Necesidades de continuidad de negocio en Costa Rica

Karol Cordero

Al identificar la falta de personal experto y destreza en continuidad de negocios, PwC Costa Rica identificó la solución.

En Costa Rica, tanto las instituciones y empresas de gobierno, como la empresa privada, han evolucionado continuamente en su interés y sus inversiones relacionadas con la gestión de continuidad de negocio en sus organizaciones.

En el año 2007, la Contraloría General de la República, aprobó y publicó las Normas Técnicas para la gestión y el control de las Tecnologías de Información, las cuales se les aplica a todos los entes públicos y por lo tanto, a partir de su vigencia, las instituciones de gobierno inician la formulación de proyectos en función de su cumplimiento. Dicha normativa, en el punto 1.4.7 continuidad de los servicios de TI, establece que “La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad.”.

A raíz de lo anterior, debido a la falta de personal experto en la materia de continuidad de negocio y de la experiencia requerida con el fin de implementar las tareas necesarias para dar cumplimiento a la normativa, se hizo necesaria la búsqueda de empresas con el conocimiento y la destreza para ofrecer servicios de consultoría a las instituciones de gobierno, en función de colaborarles con la implementación de su gestión de la continuidad del negocio y en caso específico, de los servicios de TI.

PwC Costa Rica creó la respuesta

Fue así como PwC Costa Rica comenzó a capacitar a su personal en la continuidad del negocio y a apoyar a las organizaciones. Debido a que el nivel de madurez era prácticamente nulo, se dio inicio con el logro primeramente del entendimiento de la organización, realizando en las empresas análisis de impacto en el negocio (BIA) y análisis de riesgos de continuidad (RA), amparados en las mejores prácticas de BS 25999 y del DRII (Disaster Recovery Institute International).

Poco a poco, la empresa privada comenzó a tener también la necesidad de contar con planes que respalden la continuidad de sus operaciones y una factible recuperación en caso de sus interrupciones. En el sector privado, más que una necesidad de cumplimiento regulatorio, el interés nació debido a que el contar con un BCP (plan de continuidad de negocios) y/o un DRP (plan de recuperación de desastre) les significa una ventaja competitiva, un seguro a su reputación e imagen y una protección para sus activos. De igual modo, en este sector también se inició con el desarrollo de proyectos cuyo alcance consistía en la elaboración de BIAs y RAs, dada la falta de madurez en la materia.

Análisis y resultados

Mediante el desarrollo de los análisis de impacto en el negocio en los principales bancos e instituciones financieras del área, pequeñas, medianas y grandes empresas, y entidades de gobierno en general, hemos encontrado que se repite el patrón 80:20 en los resultados, donde solamente el 20% de las funciones de las organizaciones resultan críticas para el negocio (véase Gráfico 1 Porcentaje de funciones críticas).

Cordero 1

La definición del foco de concentración en este 20% de funciones permite la realización de RAs más dirigidos a lo que es realmente crítico en la organización, y el realizar el BIA antes que el RA, ha facilitado lo antes dicho, así como la organización y gestión de recursos durante el análisis de riesgos.

Durante la realización de los proyectos de BIA y RA, se ha buscado siempre participar al personal clave en la ejecución, de manera que se permita una transferencia de conocimiento con dos enfoques: el primero de ellos dirigido al personal encargado de dar gestión a la continuidad de negocio en la organización, donde mediante la técnica de “aprender haciendo” se procura compartir el conocimiento como expertos para que la organización pueda de manera independiente continuar con la administración de los resultados obtenidos con nuestro acompañamiento. El otro enfoque es dirigido al personal del negocio, dueños de los procesos y funciones críticas, de modo que se busca crear una cultura de la continuidad del negocio, procurando así fomentar la importancia de la inversión de tiempo, recurso humano, financiero y otros a la gestión adecuada de la continuidad, como parte de los objetivos estratégicos de la organización.

Para la industria en Costa Rica, de cara a establecer la continuidad de las operaciones en las organizaciones, el contar con personal certificado como CBCP y como Auditores Líderes BS 25999, especialistas en continuidad de negocio y recuperación ante desastres ha sido clave, y ha facilitado enormemente la labor realizada en estos proyectos.

La educación de continuidad de negocio

De lo anterior surge el hecho de que en Costa Rica se ofrezcan, en conjunto con BSI, cursos de continuidad de negocio, como el de auditor líder BS25999 (actualmente ISO 22301) o cursos enfocados en BS 25777 (actualmente ISO 27031), con lecciones presenciales con profesionales del más alto nivel, que permiten el aprendizaje de la comunidad y la industria, junto con la obtención de tan reconocidas certificaciones.

Cordero 2

Después de varios años recorridos en las diversas industrias fomentando la cultura de continuidad de negocio y su importancia, las organizaciones en Costa Rica ya han concretado el desarrollo de planes de comunicaciones, de gestión de crisis y de emergencias; como parte primordial de su sistema de gestión de continuidad de negocio. Desde la perspectiva de las áreas de TI, el desarrollo de estrategias de recuperación y su implementación también ha sido parte de los avances, así como el desarrollo de planes de recuperación ante desastres, alineados a lo dictado por el negocio a partir de los resultados de un BIA y un RA, fomentando siempre la importancia de la participación y patrocinio de la administración superior.

La industria cuenta con una metodología probada de nivel mundial, apoyada en herramientas que realmente generan valor en las organizaciones, y permiten no solo el desarrollo correcto de planes de continuidad de negocio, sino también la realización de las pruebas y ejercicios necesarios, el establecimiento de procedimientos y política de continuidad de negocio, haciendo más fácil su gobierno e introducción formal en las organizaciones, así como el aprendizaje requerido para lograr un mantenimiento y mejora continua de los resultados logrados.

Seminario Internacional de Continuidad de Negocio

El pasado mayo de 2012 se ofreció en Costa Rica el primer Seminario Internacional de Continuidad de Negocio, donde la industria compartió con expositores como Alan Berman, Jorge Escalera, Ellie Borges, Arturo Rebolledo y otros profesionales de continuidad de negocio del más alto nivel, compartiendo experiencias de los Estados Unidos, México, Brasil, Chile y por supuesto Costa Rica.

En dicho seminario se recibieron aproximadamente a 80 participantes de todo tipo de industrias: financiera, petroleras, productoras de comestibles, municipalidades, productoras de café, telecomunicaciones, entre otras, tanto del sector privado como de gobierno y no solo de Costa Rica, sino también de Venezuela, República Dominicana y Guatemala, lo que logró espacios de participación sumamente enriquecedores y pudimos compartir necesidades, experiencias y lecciones aprendidas desde muchas perspectivas.

Al finalizar el seminario, los participantes llenaron una encuesta que arrojó datos interesantes como lo son que solamente el 62% de quienes respondieron están interesados en desarrollar un BCP, lo que puede representar que casi la mitad ya cuentan con un BCP en su organización, mientras que un 81% aún tienen interés en el desarrollo de un DRP, lo que refleja que los cambios en tecnología siguen teniendo un alto impacto en las organizaciones. Lo que resulta más interesante es que la mayor cantidad de encuestados muestran interés en el aprendizaje de la gestión de continuidad, un 96% mediante capacitaciones y un 100% con interés en seminarios tal como el realizado (véase Gráfico 2).

Los pasos a futuro son compartir toda esta experiencia y conocimiento con el resto de la región, desarrollando la continuidad de negocio en países como Panamá y República Dominicana. Para esto se está organizando por PwC un taller de Continuidad de Negocio en Panamá para finales de enero del 2013.

Actualmente, en función de continuar brindando a nuestros clientes la oportunidad de aprendizaje en pro de la mejora continua de la gestión de la continuidad y tomando en consideración los resultados mencionados, PwC Costa Rica se ha unido al DRII para brindar el curso BCLE 2000 en Costa Rica, proponiéndonos como pasos siguientes el poner al alcance de los costarricenses y la región centroamericana la oportunidad de certificarse como CBCP a más bajos costos, sin necesidad de trasladarse fuera de la región. Es así como PwC representa ahora a DRII en Costa Rica.


Karol Cordero es consultora sénior de la práctica Gobierno, Riesgo y Cumplimiento (GRC) de PwC Costa Rica. Posee amplia experiencia en continuidad de negocio y seguridad de la información en el sector financiero, gobierno y empresa privada, destaca por sus conocimientos en administración de proyectos alineados con requerimientos regulatorios y mejores prácticas. Es graduada de computación e informática de la Universidad de Costa Rica y posee una maestría en ingeniería de tecnologías de información con mención en administración de proyectos.

Es certificada Auditor Líder BS25999 y Auditor Líder ISO 27001 por el BSI, CBCP por el DRII, CobiT, ITIL, CISM por ISACA y PMP por el PMI. Cordero es especialista en realización de análisis de impacto al negocio, análisis de riesgos de continuidad, desarrollo de estrategias y documentación de planes de BCM. Coordinadora del Seminario Internacional de Continuidad de Negocio de PwC Costa Rica y posee experiencia brindando capacitaciones de BCM en todos los niveles organizacionales. Comuníquese con ella en Karol.cordero@cr.pwc.co.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s