27
4. CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
De acuerdo al diagnóstico realizado con la metodología aplicada según la norma INEN-ISO 22301:2012, la obtuvo como resultado un 13.4 % de cumplimiento con la norma. Se identificaron los requisitos que se deben cumplir para contar con dicho sistema de gestión los cuales sirvieron de base para llegar a implementar un sistema de gestión de continuidad de negocio; para asegurar su idoneidad, adecuación y efectividad a la empresa Metalconstrucciones Cía Ltda.
Con el desarrollo del SGCN y la metodología implementada en especial la del método PHVA, se logró alcanzar un porcentaje de 85,7 % de cumplimiento de requisitos. El cual es aceptable para iniciar un proceso de certificación bajo la norma ISO 22301:2012.
De acuerdo a la evaluación de riesgos se pudo observar que la mayoría de los riesgos que pueden afectar la interrupción del negocio son los desastres naturales, debido que hasta la actualidad no ha habido forma de controlarlos.
Al igual que todas las grandes empresas dentro de una organización, es esencial obtener el respaldo y el patrocinio de la gestión ejecutiva. De allí que la mejor manera de lograr esto, en lugar de resaltar los aspectos negativos de no tener una gestión de la continuidad del negocio, es ilustrar las ventajas positivas de tener un proceso de gestión de la continuidad del negocio efectivo en el lugar de trabajo.
Hoy en día la buena gestión de la continuidad de los negocios no se trata de obligar a tomar medidas para hacer frente a las presiones externas. Se trata de reconocer el valor positivo de la buena práctica de la continuidad del negocio que está incorporada en toda la organización.
Los planes de continuidad de negocio fueron fundamentales para el funcionamiento continuo de la empresa ya que asumen la mayor importancia para mantener las operaciones funcionando normalmente.
La empresa logro ser más confiable, leal a los clientes y competitiva, capaz de responder ante cualquier circunstancia no prevista. Además proporcionó un marco para construir una organización más resistente ante cualquier amenaza que provoque la interrupción del negocio.
RECOMENDACIONES
Se recomienda realizar una auditoría de segunda parte con la ayuda de una empresa certificadora, con el fin de cumplir con los requisitos de la cláusula 9 y 10 de la norma ISO 22301:2012 para brindar un sistema de gestión de continuidad de negocio eficaz.
Se debe complementar este estudio con un nuevo proyecto en donde se busque la manera de incorporar manuales de mejores prácticas de continuidad de negocio y guías para contar con planes de continuidad de negocio más eficientes.
Se debe realizar ensayos, pruebas o simulacros en distintos escenarios por lo menos una vez al año para determinar el grado de efectividad del sistema de continuidad de negocia y la mejora continua.
Se debe proporcionar una aplicación o enlaces visibles y de fácil ubicación para que no solamente el equipo de gestión de incidentes tenga acceso a la documentación del sistema de gestión sino también todo el personal que labora en la empresa.
Con los resultados obtenidos en la evaluación se debe planificar la certificación de dicha norma debido a que los niveles de cumplimiento obtenidos estimulan a contar con dicha certificación.
Se recomienda socializar, comunicar, concientizar a los trabajadores, sobre la importancia del sistema de continuidad de negocio.
BIBLIOGRAFÍA
Alexander, A. (2012). Nuevo Estándar Internacional en Continuidad del Negocio ISO 22301: 2012. Gestión.
Bci.org. (2013). The Good Practice Guidelines. Recuperado 9 de junio de 2017, a partir de http://www.thebci.org/index.php/resources/the-good- practice-guidelines
Canchari, S. (2014). Análisis y diseño de un sistema de gestión de continuidad de negocio en caso de ocurrencia de sismos para una empresa aseguradora local basado en la ISO/IECD 22301: 2012.
Recuperado a partir de
http://tesis.pucp.edu.pe:8080/repositorio/handle/123456789/5400 Cueva, M. F. (2015). Diseño de un sistema de gestión de continuidad de
negocios para una entidad estatal de salud bajo la óptica de la
ISO/IEC 22301: 2012. Recuperado a partir de
http://tesis.pucp.edu.pe/repositorio/handle/123456789/6038
Delgado, K. (2015). DISEÑO Y PROPUESTA DE UNA METODOLOGÍA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO, BASADO EN LA NORMA ISO/IEC 22301: 2012.
Flores, J. (2015). BUSINESS CONTINUITY AND DISASTER
MANAGEMENT. Recuperado a partir de
http://ieeexplore.ieee.org/iel7/2943/6937071/07134711.pdf
Gallagher, M. (2003). Business continuity management: How to protect your
company from danger. Prentice Hall. Recuperado a partir de
http://pqm-online.com/assets/files/lib/books/gallagher.pdf
Herrera Garibay, A., de Wit, P., Eleazar, L., Jordan Bucheli, F., Norfolk, S., Sanchez Mena, R., … others. (2010). On solid ground: Addressing land tenure issues following natural disasters. Ecuador. Recuperado a partir de http://www.fao.org/docrep/013/i1255b/i1255b00.htm
INEN-ISO 31000. (2009). NORMA-ISO-31000-2009.pdf. Recuperado 3 de
agosto de 2017, a partir de
https://es.scribd.com/document/352698067/NORMA-ISO-31000-2009- pdf
Intedya,s.f. (2016). ISO 22301, Continuidad de Negocio. Recuperado a partir
de http://www.intedya.com/internacional/85/consultoria-continuidad- de-negocio-iso-22301.html
ISOTools, E. ©. (2016). E-book gratuito. La norma ISO 22301. Recuperado 8 de junio de 2017, a partir de http://info.isotools.org/iso-22301-sistema- gestion-continuidad-negocio
30 Jimenez, D. (2012). SIPOC – Un diagrama de lo más útil para mapeo de
procesos. Recuperado 2 de agosto de 2017, a partir de http://www.pymesycalidad20.com/sipoc-un-diagrama-de-lo-mas-util- para-mapeo-de-procesos.html
Junttila, J., & others. (2014). A Business continuity management maturity model: the search for an ISO 22301 Compliant BCM Maturity model. Recuperado a partir de http://www.doria.fi/handle/10024/98910
Kosutic, Dejan. (2013, junio 4). Business continuity policy – The purpose according to ISO 22301. Recuperado 13 de junio de 2017, a partir de https://advisera.com/27001academy/blog/2013/06/04/the-purpose-of- business-continuity-policy-according-to-iso-22301/
Kosutic, Dejan. (2014, febrero 17). How to set ISO 22301 Business Continuity Objectives. Recuperado 13 de junio de 2017, a partir de https://advisera.com/27001academy/blog/2014/02/17/setting-the- business-continuity-objectives-in-iso-22301/
López, P. G., & Sánchez, A. M. M. (2015). Cómo garantizar la continuidad del negocio. AENOR: Revista de la normalización y la certificación,
(302), 38–41.
McManus, Derek. (2013). BSI Case Study Telefónica UK Limited.
Recuperado 8 de junio de 2017, a partir de
http://www.bcifiles.com/BSI-ISO-22301-case-study-O2-Telefonica-UK- Limited-EN-UK.pdf
MacLennan, A. (2014). Information Governance and Assurance: Reducing risk, promoting policy. Facet Publishing.
Nickel, D. (2016). Management System Certification case studies | BSI America. Recuperado 8 de junio de 2017, a partir de https://www.bsigroup.com/en-US/Our-services/Management-system- certification/Client-case-studies/
NTE INEN-ISO 22301. (2016). Protección y seguridad de la ciudadania - Sistema de Gestión de la Continuidad del Negocio (SGCN) - requisitos (ISO 22301:2012,DT).
PECB, R. S.-G., & Faton ALIU, E. L. (2014). ISO 22301 Societal Security Business Continuity Management Systems. PECB. Recuperado a
partir de https://pecb.com/whitepaper/iso-22301-societal-security- business-continuity-management-systems
Purdy, G. (2010). ISO 31000: 2009—setting a new standard for risk management. Risk analysis, 30(6), 881–886.
Raya, M. J. (2016). ISO 22301:?` Qué pasaría si sus principales procesos sufrieran una parada de su actividad? Recuperado a partir de https://www.isotools.org/2016/04/13/iso-22301-parada-de-principales- procesos-de-actividad/
Tangen Stefan, D. A. (2012). Business continuity - ISO 22301 when things go seriously wrong. Recuperado 8 de junio de 2017, a partir de
http://www.iso.org/cms/render/live/en/sites/isoorg/contents/news/2012/ 06/Ref1602.html
Zamora, M. A. (2016). Desarrollo de un marco metodológico orientado a la gestión de continuidad del negocio utilizando el modelo de referencia Cobit 5.0, relacionado al procesamiento y administración de los datos
en la nube caso de estudio: Instituto Metropolitano de Diseño. Quito:
Universidad de las Américas, 2016. Recuperado a partir de http://dspace.udla.edu.ec/handle/33000/5318
33
ANEXO 2. FASES CLAVES PARA IMPLEMENTAR UN
SGCN CON LA METODOLOGÍA PHVA
1. Planificar 2. Hacer 3. Verificar 4. Actuar
1.1 Iniciar el SGCN 2.1 La Estrategia de Continuidad de Negocio 3.1 Monitoreo, Medición, Análisis y Evaluación 4.1 Tratamiento de no conformidades
1.2 Entender la organización 2.2 Estructura Organizacional 3.2 Audtoría Interna 4.2 Mejora continua
1.3 Analizar el sistema existente 2.3 La Gestión Documental 3.3 Revisión de la gestión 1.4 El liderazgo y la
aprobación del proyecto
2.4 Medidas de protección y mitigación 1.5 El Alcance 2.5 Continuidad del Negocio y
Procedimientos 1.6 La Política de Continuidad
de Negocio 2.6 Comunicación
1.7 Análisis de Impacto del
Negocio 2.7 Formación, sensibilización 1.8 Evaluación de riesgos
2.8 Ejercicio y Pruebas
IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN INTEGRAL BAJO LA METODOLOGÍA "PLANIFICAR-HACER-VERIFICAR-ACTUAR" (PHVA)
ANEXO 3. EVALUACIÓN DE LA NORMA ISO 22301:2012
EVALUACIÓN DE CUMPLIMIENTO SEGÚN REQUISITOS DE LA NORMA ISO 22301:2012 ¨METALCONSTRUCCIONES CÍA LTDA"
REQUISITOS CUMPLE PUNTAJE ETIQUETA PRIORIDAD HALLAZGOS 4. CONTEXTO DE LA ORGANIZACIÓN
4.1 Entendimiento de la organización y de su contexto
¿Ha identificado la empresa problemas externos e internos que
pueden afectar las operaciones del negocio? SI 1 Riesgos Media
Se identifican los problemas y riesgos que pueden afectar a la organización pero no se documenta
ni se realiza una acta ¿Han identificado la cantidad de riesgo que la empresa está dispuesto
a asumir o aceptar? SI 1 Riesgos Media
Se identifica la magnitud de riesgos que pueden afectar a la organización pero no se encuentra
documentada
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas
4.2.1 Generalidades
¿Han identificado las partes interesadas/grupos de interés que son
relevantes para la Continuidad del Negocio (interno o externo)? SI 1 interesadas Media Partes expectativas que estén declaradas, Se identifican sus necesidades y generalmente obligatorias
4.2.2 Requisitos Legales y Reglamentarios
¿Tienen un procedimiento para identificar, acceder y evaluar los requisitos legales y reglamentarios relacionados con la Continuidad
de Negocio? NO 0
Legal y
35
¿Está documentado el procedimiento y los requisitos legales y
reglamentarios pertinentes? NO 0 Regulatorio Media Legal y No se encuentra documentado
4.3 Determinación del campo de aplicación del sistema de gestión de la continuidad de negocio
4.3.1 Generalidades
¿Para las partes de la organización que se incluyen en la Continuidad del Negocio la documentación incluye los servicios ofrecidos por la
empresa y las actividades relacionadas? NO 0 Alcance Media
La empresa no determina los límites y la aplicabilidad de dicho
sistema ¿Para las partes de la organización que no están incluidas en la
Continuidad del Negocio, han sido estas documentadas y aprobadas? NO 0 Alcance Media No se identifican las partes que no están incluidas en la Continuidad de negocio
5 LIDERAZGO
5.2 Compromiso de la dirección
¿Cuenta con una Política de Gestión de Continuidad del Negocio? NO 0 Política Alta SGCN únicamente existe la política No cuenta con una política de de calidad
¿Es la política del SGCN entendida con claridad? N/A 0 Política Alta No se puede evaluar ya que no existe una política del SGCN
¿Quién comunico la política a todos los empleados de la empresa? N/A 0 Liderazgo Baja
N/A ¿La persona nominada tiene suficiente antigüedad, responsabilidad y
autoridad para llevar a cabo el papel? N/A 0 Roles Alta N/A
5.3 Política
¿Se ha comunicado la política dentro de la organización? N/A 0 Concientización Alta N/A
6 PLANIFICACIÓN
6.1 Acciones para cubrir riesgos y oportunidades
¿Han sido identificados los riesgos y las oportunidades de riesgo en
la empresa? SI 1 Riesgos Media Se identifican los riesgos pero no de documenta
¿Se ha tomado alguna medida en la empresa para reducir el riego de
las operaciones de negocios? SI 1 Riesgos Media La empresa cuenta con planes de evacuación y emergencias
¿Se han identificado oportunidades de mejora para ayudar a reducir el impacto que un incidente puede tener sobre las operaciones de
negocios? SI 2 Riesgos Media
La empresa cuenta con una sirena de emergencia, cámaras de seguridad y sistemas contra
incendios ¿Si se han identificado las oportunidades de mejora, ya se ha
comenzado un proceso del mismo? SI 1 Riesgos Media
6.2 Objetivos de continuidad del negocio y planes para conseguirlos
¿La empresa ha documentado sus objetivos de Continuidad del
Negocio? NO 0 Objetivos de CN Alta
No existen redactados los objetivos de continuidad del negocio
¿Los objetivos tienen en cuenta los niveles mínimos de servicio que
son aceptables para la empresa? NO 0 Objetivos de CN Alta
¿Son los objetivos de Continuidad de Negocio medibles? NO 0 Objetivos de CN Media
¿El objetivo tiene en cuenta todos los requisitos (por ejemplo, legal,
reglamentaria, las partes interesadas, etc.) NO 0 Objetivos de CN Media
¿Están los objetivos de Continuidad de Negocio Supervisados? NO 0 Objetivos de CN Media
¿Han sido los objetivos de Continuidad de Negocio actualizados en
37
¿Para cada objetivo de Continuidad de Negocio, la empresa tiene identificado quien será el responsable, lo que se hará, los recursos
con los que será necesario contar? PARCIAL 1
Objetivos de
CN Alta
7 APOYO
7.1 Recursos
¿Se han identificado los recursos para establecer, implementar, mantener y mejorar continuamente la continuidad del negocio en la
empresa? PARCIAL 1 Recursos Alta
Se identificaron los recursos humano y financiero que ayudaran
para implementar el SGCN
7.2 Competencia
¿Para el personal de la empresa que son responsables de la continuidad del negocio, han sido definidas las responsabilidades y
evaluadas para la eficacia de la Continuidad de Negocio? NO 0 competencia baja
la empresa no cuenta por el momento con un SGCN
7.3 Concientización
¿El personal de la empresa está consciente de su rol en un
incidente? SI 1 Concientización Media
El personal cuenta con capacitaciones en caso de un incidente inesperado como sismo ,
incendio ¿El personal de la empresa está consciente de su contribución en la
eficacia de la continuidad del negocio y como se relaciona con los
objetivos generales de la empresa? PARCIAL 1
Concientiza
ción Media flexible para adaptarse al sistema El personal está consciente y que se desea implementar
7.4 Comunicación
¿Hay un plan de comunicación que incluye que comunicar, cuando y
con quien comunicarse durante un incidente? PARCIAL 1 Comunicación Alta
Existe un directorio con información del personal pero no está definido
sus roles y responsabilidades ¿Los planes de comunicación de la empresa incluyen la
comunicación interna y externa? PARCIAL 1 Comunicación Alta
El Directorio cuenta con información interna del personal y externa
como número telefónico de la policía, bomberos.
¿La empresa recibe información relacionada con la continuidad del
negocio de un sistema de asesoramiento de amenazas? PARCIAL 1 Comunicación Media Únicamente por canales de televisión, radio y la prensa ¿La empresa ha tomado medidas para garantizar que las
comunicaciones se mantengan durante una interrupción? PARCIAL 1 Comunicación Alta
la empresa cuenta con teléfonos celulares que permitirán garantizar
las comunicaciones ¿Se han probado las capacidades de comunicación destinados a ser
utilizados durante una interrupción de las comunicaciones normales? SI 1 Comunicación Alta
Se Realizaron simulacros de evacuación en caso de sismo debido al sismo que ocurrió el
pasado 16 de abril
7.5 Información Documentada
¿Están documentados los planes, procesos y procedimientos que son necesarios para un sistema eficaz de gestión de la Continuidad del Negocio de la empresa siguiendo los procesos y los procedimientos documentados?
NO 0 Documentación Media
no cuenta con procesos, procedimientos documentados que
tenga que ver con el SGCN ¿Está la documentación disponible para su uso durante una
interrupción (incluyendo fallas con equipos de información relevante
para la empresa)? NO 0
Documentac
ión Alta
8 OPERACIÓN
8.1 Planificación y control operacional
¿Están los procesos externos controlados para asegurarse de que
también están disponibles durante una interrupción? PARCIAL 1 Externalizar Alta
la empresa cuenta con contratistas confiables y eficientes que podrán
apoyar a la empresa en caso de interrupciones
8.2 Análisis de impacto en el negocio y apreciación del riesgo
¿Existe un documento formal del análisis del impacto del negocio y de
39
¿Los procesos de la evaluación del riesgo y el análisis del impacto de
negocio cumplen con todos los requisitos de la norma ISO 22301? NO 0 Riesgos Media
8.3 Estrategia de continuidad del negocio
8.3.1 Determinación y selección
¿Con base en el análisis de impacto de negocio y evaluación de riesgos, la empresa ha definido y documentado estrategias de
Continuidad del Negocio? NO 0
Estrategia
de CN Alta
la organización no cuenta con un análisis de impacto de negocio y evaluación de riesgos por lo que no
se tomó en cuenta al momento de proponer las estrategias de negocio
a corto y largo plazo ¿Las estrategias incluyen plazos priorizados para la reanudación de
las actividades (procesos de negocio)? NO 0 Estrategia de CN Alta
8.3.2 Establecimiento de los requisitos relativos a los recursos
¿Se han identificado los recursos para implementar las estrategias? SI 0 Estrategia de CN Media
Se identifica los recursos humano y financieros que serán tomados en
cuenta en las estrategias de negocio
8.3.3 Protección y mitigación
¿Para todos los riesgos identificados a las operaciones comerciales en la empresa, se han tomado medidas proactivas para reducir la probabilidad de una interrupción, acortar el periodo de interrupción o limitar el impacto de una interrupción a los productos y servicios claves?
NO 0 Riesgos Alta los riesgos que puedan interrumpir la alta gerencia no ha identificado las operaciones de la empresa
8.4 Establecimiento e implementación de procedimientos de continuidad del negocio
8.4.1 Generalidades
¿Tienen procedimientos en la empresa para garantizar la continuidad
de los procesos de negocio y manejar la interrupción del negocio? NO 0 Procedimientos Alta
la empresa no cuenta con procedimientos que garanticen la
¿Los procedimientos establecen los protocolos de comunicación
interna y externa? NO 0 Procedimientos Alta
¿Son los procedimientos específicos en relación con las medidas
inmediatas que deben tomarse durante una interrupción del negocio? NO 0 Procedimientos Alta
¿Hay flexibilidad en los procedimientos que permite a la empresa responder a las amenazas imprevistas, así como cambios en las
condiciones externas e internas? NO 0
Procedimien
tos Media
¿Los procedimientos se centran en los impactos de los eventos que
podrían interrumpir las operaciones en la empresa? NO 0 Procedimientos Alta
¿Han basado los procedimientos en los supuestos y el análisis de las interdependencias con otras partes de la empresa, proveedores y
clientes establecidos? NO 0
Procedimien
tos Media
8.4.2 Estructura de la respuesta a incidentes
¿Para el Equipo de Gestión de Incidentes (EGI) se han identificados umbrales de impacto que justifiquen la iniciación de una respuesta
formal? NO 0 EGI Media
la empresa no cuenta con un equipo de Gestión de incidentes por
lo que no se puede evaluar los puntos correspondientes al 8.4.2 ¿La estructura de respuesta del EGI en la empresa permite la
naturaleza y el alcance de una interrupción y el posible impacto para
ser evaluado? NO 0 EGI Alta
¿Existen disposiciones en la estructura del EGI para la activación de
una respuesta de la Continuidad del Negocio? NO 0 EGI Alta
¿Tienen procesos y procedimientos para la activación, operación,
coordinación y comunicación de la respuesta? NO 0
EGI Procedimien
tos Alta
41
En una advertencia ¿Tienen procesos y procedimientos para?
la empresa no cuenta con un equipo de gestión de incidentes
procesos, procedimientos y un sistema de comunicación adecuado
para evaluar los puntos correspondientes al 8.4.3
O ¿La detección y comunicación regular de un incidente? NO 0
Comunicaci ón, Procesos, Procedimien tos, EGI Alta O ¿Recibir, documentar y responder a cualquier sistema de
asesoramiento de riesgos nacional o regional, o su equivalente? NO 0
O ¿Asegurar la disponibilidad de los medios de comunicación durante un incidente grave en la empresa, relacionado y los servicios de
emergencia? NO 0
O ¿Registro de información vital sobre el incidente, las medidas
adoptadas y las decisiones que tomaron? NO 0
O ¿Las comunicaciones internas dentro de la empresa y recibir,
documentar y responder a un incidente perturbador en la empresa? NO 0
¿Los procedimientos de comunicación y de advertencia han sido
ejecutados o probados en los últimos 12 meses? NO 0 Ejercicio y pruebas Media
8.4.4 Planes de continuidad del Negocio
¿Tiene un procedimiento documentado para responder a un incidente
perturbador en la empresa? NO 0 Planes Alta la empresa no cuenta con