¿Qué te piden los reguladores en cuanto a BCM se refiere? – Parte I

Desmenuzando la circular única

Saber exactamente que te pide un regulador no es tarea Fácil, muchas veces el resultado del pase de una auditoria está sujeto a la interpretación de regulaciones, leyes, normas y decretos, dejando a los responsables en Continuidad de Negocio con bastante incertidumbre sobre cuando ha cumplido con los requisitos y si lo que género como evidencia es suficiente para cualquier auditor que llegue a solicitar evidencias de la continuidad.

Es por eso, que en lo consecuente abordaremos la “Circular Única”, analizando cada uno de los requerimientos.

El BIA

La CU, dicta que, “Las Instituciones, previo al desarrollo del Plan de Continuidad de Negocio deberán llevar a cabo un análisis de impacto al negocio que:”

Esta primera línea establece que para desarrollar el BCP requerimos realizar un BIA y un RA, caso contrario, si presentas un BCP sin el sustento de un BIA, es muy probable que te marquen una observación o incumplimiento por falta de información.

A) Identifique los procesos críticos que se consideran indispensables para la continuidad de las operaciones. “

El BIA debe tener una metodología que te permita mostrar como realizaste la elección de los procesos críticos, no es válido únicamente colocar el listado de procesos críticos, sin ningún criterio.

B) “Determine los recursos (humanos, logísticos, materiales, de infraestructura tecnológica y de cualquier otra naturaleza) mínimos necesarios para mantener y restablecer los servicios y procesos de la Institución ante la ocurrencia de una Contingencia Operativa, así como al término de ésta. “

El resultado del BIA deberá contener en su totalidad todos los recursos establecidos, desde el momento en que se detona la contingencia hasta el momento en que se declara el final y el “regreso a casa”, esta última parte es importante puesto que la mayoría de las organizaciones únicamente planean para la detonación de las contingencias, dejando fuera el momento de regresar los datos a producción.

C) “Elabore escenarios relevantes relativos a la verificación de posibles Contingencias Operativas, tales como:”

Es bien sabido que se piden 9 escenarios de Contingencias Operativa, pero no es limitativo, y tampoco existe una prohibición para agrupar estos escenarios, siempre y cuando cada una de las estrategias que implementes resuelva cada escenario.

D) “Estime los impactos cuantitativos y cualitativos de las Contingencias Operativas, con base en los escenarios definidos para cada proceso crítico y a través de las metodologías aprobadas al efecto por el Comité de Riesgos.”

En la mayoría de los casos la estimación del riesgo cuantitativa se resume a colocar porcentajes de perdida, esto no es aceptable desde el punto de vista “cuantitativo”, en el que es necesario identificar cantidades de perdida exactas, existen muchas técnicas que se proporcionan el los procedimientos de operación de las instituciones que se pueden emplear para calcular estos montos, y se debe tener en cuenta que no todas las áreas de la organización están sujetas a presentar estas cantidades, únicamente las que declaren tener impactos financieros.

E) “Defina la prioridad de recuperación para cada uno de los procesos identificados como críticos.”

La metodología que se elija para realizar el BIA debe proporcionarnos un criterio para la identificación de la prioridad de recuperación, no es válido decidir arbitrariamente como se recuperaran los sistemas y los procesos de negocio.

F) “Determine el tiempo objetivo de recuperación (conocido como RTO, por sus siglas en inglés), para cada uno de los procesos críticos.”

Todo BIA debe indicar sin ambigüedad el Tiempo de recuperación objetivo, así como criterios que indiquen como se obtiene este tiempo.

G) “Establezca, en su caso, el punto objetivo de recuperación (conocido como RPO, por sus siglas en inglés) entendido como la máxima pérdida de datos tolerable para cada uno de los procesos críticos.”

Si bien la metodología se puede aplicar para calcular este tiempo, siempre es mejor preguntar directamente al negocio sobre la necesidad de la cantidad y calidad de la información que se requiere para continuar con su actividad de negocio, es importante recordar que el RTO y el RPO son parámetros distintos y no es válido colocar el mismo resultado para ambos.

El RA

A) “Identifique y evalúe los riesgos relacionados con los procesos operativos y servicios de procesamiento y transmisión de datos contratados con proveedores, así como los relacionados con custodia y resguardo de información de la Institución o de sus clientes.”

En esta línea indica que se debe generar un Análisis de Riesgos que incluya todo lo relacionado a la materialización de un incidente que interrumpa cualquiera de los procesos de negocio, incluyendo a tus proveedores por lo tanto es adecuado solicitar planes de continuidad de entrega de servicios y resguardar una copia como evidencia. Así como asegurarte de la disponibilidad de la información en caso de que un tercero sea el encargado de resguardarla, para el caso de organizaciones que tercerizan el procesamiento de datos deben asegurarse de contar con evidencia escrita de los SLA´s comprometidos con los servicios contratados.

B) “Determine los riesgos derivados de la ubicación geográfica de los centros principales de procesamiento de datos y de operación de los procesos identificados como críticos, para evitar que los centros de procesamiento de datos y de operación alternos estén expuestos a los mismos riesgos que los principales”.

En esta sección se establece que se debe generar un análisis de riesgo de las oficinas principales vs el análisis de riesgos del sitio alterno de trabajo y en el cual debe ser claro que no se comparten los mismos riesgos de ubicación, esto es que las oficinas principales y las alternas no se encuentren en el mismo lugar, derivado de la pandemia y de la operación en casa se debe mencionar que así como se tiene un análisis de riesgos de las oficinas centrales se deben realizar análisis de riesgos de las ubicaciones en Home Office al menos de los colaboradores críticos, y así de la misma forma evidenciar si se tienen los mismos riesgos geográficos de ubicación.

Aún falta realizar un análisis de la segunda parte de la circular única, que se refiere a las estrategias de Continuidad de Negocio y con esto retomar que como documentos mandatorios por la Circular Única solo tendremos, BIA, RA y estrategias de continuidad, incluidas las tecnologías de la información o lo que coloquialmente conocemos como DRP, cualquier otro documento que se llegue a solicitar por parte de un regulador tendrá fundamento en la falta de información que se presente o en sustento a otra regulación aplicable.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *