Add to collection(s) Add to saved
  1. No category
Uploaded by Eduardo Alarcón Leal

ProcesosContinuidadNegociosEduardoAlarcon

advertisement 
Trabajo de Investigación: Procesos de
Continuidad del Negocio.
Estudiante: Eduardo Alarcón.
Profesor: Segundo Galdamez.
1. Introducción.
El presente trabajo tiene como objetivo analizar de manera general entidades empresariales reales a
la luz de la implementación de un SGCN (Sistema de Gestión de Continuidad de Negocios) basado,
en este caso, en los estándares ISO 22301:2019 (Sistema de Gestión de Continuidad de Negocios y
Requisitos) e ISO/IEC 27031 (Directrices para la Adecuación de Tecnologías de Comunicación e
Información para la Continuidad del Negocio).
Lo anterior con el fin de poder, desde el ámbito particular de la ciberseguridad, estar en condiciones
de ofrecer a distintos entornos organizacionales una alternativa de planificación que permita
garantizar la resiliencia de sus operaciones principales.
Las externalidades positivas de la implementación de un SGCN son, entre otras, (i) la resiliencia
visible, es decir, se prueba a las partes interesadas que existen mecanismos de contingencia ante
disrupciones; (ii) confianza en la estabilidad de la organización, (iii) ventaja competitiva tanto
operacional como en términos de imagen corporativa; (iv) complemento al estándar ISO/IEC
27001:2013 anexo 17 (aspectos de seguridad de la información en la gestión de continuidad del
negocio y redundancias), en el sentido de garantizar la continuidad en aspectos fuera de la función
de TI y (v) protección de los activos y valores organizacionales concretos.
Este sistema de gestión contenido en la norma ISO 22301 aplica un modelo PHVA (Planificar-HacerVerificar-Actuar) que se complementa con los principios de (i) responsabilidad, (ii) objetivos claros,
(iii) impacto y evaluación de riesgos, (iv) comunicación a partes interesadas y (v) pruebas periódicas.
Así, se describe un ciclo que produce un feedback continuo orientado hacia la optimización de la
planificación inicial mediante operaciones, pruebas, controles, mantenimiento y mejoras constantes.
Es importante destacar que la norma ISO 22301 está pensada para ofrecer un modelo de SGCN
pensado para organizaciones de diverso tamaño, complejidad, sector, propósito o madurez, por lo
que sus lineamientos no se circunscriben únicamente a un determinado tipo de institución.
2. Desarrollo.
De acuerdo con la rúbrica, es necesario realizar una caracterización de las organizaciones elegidas.
Así, se cumpliría el requisito procedimental del contexto de la organización.
a. Empresa Nacional de Petróleo (ENAP). Gran empresa.
El giro de ENAP posee dos líneas de negocio: (i) Exploración y Producción (actividades exploratorias,
de desarrollo y explotación de hidrocarburos y geotermia) en Chile y en el Extranjero (a través de
ENAP Sipetrol S.A.). Por otro lado, también realiza (ii) Refinación y Comercialización de combustibles,
productos derivados del petróleo y gas natural.
Dirección comercial: Av. Apoquindo 2929 piso 5 (Santiago), José Nogueira 1101 (Punta Arenas), Av.
Borgoño 25777 (Concón).
Posee plantas en Pemuco, Linares, Maipú y San Fernando y estaciones de bombeo en Chillán y
Molina.
El organigrama empresarial consta del directorio con cuatro gerencias (Secretaría, Auditoría, Ética y
compliance y Gerencia General). De la Gerencia General dependen la (i) Gerencia Corporativa
Refinerías, (ii) Gerencia Corporativa Sipetrol, (iii) Gerencia Corporativa Supply Chain, (iv) Gerencia
Corporativa Legal, (v) Gerencia Corporativa de Desarrollo y Planificación Estratégica, (vi) Gerencia de
Asuntos Corporativos, (vii) Gerencia Corporativa de Compras y Gestión de Servicios, (viii) Gerencia
Corporativa de Medio Ambiente, (ix) Gerencia General ENAP Magallanes, (x) Gerencia Comercial, (xi)
Gerencia Corporativa de Administración y Finanzas, (xii) Gerencia Corporativa de Seguridad y Salud
Ocupacional y (xiii) Gerencia Corporativa Personas.
b. Fondo de Cultura Económica Chile. Mediana empresa.
El giro de FCE Chile es venta, compra y edición de Libros.
La dirección es Paseo Bulnes 152, Santiago y Paseo Yugoslavo 176, Valparaíso.
El organigrama empresarial consta del directorio con 5 gerencias (Control Interno, Administración y
Finanzas, Asuntos Jurídicos, Tecnología y Gerencia General). De la Gerencia General dependen la
Gerencia Editorial, Coordinación de Obras para Niños y Jóvenes, Coordinación de Comercio
Internacional y Gerencia de Producción.
Cabe destacar que la caracterización de mediana empresa dice relación con las operaciones en Chile
de acuerdo con la Cámara de Comercio de Chile, sin perjuicio de que es una filial de una empresa
estatal mexicana.
c. Fuente Alemana. Pequeña Empresa.
El giro es la preparación y venta de alimentos y bebestibles (con patente de alcoholes).
La ubicación es en Av. Pedro de Valdivia 210, Providencia.
La división en departamentos no es pertinente en este grado de organización, pero se infiere que
existen funciones de contabilidad, administración, recursos humanos, etcétera.
Como ya fue dicho en la introducción, un SGCN está pensado para operar cualquiera sea el nivel de
complejidad organizacional. Por lo mismo, en este trabajo se enumerarán las consideraciones que
hay que observar a la hora de establecer el modelo PHVA antes descrito en consonancia con la norma
ISO 22301.
En primer lugar, es necesario enunciar el contexto de la organización. Así, es relevante que se describa
tanto el (i) contexto interno (madurez, cultura organizacional, dependencias, etcétera), (ii) el contexto
externo (Propietarios, reguladores, clientes, situación económica, etcétera), (iii) las partes
interesadas y (iv) el contexto legal y regulatorio. Todas estas variables pueden incidir en la
delimitación concreta del alcance del SGCN, que debe contemplar tanto los espacios físicos, los
grupos de personas, los procesos/actividades/productos o servicios e interfaces clave a intervenir
con aquel.
En segundo lugar, es necesario establecer una política de continuidad de negocio que sea coherente
con la dirección estratégica de la organización, privilegiando la asignación de roles y
responsabilidades que hagan posible la implementación del SGCN.
En tercer lugar, ya habiendo contextualizado la organización, habiendo definido roles y
responsabilidades acorde a la política estratégica específica de la organización, es menester realizar
una planificación en torno a objetivos específicos de continuidad de negocio que permitan gestionar
los riesgos en virtud de indicadores medibles, coherentes, comunicados, controlados y actualizados
periódicamente. Así, la planificación debe establecer (i) qué debe hacerse, (ii) qué recursos se
destinan a dicha acción, (iii) quién es el responsable, (iv) cuándo cabe aplicar lo establecido y (v) cómo
se evalúan los resultados, con el subsecuente proceso de modificación y mejora si es pertinente.
3. Conclusión.
El proceso de implementación de un SGCN descrito por la norma ISO22301 es tremendamente útil
para la planificación de una estrategia exhaustiva que pueda hacerse cargo de los riesgos específicos
que cada organización, sin importar sus particularidades, posee en relación con la resiliencia de sus
operaciones. Es de suma relevancia que un profesional de la ciberseguridad esté capacitado para
realizar este diagnóstico complementario a lo establecido por las normas ISO/IEC 27001 anexo 17.1
y 17.2 y 27031, ya que permite diseñar una estrategia comprensiva y multidimensional de defensa y
respuesta ante incidentes que podrían amenazar la confidencialidad, integridad y disponibilidad de
los datos.
4. Desarrollo.
Para poder ejemplificar
Related documents
iso-17025-2017pdf
iso-17025-2017pdf
Pestel RUNA IT
Pestel RUNA IT
Download
advertisement