación correctivas
Expectativas de Política de Objetivos de Competencias BIA y Auditoria Mejora
las partes Continuidad de Continuidad de Evaluación del Interna continua
interesadas Negocio Negocio Riesgo

Legal y Funciones , Conocimiento Estrategia de Revisión de

Regulatoria responsabilidad Continuidad de gestión
y autoridades Negocio

Alcance del Comunicación Establecer e

Sistema de Implementar
Gestión procedimientos

Información Ejercicios y
documentada Pruebas

18
Planificar Hacer Verificar Actuar
 Aplicación

19
 SGCN

Gerencia
General
Comité de
Gerentes
Otras Gerencias

Comité de
Seguridad

Auditoría
Interna

Coordinador
SGCN

Coordinadores para la Administración de Planes del SGCN

Coordinador
Coordinador Coordinador Coordinador 20
Comunicaciones
TI Emergencia Divisional
y Vocería
 Gerente General Comité de
Comité de Gerencia Continuidad
Asesores del Coordinador
Comité Continuidad SGCN

Coordinadores de Incidentes SGCN

Coordinador
Coordinador Coordinador
Coordinador TI Comunicaciones y
Divisional Emergencia
Vocería

Equipos Gestión Incidentes

Equipo TI Equipo Divisional Equipo Emergencia

Adquisiciones
Mesa Ayuda Servicios Logísticos
Infraestructura y Servicios
Operaciones – Actividades
CORE
Informática Infraestructura red sucursales Operaciones de
Soporte/Desarrollo/Produ Seguridad
cción
Portal Web Control de Acceso
Telecomunicaciones Proveedores Vigilancia
SPP/SPA
Operaciones de
Emergencia
Líderes de Evacuación
Brigadas de Incendio
Brigada Primeros Auxilios
Brigadas de Rescate
2
1
 ACTIVIDADES QUE APLICAN A LOS DEPARTAMENTOS DE
PREVENCIÓN DE RIESGOS
 Gestión de Incidentes:
 Asesoría a las áreas en la identificación temprana de los incidentes, en
la forma de comunicarlos a las partes interesadas y en los procesos de
activación de los diferentes planes para enfrentar los incidentes.
 Identificación de elementos de prevención de riesgos que aplican a la
Continuidad de Negocio
 Aplicación de las mejores prácticas de la Banca en Análisis de Impacto y
Evaluación de Riesgos
 Medición, evaluación y presentación de oportunidades de mejora de
los ejercicios y pruebas de Continuidad de Negocio con enfoque en la
seguridad de las personas.
 Incorporación de elementos de la Norma NFPA 1600 sobre Manejo de
Desastres, Emergencias y Programas para la Continuidad de Negocio.
22

Jorge Zúñiga Mayorga - Auditor Líder ISO 22.301. Continuidad

Operacional de Negocio
 ACTIVIDADES QUE APLICAN A LOS DEPARTAMENTOS DE
PREVENCIÓN DE RIESGOS
 Gestión de Organización
 Realización de Auditorías de Diagnóstico al Banco y sus proveedores
con enfoque en riesgos de: personas, infraestructura, equipos,
procesos, transporte, Sitio de Procesamiento Principal y Sitio de
Operaciones Alternativo.
 Asesoría a las áreas en la implementación de las mejores prácticas de
seguridad en Planes y Procedimientos para enfrentar incidentes
disruptivos.
 Asesoría a las áreas en la definición de una estructura comunicaciones
para enfrentar emergencias o incidentes.
 Elaboración de manuales de procedimientos de emergencia y de
administración de crisis.

23
 Gestión de Capacitación
 Inducción a nuevos trabajadores incluyendo temas de continuidad operacional
para aquellos cargos críticos.

 Realización de un programa de capacitación orientado a la preparación de las

personas que componen los cargos críticos y personal que forma parte de los
planes de emergencia en las siguientes materias:
 Psicología de la emergencia
 Primeros auxilios niveles básico y avanzado
 Técnicas de Supervivencia (Rural y Urbana)
 Técnicas de Rescate en edificios
 Preparación de voceros o portavoces
 Levantamiento de procedimientos de operación con equipos y sistemas críticos
 Formación Auditores Internos en ISO 22.301 – NFPA 1600 , etc.

24
 Gestión de Recursos
 Asesoría en la definición de recursos mínimos para enfrentar incidentes
 Equipamiento de policlínicos.
 Implementos para control de incendios, rescate, etc.

 Gestión de Competencias
 Asesoría en la definición de las competencias mínimas para las personas con
Cargos Críticos y sus respectivos reemplazantes.

25
ACTIVIDADES POR REALIZAR
 Elaboración de Manual de Buenas Prácticas de
Continuidad Operacional – Aplicación en los
Departamentos de Prevención de Riesgos de la
Banca – Mejora Continua…
 Alcance: Casa Matriz y Red de Sucursales.
 Plazo:

 Elaboración de una Auditoría Diagnóstico de

Continuidad Operacional.
 Alcance: Casa Matriz y una Sucursal.
 Plazo:

26
 GANTT MANUAL BUENAS PRÁCTICAS

N° ACTIVIDAD RESPONSABLES ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC
Presentación Sistema de
1 Gestión Continuidad de 24
Negocio
Entregar Propuesta Manual
2 de Apoyo Continuidad de 24
Negocio
Entrega Herramienta de
3 31
Autodiagnóstico
Ejecución Autodiagnóstico
4 12
(Plazo de Entrega)
Evaluación de Resultados
5 23
Autodiagnóstico
Desarrollo Manual de
6 Buenas Prácticas en 14
Continuidad de Negocio
6.1 Módulo Personas 21
6.2 Módulo Infraestrctura 28
6.3 Módulo Equipos 4
6.4 Módulo Competencias 11
6.5 Módulo Capacitación 18
6.6 Módulo Recursos 25
6.7 Módulo Sistemas 5
6.8 Módulo Auditoría Interna 15
Entrega Manual de Buenas
7 Prácticas en Continuidad 3
de Negocio 27
Mantención y
8 13
Actualización del Sistema
 FIN

Jorge Zúñiga Mayorga (Mg.Ing.)

Auditor Líder ISO 22.301. Continuidad Operacional de Negocio

jozuma@gmail.com

28