Guía de Supervisión de Gestión de Continuidad del Negocio

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades una adecuada Gestión de la Continuidad del Negocio.

Entre otros aspectos, se evaluarán:

Programa de Gestión de Continuidad del Negocio en la Cultura de la Organización

• La conformación de un Programa para la Gestión de la Continuidad del Negocio (GCN) acorde a la estructura y el volumen de operaciones de la entidad que considere, entre otros aspectos:

• El establecimiento de una Política de Gestión de la Continuidad del negocio.
• La identificación de las necesidades del negocio.
• La definición de un programa de capacitación y concientización sobre las capacidades de resiliencia tecnológica.
• La identificación y el tratamiento de los riesgos.
• Los procedimientos de recuperación adoptados para distintos escenarios.

• La integración en el marco del programa de las diferentes jerarquías organizacionales e infraestructuras tecnológicas existentes en la entidad, como así también a los servicios prestados por las terceras partes vinculadas.

• El entendimiento del nivel de concientización, conocimiento y entrenamiento existente en la entidad.

Estructura, roles y responsabilidades

• El establecimiento del Directorio o autoridad equivalente de la entidad, como responsable primario de aprobar y supervisar la ejecución de la Política de Gestión de Continuidad del Negocio.

• La asignación de los recursos necesarios para la creación, el mantenimiento y la prueba de planes de continuidad operables y funcionales, acordes a los requerimientos de negocio de la entidad y de los organismos de regulación y control.

• La designación formal de un área o sector, responsable de la coordinación del Programa de GCN y de las actividades vinculadas con las diferentes etapas establecidas en el mismo.

• La inclusión dentro de la GCN de todas las etapas del proceso, desde la recuperación durante la contingencia, hasta la vuelta a la normalidad.

Política de Gestión de Continuidad del Negocio

• El establecimiento de una Política de GCN que establezca el alcance y el marco de gobierno del Programa de Continuidad del Negocio, proporcione el contexto de las actividades que lo conforman e identifique los principios sobre los cuales se funda el mismo.

• El alineamiento de la Política de GCN con la estrategia de la organización (negocio, tecnología y sistemas y protección de activos), sus objetivos y su cultura.

• La identificación de las áreas de la organización, los productos y servicios incluidos dentro del programa, al igual que los sitios de procesamiento propios y de terceros con los que cuenta la organización.

Análisis de Impacto del Negocio

• La responsabilidad del Directorio o autoridad equivalente, de observar la ejecución de evaluaciones de riesgos para determinar el impacto de distintos eventos, tanto en términos de magnitud de daño como del período de recuperación y la vuelta a la normalidad.

• La implementación de una metodología formalmente aprobada para la gestión de los análisis de impacto del negocio (BIA), que considere la participación del personal de áreas técnicas y del negocio, la confección de métricas para la determinación de las estrategias de recuperación (RTO y RPO, entre otras), y los servicios de tecnología tercerizados.

• La identificación de los eventos que puedan ocasionar interrupciones en los procesos críticos de la entidad.

• La participación de los propietarios de los procesos y recursos del negocio en el análisis.

• La consideración de todos los procesos de negocio, las instalaciones de procesamiento de la información, y todos los recursos relacionados.

• Los resultados de los análisis de impacto y de los análisis de riesgos efectuados.

• La toma de conocimiento y aprobación de los resultados generados por los análisis de impacto por el Directorio o autoridad equivalente de la entidad.

Evaluación de riesgos y escenarios

• El desarrollo de escenarios de amenazas que pudieran de alterar los procesos de negocio y la capacidad de la entidad para cumplir con las expectativas de los clientes (internos o externos), sobre la base de experiencias prácticas, eventos previos y circunstancias posibles.

• La inclusión de escenarios de amenazas de diferentes niveles de probabilidad de ocurrencia e impacto, desde catástrofes (como huracanes), hasta incidentes leves (por ejemplo, cortes breves de energía), que pudieran afectar a personal o áreas de trabajo específicas, instalaciones, sistemas o sitios geográficos.

• El análisis por parte de la entidad de la ubicación geográfica de todas las instalaciones, propias y de terceras partes, su susceptibilidad a las amenazas, la proximidad de las infraestructuras críticas (fuentes de energía, aeropuertos, carreteras principales, ferrocarriles, etc.), y el monitoreo de factores externos a través de la comunicación fluida con las autoridades civiles y regulatorias.

• La priorización de los procesos de negocio en función de los resultados de los análisis de impacto y la estimación de cómo podrían ser interrumpidos bajo diferentes escenarios de amenaza definidos.

Resiliencia tecnológica

• La responsabilidad del Directorio o autoridad equivalente en:

- El establecimiento de la dirección y la supervisión de la estrategia de resiliencia tecnológica de la entidad implementada por la Alta Gerencia.
- La evaluación de las repercusiones de las decisiones comerciales y políticas en las operaciones críticas de la entidad.
- La aprobación y revisión de la tolerancia al impacto ante la interrupción de las operaciones críticas.
- La revisión periódica de la implementación de la estrategia de resiliencia operativa de la entidad.

• La identificación de los recursos humanos, la tecnología, los procesos, la información, las instalaciones y sus interconexiones necesarias para realizar las operaciones críticas de la entidad, incluidas aquellas que dependen de terceras partes.

• La consideración de los siguientes elementos:

- Identificación de activos y operaciones críticas.
- Adecuación de las prácticas de resiliencia, incluida la adecuación de la infraestructura de recuperación y los procesos de respaldo.
- Implementación de medidas de ciber resiliencia lo suficientemente flexibles como para adaptarse a una amplia gama de eventos.
- Implementación de respuestas a incidentes, en donde se desarrollen pasos para responder y recuperarse ante cualquier evento.
- Integración con los servicios de recuperación ante desastres para proteger contra la destrucción de datos.
- Evaluación de la infraestructura alternativa de comunicaciones de datos entre la entidad y los proveedores de servicios críticos de terceros.
- Desarrollo de pautas, acordes con el tamaño, la complejidad y el perfil de riesgo de la entidad, para diversificar las conexiones y mitigar el riesgo de una falla de telecomunicaciones.
- Evaluación de la susceptibilidad de la entidad a múltiples escenarios de amenazas en las estrategias de planificación, prueba y recuperación de resiliencia.
- Designación de personal de emergencia, incluso para empleados indispensables a nivel de procesos de negocios críticos.
- Existencia de recursos técnicos y de telecomunicaciones seguras para los empleados que deban trabajar desde una ubicación alternativa.
- Asignación de recursos alternativos (por ejemplo, personal y sistemas) para aquellas situaciones en las que no se pueden prestar los servicios primarios.
- Capacidad de un proveedor de servicios externo (tercera parte) para cumplir los objetivos de recuperación de la entidad en los acuerdos de nivel de servicio, en relación con las necesidades de otros clientes.
- Capacidad para trasladar procesos tercerizados o descentralizados, ya sea internamente o a otro proveedor de servicios externo.
- Confidencialidad, integridad y disponibilidad de datos (por ejemplo, transportabilidad e interoperabilidad).
- Fuentes de energía alternativas (por ejemplo: generadores, unidades de entrega de energía sin interrupción (ups) y múltiples redes de energía).
- Consideraciones vinculadas a la provisión de combustible, tanto para el que se encuentra disponible como contratos con proveedores para entregas durante eventos, y cualquier impedimento potencial para obtener combustible.

Estrategias de Continuidad del Negocio

• El desarrollo de estrategias de continuidad del negocio basadas en la evaluación de riesgos y el análisis de impacto en el negocio.

• La inclusión en las estrategias de continuidad de los siguientes puntos:

- La asignación de recursos para cumplir con los objetivos de resiliencia y recuperación.
- La evaluación de aspectos vinculados con el transporte o alojamiento de personal en instalaciones alternativas, el establecimiento de métodos de comunicación con empleados, clientes y terceros, la definición de sitios de trabajo redundantes y/o procesos manuales para operaciones de las líneas de negocios.
- La evaluación de los centros de procesamiento de datos, la diversidad geográfica, las medidas de protección y la redundancia de las fuentes de energía.
- Arquitecturas en la nube, virtualización y otras tecnologías.
- Medidas definidas para mitigar amenazas específicas o únicas, como la pérdida de servicios de terceras partes críticos o las amenazas cibernéticas. - La existencia de alternativas para los sistemas propietarios, herramientas de usuarios o activos críticos no informatizados, dados los riesgos significativos y únicos para las actividades comerciales de una entidad.
- Las capacidades de acceso para voz y datos, la infraestructura de tecnología de mapeo a las necesidades de los empleados, y la capacidad interna y externa (incluida la capacidad remota) para determinar si las estrategias de teletrabajo son suficientes.
- La definición de distintas combinaciones de copias de seguridad, replicación y almacenamiento para lograr diferentes niveles de continuidad y resiliencia.

Planes de Continuidad del Negocio (BCP)

• El establecimiento y la implementación de planes, procedimientos y la definición de las responsabilidades para la continuidad del negocio que involucren a todo el personal de la entidad, en función de la estructura organizacional, la complejidad tecnológica y el volumen de negocios.

• El establecimiento de planes de continuidad del negocio que permitan:

- sostener el desarrollo de las operaciones durante el lapso de restablecimiento de los servicios tecnológicos,
- garantizar razonablemente la recuperación operativa de los procesos, y
- reducir el impacto en las actividades y la atención en sucursales.

• La elaboración de los planes en función de los análisis de impacto y la evaluación de escenarios, cuyo objetivo principal sea la reanudación de los procesos de negocio.

• La existencia de planes o procedimientos escritos y formalmente aprobados para atender la continuidad del procesamiento de datos y las actividades vinculadas, y dar respuesta eficiente y efectiva en el caso que se presenten contingencias o emergencias.

• La definición de planes que contengan una visión general simple y de alto nivel de la secuencia de recuperación para cada escenario contemplado y hagan referencia a procedimientos más detallados de recuperación.

• La consideración en los planes de escenarios vinculados con pérdidas de bases de datos, equipos de infraestructura y sistemas críticos, de conectividad de la red, sitios de procesamiento, proveedores de servicios clave, entre otros.

• La inclusión de estrategias integrales de recuperación para resolver problemas que pueden derivarse de las interdependencias internas y externas, basadas en los resultados del análisis de impacto y la evaluación de los escenarios.

• La consideración de los siguientes elementos en la conformación de los planes de continuidad:

- Procedimientos para la declaración de un desastre (escalamiento) y criterios para la activación de los planes.
- El detalle de los proveedores de servicios involucrados en las acciones de contingencia / emergencia.
- El detalle de los equipos de recuperación y sus responsabilidades asociadas.
- Procedimientos detallados sobre los procesos de recuperación con identificación de los sistemas y componentes críticos y su orden o precedencia de recuperación, así como también las facilidades de comunicaciones, y aquellos de regreso a la operación normal.
- Los datos de contacto actualizados del personal clave para cada función en la ejecución del plan y la modalidad de trabajo según sea el caso.
- Procedimientos de comunicación en emergencia que describan las acciones a emprender una vez ocurrido un incidente y disposiciones para la gestión de vínculos eficaces con las autoridades civiles y regulatorias.
- La información logística de la localización de recursos claves, incluyendo: instalaciones alternativas, de los resguardos de datos, de los sistemas operativos, de las aplicaciones, los archivos de datos, los manuales de operación y documentación de programas / sistemas / usuarios y copias del plan de continuidad.
- Los procedimientos de emergencia que describan las acciones a emprender para el traslado de actividades esenciales a las ubicaciones transitorias alternativas, y para el restablecimiento de los procesos de negocio en los plazos requeridos.
- La inclusión de los planes de reconstrucción para la recuperación de todos los sistemas y recursos.

Gestión de crisis o emergencias

• El abordaje por parte de la función que lidere la gestión de crisis o emergencias de los Planes de Continuidad de Negocio, de la coordinación con las autoridades civiles y regulatorias.

• Los escenarios tienen que detallar las interrupciones y no limitarse a un solo evento, instalación o área geográfica. Además, los planes de gestión de crisis o emergencias tienen que abordar las interrupciones simultáneas de las telecomunicaciones y la mensajería electrónica, incluso entre la entidad, sus empleados y los proveedores de servicios externos.

• La consideración en los planes de gestión de crisis o emergencias de escenarios vinculados con la interrupción simultánea de las telecomunicaciones y la mensajería electrónica, incluso entre la entidad, sus empleados y los proveedores de servicios externos.

• La designación del personal clave de los departamentos correspondientes para actuar durante una situación de crisis o emergencia, de acuerdo con el tamaño y la complejidad de la entidad. El personal clave puede incluir:

- Alta Gerencia para el liderazgo.
- Gestión de instalaciones de seguridad y seguridad física.
- Recursos humanos para asuntos de personal, viajes y reubicación.
- Relaciones con los medios para gestionar las comunicaciones.
- Finanzas y contabilidad para el desembolso de fondos y decisiones financieras, incluidos los gastos no anticipados.
- Legal y cumplimiento de preocupaciones legales y regulatorias.
- Áreas de TI, incluida la seguridad de la información, y operaciones para respuestas tácticas específicas.

• La definición de protocolos de comunicación para crisis o eventos de emergencia que incluya:

- Listas de contactos actualizadas, distribuidas y accesibles para el personal clave.
- Métodos alternativos de comunicación con el personal y otras partes interesadas, incluido el personal ubicado en áreas aisladas o dispersas, y
- Disposiciones para contactar a la entidad cuando los canales de comunicación normales no funcionan.

Entrenamiento, ejercicios y testeos relacionados con las Estrategias de Continuidad del Negocio

• La inclusión de la capacitación como parte de un programa efectivo de continuidad del negocio para educar a las partes interesadas sobre resiliencia, metas de continuidad del negocio, objetivos corporativos, políticas y roles y responsabilidades individuales del personal.

• La consideración por parte de la Alta Gerencia de las habilidades actuales para la continuidad del negocio e identificar y abordar cualquier brecha. Cuando sea apropiado, el establecimiento de metas y objetivos para apoyar el Programa de Gestión de Continuidad del Negocio de la entidad como parte del proceso de gestión del desempeño.

• La realización de pruebas periódicas de las estrategias de continuidad del negocio, como mínimo una vez al año, considerando los siguientes aspectos:

- La simulación de escenarios de amenazas establecidos y la ejecución de las estrategias de recuperación definidas en los planes para cada escenario, teniendo en cuenta las condiciones de prestación de servicios comprometidos durante los momentos de mayor actividad.
- El aseguramiento que la operatoria integral de todos los sistemas automatizados críticos, de acuerdo con los análisis de impacto del negocio efectuados, a efectos de verificar que el plan esté actualizado y sea eficaz.
- El conocimiento de los planes por todos los miembros del equipo de recuperación y el resto del personal relevante.

• La definición de una frecuencia de ejecución de los ejercicios basada en el tamaño y la complejidad de la entidad, los elementos del programa de concientización, los riesgos y la iteración del programa de prueba.

• La existencia de un cronograma formal de pruebas que indique cómo se prueba cada elemento de los planes, y la fecha de ejecución de cada una de las pruebas.

• La participación en las pruebas de las áreas usuarias de los procesos de negocio, áreas técnicas relacionadas, las terceras partes involucradas y la auditoría interna.

• La inclusión de la siguiente documentación en los resultados de las pruebas:

- Fechas y lugares.
- Un resumen ejecutivo que compare objetivos y resultados.
- Desviaciones materiales de los planes, incluso si se logró la participación prevista.
- Problemas identificados y lecciones aprendidas.
- Asignación de responsabilidad para la resolución oportuna de los problemas identificados.

• El análisis de los resultados de los ejercicios y de las pruebas, su comparación con los objetivos y criterios de éxito, y su reporte a los niveles apropiados de gestión.

• La documentación de las decisiones para aceptar los riesgos identificados durante los ejercicios para aquellos ítems no remediados.

• Las decisiones tomadas por el Directorio o autoridad equivalente y la Alta Gerencia sobre la base de los resultados de los ejercicios y de las pruebas, a fin de determinar el cumplimiento de las necesidades establecidas en los análisis de impacto, la identificación de posibles fallos o inconvenientes y la solución apropiada de los mismos.

Mantenimiento y actualización de los Planes de Continuidad del Negocio

• El mantenimiento de los Planes de Continuidad del Negocio por medio de revisiones y actualizaciones periódicas para garantizar su eficacia permanente.

• La utilización de los resultados de los ejercicios y pruebas como elemento para la actualización de las estrategias de recuperación y los planes de continuidad.

• La existencia de procedimientos escritos a fin de asegurar que todo cambio en los procesos de negocio y en su tecnología relacionada se refleje en las actualizaciones sobre los planes de continuidad.

• La designación de un responsable formalmente identificado para el mantenimiento y adecuación del plan de continuidad, la ejecución de las revisiones periódicas, la identificación de cambios y su actualización.

• El establecimiento de un proceso formal de control de cambios que certifique la distribución de los planes actualizados a todos los responsables involucrados en su ejecución.

Terceras partes

• En el proceso de análisis de una descentralización, contratación y/o subcontratación de terceras partes (incluidos los prestadores de servicios en la nube), la consideración por parte de la entidad de:

- La existencia de planes y recursos para la continuidad de las operaciones de las terceras partes involucradas.
- Su capacidad para recuperarse y reanudar las operaciones en caso de producirse una interrupción inesperada en el servicio.

• El establecimiento de controles tendientes a asegurar que los proveedores de servicios externos sean resistentes y tengan la infraestructura y el personal adecuados para restaurar servicios críticos de acuerdo con los requisitos comerciales y contractuales.

• La inclusión en los acuerdos de nivel de servicio de disposiciones que aseguren el derecho de la entidad de realizar o participar de las pruebas de continuidad efectuadas por las terceras partes y la efectivización de la mencionada participación.

Glosario de términos

Continuidad del Negocio: capacidad estratégica y táctica que tiene una organización para planificar y responder a incidentes e interrupciones, con el fin de mantener las operaciones y servicios críticos de tecnología que soporta al negocio, dentro de un nivel aceptable y asumible por dicha organización.

Gestión de la Continuidad del Negocio: Proceso de gestión integral que identifica amenazas tecnológicas potenciales para una organización y los impactos sobre las operaciones comerciales que esas amenazas podrían causar, y que proporciona un marco para construir la resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarda los intereses de sus principales interesados, reputación, marca y actividades de creación de valor.

Planes de Continuidad del Negocio: Recopilación documentada de procedimientos e información para su uso en un incidente con el objetivo de permitir que una organización continúe entregando sus productos y servicios críticos a un nivel aceptable.

Resiliencia tecnológica: Es la capacidad de prepararse y adaptarse a las condiciones cambiantes, resistir y recuperarse rápidamente de las interrupciones. La capacidad de recuperación incluye la capacidad de resistir y recuperarse de ataques deliberados, accidentes, amenazas o incidentes naturales.

Junio, 2020. Versión inicial