Implementación de un sistema de gestión de continuidad de negocio basado en la norma iso 22301 para la empresa Metalconstrucciones Cía. Ltda.

UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL

FACULTAD DE CIENCIAS DE LA INGENIERÍA E

INDUSTRIAS

CARRERA DE INGENIERÍA INDUSTRIAL Y DE

PROCESOS

IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE

CONTINUIDAD DE NEGOCIO BASADO EN LA NORMA ISO

22301 PARA LA EMPRESA METALCONSTRUCCIONES CÍA.

LTDA.

TRABAJO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO INDUSTRIAL Y DE PROCESOS

BRYAN ANDREE CARGUA GUERRERO

DIRECTOR: ING. FREDDY ALVAREZ, MSc.

UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL BIBLIOTECA UNIVERSITARIA

FORMULARIO DE REGISTRO BIBLIOGRÁFICO

PROYECTO DE TITULACIÓN

DATOS DE CONTACTO

CÉDULA DE IDENTIDAD: 0202172193

APELLIDO Y NOMBRES: CARGUA GUERRERO BRYAN ANDREE

DIRECCIÓN: LAS CASAS Y GUALBERTO ARCOS

EMAIL: [email protected]

TELÉFONO FIJO: 02567436

TELÉFONO MOVIL: 0984496264

DATOS DE LA OBRA

TITULO: IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO

BASADO EN LA NORMA ISO 22301 PARA LA EMPRESA METALCONSTRUCCIONES

CÍA. LTDA.

AUTOR O AUTORES: CARGUA GUERRERO BRYAN ANDREE

FECHA DE ENTREGA DEL PROYECTO

DE TITULACIÓN: Agosto del 2017

DIRECTOR DEL PROYECTO DE TITULACIÓN:

FREDDY ALVAREZ

PROGRAMA

PREGRADO X POSGRADO

TITULO POR EL QUE OPTA:

INGENIERO INDUSTRIAL Y DE PROCESOS

UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL BIBLIOTECA UNIVERSITARIA

diagnóstico del estado actual en la que se encontraba la empresa para poder identificar el grado de cumplimiento que rige la norma ISO 22301, se obtuvo como resultado que existe un nivel de desempeño limitado con un 13.4% de cumplimiento, por lo cual se procedió a realizar el desarrollo de actividades y tareas basadas en los requisitos obligatorios citados en la norma. El desarrollo consistió en la planificación, elaboración, validación y documentación, de la política, alcance, objetivos, procedimientos, análisis de riesgos e impactos, estrategias de mitigación de riesgos, y planes de continuidad del negocio, para conseguir aumentar el porcentaje de cumplimiento, y lograr implementar el sistema de gestión de continuidad de negocio.

Finalmente se realizó una evaluación, donde se tomó en cuenta la eficacia del desarrollo del sistema de gestión de continuidad de negocio, cuyo resultado fue un 85.4 % de cumplimiento de acuerdo con requisitos de la norma, concluyendo de este modo que dicho resultado permitió al proyecto cumplir con el objetivo principal, que fue la implementación del SGCN, y brindó como ventajas que la empresa permita enfrentar los posibles problemas potenciales, los procesos claves del negocio y en sí, cualquier situación que afecta el estado normal de las operaciones, y se demostró que la empresa es confiable y puede responder ante cualquier amenaza que afecte las actividades normales del negocio.

PALABRAS CLAVES: SGCN, ISO, Continuidad, Disruptivo, ISO 22301, Gestión de Crisis, Reanudación del Negocio, Recuperación del Negocio

DEDICATORIA

Este trabajo es dedicado al esfuerzo de mis padres y en especial el de mi tía; María, ya que fue el principal cimiento para la formación de mi vida profesional; y así poder servir a todo ser humano que es vulnerable frente a esta sociedad injusta y excluyente que no sabe compartir oportunidad equitativamente; también quiero dedicar este logro a todos mis familiares hermanos y amigos quienes siempre me brindaron ese don precioso que brilla dentro de cada uno, engrandeciendo mi personalidad, sabiduría y valorando el aporte que me brinda cada persona en este mundo, finalmente le dedico a Dios por darme el don de la vida, que a través de su ideología; siempre trata de guiarme por el camino del bien.

AGRADECIMIENTOS

“Gracias” es una de esas maravillosas palabras que siempre estarán en mi dialecto, y; así me considere una persona ingrata siempre estaré agradecido con aquellas personas que hagan algo por mí. En especial quiero agradecer a mi abuela que se convirtió en mi ángel y siempre me esta cuidado donde sea que se encuentre. Agradezco mi tía quien lo ha dado todo por mí; sin aparentar recompensa alguna. Finalmente agradezco por la acogida brindada, a la UNIVERSIDAD TECNOLÓGICA EQUINOCCIAL por haberme brindado la oportunidad de educarme en tan prestigiosa institución, al Ing. Freddy Alvarez Director del presente trabajo de titulación por sus conocimientos brindado, a los ingenieros Tatiana Quintana y Luis Guerrero por todo el apoyo ofrecido en el proceso de mi trabajo de titulación, a mis padres, hermanos, tíos y primos por haberme cuidado todo el tiempo, y todos mis amigos aquellos que llegaron a ser parte en mi vida y considero mi segunda familia les deseó “ lo mejor de este mundo ”.

ÍNDICES DE CONTENIDO

PÁGINA

RESUMEN ... vi

ABSTRACT ... vii

1. INTRODUCCIÓN ... 1

2. METODOLOGÍA ... 7

DIAGNÓSTICO DEL ESTADO ACTUAL DE LA EMPRESA PARA ENTENDER SUS NECESIDADES Y ESTABLECER UN SGCN ... 7

DESARROLLO DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO ISO 22301:2012 ... 7

EVALUACIÓN DE LA IMPLEMENTACIÓN DEL SGCN ... 11

3. RESULTADOS Y DISCUSIÓN ... 12

DIAGNÓSTICO DEL SGCN EN LA EMPRESA METALCONSTRUCCIONES CÍA. LTDA. ... 12

DESARROLLO DEL SISTEMA DE CONTINUIDAD DE NEGOCIO . 13 3.2.1. CLÁUSULA 4.- CONTEXTO DE LA ORGANIZACIÓN ... 13

3.2.2. CLÁUSULA 5.- LIDERAZGO Y COMPROMISO ... 16

3.2.3. CLÁUSULA 6.- PLANIFICACIÓN ... 17

3.2.4. CLÁUSULA 7.- APOYO ... 17

3.2.5. CLÁUSULA 8.- OPERACIÓN ... 18

3.2.5.1. Análisis de Impactos en el Negocio y Apreciación del Riesgo ... 18

3.2.5.2. Estrategias de Mitigación ... 20

3.2.5.3. Documentar y Aprobar los Planes de Continuidad de Negocio ... 22

3.2.5.4. Plan de Gestión de Crisis ... 23

3.2.5.5. Plan de Reanudación del Negocio ... 24

3.2.5.6. Plan de Recuperación del Negocio ... 24

ii

ÍNDICES DE CONTENIDO

PÁGINA

3.2.7. CLÁUSULA 10.- MEJORA ... 25

EVALUACIÓN DEL SGCN EN LA EMPRESA METALCONSTRUCCIONES CÍA. LTDA. ... 25

4. CONCLUSIONES Y RECOMENDACIONES ... 27

CONCLUSIONES ... 27

RECOMENDACIONES ... 28

BIBLIOGRAFÍA ... 29

ÍNDICES DE TABLAS

PÁGINA

Tabla 1. Matriz de resultados del diagnóstico... 12

Tabla 2. Modelo de actividades de componentes del alcance ... 13

Tabla 3. Identificación de riesgos internos y externos ... 14

Tabla 4. Aspectos internos y externos ... 15

Tabla 5. Entendimiento de las necesidades y expectativas de los stakeholders ... 15

Tabla 6. Roles y responsabilidades de la alta gerencia ... 16

Tabla 7. Objetivos de planificación del SGCN ... 17

Tabla 8. Resultado riesgos externos ... 18

Tabla 9. Resultado riesgos internos ... 19

Tabla 10. Estrategias de mitigación de riesgos internos y externos ... 20

Tabla 11. Estrategias de mitigación de riesgos en programas críticos en el sitio... 21

Tabla 12. Estrategias de mitigación de riesgos para la recuperación de desastres ... 22

Tabla 13. Resultados Plan de Gestión de Crisis ... 23

iv

ÍNDICES DE FIGURAS

PÁGINA Figura 1. Porcentaje macro de conformidad bajo la norma ISO

ÍNDICES DE ANEXOS

PÁGINA

ANEXO 1. NTE INEN –ISO 22301 ... 32

ANEXO 2. FASES CLAVES PARA IMPLEMENTAR UN SGCN CON LA

METODOLOGÍA PHVA ... 33 ANEXO 3. EVALUACIÓN DE LA NORMA ISO 22301:2012 ... 33

ANEXO 4.DOCUMENTOS DEL SISTEMA DE GESTIÓN DE

CONTINUIDAD DE NEGOCIO ... 45

ANEXO 5. LISTA MAESTRA DE DOCUMENTOS SOBRE EL

DESARROLLO DEL SGCN ... 46

ANEXO 6. SEGUNDA EVALUACIÓN DEL CUMPLIMIENTO DE LA

vi

RESUMEN

El presente proyecto de titulación, se basó en la implementación de un sistema de gestión de continuidad del negocio (SGCN), para la empresa Metalconstrucciones Cía. Ltda., dedicada al diseño, fabricación y montaje de estructuras metálicas y consultoría en: ingeniería estructural, levantamientos topográficos y trabajos de obra civil, dicha implementación se realizó en base a la Norma NTE INEN-ISO 22301:2012 (Protección y seguridad de la ciudadanía– sistema de gestión de la continuidad del negocio (SGCN) – requisitos). Esta norma sirvió para realizar un checklist, y dar un diagnóstico del estado actual en la que se encontraba la empresa para poder identificar el grado de cumplimiento que rige la norma ISO 22301, se obtuvo como resultado que existe un nivel de desempeño limitado con un 13.4% de cumplimiento, por lo cual se procedió a realizar el desarrollo de actividades y tareas basadas en los requisitos obligatorios citados en la norma. El desarrollo consistió en la planificación, elaboración, validación y documentación, de la política, alcance, objetivos, procedimientos, análisis de riesgos e impactos, estrategias de mitigación de riesgos, y planes de continuidad del negocio, para conseguir aumentar el porcentaje de cumplimiento, y lograr implementar el sistema de gestión de continuidad de negocio.

Finalmente se realizó una evaluación, donde se tomó en cuenta la eficacia del desarrollo del sistema de gestión de continuidad de negocio, cuyo resultado fue un 85.4 % de cumplimiento de acuerdo con requisitos de la norma, concluyendo de este modo que dicho resultado permitió al proyecto cumplir con el objetivo principal, que fue la implementación del SGCN, y brindó como ventajas que la empresa permita enfrentar los posibles problemas potenciales, los procesos claves del negocio y en sí, cualquier situación que afecta el estado normal de las operaciones, y se demostró que la empresa es confiable y puede responder ante cualquier amenaza que afecte las actividades normales del negocio.

Palabras Clave.-

ABSTRACT

The present titling project, was based on the implementation of a business

continuity management system (SGCN), for the company

Metalconstrucciones Cía. Ltda., Dedicated to the design, manufacture and assembly of metallic structures; Including consultancy in: structural engineering, surveying and civil works. This implementation was carried out based on the Norm NTE INEN-ISO 22301: 2012, (Protection and security of citizenship - business continuity management system (SGCN) - requirements). This standard was used to perform a checklist and give a diagnosis of the current state of the company, in order to identify the degree of compliance that governs the ISO 22301 standard, obtaining as results that there is a very limited performance level with a 13.4 % Of compliance. Therefore, the development of activities and tasks were carried out based on the mandatory requirements mentioned in the standard. This development consisted of planning, elaboration, validation and documentation of the policy, scope, objectives, procedures, risk and impact analysis, risk mitigation strategies and business continuity plans, in order to increase the percentage of compliance, and achieve the implementation of the business continuity management system.

Finally, an evaluation was made, which took into account the effectiveness of the development of the business continuity management system, resulting in an 85.4% compliance in accordance with the requirements of the standard, thus concluding that this result allowed the Project to fulfill the main objective, which was the implementation of the SGCN, facilitaty as advantages that the company allows to face the potential potential problems, the key processes of the business and in itself, any situation that affects the normal state of the operations, proving that the Company is reliable and can respond to any threat that affects normal business activities.

Keywords.-

1. INTRODUCCIÓN

Los desastres naturales recientes, los accidentes ambientales, los accidentes tecnológicos y las crisis provocadas por el hombre han demostrado que los incidentes graves pueden ocurrir y lo harán en cualquier momento, tanto al sector público como al privado. El desafío va más allá de proporcionar un plan de respuesta de emergencia o usar estrategias de manejo de desastres, se deben tomar medidas adaptativas y proactivas para reducir la probabilidad de una interrupción (PECB & Faton, 2014).

Las amenazas, en la actualidad requieren la creación de un proceso continuo y gestionado que asegure la supervivencia y sostenibilidad de las actividades básicas de una organización de cualquier tamaño o tipo. Deben ahora participar en un proceso integral y sistemático, de prevención, protección, preparación, mitigación y respuesta, a la continuidad y recuperación del negocio (PECB & Faton, 2014).

La continuidad de las operaciones en cualquier empresa es de vital importancia, en especial una dedicada al diseño, elaboración y montaje de estructuras metálicas de alta calidad como lo es Metalconstrucciones Cía. Ltda., por lo cual, en caso de presentarse una complicación de los procesos críticos, simplemente no se puede operar; no se puede realizar la entrega del producto y/o servicio, cualquier organización con una ventaja competitiva no puede permitirse el lujo de tener complicaciones considerables en su cadena de producción o de negocio ya que pierde la confianza y lealtad del cliente.

Debido a los nuevos reglamentos de los mercados internacionales, las organizaciones deben demostrar que son proveedores confiables y pueden responder ante cualquier circunstancia no prevista, contar con un SGCN bien diseñado y correctamente implantado, es garantía para la propia empresa y sus stakeholders que la organización en un tiempo estimado, pueda reanudar sus operaciones o servicios (ISOTools, 2016).

2 Se define como SGCN al “Proceso de gestión holístico que identifica las amenazas potenciales de una organización y los impactos que pueden causar en las operaciones del negocio si esas amenazas se materializan”. El SGCN puede considerarse como la capacidad estratégica y táctica de una empresa para planificar y responder ante cualquier incidente o interrupción de negocio (NTE INEN-ISO 22301, 2016).

La International Dynamic Advisors, afirma que el modelo implementado de la norma ISO 22301, asegura la integralidad con otros sistemas de gestión como: ISO 9001, ISO 14001, ISO 27001, ISO 22000, etc., lo cual facilita la gestión e integración en las organizaciones así como también, su aplicación efectiva (Intedya, 2016).

Según Sharp (2013), en su guía de transición entre la norma BS 25999-2 y la ISO 22301, menciona que la norma ISO 22301, es el segundo estándar del sistema de gestión que ha adoptado la nueva estructura de alto nivel en la ISO. Esto garantizará la coherencia y facilita la integración con todas las normas del sistema de gestión; este estándar se divide en 10 cláusulas principales, inicia con el alcance, referencias normativas, términos y definiciones, contexto de la organización, liderazgo, planificación, apoyo, operación, evaluación del rendimiento y finalmente la mejora continua.

En la cláusula 4, que describe al contexto de la organización, radica en conocer la organización tanto las necesidades internas como externas, y establecer límites para determinar el alcance del sistema de gestión. Mientras que en la cláusula 5, hace especial hincapié en la necesidad de un liderazgo apropiado de SGCN, ya que la alta dirección debe asegurar que se provean los recursos apropiados para establecer políticas, y nombrar a personas para implementar y mantener el SGCN. Seguido la cláusula 6, referente a la planificación, menciona que la organización debe identificar los riesgos para la implementación del sistema de gestión, donde se establezca objetivos y criterios claros que puedan utilizarse para medir su éxito (Tangen, 2012).

Sarabia (2015), en la cláusula 9, sugiere que se debe establecer y realizar un seguimiento, del sistema de gestión que permita ser revisado periódicamente por medio de auditorías; mientras que en la cláusula 10, señala que ningún sistema de gestión es perfecto desde el principio, debido a que las organizaciones y sus entornos están cambiando constantemente, por lo que es necesario realizar una mejora continua.

Ciena es una empresa especialista en telecomunicaciones que colabora con clientes de todo el mundo, brindando beneficios tanto internos como externos dentro de la organización; cuenta con la certificación ISO 22301, lo cual ha permitido una mejor comunicación, ya que permite hablar en el mismo idioma sobre el negocio, comprender lo que se entiende por buenas prácticas de continuidad de negocio y cumplir con las expectativas de los clientes, incluso durante un evento disruptivo. Ciena gracias a su SGCN, puede examinar de cerca su negocio con el fin de comprender mejor dónde se encuentran los puntos de riesgo y desarrollar planes, para abordar cada uno de ellos (Nickel, 2016).

MacLennan (2014), menciona un caso de estudio en la empresa Lettergold Plastics Ltd., donde muestra cómo la certificación ISO 22301, puede impulsar a las pequeñas empresas así como a las grandes organizaciones. Desarrollar un SGCN requiere que las empresas consideren, cómo tratar situaciones que normalmente no experimentan, estos podrían variar ampliamente por ejemplo, de una pandemia de gripe a un fallo del sistema de TI. Tales situaciones son a menudo desconocidas para la gerencia, por lo que, la existencia de un plan de continuidad de negocio bien ensayado que se implemente inmediatamente, puede hacer la diferencia entre el desastre y la recuperación de las actividades.

4 Las Guías de Buenas Prácticas (GBP), son el cuerpo independiente de conocimiento para una buena implementación de continuidad de negocio en todo el mundo, representan el pensamiento global y actual en la práctica de un buen SGCN. El conocimiento práctico de las GBP, sustenta el proceso de solicitud de una certificación, ya que requiere que las organizaciones demuestren competencias en las seis prácticas profesionales de GBP, a nivel gerencial y técnico, las cuales incluyen: la gestión de políticas y programas, análisis, diseño, implementación, validación e integración de la continuidad del negocio; juntos forman el ciclo de vida del SGCN que sirve para asegurar el éxito de cualquier sistema de gestión y su valor continuo para la organización (Bci.org, 2013).

Según Zamora (2016), en su trabajo de investigación, acerca del desarrollo de una metodología que integre el marco de referencia COBIT 5.0 con la norma ISO 22301, afirma que al realizar el levantamiento de información sobre la infraestructura física, la institución no era organizada ni segura, volviéndose vulnerable ante cualquier evento disruptivo ocasionado por el hombre o factores externos, lo cual fueron identificados como riesgos para dicha institución, por lo cual al desarrollar su metodología permitió implementar nuevas tecnologías y/o servicios las cuales ayudaron a establecer mecanismos de seguridad para salvaguardar y mejorar tanto la administración de las plataformas informáticas como de sus procesos en caso de un incidente inesperado.

Canchari (2014), en su proyecto de titulación sobre el diseño de un SGCN en cuestión de ocurrencia a un terremoto, en la ciudad del Perú, afirma que los resultados de evaluación obtenidos son la base primordial para iniciar el estudio y diseño del SGCN, ya que dichos resultados serán cubiertos en los planes de continuidad de negocio, el cual delimitara su alcance, siendo este de principal relevancia para el diseño del SGCN en caso de ocurrencia de un terremoto.

Delgado (2015), en su diseño y propuesta de una metodología para implementar un SGCN con la norma 22301, explica que al realizar un diagnóstico situacional de las organizaciones, se puede constatar que la implementación de un SGCN tiene un campo de labor formidable y es posible implementarlo considerando su recurso tecnológico y monetario.

establece la continuidad de negocio siendo una entidad más competitiva y confiable.

La norma ISO 22301, está diseñada para proteger a la empresa de posibles problemas, incluyendo las condiciones climáticas extremas, desastres naturales, incendios, inundaciones, robos, enfermedades del personal, interrupción de los servicios de tecnología de la información o un acto de terrorismo. Esta norma le permite identificar los riesgos y las funciones de negocio críticos que podrían llegar a sufrir consecuencias no deseadas en la empresa, del mismo modo le permite establecer planes con anticipación para asegurar que la organización no impida realizar sus diligencias (Raya, 2016).

Para garantizar la continuidad del negocio, se debería considerar otros impactos que no hay que subestimar, como son la parte legal o contractual, y otras como la imagen y reputación del negocio. Estos impactos pueden tener muchos desenlaces a largo plazo más que las pérdidas ocasionadas por una interrupción, cada parte del modelo "PHVA" son fundamentales para garantizar un SGCN eficaz (López & Sánchez, 2015).

Según la Organización de las Naciones Unidas para la alimentación y agricultura, menciona que el Ecuador se encuentra situado en una zona de alta complejidad tectónica del mundo, un lugar donde se encuentran las placas de Nazca y Sudamérica. Es parte del "cinturón de fuego" con una gran cantidad de volcanes principalmente activos que causa una permanente actividad sísmica y volcánica, lo cual ocasiona una alta vulnerabilidad. Ecuador se encuentra también dentro de una zona de baja presión en todo el mundo, en la zona de convergencia intertropical, es un territorio sujeto a los fenómenos meteorológicos extremos, como las inundaciones, la sequía, las heladas o los efectos ocasionados por el fenómeno el Niño (Herrera Garibay et al., 2010).

6 En la planificación para la creación de planes de continuidad del negocio se debe tomar muy encuentra los desafíos y las consecuencias que la aplicación de este sistema de gestión, implica tanto el carácter estratégico de negocio y cumplimiento de la normativa, es importante que se lleven a cabo actualizaciones acerca de los cambios necesarios en los procesos y deben ser tomados en cuenta en la mejora continua del sistema de gestión (López & Sánchez, 2015).

7

2. METODOLOGÍA

DIAGNÓSTICO DEL ESTADO ACTUAL DE LA EMPRESA PARA ENTENDER SUS NECESIDADES Y ESTABLECER UN SGCN

El estudio de implementación de un SGCN, inicia con el diagnóstico del estado actual de la empresa, con respecto a los requerimiento que exige la norma ISO 22301 ANEXO 1, para lo cual se utilizó la metodología basada en el ciclo PHVA dividida en 4 fases: planificar, hacer, verificar y actuar, que a su vez cada fase se subdividen en actividades y tareas como se indica en el ANEXO 2.

Empleando la metodología PHVA se pudo realizar un checklist (interpretación de los requerimientos de la norma ISO 22301), donde se procedió a recolectar información por medio de entrevistas con la alta gerencia y la persona autorizada de dar seguimiento a los sistemas de gestión integral, debido a que dicha empresa ya cuenta con un certificación con la ISO 9001:2008 (PECB & Faton, 2014).

Para ejecutar el checklist se valoraron las 7 cláusulas claves de la norma, que tuvieron como objetivo conocer el estado actual de la empresa ANEXO 3, las cuales fueron valoradas de la siguiente manera (NTE INEN-ISO 22301, 2016):

 0 = Incumplimiento del requisito (ninguno de los incisos cumple)

 1 = Cumplimiento parcial del requisito (al menos uno de los incisos cumple)

 2 =Total cumplimiento del requisito (Todos los incisos cumplen)

 N.A.= No aplica (exclusiones)

DESARROLLO DEL SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO ISO 22301:2012

Para el desarrollo del SGCN se utilizó la metodología basada en las directrices de la norma ISO 22301:2012, y algunos de los lineamientos de otras normas que se mencionaron conforme se fue avanzando con el desarrollo del SGCN (ANEXO 4), las mismas que aportaron un enfoque para gestionar correctamente cada uno de los requisitos citados por la norma ISO 22301 (NTE INEN-ISO 22301, 2016).

La Norma ISO 22301 fue básicamente la que guió el desarrollo del SGCN y la obtención de los resultados del proyecto, establecidos de la siguiente manera por las siguientes clausulas:

 Cláusula 4.- Mediante la discusión dentro de un equipo multidisciplinario, se analizó y determino el contexto de la organización, la cual se dividieron en tres pasos metodológicos que sirvieron para establecer el alcance en la empresa Metalconstrucciones Cía. Ltda (NTE INEN-ISO 22301, 2016).

Los pasos que describieron el contexto de la organización fueron los siguientes:

a. Se realizó un modelo de los componentes de la empresa, donde se identificaron las actividades organizacionales, funciones, servicios, clientes, proveedores y relaciones con las partes interesadas.

b. Se efectuó un análisis FODA y una lluvia de ideas que sirvió para identificar los riesgos claves que pueden afectar la continuidad del negocio, los aspectos internos y externos relevantes para la organización; así como también las necesidades y expectativas de los stakeholders (ISOTools, 2016).

c. Por último se definió el alcance que tendrá el SGCN en la empresa Metalcostrucciones Cía Ltda.

 Cláusula 5.- Por medio de foros y talleres con la alta gerencia, se fijaron los objetivos de la política, los roles y responsabilidades del equipo de gestión de incidentes, las misma que sirvieron para elaborar la política del SGCN.

 Cláusula 6.- Para cumplir con esta cláusula se utilizó la metodología S.M.A.R.T, la misma que servirá para definir y redactar los objetivos estratégicos que ayudaran a tratar los riesgos y cumplir con los requisitos de las necesidades de la organización ( Kusotic, 2013).

9

 Cláusula 8.- Se contó con la indagación de los lineamientos brindados por la norma ISO 31000:2009 (gestión de riesgos principios y directrices), la misma que proporcionó un enfoque para gestionar correctamente los riesgos dentro de la empresa en el contorno de la continuidad del negocio (INEN-ISO 31000, 2009).

La metodología de la norma ISO 31000:2009 se utilizó para determinar el nivel de riesgo en las operaciones de potenciales exposiciones internas y externas, con la cual se identificaron los elementos críticos en las operaciones que necesitarán planificación de reanudación, recuperación y/o estrategias de mitigación (Purdy, 2010).

Después de haber identificado las probables exposiciones para las operaciones, se procedió a realizar la evaluación para cada una a través del uso de la clave para probabilidad de ocurrencia, con la siguiente valoración (Purdy, 2010):

 3. Altamente probable = Una amenaza cuya ocurrencia es probable en el próximo 1 año.

 2. Probable = Una amenaza cuya ocurrencia es probable en los próximos 10 años

 1. Improbable = Una amenaza cuya ocurrencia es probables después de los próximos 10 años

 0 .N/A

Finalmente, al haber identificado la probabilidad de ocurrencia, el siguiente paso fue determinar el Límite de Interrupción de Negocio (LIN) (es decir, duración de la interrupción del negocio que su sitio puede manejar antes de tener que iniciar esfuerzos de recuperación) para cada exposición si esta fuera a ocurrir (Purdy, 2010).

Con el uso de la clave para el límite de interrupción del negocio se ingresó el puntaje numérico del LIN de cada exposición que fue la siguiente:

 3. Mayor = Evento con potencial de detención de operaciones por más de 48 horas

 2. Menor = Evento con potencial de detención de operaciones por 24– 48 horas

 1. Rutinario = Consecuencias que pueden ser absorbidas con proceso de gestión diaria

Para terminar, se determinó el puntaje de riesgo para cada exposición a las operaciones de riesgos. Para hacer esto se sumó los valores entre la probabilidad de ocurrencia y el límite de interrupción del negocio para interpretar los resultados de la siguiente manera (Purdy, 2010):

 6 = Existe un alto riesgo de interrupción

 5 = Existe un medio riesgo de interrupción

 4 o menor = Existe un riego bajo de interrupción

 0 = No aplicable

Para las estrategias de mitigación de riesgos se utilizó la hoja de trabajo de requerimientos para recuperación de desastres estrategias de mitigación donde (Purdy, 2010):

 OTR (Objetivo de Tiempo de Recuperación), es la máxima cantidad de tiempo (en horas o días) aceptable para recuperar sistemas de información en el evento de una interrupción. Se deben considerar muchos factores al determinar su OTR.

 Frecuencia de Respaldo indica con qué frecuencia (en horas o días) se respaldan los datos críticos contenidos dentro del sistema respaldado.

 OPR (Objetivo de Punto de Recuperación), se determinó al agregar el OTR a la frecuencia de respaldo.

Así mismo, la norma NFPA 1600:2013 (Manejo de Desastres / Emergencias y Programas para la Continuidad del Negocio) y las Guías de buenas prácticas de continuidad de negocio, ayudaron a establecer lineamientos para gestionar los desastres, emergencias y establecer los planes de continuidad de negocios apropiados (Flores, 2015).

 Cláusula 9.- Se generaron foros y reuniones las mismas que sirvieron para evaluar la documentación desarrollada para el SGCN. Dicha evaluación se realizó con la utilización del checklist elaborado anteriormente, la cual tuvo como objetivo la creación de una lista maestra de documentos (ANEXO 5) (PECB & Faton ALIU, 2014).

11 EVALUACIÓN DE LA IMPLEMENTACIÓN DEL SGCN

12

3. RESULTADOS Y DISCUSIÓN

DIAGNÓSTICO DEL SGCN EN LA EMPRESA

METALCONSTRUCCIONES CÍA. LTDA.

El diagnóstico realizado por medio de la aplicación de la metodología “Planificar, Hacer, Verificar, Actuar” (PHVA), permitió tener resultados cuantitativos y conocer el estado actual en la que se encuentra la empresa, con respecto a la integración del Sistema de Gestión de Continuidad de Negocio bajo los requisitos de la norma ISO 22301:2012.

La Norma ISO 22301 se dividen en 82 actividades y tareas establecidas en la norma ISO 22301, las cuales fueron interpretadas en el checklist realizado a la empresa (ver ANEXO 3); de la cual se obtuvo los siguientes resultados como se muestra en la Tabla 1. Esta tabla se encuentra dividida en 6 bloques que sirvieron para obtener el porcentaje de cumplimiento de requisitos, y se obtuvo como resultado que en la cláusula 7 existe un mayor cumplimiento (36.4 %), seguido por la cláusula 6 con (27.3 %) y la cláusula 4 con un (21.4 %). Mientras que las siguientes cláusulas cuentan con un nivel de cumplimiento, inferiores al 10 %. Dichos resultados inducen a impulsar una implementación del SGCN bajo la norma ISO 22301:2012 en la empresa Metalconstrucciones.

Tabla 1. Matriz de resultados del diagnóstico

Metalconstrucciones Cía. Ltda.

Requisito Cláusula N° Requisitos Puntaje _{máximo obtenido} Puntaje Cumplimiento _%

4. Contexto de la

Organización 4 7 14 3 21,4%

5. Liderazgo 5 6 12 1 8,3%

6. Planificación 6 11 22 6 27,3%

7. Apoyo 7 11 22 8 36,4%

8. Operación 8 42 84 4 4,8%

9. Evaluación

del Rendimiento 9 4 8 0 0,0%

10. Mejora 10 1 2 0 0,0%

82 164 22 13,4%

cumplimientos a los requisitos que exige la norma, lo cual da a entender que no existe un SGCN adecuado para que se pueda integrar a la empresa.

Figura 1. Porcentaje macro de conformidad bajo la norma ISO 22301:2012

DESARROLLO DEL SISTEMA DE CONTINUIDAD DE NEGOCIO

En función de los objetivos planteados en el presente estudio se desarrollaron los siguientes resultados:

3.2.1. CLÁUSULA 4.- CONTEXTO DE LA ORGANIZACIÓN

Se desarrolló el modelo de funcionamiento de componentes del alcance como se muestra en la Tabla 2, donde se identificó las actividades organizacionales, funciones, servicios, clientes, proveedores y relaciones con partes interesadas (stakeholders).

Tabla 2. Modelo de actividades de componentes del alcance MODELO DEL FUNCIONAMIENTO DE COMPONENTES DEL ALCANCE

Proveedores Funciones Empresa Servicios Clientes

Microsoft Hardware

METALCONSTRUC CIONES CIA.

LTDA.

Construcción de:

Empresas Publicas y privadas

Claro Enlaces de datos Edificios metálicos

CNEL Energía eléctrica Obras civiles

CGB Seguridad y Monitoreo Puentes Grúas

GABRIM Generadores Alquiler de

Cubiertas Escaleras metálicas LINCOLN

ELECTRIC Insumos, equipos almacenamiento Tanques de

DEGSO Accesorios _{consultorías en}

ingeniería estructural

Novacero Materia prima

13,4%

86,6%

Porcentaje de conformidad bajo la norma ISO 22301:2012

14 Mediante una lluvia de ideas se identificaron los riesgos internos y externos más importantes, que pueden ocasionar la interrupción de las actividades en la empresa Metalconstrucciones Cía Ltda., como se puede observar en la Tabla 3.

Tabla 3. Identificación de riesgos internos y externos

SITUACIONES RIESGOS EXTERNOS

Proveedores /Servicios

Materiales Críticos o suministros Comunicación de voz

Comunicación de datos

Proveedores

/Contratistas Mantenimiento Equipos _{Servicio de Gas oxígeno y argón}

Público/Regulador

Servicio Electricidad Servicio de Gas Servicio Agua

Servicio Alcantarillado Alerta polución de aire Disturbios Civiles/Políticos Congestiones de tráfico

Derrame Mercancías Peligrosas

Desastre Natural

Fuego/Explosión Erupción Volcánica Terremoto

Caída de Ceniza Inundaciones RIESGOS INTERNOS Personal Disponibilidad Paros Epidemia

Tecnologías de la Información

Infraestructura

Sistema de Administración Bodega

Sistema de Administración Carga Sistema de Administración Transporte Email Otros Explosivos Hurto Oficinas Incendio Operativos

En la tabla 4, mediante el análisis FODA, se identificaron los aspectos internos y externos que son relevantes al propósito de la empresa, y que afectan su habilidad para alcanzar los resultados esperados en el SGCN.

Tabla 4. Aspectos internos y externos

Aspectos Internos Aspectos Externos  Clima Organizacional

 Errores causados por el hombre

 Falta de concientización a los trabajadores

 Incumplimientos con el programa de pruebas

 Incumplimientos con cuentas por pagar

 Inadecuada gestión de la

capacidad instalada de recursos tecnológicos y nos tecnológicos

 Trabajadores no calificados

 El incumplimiento de acuerdos de nivel de servicio por los proveedores

 Leyes y regulaciones

 Ataques cibernéticos

 Desastres naturales

 Vandalismo

 Robo

 Accidentes

 Falta de disponibilidad en la cadena de suministros.

 Falta de suministro

Luego de haber identificado los aspectos internos y externos se investigó las necesidades y expectativas de los stakeholders. Los resultados se incluyen en la Tabla 5.

Tabla 5. Entendimiento de las necesidades y expectativas de los stakeholders

Stakeholders Necesidades Expectativas

Directorio Continuidad de actividades de la

empresa

Leyes de la república del Ecuador

Cumplir eficazmente con el SGCN

Directorio

Ejecutivo Cumplir con los acuerdos establecidos

Leyes de la república de Ecuador

Cumplir con la alta

disponibilidad del servicio

Personas

Naturales Disponibilidad de los servicios y satisfacer sus necesidades Servicios ininterrumpidos confiables e Trabajadores Conocer los procedimientos que

permitan la continuidad del negocio y la confiabilidad de sus servicios

Continuo funcionamiento de sus actividades

Proveedores Eficacia y confiabilidad en los

servicios y productos Continuidad de negocio

Entidades gubernamenta

les y no

gubernamenta les

Cumplir con:

Leyes de la república del Ecuador Tratados internacionales en materia de derechos humanos.

Acuerdos estipulados

Cumplimiento con la alta disponibilidad del servicio.

16 3.2.2. CLÁUSULA 5.- LIDERAZGO Y COMPROMISO

Se definió el marco para establecer los objetivos de la política la cual se tuvo como resultado los siguientes objetivos:

 Implementar principios necesarios para continuar las operaciones bajo condiciones adversas y para cumplir con las obligaciones contractuales, legales o regulatorias aplicables.

 Llevar a cabo una prevención eficaz para garantizar que la empresa sea sólida y que pueda continuar sus operaciones a un nivel predefinido aceptable.

 Implementar actividades de SGCN basadas en una metodología y un enfoque estandarizado.

 Alinear los lineamientos corporativos de Metalconstrucciones Cía Ltda., para asegurar una colaboración e interacción adecuada con las otras unidades de negocios y proteger la cadena de suministro de la empresa.

 Asegurar de que Metalconstrucciones Cía. Ltda. siga siendo el empleador preferido, protegiendo la salud y la seguridad de los empleados en todo momento, especialmente en los momentos en que se interrumpa el negocio.

 Asegurar que las partes interesadas, especialmente los clientes, sigan confiando en la capacidad de Metalconstrucciones Cía. Ltda., de gestionar de manera eficaz una interrupción en el negocio y asegurar el regreso oportuno a la operación normal del negocio.

Del mismo modo se identificó los roles y responsabilidades que la alta gerencia y el equipo de gestión de incidentes, los mismo que darán seguimiento a la implementación del SGCN, lo cual dío como resultado la siguiente tabla 6.

Tabla 6. Roles y responsabilidades de la alta gerencia

Nivel Cuerpo de

gobernabilidad Roles

Empresa Gerente General,

Gerente de

ingeniería o

Coordinador del

SGCN

Comunicar la Política del SGCN

Implementar y desarrollar la planeación de la continuidad de los negocios (SGCN)

Mejorar y mantener el SGCN Nombrar al Coordinador de SGCN

Contar con el EGI (Equipo de Gestión de Incidentes)

dentro del SGCN ya que no se necesita conocer detalles como por ejemplo, la evaluación del riesgo o el análisis del impacto comercial, pero sí necesitan saber quién es responsable de SGCN y qué esperar de él (Kusotic, 2013).

3.2.3. CLÁUSULA 6.- PLANIFICACIÓN

Por medio de la aplicación de la metodología S.M.A.R.T se logró redactar los objetivos del SGCN, ya que son la expresión de la intención de la organización para tratar los riesgos identificados y/o para cumplir con los requisitos de las necesidades de la organización, debido a esto se tienen como resultado los siguiente objetivos que se encuentran en la Tabla 7, los mismo se serán evaluados durante determinado tiempo por la persona encargada de dar seguimiento al SGCN, ANEXO 4 (3).

Para definir buenos objetivos, el secreto radica en el establecimiento de objetivos que son fáciles de medir esto con la ayuda del concepto S.M.A.R.T.(Specific, Measurable, Achievable, Result, Time), esto quiere decir que los objetivos deben ser específicos, mensurables, alcanzables, pertinentes y basados en el tiempo (Kusotic, 2014).

Tabla 7. Objetivos de planificación del SGCN

1. Proporcionar un marco que garantice que la política del SGCN se implementa en todos los departamentos de Metalconstrucciones Cía. Ldta., en las operaciones realizadas y sus stakeholders.

2. Crear un programa de SGCN para apoyar y garantizar la capacidad de recuperación de las operaciones en condiciones adversas y restaurar / reanudar productos y servicios a nuestros clientes en un plazo de tiempo predeterminado y a un nivel aceptable.

3. Incluir la política de continuidad de negocio como una parte vital de las operaciones y los procesos diarios y la promoción de la excelencia operativa.

4. Establecer y mantener un equipo central de gestión controlada eficaz y profesional para coordinar las actividades, proporcionar una estructura global, garantizar la gobernabilidad y para alinear y armonizar los diferentes enfoques locales y de terminología.

5. Proporcionar apoyo y asesoramiento en asuntos relacionados al programa del SGCN para subcontratistas y socios comerciales.

3.2.4. CLÁUSULA 7.- APOYO

18 documentos, y finalmente como comunicar la integración de dicha documentación, los resultados se pueden observar en el ANEXO 4 (4).

3.2.5. CLÁUSULA 8.- OPERACIÓN

Con respecto a la cláusula de operación se desarrollaron las siguientes actividades:

3.2.5.1. Análisis de Impactos en el Negocio y Apreciación del Riesgo

Según la metodología utilizada de la norma ISO/IEC 31000:2009, el puntaje de riesgo y los resultados obtenidos en los riesgos internos, no se encuentra un alto riesgo de interrupción, pero si existe un riesgo medio como lo fueron el mantenimiento de equipos, servicio eléctrico, fuego, erupción volcánica, terremoto, caída de ceniza e inundaciones; con una puntuación de 5 donde la mayoría de las situaciones de riesgo son los desastres naturales; las demás situaciones son consideradas riesgos bajos con puntuaciones inferiores o iguales a 4 como se puede visualizar en la Tabla 8.

Tabla 8. Resultado riesgos externos

RIESGOS EXTERNOS

Situaciones Puntaje Riesgo Proveedores /Servicios

Materiales Críticos o suministros 4

Comunicación de voz 2

Comunicación de datos 2

Proveedores /Contratistas

Mantenimiento Equipos 5

Servicio de Gas oxígeno y argón 3

Público/Regulador

Servicio Electricidad 5

Servicio de Gas

Servicio Agua 3

Servicio Alcantarillado 2

Alerta polución de aire 3

Disturbios Civiles/Políticos 4

Congestiones de tráfico 3

Tabla 8. Resultado riesgos externos (continuación…)

Desastre Natural

Fuego/Explosión 5

Erupción Volcánica 5

Terremoto 5

Caída de Ceniza 5

Inundaciones 5

Otros

Epidemias 3

En la Tabla 9, se observa mediante los resultados del puntaje de riesgo que las situaciones de fuego, hurto de oficinas e incendios son considerados como riesgos medio, con una puntuación de 5 y las demás situaciones consideradas como riesgos bajos inferiores a 4.

Tabla 9. Resultado riesgos internos

RIESGOS INTERNOS

Situaciones Riesgos

Personal

Disponibilidad 4

Paros 4

Epidemia 3

Tecnologías de la Información

Infraestructura 4

Sistema de Administración Bodega 4

Sistema de Administración Carga 4

Sistema de Administración

Transporte 4

Email 4

Inserte Otros

Explosivos 5

Hurto Oficinas 5

Incendio 5

Operativos

Secuestro de la carga 4

Robo de la carga, equipos y

herramientas de trabajo 4

Retraso de llegada de la carga 4

Pérdida de documentos de la carga 4

20 ningún riesgo alto; para riesgos medios, se requieren estrategias de mitigación y planes de contingencia dentro de 3-6 meses., y finalmente para riesgos bajos, se puede decidir implementar estrategias de mitigación de riesgos y/o planes de contingencia a su discreción (Purdy, 2010).

En la hoja de análisis de riesgo que se encuentra en el ANEXO 4 (5), se puede visualizar como se estableció el nivel de riesgo a las operaciones de potenciales exposiciones.

3.2.5.2. Estrategias de Mitigación

De acuerdo a los resultados obtenidos en el análisis de impactos y riesgos, se elaboraron tres estrategias que ayudaron con la mitigación de riesgos y a establecer unos buenos requerimientos de planificación.

En la primera estrategia de mitigación de riesgos de proveedores que se encuentra documentado en el ANEXO 4 (6), se realizó una evaluación de los servicios suministrados externamente, y el material identificado como riesgo alto o medio para la empresa, donde se verificó la existencia de los correspondientes planes de continuidad o de contingencia para el negocio que provee las operaciones con estos servicios, los resultados se incluyen en la siguiente Tabla 10.

Tabla 10. Estrategias de mitigación de riesgos internos y externos

Mitigación de Riesgos Internos y Externos

Situaciones

Externas Estado Propietario Proveedor Contractual Lenguaje

Plan de continuidad de Negocio Aceptable

Requiere Mitigación

Mantenimiento de

Equipos X SSO Cecuamaq No No SI

Servicio

Electricidad X SSO Empresa Electrica de Quito No N/A SI

Fuego/Explosión X SSO Cuerpo de Bomberos N/A N/A SI

Terremoto X SSO Gestión de Riesgos, INAMI, Instituto

Geofísico N/A N/A SI

Caída de ceniza X SSO Gestión de Riesgos, INAMI, Instituto

Geofísico N/A N/A SI

Inundaciones X SSO Gestión de Riesgos, INAMI, Instituto

Tabla 10. Estrategias de mitigación de riesgos internos y externos (continuación…)

Situaciones

Internas Estado Propietario Proveedor Contractual Lenguaje

Plan de continuidad de Negocio Aceptable Requiere Mitigación

Explosivos X Seguridad _Física Sefiem No No Si

Hurto Oficinas X Seguridad _Física Sefiem No No Si

Incendios X SSO Cuerpo de Bomberos N/A No Si

En la segunda estrategia de mitigación de riesgos para programas críticos en el sitio ANEXO 4 (7). Se analizó e identifico los ítems de acción para cada programa crítico que podría causar una interrupción del negocio de no ser tomados en cuenta en el SGCN, estos fueron: la contratación de proveedores, selección de proveedores, garantías de calidad, programas mensuales de mantenimiento, emergencia media y políticas de control de cambios en los sistemas de información como se muestra en la Tabla 11.

Tabla 11. Estrategias de mitigación de riesgos en programas críticos en el sitio

Mitigación de Riesgos en Programas Críticos en el Sitio

Programa crítico Propietario _{de continuidad de negocio} Exposición a los Planes

Contratación de proveedores (cumplimientos de requisitos de ISO 9001)

Asistente de

Gerencia No

Selección de proveedores

(cumplimientos de requisitos ISO 9001) Asistente de Gerencia No

Garantía de calidad ISO 9001 HSEQ NO

Programas mensuales de

mantenimiento Jefe de bodega SI

Protección contra incendios SSO SI

Plan de respuesta a emergencias en el

sitio SSO SI

Procedimiento de evacuación SSO SI

Emergencia médica SSO SI

Seguridad de la empresa SSO SI

Prevención de pérdidas SSO SI

Sistemas IT Gerente de _Ingeniería SI

Política de control de cambios y/o

22 Finalmente se realizó la estrategia de mitigación de riesgos para la recuperación de desastres, donde cada equipo de gestión del lugar de operación, trabajó con el representante de IT para identificar qué aplicaciones y sistemas remotos y locales al sitio se utilizan para respaldar la operación. Una vez identificados estas aplicaciones y sistemas, se ingresó la información a la correspondiente de la hoja de trabajo de requerimientos de recuperación de desastres ANEXO 4(8), para obtener como resultado que el objetivo de punto de recuperación (OPR) servicios de archivos locales se demora un aproximado de 72 horas, mientras que los sistemas de gestión de almacenamiento, carga, transporte, los sistemas de gestión integral, y las redes de telecomunicación cuentan con un punto de recuperación aproximado de 28hs, como se muestra en la siguiente Tabla 12.

Tabla 12. Estrategias de mitigación de riesgos para la recuperación de desastres

Mitigación de Riesgos Para Requerimientos de Recuperación de Desastres

Exposiciones OTR (Objetivo de tiempo de recuperación)

Frecuencia de copia de seguridad

OPR (Objetivo de punto de

recuperación) Aceptable

Sistema de gestión de

almacenamiento 4 horas 24 horas 28 horas SI

Sistema de gestión

de carga 4 horas 24 horas 28 horas SI

Sistema de gestión

de transporte 4 horas 24 horas 28 horas SI

Sistema de gestión

integral 4 horas 24 horas 28 horas SI

Redes de

Telecomunicación 4 horas 24 horas 28 horas SI

Servidores de

archivos locales 48 horas 24 horas 72 horas SI

Según la Purdy (2010), cita que la organización puede tolerar la falta de funciones y caída de servicios, dependiendo de la criticidad de las operaciones que la empresa pueda soportar.

3.2.5.3. Documentar y Aprobar los Planes de Continuidad de Negocio

Cada plan de continuidad de negocio en los lugares de operaciones comprende 3 fases:

 Plan de Gestión de Crisis (Fase de Respuesta)

 Plan de Reanudación del Negocio (Fase de Reanudación)

 Plan de Recuperación del Negocio (Fase de Recuperación)

Cada una de estas fases contiene un detallado plan que documenta las acciones que se deben realizar cuándo, y por quién, además de listas de los materiales y recursos requeridos para llevar a cabo cada tarea (Gallagher, 2003).

3.2.5.4. Plan de Gestión de Crisis

El plan de gestión de crisis, proporcionó al equipo de gestión en el sitio tareas claras y entendibles que se deben realizar en el evento de un trastorno al negocio ANEXO 4 (9). En la Tabla 13, se demuestra los resultados del desarrollo del plan de gestión de crisis para el lugar de operaciones el cual se obtuvo los siguientes resultados.

Tabla 13. Resultados Plan de Gestión de Crisis

ítems Resultados

Descripción del plan Detalló una descripción de alto nivel de lo que el Plan _{de Gestión debe hacer}

Información de EGI (Equipo de

Gestión de Incidentes) Contiene información de contacto para miembros del Equipo de Gestión de Incidentes

Información de Lugar de

Operación Se documentó información sobre las instalaciones que comprenden su lugar de operación

Información de Contacto de Empleados

Se contó con información de contactos, precisa y actualizada sobre cada empleado que trabaje en el lugar

Información de Contactos de Clientes

El plan contiene información de contactos actualizada y precisa para los clientes. Además, es importante entender qué servicios se está prestando, de haberlos, qué sanciones por incumplimiento podrían estar involucradas.

Información de Sitio de Recuperación

lugar alternativo que se ha preparado o que pondrá a la disposición mediante un previo acuerdo, para poder usarlo como centro de mando o lugar de operación alternativo en el evento de una crisis declarada

Criterios de Activación Se encargó a una persona del EGI para que autorice _{la activación de los planes}

24 Tabla 13. Resultados Plan de Gestión de Crisis (continuación)

Información de Contacto de Distribuidores Críticos

Para adquirir los materiales y equipos necesarios para llevar a cabo actividades de reanudación y recuperación se requirió información precisa de contactos de los distribuidores

Recursos Requeridos en el Tiempo

Se planificó la llegada de recursos de respuesta al área afectada y al centro de mando

3.2.5.5. Plan de Reanudación del Negocio

Se diseñó el plan de reanudación del negocio para mantener en funcionamiento las operaciones en caso de una interrupción, la cual se puso mayor enfoque en las funciones “Críticas” necesarias para cumplir los requerimientos mínimos del cliente ANEXO 4 (10), los resultados fueron:

 La descripción del plan.

 El desarrollo de un equipo para cada función critica, requerida para la reanudación de las operaciones.

 Se realizó una lista de tareas que identifica los deberes del equipo para reanudar el negocio.

 Se identificó los recursos requeridos en el tiempo de la reanudación del negocio.

3.2.5.6. Plan de Recuperación del Negocio

En el plan de recuperación del negocio, se describió las actividades y materiales requeridos para recuperar las operaciones luego de una interrupción. Del mismo modo se procedió a describir el plan, donde al igual que el plan de reanudación, se desarrolló un equipo para cada función, se realizó una lista de tareas donde se describen los deberes del equipo, y se identificó los recursos requeridos. Todo esto enfocado a un tiempo estimado como se puede observar los resultados en el ANEXO 4 (11).

3.2.6. CLÁUSULA 9.- EVALUACIÓN DEL RENDIMIENTO

y efectividad, incluyendo la operación efectiva de los procedimientos y capacidades de continuidad, por lo cual dio como resultado la lista maestra de documentos ANEXO 5 donde se identifica todos los documentos desarrollados para el SGCN.

3.2.7. CLÁUSULA 10.- MEJORA

Con respecto a las mejoras se tiene como resultado el procedimiento para tomar acciones correctivas y preventivas la misma que se incluyó en el ANEXO 4 (12) y se lo registró en lista maestra del ANEXO 5. La cual servirá para identificar las no conformidades al momento de evaluar el rendimiento del SGCN; y poder aplicar todas las acciones correctivas y preventivas para poder realizar cambios y mejoras en el SGCN.

EVALUACIÓN DEL SGCN EN LA EMPRESA

METALCONSTRUCCIONES CÍA. LTDA.

Finalmente después de haber realizado el desarrollado del SGCN. Se procedió a realizar una nueva evaluación ANEXO 6, dando como resultados el cumplimiento en porcentajes de la norma ISO 22301 en la siguiente Tabla 14.

Tabla 14. Resultados Evaluación después del desarrollo del SGCN

Metalconstrucciones Cía. Ltda.

Requisito Capitulo _Requisitos N° _Máximo Puntaje _Obtenido Puntaje Cumplimiento _%

4. CONTEXTO DE LA

ORGANIZACIÓN 4 7 14 14 100,0%

5. LIDERAZGO 5 6 12 11 91,7%

6. PLANIFICACIÓN 6 11 22 18 81,8%

7. APOYO 7 11 22 18 81,8%

8. OPERACIÓN 8 42 84 73 86,9%

9. EVALUACIÓN DEL

RENDIMIENTO 9 4 8 5 62,5%

10. MEJORA 10 1 2 1 50,0%

82 164 140 85,4%

26 22301; 2012 para contar con un SGCN eficiente (NTE INEN-ISO 22301, 2016).

Finalmente en Figura 2 se puede observar que el porcentaje de cumplimiento se incrementó en comparación al estado inicial del estudio dando como resultado un 85.4 % de cumplimiento con la norma y un 14.6 % de no cumplimiento esto quiere decir que la empresa cuenta con los estándares de un SGCN, y así puede iniciar un proceso de certificación bajo la Norma ISO 22301:2012 (PECB & Faton, 2014).

Figura 2. Porcentaje de cumplimiento bajo la norma ISO 22301 85%

15%

Porcentaje de conformidad bajo la norma ISO 22301:2012

% Cumplimiento

% No

27

4. CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

 De acuerdo al diagnóstico realizado con la metodología aplicada según la norma INEN-ISO 22301:2012, la obtuvo como resultado un 13.4 % de cumplimiento con la norma. Se identificaron los requisitos que se deben cumplir para contar con dicho sistema de gestión los cuales sirvieron de base para llegar a implementar un sistema de gestión de continuidad de negocio; para asegurar su idoneidad, adecuación y efectividad a la empresa Metalconstrucciones Cía Ltda.

 Con el desarrollo del SGCN y la metodología implementada en especial la del método PHVA, se logró alcanzar un porcentaje de 85,7 % de cumplimiento de requisitos. El cual es aceptable para iniciar un proceso de certificación bajo la norma ISO 22301:2012.

 De acuerdo a la evaluación de riesgos se pudo observar que la mayoría de los riesgos que pueden afectar la interrupción del negocio son los desastres naturales, debido que hasta la actualidad no ha habido forma de controlarlos.

 Al igual que todas las grandes empresas dentro de una organización, es esencial obtener el respaldo y el patrocinio de la gestión ejecutiva. De allí que la mejor manera de lograr esto, en lugar de resaltar los aspectos negativos de no tener una gestión de la continuidad del negocio, es ilustrar las ventajas positivas de tener un proceso de gestión de la continuidad del negocio efectivo en el lugar de trabajo.

 Hoy en día la buena gestión de la continuidad de los negocios no se trata de obligar a tomar medidas para hacer frente a las presiones externas. Se trata de reconocer el valor positivo de la buena práctica de la continuidad del negocio que está incorporada en toda la organización.

 Los planes de continuidad de negocio fueron fundamentales para el funcionamiento continuo de la empresa ya que asumen la mayor importancia para mantener las operaciones funcionando normalmente.

RECOMENDACIONES

 Se recomienda realizar una auditoría de segunda parte con la ayuda de una empresa certificadora, con el fin de cumplir con los requisitos de la cláusula 9 y 10 de la norma ISO 22301:2012 para brindar un sistema de gestión de continuidad de negocio eficaz.

 Se debe complementar este estudio con un nuevo proyecto en donde se busque la manera de incorporar manuales de mejores prácticas de continuidad de negocio y guías para contar con planes de continuidad de negocio más eficientes.

 Se debe realizar ensayos, pruebas o simulacros en distintos escenarios por lo menos una vez al año para determinar el grado de efectividad del sistema de continuidad de negocia y la mejora continua.

 Se debe proporcionar una aplicación o enlaces visibles y de fácil ubicación para que no solamente el equipo de gestión de incidentes tenga acceso a la documentación del sistema de gestión sino también todo el personal que labora en la empresa.

 Con los resultados obtenidos en la evaluación se debe planificar la certificación de dicha norma debido a que los niveles de cumplimiento obtenidos estimulan a contar con dicha certificación.

BIBLIOGRAFÍA

Alexander, A. (2012). Nuevo Estándar Internacional en Continuidad del Negocio ISO 22301: 2012. Gestión.

Bci.org. (2013). The Good Practice Guidelines. Recuperado 9 de junio de 2017, a partir de http://www.thebci.org/index.php/resources/the-good-practice-guidelines

Canchari, S. (2014). Análisis y diseño de un sistema de gestión de continuidad de negocio en caso de ocurrencia de sismos para una empresa aseguradora local basado en la ISO/IECD 22301: 2012.

Recuperado a partir de

http://tesis.pucp.edu.pe:8080/repositorio/handle/123456789/5400 Cueva, M. F. (2015). Diseño de un sistema de gestión de continuidad de

negocios para una entidad estatal de salud bajo la óptica de la

ISO/IEC 22301: 2012. Recuperado a partir de

http://tesis.pucp.edu.pe/repositorio/handle/123456789/6038

Delgado, K. (2015). DISEÑO Y PROPUESTA DE UNA METODOLOGÍA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO, BASADO EN LA NORMA ISO/IEC 22301: 2012.

Flores, J. (2015). BUSINESS CONTINUITY AND DISASTER

MANAGEMENT. Recuperado a partir de

http://ieeexplore.ieee.org/iel7/2943/6937071/07134711.pdf

Gallagher, M. (2003). Business continuity management: How to protect your

company from danger. Prentice Hall. Recuperado a partir de

http://pqm-online.com/assets/files/lib/books/gallagher.pdf

Herrera Garibay, A., de Wit, P., Eleazar, L., Jordan Bucheli, F., Norfolk, S., Sanchez Mena, R., … others. (2010). On solid ground: Addressing land tenure issues following natural disasters. Ecuador. Recuperado a partir de http://www.fao.org/docrep/013/i1255b/i1255b00.htm

INEN-ISO 31000. (2009). NORMA-ISO-31000-2009.pdf. Recuperado 3 de

agosto de 2017, a partir de

https://es.scribd.com/document/352698067/NORMA-ISO-31000-2009-pdf

Intedya,s.f. (2016). ISO 22301, Continuidad de Negocio. Recuperado a partir

de http://www.intedya.com/internacional/85/consultoria-continuidad-de-negocio-iso-22301.html

30 Jimenez, D. (2012). SIPOC – Un diagrama de lo más útil para mapeo de

procesos. Recuperado 2 de agosto de 2017, a partir de http://www.pymesycalidad20.com/sipoc-un-diagrama-de-lo-mas-util-para-mapeo-de-procesos.html

Junttila, J., & others. (2014). A Business continuity management maturity model: the search for an ISO 22301 Compliant BCM Maturity model. Recuperado a partir de http://www.doria.fi/handle/10024/98910

Kosutic, Dejan. (2013, junio 4). Business continuity policy – The purpose according to ISO 22301. Recuperado 13 de junio de 2017, a partir de https://advisera.com/27001academy/blog/2013/06/04/the-purpose-of-business-continuity-policy-according-to-iso-22301/

Kosutic, Dejan. (2014, febrero 17). How to set ISO 22301 Business Continuity Objectives. Recuperado 13 de junio de 2017, a partir de https://advisera.com/27001academy/blog/2014/02/17/setting-the-business-continuity-objectives-in-iso-22301/

López, P. G., & Sánchez, A. M. M. (2015). Cómo garantizar la continuidad del negocio. AENOR: Revista de la normalización y la certificación,

(302), 38–41.

McManus, Derek. (2013). BSI Case Study Telefónica UK Limited.

Recuperado 8 de junio de 2017, a partir de

http://www.bcifiles.com/BSI-ISO-22301-case-study-O2-Telefonica-UK-Limited-EN-UK.pdf

MacLennan, A. (2014). Information Governance and Assurance: Reducing risk, promoting policy. Facet Publishing.

Nickel, D. (2016). Management System Certification case studies | BSI America. Recuperado 8 de junio de 2017, a partir de https://www.bsigroup.com/en-US/Our-services/Management-system-certification/Client-case-studies/

NTE INEN-ISO 22301. (2016). Protección y seguridad de la ciudadania - Sistema de Gestión de la Continuidad del Negocio (SGCN) - requisitos (ISO 22301:2012,DT).

PECB, R. S.-G., & Faton ALIU, E. L. (2014). ISO 22301 Societal Security Business Continuity Management Systems. PECB. Recuperado a

partir de https://pecb.com/whitepaper/iso-22301-societal-security-business-continuity-management-systems

Purdy, G. (2010). ISO 31000: 2009—setting a new standard for risk management. Risk analysis, 30(6), 881–886.

Raya, M. J. (2016). ISO 22301:?` Qué pasaría si sus principales procesos sufrieran una parada de su actividad? Recuperado a partir de https://www.isotools.org/2016/04/13/iso-22301-parada-de-principales-procesos-de-actividad/

http://www.iso.org/cms/render/live/en/sites/isoorg/contents/news/2012/ 06/Ref1602.html

Zamora, M. A. (2016). Desarrollo de un marco metodológico orientado a la gestión de continuidad del negocio utilizando el modelo de referencia Cobit 5.0, relacionado al procesamiento y administración de los datos

en la nube caso de estudio: Instituto Metropolitano de Diseño. Quito:

33

ANEXO 2. FASES CLAVES PARA IMPLEMENTAR UN

SGCN CON LA METODOLOGÍA PHVA

1. Planificar 2. Hacer 3. Verificar 4. Actuar

1.1 Iniciar el SGCN 2.1 La Estrategia de Continuidad de Negocio

3.1 Monitoreo, Medición, Análisis y Evaluación

4.1 Tratamiento de no conformidades

1.2 Entender la organización 2.2 Estructura Organizacional 3.2 Audtoría Interna 4.2 Mejora continua

1.3 Analizar el sistema existente 2.3 La Gestión Documental 3.3 Revisión de la gestión 1.4 El liderazgo y la

aprobación del proyecto

2.4 Medidas de protección y mitigación

1.5 El Alcance 2.5 Continuidad del Negocio y Procedimientos 1.6 La Política de Continuidad

de Negocio 2.6 Comunicación

1.7 Análisis de Impacto del

Negocio 2.7 Formación, sensibilización 1.8 Evaluación de riesgos

2.8 Ejercicio y Pruebas