grado en ingeniería de las tecnologías...
TRANSCRIPT
Equation Chapter 1 Section 1
Trabajo Fin de Grado
Grado en Ingeniería de las Tecnologías
Industriales
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Sevilla, 2018
Implantación y análisis de riesgos de un Sistema de
Gestión de Continuidad de Negocio en áreas de
atención telefónica
Autor: Pedro Juan López Madroñal
Tutores: Lorena Gutiérrez Madroñal
Daniel Limón Marruedo
Trabajo Fín de Grado
Grado en Ingeniería de las Tecnologías Industriales
Implantación y análisis de riesgos de un Sistema de
Gestión de Continuidad de Negocio en áreas de
atención telefónica
Autor:
Pedro Juan López Madroñal
Tutores:
Lorena Gutiérrez Madroñal (Profesora de la Universidad de Cádiz)
Daniel Limón Marruedo (Catedrático de la Universidad de Sevilla)
Dep. de Ingeniería de Sistemas y Automática.
Escuela Técnica Superior de Ingeniería
Universidad de Sevilla
Sevilla, 2018
Proyecto Fin de Carrera: Implantación y análisis de riesgos de un Sistema de Gestión de Continuidad de
Negocio en áreas de atención telefónica
Autor: Pedro Juan López Madroñal
Tutores: Lorena Gutiérrez Madroñal
Daniel Limón Marruedo
El tribunal nombrado para juzgar el Proyecto arriba indicado, compuesto por los siguientes miembros:
Presidente:
Vocales:
Secretario:
Acuerdan otorgarle la calificación de:
Sevilla, 2018
El Secretario del Tribunal
viii
Agradecimientos
A mi familia que me ha apoyado incondicionalmente en este largo camino.
A Irene, ella ha sido la responsable de que cada día quiera ser mejor persona.
x
Resumen
La finalidad de un sistema de gestión de continuidad del negocio es la de identificar y proteger los procesos
críticos de la organización. Esto se lleva a cabo mediante la creación de procedimientos que aseguren la
supervivencia de las operaciones críticas de la empresa en el caso de que se materialice algún incidente o
desastre.
La implementación de un Business Continuity Management System (BCMS), un estándar certificable basado en
la norma ISO 22301, ofrece todos los lineamientos para que una empresa cuente con una respuesta eficaz ante
un incidente. La respuesta de la empresa siguiendo el BCMS puede evitar que la continuidad de su negocio se
vea afectada o puede lograr que dicha afectación tenga un mínimo impacto.
La importancia de la implantación de este sistema recae en la necesidad de las organizaciones de poder seguir
llevando a cabo sus procesos críticos de negocio en caso de un desastre.
El proyecto se ha llevado a cabo siguiendo las fases del Ciclo de Deming (Planificación-PLAN, Ejecución-DO,
Validación-CHECK y Reacción-ACT) y teniendo como base las directrices que proporciona la norma ISO
22301.
En la presente memoria se detallan los pasos a seguir para la elaboración de un BCMS, siguiendo las directrices
de un estándar basado en la ISO 22301 y posteriormente desarrollaremos un caso práctico en el que llevaremos
a cabo la implantación de dicho BCMS en un Call Center.
xii
Abstract
The purpose of a Business Continuity Management ystem is to identify and protect the critical processes of the
organization. This is carried out through the creation of procedures that ensure the survival of critical operations
of the company whether an incident or disaster materializes.
The implementation of a Business Continuity Management System (BCMS), a certifiable standard based on the
ISO 22301, offers all the guidelines for a company to have an effective response to an incident. The response of
the company following the BCMS can prevent the continuity of your business is affected or can achieve that
impact has a minimum impact.
The importance of implementing this system lies in the organizations necessity to continue carrying out their
critical business processes in the event of a disaster.
The project has been carried out following the phases of the Deming Cycle (Planning-PLAN, Execution-DO,
Validation-CHECK and Reaction-ACT) and based on the guidelines provided by the ISO 22301 standard.
In this report we detail the steps to follow in order to implement a BCMS, following the guidelines of a standard
based on ISO 22301 and later we will develop a practical case in which we will carry out the implementation of
the mentioned BCMS in a Call Center.
Índice
Agradecimientos viii
Resumen x
Abstract xii
Índice xiii
1.Introducción xviii 1.1 Contexto del proyecto xviii 1.2 Objetivos xviii
2. Metodología xix 2.1 Descripción del proceso de implantación xix
2.1.1 Análisis del Contexto xx 2.1.2 Liderazgo xx 2.1.3 Planificación xxii 2.1.4 Soporte xxiii 2.1.5 Operación xxiii 2.1.5.1 Análisis de Riesgos xxiv 2.1.5.2 Análisis de Impacto del Negocio (BIA) xxiv 2.1.5.3 Estrategias de Continuidad del Negocio xxv 2.1.5.4 Procedimientos de Continuidad de Negocio xxv 2.1.5.5 Ejercicios y Pruebas xxvi 2.1.6 Evaluación xxvii 2.1.7 Mejora xxvii
3 Caso Práctico xxix 3.1 Contexto del Proyecto xxix 3.2 Alcance xxix 3.3 Planificación xxxi 3.4 Compromiso del Promotor xxxii 3.5 Análisis de Contexto xxxii 3.6 Análisis de Impacto de Negocio xxxv 3.7 Liderazgo xxxviii
3.7.1 Estado de normalidad xxxviii 3.7.2 Gestión de incidentes xlvi 3.7.3 Gestión de crisis l
3.8 Política de Continuidad y Objetivo Estratégicos lviii 3.9 Análisis de Riesgos lix 3.10 Concienciación y formación lxiv 3.11 Estrategias de Continuidad lxv 3.12 Planes y Procedimientos de Continuidad del Negocio lxvi 3.13 Pruebas lxvii 3.14 Evaluación del BCMS lxix 3.15 Mejora lxx
4. Conclusiones lxxi
Bibliografía: lxxii
xviii
1.INTRODUCCIÓN
En la actualidad, cualquier empresa está expuesta a posibles amenazas que repercuten a sus procesos de negocio
más críticos provocando su interrupción. Estas amenazas se pueden analizar y cuantificar según el impacto
económico y legal que han tenido sobre la organización, así como su clasificación según el impacto en la
reputación de la empresa ante sus clientes y competidores.
Un Sistema de Gestión de Continuidad de Negocio (Business Continuity Management System) es un sistema de
gestión que, basándose en las directrices facilitadas por la norma ISO 22301 (Business Continuity management
systems, ISO 22301:2012) , permite tener en cuenta todos los activos de la empresa, haciendo visibles aquellos
que afectan de manera directa a los procesos más críticos del negocio.
A través de la implantación de un Business Continuity Management System, en adelante BCMS, se podrá
asegurar la continuidad de los procesos identificados como críticos para el negocio. De esta forma se podrán
tomar decisiones rápidas y efectivas en caso de contingencia, dando un servicio óptimo a los clientes en todo
momento. Con todo esto, se mantendrá la confianza del cliente, adquiriendo un considerable ahorro en costes
en la gestión de activos de la organización.
1.1 Contexto del proyecto
Durante este proyecto veremos cómo implantar un BCMS en organizaciones que necesitan invertir en
continuidad de negocio para procesos relacionados con atención de llamadas. El alcance de este BCMS puede
incluir a cualquier organización que disponga de área de post-venta telefónica y atención al cliente (asistencia
de seguros, bancos, telefonía, etc.).
Analizaremos todos los agentes, tanto externos como internos, que puedan afectar a los procesos de negocio que
se consideren críticos.
Se tendrán en cuenta tanto proveedores, instalaciones y personas que forman parte de los diferentes procesos de
negocio que se incluirán en el BCMS.
En el presente Trabajo Fin de Grado (TFG), partiendo de un estudio previo, se analizarán de manera sistemática
los riesgos de continuidad de negocio en caso de desastre en función de las necesidades del negocio (tiempo de
interrupción permitido, pérdida de datos permitida, aspectos legales,etc.), permitiendo establecer medidas de
contingencia en ciclos de mejora continua en función de los recursos de los que disponga la empresa.
1.2 Objetivos
Un BCMS establece un ciclo de mejora continua que permite que los procedimientos, políticas y procesos se
mantengan lo más actualizados posibles a la situación real de la empresa que lo pretenda implantar. Con ello se
garantiza que los procesos de continuidad fijados por la organización tengan una respuesta satisfactoria en caso
de desastre, pudiendo continuar con su actividad de negocio dentro de la normalidad.
En este proyecto nos centraremos en asegurar la continuidad de negocio de organizaciones cuyos procesos
críticos se basen en la utilización de un Call Center1.
Los objetivos principales de la implantación de un BCMS son:
• Proporcionar una ventaja competitiva.
• Preservación de la imagen de la marca de la organización que implanta el BCMS.
• Ahorrar costes.
1 Call Center- se refiere a ese área centralizada de la empresa desde la que se gestionan y coordinan todas las
comunicaciones con sus clientes (¿Que es un datacenter? ¿Y un CPD? ,2018).
• Asegurar el cumplimiento de las regulaciones aplicables a los procesos dentro del alcance del BCMS.
• Tratamiento de riesgos de reputación, legales y de interrupción de los procesos críticos.
2. METODOLOGÍA
Siguiendo las directrices marcadas por la normativa internacional ISO 22301 (Business Continuity management
systems, ISO 22301:2012), hemos podido determinar los pasos a seguir para la implantación de un BCMS
utilizando escalas de medidas uniformes y comparables.
Todo esto permitirá definir un sistema de gestión de continuidad de negocio para la organización, para todos
aquellos procesos críticos que se vean implicados y que, ciclo tras ciclo, puedan ir incluyendo otros procesos
y/o localizaciones.
Esta capacidad de ampliación del alcance, una vez realizada la implantación del BCMS, se debe a que se tienen
en cuenta todos los activos que participan en los procesos de negocio críticos, véanse: recursos IT, recursos
físicos (personas, edificios), ubicaciones técnicas (data centers2 ), bases de datos (servidores de gestión
documental) e infraestructuras (propias o de un proveedor).
Así mismo, la existencia de escalas de medida uniformes y comparables permite que los resultados puedan ser
medidos e interpretados, pudiendo observar la evolución de la organización tras diversas iteraciones del proceso
de mejora continua.
2.1 Descripción del proceso de implantación
Basándonos en la norma ISO 22301 (Business Continuity management systems, ISO 22301:2012), la
implantación de un BCMS se puede dividir en dos facetas claramente diferenciadas:
• Gestión de la continuidad o del propio BCMS.
• Operación de la continuidad o del propio BCMS.
La primera faceta tiene una estructura totalmente integrable con el resto de Sistemas de Gestión, como por
ejemplo sistemas de gestión relacionados con el medio ambiente, calidad, gestión de riesgos y seguridad de la
información, entre otros. Todos estos Sistemas de Gestión están sujetos a normativas ISO que marcan las
directrices de su implantación y mantenimiento. Debido a la necesidad de las organizaciones de implantar más
de un Sistema de Gestión con sus correspondientes versiones de los estándares ISO, en los últimos años se ha
tomado la iniciativa de abordar los diferentes Sistemas de Gestión de manera unificada. Todo ello supone un
considerable ahorro de costes y así como un ahorro en la dedicación a esta tarea en caso que se decida abordar
más de un Sistema.
Las secciones de la norma que se incluyen en esta faceta de gestión del BCMS son:
• Análisis del contexto.
• Liderazgo.
• Planificación.
• Soporte.
• Evaluación.
• Mejora.
La segunda faceta que trataremos se centra en los aspectos técnicos más relacionados con la continuidad del
2 Un data center es un centro de procesamiento de datos, una instalación empleada para albergar un sistema de
información de componentes asociados (Definista 2018)
xx
negocio. En esta sección de la normativa ISO nos centramos en las particularidades técnicas del BCMS.
La sección de la norma ISO 22301(Business Continuity management systems, ISO 22301:2012) que hace
referencia a esta faceta contiene los siguientes puntos a tratar:
• Control de la Planificación.
• Análisis de Impacto de Negocio.
• Análisis de Riesgos.
• Estrategias de Continuidad de Negocio.
• Establecimiento e implementación de los Procedimientos de Continuidad de Negocio.
• Ejercicios y Pruebas.
Pese a que en un proceso de implantación es recomendable seguir un orden en la ejecución de las tareas, existen
numerosas restricciones temporales, así como restricciones en cuanto a los conocimientos de la organización en
materias de continuidad del negocio. Estas últimas pueden hacer que se combinen en el tiempo acciones
relacionadas con la gestión así como acciones de vertiente de la fase de operación.
A continuación, se describen cada una de las secciones introducidas en este punto.
2.1.1 Análisis del Contexto
En este apartado del BCMS describiremos los objetivos y las líneas estratégicas, además de delimitar los
procesos, activos y relaciones con terceros que afecten a los procesos de negocio que se quieran incluir en el
alcance.
En esta sección hay que tener muy en cuenta la actividad de la empresa, sus objetivos esenciales, la estructura y
tipo de la organización, los departamentos que forman la empresa y sus funciones, el tipo de servicios que presta.
También habrá que hacer un análisis de las partes interesadas, así como de los factores internos y externos que
afectan a los procesos críticos de la organización que se han incluido en el alcance.
El Análisis del Contexto se establece al principio de un proyecto de implantación. Para llevar a cabo dicho
Análisis en primer lugar habrá que realizar un estudio de las partes interesadas y de la determinación del alcance.
Del mismo modo habrá que definir una metodología para el mantenimiento del BCMS, tanto a nivel organizativo
como documental.
A su vez, en este apartado incluimos la definición y el criterio del umbral de riesgo, el análisis legal y el de la
regulación al que está sujeta una organización que ofrece servicios de atención de llamadas.
2.1.2 Liderazgo
El presente apartado aborda la definición de roles y su correspondiente asignación de tareas, responsabilidades
y autorizaciones suficientes para que el BCMS pueda operar de manera efectiva.
Esta asignación de roles al personal de la empresa supone cierta dedicación a las tareas de operación del BCMS.
La empresa debe de ser consciente que esto supondrá un aumento de costes.
Dichos costes se traducen generalmente de la siguiente manera:
• Una dedicación del personal a tareas relacionadas con la operación del BCMS (asistencia a reuniones,
validación de documentación, material de formación, etc.)
• Una inversión en los activos que forman parte de los procesos críticos del negocio.
Por otra parte, una empresa que implante un BCMS debe de saber los beneficios que este supone, aún asumiendo
los costes descritos anteriormente, ya que suponen un valor añadido para la empresa tanto en el ámbito externo
como en el interno.
Mediante la definición de la Política de Continuidad se hace patente el compromiso de la organización con la
operación del BCMS, así como su validación por parte de la Dirección General de la empresa, normalmente el
máximo órgano de poder de la empresa.
Debido a la importancia de este compromiso para la efectividad del BCMS esta parte de este debe abordarse
justo después de haber establecido todos los aspectos analizados en el Análisis del Contexto. Así aseguramos la
implicación del personal para la correcta gestión de la continuidad de negocio, estableciendo a su vez los criterios
de gestión del riesgo del ciclo de mejora de PDCA3 (ver Tabla 2.1) o también conocido como Ciclo de Deming
en el que se basa la ISO 22301.
Este estándar internacional aplica el modelo PDCA (ver Figura 2.1) para planificar, establecer, implementar,
operar, monitorizar, revisar, mantener y continuamente mejorar la efectividad del BCMS de una organización.
Figura 2.1:Modelo PDCA para un proceso BCMS. (Business continuity management systems, ISO22301:2012)
3 El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés
“Plan, Do, Check, Act”. También es conocido como Ciclo de mejora continua o Círculo de Deming, por ser
Edwards Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a cabo de
forma sistemática para lograr la mejora continua (Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo
de Deming de mejora continua | PDCA Home 2018)
xxii
Tabla 2.1.Explicación del modelo PDCA (Business continuity management systems, ISO22301:2012)
Plan
(Establecer)
Establecer políticas de continuidad de negocio, objetivos, controles y
procedimientos relevantes para mejorar la continuidad de negocio, con la finalidad
de obtener resultados que se alineen con las políticas y objetivos de la organización.
Do
(Implementar
y operar)
Implementar y operar la política de continuidad del negocio, controles, procesos y
procedimientos.
Check
(Monitorizar
y revisar)
Monitorizar y revisar el rendimiento de la politica de continuidad de negocio y sus
objetivos.
Reportar los resultados, determinar y autorizar acciones para la remediación y
mejora.
Act
(Mantener y
mejorar)
Mantener y mejorar el BCMS a partir de los resultados del paso anterior y así
reorganizar el alcance del BCMS.
2.1.3 Planificación
En esta sección se establecerá un tratamiento de riesgos y oportunidades que surjan a lo largo de la implantación
del BCMS, así como en los siguientes ciclos de mejora continua PDCA, teniendo en cuenta su importancia.
Estos riesgos y oportunidades deben de estar directamente vinculados con los objetivos establecidos en el
apartado de Análisis del Contexto, a la vez que los esfuerzos deben de estar incluidos en el alcance establecido
en el capítulo de Liderazgo.
Así pues, la gestión de la Planificación debe abordarse como fase siguiente al establecimiento del Liderazgo del
BCMS. De esta manera se consigue disponer de un apropiado control del desarrollo del proyecto, pudiendo tener
en cuenta los recursos disponibles y analizando a su vez las necesidades del entorno cambiante a la que la
organización y la continuidad de sus procesos críticos de negocio están expuestos.
La Gestión de la Planificación (ver Figura 2.2) comprende la determinación de acciones concretas, a realizar por
el personal de la empresa que está involucrado en la continuidad del negocio, relacionadas tanto con los riesgos
a mitigar, como con los objetivos a conseguir.
Los objetivos de continuidad establecidos en la sección del Análisis del Contexto, se analizan en este apartado,
con la finalidad de que se alineen con las directrices marcadas por la organización, para que puedan ser medibles
y comprobar que cumplen con los requisitos de continuidad. Estos objetivos pueden ser actualizados
periódicamente.
Figura 2.2: Principales variables para gestionar la Planificación. Elaboración propia.
2.1.4 Soporte
En el presente apartado vamos a determinar los recursos necesarios para la correcta gestión de la continuidad de
los procesos críticos del negocio. Analizaremos los requisitos y capacidades de estos, incluyendo los roles
definidos en la sección de Liderazgo.
Uno de los elementos más importantes a tratar en este apartado para la gestión de la continuidad del negocio es
el análisis y diseño de lo que se denomina Plan de Comunicación, el cual contiene todas las fases para la
continuidad del negocio (normalidad, contingencia, crisis y recuperación). Este Plan de Comunicación consta
de las siguientes variables para la determinación de las acciones de comunicación:
Después de un evento de riesgo, tiempo considerado para realizar una comunicación.
• Periodicidad de la comunicación.
• Contenido de la comunicación.
• Canal de comunicación.
• Partes interesadas a las que realizar la comunicación.
• Fuentes de información necesarias.
• Responsabilidades y autorizaciones vinculadas con el análisis realizado en la fase de Liderazgo.
Adicionalmente, en este apartado se incluye la definición de la metodología a seguir para la gestión documental,
así como el archivado de la información necesaria para la gestión y operación del BCMS.
Al contrario que las fases de las que hemos hablado con anterioridad, la fase del Soporte no tiene una necesidad
secuencial, es decir, se puede realizar de manera simultánea a la fase de Planificación junto con acciones
encaminadas a las secciones que trataremos a continuación.
2.1.5 Operación
En este apartado se llevan a cabo los análisis, tanto cualitativos como cuantitativos, pruebas técnicas, así como
la definición de las estrategias de continuidad necesarias para preservar los procesos críticos dentro del ciclo de
PDCA.
Dada la complejidad y amplitud de los análisis necesarios para abordar todos los ejercicios que se van a llevar a
cabo dentro de este capítulo, es necesario una planificación de las tareas y actividades de estos desde las fases
más tempranas de la implantación del BCMS. En los siguientes sub-apartados se describen brevemente los
ejercicios más significativos a realizar para conseguir los objetivos de la presente sección.
xxiv
2.1.5.1 Análisis de Riesgos
Este ejercicio establece un proceso de análisis de las amenazas y vulnerabilidades a las que están expuestos los
procesos de negocio críticos y los activos que los soportan.
Dicho proceso de análisis debe quedar debidamente documentado para su posterior revisión, con el fin de que
pueda ser comparado cuando se realice la repetición periódica del mismo ejercicio. Con todo esto se podrá
observar si las medidas de salvaguarda aplicadas surten los efectos deseados sobre aquellos procesos
identificados como críticos por la organización.
Para poder garantizar la repetición cíclica y valía del ejercicio, este debe estar basado en una metodología
sistemática, que permita priorizar el tratamiento de los riesgos según los costes de dichos tratamientos.
Es necesario analizar los procesos críticos de negocio determinando sus fases y los activos que participan en
cada fase. Una vez realizado dicho análisis debe evaluarse cuáles son los riesgos reales de interrupción a los que
están expuestos los procesos críticos de negocio. Así mismo, se definirá el tratamiento de dichos procesos de
negocio, según las posibilidades de la organización, así como los objetivos para la continuidad de estos teniendo
en cuenta el umbral de riesgo determinado en la sección de Contexto.
Como resultado de este ejercicio, obtendremos un listado de riesgos ordenado según su importancia, donde se
tendrá en cuenta la probabilidad de explotación de las vulnerabilidades y el impacto que puede suponer la pérdida
de la disponibilidad de los activos esenciales para la continuidad de los procesos críticos de negocio.
2.1.5.2 Análisis de Impacto del Negocio (BIA)
En siguiente sub-apartado, en adelante BIA (Business Impact Analysis), tiene como objetivo identificar y
cuantificar los activos esenciales para que el negocio pueda desarrollar sus procesos identificados como críticos
en caso de contingencia. Hay que aclarar que en caso de una interrupción inesperada de un proceso crítico, el
objetivo del BCMS es que el negocio pueda seguir desarrollando sus tareas a un nivel aceptable, no al cien por
cien de su rendimiento. Por tanto, el BIA debe de tener en cuenta las actividades que son necesarias para la
continuidad de los procesos de negocio críticos, determinando el impacto que supone una interrupción de dicha
operación en función del tiempo. Del mismo modo, en el BIA se tendrá que definir la manera en la que debería
recuperarse dicho proceso crítico para asegurar que se cumplen los objetivos de continuidad de negocio fijados
en la sección de contexto.
Una vez que se tenga determinado el impacto que supone la interrupción de las actividades, este debe de ser
medible en una escala homogénea, comparable y objetiva en relación con la imagen de la organización frente a
sus clientes y competidores. Del mismo modo, se debe prestar mucha atención al impacto económico y legal
que puede suponer la interrupción de los procesos críticos de negocio.
Por tanto, el resultado de este ejercicio es la determinación de los niveles mínimos aceptables de operación de
los activos críticos, la determinación de los periodos de tiempo de interrupción aceptables de los procesos de
negocio críticos, así como la determinación del nivel de tolerancia en la pérdida de datos que el negocio puede
asumir con el fin de satisfacer la continuidad del negocio en caso de contingencia.
2.1.5.3 Estrategias de Continuidad del Negocio
Una vez se ha realizado el análisis de riesgos a los que está expuesta la organización, y conociendo el impacto
negativo que dichos riesgos pueden provocar, deben de definirse estrategias para la continuidad del negocio. En
este punto se hace necesario disponer de una serie de “escenarios de desastre”, en donde se vean ejemplos de
manera generalista de los riesgos más significativos a los que está expuesta la organización. Una vez definidos
todos estos escenarios, se deberá de escoger una estrategia de continuidad adecuada, garantizando así que los
procesos críticos cumplen con los objetivos de continuidad marcados en la sección de Contexto.
Para ello se debe partir de la comparación entre el estado actual de los activos que dan soporte a los procesos
críticos de negocio, frente a los requerimientos que haya fijado la organización en el apartado BIA. Dicha
comparación debe de tener en cuenta las interdependencias entre las diferentes partes que deben actuar para la
recuperación de un activo afectado, así como todos los tipos de activos que dan soporte a los procesos críticos
de negocio.
Conocido el estado de satisfacción de los requerimientos de continuidad de negocio, deben de llevarse a cabo
los siguientes ejercicios:
1. Planteamiento de alternativas que permitan que todos los activos puedan satisfacer sus objetivos según
los términos de continuidad fijados anteriormente. Estas alternativas deben de tener en cuenta todas las
posibilidades tecnológicas y el contexto en el que se encuentra la organización.
2. Determinación a un alto nivel de las acciones a llevar a cabo por la organización en caso de contingencia.
Un ejemplo de estas acciones puede ser el traslado de las instalaciones del Call Center a un centro de
respaldo.
De entre las alternativas que pueden surgir del primer ejercicio, debe de realizarse un estudio de viabilidad para
que la organización decida cuál es la estrategia más adecuada. En este estudio se debe tener en cuenta el impacto
negativo que supondría la no satisfacción de los objetivos del negocio frente al coste o inversión que implicaría
aplicar una de las alternativas planteadas que permitirían alcanzar los objetivos de continuidad de negocio
establecidos.
Este estudio de estrategias de negocio debe de realizarse después del Análisis de Riesgos y el BIA.
2.1.5.4 Procedimientos de Continuidad de Negocio
En el siguiente sub-apartado vamos a detallar cada una de las acciones a llevar a cabo en situaciones como las
descritas a continuación, basándonos en las directrices de las Estrategias de Continuidad escogidas por la
organización:
• Respuesta a incidentes que afectan a la continuidad de los procesos críticos de negocio.
• Gestión de crisis.
• Gestión de vuelta a la normalidad.
• Operación de los procesos críticos con niveles de degradación aceptables, basados en umbrales mínimos
de disponibilidad de activos.
• Operación de procesos relacionados con la gestión de la continuidad.
Se deberá detallar quién es el responsable de las tareas (ver Figura 2.4) que se llevarán a cabo, el tiempo de
ejecución de cada una de ellas, la secuencia que van a seguir cada una de las tareas, las comunicaciones a realizar
y las decisiones a tomar por el rol autorizado.
xxvi
Figura 2.4: Esquema de proceso de gestión de crisis. Elaboración propia.
Para la definición de los Procedimientos de Continuidad hay que tener en cuenta las interrelaciones entre los
procesos de negocio y los activos que les dan soporte, estas interrelaciones se pueden obtener de la información
procedente del análisis realizado en el BIA.
Estos Procedimientos de Continuidad deben de estar enfocados a aprovechar las Estrategias de Continuidad más
adecuadas de las que dispone la organización, orientadas a minimizar las consecuencias procedentes de las
interrupciones de los procesos críticos de negocio con los recursos e inversiones disponibles.
La implantación de la presente sub-sección debe abordarse como paso posterior a la determinación de las
Estrategias de Continuidad.
2.1.5.5 Ejercicios y Pruebas
La realización de pruebas periódicas permite verificar que el BCMS está actualizado y operativo. Así mismo, la
realización de estas permite que los empleados clave se familiaricen con los aspectos relacionados con la gestión
de la continuidad de negocio. De este modo se puede asegurar que se tienen en cuenta los diferentes escenarios
de contingencia definidos, dentro de los términos establecidos en el análisis BIA.
Las pruebas a realizar deben de satisfacer los siguientes puntos:
• El BCMS se ajusta a las necesidades de la organización.
• Las personas implicadas en el BCMS conocen los detalles de este.
• Coordinación entre las Partes Interesadas que intervienen.
• Correcta ejecución de los diferentes procedimientos del BCMS.
• Los recursos de infraestructura están disponibles.
• Alineamiento de los procedimientos de recuperación definidos que dan soporte a los procesos de
negocio críticos con la realidad de la organización.
Los informes resultantes de las pruebas deben permitir realizar una revisión adecuada y efectuar un seguimiento
efectivo, con la finalidad sea una correspondiente mejora del BCMS de la organización.
Es recomendable llevar a cabo pruebas de forma periódica sobre todos los componentes que se encuentran en el
alcance del BCMS
2.1.6 Evaluación
En esta sección vamos a describir la manera en la que se deben de establecer las métricas e indicadores del
BCMS, de forma que puedan facilitar la toma de decisiones de los órganos de mayor responsabilidad de la
organización. Estas métricas deben de estar alineadas con los objetivos de continuidad establecidos en la sección
de Contexto.
A pesar de que la definición y medida de las métricas e indicadores no se pueden abordar en la primera fase de
la implantación del BCMS, esta tarea debería afrontarse después de la determinación de los objetivos de negocio
de la organización, para poder empezar cuanto antes a medir su evolución.
El resultado de las métricas e indicadores se deberá reportar de manera periódica a los órganos de
correspondientes de la organización y revisarse, haciendo especial hincapié en los indicadores que demuestren
una evolución negativa o insatisfactoria.
Esta sección también comprende la realización de una Auditoría Interna, un ejercicio de validación que debe
llevarse a cabo como mínimo una vez dentro de cada ciclo de mejora. El objetivo de dicho ejercicio es validar
que el BCMS está alineado con los objetivos de continuidad de la organización, así como con los requerimientos
fijados por la norma ISO 22301 (Business Continuity management systems, ISO 22301:2012), que marca las
directrices del presente proyecto.
La Auditoría Interna deberá revisar todo el alcance del BCMS determinado en la sección de Liderazgo, tomará
como punto de partida los resultados de las anteriores auditorías y deberá revisar las metodologías utilizadas en
la implantación del BCMS así como las responsabilidades definidas por la organización. La auditoría debe
abordarse en un punto del ciclo de mejora en el que haya suficiente madurez de implantación de los diferentes
procesos y procedimientos a tener en cuenta en el BCMS. De este modo, se dispone de información suficiente
con la que contrastar debidamente los objetivos del ejercicio de la Auditoría Interna.
En esta sección también se incluye el procedimiento de revisión por parte de los órganos de gobiernos
competentes de la organización. Estos serán capaces de tomar decisiones sobre los medios económicos y activos
sobre los que se apoyan los procesos críticos de negocio.
La revisión por parte de estos órganos competentes es un proceso necesario dentro del BCMS, con el fin de
mantener el principio de mejora continua. Con esta revisión se pretende que los órganos de gobierno tengan todo
el conocimiento sobre el estado y evolución del BCMS y si fuera necesario, se tomen las decisiones necesarias
para asegurar la efectividad del BCMS.
2.1.7 Mejora
En el siguiente capítulo vamos a detallar cómo tener en cuenta aquellos aspectos que permiten acometer las
acciones relacionadas con la mejora continua del BCMS.
El ciclo PDCA (ver Figura 2.5) en el que se basa la implantación y mantenimiento del BCMS detalla cuatro
fases esenciales que deben ejecutarse de manera sistemática para alcanzar la mejora continua. De esta manera,
la finalización de la última etapa realimenta a la primera, para volver a repetir nuevamente el ciclo.
xxviii
Figura 2.5: Ciclo PDCA de un BCMS.Elaboración propia.
Mediante estas fases podemos determinar los planes de acción que aseguren la mejora continua, detallándose en
acciones correctivas o preventivas, según su origen.
Entre las acciones correctivas hay que destacar aquellas que permitan corregir aquellas acciones que incumplan
estándares de la legislación vigente que se apliquen. Estos incumplimientos pueden ser detectados en cualquier
fase de la implantación del BCMS, aunque hay que prestar especial atención a aquellos que hayan sido
detectados en auditorías internas o externas (aquellas necesarias para la certificación de la norma ISO22301
(Business Continuity management systems, ISO 22301:2012) por parte de una entidad externa autorizada).
Por su parte, las acciones preventivas tienen como objetivo la anticipación a futuros incumplimientos de la
legislación vigente.
Dada la importancia del ciclo PDCA en el que se basa la norma ISO22301, debe tenerse en cuenta la ejecución
de la presente sección desde las fases más tempranas de la implantación del BCMS.
3 CASO PRÁCTICO
3.1 Contexto del Proyecto
El presente proyecto plantea la implantación de un BCMS sobre cualquier tipo de Call Center. Se tendrán en
cuenta las siguientes variables como posibilidades de aplicación de la metodología descrita en el capítulo
anterior.
1) Función del Call Center dentro de la organización:
a) Interno
b) Servicio a terceros
1) Servicio prestado por el Call Center:
a) Acción de marketing
b) Atención al cliente
c) Soporte técnico
d) Llamadas de emergencia
e) Información
1) Ámbito del servicio prestado:
a) Público
b) Privado
1) Volúmen de negocio
a) Menos de diez operadores
b) Entre diez y cien operadores
c) Más de cien operadores
En todo el ciclo de implantación debe de considerarse clave la colaboración del personal interno de la
organización responsable de los procesos críticos de negocio vinculados a la prestación de los servicios del Call
Center. Esta colaboración se divide en varias fases a lo largo de la implantación del BCMS mediante reuniones,
acciones de revisión y validación, así como participación activa en pruebas y auditorías.
En las siguientes secciones se describirán, de manera cronológica, la implantación de un BCMS según las
directrices de la norma ISO22301 (Business Continuity management systems, ISO 22301:2012).
3.2 Alcance
Para la implantación de un BCMS lo primero es delimitar el alcance de este en cuanto a procesos de negocio se
refiere. En el caso de un Call Center es necesario determinar cuáles son los procesos de negocio que deben estar
dentro del alcance del BCMS (ver Figura 3.1). Para ello las personas responsables de los procesos de negocio
del Call Center, deben de decidir su importancia e impacto de la interrupción de estos sobre la empresa y si
todos los procesos de atención de llamadas deben estar incluidos en el alcance.
xxx
Figura 3.1: Esquema que marca el alcance sobre los Procesos Críticos. Elaboración propia.
Cuando tengamos estos primeros procesos de negocio identificados, debe de analizarse la dependencia de estos
con el resto de los procesos de negocio de la organización, para determinar si alguno de ellos debería de formar
parte del alcance del BCMS.
La gestión de los aspectos generales de la organización como son los suministros básicos de electricidad, agua,
climatización, los utensilios y maquinaria necesaria para la productividad del puesto de trabajo necesario para el
Call Center son procesos de negocio que siempre deben incluirse en el alcance del BCMS.
Teniendo en cuenta los casos abordados en el presente proyecto, la importancia de incluir diferentes procesos
de negocio se puede resumir en la Tabla 3.1:
Tabla 3.1: Tabla de importancia en la inclusión de procesos de negocio auxiliares en el alcance del BCMS. Elaboración
propia
Importancia Interno Servicio a
terceros
Público Baja Media
Privado Media Alta
En la determinación del alcance los Call Centers que ofrecen un servicio público de carácter interno, por ejemplo
un soporte técnico informático al usuario de una entidad pública, la importancia de involucrar procesos de
negocio externos a la propia prestación del servicio es baja, pues su servicio se podría prestar sin riesgo de
interrupción aunque el resto de procesos de negocio de la organización tuvieran que detener su operación
temporalmente. En este caso se podría aproximar que el único evento externo al Call Center que podría causar
la interrupción del servicio prestado sería el cese de la propia organización de manera globalizada.
Por otra parte, si los servicios del Call Center están orientados a prestar un servicio a terceros, como sería el caso
de una empresa privada, el hecho de no incluir las dependencias del resto de la organización dentro del alcance
podría conllevar a dañar la imagen de la organización. Todo esto puede ocasionar unas importantes pérdidas
económicas y competitivas difícilmente recuperables para la organización, en el caso que se trate de un Call
Center del que dependan todas las operaciones de la organización.
Hay que hacer especial hincapié que el alcance del BCMS debe de ser aprobado por el responsable de la
organización, el cual deberá de ser capaz de decidir cómo se gestionan los recursos del Call Center. Así mismo,
esta figura debe volver a aprobar la determinación del alcance si éste se ve modificado dentro del ciclo de mejora.
3.3 Planificación
Una vez definido el alcance del BCMS, deben de establecerse reuniones de seguimiento en función de los
procesos de negocio implicados y sus responsables, con el fin de ir abordando los requerimientos que se recogen
en la norma ISO22301(Business Continuity management systems, ISO 22301:2012). El apartado de la
Planificación no se ve condicionado por el tipo de Call Center analizado, pues dicha planificación se debe de
abordar en implantación de un BCMS.
El primer hito que se debe de tener en cuenta en la planificación es la formalización del compromiso de
dedicación de los recursos a la operación del BCMS, ya que esto supondrá que el personal implicado dedique
parte de su trabajo a dar soporte a la implantación. Este soporte se lleva a la práctica aportando información
necesaria, validando conclusiones y aportando recursos necesarios para la implantación del BCMS. En cuanto
a la formalización del compromiso, este debe hacerse a través de una figura que pueda decidir sobre los recursos
de la organización, en este caso sobre los recursos destinados al Call Center. Normalmente esta función la
desempeña la Dirección de la empresa o, en el caso de poseer uno, el responsable del servicio del Call Center.
Este compromiso quedaría formalizado a través de un documento firmado por el promotor del BCMS (Dirección
o responsable pertinente), en donde se refleje su conformidad en cuanto a la dedicación necesaria de los
diferentes recursos implicados en la operación del BCMS.
Después de este primer hito deben de establecerse, dentro del ciclo de mejora continua, todos los pasos que hay
que seguir hasta terminar la implantación del BCMS. El orden de estos pasos puede verse modificado por
aspectos del negocio, como por ejemplo el despliegue de un nuevo software para la gestión del Call Center.
Una vez fijado el alcance y que se ha obtenido el compromiso de dedicación de los recursos, las acciones que
deben planificarse es la del análisis del contexto del Call Center, así como el análisis del impacto de negocio,
BIA (ver Glosario). Estas acciones son de especial importancia, ya que después de realizarlas cabe la posibilidad
de que el alcance sea modificado, debido al descubrimiento de nuevas dependencias del Call Center con agentes
externos o internos.
Los siguientes puntos a planificar son, por un lado la definición de roles dentro del BCMS donde se definirán
sus funciones y responsabilidades y, por otro lado, habrá que determinar una política de continuidad y los
objetivos estratégicos del Call Center respecto al servicio que presta. Estos puntos deben quedar debidamente
documentados y aprobados por el promotor del BCMS, ya que una vez queden formalizados, cada rol es
asignado, así como las tareas, responsabilidades y autoridades, a las personas implicadas en el BCMS.
En cuanto a los objetivos estratégicos, deben de desarrollarse hasta que queden definidas las acciones concretas
para alcanzarlos. Así mismo, las métricas e indicadores deben quedar bien definidos para disponer de una visión
de la evolución del BCMS, desde el punto de vista de la efectividad, como de su adecuación a los requerimientos
de la norma ISO22301 (Business Continuity management systems, ISO 22301:2012). El valor de dichas métricas
e indicadores se deben revisar de manera periódica en reuniones de seguimiento y presentarse al promotor del
proyecto para su validación y toma de decisiones.
A continuación, deben planificarse las acciones relativas a los análisis de riesgos a realizar sobre los activos que
dan soporte a los procesos de negocio incluidos en el alcance. Dichos análisis tienen como objetivo determinar
en cuáles de estos procesos se deben focalizar los recursos destinados a la mejora continua y las acciones de
mitigación de los riesgos de continuidad afectados.
Una vez que se han realizado los análisis de riesgos, deben de acometer las acciones de concienciación y
formación de las partes interesadas con el fin de que, en caso de contingencia, se realicen las acciones acordadas
para asegurar la continuidad del Call Center.
Seguidamente hay que analizar si las estrategias de continuidad que posee el negocio y que están destinadas a la
continuidad del Call Center, satisfacen los requerimientos obtenidos del BIA. Hay que tener muy en cuenta que
habrá que definir unos criterios que deberán aplicarse a toda la documentación del BCMS para asegurar que
todos los documentos tienen el mismo formato y se mantienen de la misma manera.
xxxii
A continuación, deben de establecerse los planes de continuidad de negocio y procedimientos de recuperación
y vuelta a la normalidad de los procesos de negocio incluidos en el alcance del BCMS. Este paso es de vital
importancia para la realización de las pruebas, pues la validez de estas se comprueba respecto a lo definido en
los procedimientos de recuperación y vuelta a la normalidad.
Finalmente, se deben definir las acciones que hay que llevar a cabo en caso de que alguno de los indicadores
presentes unos resultados negativos, pues esto significaría que se pone en duda que los objetivos estratégicos
determinados por el promotor del BCMS puedan alcanzarse. De la misma manera se debe establecer cómo
solucionar los aspectos detectados en las auditorías, que den muestra de no seguir los requerimientos que
establece la norma ISO 22301 (Business Continuity management systems, ISO 22301:2012).
Una vez planificadas todas las acciones anteriores, podemos estimar cuándo llevar a cabo los ejercicios de
auditoría tanto interna como externa. La planificación de estos ejercicios debe fijarse cuando el BCMS tenga un
grado de implantación suficiente para que la auditoría pueda proveer unos resultados significativos. Es decir, si
la auditoría se lleva a cabo en una fase demasiado temprana de la implantación, habrá muchos aspectos que no
podrán ser evaluados y por tanto la auditoría no podrá aportar un input significativo, como aspecto de mejora
continua. Una vez se supera el ciclo de mejora de la implantación, es recomendable que los ejercicios de auditoría
se lleven a cabo de manera distribuida en el tiempo.
3.4 Compromiso del Promotor
Del siguiente apartado se desprenden una serie de acciones que son clave para el éxito de la implantación del
BCMS. Dichas acciones tienen como objetivo que el promotor del BCMS tenga a su disposición todo el
conocimiento necesario sobre el estado y evolución del propio BCMS y, en caso de que sea necesario, que pueda
tomar las decisiones pertinentes para asegurar la disponibilidad y efectividad del mismo. Las acciones que se
van a describir a continuación pueden ser aplicadas a cualquier tipo de Call Center.
Según los requerimientos de la norma ISO22301 (Business Continuity management systems, ISO 22301:2012),
los aspectos a trasladar al promotor del BCMS, son los siguientes:
• Alcance del BCMS: donde se recogen los procesos de negocio, activos y terceras partes implicadas a
los que destinar los recursos necesarios para la operación del BCMS.
• Roles para la operación del BCMS: explicación de los roles más significativos, así como sus
responsabilidades y autoridades, haciendo especial hincapié en las que recaen sobre el rol del promotor.
• Planificación del BCMS: una vez que las acciones descritas en la Sección 3.3 están fijadas dentro del
ciclo de mejora, el promotor debe dar su conformidad.
• Objetivos estratégicos del BCMS: el promotor debe aprobar la estrategia del BCMS, la cual marca las
directrices sobre las cuales se basan todas las operaciones del mismo. Así mismo, deben de desarrollarse
métodos de medición, los cuales deberán, de la misma manera, deberán de ser aprobados por el
promotor.
• Definición de la Política de Continuidad: documento que marca las directrices sobre las que se rige el
BCMS. En dicho documento, el promotor expresa sus intenciones respecto a la gestión de la continuidad
del Call Center. Los objetivos estratégicos deberán de ser incluidos en dicho documento, debido a su
importancia para el BCMS. Este documento suele aparecer en las acciones de concienciación y
formación para reforzar la importancia de la gestión de la continuidad.
• Metodología del Análisis de Riesgos y su tratamiento: los parámetros para llevar a cabo el análisis de
riesgos deben de ser aprobado por el promotor del BCMS, así como los aspectos que se tienen en cuenta
y los posibles tratamientos de los riesgos detectados. Entre las funciones del promotor se encuentra la
de determinar el umbral a partir del cual se debe de decidir el tratamiento de los riesgos.
3.5 Análisis de Contexto
El objetivo de este apartado es el de tener en cuenta todos los agentes internos y externos (ver Figura 3.5) que
puedan afectar a la gestión de continuidad del Call Center, siendo estos agentes muy cambiantes.
Figura 3.2: Esquema relativo al contexto del Call Center. Elaboración propia.
Como ya hemos visto, si tenemos en cuenta la función que desempeña el Call Center dentro de la organización,
el Análisis de Contexto se verá muy reducido en el caso de tratarse de un servicio ofrecido de manera interna en
la organización. En el caso de tratarse de un Call Center que ofrece servicios externos, el análisis de contexto
debe extenderse a otros ámbitos como a los proveedores, competidores u otras organizaciones que lleven a cabo
su operación en la cercanía de la ubicación del Call Center
El tipo de servicio prestado por el Call Center marcará generalmente el tipo de regulaciones a las que se ve
sujeto dicho servicio. Dichas regulaciones a su vez marcarán los requerimientos de continuidad del servicio
prestado por el Call Center. Los tipos de servicio que suelen estar más sujetos a regulaciones con requerimientos
de continuidad son los de Atención al Cliente, Llamadas de Emergencia e Información.
Tomando como variable el ámbito en el que se encuentra el Call Center, el ámbito público estará más sujeto a
regulaciones y acuerdos con otras organizaciones, mientras que el privado, deberá tener en cuenta en su análisis
todos los factores que puedan incurrir en pérdidas económicas, puesto que su operación siempre estará ligada,
de una manera u otra, a la generación de beneficios para la organización.
En cuanto el tamaño del Call Center, este no influye en el análisis de contexto, ya que los factores a los que se
vea expuesto el Call Center para la gestión de continuidad no dependen del mismo.
En cualquier caso, el análisis de contexto debe recoger también los resultados del compromiso del promotor
sobre el umbral de riesgo y los criterios de tratamiento. El concepto del umbral de riesgo se puede definir como
el límite de riesgo que la organización está dispuesta a aceptar, sin darle ningún tipo de tratamiento. En la Tabla
3.2 se plantea una posible escala de niveles de riesgos sobre los que decidir su tratamiento y fijar el umbral de
riesgo:
xxxiv
Tabla 3.2: Escala de riesgo. Elaboración propia.
Nivel de Riesgo Descripción
Bajo Se presupone que no tiene afectación sobre el negocio.
Medio Es posible que este riesgo tenga una afectación parcial sobre el negocio.
Alto La materialización de este riesgo comporta una afectación grave sobre el
negocio.
Crítico La materialización de este riesgo comporta una afectación catastrófica
Hay que tener muy presente que el coste que supone conseguir un nivel de riesgo bajo en el Call Center es muy
alto, pues es necesario aplicar muchas medidas de continuidad y por tanto la dedicación de muchos recursos.
Así pues, al delimitar un umbral de riesgo es importante tener en consideración el presupuesto económico del
que se dispone. Este es uno de los motivos por lo que el promotor debe de ser una persona que posea gran poder
de decisión en la organización o en el Call Center y conocimiento de los recursos económicos y humanos
disponibles para la dedicación a las acciones del BCMS.
Una recomendación para fijar el umbral de riesgo (ver Figura 3.3), es la de posicionarlo entre los niveles Medio
y Alto, lo que implicaría que los niveles Medio y Bajo no recibirán ningún tipo de tratamiento, por lo que serían
tomados como riesgos asumidos por la organización.
Figura 3.3: Representación gráfica del Umbral de Riesgo. Elaboración propia.
En cuanto al tratamiento de los riesgos, deben tenerse en cuenta las siguientes cuatro posibilidades:
1) Evitar el riesgo: la manera de evitar el riesgo es eliminar el activo que da soporte a alguno de los procesos
de negocio incluidos en el alcance.
2) Transferir el riesgo: cuando la organización se plantea esta posibilidad, debe de tener en cuenta la
contratación de seguros o llegar a acuerdos con terceras partes para que asuman las consecuencias del riesgo
en cuestión.
3) Mitigar el riesgo: esta posibilidad abarca cualquier acción que realice la organización y que tenga como
objetivo aplicar salvaguardas sobre los activos, con el fin de prevenir o detectar vulnerabilidades, o bien
acometer acciones para corregir las consecuencias de alguna amenaza materializada.
4) Aceptar el riesgo: esta opción consiste en no tomar ninguna acción, ni de manera externa ni de manera
interna.
Un aspecto a incluir en el análisis de contexto es el análisis de las Partes Interesadas. La metodología que estamos
planteando sigue un modelo que tiene en cuenta tanto elementos internos como externos de la organización.
Para cada una de las clasificaciones de las Partes Interesadas, se debe de analizar sistemáticamente los
requerimientos de continuidad que el Call Center tiene frente a ellas, así como detallar cuáles son esas Partes
Interesadas.
Finalmente, se debe analizar el marco legal al que está sujeto el servicio prestado por el Call Center.
3.6 Análisis de Impacto de Negocio
El Análisis de Impacto de Negocio, BIA, permite identificar cuáles son los procesos esenciales involucrados en
el servicio prestado por el Call Center, no solamente desde el punto de vista de su valoración estratégica o
criticidad, sino también desde el punto de vista del impacto negativo que supondría la interrupción de estos
procesos sobre el servicio prestado por el Call Center.
El impacto negativo de un proceso se evalúa en función del tiempo en el cual dicho proceso no se puede ejecutar,
obteniéndose un valor máximo de tiempo de interrupción de los servicios que el negocio está dispuesto a asumir.
Este valor máximo de tiempo es conocido como RTO (Recovery Time Objective), tiempo durante el cual una
organización pueda tolerar la falta de funcionamiento de sus aplicaciones y la caída de nivel de servicio asociada,
sin afectar a la continuidad del negocio. Cualquier tiempo de recuperación superior a este RTO sería inaceptable
para el negocio, hasta llegar al Tiempo Máximo de Parada Tolerable (MTPD-Maximum Tolerable Period of
Disruption) que se define como el tiempo máximo que la actividad puede estar parada. Si se supera dicho límite
habrá un daño inadmisible. tiempo máximo que puede estar un proceso o servicio parado sin comportar un
impacto catastrófico que provoque daños irreversibles a la organización.
Otra variable a tener en cuenta es el RPO (Recovery Point Objective) El RPO determina el punto (tiempo) desde
donde es necesario recuperar la información después de un incidente disruptivo y, por lo tanto, RPO se refiere
al volumen de datos en riesgo de pérdida que la organización considera tolerable.
Para realizar el ejercicio del BIA es necesario disponer de la colaboración del personal interno del Call Center,
el cual dispone de una visión globalizada del servicio que se presta. De esta manera se asegura que se llegan a
determinar los activos y recursos mínimos necesarios para operar el servicio de Call Center, las
interdependencias entre los diferentes procesos de negocio incluidos en el alcance y su dependencia de activos
necesarios.
Los procesos de negocio incluidos en el alcance del BCMS deben de ser evaluados según las siguientes escalas
de impacto. Se deben de tener en cuenta los impactos negativos que puedan afectar a la organización causada
por la interrupción del servicio de Call Center en función de su imagen, aspectos legales, económicos,
comerciales y operacionales.
En las siguientes tablas (ver Tablas 3.3 a Tabla 3.7) quedan reflejados los niveles de impacto para las diferentes
áreas de la organización que se han seguido para realizar el Análisis de Impacto de Negocio:
xxxvi
Tabla 3.3: Tabla de niveles de impacto en la imagen de la Organización. Elaboración propia
Nivel de Impacto Descripción
Leve Afectación entendida y aceptada por los usuarios habituales sin
pérdida de confianza en el servicio, aun con los inconvenientes
originados.
Medio Afectación que origina comentarios negativos entre los usuarios
habituales del servicio y que comporta pérdida de confianza
recuperable en el servicio o aplicación de la organización.
Grave Afectación importante de la confianza en el servicio por parte de los
usuarios y el público en general. Por su gravedad se puede extender
y afectar a otras áreas de la organización. La afectación de la
confianza es prolongada y puede requerir de aclaraciones y acciones
posteriores para la recuperación de la imagen del servicio.
Catastrófico Afectación que comporta pérdida total de confianza por parte de los
clientes, la imagen de la organización queda dañada. Aclarar el
incidente o recuperar la imagen requerirá de acciones posteriores,
campañas de restauración de la imagen e incluso la comparecencia
de la Dirección General o de sus colaboradores directos.
Tabla 3.4: Tabla de niveles de impacto legal. Elaboración propia
Nivel de Impacto Descripción
Leve Produce un fallo en el cumplimiento de algún contrato que obliga a
renegociar.
Medio Produce una falta grave en el cumplimiento de algún contrato que
comporta responsabilidad legal.
Grave Deja a la organización al margen de la ley.
Catastrófico Las autoridades deciden el cese total o parcial de las operaciones de
la organización.
Tabla 3.5: Tabla de niveles de impacto económico. Elaboración propia.
Nivel de Impacto Descripción
Leve < a 10.000 €
Medio De 10.000 a 60.000 €
Grave De 60.000 a 150.000 €
Catastrófico > a 150.000 €
Tabla 3.6: Tabla de niveles de impacto comercial. Elaboración propia.
Nivel de Impacto Descripción
Leve Los clientes del Call Center no aprecian degradación en el servicio
prestado.
Medio
Los clientes aprecian que el servicio prestado por el Call Center sufre
ciertas deficiencias. El negocio generado por el Call Center se ve reducido
durante la influencia del impacto negativo.
Grave
Los competidores del Call Center detectan la oportunidad de aumentar su
cuota de mercado. Así mismo el Call Center afectado pierde parte de sus
clientes.
Catastrófico La mayoría de los clientes del Call Center dejan de utilizar los servicios
que éste presta.
Impacto operacional:
Tabla 3.7: Tabla de niveles de impacto operacional. Elaboración propia
Nivel de Impacto Descripción
Leve Las operaciones del Call Center se ven reducidas en un 5% o menor.
Medio Las operaciones del Call Center se ven reducidas entre un 6% y un 20%
Grave Las operaciones del Call Center se ven reducidas entre un 21% y un 50%
Catastrófico Las operaciones del Call Center se ven reducidas en un 51% o mayor
Deberemos de hacer una reflexión sobre el resultado final, teniendo en cuenta los valores resultantes en función
de la importancia del tipo de impacto. Esta reflexión dependerá del tipo de las variables indicadas en la Sección
3.1. A continuación se detallan las ponderaciones a realizar para las combinaciones de dichas variables.
Para los Call Center que presten servicios de manera interna a la organización, no se deberá tener en cuenta el
impacto negativo comercial, ya que no existe ningún competidor. Por el mismo motivo, no hay repercusión de
los impactos relativos a conceptos económicos y legales.
En cuanto a los Call Center que pertenecen al sector público, tampoco tienen especial relevancia los impactos
comerciales y económicos. Esto es debido a que en todo momento el servicio del Call Center se presta sin ánimo
de lucro. Por el contrario, el impacto legal es muy significativo en el presente análisis ya que los servicios
prestados en el ámbito público están más sujetos a regulaciones y leyes.
Para casos diferentes a los anteriores, deben analizarse los posibles impactos negativos que puedan tener los
servicios particulares que ofrezca el Call Center. Este análisis se debe de efectuar con los responsables del
negocio correspondientes.
Una vez desestimados aquellos impactos negativos que no son aplicables al Call Center que nos atañe, se
deberán tener en cuenta los requerimientos más restrictivos, con el fin de determinar los parámetros resultantes
del análisis (RTO, RPO y MTDP). Para obtener estos parámetros se deberá evaluar cada uno de los impactos en
función del tiempo transcurrido a partir de que ocurra una la incidencia.
Como hemos visto anteriormente, para la determinación del RTO hay que tomar como referencia el tiempo a
xxxviii
partir del cual el impacto pasa a ser grave. De este modo la organización estará preparada para recuperarse de
las consecuencias del incidente. En cuanto al RPO, este se calcula del mismo modo que el RTO, con la salvedad
que se calcula teniendo en cuenta el tiempo desde el momento que ocurre el incidente, hacia atrás. Por último,
para la determinación del MTDP, se debe de tener como referencia un impacto catastrófico, ya que este
parámetro indica un límite máximo de interrupción.
Por su parte, el BIA deberá recoger todo método alternativo de ejecución de los procesos de negocio incluidos
en el BCMS, con el fin de que el Call Center pueda seguir llevando a cabo sus operaciones en ciertos escenarios
de desastre. Por ejemplo, Uno de los casos más habituales a tener en cuenta como método alternativo en la
atención de llamadas es la toma y registro de datos del llamante en formato no digital (en caso de fallo
informático en las estaciones de trabajo o en el software que se utilice con ese fin). Claramente el servicio se ve
degradado en el caso descrito, pues el tiempo de atención de la llamada se demora y la capacidad del Call Center
se ve disminuida, de manera que también se debe determinar el tiempo máximo en el que se puedan ejecutar los
procesos de negocio con estas vías alternativas.
3.7 Liderazgo
En este apartado se definen las estructuras organizativas en las que se apoya el BCMS, estableciendo sus
responsabilidades, funciones y autoridades. Estos roles se establecen como base para garantizar la continuidad
de los procesos de negocio incluidos en el alcance del BCMS.
La estructura organizativa de los roles que son necesarios para la operación del BCMS se presenta en función
de las fases de continuidad a las que se ve expuesta cualquier tipo de organización:
1) Estado de normalidad: Implantación, revisión y mejora continua del BCMS
2) Gestión de incidentes: Acciones destinadas a la contención y la respuesta frente incidentes
3) Gestión de crisis: Activación y vuelta a la normalidad de los planes de continuidad
3.7.1 Estado de normalidad
Se define como estado de normalidad a aquel en el que el Call Center lleva a cabo sus servicios y procesos de
negocio, incluidos en el BCMS, sin ningún problema. Puesto que el Call Center opera con normalidad y dada
la estabilidad del estado, se llevan a cabo las tareas de gestión, implantación y mantenimiento del BCMS. Dichas
tareas se llevan a cabo según las directrices que elabora el Grupo de Trabajo del BCMS. Sus funciones
principales son las siguientes:
• Tratar los aspectos de continuidad de negocio en las reuniones de órganos de gobierno de la
organización.
• Dar soporte y dotar de recursos a los equipos de personas involucradas en la continuidad de negocio.
• Asignación de roles que deben gestionar la continuidad del negocio.
• Definición de política, normativa y objetivos en materia de continuidad, de manera que queden
alineados con la estrategia de la organización.
• Aprobación de la documentación del BCMS y los cambios que pueda haber en ella.
• Participación en la formación, pruebas y mantenimiento del plan de continuidad.
• Hacer hincapié en la importancia de la gestión eficaz del BCMS, promoviendo a su vez la mejora
continua.
• Participación en reuniones de revisión por parte del promotor, así como la aprobación de las acciones
correctivas o preventivas del plan de acción.
• Determinación del nivel de riesgo aceptable en la organización y aceptar si fuese necesario, los riesgos
que excedan ese nivel.
• Asegurar la realización de auditorías internas, así como la obtención de buenos resultados del BCMS.
En el siguiente esquema (ver Tabla 3.8) podemos ver los roles que componen el equipo de continuidad, con el
fin de satisfacer los requerimientos de la norma ISO22301 (Business Continuity management systems, ISO
22301:2012). No es necesario asignar un rol a personas diferentes, pero si que es recomendable. Aun así, el
tamaño del Call Center será el encargado de determinar cuántas personas se pueden asignar a cada rol.
Tabla 3.8: Tabla de roles involucrados en estado de normalidad. Elaboración propia
Equipo de Continuidad
Promotor
Gestor Continuidad de Negocio
Gestor
incidentes
Responsable
Área TIC
Responsable
Operaciones
Responsable
Prueba Responsable
RRHH
Área TIC Área
Operaciones Auditor Prueba
Asesor BCMS Auditor Interno Auditor Externo
A continuación (ver Tablas 3.9 a Tabla 3.20) se detallan las responsabilidades y autoridades de cada uno de los
roles que forman parte del Equipo de Continuidad:
xl
Tabla 3.9: Tabla de responsabilidades y autoridades del Promotor. Elaboración propia
PROMOTOR
RESPONSABILIDADES
• Participación activa en los ejercicios más significativos dentro del ciclo de mejora
continua (reuniones trimestrales, formaciones, auditorías, pruebas)
• Proponer acciones correctivas y/o preventivas si los resultados no son los
esperados, velando por la implantación del BCMS
• Designar el resto de roles y recursos necesarios para el buen funcionamiento del
BCMS de acuerdo a los requerimientos de experiencia y formación para formar
parte del Equipo de continuidad.
AUTORIDADES
• Aprobación y firma de la Política de Continuidad
• Divulgación de información a medios de comunicación, en caso necesario Validar
el cumplimiento de leyes y regulaciones y notificarlas a las Partes Interesadas
afectadas por ellas
• Aprobar la metodología de medida y seguimiento de la efectividad del BCMS
• Criterio y Umbral de Riesgo
• Estrategias de continuidad
• Tareas del plan de acción que requieran de su aprobación. Generalmente
vinculadas a tratamiento de riesgos que superan el Umbral de Riesgo.
Tabla 3.10: Tabla de responsabilidades y autoridades del Gestor de Continuidad de Negocio. Elaboración propia
GESTOR CONTINUIDAD DE NEGOCIO
RESPONSABILIDADES
• Gestión de la convocatoria y el liderazgo de las reuniones de Equipo de
Continuidad
• Ejecución de la formación y pruebas de continuidad
• Velar por la actualización y mejora continua del BCMS
• Aprobación final de la documentación perteneciente al BCMS, excepto la Política
de Continuidad
• Determinar un responsable del seguimiento de las acciones de mejora
• Distribuir la información sobre continuidad de negocio a los empleados del Call
Center
• Designar los responsables de las pruebas de continuidad y definir los objetivos de
las mismas
• Realizar reuniones de conclusiones de pruebas con sus participantes
AUTORIDADES
• Aprobación de las acciones de mejora que no requieran una validación por parte
del Promotor
• Aprobar los resultados del BIA (RTO, RPO, MBCO…)
• Aprobación de los cambios a llevar a cabo en la documentación
• Aprobación del plan de pruebas
Tabla 3.11: Tabla de responsabilidades y autoridades del Gestor de Incidentes. Elaboración propia
GESTOR DE INCIDENTES
RESPONSABILIDADES
• Analizar, respecto a los RTO definidos para cada proceso de negocio, el tiempo
previsto de resolución de la incidencia
• Presentar y analizar los incidentes más importantes en las reuniones del Equipo
de continuidad
AUTORIDADES
• Ejecución y mantenimiento del procedimiento de gestión de incidentes
• Aprobar el equipamiento y preparación del área de trabajo de apoyo
• Validar los datos necesarios a proporcionar para calcular las métricas e
indicadores.
xlii
Tabla 3.12: Tabla de responsabilidades y autoridades del Equipo de Gestión de Incidentes.
Elaboración propia
EQUIPO DE GESTIÓN DE INCIDENTES
RESPONSABILIDADES
• Ejecución del procedimiento de gestión de incidentes
• Mantener actualizados los registros de incidentes
• Equipar y mantener preparada el área de trabajo de apoyo
• Proporcionar los datos necesarios para realizar los cálculos de las métricas e
indicadores
• Notificar al gestor de incidentes de cualquier incidencia detectada
AUTORIDADES
-
Tabla 3.13: Tabla de responsabilidades y autoridades del Responsable del Área TIC.
Elaboración propia
RESPONSABLE ÁREA TIC
RESPONSABILIDADES
• Estar informado de la ejecución de pruebas de continuidad definidas dentro del
BCMS
• Asegurar la actualización de la documentación del BCMS contiene información
correcta sobre los Sistemas de Información
• Participar en la definición de las métricas e indicadores
AUTORIDADES
• Validar el buen funcionamiento de los equipos informáticos y software del Call
Center
• Validar el equipamiento técnico mínimo del área de trabajo de apoyo
• Validar la gestión técnica de la continuidad de negocio, realizando las peticiones
de recursos necesarios al Promotor, si fuera necesario
Tabla 3.14: Tabla de responsabilidades y autoridades del Área TIC.
Elaboración propia
ÁREA TIC
RESPONSABILIDADES
• Responsable que la información del BCMS esté disponible y actualizada en las
ubicaciones virtuales determinadas para su almacenamiento
• Asegurar el buen funcionamiento de los equipos informáticos y software del Call
Center
• Equipar técnicamente y mantener preparada el área de trabajo de apoyo
• Gestión técnica de la continuidad, revisando e identificando los recursos
materiales necesarios y comunicándolo con el Responsable del Área TIC
AUTORIDADES
-
Tabla 3.15: Tabla de responsabilidades y autoridades del Responsable de Operaciones.
Elaboración propia
RESPONSABLE OPERACIONES
RESPONSABILIDADES
• Notificar al gestor de continuidad los cambios en los procesos de negocio que
puedan afectar al BCMS
• Detectar necesidades de formación y concienciación en los equipos de trabajo que
participan en la ejecución de los procesos de negocio
• Participar en el BIA, proporcionando información sobre los procesos analizados
AUTORIDADES
• Validar la correcta ejecución de las actividades pertenecientes a los procesos
críticos
xliv
Tabla 3.16: Tabla de responsabilidades y autoridades del Responsable de la Prueba.
Elaboración propia
RESPONSABLE DE LA PRUEBA
RESPONSABILIDADES
• Comunicar a los participantes de la prueba el lugar y fecha en los que se llevará a
cabo
• Obtener la aprobación de la guía de la prueba por parte del gestor de continuidad
AUTORIDADES
• Validar el escenario en el que se desarrollará la prueba, su planificación y los
objetivos a cubrir
• Validar las actividades que se ejecutan durante la prueba y cualquier desviación
detectada
• Validar el informe de prueba a presentar al resto del equipo de continuidad
Tabla 3.17: Tabla de responsabilidades y autoridades del Responsable de Recursos Humanos.
Elaboración propia
RESPONSABLE RECURSOS HUMANOS
RESPONSABILIDADES
• Identificar cambios en el personal que participa en las diferentes fases del BCMS
• Participar en la definición del procedimiento de evacuación de las oficinas
• Revisar que las pruebas de evacuación del edificio se realizan de manera efectiva
AUTORIDADES
-
Tabla 3.18: Tabla de responsabilidades y autoridades del Asesor BCMS.
Elaboración propia
ASESOR BCMS
RESPONSABILIDADES
• Definir el escenario de las pruebas de continuidad y evaluar las incidencias y
desviaciones detectadas en las mismas
• Registrar las conclusiones de las pruebas
• Asesorar a otros roles en las tareas a realizar
• Generar y mantener la documentación del BCMS
• Verificar la correcta ejecución de las tareas registradas en la planificación del
BCMS
AUTORIDADES
-
Tabla 3.19: Tabla de responsabilidades y autoridades del Auditor Interno.
Elaboración propia
AUDITOR INTERNO
RESPONSABILIDADES
• Elaboración de un plan de auditoría anual
• Generación del programa de entrevistas y organización de las mismas
• Realización de la Auditoría Interna Generar el informe que detalle las no
conformidades, observaciones y desviaciones que se hayan detectado durante la
auditoría interna
AUTORIDADES
-
xlvi
Tabla 3.20: Tabla de responsabilidades y autoridades del Auditor de la Prueba.
Elaboración propia
AUDITOR PRUEBA
RESPONSABILIDADES
• Realizar seguimiento de todas las actividades desarrolladas durante la prueba y
comprobar que están recogidas en la guía de la prueba
• Disponer de la guía de la prueba
• Analizar las desviaciones detectadas respecto la planificación y comunicarlas al
gestor de continuidad, facilitando toda la documentación generada
AUTORIDADES
-
3.7.2 Gestión de incidentes
En este apartado vamos a identificar los roles que participan en la fase de Gestión de Incidentes. Este rol tienen
como objetivo garantizar el correcto tratamiento de la incidencia y el de evitar que dicha incidencia en el Call
Center pueda aumentar, obligando a llevar a la activación de la gestión de la crisis. En el siguiente esquema (ver
Tabla 3.21) se enumeran los diferentes roles que participan en la presente fase de la continuidad, para los que
seguidamente se describen sus responsabilidades y autoridades.
Tabla 3.21: Tabla de roles involucrados en la gestión de incidentes. Elaboración propia
Gestor de incidentes
Servicios Generales
Responsable Área TIC Responsable Operaciones
Responsable RRHH
Área TIC Área Operaciones
Empleados del Call Center y Colaboradores
En las siguientes tablas (ver Tabla 3.22 a Tabla 3.28) vamos a describir las responsabilidades y las autoridades
de cada uno de los roles que participan en la fase de Gestión de Incidentes:
Tabla 3.22: Tabla de responsabilidades y autoridades del Gestor de Incidentes.
Elaboración propia
GESTOR DE INCIDENTES
RESPONSABILIDADES
• Liderar el ciclo de vida de los incidentes que puedan producirse
• Actuar como punto central de la gestión del incidente en la recolección de datos de los
especialistas cada área de negocio
• Evaluar los daños y alcance del incidente
• Velar por la integridad física de los empleados externos y colaboradores del Call Center
• En caso de evaluar un tiempo de resolución del incidente superior al RTO, notificarlo al
Gestor de Continuidad
AUTORIDADES
• Aprobar las medidas iniciales a aplicar para limitar la afectación del incidente
• Validar la información recogida por cada área de negocio
• Validar el análisis, el registro, el tiempo de resolución previsto y gestión de la solución del
incidente a partir de la información proporcionada
Tabla 3.23: Tabla de responsabilidades y autoridades de Servicios Generales.
Elaboración propia
SERVICIOS GENERALES
RESPONSABILIDADES
• Reportar al gestor de incidentes las afectaciones causadas por los incidentes en las
instalaciones del edificio desde el que se presta el servicio de Call Center
• Asegurar la seguridad y orden de las instalaciones del edificio desde el que se presta el
servicio de Call Center y de sus componentes internos
AUTORIDADES
-
xlviii
Tabla 3.24: Tabla de responsabilidades y autoridades del Área TIC.
Elaboración propia
RESPONSABLE ÁREA TIC
RESPONSABILIDADES
• Realizar las acciones oportunas frente incidentes con afectación a empleados externos y
colaboradores pertenecientes al área TIC
• Coordinarse con el gestor de incidentes en las acciones a realizar para dar respuesta a
incidentes
AUTORIDADES
• Validar la información a notificar al gestor de incidentes de la situación detectada en los
sistemas de información
• Validar la resolución de incidencias en las estaciones de trabajo
• Validar la estimación del tiempo de recuperación del incidente detectado
• Autorizar las medidas iniciales para limitar la afectación del incidente
Tabla 3.25: Tabla de responsabilidades y autoridades del Área TIC. Elaboración propia
ÁREA TIC
RESPONSABILIDADES
• Informar y notificar al gestor de incidentes de la situación detectada en los sistemas de
información
• Resolver las incidencias acaecidas en las estaciones de trabajo
• Aplicar medidas iniciales para limitar la afectación del incidente
• Revisar permanentemente la evolución del incidente e informar de manera periódica al
Gestor de Incidentes
• Dar soporte al Gestor de Incidentes a evaluar la afectación de los procesos críticos, si es
necesario
• Estimar el tiempo de recuperación previsto del incidente detectado
AUTORIDADES
-
Tabla 3.26: Tabla de responsabilidades y autoridades del Responsable de Recursos Humanos.
Elaboración propia
RESPONSABLE DE RECURSOS HUMANOS
RESPONSABILIDADES
• Realizar las acciones oportunas para hacer frente a incidentes que afecten al personal del
Call Center de manera coordinada con el gestor de incidentes.
• Velar por la integridad física de los empleados del Call Center.
• Notificar a las familias de los empleados si éstos han sido afectados por un incidente.
AUTORIDADES
-
Tabla 3.27: Tabla de responsabilidades y autoridades del Responsable de Operaciones.
Elaboración propia
RESPONSABLE ÁREA DE OPERACIONES
RESPONSABILIDADES
• Realizar las acciones oportunas frente incidentes que afecten a empleados externos y
colaboradores pertenecientes al área de operaciones.
• Coordinarse con el gestor de incidentes en las acciones a realizar para dar respuesta a
incidentes.
AUTORIDADES
• Validar la información a notificar al gestor de incidentes de la situación detectada en las
operaciones del Call Center.
• Validar la resolución de incidencias en las estaciones de trabajo.
• Validar la estimación del tiempo de recuperación del incidente detectado.
• Autorizar las medidas iniciales para limitar la afectación del incidente.
l
Tabla 3.28: Tabla de responsabilidades y autoridades del Área de Operaciones.
Elaboración propia
ÁREA DE OPERACIONES
RESPONSABILIDADES
• Informar y notificar al Gestor de Incidentes de la situación detectada en las operaciones del
Call Center.
• Aplicar las medidas para limitar la afectación del incidente.
• Revisar permanentemente la evolución del incidente e informar de manera periódica al
Gestor de Incidentes.
• Dar soporte al Gestor de Incidentes a evaluar la afectación de los procesos críticos, si es
necesario.
• Estimar el tiempo de recuperación previsto del incidente detectado.
AUTORIDADES
-
Tabla 3.29: Tabla de responsabilidades y autoridades de los empleados del Call Center y colaboradores. Elaboración
propia
EMPLEADOS DEL Call Center Y COLABORADORES
RESPONSABILIDADES
• Detectar y notificar los incidentes detectados al Gestor de Incidentes
AUTORIDADES
-
3.7.3 Gestión de crisis
En el presente apartado se identifican los roles que participan en la parte de operación del plan de continuidad.
El conjunto de roles que llevan a cabo la Gestión de Crisis se denomina Comité de Crisis e interactúa con otras
áreas de la organización para tomar decisiones y activar o delegar acciones. A continuación, se enumeran sus
funciones principales:
• Revisar y validar la información sobre el impacto del incidente.
• Recopilar información y realizar la evaluación final del alcance del impacto del incidente.
• Decide la necesidad de activar el plan de continuidad y los procedimientos a ejecutar.
• Activar los procedimientos escogidos y convocar al personal adecuado.
• Controlar y hacer seguimiento de que los procesos críticos se restauran dentro del tiempo objetivo
establecido (RTO).
• Analizar y tomar decisiones sobre los problemas detectados.
• Analizar el estado de la organización y, si se considera adecuado, activar el plan de retorno supervisando
las tareas hasta la vuelta a la situación normal antes de la ocurrencia del incidente.
Seguidamente (ver Tabla 3.29 a Tabla 3.42) se detallan las áreas que forman el equipo de operación del plan de
continuidad (Comité de Crisis).
Tabla 3.30: Tabla de roles involucrados en la Gestión de la Crisis.
Elaboración propia
Comité de Crisis
Promotor
Áreas de
Soporte
Gestor Continuidad de Negocio
Gestor incidentes
Responsable Área TIC Responsable Operaciones
Área TIC Área Operaciones
Puestos de Trabajo Áreas de apoyo Servicios Generales Críticos
Autoridades Pertinentes Proveedores de Servicios
En las siguientes tablas (ver Tabla 3.30 a 3.42) se detallan las responsabilidades y autoridades de cada uno de
los roles involucrados en la Gestión de Crisis:
lii
Tabla 3.31: Tabla de responsabilidades y autoridades del Promotor.
Elaboración propia
PROMOTOR
RESPONSABILIDADES
• Apoyo e implicación que permitan el correcto desarrollo de la continuidad de negocio
AUTORIDADES
• Evaluar la información que le reporta el Comité de Crisis y aprobar o denegar las
propuestas
• Ser consultado por el Comité de Crisis antes de tomar decisiones importantes en materia
de continuidad
o Aprobar la priorización de acciones de recuperación
o Autorizar la notificación sobre la situación actual a:
o Empleados de la organización
o Responsables de comunicación de la organización
o Medios de comunicación
o Otros organismos
Tabla 3.32: Tabla de responsabilidades y autoridades del Gestor de la Continuidad. Elaboración propia
GESTOR DE LA CONTINUIDAD
RESPONSABILIDADES
• Convocar al Comité de Crisis si se cumplen los criterios determinados después de analizar
el incidente, actuando como punto de contacto con el Promotor.
• Una vez resuelta la incidencia y restaurados los recursos originales, volver a convocar el
Comité de Crisis para iniciar el plan de retorno a la normalidad.
• Coordinar las acciones de los procedimientos de recuperación y de retorno a la normalidad.
AUTORIDADES
• Aprobar y realizar la notificación a proveedores con personal en las instalaciones del call
center sobre la situación actual.
• Validar la ejecución de los procedimientos de recuperación y de retorno a la normalidad.
• Evaluar las responsabilidades de la organización por las consecuencias de la contingencia
(posibles reclamaciones, indemnizaciones, litigios, etc) .
• Aprobar acciones de compra urgentes de material necesario para la recuperación.
Tabla 3.33: Tabla de responsabilidades y autoridades del Gestor de Incidentes.
Elaboración propia
GESTOR DE INCIDENTES
RESPONSABILIDADES
• Asistir al Gestor de Continuidad en todo aquello que le pida e informar al Responsable
de Operaciones
• Ejecutar o hacer que se ejecuten las acciones que decida el Comité de Crisis
• Ejecutar los procedimientos de recuperación y vuelta a la normalidad
AUTORIDADES
-
Tabla 3.34: Tabla de responsabilidades y autoridades del Responsable del Área TIC.
Elaboración propia
RESPONSABLE ÁREA TIC
RESPONSABILIDADES
-
AUTORIDADES
• Validar la habilitación de la funcionalidad del área alternativa de trabajo, si se dispone
de ella
• Validar la recuperación de los sistemas
• Validar la ejecución de los procedimientos de recuperación y vuelta a la normalidad
• Validar la ejecución de las acciones tecnológicas que determine el Comité de Crisis
liv
Tabla 3.35: Tabla de responsabilidades y autoridades del Área TIC. Elaboración propia
ÁREA TIC
RESPONSABILIDADES
• Informar y reportar de forma continua al Gestor de Continuidad
• Asesorar al Comité de Crisis en todos los aspectos tecnológicos
• Ejecutar o hacer que se ejecuten las acciones relacionadas con la informática y la
tecnología determinadas por el Comité de Crisis, ya sean para recuperar o volver a la
normalidad
AUTORIDADES
-
Tabla 3.36: Tabla de responsabilidades y autoridades del Responsable de Operaciones. Elaboración propia
RESPONSABLE DE OPERACIONES
RESPONSABILIDADES
• Asegurar la habilitación de la funcionalidad del área de trabajo alternativa, si se dispone
de ella
• Asegurar la recuperación de las operaciones y de los procedimientos de recuperación y
vuelta a la normalidad
AUTORIDADES
• Validar la ejecución de las acciones operativas que determine el Comité de Crisis
Tabla 3.37: Tabla de responsabilidades y autoridades del Área de Operaciones.
Elaboración propia
ÁREA DE OPERACIONES
RESPONSABILIDADES
• Informar y reportar de forma continua al Gestor de Continuidad
• Asesorar al Comité de Crisis en todos los aspectos operativos
• Ejecutar o hacer que se ejecuten las acciones relacionadas con la operación
determinadas por el Comité de Crisis, ya sean para recuperar o volver a la normalidad
AUTORIDADES
-
Tabla 3.38: Tabla de responsabilidades y autoridades de las Áreas de Apoyo.
Elaboración propia
ÁREAS DE APOYO 1
RESPONSABILIDADES
• Evaluar las responsabilidades de la organización frente consecuencias de la contingencia
(reclamaciones, indemnizaciones, litigios, etc)
• Ejecutar acciones de compra urgentes de material necesario para la recuperación
• Proveer al área de trabajo de material de oficina
• Recoger información necesaria, incluyendo fotos y otro tipo de evidencias, para posibles
reclamaciones a las compañías de seguros implicadas
• Coordinación de las acciones que impacten sobre el personal de la organización
AUTORIDADES
-
lvi
Tabla 3.39: Tabla de responsabilidades y autoridades del Responsable de Comunicación. Elaboración propia
RESPONSABLE DE COMUNICACIÓN
RESPONSABILIDADES
• Ejercer como punto único de divulgación de información a terceras partes (ciudadanía,
medios de comunicación, otras organizaciones)
• Notificar sobre la situación actual de contingencia a:
o Empleados de la organización
o Medios de comunicación
o Otros organismos
AUTORIDADES
-
Tabla 3.40: Tabla de responsabilidades y autoridades de las Autoridades
Pertinentes. Elaboración propia
AUTORIDADES PERTINENTES 2
RESPONSABILIDADES
• Prestación de servicios de emergencia: urgencias sanitarias, extinción de incendios,
salvamento, seguridad ciudadana, protección civil, etc
• Actuar en función de la contingencia dando apoyo a la organización, tanto a personal
como a edificios e instalaciones
AUTORIDADES
-
Tabla 3.41: Tabla de responsabilidades y autoridades de Proveedores de
Servicio. Elaboración propia
PROVEEDORES DE SERVICIOS
RESPONSABILIDADES
• Provisión de luz, agua, mantenimiento de equipos técnicos, mantenimiento de las
oficinas y el material que las compone
• Ejecución de los procedimientos de recuperación
• Registrar los cambios que se realicen sobre sistemas o plataformas
• Cumplir con los SLA (Acuerdos de Nivel de Servicios, por sus siglas en inglés)
contratados y revisión del estado de sus propios Planes de Continuidad
• Determinar los posibles problemas de capacidad o disponibilidad que presenten las
plataformas de contingencia
AUTORIDADES
-
Tabla 3.42: Tabla de responsabilidades y autoridades de los Puestos de Trabajo Críticos.
Elaboración propia
PUESTOS DE TRABAJO CRÍTICOS 3
RESPONSABILIDADES
• Ejecución de las actividades críticas de negocio con los niveles determinados en las
condiciones alternativas de trabajo
AUTORIDADES
-
lviii
Tabla 3.43: Tabla de responsabilidades y autoridades de Servicios Generales.
Elaboración propia
RESPONSABLE DE SERVICIOS GENERALES
RESPONSABILIDADES
• Ejecutar o hacer que se ejecuten las acciones operativas que decida el Comité de Crisis
• Participar en la coordinación de las acciones a llevar a cabo si la afectación esa nivel de
edificio
AUTORIDADES
• Validar las actuaciones sobre edificios e infraestructuras, y los elementos que los ocupan
3.8 Política de Continuidad y Objetivo Estratégicos
A continuación, estableceremos las directrices sobre las cuales deben alinearse todas las acciones preventivas o
correctivas detectadas en cualquier fase del ciclo de mejora continua, así como el resto de plan de acción y
ejercicios a llevar a cabo con el fin de la implantación o mantenimiento del BCMS.
La Política de Continuidad se establece como piedra angular de la formalización y determinación de las medidas
organizativas, logísticas y administrativas previstas para garantizar los procesos de negocio críticos para el Call
Center en el supuesto que una causa de fuerza mayor impidiera proveer dichos procesos desde las dependencias
habituales de operación. Al tratarse de un documento tanta relevancia, este debe ser aprobado directamente por
el Promotor del BCMS.
Se trata de un documento que debe ser tratado como público a nivel interno en la organización, e incluso puede
ser publicado al exterior si se considera conveniente. Esta última opción es la escogida por las organizaciones
que implantan BCMS para disponer de la ventaja competitiva y de imagen que supone el conocimiento de dicho
hito para los clientes o usuarios que reciben los servicios prestados por el Call Center, en especial si finalmente
el BCMS es certificado por una entidad externa independiente. Por tratarse de un documento de tan baja
confidencialidad, no es recomendable incluir información confidencial para la operación, continuidad y
seguridad del Call Center, aunque deben describirse brevemente sus funciones principales.
Se debe incluir una mención al alcance del BCMS dentro de la Política de continuidad, así como a sus
limitaciones, con el fin de describir concretamente las fronteras de las acciones a acometer para implantar y
mantener el BCMS en su ciclo de mejora continua.
Así mismo, los objetivos estratégicos del BCMS deben también quedar reflejados en la Política de Continuidad.
Dichos objetivos deben ser desarrollados hasta llegar a definir tareas concretas que consigan el éxito de los
objetivos que se hayan definido. Dentro de los objetivos estratégicos del BCMS debe incluirse la priorización
de acciones para asegurar la protección y seguridad del personal. Se aconseja incluir entre los objetivos
estratégicos, el hecho de minimizar la interrupción de las operaciones críticas de negocio, así como la efectividad
del Plan de Continuidad. A pesar de que es necesario revisar los objetivos estratégicos de manera periódica,
estos no deberían verse modificados muy a menudo.
3.9 Análisis de Riesgos
En este apartado vamos a estudiar cómo se lleva a cabo el Análisis de Riesgos al que deben someterse los
procesos de negocio incluidos en el alcance del BCMS, así como los hitos en los que se divide dicho Análisis.
El primer hito es la aplicación de la metodología Magerit de Análisis de Riesgos4. Esta tiene como base realizar
un inventario de activos que dan soporte a la operación de los procesos de negocio críticos, incluyendo las
siguientes tipologías:
• Personal.
• Proveedores.
• Activos TIC.
• Instalaciones y edificios.
Debe asignarse un valor a cada uno de los activos recogidos en el inventario, teniendo en cuenta la siguiente
escala de valoración (ver Tabla 3.44):
4 MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de
Administración Electrónica que estima que la gestión de los riesgos es una piedra angular en las guías de buen
gobierno. Actualizada en 2012 en su versión 3 (PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información 2018)
lx
Tabla 3.44: Tabla de escala de valoración de activos. Elaboración propia
Confidencialidad Integridad Disponibilidad
Nivel Descripción Nivel Descripción Nivel Descripción
1
Público
1
Bajo
1
No crítico
Sin restricciones de
difusión
La información
errónea se puede
corregir fácilmente
a partir de otras
fuentes.
Puede recuperarse en
más de diversas jornadas
laborales
2
Uso interno
2
Normal
2
Sensible
Información que debe
tutelarse dentro de la
organización,
disponible para los
operadores del call
center
La información
errónea se puede
corregir a partir de
otras fuentes y el
esfuerzo para
conseguirlo no es
excesivo
Debe recuperarse en
menos de una jornada
laboral. Existen
procedimientos
alternativos
3
Restringido
3
Alto
3
Crítico
Información que
debe tutelarse
dentro de la
organización
La información
errónea se puede
corregir a partir
de otras fuentes y
el esfuerzo para
conseguirlo es
considerable
Debe recuperarse en
menos de 2 horas
4
Confidencial
4
Muy alto
4
Vital
Información de alta
sensibilidad por el
impacto en la
reputación,
potencialde fraude o
requisitos
La información
errónea es difícil de
corregir y tiene un
coste alto
Debe recuperarse en
minutos
5
Secreto
5
Vital
5
Sin tolerancia a fallos
Su difusión puede
afectar muy
gravemente la
actividad del call
center
La información no
se puede volver a
obtener
Debe tener
disponibilidad 24 horas
al día, todos los días del
año
Después de asignar uno de estos niveles de valoración a cada uno de los activos del inventario, se debe decidir
la ponderación que tendrá cada dimensión (integridad, confidencialidad y disponibilidad) para calcular el valor
final de cada activo.
Seguidamente se debe determinar el conjunto de amenazas que pueden afectar a la continuidad de los procesos
críticos de negocio, asignando a cada una de ellas una probabilidad de ocurrencia (ver Tabla 3.45), que se puede
medir mediante la siguiente escala:
Tabla 3.45: Tabla de probabilidad de ocurrencia de las amenazas. Elaboración propia
PROBABILIDAD DEFINICIÓN
Poco Frecuente (1-2) Acontecimiento poco probable que podría experimentarse cada varios años
Normal (3) Acontecimiento probable que podría experimentarse una vez al año
Frecuente (4)
Acontecimiento muy probable que se experimenta habitualmente una vez al
mes
Muy Frecuente (5)
Acontecimiento muy probable que se experimenta frecuentemente, al menos
diariamente
El conjunto de amenazas determinado conforma el catálogo de amenazas del BCMS, que debe ser validado por
el Promotor del BCMS y pueden tenerse como base los siguientes ejemplos y tipologías:
• Desastres Naturales:
o Incendio
o Inundación
o Terremoto
• Desastres Internos:
o Incendio
o Contaminación electromagnética
o Interrupción del suministro eléctrico
o Interrupción de las comunicaciones
• Errores no intencionados:
o Errores de usuarios de los sistemas informáticos
o Errores de mantenimiento
o Indisponibilidad de personal
• Ataques intencionados:
o Manipulación de configuración
o Fraude/Suplantación de identidad
o Ataque destructivo
La interacción de las amenazas descritas ante los activos que dan soporte a los procesos críticos del Call Center
se lleva a cabo a través de la explotación de las vulnerabilidades que dichos activos tienen de manera intrínseca,
siendo estas agrupables por los tipos de activo que se tienen en cuenta en el Análisis. En la siguiente tabla (ver
Tabla 3.46) se detallan algunos ejemplos de dichas vulnerabilidades:
lxii
Tabla 3.46 Tabla de vulnerabilidades. Elaboración propia
Tipo de activo Vulnerabilidades
Instalaciones y edificios
Imposibilidad de acceso
Ubicación no disponible
Fallo en el control de acceso físico
Personal
Absentismo
Falta de concienciación en continuidad
Falta de capacitación para operar los procesos críticos
Activos TIC
Almacenamiento inadecuado
Falta de mantenimiento
Capacidad insuficiente
Protección inadecuada frente a cambios
Configuración errónea
Errores en el control de acceso lógico
Proveedores
Fallo en la provisión del servicio
Falta de concienciación en continuidad
Degradación del servicio prestado al call center
Debe cuantificarse el impacto de cada una de las vulnerabilidades incluidas en el Análisis de Riesgos sobre los
activos que dan soporte a los procesos críticos de negocio, dada su posible explotación, siguiendo la escala
presentada en la siguiente tabla (ver Tabla 3.47):
Tabla 3.47 Tabla de escala de impacto. Elaboración propia
IMPACTO DEFINICIÓN
Bajo (1-2)
Cierta pérdida de disponibilidad del activo debido a una degradación leve
del mismo
Medio (3)
Considerable pérdida de disponibilidad del activo debido a una seria
degradación del mismo
Alto (4-5)
Grave pérdida de disponibilidad del activo debido a una degradación muy
severa del mismo
Una vez asignado el nivel de impacto las vulnerabilidades que puedan afectar a cada tipo de activo deben
establecerse una relación entre las amenazas y las vulnerabilidades, de manera que se puedan cruzar el grupo de
vulnerabilidades incluidas en el Análisis con las amenazas que las puedan explotar concretamente y que tengan
cierto sentido.
Por último, solo falta determinar el nivel de riesgo que se asigna a cada combinación de activo, vulnerabilidad
y amenaza que la explota, que puede calcularse con la siguiente fórmula:
Riesgo = Valor del activo * Probabilidad de ocurrencia de la amenaza * Impacto de la vulnerabilidad
Seguidamente debe establecerse una escala según la cual asignar los diferentes niveles de Riesgo a cada uno de
los casos resultantes del Análisis. Teniendo en cuenta las diferentes combinaciones numéricas posibles al realizar
el anterior cálculo, la escala de riesgos se puede establecer de la siguiente manera (ver Tabla 3.48):
Tabla 3.48: Tabla de niveles de riesgo. Elaboración propia
NIVEL DE RIESGO VALORES
Bajo 1 – 19
Medio 20 - 39
Alto 40 - 59
Crítico 60 - 125
Con el desarrollo de todos los cruces posibles y su cuantificación y clasificación por nivel de riesgo, el Análisis
de Riesgos siguiendo la metodología Magerit se finaliza consiguiendo el riesgo inherente de los activos. Para
conocer el riesgo real deben conocerse las medidas de mitigación que el Call Center o la organización tienen en
su operativa habitual, de manera que algunos de los riesgos detectados puedan bajarse de nivel, o incluso ser
eliminados.
lxiv
Es posible realizar otros Análisis de Riesgos complementarios para que la visión que tiene el Call Center sobre
los procesos de negocio que se incluyan en el alcance sea más completa, teniendo en cuenta otras metodologías,
aunque debe tenerse en cuenta que todos ellos deben llegar a resultados con la misma escala de riesgo definida
anteriormente.
Una vez terminados los ejercicios que se consideren necesarios en cuanto a la realización del Análisis de Riesgos
del BCMS, es necesario ordenarlos según su nivel de criticidad, teniendo más prioridad de tratamiento los más
críticos siempre y cuando superen el umbral de riesgo determinado. Para la totalidad de los riesgos que superen
este umbral, será necesario incluirlos en el plan de acción para su debido seguimiento.
3.10 Concienciación y formación
A continuación, vamos a describir las acciones a llevar a cabo para que aquellos recursos humanos que dan
soporte al BCMS posean los conocimientos necesarios para que puedan desempeñar sus funciones de manera
eficiente en este aspecto en cualquiera de las fases de continuidad en la que se encuentre el Call Center. La
finalidad de la formación y concienciación es la de proveer de una buena preparación a todos los roles que
participen en el BCMS para que puedan aplicar los conocimientos adquiridos y así alcanzar los resultados
previstos.
El grado de mayor responsabilidad es asignado al rol de Gestor de Continuidad, el cual deberá desempeñar los
siguientes puntos:
• Cumplimiento de las competencias que se requieren por cada rol del BCMS.
• Mejora de sus habilidades en el BCMS.
• Tener conocimiento del plan de formación y de cuál es su objetivo.
• Conocimiento de los procedimientos del plan de continuidad: Activación, Recuperación y Vuelta a la
normalidad.
• Tener presente que el BCMS no es un plan estático, sino que se realiza un mantenimiento en el que se
debe de contribuir.
Para que el personal posea una buena capacitación, previamente es importante conocer las necesidades del Call
Center. Conocidas estas necesidades, será necesario identificar cuáles son los objetivos que tiene la formación
que va a recibir el personal implicado en el BCMS.
Una vez definidos los objetivos de la formación, se llevarán a cabo sesiones según la planificación establecida.
Se recomienda realizar encuestas o cuestionarios a los participantes sobre la calidad de la formación recibida, de
forma que se puede saber si dicha formación cumple sus objetivos.
Los resultados de la formación se deben registrar de modo que quede constancia de que todo el personal
requerido haya participado en su correspondiente formación dentro del BCMS. Así mismo este registro puede
ser utilizado para la evaluación de las capacidades de los roles. Estos resultados deben ser reportados al promotor
del BCMS para que pueda evaluar su eficacia, identificar puntos de mejora y decidir cuáles son las acciones a
realizar para mejorar las capacidades del personal que desarrolla las funciones de todos los roles del BCMS.
Este plan de formación debe tener en cuenta el Análisis de competencias y las necesidades del personal
implicado en el BCMS. Se han de detallar las áreas del Call Center que deben recibir cada formación, el material
necesario para realizarlas, la ubicación en donde se llevarán a cabo y los ejercicios de evaluación que se deben
de realizar.
La concienciación de las partes interesadas y roles determinados consiste en hacerlos conocedores del BCMS
de forma que estos contribuyan a un mejor rendimiento y una mayor eficacia del mismo.
Estas acciones han de hacer hincapié en reforzar los conocimientos sobre la Política de Continuidad, las
implicaciones del incumplimiento de requisitos del BCMS y así como el conocimiento de sus funciones durante
un incidente de desastre. La concienciación siempre debe ir acompañada de mensajes que apoyen al BCMS
frente a cualquier contingencia para asegurar la resiliencia y continuidad de los procesos críticos del Call Center.
Las acciones a través de las cuales se hace tangible la concienciación del BCMS, se pueden incluir mediante
sesiones realizadas de manera periódica, dentro de cada ciclo de mejora del BCMS. De estas sesiones cabe
destacar las reuniones de seguimiento. Su periodicidad depende de la dedicación acordada para los roles
participantes en las mismas, teniendo en cuenta los recursos dedicados al BCMS por parte del promotor. Estas
reuniones deben incluir un seguimiento de las acciones desarrolladas en el Análisis de Contexto del Call Center
detallando su grado de avance, los resultados de las pruebas que se vayan realizando, la revisión de
documentación del BCMS, indicadores y métricas. Habrá que hacer una identificación de las partes interesadas
del BCMS, sobre las que hacer foco durante las acciones de concienciación.
Para ver que la concienciación consigue sus objetivos, los comunicados a través de las que se realiza
deberán ser analizados. Para llevar esto acabo, en primer lugar, se deben conocer los puntos del BCMS que
necesitan refuerzo para cada una de las partes interesadas o roles.
La distribución de la acción de concienciación debe acompañarse de la Política de Continuidad por el medio que
se considere más adecuado. También se puede hacer una distribución mediante comunicados en paneles
informativos con información clave en puntos visibles desde los puestos de trabajo que desempeñan los procesos
de negocio críticos.
3.11 Estrategias de Continuidad
En esta sección se establecen las estrategias que se deben ejecutar en caso de identificar cualquiera de los
escenarios de contingencia que afecten a los procesos críticos del Call Center. Es importante tener presente los
requerimientos temporales establecidos en el BIA en el que se valoran las diferentes estrategias de continuidad
que se puedan plantear.
El análisis de las estrategias de continuidad debe de contemplar los siguientes elementos:
• Existencia de alternativas para los procesos críticos incluidos en el alcance del BCMS, tanto existentes
en la actualidad como aquellas que se puedan implantar en un futuro.
• La organización de los empleados esenciales para mantener los procesos críticos operativos en situación
de contingencia de acuerdo con los requerimientos de continuidad de cada proceso. En el caso de que
se prestara el servicio de una manera distribuida en dos localizaciones diferentes, se puede considerar a
todo el personal de la localización no afectada como personal esencial, prestando así servicio a los
procesos críticos a un nivel menor que el de su capacidad habitual. En este punto deben considerarse
las condiciones contractuales con el personal que presta el servicio para que, en situaciones de
contingencia excepcionales, tengan flexibilidad en prolongar su jornada laboral para evitar una pérdida
de degradación inaceptable, o realización de guardias por posibles necesidades de refuerzo puntual de
personal. En caso de existencia de algún empleado esencial tenga un perfil único frente al resto de
componentes de empleados esenciales, debe buscarse personal de sustitución con unas capacidades y
habilidades para desempeñar las funciones de su rol de BCMS equivalentes al empleado esencial de
perfil único.
• Se deberán tener en cuenta las instalaciones desde las que se llevan a cabo los procesos críticos, así
como áreas de trabajo y centro de procesado de datos CPD (Centro de Procesamiento de Datos)5. En
este apartado hay que tener presente las posibilidades de las que dispone el Call Center en cuanto al
traslado a otras zonas de la organización, ubicaciones alternativas dentro de la organización u otras
ubicaciones que puedan acoger temporalmente la operación del Call Center. En relación a la
infraestructura del CPD, si la organización no dispone de otras instalaciones no expuestas a las mismas
amenazas de manera simultánea, deberá de tenerse en cuenta la posibilidad de contratar un servicio
externo del CPD o un almacenamiento en la nube (Cloud).
• Hay que tener identificada la información que no se puede perder y tiempo para su recuperación, para
ello deberán analizarse las estrategias disponibles para el parámetro RPO que se han fijado en el BIA.
La finalidad de este análisis es la de fijar la política de ejecución, retención y disposición de las copias
de seguridad de información.
• En este punto deben de identificarse las partes implicadas en la operación de los procesos críticos que
5 CPD es un espacio físico especialmente acondicionado para albergar equipos informáticos como ordenadores,
equipos de red, sistemas de almacenamiento, etc.(¿Que es un datacenter? ¿Y un CPD? 2018)
lxvi
puedan tener que intervenir en la recuperación y operación habitual del Call Center, los niveles de
servicio acordados los tiempos de resolución de incidentes contratados y la colaboración en general en
cualquier fase de la continuidad de negocio relativa al BCMS.
• Debe establecerse de qué manera se va a llevar a cabo la recuperación de los activos tecnológicos
necesarios para mantener los procesos críticos operativos, incluso estableciendo acuerdos en la
prestación del servicio con los proveedores que los mantienen y analizando si es necesario disponer de
activos tecnológicos en alta disponibilidad.
3.12 Planes y Procedimientos de Continuidad del Negocio
En este apartado se pretende establecer una guía documental para la ejecución de las tareas relacionadas con la
gestión de los incidentes que puedan tener lugar, los desastres que puedan ocasionar y la recuperación de los
procesos críticos de negocio provocados por un incidente disruptivo en el Call Center.
Dicho procedimiento permite la gestión y los tratamientos iniciales de cualquier incidente que pueda afectar a
la continuidad el Call Center. Mediante este procedimiento se llevan a cabo todas las tareas y acciones necesarias
para la contención y resolución de incidentes, se podrán analizar y evaluar el alcance y afectación respecto los
procesos críticos, se podrán realizar las comunicaciones definidas y, de ser necesario, se activaría el Comité de
Crisis. Es importante disponer de un orden establecido en la activación (o convocatoria) del Comité de Crisis,
un posible ejemplo sería seguir un árbol de llamadas o mensajería en un medio de comunicación independiente
de la operación de los procesos de negocio incluidos en el alcance del BCMS.
Dentro del análisis del alcance y afectación, se debe priorizar el conocimiento del tiempo previsto de resolución
y las implicaciones para operar los procesos de negocio críticos con normalidad o una degradación tolerada.
Cuando se determine que el incidente cumple con alguno de los escenarios de crisis definidos, deberán de
seguirse las directrices y acciones determinadas en el procedimiento de gestión de crisis con el fin de continuar
con los procesos críticos del negocio a un nivel aceptable. Paralelamente debe de llevarse a cabo el plan de
comunicación del BCMS para coordinar las acciones y tareas necesarias junto con las partes interesadas
implicadas. El proceso de Gestión de Crisis en dos fases diferenciadas:
Activación de la Crisis: Durante esta fase se considera la activación del Comité de Crisis para el tratamiento
inicial del desastre. Se toman las decisiones necesarias para establecer los procedimientos de continuidad de
negocio que se deben de aplicar, así como la solicitud de las autorizaciones necesarias para poder ejecutar dichos
procedimientos si fuese necesario.
Gestión de la Crisis: En esta segunda fase se lleva a cabo el seguimiento de las acciones encargadas en la
recuperación de un nivel aceptable de la operación de los procesos críticos del negocio. Durante esta fase se
realizan comunicaciones de manera periódica hasta que se solucione el incidente. En esta fase también está
incluida la decisiones, por parte del Comité de Crisis, que incluyen cuáles serán los procedimientos de retorno a
la normalidad y cuándo deben de ser ejecutados.
En los procedimientos de recuperación deben de estar incluidos los activos que participan en los procesos críticos
de negocio y con un detalle suficiente con el objetivo que el personal designado a los roles que participan en la
recuperación, puedan ejecutar los procedimientos de manera eficiente y efectiva. Algunos ejemplos de estos
procedimientos de recuperación para un Call Center son:
• Fallo en el suministro eléctrico
• Fallo en la climatización del CPD
• Fallo en la realización/recepción de llamadas
• Fallo del software necesario
• Fallo de comunicaciones de datos (no telefónicos)
• Desvío de llamadas
• Refuerzo de personal
• Traslado de personal
• Activación de ubicación alternativa de trabajo
• Evacuación de las oficinas
3.13 Pruebas
En este apartado vamos a describir cómo se deben de llevar a cabo las pruebas de los planes de contingencia con
el objetivo de evaluar la efectividad del BCMS para hacer frente a las incidencias que pueden afectar al Call
Center. Mediante estas pruebas se permite a los empleados y partes interesadas participar en los aspectos
relacionados con la continuidad del negocio.
Las pruebas que se llevan a cabo se estructuran en diferentes niveles con un impacto creciente en la organización
y el uso de recursos, garantizando la cobertura de todos los escenarios contemplados en el BCMS. El resultado
de las pruebas debe de verificar que se cumplan los siguientes puntos:
• Asegurar que el BCMS se adecúa a las necesidades del Call Center.
• Las personas implicadas en la continuidad conocen suficientemente el detalle del BCMS.
• Coordinación entre las diferentes partes interesadas.
• Correcta ejecución de los diferentes procedimientos del plan de continuidad.
• Alineamiento de los procedimientos de recuperación definidos que den apoyo a los procesos críticos
del Call Center.
Para el proceso de mejora continua del BCMS los informes resultantes de las pruebas deben permitir
observaciones y no conformidades que sean registradas para hacer un seguimiento.
Es recomendable realizar pruebas de todos los componentes del plan de continuidad de manera anual, aunque
cabe la posibilidad de realizar una planificación durante más de un ciclo de mejora del BCMS. En la realización
de pruebas siempre se tiene que evaluar el riesgo de interrupción que supone para los procesos de negocio críticos
que se ponen a prueba, debiendo minimizar este. En la siguiente tabla (ver Tabla 3.49) se pueden ver los
diferentes tipos de pruebas a realizar por el Call Center, dentro del alcance del BCMS :
lxviii
Tabla 3.49 Tipos de Prueba. Elaboración propia
Prueba de revisión Pruebas parciales Prueba total
Tipo A: Revisión de
los procedimientos del
Plan de Continuidad.
Tipo B: Simulacro de
corte de comunicaciones.
Tipo C: Recuperación de
un elemento técnico del
CPD.
Tipo D: Recuperación del
área de trabajo.
Tipo E: Se simula una
situación de
emergencia real.
❖ Prueba de revisión: esta prueba consiste en la revisión de los procedimientos del plan de continuidad que
sean necesarios evaluar. Está basada en la definición de un escenario de desastre teórico para la validación
de los procedimientos escogidos se ejecutarán de manera eficiente en un caso real. Permite comprobar que
los flujos de información entre los diferentes participantes son adecuados, pudiendo así solucionar el
incidente. Los resultados que proporciona esta prueba son los siguientes:
➢ Conocimiento de los flujos de decisiones del plan de continuidad
➢ Conocimiento de los procedimientos del plan
➢ Conocimiento de las responsabilidades de cada rol
➢ Conocimiento de las notificaciones internas en caso de incidente
➢ Conocimiento de los árboles de llamadas definidos
➢ Conocimiento de las personas de sustitución
➢ Conocimiento de recursos alternativos
➢ Conocimiento de los tiempos asignados a cada fase
❖ Pruebas parciales: En estas pruebas se incluyen validaciones parciales de la operativa global en la que se
desarrolla la simulación de interrupción de una parte de las infraestructuras contempladas en el plan de
continuidad. Que se lleven a cabo estas pruebas es necesaria antes de que se realice una prueba total y pueden
ser el único tipo de pruebas que se lleven a cabo en caso de que la prueba total no se pudiera realizar por
tener un riesgo inaceptable de interrupción de los procesos críticos del Call Center. Los resultados de esta
prueba son los siguientes:
➢ Validar la correcta ejecución de los procedimientos de recuperación
➢ Validar que los procedimientos de recuperación se pueden ejecutar en el tiempo esperado
➢ Validar que los recursos alternativos pueden operar los procesos críticos con normalidad y sin
degradación
❖ Prueba total: con esta prueba total se simula una situación de emergencia real donde se puede implicar a
toda la organización, empresas externas e incluso, si es necesario, servicios de emergencia. En el transcurso
de estos ejercicios se interrumpen los procesos críticos de negocio de forma temporal. Los resultados de esta
prueba son los siguientes:
➢ Validar que el área de trabajo alternativa (en caso de existir) se puede activar con el material necesario
para operar los procesos críticos de negocio.
➢ Los tiempos de activación satisfacen el tiempo objetivo esperado.
➢ Los procedimientos de recuperación se ejecutan de manera efectiva y en el tiempo esperado.
➢ Los sistemas informáticos se recuperan correctamente en el CPD alternativo (en caso de existir) en el
tiempo esperado.
Finalmente, para cualquier tipo de prueba que se lleve a cabo, hay que asegurarse que se registra cualquier evento
inesperado que se produce durante la prueba, por ejemplo una desviación en el procedimiento de recuperación,
o bien una dilatación del tiempo de ejecución. De esta forma se puede hacer un correcto tratamiento de dichos
eventos, actualizando a su vez la documentación del BCMS y llevando a cabo las tareas necesarias para corregir
las situaciones desfavorables detectadas y aportar así información al proceso de mejora continua del ciclo PDCA.
3.14 Evaluación del BCMS
En este apartado vamos a analizar cómo podemos saber que el BCMS está operando de manera correcta y las
herramientas necesarias para poder asegurarnos de ello. Así mismo, en este apartado se tomarán las decisiones
oportunas en caso de detectar algún factor que ponga en riesgo la efectividad del BCMS.
En el siguiente esquema (ver Figura 3.4) podemos ver el modelo para medir y evaluar las acciones establecidas
para conseguir los objetivos estratégicos, así como las posibles modificaciones que se puedan producir durante
cada ciclo de mejora continua del BCMS:
Figura 3.4: Esquema de modelo de evaluación de los Objetivos Estratégicos. Elaboración propia
Mediante el esquema anterior se pretende coordinar las actividades de la organización para la consecución con
los principales hitos del BCMS a los que deberían ir dirigidos los esfuerzos de la organización: Critical Success
Factor (CSFs). Estos CSFs están vinculados a más de un objetivo estratégico y permiten establecer indicadores
que señalen si se están cumpliendo las líneas estratégicas de la organización y del Call Center.
Los Key Point Indicator, KPIs, son indicadores que ayudan a la toma de decisiones, proporcionando una
información relevante sobre la situación y evolución de la organización y permiten así hacer un seguimiento de
la eficacia y eficiencia del BCMS. Los KPIs se obtienen a partir de la medida de las actividades que se llevan a
cabo en la operación habitual del ciclo de mejora del BCMS y que están vinculadas a la consecución de uno o
varios CSFs.
lxx
Las características que deben tener los indicadores de cualquier BCMS son las siguientes:
• ser medibles
• ser alcanzables
• ser realistas, siendo fiables y proporcionando confianza
• ser específicos
Las medidas de las actividades anteriores son más conocidas como métricas, las cuales son el resultado del
conjunto de datos recogidos a través de la operación habitual de los procesos críticos del Call Center y cuyo
origen es la ejecución de las tareas del ciclo de mejora. Las métricas alimentan los indicadores definidos para
obtener el estado y evolución del BCMS, con el objetivo de analizar su evolución y el grado de adecuación con
los objetivos estratégicos definidos.
Los resultados obtenidos por las métricas deben de analizarse y reportarse de manera periódica al promotor del
BCMS. Se recomienda que el reporte se haga un mínimo de tres veces en cada ciclo de mejora, para así poder
tener la capacidad de tomar decisiones si se detecta algún proceso que se prevea vaya incumplir algún hito
significativo para el BCMS.
Habrá que determinar el grado de cumplimiento de cada uno de los niveles de medida y evaluación (Objetivos
Estratégicos, CSFs, indicadores y métricas), en función del grado de madurez del BCMS y del nivel de exigencia
de los requisitos de continuidad fijados antes de su implantación. De modo que para un BCMS lo
suficientemente maduro se pretende que el cumplimiento de los Objetivos Estratégicos esté supeditado al
cumplimiento del 100% de los CSFs, con sus correspondientes indicadores y métricas. En el caso que el grado
de madurez del BCMS no permita tal grado de satisfacción, se puede definir un porcentaje de éxito para cada
Objetivo Estratégico o bien definir una serie de CSFs e indicadores clave para el éxito de los Objetivos a los que
estén vinculados.
3.15 Mejora
En el presente apartado se indicará cómo se deben tratar los siguientes acontecimientos que tengan lugar en cada
ciclo de mejora, incluyendo los siguientes puntos de inflexión:
• Revisión del BCMS.
• Revisión de los controles y procedimientos, ya sea de forma puntual o planificada.
• Detecciones puntuales de posibles mejoras.
• Auditorías internas o externas realizadas.
• Resultados de métricas e indicadores.
Mediante los ejercicios anteriores podremos determinar las acciones que aseguren la mejora continua del BCMS.
Estas acciones pueden clasificarse como correctivas o preventivas según su origen. En cualquier caso, se debe
de asignar un responsable para cada acción, o más de uno, en caso de que estén implicados diferentes
departamentos internos o ajenos al Call Center. A continuación, vamos a definir las dos clasificaciones
mencionadas:
1. Correctivas: Acciones que sirven para corregir incumplimientos detectados en controles de los
estándares y/o corregir incumplimiento de la legislación que se aplica a los servicios prestados dentro
del alcance del BCMS. Las acciones correctivas se llevan a cabo en disconformidades mayores o
menores dentro del proceso de auditoría del BCMS.
2. Preventivas: Acciones que permiten anticiparse a posibles futuros incumplimientos de la norma
ISO22301 (Business Continuity management systems, ISO 22301:2012) o para mejorar el BCMS. Se
trata de detectar aquellas desviaciones en términos de continuidad que podrían suponer un
comportamiento defectuoso del BCMS de la continuidad de los procesos críticos de negocio del Call
Center.
4. CONCLUSIONES
Las principales conclusiones que se pueden obtener tras la implantación del BCMS son las siguientes:
• El Call Center tiene bajo control todos sus procesos críticos de negocio.
• El Call Center está preparado para resistir y dar respuesta en caso de contingencia.
• Los recursos del Call Center se destinan a los planes de acción determinados. Se espera un retorno de la
inversión realizada aceptable.
• En caso de desastre, con la implantación del BCMS, las consecuencias negativas relacionadas con la
imágen, aspectos legales y económicos del Call Center se deben ver minimizadas.
• Es importante que los responsables del Call Center y los órganos de mayor responsabilidad de la empresa,
tomen decisiones adecuadas y eficientes en caso de desastre, con el fín de conseguir una continuidad de
negocio aceptable.
• La implantación del BCMS supone un valor añadido a los servicios prestados por el Call Center, aportando
mayor confianza a los clientes y usuarios.
• En el BCMS se pueden incluir nuevos riesgos y amenazas que pueda sufrir el Call Center a medida que el
contexto de la organización cambia.
En el caso de contar con una entidad independiente, por ejemplo, AENOR6 (Asociación Española de
Normalización y Certificación y certificadora para este tipo de estándares, todos los puntos anteriores se verán
potenciados, ya que esta aportaría una visión objetiva y experta de las medidas que se han llevado a cabo, así
como de los ejercicios y acciones que se lleven a cabo en el ciclo de mejora continua del BCMS.
6 AENOR: Asociación española sin ánimo de lucro, privada e independiente, que desarrolla actividades de
normalización y certificación (N+C), para mejorar la calidad en las empresas, sus productos y servicios, así
como proteger el medio ambiente y, con ello, el bienestar de la sociedad. (AENOR 2018)
lxxii
BIBLIOGRAFÍA:
● ISO 22301:2012 (E) Business Continuity management systems. Switzerland:15,05,2012
● Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de Deming de mejora
continua | PDCA Home .Pdcahome.com[consulta: 14 octubre 2017]. Disponible en:
https://www.pdcahome.com/5202/ciclo-pdca/
●
● Qué es un Contact Center | TM System.Call Center TM System[consulta:14 octubre
2017]. Disponible en : http://www.tmsystem.es/blog/call-center/que-es-contact-center/
● Definista. ¿Qué es Data Center? - Su Definición, Concepto y
Significado.Conceptodefinicion.de [consulta: 14 octubre 2017]. Disponible en:
http://conceptodefinicion.de/data-center/
● ISO 9001 2015 y la definición de partes interesadas. Escuela Europea de Excelencia.
[consulta: 17 octubre 2017]. Disponible en: https://www.123aprende.com/2016/02/iso-
9001-partes-interesadas/?c=a2500aa51e8e
● Definición de Auditoría Interna - Instituto de Auditores Internos de Argentina. Instituto
de Auditores Internos de Argentina [consulta: 14 octubre 2017]. Disponible en:
https://iaia.org.ar/auditor-interno/definicion-auditoria-interna/
● La auditoría externa | Tipos de auditoría externa | Emprende Pyme.Emprende Pyme
[consulta: 14 octubre 2017]. Disponible en: https://www.emprendepyme.net/auditoria-
externa.html
● PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información,
2018.[consulta: 14 octubre 2017]. Disponible en: Administracionelectronica.gob.es
● ¿Que es un datacenter? ¿Y un CPD?, 2018. Blog de guebs [consulta: 16 octubre 2017]. Disponible en:
https://blog.guebs.com/2013/08/22/que-es-un-datacenter-o-cpd/
● ¿Qué son lo CSF Y KPI? Dirigiendopymes.blogspot.com.es [consulta: 16 octubre 2017]. Disponible en:
http://dirigiendopymes.blogspot.com.es/2013/09/que-son-lo-csf-y-kpi.html
● ESPINOSA, ROBERTO, 2018, Indicadores de gestion: ¿Que es un KPI?. Roberto Espinosa. 2018.
[consulta: 14 octubre 2017]. Disponible en: http://robertoespinosa.es/2016/09/08/indicadores-de-gestion-
que-es-kpi/
● AENOR. Consumoteca [consulta: 14 octubre 2017]. Disponible en: https://www.consumoteca.com/familia-
y-consumo/normalizacion-y-certificacion/aenor/
lxxiv
GLOSARIO :
La referencia bibliográfica que se ha empleado para la mayoría de las definiciones de los conceptos que aparecen
en este glosario ha sido la norma ISO 22301:2012.
Actividad: proceso o conjunto de procesos realizados por una organización (o en su nombre) que produce o
admite uno o más productos y servicios.
Auditoría: proceso sistemático, independiente y documentado para obtener evidencia de auditoría y evaluarla
objetivamente para determinar el grado en que se cumplen los criterios de auditoría. Una auditoría puede ser:
1. Auditoría interna: La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y
consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. (Definición de Auditoría
Interna - Instituto de Auditores Internos de Argentina 2018)
2. Auditoría externa: La auditoría externa o independiente consiste en que una empresa ajena supervise
que la organización cumpla la normativa específica. (La auditoría externa | Tipos de auditoría externa
| Emprende Pyme 2018)
3. Auditoría combinada: Combinación de ambas.
Business Continuity (Continuidad del negocio): capacidad de la organización para continuar la entrega de
productos o servicios a niveles aceptables predefinidos.
Business Continuity Management (BCM): proceso de gestión que identifica amenazas potenciales para una
organización y los impactos en las operaciones comerciales que esas amenazas, si se realizan, pueden causar, y
que proporciona un marco para construir resiliencia organizacional con la capacidad de una respuesta efectiva
que salvaguarde los intereses de sus partes interesadas, reputación, marca y actividades que proporcionen
beneficio a la organización.
Business Continuity Management System (BCMS): parte del sistema de gestión general que establece,
implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio.
Business Continuity Plan (BCP): procedimientos documentados que guían a las organizaciones a responder,
recuperar, reanudar y restaurar a un nivel predefinido de operación después de la interrupción.
Business Continuity Programme: gestión continua y proceso de gobierno respaldado por la alta dirección y con
los recursos adecuados para implementar y mantener la gestión de la continuidad del negocio.
Análisis de Impacto de Negocio (Business Impact Analysis-BIA): proceso de análisis de actividades y el efecto
que una interrupción de negocios podría tener sobre ellos.
Competencia: capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos.
Critical Success Factor (CSF): un CSF es una característica particular del entorno interno o externo de una
organización que tiene una influencia importante para poder lograr los planes de la organización (¿Qué son lo
CSF Y KPI? 2018).
Key Point Indicator (KPI): los KPIs son métricas que nos ayudan a identificar el rendimiento de una determinada
acción o estrategia. Estas unidades de medida nos indican nuestro nivel de desempeño en base a los objetivos
que hemos fijado con anterioridad (Espinosa 2018).
Conformidad: cumplimiento de un requisito.
Mejora Continua: actividad recurrente para mejorar el rendimiento.
Corrección: acción para eliminar una no conformidad detectada.
Acción Correctiva: acción para eliminar la causa de una inconformidad y prevenir la recurrencia.
Documento: información y su medio de apoyo. El medio puede ser un disco de computadora, magnético,
electrónico u óptico, una fotografía o muestra maestra de papel, o una combinación de los mismos. Un conjunto
de documentos, por ejemplo, especificaciones y registros, se denomina con frecuencia "documentación".
Información documentada: información requerida para ser controlada y mantenida por una organización y el
medio en el que está contenida.
Eficacia: medida en que se realizan las actividades planificadas y se logran los resultados planificados.
Evento: ocurrencia o cambio de un conjunto particular de circunstancias.
NOTA 1-Un evento puede ser una o más instancias y puede tener varias causas.
NOTA 2-Un evento puede consistir en algo que no sucede.
NOTA 3-Un evento a veces puede denominarse "incidente" o "accidente".
NOTA 4-Un evento sin consecuencias también puede denominarse "near miss", "incident", "near hit", "close
call".
Ejercicio: proceso para entrenar, evaluar, practicar y mejorar el rendimiento en una organización.
NOTA 1-los ejercicios se pueden utilizar para: validar políticas, planes, procedimientos, capacitación, equipos
y acuerdos interinstitucionales; aclarar y capacitar al personal en roles y responsabilidades; mejorar la
coordinación y las comunicaciones entre las organizaciones; identificando lagunas en los recursos; mejorar el
rendimiento individual; e identificar oportunidades de mejora y oportunidad controlada de practicar la
improvisación.
NOTA 2-Una prueba es un tipo de ejercicio único y particular, que incorpora una expectativa de un elemento
aprobado o reprobado dentro de la meta u objetivos del ejercicio que se planifica.
Incidente: situación que podría ser, o podría conducir a, una interrupción, pérdida, emergencia o crisis.
Infraestructura: sistema de instalaciones, equipos y servicios necesarios para la operación de una organización.
lxxvi
Partes interesadas: persona u organización que puede afectar, verse afectada o percibir que se ve afectada por
una decisión o actividad.
NOTA-puede ser un individuo o grupo que tiene interés en cualquier decisión o actividad de una organización.
Auditoría interna: auditoría realizada por, o en nombre de, la propia organización para la revisión de la
administración y otros fines internos, y que podría constituir la base para la autodeclaración de conformidad de
una organización.
NOTA-En muchos casos, particularmente en organizaciones más pequeñas, la independencia puede demostrarse
al liberarse de la responsabilidad de la actividad auditada.
Invocación: acto de declarar que los arreglos de continuidad del negocio de una organización deben ponerse en
práctica para continuar entregando los productos o servicios clave.
Sistema de gestión: conjunto de elementos interrelacionados o que interactúan de una organización para
establecer políticas y objetivos, y procesos para alcanzar esos objetivos.
NOTA 1-Un sistema de gestión puede abordar una única disciplina o varias disciplinas.
NOTA 2-Los elementos del sistema incluyen la estructura, roles y responsabilidades de la organización,
planificación, operación, etc.
NOTA 3-El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas
e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones
en un grupo de organizaciones.
Máxima inactividad aceptable (MAO): el tiempo que tomarían los impactos adversos, que podrían surgir como
resultado de no proporcionar un producto / servicio o realizar una actividad, para volverse inaceptable.
NOTA-Consulte también el período máximo de interrupción tolerable.
Período de interrupción máximo tolerable (MTPD): el tiempo que tomarían los impactos adversos, que podrían
surgir como resultado de no proporcionar un producto / servicio o realizar una actividad, para volverse
inaceptable.
Medición: proceso para determinar un valor.
Objetivo mínimo de continuidad comercial (MBCO): nivel mínimo de servicios y / o productos que es aceptable
para la organización para lograr sus objetivos comerciales durante una interrupción.
Supervisión: determinar el estado de un sistema, un proceso o una actividad.
NOTA-Para determinar el estado, puede ser necesario verificar, supervisar u observar críticamente.
Acuerdo de ayuda mutua: comprensión preestablecida entre dos o más entidades para prestar asistencia mutua.
Disconformidad: incumplimiento de un requisito.
Objetivo: resultado que se logrará.
NOTA 1-Un objetivo puede ser estratégico, táctico u operativo.
NOTA 2-Los objetivos pueden relacionarse con diferentes disciplinas (como los objetivos financieros, de salud
y seguridad y medioambientales) y pueden aplicarse en diferentes niveles [tales como estratégico, de toda la
organización, proyecto, producto y proceso).
NOTA 3-Un objetivo se puede expresar de otras maneras, p. como un resultado previsto, un propósito, un criterio
operacional, como un objetivo de seguridad social o mediante el uso de otras palabras con un significado similar
(por ejemplo, objetivo, objetivo o objetivo).
NOTA 4-En el contexto de los estándares de sistemas de gestión de la seguridad social, la organización establece
objetivos de seguridad social consistentes con la política de seguridad social para lograr resultados específicos.
Organización: persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades
y relaciones para lograr sus objetivos.
NOTA 1-El concepto de organización incluye, pero no se limita a, comerciante individual, compañía,
corporación, empresa, autoridad, sociedad, institución benéfica o institución, o parte o combinación de los
mismos, ya sea incorporada o no, pública o privada.
NOTA 2-Para organizaciones con más de una unidad operativa, una sola unidad operativa se puede definir como
una organización.
Actuación: resultado mensurable.
NOTA 1-El rendimiento puede relacionarse con hallazgos cuantitativos o cualitativos.
NOTA 2-El rendimiento puede estar relacionado con la gestión de actividades, procesos, productos (incluidos
los servicios), sistemas u organizaciones.
Evaluación del desempeño: proceso de determinar resultados mensurables.
Personal: personas que trabajan para y bajo el control de la organización.
NOTA-El concepto de personal incluye, entre otros, empleados, personal a tiempo parcial y personal de la
agencia.
Política: intenciones y dirección de una organización tal como lo expresó formalmente su alta dirección.
Procedimiento: forma especificada para llevar a cabo una actividad o un proceso.
Proceso: conjunto de actividades interrelacionadas o interactivas que transforma las entradas en salidas.
Productos y servicios: resultados beneficiosos proporcionados por una organización a sus clientes, destinatarios
y partes interesadas, p. artículos manufacturados, seguro de automóvil y enfermería comunitaria.
Actividades priorizadas: actividades a las que se debe dar prioridad después de un incidente para mitigar los
impactos.
NOTA-Los términos de uso común para describir actividades dentro de este grupo incluyen: crítico, esencial,
vital, urgente y clave.
Grabar: declaración de resultados logrados o evidencia de actividades realizadas.
lxxviii
Objetivo de punto de recuperación (RPO): señalar a qué información utilizada por una actividad debe
restablecerse para permitir que la actividad opere al reanudarse.
NOTA-También se puede denominar "pérdida máxima de datos".
Tiempo de recuperación objetivo (RTO): período de tiempo después de un incidente dentro del cual:
• El producto o servicio debe ser reanudado, o
• La actividad debe ser reanudada, o
• Los recursos deben ser recuperados
NOTA-Para productos, servicios y actividades, el objetivo de tiempo de recuperación debe ser menor que el
tiempo que tomaría para los impactos adversos que surgirían como resultado de no proporcionar un producto /
servicio o realizar una actividad para volverse inaceptable.
Requisito: necesidad o expectativa que se establece, generalmente implícita u obligatoria.
NOTA 1-"Generalmente implícito" significa que es una práctica habitual o común para la organización y las
partes interesadas que la necesidad o expectativa bajo consideración sea implícita.
NOTA 2-Un requisito específico es uno que se establece, por ejemplo, en información documentada.
Recursos: todos los activos, personas, habilidades, información, tecnología (incluyendo plantas y equipos),
locales y suministros e información (ya sea electrónica o no) que una organización debe tener disponible para
usar, cuando sea necesario, para operar y cumplir su objetivo.
Riesgo: efecto de la incertidumbre en los objetivos.
NOTA 1-Un efecto es una desviación de lo esperado - positivo o negativo.
NOTA 2-Los objetivos pueden tener diferentes aspectos (como los objetivos financieros, de salud y seguridad
y medioambientales) y pueden aplicarse a diferentes niveles (por ejemplo, estratégico, de toda la organización,
proyecto, producto y proceso). Un objetivo se puede expresar de otras maneras, p. como un resultado previsto,
un propósito, un criterio operacional, como un objetivo de continuidad del negocio o mediante el uso de otras
palabras con un significado similar (por ejemplo, objetivo, objetivo o objetivo).
NOTA 3-El riesgo a menudo se caracteriza por la referencia a eventos potenciales (Guía 73, 3.5.1.3) y sus
consecuencias (Guía 73, 3.6.1.3), o una combinación de estos.
NOTA 4-El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento
(incluidos los cambios en las circunstancias) y la probabilidad asociada (Guía 73, 3.6.1.1) de ocurrencia.
NOTA 5-La incertidumbre es el estado, incluso parcial, de la deficiencia de información relacionada,
comprensión o conocimiento de un evento, su consecuencia o probabilidad.
NOTA 6-En el contexto de los estándares del sistema de gestión de la continuidad del negocio, la organización
establece los objetivos de continuidad del negocio, de conformidad con la política de continuidad del negocio,
para lograr resultados específicos. Al aplicar el término riesgo y los componentes de la gestión de riesgos, esto
debe estar relacionado con los objetivos de la organización que incluyen, entre otros, los objetivos de continuidad
del negocio especificados en 6.2.
Apetito por el riesgo: cantidad y tipo de riesgo que una organización está dispuesta a buscar o conservar.
Evaluación de riesgos: proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos.
Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Pruebas: procedimiento para la evaluación; un medio para determinar la presencia, calidad o veracidad de algo.
NOTA 1-Las pruebas pueden referirse a una "prueba".
NOTA 2-Las pruebas a menudo se aplican a planes de soporte.
Alta dirección: persona o grupo de personas que dirige y controla una organización al más alto nivel.
NOTA 1-La alta dirección tiene el poder de delegar autoridad y proporcionar recursos dentro de la organización.
NOTA 2-Si el alcance del sistema de gestión cubre solo una parte de una organización, la alta dirección se refiere
a aquellos que dirigen y controlan esa parte de la organización.
Verificación: confirmación, mediante el suministro de pruebas, de que se han cumplido los requisitos
especificados.
Ambiente de trabajo: conjunto de condiciones bajo las cuales se realiza el trabajo.
NOTA-Las condiciones incluyen factores físicos, sociales, psicológicos y ambientales (como temperatura,
esquemas de reconocimiento, ergonomía y composición atmosférica).