1 36 Table of Contents 38 100

Seguritecnia 476

SEGURITECNIA Junio 2020 37 Seguridad Integral cio y/o del entorno económico o po- lítico en el que se desarrolle, la direc- ción ejecutiva definirá y documentará un marco de gobierno del SGCN que proporcione el contexto, así como los siguientes lineamientos corporativos para las distintas unidades de negocio: Política y normativa, donde, entre otros elementos, se definan los cri- terios para la priorización de proce- sos críticos, como por ejemplo los ingresos, la entrega del servicio, el cumplimiento legal, etc. Organización, estableciendo los ro- les y responsabilidades en la gestión de la continuidad del negocio. Metodología y herramientas de soporte que persigan la eficiencia en el mantenimiento del sistema. Seguimiento y reporte, con definición de los indicadores clave para la gestión. Sensibilización y entrenamiento del personal propio y de los colaboradores. Revisión periódica independiente. Este SGCN se basa en el ciclo PDCA de mejora continua como muestra la Figura 2. Desarrollo del PCN Una vez establecido el marco de go- bierno del SCGN, por cada negocio crí- tico, el director responsable de la uni- dad organizativa correspondiente, con el apoyo del CRO y del Comité de Segu- ridad, tendrá la responsabilidad de de- sarrollar su PCN acometiendo una se- rie de tareas organizadas según las fases del ciclo PDCA y con un enfoque tal y como se muestra en la Figura 3. Implementación y operación: Analizar los riesgos y el impacto en el negocio. En primer lugar, debe elaborarse un estudio de amenazas potenciales que se cruzarán con las vulnerabilidades de los recursos que soportan las actividades críticas de negocio. Posteriormente se obtendrá el impacto que supondría la materia- Figura 2. Proceso de mejora continua del SGCN. Figura 3. Enfoque de la Gestión de la Continuidad del Negocio. lización de cada amenaza sobre cada una de ellos, teniendo en cuenta la probabilidad de ocurrencia. El Análisis de Impacto para el Ne- gocio (BIA) permitirá a identificar para cada proceso o actividad crítica: El impacto que tendría la interrup- ción (bien sea financiero, legal o a la reputación). El período de tiempo máximo des- pués de una interrupción dentro del cual tiene que continuarse la operación. El nivel mínimo al que la actividad tiene que ser ejecutada cuando se recupera.

RkJQdWJsaXNoZXIy ODM4MTc1