Buenas Practicas Continuidad Negocio 2007 BCI

MANUAL DE BUENAS PRÁCTICAS 2007
Agradecimientos
La Asociación Española para el Fomento de la Seguridad de la Información ISMS Forum Spain quiere
agradecer públicamente al BCI (Business Continuity Institute), y a su presidenta y representante en
España, Dª Joanne Gagnon, por haber cortésmente cedido los derechos de traducción y edición en
castellano de la presente Obra a ISMS Forum Spain. Más información acerca del BCI se puede consultar
a través de su página oficial www.thebci.org
La traducción y edición de este Manual en castellano no habría sido posible sin el patrocinio de
Hewlett-Packard Española, cuyo director de la Práctica de Seguridad y Continuidad de Negocio, D.
Luis J. Buezo, CISSP, socio cofundador de ISMS Forum Spain, ha apoyado todas las actividades
desarrolladas por la Asociación Española para el Fomento de la Seguridad de la Información desde su
fundación, lo cual queremos agradecer expresamente.
ISMS Forum Spain quiere agradecer asimismo a D. César Peñacoba, SBCI, Gerente del Área de
Gobierno de la Seguridad de Hewlett-Packard, su valiosa contribución como revisor y editor técnico
especializado del texto traducido al castellano de esta Obra.
3
Fo r u m S p a i n
ASOCIACIÓN ESPAÑOLA PARA EL FOMENTO
DE LA SEGURIDAD DE LA INFORMACIÓN
La Asociación Española para el Fomento de la Seguridad de la Información
ISMS Forum Spain es una asociación sin ánimo de lucro, creada en enero de 2007, para el Fomento de
la Seguridad de la Información en España. Además, ISMS Forum Spain es el Capítulo Español de ISMS
International User Group (IUG), organización que promueve el conocimiento e implementación de los
Sistemas de Gestión de la Seguridad de la Información en todo el mundo, de acuerdo con los
estándares ISO 27000.
La finalidad de ISMS Forum Spain es promover el desarrollo, conocimiento y cultura de la Seguridad de

la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Se
constituye como foro especializado de debate para que todas las empresas; organismos públicos y
privados; investigadores y profesionales colaboren, intercambien experiencias y conozcan los
últimos avances y desarrollos en el ámbito de los SGSI. Todo ello desde la transparencia, la
objetividad y la neutralidad.
ISMS Forum Spain nace respaldada por algunas de las más representativas empresas y organizaciones
comprometidas con la seguridad de la información. Los socios fundadores ejercen su labor en muy
diversos ámbitos que van desde la enseñanza superior y la I+D hasta la Consultoría, pasando por los
sectores de Banca, Certificación, Seguros, Construcción, Servicios Jurídicos o Telecomunicaciones.
No obstante, la asociación se ha creado con una vocación plural y abierta; que quiere representar a
todos los sectores implicados. Por ello invita a todos los profesionales, empresas e instituciones
involucrados en la gestión de la seguridad de la información a asociarse.
En su primer año de actividad, ISMS Forum Spain tiene ya a sesenta y cinco empresas asociadas y
cuenta con más de 400 profesionales miembros, ya sea a través de sus empresas o por iniciativa
individual. La Asociación para el Fomento de la Seguridad de la Información es ya, por tanto, la mayor
red activa española de expertos en SGSI.
Entre los principales objetivos de ISMS Forum Spain destacan:
- Dar visibilidad a un sector estratégico para el desarrollo económico, como es la Seguridad de la

Información, y difundir el talento de los profesionales que trabajan en él.
- Situar a las empresas y organizaciones españolas a la vanguardia de conocimientos e

implementación de SGSI.
- Ser interlocutores en España de las diversas asociaciones y foros internacionales y cooperar con
instituciones públicas y privadas, nacionales e internacionales, para impulsar la cultura de la Gestión
de la Seguridad de la Información.
www.ismsforum.es
ISMS Forum Spain, Asociación Española para el Fomento de la Seguridad de la Información
Federico Salmón, 13. 28016 Madrid. Teléfono +34 91 343 76 10 // Fax +34 91 343 78 78 // info@ismsforum.es
Inscrita en el Registro Nacional de Asociaciones Grupo I, Sección I, Número Nacional 588718
4
El pasado mes de julio ISMS Forum Spain y el capítulo español de The Business Continuity Institute, BCI
Spain, llegaron a un acuerdo que prevé una estrecha colaboración entre ambas instituciones, cuyos
objetivos y metas son claramente afines y podrían resumirse, aunque de una forma muy simplificada,
en la promoción y difusión de los distintos aspectos de la Seguridad de la Información y la Continuidad
de Negocio.
Como primera materialización práctica de este convenio de colaboración, ISMS Forum Spain ha
traducido y editado por primera vez en castellano el Manual de Buenas Prácticas del Business
Continuity Institute (BCI). El manual ya se había traducido al alemán y al italiano, y nos parecía
importante gestionar esta versión en castellano, sin duda una de las lenguas más utilizadas en el
ámbito mundial. Estamos convencidos de que esta completa y actualizada guía para instaurar Buenas
Prácticas Globales en Gestión de Continuidad de Negocio será de gran utilidad para todos nuestros
asociados, a quienes daremos acceso restringido durante un periodo inicial de tres meses. Pero
también lo será para todos aquéllos profesionales del área de Continuidad de Negocio que trabajan
en los numerosos países de habla hispana, para quienes la haremos accesible pasado este plazo
inicial.
El gran valor añadido del Manual de Buenas Prácticas es que se inspira en la experiencia real y
contrastada de los propios miembros del BCI, expertos que practican la Gestión de Continuidad de
Negocio en su quehacer profesional diario. Si algo promueve ISMS Forum Spain es precisamente el
intercambio de experiencias y conocimientos entre los especialistas del sector; y sin duda esta obra
es un claro ejemplo del traspaso de conocimientos y know-how que los profesionales de la
Continuidad de Negocio ponen a disposición de la comunidad global, de forma que todo tipo de
organizaciones, independientemente de su tamaño, sector o ubicación, podrán aprender y aplicar
sus directrices.
Con esta entrega editorial ISMS Forum Spain continúa con una de las líneas de trabajo que considera
de mayor utilidad para todos sus asociados: la publicación de informes y manuales que constituyan
herramientas prácticas y actualizadas de trabajo para los profesionales y contribuyan así, de manera
directa, a impulsar el conocimiento y la implementación de los Sistemas de Gestión de la Seguridad
de la Información en nuestro país.
Gianluca D'Antonio
Presidente de ISMS Forum Spain
Noviembre de 2007
5
ACERCA DE ESTA GUÍA
Introducción
El Business Continuity Institute (BCI) publicó su primer Manual de Buenas Prácticas en 2002. Esto tuvo
una influencia significativa en el desarrollo del Publicly Available Specification for Business
Continuity Management (Especificaciones Públicamente Disponibles para la Gestión de Continuidad
de Negocio, PAS 56) de la British Standards Institution (BSI). En 2005 se publicó una nueva edición del
Manual de Buenas Prácticas con importantes modificaciones que reflejaban los conceptos más
recientes en Gestión de Continuidad de Negocio (GCN) en el mundo y que destacaban la creciente
madurez en la práctica de GCN en todos los sectores, tanto en las empresas públicas como en las
privadas.
Esta guía para la puesta en práctica de la GCN se ha elaborado para apoyar el lanzamiento del BS
25999-1 A Code of Practice for Business Continuity Management (Código de Buenas Prácticas para la
Gestión de Continuidad de Negocio) de la British Standards Institution. Puede considerarse una guía
para la puesta en práctica de BS25999, además de un texto definitivo para aquellos que deseen
entender los principios y prácticas de la GCN de una forma más integral.
Existe una relación cercana entre la estructura de este Manual y el BS 25999-1 porque la guía del BCI
siempre ha sido un componente clave para las iniciativas de la BSI en lo que se refiere a la Gestión de
Continuidad de Negocio. Está prevista una nueva revisión del Manual en cuanto se publique el BS
25999-2 debido a que este estándar definirá el marco de gestión y los elementos que serán de
cumplimiento obligatorio.
No obstante, en su calidad de instituto global, el BCI tiene que reflejar las buenas prácticas en todo el
mundo. El BS25999 ofrece una visión integral acerca del tema, pero existen otros estándares en vigor
que muchos de los profesionales que son miembros del BCI necesitan entender. Por ello, la edición
2007 del Manual también está diseñada para tener en cuenta los requisitos de NFPA1600 (Estados
Unidos y Canadá) HB221 (Australia), APS 232 (Australia) y FSA (Reino Unido).
A pesar de ello, en ningún caso debe considerarse que este Manual reemplaza aquellos estándares o
garantiza su cumplimiento.
Objetivo
Este documento pretende ofrecer una visión general y una guía acerca de las buenas prácticas en lo
que se refiere al ciclo de vida de la Gestión de Continuidad de Negocio (GCN), desde el
reconocimiento inicial de la necesidad de desarrollar el programa, hasta el mantenimiento constante
de un proceso maduro de Continuidad de Negocio.
Se pretende que los organismos que marcan los estándares definan los requerimientos de un
programa de GCN. En aquellos casos en el que el Código de Prácticas requiera un proceso, este Manual
ofrece más detalles acerca de cómo abordar ese proceso. No obstante, al tratarse de una guía de
procedimientos, en algunos casos el Manual identifica pasos adicionales que son necesarios realizar
para cumplir con los requisitos de cualquier estándar.
Audiencia
El Manual de Buenas Prácticas se inspira en las experiencias académicas, técnicas y empíricas de los
miembros del Business Continuity Institute – es decir, personas que practican la GCN y que han
desarrollado y dado forma a las directrices en el mundo real.
Los principios de estas directrices son aplicables a todas las organizaciones sin importar el tamaño,
sector y ubicación - tanto para las que cuentan con una sola sede como las que tienen presencia
global.
Por lo tanto se pretende que estas normas sean utilizadas por aquellos que practican la GCN, gestores
de riesgo, auditores y legisladores con conocimiento práctico de los principios de GCN. No es una guía
para debutantes. Aquellos que se inicien a la disciplina deberían trabajar en colaboración de alguien
ya experimentado en las prácticas o asistir a los programas de formación que existen acerca del
tema.
6
Agradecimientos
Ian Charters (FBCI) es el principal autor del Manual de Buenas Prácticas del BCI
John Robinson (FBCI) aportó información adicional acerca de los estándares globales e indicadores
clave de la GCN
Lyndon Bird (FBCI) revisó y editó el Manual
Este Manual está basado en la edición del mismo de 2005, al que contribuyeron las personas que
aparecen en la lista siguiente.
Anne Wright (MBCI) Howard Booth (MBCI)

Ian Griffiths (MBCI) Helen Sweet (ABCI)
Richard Ecclestone (SBCI) John Worthington (MBCI)
Martin Lippiett (MBCI) Mel Gosling (MBCI)
James Coates (MBCI) Mark Mahoney (MBCI)
Michael Bland (MBCI) David Bennett (MBCI)
Jim Barrow (MBCI) Elaine Weston (MBCI)
Julia Graham (FBCI) Colin Ive (MBCI)
Michael Bews (MBCI) Adrian Jolly
Jane Naylor Richard Bridgeford (MBCI)
Andy Tomkinson (MBCI) Angela Hobley (MBCI)
Jo Welland Nathan Bird (MBCI)
Jeanette O'Neil (MBCI) Ian Charters (FBCI)
Business Continuity Institute agradece el tiempo y la asesoría ofrecida de forma voluntaria por todas
las personas arriba mencionadas para el desarrollo del Manual de Buenas Prácticas en beneficio del
BCI y el sector dedicado a Gestión de Continuidad de Negocio. Los que han contribuido al Manual han
donado de forma gratuita sus derechos de autor y propiedad intelectual al Business Continuity
Institute para que el instituto pueda garantizar que las directrices se mantengan actualizadas y
completas.
7
ESTRUCTURA DE ESTA GUÍA
Estructura de esta guía
La guía está dividida en seis capítulos, que se corresponden con las versiones anteriores y también
con la nomenclatura BS25999.
El capítulo 1 ofrece información preliminar además de Política y Gestión de Programa de GCN
El cápítulo 2 es: Comprender la organización
El cápítulo 3 es: Determinar la estrategia de GCN
El cápítulo 4 es: Desarrollar y poner en práctica la respuesta de GCN
El cápítulo 5 es: Probar, mantener y revisar los preparativos de GCN
El cápítulo 6 es: Incorporar la GCN en la cultura de la organización
Al final de cada capítulo se encuentra un resumen de los “Indicadores clave de GCN” que servirán de
base para el uso futuro de la herramienta para establecer criterios de referencia del BCI, la
plataforma educativa electrónica del BCI y los exámenes de admisión del BCI. Estos indicadores son
recomendaciones que generalmente aparecen en la mayoría de los estándares relacionados con la
GCN y con los que este Manual se adecua de forma total o parcial.
Habilidades profesionales para la GCN

Para aquellas personas que quieran convertirse en miembros profesionales del BCI, existen 10 áreas
de competencia que han sido definidas de forma conjunta por el BCI y el Disaster Recovery Institute
International (DRII). Como apéndice al Capítulo 6, se ofrece un mapa de habilidades que muestra la
relación de habilidades/competencias para los requisitos de conocimientos del GPG.
8
ÍNDICE
Capítulo 5 – Probar, mantener y revisar los preparativos de GCN

CONTENIDO
COMPONENTES DE LA ETAPA 5 87
Probar, mantener y revisar los preparativos de GCN – Principios generales 88
Programa de Pruebas 89
Probar los preparativos de GCN 91
Mantener los preparativos de GCN 94
Revisar los preparativos de GCN 96
INDICADORES CLAVE DE GCN 99
Capítulo 6 – Incorporar la GCN en la cultura de la organización

CONTENIDO
COMPONENTES DE LA ETAPA 6 102
Incorporar la GCN en la cultura de la organización - Principios generales 103
Evaluar el nivel de concienciación y formación en GCN 104
Desarrollar la GCN dentro de la cultura de la organización 107
Supervisar el cambio cultural 110
Apéndice – Mapa de habilidades profesionales 112
INDICADORES CLAVE DE GCN 114
10
POLÍTICA Y GESTIÓN DE PROGRAMA DE GCN
CONSIDERACIONES GENERALES
¿Qué es la Gestión de Continuidad de Negocio?

La Gestión de Continuidad de Negocio es un proceso integral de gestión que identifica los posibles
impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer
de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y
demás partes interesadas, la reputación, la marca y las actividades creadoras de valor.
La GCN tiene que ser asimilada y totalmente integrada en la organización como uno más entre sus
procesos de gestión.
La GCN aspira a mejorar la capacidad de recuperación de una organización. Al identificar por
adelantado los posibles impactos de una amplia gama de incidencias que trastornarían de forma
súbita el éxito de la organización, establece prioridades para los esfuerzos de los especialistas en
implantar robustez en sus respectivas áreas de especialización, como seguridad, instalaciones y
tecnologías de la información.
Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centra
particularmente en desarrollar una capacidad de recuperación que sea conjunta para toda la
organización y le permita sobrevivir a la pérdida total o parcial de su capacidad operativa. También
debería enfocarse en soportar pérdidas significativas de recursos, como personal o maquinaria.
Debido a que la capacidad de resistencia de la GCN de una organización depende de su equipo de
gestión y su personal, además de su tecnología y la diversificación geográfica, se debe desarrollar
esta capacidad de recuperación a todos los niveles de la organización, desde la alta dirección hasta el
taller, y en todos los demás integrantes de la cadena de valor.
El factor determinante de esta robustez en toda la organización se sustenta en la responsabilidad de
la alta dirección de proteger los intereses a largo plazo del personal, clientes y todos aquellos que
dependen de algún modo de la organización. Si bien se pueden calcular las pérdidas financieras
cap
ocasionadas por una interrupción, generalmente el mayor daño suele reflejarse en una pérdida de
imagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente bien
gestionado puede mejorar la imagen de la organización y su equipo de gestión.
123456
En defensa de la Gestión de Continuidad de Negocio
“No nos pasará”, “Aguantaremos, como siempre lo hemos hecho”, “Somos demasiado grandes para
fracasar” y “No somos un objetivo para los terroristas” son algunas de las respuestas más frecuentes
que dan las empresas cuando se les cuestiona acerca de su falta de preparación. Otros creen que las
empresas de seguros van a pagar por todo. La mayoría piensa que no dispone de tiempo para
prepararse para algo que nunca sucederá. El gran número de negocios que se han hundido después de
sufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas.
Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicación, el
90% de las incidencias que ponen en riesgo el negocio son "catástrofes silenciosas" que no figuran en
los medios pero que pueden tener un efecto devastador para el buen funcionamiento de una
organización. Muchas de las causas son ajenas al control de la organización y suelen estar a merced de
los servicios de emergencias o de proveedores que marcan los plazos de la interrupción.
A la hora de gestionar cualquier acontecimiento, el éxito se mide tanto por la respuesta técnica dada
como por la competencia de su equipo gestor. Una investigación efectuada por Rory Knight y Deborah
Pretty, de la firma Oxford Metrica, indica que las organizaciones que se ven afectadas por catástrofes
se dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuando
una organización ha lidiado una crisis con éxito el valor de sus acciones ha crecido en el largo plazo,
mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio de
sus títulos y, pasado un año, seguían sin recuperarse.
Investigaciones más recientes demuestran que aquellas organizaciones que destinan un mayor
presupuesto a control de riesgos, GCN y buen gobierno son las empresas más rentables en su sector, lo
que indica que la GCN es una inversión, no un coste.
Un elemento clave para el éxito de los programas de GCN es que las distintas responsabilidades se
asuman a los niveles apropiados de la organización. En estas empresas las implicaciones de la GCN se
evalúan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del proceso
de control del cambio.
11
¿Cómo beneficiará a mi organización?

El objetivo principal de la GCN es asegurar que la organización tiene una respuesta para los trastornos
importantes que pondrían en riesgo su supervivencia. Esto de por sí es suficientemente valioso, pero
además incorporar la GCN en la gestión diaria puede aportar otras ventajas.
Ya sea por sus estatutos o por ley, algunas organizaciones tienen que incorporar la GCN o, de forma
más genérica, la "gestión de riesgos", como parte de sus obligaciones de buen gobierno corporativo.
Un plan apropiado de GCN cumplirá con las obligaciones específicas y además constituirá una
respuesta tanto a posibles incidentes específicos como a la creación de una "conciencia de riesgos"
para la organización en su conjunto. No obstante la motivación principal para instaurar la GCN no
debe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta en
marcha agrega valor a una organización y a los productos y servicios que ofrece.
“Para muchas empresas, la GCN tendrá en cuenta algunos…riesgos clave y les ayudará a cumplir con
sus obligaciones". Nigel Turnbull, Presidente de Turnbull Committee acerca del buen gobierno
corporativo en Reino Unido.
Las empresas que venden a otras empresas han recurrido a la GCN como una ventaja competitiva para
lograr nuevos clientes y mejorar sus márgenes al incorporarla a su política de atención al cliente. Un
repaso exhaustivo de las actividades a través de los ejercicios de Evaluación y Planificación de
Impacto al Negocio puede poner en relieve las ineficiencias y destacar prioridades que de otra forma
no hubieran nunca salido a la luz.
Las empresas que ofrecen productos o servicios saben que conservar a un cliente mediante un
servicio más confiable es más barato que tratar de recuperar a los "desertores" después de una
interrupción del negocio.
El espíritu de equipo que se crea durante la buena gestión de un incidente puede mejorar el resultado
de un negocio mucho después de que el problema se haya solucionado.
“Muchas veces me preguntan cuál es el consejo más útil que puedo ofrecer en el mundo de los
123456
negocios. La respuesta es un sencillo y efectivo plan de continuidad de negocio que esté

continuamente actualizado y probado”. (Extraído de un discurso de Eliza Manningham-Buller,
Directora General de MI5, en la Conferencia UK CBI, Noviembre 2004).
Relación con otras especialidades

Determinar cuáles son las responsabilidades de la Gestión de Continuidad de Negocio dentro de una
organización concreta tendrá mucho que ver con la persona que se nombrará para estar a cargo así
cap
como de su experiencia previa en la materia. Esto puede significar que un responsable de Continuidad
de Negocio puede considerar que la seguridad, la disponibilidad de TI o la gestión de riesgos
constituyen las cuestiones clave, mientras restará importancia a otras áreas. Por esta razón es
extremadamente difícil llegar a un acuerdo en cuanto a la lista general de responsabilidades
específicas para la Gestión de Continuidad de Negocio. En concreto existen muchos debates acerca
de su relación con la Gestión de Riesgos.
Este Manual considera que, si bien se trata de facetas complementarias, los enfoques y métodos
empleados en Continuidad de Negocio son muy diferentes de los dedicados a Gestión de Riesgos. La
tabla siguiente trata de destacar las diferencias entre ambos.
12
Tabla: Comparación entre Gestión de Riesgos y Gestión de Continuidad de Negocio
Gestión de continuidad
Gestión de riesgos
de negocio
Análisis de impacto sobre
Método clave Análisis de riesgo el negocio
Parámetros Impacto y Probabilidad Impacto y Tiempo

clave
Tipo de Todo tipo de eventualidades Acontecimientos causantes de

incidente generalmente segmentadas trastornos serios para el negocio
Toda magnitud (coste) de los Para la planificación estratégica:

Magnitud del acontecimientos. sólo los incidentes que afectan a la
incidente Generalmente segmentados supervivencia del negocio
Se enfoca primordialmente Se enfoca sobre todo en gestión de

en la gestión de riesgos para incidentes en su mayor parte externos
Alcance los objetivos del negocio a los aspectos fundamentales
principal de negocio
Acontecimientos súbitos o de
rápida evolución (aunque es
Todas, desde graduales
Intensidad posible que la respuesta también
hasta súbitos
resulte apropiada si un incidente
persistente se transforma en severo)
cap
La visión que se presenta en este Manual pretende presentar la características esenciales de la
Gestión de Continuidad de Negocio al mismo tiempo que entiende que los que las apliquen de forma
concreta muchas veces tendrán, ya sea por sentido común o por órdenes recibidas, que ampliar su
123456
papel debido a la situación que desempeñen en la organización para la que trabajan.
Relación con otras directrices y estándares

Ya se ha abordado la relación entre el Manual de Buenas Prácticas 2007, BS 25999-1 y otros estándares
de GCN.
Otros estándares que contienen elementos de GCN son:
•PAS 77 sobre Continuidad de Servicio de TI
•ISO 27002 (Antes ISO 17799) – Aunque primordialmente se trate de un estándar relativo a la
seguridad de la información, contiene aspectos de Continuidad de Negocio que deben ser atendidos
para implantar correctamente ISO 27001.
•ITIL este estándar se ocupa de disciplinas de Gestión de Servicio, como Riesgos y Seguridad,
Cambios, Problemas, Configuración, Capacidad y Disponibilidad. No obstante existe un vínculo entre
la Continuidad de Servicio de TI de ITIL (Recuperación de Desastres) y la Continuidad de Negocio.
•Legislación de Protección de Datos
•Legislación garante de la libertad de información
•Normas sanitarias
•Reglas y directrices como las previstas en la ley Sarbanes-Oxley de Estados Unidos y el acuerdo
internacional bancario Basilea II, influyen sobre GCN al ser obligatorias e imponer parámetros para la
continuidad de servicios.
CÓMO UTILIZAR ESTE MANUAL
Cada organización es diferente. Se gestiona de formas diferentes, tiene una presencia geográfica
diferente y además evoluciona con el paso del tiempo. Por eso es imposible hacer recomendaciones
específicas acerca de las soluciones que conviene adoptar.
13
Por lo tanto, este Manual pretende dar una idea general de un proceso y recomendar métodos, con la
creencia de que se llegará a la solución adecuada si se siguen los pasos correctos.
Puede existir un caso en el que el proceso descrito necesite modificarse para cumplir con ciertas
necesidades específicas de la organización, por lo que cada organización necesita evaluar cómo
aplicar las directrices a su propia estructura. Tiene que asegurarse, que su capacidad y competencia
para la GCN son apropiadas para la naturaleza, tamaño y complejidad de su negocio y además es un
reflejo de su propia cultura y del entorno en el que opera.
La definición de "buena" práctica implica que existe una práctica "mejor". Sin embargo, al contrario
de lo que sucede con otros estándares, tiene que encontrarse la solución "apropiada" para cada
organización. Si la solución se queda corta existe un riesgo de que fracase toda la estrategia, pero si
se excede se malgasta tiempo o dinero que podrían ser empleados en otras necesidades. Por
desgracia es difícil determinar con exactitud esta estrategia ideal "apropiada", pero las directrices
deberían ofrecer un enfoque sistemático para identificarla.
Alcance del Manual
El análisis de la respuesta que han tenido las organizaciones con respecto a las incidencias que
afectan a la Continuidad de Negocio demuestra que aquellas que los han solucionado mejor han
integrado las soluciones al conjunto de la organización. En la práctica esto significa que la capacidad
de gestión de incidencias por parte de la alta dirección se apoyaba en una logística de Continuidad de
Negocio, además de un soporte técnico para retomar la actividad.
Por esta razón el Manual se centra en el papel fundamental del responsable de la GCN y asume que el
especialista en otras áreas (TI, seguridad, RH y desarrollo de negocio) estará disponible para
aconsejar en la puesta en marcha de estas demás facetas.
Diseño del Manual
En primer lugar el Manual se ocupa de las cuestiones de Política de GCN y su gestión que definen el
contexto y alcance del Programa, luego sigue el Ciclo de Vida de la Gestión de Continuidad de
123456
Negocio; desde la Gestión de programa hasta la Comprensión de la organización. Después sigue los
elementos del ciclo de vida de forma lógica y finaliza con el carácter permanente de un programa de
GCN "Insertar la GCN en la cultura de la organización".
A lo largo del Manual se hace referencia a las secciones importantes de BS 25999-1, pero no existe una
correspondencia directa entre las secciones.
El manual muestra cómo teóricamente las etapas encajan entre sí; en la práctica el que lo lleve a
cabo no seguirá necesariamente esta progresión de forma estricta. Por ejemplo un ejercicio basado
cap
en escenario puede resultar conveniente para "vender" el proyecto en sus comienzos y se pueden
escribir planes para dotar a la organización de cierta capacidad de gestión de incidentes antes de que
se hayan investigado los requisitos para el reinicio de actividades. No obstante los progresos deben
medirse siempre con respecto al ciclo de vida completo y la organización en su conjunto.
Estructura del contenido del Manual

Cada paso contiene:
Fases de las directrices Preguntas que responden
Introducción
Detalle de los componentes Contenidos descritos más adelante
Indicadores clave de GCN ¿Qué es lo más importante que hay que saber?
14
La estructura y formato de cada componente sigue un esquema común:
Componentes de las directrices Preguntas que responden
Introducción
¿Qué se tiene que haber hecho antes de llegar

Pasos previos
a esta etapa?
Propósito ¿Por qué necesitamos hacerlo? ¿Qué conseguirá?
¿Qué necesitamos comprender?

Conceptos y suposiciones
¿Qué damos por supuesto?
Proceso ¿Qué tenemos que hacer?
Métodos y Técnicas ¿Qué herramientas necesitamos para lograrlo?
Resultados ¿Qué debería producir?
Revisión ¿Cuando debería realizarse?
cap
Diagrama y glosario
12
1 34
23
cap 56
45 6
Al contrario de otras versiones anteriores del Manual, estas directrices utilizan el diagrama
esquemático y el glosario de BS25999-1. Para obtener copias oficiales de éstos hay que recurrir a la
documentación estándar oficial de Bs25999.
123456
Figura: El ciclo de vida de GCN—BS 25999-1
la cultura d
e n e la
N
C
or
aG
Comprender
ga
la organización
Insertar l
niza
Gestión
ción
Probar, del Determinar

mantener programa las opciones
y revisar GCN de GCN
Desarrollar
e implantar
una respuesta
de GCN
15
COMPONENTES DE LA ETAPA 1
POLÍTICA DE CONTINUIDAD DE NEGOCIO Y GESTIÓN DEL PROGRAMA
POLÍTICA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO
PLASMAR EL CONTEXTO DE LA ORGANIZACIÓN
CONTENIDOS DE LA POLÍTICA DE GCN
ALCANCE DEL PROGRAMA DE GCN
ACTIVIDADES SUBCONTRATADAS
GESTIÓN DEL PROGRAMA
ASIGNACIÓN DE RESPONSABILIDADES
PONER EN PRÁCTICA LA GCN EN LA ORGANIZACIÓN
GESTIÓN DE PROYECTO
GESTIÓN CONTINUA
DOCUMENTACIÓN
PREPARACIÓN PARA LOS INCIDENTES Y SUS RESPUESTAS
cap 123456
16
LA POLÍTICA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO
Referencia: BS 25999-1 Sección 4
1. Introducción
La Política de GCN es el documento clave que determina el alcance y buen gobierno del programa de
GCN. La Política ofrece el contexto en el que el equipo de GCN desarrolla las competencias
requeridas.
Cuando una organización se embarca en un programa de GCN no dispondrá de una Política de GCN ni
probablemente entenderá las decisiones que tiene que tomar para escribir uno. Se necesita realizar
una serie de actividades que se encaminan a la formulación de esta Política. Los pasos clave son:
Asegurarse de que el programa de GCN apoya los objetivos y la cultura de la organización
Decidir el alcance del programa de GCN
Formular una política de GCN
Deberían iniciarse uno o varios proyectos para permitir que la organización desarrolle una Política e
inicie las actividades necesarias para instaurarlo.
cap
123456
17
PLASMAR EL CONTEXTO DE LA ORGANIZACIÓN

Ref: BS 25999-1 Sección 4.2
1. Introducción
Para desarrollar un programa de Gestión de Continuidad de Negocio apropiado hay que asegurarse de
que refleja los objetivos de la organización y su cultura.
Es necesario preguntarse lo siguiente:
•¿Cuáles son los objetivos de la organización?
•¿Cómo se logran las metas de negocio?
En algunas organizaciones, como parte de los procesos de planificación de negocio, se llevará a cabo
una evaluación de riesgos graves que puedan poner en riesgo el cumplimiento de los objetivos
estratégicos y de operación. Las conclusiones de este ejercicio pueden ofrecer una información
valiosa a la hora de determinar el contexto general para el Análisis de Impacto en el Negocio (AIN). En
algunos sectores de actividad o entornos es obligatorio realizar la evaluación de riesgos.
2. Pasos previos
Es más fácil asegurarse de que la Política de GCN se corresponde con los requisitos de la organización
si éstos se identifican y se acuerdan formalmente.
3. Propósito
El propósito de alinear la Continuidad de Negocio con la estrategia conjunta desde el principio es
para:
•Comprender la dirección y enfoque del negocio antes de iniciar una evaluación de riesgos o de
impacto en el negocio.
•Ayudar a entender el plan de negocio en lo que se refiere a crecimiento o reducción de negocio,
reestructuración, etc., en el corto, medio o largo plazo. Es posible que este tipo de información no
esté a disposición de la persona encargada de la actividad de continuidad de negocio y dependa
123456
mucho del tipo y tamaño de la organización. Conocer los planes de negocio ayudará a desarrollar
recomendaciones de estrategias de contingencia que sean adecuadas y flexibles.
•Establecer el parámetro de escala geográfica para la elección de opciones de recuperación
4. Conceptos y suposiciones
Utilizar un AIN para revisar la estrategia de la organización
Es posible y deseable que se utilice un AIN para determinar el impacto de una interrupción antes de
emprender una reestructuración importante del negocio como:
cap
•Introducción de un nuevo producto, proceso o tecnología

•Cambio de ubicación de una oficina o ampliación geográfica del negocio
•Cambio significativo en las operaciones, estructura o recursos humanos
•Incorporación de un nuevo proveedor o empresa subcontratada importantes
Puede que esto dé lugar a una revisión sobre cómo llevar a cabo la reestructuración o incluso
cuestionar su propia puesta en marcha.
5. Proceso
Condiciones de mercado
La reacción de los clientes y competidores en un factor clave que afecta la viabilidad de una
organización después de un trastorno. Algunas de las condiciones importantes son:
•Si el producto se consigue de varios proveedores, unos pocos o sólo uno
•Cuál es el plazo más probable para encontrar otros proveedores
•Si en el sector otros proveedores actuarán para aprovecharse de una empresa en dificultades o es
probable que se ayuden entre ellos (algo que puede suceder para proteger la reputación del sector)
El Programa de GCN podría ofrecer una oportunidad de negocio para una organización comercial si el
cliente está dispuesto a pagar una cantidad suplementaria para tener mayor confianza en la entrega.
Estrategia de organización
Los aspectos de la estrategia de una organización con más probabilidades de afectar al Programa de
GCN son:
•Una estrategia de expansión (o contracción)
•Desarrollo de nuevos productos o servicios
18
Responsabilidades
•Obligaciones en los estatutos
•Responsabilidades legales
•Normas sanitarias y de seguridad
Tamaño
•Decidir la amplitud geográfica máxima de una interrupción o la magnitud de la pérdida de un recurso
que la organización necesita planificar de cara a sobrevivir. Esto puede estar condicionado por:
•Amplitud geográfica (o área de mercado/cliente)
•Obligaciones legales o normas estatutarias
•Productos, mercado, sectores o exigencias específicas de los clientes
6. Métodos y técnicas
Herramientas clave:
•Demostrar una comprensión de los planes futuros de la organización
•Disponer información actualizada de los procesos detallados, volúmenes, objetivos y, cuando sea
posible, valores cuantificables relativos a la actividad
Es posible que cierta información sea confidencial y por lo tanto en algunas organizaciones no esté
disponible para el responsable de GCN. El hecho de no disponer de esta información no debería
impedir el AIN o la Evaluación de Riesgos, aunque sí puede perjudicar la confiabilidad de los
resultados finales.
7. Resultados
•Determinación del alcance y producción de un documento con los términos de referencia para el
Análisis de Impacto en el Negocio y Evaluación de Riesgos.
8. Revisión
El impacto sobre la organización de una estrategia de Gestión de Continuidad de Negocio debería ser
revisado como mínimo una vez al año como parte de (o al menos de forma paralela) los procesos de
cap
planificación estratégica y operativa de un negocio. Una revisión más frecuente puede ser
consecuencia de alguna de estas cuestiones:
•Modificación clave en el negocio
•Reestructuración
123456
•Expansión/contracción
•Introducción de un nuevo producto
•Cambio de ubicación o consolidación geográfica
•Un incidente y la recuperación de actividad
19
CONTENIDOS DE LA POLÍTICA DE GCN

Referencia: BS 25999-1 Sección 4.3
1. Introducción
La política de GCN de una organización provee el marco en el que se diseña y construye la capacidad
de GCN.
2. Pasos Previos
Una comprensión por parte de toda la organización de la GCN y su importancia.
3. Propósito
El propósito de una política de GCN es documentar los principios a los que aspira atenerse la
organización y en referencia a los cuales sus resultados pueden ser auditados.
Si bien la alta dirección es la máxima responsable de la política de GCN, se supone que el equipo de
GCN será el encargado de crearla y asegurarse de que es la apropiada.
5. Proceso
El proceso para desarrollar una política de GCN incluye:
•Identificar y documentar los componentes de una política de GCN
•Identificar una definición de GCN
•Identificar aquellos estándares, normas y leyes que sean relevantes y deban ser tenidos en cuenta
en la política de GCN
•Identificar cualquier manual de buenas prácticas o demás políticas de GCN de otras organizaciones
que podrían servir de modelo
•Revisar y llevar a cabo un "análisis diferencial" entre la actual política de GCN de la organización
(cuando exista) y una política de referencia externa o con los nuevos requisitos de la nueva política de
GCN
123456
•Desarrollar un borrador de una nueva política de GCN o, en su caso, de una versión corregida
Revisar el borrador de la política de GCN con respecto a los estándares que ha adoptado la
organización en cuestiones relacionadas, tales como la política de seguridad de TI
•Circular el borrador de la política para consultas
•Corregir el borrador de la política de GCN allí donde sea necesario basándose en los comentarios tras
las consultas
•Acordar una ratificación de la política de GCN y una estrategia para su puesta en marcha por la alta
cap
dirección de la organización
•Publicar y distribuir la Política de Continuidad de Negocio por medio de un sistema de control
apropiado y técnicas
Los métodos, herramientas y técnicas para desarrollar una Política de GCN incluyen:
•Una revisión de la actual Política de GCN de la organización.
•Una investigación acerca de las fuentes externas que sirvan de orientación, tales como los
organismos legales, códigos de buenas prácticas sectoriales y colegios profesionales.
•Contacto con organismos sectoriales y profesionales para entender los problemas y
desencadenantes de la GCN, tanto actuales como en desarrollo.
•Identificación y adopción de componentes de una Política de GCN de otra organización considerada
modélica en Buenas Prácticas.
•Una evaluación del estado actual de carencias y revisión de las políticas externas e internas para
determinar los elementos esenciales de una nueva o revisada Política de GCN.
•Una revisión por parte de expertos en GCN externos
7. Resultados
La Política de GCN, que incluirá (o hará referencia en un documento anexo):
•La definición de GCN de la organización
•Una definición del alcance del programa de GCN (ver sección siguiente)
•Un marco operativo de GCN documentado para la gestión del programa de GCN de la organización,
que además incluya responsabilidades
•Un conjunto documentado de principios de la GCN, sus directrices y estándares mínimos
•Un plan de puesta en marcha y mantenimiento de la Política
20
8. Revisión
Mientras todas las políticas de organización deberían ser revisadas de forma continua, una revisión
formal de esta Política debería desencadenarse por un cambio en el entorno externo en el que opera
la organización. Estos cambios podrían ser cambios en mercado o legales.
cap
123456
21
ALCANCE DEL PROGRAMA DE GCN

Referencia: BS 25999-1 Secciones 4.4 y 6.6
1. Introducción
Una de las objeciones más frecuentes a la puesta en marcha de la Gestión de Continuidad de Negocio
es que el programa exigido es demasiado extenso si se aplica a toda la organización en un proceso.
Los estándares británicos determinan un alcance de cumplimiento para productos o servicios
específicos o ubicaciones geográficas definidas. Esto permite que una organización ponga en marcha
la GCN sólo en algunas partes, aunque se espera que con el tiempo luego la extiendan a todas sus
operaciones.
Esta sección enumera las opciones disponibles para la organización para proteger su entrega de
productos y servicios. Dentro del estándar británico BS 25999-1 sólo la ruta de Continuidad de negocio
(sección 6.6.2) puede servir a cumplirlo, puesto que las demás (secciones 6.6.3/5) - aceptación,
transferencia y cancelación - no presuponen el mantenimiento de la entrega del producto o servicio
al cliente. Las opciones a las que se refiere esta sección radican en definir el alcance del programa de
GCN al que luego el estándar tiene que ser aplicado.
2. Pasos previos
Lógicamente el primer paso es decidir acerca del alcance del programa de GCN. No obstante, es
probable que eso tenga que ser revisado constantemente. Puede resultar útil llevar a cabo un AIN de
alto nivel de la entrega de producto o servicio para tomar una decisión acerca de qué productos y
servicios estarán incluidos en el alcance (basándose en el impacto de la no entrega).
3. Propósito
El propósito de determinar el alcance es garantizar la claridad de qué áreas de la organización están
incluidas en el programa de GCN. La documentación de las opciones para cada producto y servicio
pretende dejar claro cómo la organización piensa proteger (o no) su capacidad de mantener su
123456
entrega, y esta decisión estará disponible para actores externos, tales como clientes o autoridades.
El alcance puede (y dentro del cumplimiento de estándares debe) ser definido identificando qué
productos y servicios van a estar englobados. Esto hace hincapié en el criterio clave de éxito de la
mayoría de las organizaciones: la entrega de productos o servicios.
La ubicación puede también servir a la definición del enfoque, permitiendo que el programa de GCN
incluya o excluya una o varias ubicaciones. Pero no es lógico dejar fuera un emplazamiento que es
importante para la entrega de un producto o servicio considerado dentro del alcance.
cap
La limitación del alcance debe ser considerada una decisión táctica que permite introducir de forma
escalonada la GCN en toda la organización.
Si un producto o servicio se asigna dentro del alcance entonces todas las actividades que apoyan su
entrega tienen que se incluidas en el programa de GCN.
22
La organización BS 25999
Cliente A Cliente A
Servicio
C
Accionistas Producto Producto

A B
Empresa
subcontratada
Actividad Actividad Actividad Actividad Servicio Actividad

1 2 3 4 D
Alta
Dirección Actividad 5
Actividad
BCM Actividad 6
LA EMPRESA
cap
Diagrama: La organización BS 25999
En el diagrama anterior se determina que el Producto B y el Servicio C están dentro del programa, por
lo que las actividades sombreadas tienen que formar parte, ya sea parcial o totalmente dentro de su
123456
alcance.
5. Proceso
El proceso incluye los pasos siguientes:
•Conformar un Equipo de Estrategia de Gestión de Continuidad de Negocio.
•Identificar la Estrategia de Negocio de la organización, sus objetivos, obligaciones legales y
comprender cómo una Estrategia de Continuidad apoyará estos objetivos.
•Si se ha llevado a cabo un Análisis de Impacto en el Negocio para determinar los efectos que tendría
la pérdida de un producto o servicio, revisar su alcance, las suposiciones y resultados
•Considerar las opciones estratégicas para cada producto y servicio.
•Ofrecer a la dirección ejecutiva un informe de evaluación para determinar opciones, que se basan
en la estrategia de negocio actual y futura de la organización.
•Garantizar que la opción acordada es ratificada por la dirección ejecutiva, incluyendo las
previsiones financieras y de recursos.
•LIevar a la práctica un proceso constante que garantice la revisión de la estrategia.
Criterios de elección
Los productos y servicios deberían ser identificados a un grado de detalle apropiado.
Ejemplos de productos y servicios pueden ser:
•Un producto manufacturado o una gama
•Recogida de deshechos
•Soporte telefónico
Algunos de los siguientes factores pueden influir en las decisiones acerca de qué productos, servicios
o ubicaciones conviene incluir en el programa:
•Un requisito del cliente
•Una obligación legal o estatutaria
•Una ubicación considerada de alto riesgo debido a su cercanía con otras instalaciones industriales o
la posibilidad de una inundación, entre otros riesgos
•El producto representa una proporción muy importante de los ingresos de la organización
23
Razones por las que un producto, servicio u organización pueden ser excluidos del programa:
•Producto/servicio cercano a cumplir su ciclo de vida (dejaría de existir si se interrumpiera el
suministro)
•Producto/servicio con márgenes reducidos (cancelación o subcontratación)
•Una ubicación considerada de bajo riesgo
Cuando se trata de determinar si se excluye del programa, además del impacto financiero o
posibles pérdidas se tienen que tomar en cuenta los siguientes factores:
•Los puntos de vista de los proveedores, clientes y demás partes interesadas con influencia
•Cualquier daño ocasionado por la interrupción o cancelación definitiva de un producto
•El grado de confianza de cualquier cálculo de riesgo
Opciones
Las opciones disponibles para cada producto o servicio son:
•Continuidad de Negocio
• Aceptación
•Transferencia
•Cambio, suspensión o cancelación definitiva
Opciones de
producto/
Servicio
123456
Continuidad Cambio,
de Suspensión o
Aceptación Transferencia
cancelación
Negocio
definitiva
cap
Opciones para Programa de

Documentación gestión de
la actividad y
basadas en riesgos
ratificación (BS 25700)
niveles
operativos
aceptables
Instalaciones Tecnologías Datos Proveedores,

Fuerza laboral, del lugar de e Equipo clientes y demás
habilidades y de trabajo apoyo Información y partes interesadas
conocimientos suministros
Diagrama: Opciones para productos y servicios
24
A continuación se describe de forma detallada cada opción:
Continuidad de Negocio
Si la estrategia elegida es la de Continuidad de Negocio, entonces es necesario instaurar medidas
adecuadas que garanticen que las diversas actividades que determinan la entrega pueden proseguir o
ser recuperadas en los plazos requeridos y que son descritos en la sección 7.
Las estrategias alternativas que deben considerarse (que están fuera del alcance de un programa de
GCN) son:
Aceptación
Si se valora que el coste de GCN es demasiado alto o se calcula que el riesgo es bajo porque es poco
probable que se produzca una interrupción (o tendría un impacto menor) entonces el riesgo es
"aceptable".
En tal caso puede que la organización elija no hacer nada al respecto o instaure medidas para
enfrentar los riesgos en caso de que se materialicen. Estas medidas pueden incluir:
•Lograr aptitudes para la Gestión de Incidentes
•Medidas para protegerse de amenazas específicas de mayor probabilidad, como las existentes
contra incendios
•Estrategia de fortaleza cuando se trate de instalaciones que poseen procesos de fabricación únicos y
exclusivos o situadas en lugares únicos y para las que es imposible pensar en una estrategia de
reubicación. En tal caso todos los esfuerzos deben enfocarse en minimizar las amenazas específicas
con la esperanza de que si pasara lo peor, el componente único y exclusivo de la organización volverá
a restaurarse sin importar el tiempo que se tarde.
La aceptación de un riesgo y la determinación de la capacidad de asunción de riesgos por parte de una
organización están sujetas a todas las advertencias de la sección anterior acerca de la evaluación de
riesgos. Esto significa que no es posible determinar de forma científica el valor de un riesgo y que por
cap
ello una organización no puede contraponerlo de forma rigurosa con su teórica capacidad de asunción
de riesgos.
Si una organización busca protegerse de forma no sistemática contra algunas amenazas que ha
detectado, el coste general de las medidas puede superar al de la estrategia de Continuidad de
123456
Negocio y dar lugar a una protección menos integral y duradera de la que hubiera ofrecido un
programa de GCN.
Transferencia
Es posible transferir un riesgo a un tercero que tenga mejor capacidad para gestionarlo.
Las medidas posibles son:
• Subcontratar. Cada vez son más las organizaciones que están subcontratando partes críticas del
negocio para crear organizaciones virtuales. La transferencia de riesgos es muchas veces un
argumento muy citado en favor de la subcontratación. Es importante recordar que no se puede
subcontratar ni se puede transferir el riesgo para la reputación e imagen de marca de la organización.
El riesgo y la responsabilidad siempre permanecen dentro del negocio.
• Deslocalizar a través de proveedores internos o externos que estén lejos del centro del negocio
(generalmente en otro país) trae consigo nuevas complicaciones en seguridad, además de riesgos
políticos y medioambientales que pueden llamar la atención de clientes y autoridades.
• Asegurar. Es decir, transferir parte de los costes financieros de un incidente a una compañía de
seguros. No obstante en caso de un incidente de gran escala, sólo puede aportar dinero para apoyar
otras medidas de recuperación de negocio y no es una solución suficiente.
Es importante destacar que no se pueden delegar ciertas responsabilidades. La organización puede
ver dañada su reputación o estar sujeta a sanciones por el fallo de la empresa subcontratada.
Cambio, suspensión o cancelación
Cambiar el proceso puede ofrecer una oportunidad para continuar con el negocio de cara a los
clientes, pero el producto o servicio a entregar está "ensamblado" de forma distinta, generalmente
mediante la subcontratación de una parte o toda la operación. Por ejemplo un fabricante puede
convertirse en distribuidora importando productos y reetiquetándolos.
25
Puede resultar apropiado abandonar o vender ciertas partes del negocio cuando la actividad restante
se mantiene viable y puede dejar espacio para una recuperación, o si un producto o servicio está
finalizando su ciclo de vida. También puede resultar una estrategia apropiada para un grupo de
empresas que no quieren sufragar la capacidad de recuperación de una filial marginal. Esta
estrategia comporta riesgos si la reputación de los demás negocios puede resultar dañada por el
fracaso de la parte cancelada.
Si estas decisiones no se toman de acuerdo con el cliente, la organización puede encarar demandas
legales y daños a su reputación en caso de no cumplir las expectativas de un cliente.
Pero si está estrategia recibe el visto bueno de todas las partes, las opciones pueden verse como
soluciones para la Continuidad de Negocio y pueden ser incluidas en el programa de GCN.
Determinar una estrategia de Continuidad de Negocio adecuada dependerá de la aceptación por
parte del cliente y llevar a cabo los cambios de procesos que serían necesarios para cumplirla (ya sea
determinados por adelantado o anticipados después del trastorno).
Las herramientas que pueden utilizarse para desarrollar la estrategia de la Organización para
productos y servicios incluyen:
•El Análisis del Impacto en el Negocio ofrece una técnica para evaluar de forma sistemática el
impacto de las interrupciones para ofrecer productos y servicios. Se puede utilizar para tomar una
decisión acerca de qué productos y servicios deberían ser incluidos en el alcance del programa
basándose en el plazo y magnitud del impacto de la interrupción.
•Análisis de Coste Beneficio (que incluye evaluaciones de proveedores, clientes y demás partes
interesadas, legales y normativas)
• Análisis DAFO (Debilidades/Amenazas/Fortalezas/Oportunidades)
•Planificación y gestión financieras
•Herramientas de planificación estratégica
123456
•Comparación con respecto a los estándares nacionales e internacionales correspondientes

• Análisis PEST (Político/Económico/Social/Técnico)
•Se puede recurrir a técnicas de investigación de mercado para determinar la viabilidad de un
producto después de una interrupción en su suministro.
7. Resultados
Los resultados son:
•Una estrategia acordada para proteger cada producto y servicio de la organización que estén:
cap
• o bien: dentro del alcance del programa de GCN

• o bien: fuera del alcance del programa de GCN
•Un alcance para el programa de GCN que quede documentado en la Política de GCN
8. Revisión
Debería llevarse a cabo una revisión de la Estrategia de GCN de la organización (corporativa) al menos
cada 12 meses. No obstante existen acontecimientos que propician la reevaluación de la estrategia
de GCN, tales como:
•Una revisión del Análisis del Impacto en el Negocio que identifique cambios importantes en los
procesos y prioridades.
•Un cambio significativo en uno o más de los aspectos siguientes: la actitud de la organización frente
a los riesgos (quizás desencadenados por un acontecimiento), las condiciones de mercado, compras o
fusión, nuevos productos o servicios, obligaciones legales o normativas.
26
ACTIVIDADES SUBCONTRATADAS
1. Introducción
Si se subcontrata una parte o la totalidad de un producto o servicio, la responsabilidad de su
continuidad sigue siendo de la organización. Los clientes esperan que la organización haya elegido de
forma responsable a sus socios y haya tomado las medidas adecuadas para garantizar la entrega.
Las obligaciones internas o legales suelen destacar que la responsabilidad última de los servicios
subcontratados sigue siendo de la organización.
2. Propósito
El propósito es asegurar que la entrega de productos y servicios de la organización no se verá
interrumpida por un tercero que provee bienes o servicios a la organización o directamente al cliente
en nombre de la organización.
La organización sigue siendo responsable de la entrega del producto o servicio y no puede delegar esa
obligación en la empresa subcontratada.
4. Proceso
Los procesos para revisar las medidas de Continuidad de Negocio de una empresa subcontratada son
parecidos a los que se emplean para revisar las medidas de la propia organización (ver una sección
posterior).
Es importante que esta información esté disponible para evaluar:
•las ofertas de posibles empresas de subcontratación
•la adecuación constante de las medidas de las empresas subcontratadas ya existentes
Se puede mejorar la robustez en los contratos de subcontratación mediante:
cap
•Una selección apropiada de las empresas subcontratadas
•La especificación en el contrato de los requisitos para la Continuidad de Negocio
•Acuerdo acerca de los niveles de servicio realistas que se ofrecerán durante los incidentes en
cualquiera de las organizaciones
123456
•Involucrar a las empresas subcontratadas en formación, concienciación y pruebas de Continuidad de
Negocio
6. Resultados
Documentación para apoyar la subcontratación que incluye:
•Parámetros obligatorios para la selección de empresas subcontratadas
•Términos contractuales
• Acuerdos de nivel de servicio
•Documentación acerca de los resultados de las pruebas
El resultado debería ser una cadena de suministro robusta que pueda absorber los trastornos sin
impactar de forma seria la entrega de productos y servicios al cliente.
7. Revisión
La revisión de la continuidad del proveedor debería ser una parte importante de la evaluación de las
ofertas a la hora de otorgar o renovar los contratos.
Se recomienda una revisión anual de los resultados del proveedor con respecto a las obligaciones para
la continuidad.
27
GESTIÓN DE PROGRAMA
1. Introducción
Un factor clave de éxito para la GCN es la designación de personas competentes para supervisar y
gestionar el programa de GCN.
Si bien en un principio la GCN puede beneficiarse de un enfoque de gestión de proyectos, conforme
madura la GCN dentro de una organización se necesitan habilidades de gestión de programa para
garantizar el mantenimiento del nivel de preparación.
Los pasos clave en la Gestión de Programa de GCN son:
•Asignación de responsabilidades
•Puesta en marcha de la GCN en la organización
•Gestión de Proyectos
•Gestión constante
•Documentación de la GCN
•Preparación para incidentes y capacidad de respuesta.
cap 123456
28
ASIGNAR RESPONSABILIDADES
1. Introducción
La clave para un programa exitoso de GCN radica en identificar funciones, responsabilidades y
autoridades claramente definidas para la gestión del programa de GCN y sus procesos en toda la
organización y la continua preparación del personal apropiado para saber responder en caso de
necesidad.
2. Pasos previos
La Política de GCN debe identificar las funciones y responsabilidades necesarias que hay que asignar.
3. Propósito
El propósito de asignar funciones y responsabilidades es garantizar que las tareas para llevar a cabo y
mantener el programa están atribuidas a personas específicas cuyos resultados pueden ser
supervisados.
Las autoridades financieras como la Financial Services Authority (FSA) de Reino Unido consideran que
la GCN es un coste que forma parte de hacer negocios y tiene que disponer de los recursos adecuados.
5. Proceso
Un integrante de la dirección ejecutiva debería tener responsabilidad general acerca de la
efectividad de la GCN en la organización. Esto asegura que el programa de GCN tiene el nivel de
importancia adecuado en la organización y dispone de más posibilidades para su puesta en marcha
efectiva.
Se debería nombrar a una persona para gestionar el programa de GCN. Esta persona puede ser
conocida como el Director de Continuidad de Negocio.
Según el tamaño de la organización, se puede asignar personal adicional para ayudar al Director de
cap
Continuidad de Negocio:
•Personal de Continuidad de Negocio para ayudar, como llevar a cabo pruebas o búsqueda de
información
•Personal administrativo de Continuidad de Negocio que lleve a cabo la revisión de la documentación
123456
•Personal de otras unidades de negocio o ubicaciones que ayuden a la puesta en práctica de la
Continuidad de Negocio y sirvan de coordinadores en sus áreas.
El personal asignado al programa de GCN debería recibir la formación adecuada a su función
mediante cursos internos o externos.
Aquellos que gestionan el programa deberían obtener una certificación por parte de un organismo
profesional adecuado, como el Business Continuity Institute.
La integración de las funciones y responsabilidades en descripciones de puestos y el proceso de
evaluación deberían resultar efectivos para garantizar que estas tareas son llevadas a cabo con el
tiempo y esfuerzo adecuados. El éxito en la realización de las tareas debería reflejarse en la política
de incentivos y reconocimientos de la organización.
7. Resultados
Las funciones y responsabilidades de las personas dentro del programa de GCN serán incluidas en las
descripciones de los puestos de trabajo y en la definición de objetivos.
Tanto las personas como la organización deberán entender claramente sus funciones y
responsabilidades.
8. Revisión
La necesidad de personal para la GCN debería ser objeto de discusión para las previsiones anuales del
responsable de Continuidad de Negocio y puede estar sujeta a una auditoría.
29
LA GCN EN LA ORGANIZACIÓN
1. Introducción
Iniciar un Programa de GCN implica coordinar varias actividades que incluyen:
•Momentos de creación de mayor conciencia que mantienen el entusiasmo por emprender un
programa de GCN
•Actividades de recopilación de datos que indicarán la elección de las opciones de continuidad que
respaldarán los objetivos de la organización
•La puesta en marcha de medidas que reduzcan el impacto de un incidente en caso de que ocurriera
cuando el programa está en fase de desarrollo.
2. Pasos previos
Una Política de GCN interna con un programa definido y necesidades de personal bien
presupuestadas.
3. Propósito
El propósito de este paso es garantizar que se pone en marcha un programa de GCN sostenible para
toda la organización. Un programa sostenible es aquel que ha logrado el compromiso de la
organización y posee estructuras y procedimientos que garantizan que se mantiene la preparación y
además se mejora de cara al futuro cercano.
La elección acerca de las actividades a llevar a cabo y el orden en el que se deben realizar dependerá
de la cultura existente y el grado de preparación de la organización. La única regla inamovible es que
no se deberían tomar las principales decisiones acerca de las opciones de Continuidad, así como las
tácticas de recuperación hasta que se haya llevado a cabo la etapa de "Comprender la Organización".
Se puede recurrir a ayuda externa por parte de consultores cualificados en GCN para iniciar un
123456
programa de GCN. Esta medida puede ser efectiva para los costes por ahorrar en tiempo de desarrollo
y necesidades de formación externa. Durante esta etapa uno de los objetivos tiene que ser la
transferencia de conocimientos al personal de la organización.
5. Proceso
El proceso de inicio debería construirse con las actividades descritas en este documento. Entre
ellas:
•Actividades de concienciación:
cap
•Ejercicios sobre el papel con la alta dirección para demostrar lo que pasaría si no existiera un
esquema de respuesta a incidentes y procedimientos
•Presentaciones acerca del impacto de incidentes locales recientes
•Cuestionarios o entrevistas para determinar el estado actual de preparación dentro de la
organización
•Escribir un borrador del alcance del programa
•Discusiones para planificar una Política de GCN
•Recuperación de datos y elección de una opción de continuidad:
•Programa de formación para el equipo que llevará a cabo el Análisis de Impacto en el Negocio (AIN)
•Programa de concienciación para que los directivos entiendan mejor la GCN y sepan responder
mejor a las preguntas planteadas en el AIN
•AIN y Análisis de Requisitos para la Recuperación
•Talleres para analizar los resultados
•Talleres con la alta dirección para determinar las opciones de continuidad
•Medidas para reducir amenazas específicas detectadas
•Borrador de procedimientos para la gestión de incidentes
•Identificar y poner en marcha mejorías rápidas de bajo coste
30
En este documento se describen los métodos, herramientas y técnicas para desarrollar un Programa
de GCN. Se debe recurrir a una metodología de Gestión de Proyectos para supervisar los avances.
•Cuando se trata de iniciar el programa, se debe destinar el tiempo suficiente para complementar
cada actividad con formación de habilidades y ejercicios de concienciación.
7. Resultados
Al final del inicio exitoso de un Programa de GCN la organización debería disponer de:
•Un estado satisfactorio de preparación, generalmente comprobado a través de ejercicios sobre el
papel de los procedimientos de gestión de incidentes
•Procedimientos, estructuras y competencias para mantener y desarrollar la capacidad de GCN
8. Revisión
Mientras se encuentra en la fase inicial, el programa de GCN debe ser revisado al menos una vez al
mes, además de cada vez que se alcance un hito.
cap
123456
31
GESTIÓN DE PROYECTOS
Referencia: BS 25999-1 Sección 5.3.2
1. Introducción
Cuando se inicia un programa de GCN por primera vez es necesario instaurar una disciplina de gestión
de proyecto.
Una vez que todos los elementos clave están en su sitio se llega a una gestión constante de programa.
No obstante, se trata de una práctica útil para un programa constante con resultados claros, como
crear momentos de concienciación en toda la organización.
2. Pasos previos
Un método acordado para la Gestión de Proyectos.
3. Propósito
Generar un empuje inicial para la puesta en marcha de la GCN. El uso de un método para la gestión de
proyectos puede sirve para:
Identificación de resultados
Plazos y fechas de entrega
Controles de presupuesto y esfuerzo laboral
Si bien se pueden identificar resultados claros para algunas tareas de GCN, otras son menos tangibles,
por lo que puede resultar difícil llevar a cabo algunas tareas de la gestión de proyectos en su sentido
más estricto. Por ejemplo en un Análisis de Impacto en el Negocio suele existir un elemento de
"descubrimiento" que vuelve difícil una cuantificación del tiempo necesario para llevarlo a cabo.
5. Proceso
Se puede utilizar este documento para definir un plan para la puesta en marcha inicial de un
programa de GCN. Las etapas típicas del proyecto con resultados definidos son:
123456
•Generar concienciación - defender la GCN

•Definir el alcance del programa (borrador de Política)
•Análisis de Impacto en el Negocio
•Análisis de riesgos
•Elección de la opción para la continuidad
•Desarrollar y poner en marcha la respuesta
•Desarrollar y dirigir un simulacro sobre el papel que verifique la efectividad de un primer borrador
cap
del plan
Las estimaciones de trabajo para ciertas etapas del proyecto dependerán muchas veces de los
resultados de las etapas anteriores.
También se puede aplicar métodos de gestión de proyectos para ciertos elementos del programa de
GCN con resultados claros, como:
•Desarrollar y dirigir un simulacro de GCN
•Desarrollar y ofrecer un programa de formación al personal
•Seleccionar a un proveedor para un recurso de continuidad
Existen varios métodos para la gestión de proyectos, muchos de ellos con software de apoyo. Se
debería recurrir a un método apropiado para el tamaño y complejidad de la organización.
7. Resultados
La puesta en marcha inicial del programa de GCN puede ser llevada a cabo mediante varios proyectos
con resultados claros y estimaciones de trabajo.
8. Revisión
El método de proyecto adoptado debería incluir los requisitos para revisiones periódicas para evaluar
el progreso con respecto a fechas o hitos predeterminados y estimaciones de trabajo.
32
GESTIÓN CONTINUA
1. Introducción
Un programa efectivo de GCN requerirá la participación de diversas disciplinas de gestión, operación,
administrativas y técnicas que deben ser coordinadas a lo largo de su ciclo de vida mediante
procedimientos como los indicados en este Manual.
El Programa debe gestionarse dentro del marco y de acuerdo con los principios contenidos en la
Política de GCN de la organización.
2. Pasos previos
Puesta en práctica con éxito de las actividades de iniciación del Programa.
3. Propósito
El propósito del proceso de gestión es ofrecer una gestión constante efectiva del programa de GCN de
la organización.
El número de profesionales dedicados a la GCN y personal de otras especialidades necesario para
gestionar el programa depende del tamaño, naturaleza, complejidad y ubicación de la organización.
En organizaciones más pequeñas es posible que el responsable de la GCN tenga otras funciones. Rara
vez esto es buena solución cuando alguna de esas otras funciones también involucre una
responsabilidad operativa diaria.
En una organización de mayor tamaño pueden existir varias personas que dediquen todo o parte de su
tiempo a la GCN. En tal caso se puede establecer una jerarquía y puede que los que dirijan el
programa necesiten tener capacidad de gestión de personal (además de habilidades para la GCN).
5. Proceso
La Dirección de la organización debería:
cap
•Nombrar a una persona o un equipo para gestionar el programa de GCN
•Definir el alcance del proceso de gestión y el programa
•Aprobar el presupuesto de continuidad
•Supervisar el resultado del proceso de gestión
123456
El equipo de GCN designado debería (junto con la Dirección):
•Desarrollar y aprobar un proceso de planificación de GCN y el programa.
•Determinar los enfoques clave para cada fase del ciclo de vida de GCN tal y como se describen más
adelante
•Iniciar o gestionar las actividades de GCN apropiadas dentro de la organización
•Promover la Continuidad de Negocio en toda la organización y fuera de ella en donde sea
conveniente
•Gestionar el presupuesto de continuidad
•Documentar el programa de GCN
•Investigar la capacidad de preparación en la que se encuentran las demás organizaciones del mismo
sector y las obligaciones marcadas por leyes y normas
•Informar al directivo de forma constante del grado de preparación en el que se encuentran y
destacar los retrasos y problemas
El equipo de GCN puede (junto con los ejecutivos de negocio):
•Identificar y formar representantes de Continuidad de Negocio en los departamentos o en otras
ubicaciones para:
•Servir de punto de contacto para las cuestiones de Continuidad de Negocio que tengan que ver con
el departamento o ubicación
•Ayudar al departamento a identificar las implicaciones de la Continuidad de Negocio en los
cambios de procesos
•Informar al equipo de GCN de los cambios en los procesos
•Ayudar o dirigir la recuperación del departamento o ubicación en caso de interrupción.
33
•Los métodos, herramientas y técnicas para gestionar un programa de GCN incluyen:
•Este Manual de Buenas Prácticas
•Una ficha de auto evaluación de la Política de GCN
•Evaluaciones anuales de resultados para cada persona
•Gestión de la relación con proveedores y empresas subcontratadas para los productos y servicios
•Gestión de la relación con proveedores y el especialista en GCN
•Gestión financiera
•Asesoramiento legal
•Comparación de la GCN en las demás empresas del sector (Proceso y Métricas)
•Estándares nacionales e internacionales como el BS 25999
•Auditoría de GCN internas y/o independientes
•Revisión y motivación.
7. Resultados
Los resultados del programa de GCN incluyen:
•Un programa de Gestión de Continuidad de Negocio claramente definido que ha sido aceptado por la
alta dirección.
•Informes de cumplimiento de GCN en intervalos predeterminados
•Una estrategia de GCN y estándares claramente definidos y documentados
•Un proceso de gestión que forma parte integral del programa de GCN y ciclo de vida de la
organización
•La revisión de las soluciones para la recuperación de la organización
•El presupuesto anual del programa de GCN
•El informe de auditoría del programa de GCN
•El mantenimiento de capacidades efectivas para la GCN
123456
•Experiencias exitosas en notificación, traspaso de responsabilidades, prevención y recuperación

8. Revisión
Un programa de GCN debería ser gestionado de forma constante.
El programa debería ser revisado por auditores internos o externos en los plazos que ellos
determinen.
cap
34
DOCUMENTACIÓN
1. Introducción
Una parte importante del proceso de GCN es gestionar toda la documentación de GCN. Tiene que
hacerse de forma consistente, fácil de comprender y que apoye tanto la supervisión de operación
como las auditorías. El nivel y tipo de la documentación debe corresponderse con el tipo y tamaño de
la organización.
2. Pasos previos
Las organizaciones que han recibido la certificación de estándares como el ISO 9000 o ISO 27001
tendrán que asegurarse que la documentación de GCN cumple con esos estándares.
3. Propósito
La documentación de GCN tiene tres propósitos:
•Gestionar el programa de forma efectiva.
•Demostrar que el programa ha sido gestionado de forma efectiva en caso de auditoría.
•Durante una interrupción, disponer de la documentación efectiva y actualizada que se necesita para
la gestión de incidentes y la recuperación de la actividad.
Si bien es importante mantener la documentación de GCN, su sola existencia no demuestra que se
dispone de la capacidad para responder a un incidente.
Se tiene que ofrecer al personal una formación adecuada en la operación de las aplicaciones software
utilizadas en el programa. Aquellos responsables del mantenimiento de los planes deberían ser
capaces de actualizar su documentación, ya que esto les ayuda a sentirse involucrados y disminuye
las necesidades de personal administrativo en la supervisión central de GCN.
Un software especializado de GCN puede suponer ciertas ventajas para el mantenimiento, pero
cap
también significa un coste constante en formación a lo largo del programa.
5. Proceso
El mantenimiento de la documentación de la GCN debería estar integrado con los procedimientos de
gestión de cambio de la organización.
123456
•Se puede utilizar un software para gestionar la documentación de la GCN.
•Un procesador de texto puede utilizarse para los documentos de texto como la Política.
•Se pueden utilizar hojas de cálculo y bases de datos para la logística de los planes de respuesta.
•Se puede utilizar un software especializado para los planes.
•También se puede utilizar un software para garantizar que las diferentes ubicaciones de la
organización disponen de copias actualizadas de los documentos.
7. Resultados
•Un conjunto actualizado de documentación GCN . Puede incluir lo siguiente:
•Una Política de GCN que incluya su alcance y principios.
•Análisis del Impacto en el Negocio.
•Evaluación de riesgos y amenazas.
•Estrategias de GCN con informes que sustenten la elección de las estrategias adoptadas.
•Planes de respuesta
-Planes de Gestión de Incidentes
-Planes de Continuidad de Negocio
-Planes por departamentos de Recuperación de Negocio
•Calendario de pruebas e informes
•Programa de concienciación y formación
•Acuerdos de niveles de servicio con clientes y proveedores
•Contratos con terceras partes para servicios de recuperación como espacio de trabajo y rescate
Revisión
El ciclo de revisión de cada documento se puede consultar en las secciones relativas a su creación y
utilización. La documentación y los controles deberían ser revisados por auditores internos o
externos con la regularidad que ellos determinen.
35
PREPARACIÓN PARA LOS INCIDENTES Y SUS RESPUESTAS
1. Introducción
A pesar de que la Gestión de Continuidad de Negocio es principalmente una actividad de
planificación, es inevitable que se espere del equipo de GCN que lidere cuando se tenga que
responder a un incidente.
2. Pasos previos
Los responsables de la GCN deberían asumir que la gestión de incidentes se haría progresivamente
cargo en caso de tener que poner el plan en práctica.
3. Propósito
El equipo de GCN es el que posee el conocimiento más detallado acerca de las estrategias generales y
las acciones que necesitan llevarse a cabo inmediatamente. Tienen que apoyar a la dirección con
evaluaciones y actividades preventivas hasta que entre en operación el Equipo de Gestión de
Incidentes.
Se suele asumir que aquellos que han desarrollado el plan son los mejores para responder a un
incidente. Sin embargo suele existir una contradicción entre las características de personalidad que
se exigen a un planificador y las necesarias en un líder. Cualquier problema relativo a esta cuestión
debería salir a la luz tras la realización de simulacros realistas.
5. Proceso
Recibir notificación de un problema.
Evaluar la situación y luego:
•gestionar la respuesta a través de los planes previstos
•o transferir el problema al equipo de gestión de incidentes
Si es necesaria una respuesta, entonces se deben considerar inmediatamente los siguientes aspectos:
123456
•¿Está usted preparado, tanto física como emocionalmente para ayudar o dirigir la respuesta?
•¿Están presentes las demás personas que tienen que aportar una respuesta? ¿Son capaces de asumir
los papeles que les han asignado? Algunas personas pueden reaccionar a un incidente con un
comportamiento inusual
•¿Ha comunicado lo sucedido a la alta dirección?
Existen muchos métodos para gestionar incidentes, aquí sugerimos uno genérico.
cap
•Contener - ¿Hay algo que se pueda hacer de inmediato para evitar que empeore el problema?
•Seguir el Plan - ¿Existe una respuesta planificada con antelación que se corresponda con el
incidente?
•Seguir el procedimiento documentado, el cual puede incluir los pasos siguientes:
•comunicar - Tratar de resolver el problema en solitario puede hacer perder tiempo si la situación se
descontrola.
•si necesario, crear un equipo de respuesta
•evaluar la situación - Averiguar tanto como se pueda sin incurrir en riesgos personales
•Predecir el resultado más probable y adaptar el Plan de Continuidad de Negocio para ofrecer una
estrategia de respuesta
•Predecir un resultado para el peor de los casos y disponer de una estrategia de respuesta de respaldo
•Llevar la respuesta al grado adecuado de responsabilidad dentro de la organización
•Poner en práctica la estrategia de respuesta
•Evaluar el progreso de la respuesta con respecto al resultado más probable
•En cuanto la situación lo permita, revisar la efectividad de la respuesta
7. Resultados
El resultado de una respuesta exitosa es un regreso controlado de la organización a su actividad
normal.
8. Revisión
La respuesta de la organización debería evaluarse tan pronto como sea posible después de la
interrupción y efectuar las modificaciones necesarias a los procedimientos, personal o contratos.
36
INDICADORES DE GCN
Estos son los elementos clave que se esperan de una organización madura que cuenta con GCN:
COMPROMISO DE LA ALTA DIRECCIÓN
1. La organización posee una política de GCN
2. El Consejo de Administración o su equivalente es responsable último de la instauración de la
Política GCN
3. El Consejo de Administración ha nombrado a un comité o persona con autoridad, experiencia y
capacidad necesarias para responsabilizarse y rendir cuentas de la política de GCN
4. La responsabilidad operativa de la GCN se refleja claramente en los objetivos de resultados de la
alta dirección
5. La alta dirección ha definido directrices claras de responsabilidad e información para todas las
personas a cargo de la GCN
6. Existe una autoridad centralizada de GCN que se encarga de asegurar que toda la organización
comparte estándares y prácticas comunes
CONTENIDO DE LA POLÍTICA
7. Define principios, objetivos y el propósito de la GCN en la organización
8. Expone la definición de GCN para la organización
9. Expone los procedimientos que garantizan que todas las unidades de negocio tienen total
conocimiento y cumplen la política
10. Explica de forma clara los límites de alcance y las salvedades que se aplican en su interpretación
11. Expone plazos explícitos para el cumplimiento de todos los objetivos de la política de GCN
12. Hace referencia al conjunto de estándares mínimos adoptados para la GCN
13. Hace referencia al marco operativo y de gestión de la GCN
14. Hace referencia a la tolerancia o capacidad de absorción de riesgos de la organización
cap
relacionados con la GCN
15. Obliga a promover la GCN dentro de la cultura de la organización
16. Obliga a que todas las terceras partes y empresas subcontratadas de crítica importancia
dispongan de políticas de GCN aceptables
123456
17. Apoya y está en línea con los objetivos estratégicos de la organización
GESTIÓN DE PROGRAMA DE GCN
18. La política exige controles de cambios efectivos para todos los componentes del programa de GCN
19. La política se revisa de forma regular para asegurar que refleja las necesidades cambiantes de la
empresa
20. La política define factores desencadenantes para revisiones de todos los componentes de la GCN,
tanto las periódicas como las causadas por cambios
21. Está instaurado un programa de GCN para poner en práctica la política de GCN en todas las áreas
de la organización
22. Sus objetivos y alcance están claramente definidos y formalmente aceptados por la alta dirección
23. Está completa y claramente en línea con los objetivos y estrategias más amplios de la
organización
24. Sus avances se comunican de forma regular a los proveedores, clientes y demás partes
interesadas de la organización
25. Está formalmente gestionado por la alta dirección, a la cual se informa sistemáticamente del
grado de cumplimiento de objetivos
26. Siempre se actualiza rápidamente para reflejar las nuevas adquisiciones del negocio, acuerdos de
subcontratación y cambios principales en proyectos o sistemas
RECURSOS DE LA GCN
27. Están formalmente supervisados, respaldados y autorizados por la alta dirección
28. Están supervisados, gestionados y operados por personas competentes y cualificadas
29. Definen claramente y reconocen formalmente los roles, responsabilidades y grados de autoridad
de las personas involucradas en su operación
30. Los roles y responsabilidades de todas las personas en el programa se reflejan de forma clara en
sus perfiles de puestos y objetivos de resultados
37
31.El programa de GCN identifica las siguientes medidas como obligatorias:

•A. Análisis de Impacto en el Negocio (AIN)
•B. Evaluación de riesgos relacionados con la continuidad
•C. Previsión de estrategias realistas de continuidad de negocio
•D. Planificación de gestión de incidentes
•E. Planificación de continuidad de negocio
•F. Probar la GCN
•G. Promover la concienciación en GCN
•H. Mantener la capacidad en GCN
•I. Gestión efectiva de programa de GCN
•J. Adopción de política de GCN
GESTIÓN DE PROYECTO
32. Las actividades se revisan y autorizan formalmente por una persona con autoridad adecuada
33. Los proyectos se revisan y actualizan para tomar en cuenta los cambios que afectan su validez
34. Los proyectos se gestionan formalmente con respecto a plazos y objetivos definidos en la política
DOCUMENTACIÓN
35. El programa de GCN está documentado de forma clara y completa
36. El programa de GCN especifica claramente el punto de vista que se utilizará para documentar
cada componente
37. El programa de GCN controla toda la documentación obligatoria de la actividad de GCN.
cap 123456
38
COMPRENDER LA ORGANIZACIÓN
capítulo 1 2 3 4 5 6
Comprender
la organización
39
Acerca del Capítulo 2 - Comprender la organización
Comprender la organización es un elemento clave de toda buena Gestión de Continuidad de Negocio.
Busca identificar los productos y servicios clave de una organización, y tras ello definir los factores
críticos de las actividades que están detrás. Esta parte de la GCN debe estar totalmente integrada
dentro de los objetivos, obligaciones y estatutos de la organización.
Una comprensión del negocio mediante la combinación de un Análisis del Impacto en el Negocio (AIN)
y una Evaluación de Riesgos (ER) puede en muchos casos destacar las ineficiencias del negocio y
centrarse en prioridades que de otra forma no podría ver la alta dirección.
1. PRINCIPIOS GENERALES
2. ANÁLISIS DEL IMPACTO EN EL NEGOCIO
3. EVALUAR LOS REQUISITOS DE RECUPERACIÓN
4. EVALUAR LAS AMENAZAS (EVALUACIÓN DE RIESGOS)
cap 123456
40
Principios generales
Tal y como se describe en la sección dedicada a la Política de GCN, la organización debe tomar una
decisión clara acerca de si la GCN afectará a toda la organización o sólo a ciertos productos o
servicios. Esto determina el alcance del Análisis del Impacto en el Negocio (AIN) y de la Evaluación de
Riesgos (ER).
Las herramientas para comprender su negocio desde un punto de vista de continuidad de negocio son:
•Análisis del Impacto en el Negocio (AIN) - un proceso obligatorio para calcular el impacto en el
tiempo de una interrupción en la capacidad de operar de una organización.
•Análisis de Requisitos de Continuidad - para calcular los recursos, instalaciones y servicios que
necesitará cada actividad cuando se reinicie.
•Evaluación de Riesgos (ER) - para calcular la probabilidad de amenazas conocidas y su impacto sobre
funciones específicas.
El AIN identifica la urgencia de cada actividad de negocio llevada a cabo por la organización al evaluar
el impacto en el tiempo de una interrupción de esta actividad en la entrega de productos y servicios.
Se utiliza esta información para identificar el plazo de las estrategias de continuidad y recuperación
apropiadas para cada actividad por separado y entre ellas.
El Análisis de Requisitos para la Continuidad ofrece la información que permitirá determinar la
magnitud (tamaño y cantidad) de las medidas apropiadas de continuidad.
La Evaluación de Riesgos (ER) ayuda a identificar las posibles causas de interrupción en una
organización, la probabilidad de que suceda y el impacto en caso de que la amenaza se materialice. A
partir de entonces se pueden detectar medidas que reduzcan la probabilidad de que suceda o
cap
aminoren el impacto de un incidente que se produzca por estas amenazas. Dentro del programa de
GCN, tras estudiar los resultados del AIN, una ER debería dar prioridad a tecnologías específicas y
riesgos inherentes a las actividades de negocio identificadas, y no en todos los riesgos que encara la
organización.
123456
41
ANÁLISIS DEL IMPACTO EN EL NEGOCIO

Referencia: BS 2999-1 Sección 6.2—3
1. Introducción
El Análisis del Impacto en el Negocio son los cimientos sobre los que se construye todo el proceso de
GCN.
Identifica, cuantifica y califica los impactos sobre el negocio de una pérdida, interrupción o trastorno
de los procesos de una organización y ofrece los datos a partir de los que se determinan las estrategias
de continuidad adecuadas.
Se puede utilizar un Análisis del Impacto en el Negocio (AIN) para identificar el plazo y magnitud del
impacto de un trastorno en varios niveles de una organización. Por ejemplo para examinar el efecto
de:
•La pérdida de capacidad para entregar cada producto o servicio - para tomar decisiones informadas
acerca del alcance del programa de GCN.
•Una interrupción de las actividades internas y externas que crearía un trastorno en la entrega de
productos y servicios - para disponer de información para elegir las opciones de continuidad y los
recursos que necesitan.
•Un trastorno en una actividad de negocio - para ayudar a preparar un plan detallado para el
departamento.
Una vez determinado el alcance, el AIN se centra en las actividades (que apoyan esos productos y
servicios) e identifica aquellas cuya deficiencia pondría más rápido en riesgo la entrega. Tienden a
ser actividades "operativas" que interactúan de forma directa con clientes o otras organizaciones
externas. No obstante es posible que estas actividades dependan para la entrega del "apoyo" de otros
procesos internos y externos, que también deberán ser analizados.
Algunos ejemplos de funciones operativas:
123456
•Servicio a cliente
•Ventas
•Producción
Algunos ejemplos de funciones de apoyo:
•TI
•Recursos humanos
•Servicios externos de apoyo tales como energía
cap
Algunos ejemplos de actividades estratégicas:

•Dirección
•Proyectos
•Planificación
2. Pasos previos
Antes de intentar realizar un Análisis del Impacto en el Negocio (AIN) es necesario lograr el apoyo
total de la dirección ejecutiva y la mayoría de la alta dirección. Es poco probable que los demás
directivos estén dispuestos a dedicar tiempo a este ejercicio si no está asegurado el apoyo de las más
altas esferas.
Antes de llevar a cabo el AIN se puede haber tomado una decisión acerca de qué productos y servicios
se incluirán en el programa de GCN, algo que quedará documentado en la Política de Gestión de
Continuidad de Negocio (GCN). El método de AIN también puede utilizarse para comprender el
impacto de un fracaso en la entrega de un producto o servicio. Esto luego sirve para tomar decisiones
informadas.
La Política de GCN es el documento clave que determina el alcance y buen gobierno del programa de
GCN. La Política ofrece el contexto en el que el equipo de GCN pondrá en marcha las competencias
necesarias. Para desarrollar un programa adecuado de Gestión de Continuidad de Negocio debe
asegurarse que refleja los objetivos y la cultura de la organización (Ver Capítulo 1).
42
3. Propósito
El propósito de un Análisis del Impacto en el Negocio es - para cada actividad, producto y servicio:
•Documentar los impactos a lo largo del tiempo causados por su pérdida o trastorno
•Dar elementos a la dirección para tomar una decisión acerca del Período Máximo Tolerable de
Interrupción
Identificar las dependencias (tanto internas como externas) que se generan obligatoriamente para
que la actividad opere de forma efectiva
Es posible, e incluso deseable, que se utilice un AIN para evaluar por adelantado el impacto de una
interrupción de un cambio sustancial de negocio, como:
•Introducción de un nuevo producto, proceso o tecnología
•Cambio de ubicación de las oficinas o modificaciones de la extensión geográfica del negocio
•Cambio significativo en las operaciones, estructura o niveles de personal del negocio
•Incorporación de un nuevo proveedor o contrato de subcontratación importantes
Conceptos
•Período Máximo Tolerable de Interrupción (PMTI). Se trata del plazo después del cual la viabilidad de
una organización (tanto financiera como por pérdida de reputación) se verá amenazada de forma
irrevocable si no puede reiniciar la entrega de un producto y servicio específico.
•Es posible que el PMTI tenga un componente estacional. Por ejemplo, el final de un año fiscal puede
reducir el tiempo tolerable de interrupción de la actividad financiera y un contrato único que
conlleve penalizaciones significativas puede reducir el nivel tolerable de inactividad de varias
funciones de la organización.
•Objetivo de Punto de Recuperación (OPR) - es el punto en el que la información debe ser restaurada
para permitir la operación de una actividad una vez se haya reiniciado.
Terminología: actividades 'críticas'
cap
•Tras determinar el PMTI de cada actividad, suele ser recomendable vincular esas actividades con
requisitos similares de recuperación. Algunas veces las organizaciones definen estos grupos según su
plazo de recuperación (por ejemplo, 1 día, 2 día, 1 semana,... etc); otras utilizan el término "críticas"
para ciertas actividades necesarias en los primeros días.
123456
Aquellos que no estén familiarizados con la terminología de GCN, se suele confundir el término
"crítico" como "importante", lo que conlleva confusiones a la hora de recolectar datos para el AIN y la
creencia errónea de que no se necesitan planes y tácticas de recuperación para las actividades "no
críticas". Otros términos menos ambiguos son "crítico en tiempo", "sensible al tiempo" y "urgente".
Suposiciones
•Se asume que es posible entender la organización mediante el análisis por separado de sus
actividades de negocio.
•Es posible que el PMTI sea difícil de determinar en el caso de funciones con componentes
estacionales o periódicos como los proyectos de final de año. En tales casos el análisis de impacto
debería centrarse en una interrupción de la actividad durante uno de estos picos.
•Cuando ya existan medidas de resistencia instauradas, se asume que ya están operativas (aunque
pueden revelarse inadecuadas).
Confidencialidad de la información
•Es posible que cierta información tenga carácter confidencial para el mercado o el sector, por lo que
algunas organizaciones no la revelarán al responsable de GCN. El hecho de no disponer de esta
información no debería impedir la relación del AIN, aunque podría afectar a la fiabilidad de los
resultados finales.
5. Proceso
Alcance y magnitud
•Si la organización es parte de un grupo – identificar la relación existente entre las diferentes partes
de la organización, ya que esto puede afectar al PMTI.
•Si la organización tiene varias ubicaciones, determinar el alcance geográfico del AIN de la Política.
•Conseguir que el responsable de proyecto nombrado por la alta dirección ratifique los términos de
referencia.
43
Análisis del Impacto en el Negocio

•Identificar las actividades diferenciadas a lo largo de la organización (que pueden implicar a varios
departamentos) y los responsables de esos procesos.
•Identificar el personal adecuado del que se puede conseguir la información acerca de los procesos –
los expertos en la materia.
•Identificar los impactos que pueden provocar daños para la reputación, activos o situación
financiera de la organización.
•Cuantificar los tiempos en los que una interrupción de cada actividad resulta inaceptable para la
organización.
•En aquellos casos en el que la organización dispone de varios emplazamientos puede ser necesario
decidir cuál será el alcance geográfico de un trastorno o la magnitud de la pérdida de recursos que la
organización tiene que planificar de cara a sobrevivir. Esto puede ser determinado por:
-Amplitud geográfica (o extensión de mercado/cliente)
-Obligaciones legales o estatutarias
-Requisitos de los productos, del mercado o de los clientes
Informes
•Lograr que los responsables de los procesos ratifiquen los datos para confirmar la fiabilidad de la
información.
•Obtener el respaldo del responsable de GCN para las conclusiones.
6. Métodos y Técnicas
Recopilación de datos
Algunos métodos, herramientas y técnicas para llevar a cabo los Análisis de Impacto en el Negocio:
•Talleres
•Cuestionario (s) - en papel y/o software
•Entrevistas (estructuradas y no estructuradas)
123456
En términos generales:
•Los talleres ofrecen resultados rápidos y una oportunidad para establecer un compromiso directo
con el programa siempre y cuando todos los departamentos y participantes hayan asumido su
importancia.
•Los cuestionarios ofrecen grandes cantidades de datos, pero la calidad de la información puede ser
muy cuestionable si no se han obtenido de forma coherente.
•Las entrevistas pueden ofrecer muy buena información pero llevan tiempo y los datos logrados
cap
pueden variar en formato y detalle.

•La combinación de los métodos reseñados puede ofrecer excelentes resultados siempre y cuando se
establezca un grado adecuado de detalle y un formato estándar de informes que permitan una
coherencia en la recopilación y análisis de la información a lo largo de múltiples áreas de la
organización.
Cuestionarios para la recopilación de datos
No existe una metodología única para recoger los datos en un Análisis del Impacto en el Negocio. Los
métodos cambian según el sector y según las personas responsables. Cada sector de actividad tiene
sus necesidades específicas en lo que se refiere a resultados, tipos de información, profundidad y
alcance. No obstante se deben considerar algunos principios básicos:
•El objetivo del AIN es recopilar información que sustenten la elección de las estrategias de
continuidad adecuadas, que se sustenta en la urgencia de cada actividad para reiniciarse
•¿Cómo se utilizará la información que recoja?
•¿Cuál es el mejor formato para la recopilación de datos de cara a presentar resultados de forma
efectiva?
•Información básica que se necesita para determinar la urgencia de la actividad que se analiza tanto
por separado como siendo parte integral de la organización:
-Plazos en los que la actividad debe reiniciarse
-Ubicaciones desde las que se lleva a cabo la actividad
-Cuestiones que influyen sobre la actividad, por ejemplo períodos pico, informes a las
autoridades...
•Cuál sería el impacto de suspender la actividad
•Cuánto tiempo puede sobrevivir la organización sin ella
44
-¿Existen alternativas?
•Factores que deben tomarse en cuenta:
-Volúmenes, por ejemplo, llamadas por hora, producción...
-Obligaciones contractuales o legales
-Herramientas clave para lograr la continuidad de la actividad (cuántas, dónde y cuándo):
-Personal – conjunto de habilidades
-Equipos – TI, telecomunicaciones, planta de fabricación / industrial
-Datos – en papel y electrónicos
-Dependencias – internas o externas a la organización
Software
Existen varios productos informáticos disponibles para llevar a cabo Análisis del Impacto en el
Negocio que pueden ser útiles, aunque no esenciales. Las principales ventajas de utilizar un software
radican en la facilidad de analizar resultados, el almacenamiento de información y la elaboración de
informes de resultados. No obstante, su utilización no elimina la necesidad de realizar entrevistas o
involucrar a las personas que conozcan la actividad que se analiza.
Informes
Cada organización tiene su estilo para elaborar informes. En algunos casos ese estilo tendrá que ser
ajustado para lograr que muchos grupos lo puedan interpretar dentro de la misma organización y
puede incluir tablas y gráficos. El formato idóneo de informes de la organización debe ser establecido
y acordado en el momento de determinar el alcance de la actividad ya que el formato final de reporte
puede afectar la forma de recopilar, agregar, analizar y presentar la información.
7. Resultados
Los resultados de un Análisis del Impacto en el Negocio son:
1) El Período Máximo Tolerable de Interrupción y su justificación (naturaleza de los impactos) para
cada
cap
actividad
2) El Objetivo de Punto de Recuperación (OPR) al que la información tiene ser restaurada para
permitir que una actividad opere una vez que se ha reiniciado.
8. Revisión
123456
Las buenas prácticas indican que un Análisis del Impacto en el Negocio debería revisarse como mínimo
una vez al año, pero de forma más frecuente en caso de:
•Un cambio importante en el negocio a un ritmo particularmente agresivo
•Un cambio importante en los procesos internos de negocio, ubicación o tecnología
•Un cambio importante en el entorno externo de negocio, como un cambio en el mercado o en las
leyes.
Esto no significa necesariamente que se deba rehacer todo el AIN. Un diseño cuidadoso de los
informes del AIN puede facilitar este proceso si ofrece una comparación con respecto a cambios en las
áreas reseñadas. En tal caso se puede medir los cambios de impacto relativos a esas cuestiones.
45
EVALUAR LOS REQUISITOS DE CONTINUIDAD

1. Introducción
El Análisis de Requisitos de Continuidad recopila información acerca de los recursos necesarios para
reiniciar y continuar las actividades de negocio al nivel suficiente para satisfacer las obligaciones de
las organizaciones.
2. Pasos previos
Este paso se suele dar al mismo tiempo que se busca la información para el AIN.
3. Propósito
Su propósito es:
•Ofrecer la información de recursos a partir de la que se puede recomendar o determinar una
estrategia de recuperación adecuada
•Identificar las necesidades de recursos derivadas de las dependencias tanto internas como externas
que se generan para llevar a cabo las actividades
Requisitos de Continuidad
Se suele asumir que los recursos necesarios después de un trastorno serán mucho menores que los que
se requieren durante las operaciones normales - al menos durante un tiempo. Sin embargo en algunos
casos es posible que los recursos necesarios en las primeras etapas de recuperación sean mayores de
los normalmente utilizados para resolver retrasos en la entrega. Por ejemplo, en un centro de
llamadas se puede necesitar personal adicional para resolver la cantidad de llamadas suplementarias
que se recibirán tras una interrupción, además de que puede que los sistemas de TI de apoyo
necesiten una mayor capacidad para responder a este número suplementario de usuarios.
5. Proceso
123456
Requisitos de Continuidad
Cuantificar los recursos (es decir, personal, tecnología, telefonía...) que serán necesarios a lo largo
del tiempo para mantener el negocio en un nivel aceptable durante el plazo máximo tolerable de
trastorno. Durante un tiempo después del trastorno pueden ser menores o mayores que las
necesidades habituales de recursos. Deberían tener en cuenta cualquier actividad suplementaria que
se generará a consecuencia de la interrupción y la necesidad de eliminar los retrasos en la entrega
que ya existían.
cap
Informes
•Hacerlos ratificar por el responsable del proceso para confirmar la veracidad de la información
•Lograr que las conclusiones estén respaldadas por el responsable de GCN
Presentarlos a la alta dirección para determinar si los resultados se verían impactados por
cualquiera de las modificaciones de negocio propuestas y para su aprobación para que pasen a la
etapa de diseño de estrategia.
Iniciar el desarrollo de la estrategia de GCN
6. Métodos y Técnicas
Recopilación de datos
Los métodos, herramientas y técnicas para llevar a cabo un Análisis de Requisitos de Continuidad
incluyen:
•Talleres
•Cuestionario (s) - en papel y/o software
•Entrevistas estructuradas o no estructuradas
•Se suele recoger esta información al mismo tiempo que la información relativa al AIN
7. Resultados
Los resultados de un Análisis de Requisitos de Continuidad son:
•Los recursos que se necesitan durante el tiempo después del retorno de la actividad para ofrecer los
niveles de servicio acordados.
•Las interdependencias entre actividades internas y proveedores externos.
Esta información alimenta de forma directa la etapa de creación de una Estrategia de Continuidad de
Negocio.Las necesidades de recursos ofrecerán los datos para evaluar soluciones alternativas de
recuperación que se adecuen en tamaño y resultados.
46
8. Revisión
La revisión del análisis de requisitos de continuidad debería realizarse al mismo tiempo que la del AIN.
EVALUAR LAS AMENAZAS (EVALUACIÓN DE RIESGOS)

1. Introducción
En el contexto de la GCN, una Evaluación de Riesgos estudia la probabilidad e impacto de una serie de
amenazas específicas que podrían causar una interrupción en el negocio. Asignando prioridades es
posible instaurar medidas para reducir la probabilidad o frenar el impacto de estas amenazas.
Cuando se evalúan las amenazas para las actividades del negocio, el AIN ofrece una dimensión
suplementaria (tiempo) en la conocida ecuación Impacto de la Amenaza x Probabilidad. Esto sugiere
que los esfuerzos para instaurar iniciativas para atacar los riesgos deberían dirigirse a aquellas
actividades que afectarán más rápido el negocio.
Es difícil extender el Análisis de Riesgos a toda la organización. Pero al centrarse en los recursos
necesarios para operar las actividades más urgentes de la organización (es decir, siguiendo un AIN), el
enfoque de la Evaluación de Riesgos puede reducirse a un alcance más manejable.
Debería entenderse que la Evaluación de Riesgos presenta serias deficiencias a la hora de evaluar
riesgos operativos catastróficos porque:
•Es imposible identificar todas las amenazas.
•Las estimaciones de probabilidad son conjeturas o están basadas en información histórica y a veces
poco fiable.
•Los impactos no son fijos ("alto, medio y bajo") pero crecen en diferentes ritmos con el paso del
tiempo.
•Las escalas numéricas utilizadas suelen exagerar el impacto de acontecimientos menores.
cap
La Evaluación de Riesgos puede identificar concentraciones de riesgos inaceptables y lo que se llama
"puntos únicos de fallo". Estos deben ser comunicados lo antes posible al responsable de Continuidad
de Negocio en la alta dirección además de presentarle opciones para resolver el problema. La
decisión estratégica de mitigar, transferir o aceptar el riesgo debe estar documentada y ratificada.
123456
En algunos países y sectores es obligatorio realizar la Evaluación de Riesgos.
2. Pasos previos
Antes de efectuar una Evaluación de Riesgos se debe llevar a cabo un Análisis del Impacto en el
Negocio para identificar las funciones más urgentes en las que debe centrarse la evaluación de
riesgos.
3. Propósito
El propósito de una Evaluación de Riesgos es:
•Identificar las amenazas internas y externas que podrían causar un trastorno y evaluar su
probabilidad e impacto
•Dar prioridad a las amenazas según una fórmula acordada
•Dar elementos de juicio para un programa de control de gestión de riesgos y un plan de acción.
Conceptos:
Independiente de la complejidad de la fórmula que se adopte, se asume la relación siguiente:
•Riesgo = Impacto de la amenaza x Probabilidad
Algunos modelos de riesgo ordenan los riesgos por: Prioridad = Riesgo x Capacidad para controlar ese
riesgo. Esto asigna una prioridad a las amenazas que son más fáciles de controlar con el argumento
implícito de que así se logrará el mejor retorno para la inversión en tiempo y dinero, pero no tiene en
cuenta muchos impactos externos.
En otros modelos de riesgo los riesgos evaluados se examinan sin la existencia de controles y luego con
los controles reales y deseados ya instalados. Este segundo paso sirve para recalcar que no se deben
hacer suposiciones a la hora de gestionar el entorno de control de riesgos y que se debería de medir la
efectividad de los controles en su estado real, cuando estén amenazados y luego mejorados. Si
después de este segundo paso una organización decide que no quiere mejorar los controles - quizás
debido a un coste excesivo, los responsables de Riesgos y GCN tienen que ser conscientes de ello y
tomar en cuenta esta decisión en su visión.
47
El "apetito para los riesgos" o "nivel de tolerancia de riesgos" de la organización es la cantidad de

riesgos que una organización está dispuesta a aceptar y influirá en las acciones que tomará para
controlar las amenazas reconocidas.
Suposiciones
•Se pueden identificar todas las amenazas realistas.
•Hay disponibles estadísticas fiables para calcular la probabilidad de que suceda.
•Las amenazas más fáciles de controlar (las relativas a personal o edificios propios) deben tener una
mayor prioridad con respecto a las que es más difícil de influir – como las malas condiciones
meteorológicas.
•La utilización de una escala numérica para asignar un valor a los impactos puede reflejar de forma
adecuada la importancia relativa de activos de más difícil cuantificación, como la reputación.
•La utilización de una escala numérica (1,2,3.) sirve para representar una relación realista entre los
diferentes impactos y sus probabilidades (cuando en realidad puede ser más realista una escala
logarítmica, (por ejemplo 1, 10, 100, 1000...)).
5. Proceso
Las etapas clave de una Evaluación de Riesgos son:
•Tabular un sistema de puntuación para impactos y probabilidades y obtener el acuerdo del
responsable del proyecto.
•Hacer una lista de los procesos urgentes determinados por el AIN.
•Estimar el impacto de la amenaza sobre la organización mediante un sistema de evaluación
numérico.
•Determinar la probabilidad o frecuencia de que ocurra cada amenaza y darle un grado de
importancia mediante un sistema de evaluación numérico.
•Calcular el riesgo mediante la combinación de las valoraciones de impacto y probabilidad de cada
amenaza según una fórmula acordada.
123456
•Se puede asignar rangos de prioridad a los riesgos según una fórmula que incluya una medida de la
capacidad para controlar la amenaza.
•Obtener la ratificación por escrito del responsable de la organización para estas prioridades de
riesgo.
•Revisar las estrategias existentes de gestión de control de riesgos fijándose en aquellos puntos en los
que el nivel de riesgo detectado no se corresponde con las actuales estrategias de gestión de riesgos
relativas a esa amenaza.
cap
•Considerar la instauración de medidas adecuadas para:

•Transferir el riesgo, por ejemplo con una compañía de seguros
•Aceptar el riesgo, por ejemplo allí donde el impacto y/o la probabilidad sean bajos
•Reducir el riesgo, por ejemplo mediante la puesta en marcha de mayores controles
•Evitar el riesgo, por ejemplo mediante la eliminación de la causa u origen de la amenaza
•Asegurar que las medidas planificadas contra los riesgos no aumentan otros riesgos. Por ejemplo,
subcontratar una actividad puede reducir ciertos riesgos, y a su vez elevar otros.
•Obtener del responsable la autorización por escrito y el presupuesto para las medidas propuestas de
gestión de control de riesgos.
Algunos de los métodos, herramientas y técnicas para lograr una Evaluación de Riesgos:
•Determinar las amenazas
•Análisis del Árbol de Eventos
•Análisis del Árbol de Fallos
•Evaluar las probabilidades
•Estadísticas de las empresas de seguros
•Estadísticas publicadas acerca de la frecuencia de desastres
Sistemas de evaluación
Existen muchos sistemas de evaluación en los libros que se han publicado acerca del tema.
48
Tabular los riesgos
• Matriz de Vulnerabilidad a las Amenazas
• Matriz de Riesgo
Evaluar soluciones
• Análisis de coste y beneficio.
7. Resultados
Los resultados de una Evaluación de Riesgos deben identificar y documentar:
•Los puntos específicos de fallo
•Una lista de amenazas a la organización o a los procesos de negocio analizados, clasificadas por
orden prioritario
•Información para una estrategia de gestión de control de riesgos y un plan de acción para atajar los
riesgos
• Aceptación demostrada de los riesgos identificados que no se van a atajar
8. Revisión
Se debe realizar la Evaluación de Riesgos tal y como está definida en la estrategia de gestión de
riesgos de la organización. Normalmente tendrá una periodicidad anual para aquellos procesos más
sensibles a los tiempos, pero será más frecuente si:
•El ritmo en la evolución del negocio es particularmente agresivo.
•Se han producido importantes cambios en el negocio en lo que se refiere a los procesos internos, la
ubicación o los recursos tecnológicos
•Se ha registrado una modificación importante en el entorno del negocio – un cambio en el mercado o
en las obligaciones legales, por ejemplo.
Nota: Se habla de BS 25999-1 Sección 6.6 (Determinar opciones) en Etapa 1— Alcance del Programa de
GCN.
cap
123456
49
INDICADORES CLAVE DE GCN
Estos son los elementos clave de lo que se espera de una organización con una GCN madura
BUEN GOBIERNO CORPORATIVO
1. El programa de GCN contiene mecanismos formales explícitos que garantizan el cumplimiento de
todas las leyes, normas y códigos sectoriales de buenas prácticas
2. El programa de GCN contiene mecanismos formales explícitos que garantizan el cumplimiento de
todas las políticas y directrices internas y los códigos sectoriales de buenas prácticas adoptados
3. El programa de GCN contiene mecanismos formales explícitos que permiten rápidamente
identificar y reflejar todos los cambios en los estatutos, políticas o códigos que afectan a la GCN
PRÁCTICA DEL AIN
4. La organización lleva a cabo el Análisis del Impacto en el Negocio (AIN) para todas las áreas de
operación
5. El AIN evalúa y registra a lo largo del tiempo la tolerancia de las partes interesadas a verse privadas
de los productos, servicios y otros intereses
6. El AIN evalúa y registra a lo largo del tiempo la tolerancia de la organización a cada tipo de gran
impacto relacionado con la continuidad que pueda enfrentar
7. El AIN evalúa y registra a lo largo del tiempo los posibles tipos, niveles de gravedad y combinaciones
de impacto relacionados con la continuidad
8. El AIN evalúa y registra a lo largo del tiempo el impacto conjunto sobre la organización de la falta
de recuperación de cada actividad después de un trastorno
9. El AIN establece, cuantifica y justifica:
•A. El Período Máximo Tolerable de Interrupción para cada actividad
•B. Los niveles a los que, con el tiempo, todas las actividades deben regresar
•C. Todos los recursos de cada actividad para lograr los objetivos de tiempos de recuperación
123456
•D. Las actividades o funciones, recursos e infraestructuras de la organización

10. El AIN toma totalmente en cuenta y cumple en toda su extensión con la política de GCN
11. El AIN cumple integralmente con la visión estipulada por la organización
12. Los datos y conclusiones derivados del AIN están totalmente documentados
13. El AIN y toda su documentación asociada:
•A. Representa una visión actualizada que refleja el estado de la organización
•B. Una vez al año se revisará formalmente con respecto a la Política de GCN y más veces si sucede
cap
un cambio en el perfil de impacto de la organización

•C. Debe ser ratificado por la alta dirección
14. El AIN toma en cuenta los siguientes tipos de impactos financieros tangibles
•A. Coste de oportunidad
•B. Aumentos en los costes laborales y gastos
•C. Ingresos o equivalentes que hayan registrado una reducción de valor
•D. Ineficiencia y rentabilidad
•E. Remplazo de activos no asegurados
•F. Coste del capital y viabilidad financiera
15. El AIN toma en cuenta los siguientes tipos de impactos no financieros intangibles
•A. Reputación marca y presencia
•B. Obligaciones legales y contractuales
•C. Calidad de productos y servicios
•D. Confianza y apoyo de los accionistas, proveedores, clientes y demás partes interesadas
•E. Bienestar y estado de la moral del personal
•F. Control operativo y de gestión
•G. Daños medioambientales
50
PRÁCTICA DE EVALUACIÓN DE RIESGOS
16. De forma sistemática la organización planifica y lleva a cabo una evaluación formal de riesgos
relacionados con la GCN para todas las áreas de operación
17. La Evaluación de Riesgos identifica, evalúa y registra los elementos siguientes:
•A. Todos los riesgos y amenazas importantes para las actividades y recursos más urgentes de la
organización
•B. Todas los aspectos vulnerables importantes de cada una de las actividades y recursos de la
organización que tengan mayor sensibilidad a los tiempos
•C. Todas las concentraciones de riesgos importantes que amenacen la continuidad de negocio
(puntos únicos de fallo)
•D. Todos los riesgos de continuidad importantes que se deban a proveedores o empresas
subcontratadas
18. La Evaluación de Riesgos identifica, evalúa y registra:
•A. Todos los escenarios de trastornos importantes que podrían afectar a la organización
•B. Los riesgos para la continuidad que deben ser aceptados, desviados a otro sitio o no
contemplados por el programa de GCN
•C. Las medidas que reducen la probabilidad, duración e impacto de un trastorno de los productos y
servicios clave de la organización
•D. Los riesgos para la continuidad derivados de la escasez o concentración de habilidades clave
19. La Evaluación de Riesgos utiliza la información de impactos del AIN para ofrecer una buena
estimación del grado de exposición
20. La Evaluación de Riesgos vuelve a especificar y toma en cuenta el grado de tolerancia de la
organización para los riesgos de continuidad
21. La Evaluación de Riesgos:
cap
•A. Utiliza estadísticas apropiadas para evaluar la probabilidad de cada amenaza realista para la
continuidad
•B. Hace referencia a los contratos de seguros de la organización y cuantifica el grado de exposición
que se deriva
123456
•C. Es parte integral del marco de gestión y control de riesgos de la organización
•D. Ofrece la base para establecer una prioridad en la forma de atajar los riesgos de continuidad
22. La organización dispone de estrategias formales para aminorar todos los riesgos de continuidad
del negocio para todas las áreas y operaciones
23. Las estrategias aminoran los efectos de, y aseguran que la organización pueda tolerar y
recuperarse de forma aceptable de:
•A. Todos los escenarios relativos a la continuidad identificados en la Evaluación de Riesgos
•B. Imposibilidad de acceso o pérdida de un lugar de trabajo
•C. Cualquier fallo tecnológico
•D. Cualquier fallo de bienes básicos o proveedores
•E. Cualquier fallo en las empresas subcontratadas u otras unidades de negocio
•F. Cualquier emergencia civil que surja
51
DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO
Determinar la estrategia
de Continuidad de Negocio
52
Acerca del capítulo 3 – Determinar la Estrategia de Continuidad de Negocio
Determinar la Estrategia de Continuidad de Negocio es un elemento clave para la buena Gestión de

Continuidad de Negocio. Para lograrlo es necesario basarse en la etapa de Comprender la
organización de cara a elegir las estrategias de continuidad adecuadas que cumplan los objetivos
definidos en el AIN. Debe además respaldar los objetivos y obligaciones de la organización a unos
costes ajustados.
1. OPCIONES DE ESTRATEGIA
2. OPCIONES PARA LA CONTINUIDAD DE LAACTIVIDAD
3. CONSOLIDACIÓN DE RECURSOS
cap
123456
53

1. Introducción
La primera parte de "Determinar la Estrategia de Continuidad de Negocio" se centra en las cuestiones
generales que garantizan la protección de la capacidad de la organización para entregar un producto
o servicio en el marco de su programa de Continuidad de Negocio. La siguiente, "Opciones para la
Continuidad de la Actividad" describe las tácticas disponibles para asegurar la continuidad de las
actividades que respaldan la entrega de esos productos o servicios.
También tiene sentido, si se puede, poner en marcha medidas que reduzcan la probabilidad de que
sucedan incidentes o aminorar su impacto en caso de que sucedan. Pero no se pueden ofrecer
consejos acerca de su efectividad en costes y no deberían considerarse substitutas de la puesta en
marcha de las estrategias adecuadas de Continuidad de Negocio que figuran más adelante.
En la etapa anterior se averiguó el Período Máximo Tolerable de Interrupción para cada producto y
servicio dentro del alcance del programa. Al entender sus interdependencias se habrá podido
determinar el PMTI para cada actividad. En la etapa de Estrategia se debe fijar el Objetivo de Tiempo
de Recuperación para cada actividad dentro del PMTI.
cap 123456
54
1. Introducción
Esta sección se abordan las diferentes estrategias de alto nivel disponibles para proteger la entrega
de un producto y servicio.
2. Pasos previos
Es necesario disponer de un AIN actualizado antes de elegir una estrategia adecuada.
3. Propósito
El propósito de este paso es garantizar que la estrategia de continuidad conjunta respalda de forma
adecuada la entrega de los productos y servicios de la organización.
Objetivo de Tiempo de Recuperación
Cuando se esté recuperando una actividad interrumpida es probable que la organización no quiera
llegar a ese momento en el que esté a duras penas sobreviviendo. Es posible que se fije un Objetivo de
Tiempo de Recuperación (OTR) más corto que también le dé un margen en caso de que se produzcan
dificultades no previstas en la recuperación o de que su medida original de PMTI fuera demasiado
optimista.
La capacidad de continuar o reiniciar tiene que ser realista. Desplazar físicamente a personal y
operaciones tomará más tiempo del esperado y tendrá un impacto sobre la jornada laboral
disponible. Es importante incorporar a las previsiones un tiempo suficiente de continuación o reinicio
para garantizar que las actividades pueden recobrarse cumpliendo los Objetivos de Tiempo de
Recuperación (OTR).
Suele pasar que cuanto más rápida sea la necesidad de recuperación, mayor el será el coste de una
solución. Por esa razón, para minimizar los costes es importante asegurarse de que se establece un
cap
OTR adecuado y no demasiado rápido.
Distancia de separación ¿qué se considera fuera de las instalaciones?
Debido a que muchos de los acontecimientos que afectan a la Continuidad de Negocio suelen derivar
en una imposibilidad de acceder a las instalaciones o incluso su destrucción, es necesario asegurarse
123456
de que existe un duplicado de los registros tanto físicos como electrónicos en un emplazamiento
separado geográficamente de tal forma que puedan ser accesibles y recuperados en los plazos
determinados.
Si bien es evidente que una mayor distancia geográfica reduce la probabilidad de que dos
instalaciones se vean afectadas por el mismo incidente, no existe una distancia de separación
considerada "mínima" o "correcta", tal y como lo demuestran la capacidad infecciosa de los virus
informáticos para causar incidentes simultáneos en el mundo entero. A pesar de ello es probable que
una separación de unos centenares de metros sea de poca ayuda, incluso cuando suceden incidentes
muy localizados, debido a la forma en la que los servicios de emergencia acordonan una zona y los
consiguientes trastornos que ocasiona para el transporte. Algunas organizaciones pueden basarse en
su área de mercado o su jurisdicción para determinar el límite de su dispersión (ver la discusión
acerca de incidentes en la Introducción a la Etapa 1); otras pueden elegir la decisión pragmática de
situar su emplazamiento de reubicación en la distancia máxima que el personal está dispuesto a
recorrer (podría ser a una hora de distancia).
Robustez (Resilience)
Este término sirve para indicar que algo puede sufrir un fallo y a pesar de ello seguir operando.
Muchas veces se utiliza como si fuera un valor absoluto y, sin embargo, como sucede con los términos
"cerca" o "lejos" el concepto de robustez es relativo y su alcance debe ser definido en cada utilización.
Es mejor ilustrarlo con ejemplos:
•Incorporar tecnología RAID a un ordenador aumenta la robustez de la máquina (pero sólo con
respecto a los fallos de disco duro) pero no protege de la pérdida de esa máquina en caso de incendio.
•La duplicación del suministro eléctrico mejora la robustez ó resistencia de las instalaciones frente a
cortes de electricidad, pero el lugar puede volverse inservible si el fallo eléctrico afecta a ambos
suministros.
•Expandir la dispersión geográfica y diversidad de las ubicaciones de la organización mejora la
robustez de la organización pero sigue siendo vulnerable a incidentes como pandemias o virus
informáticos.
55
5. Proceso
Utilizando los resultados del Análisis del Impacto en el Negocio, apuntar el Período Máximo Tolerable
de Interrupción (PMTI).
Determinar un Objetivo de Tiempo de Recuperación (OTR) para el producto o servicio, que (por
lógica) debería ser menor que el PMTI. Este cálculo debe tener en cuenta el grado de confianza que se
tiene en la veracidad del PMTI.
Si ya existe una estrategia de reinicio de actividades, llevar a cabo un Análisis Diferencial para
determinar si los resultados actuales se miden contra los resultados requeridos.
Ofrecer a la dirección ejecutiva una evaluación estratégica.
Garantizar que la opción acordada, con sus previsiones de recursos y financieras, es ratificada por la
dirección ejecutiva.
Cuestiones referentes a servicios específicos:
•Centro(s) de llamadas: La convergencia de TI, grabación de voz y telefonía inteligente en un centro
de llamadas puede ofrecer importantes retos de cara a la recuperación. Los centros de llamadas que
gestionan llamadas entrantes suelen tener un PMTI medido en horas más que en días, por lo que la
solución suele ser dos o más centros dispersos geográficamente que comparten la carga de llamadas.
Debido a las altas necesidades de personal para este tipo de instalaciones suelen surgir problemas de
recursos humanos durante un largo período de interrupción en el caso de que los empleados no
quieran o no puedan mudarse de lugar.
Algunas empresas de servicios pueden ofrecer recepción de llamadas con varias capacidades para
gestionar volúmenes de llamadas y con diferentes niveles de competencia en el producto.
•Las estrategias de comercio electrónico e Internet / Intranet se determinarán según la importancia
que la organización otorga a estos servicios y las funciones que desempeñan - si sólo sirven para
propósitos de comunicación o para realizar negocios interactivos.
123456
•Al igual que sucede con otras actividades, un Análisis del Impacto en el Negocio determinará los
parámetros de reinicio de los servicios de comercio electrónico. Se suele considerar que estos
servicios necesitan reiniciarse de forma rápida debido a su alta visibilidad y las expectativas de los
clientes.
•Internet y la Intranet corporativa pueden también constituirse en un excelente medio de
comunicación durante un incidente.
•Soluciones para la fabricación
cap
•Diversidad geográfica – fabricar en varios emplazamientos mejora la resistencia a muchos

acontecimientos, pero suele ser a costa de las economías de escala
•Subcontratación - Aunque la suma de los procesos de cada compañía sea única, suelen existir
varios procesos que pueden ser replicados por otros fabricantes. La empresa afectada puede recurrir
a varias firmas de subcontratación para producir su producto final durante el tiempo en el que las
instalaciones propias no están disponibles. Debido a las necesidades de herramientas y ajustes,
generalmente no se puede lograr esto de forma rápida sin una preparación previa. Por desgracia esta
estrategia puede conectar a los clientes con la competencia.
•Existencias en almacén – En el caso de aquellos productos que se pueden almacenar, mantener un
almacén lejos de las instalaciones permite disponer de una ventana de tiempo durante la cual se
puede mantener el aprovisionamiento mientras se soluciona un percance.
7. Resultados
Este paso ofrecerá una estrategia para cada producto y servicio bajo el programa de GCN que en el
siguiente paso permitirá seleccionar las alternativas adecuadas para cada actividad.
8. Revisión
Al menos cada 12 meses se debería realizar una revisión de la estrategia de GCN para cada producto y
servicio.
No obstante, ciertos acontecimientos pueden causar una reevaluación de la estrategia de GCN:
•Una revisión del Análisis del Impacto en el Negocio que detecte cambios substanciales en los
procesos y prioridades
•Un cambio importante en una de las cuestiones siguientes: la actitud frente al riesgo de la
organización (quizás a consecuencia de un acontecimiento), condiciones de mercado, adquisición o
fusión, nuevos productos o servicios, obligaciones legales.
56
OPCIONES PARA LA CONTINUIDAD DE LA ACTIVIDAD
Referencia: BS 2999-1 Sección 7.3-8
1. Introducción
Este paso abarca los procesos para determinar las tácticas adecuadas a cada actividad que permiten
la entrega de uno o más productos y servicios dentro del programa de GCN.
El Análisis del Impacto en el Negocio (AIN) habrá identificado el PMTI para cada actividad. En ese
tiempo se tendría que fijar el Objetivo de Tiempo de Recuperación (OTR) para cada actividad.
Se deben elegir las tácticas adecuadas para cada actividad que garanticen los recursos necesarios en
las áreas de:
•Personas, habilidades y conocimientos
•Instalaciones
•Tecnología
•Aprovisionamiento
•Proveedores, clientes y demás partes interesadas
Las opciones siguientes no son excluyentes entre ellas. Una estrategia de recuperación viable y
efectiva para cada actividad deberá establecerse basándose en elementos de las opciones descritas.
2. Pasos previos
El OTR del producto o servicio debe determinarse antes de fijar el OTR para cada actividad y
seleccionar las tácticas adecuadas.
3. Propósito
El propósito de este paso es asegurar que las opciones tácticas de continuidad para cada actividad
respaldan de forma apropiada la entrega de los productos y servicios de la organización.
Las actividades cuyo reinicio sea más urgente pueden recibir protección suplementaria por las
medidas de reducción de amenazas que parezcan apropiadas.
cap
Fiabilidad
Suele ser necesaria una decisión por parte de la dirección en cuanto al coste y la fiabilidad de la
entrega por parte de un servicio necesario para la recuperación ofrecido por un tercero. Los
123456
compromisos pueden variar, desde verbales con promesas por esforzarse, hasta un nivel de servicio
asegurado por contrato. Los costes pueden variar (generalmente relacionados con la calidad del
compromiso) de cero a una suma importante. Cuanto más corto sea el OTR más importante será la
fiabilidad en la entrega.
Alcance de la planificación
El alcance y detalle con el que las tácticas para cada actividad necesitan planificarse dependerá de la
urgencia con la que se necesiten y la complejidad de las necesidades.
Costes vs. beneficios
Es imposible juzgar el coste adecuado de las medidas mediante un análisis de coste-beneficio
convencional debido a que es necesario asumir premisas cuestionables acerca de la probabilidad de
los incidentes para demostrar que existen beneficios.
Es posible que las fabricantes y empresas de servicio que son proveedoras de otros negocios logren
mejores ventas o mejores márgenes al demostrar a sus clientes que poseen una estrategia de GCN (y
por lo tanto mayor fiabilidad) - y obtengan un beneficio que contrarreste los costes.
Esto es más difícil de demostrar cuando el servicio no es comercial o va dirigido a la venta al público,
en donde será más probable dejar patentes reducciones de costes en los procesos internos (para
enfrentar trastornos reducidos).
Ratios de sindicación de instalaciones para la recuperación a cuenta de terceros
•Un área de trabajo “dedicada” en la que una empresa tiene la utilización exclusiva para
acomodarla. Se suele recurrir a ella cuando se ha establecido un OTR corto, para funciones
generadoras de alto valor en las que se emplean equipos especializados y para las cuales no se puede
permitir que no haya disponibilidad debido a estar sindicada. Un ejemplo serían las mesas de
negociación para una firma de inversión.
•Una área de trabajo "sindicada" o “en suscripción” en la que una empresa paga por la utilización de
un lugar siempre que no esté ya usada por otro suscriptor.
57
•Operaciones con robustez incluyen operaciones simultáneas en dos sitios y soluciones de

disponibilidad continua. En caso de una interrupción en un emplazamiento, la actividad es
transferida a una o varias ubicaciones alternativas en donde tanto personal como instalaciones ya
están listas para hacerse cargo.
Suele ser una de las opciones más caras de llevar a cabo (debido a los costes que implican sincronizar
los datos en varios sitios y el personal que se necesita), pero se trata de una solución adecuada cuando
es necesario un reinicio rápido (menos de 24 horas) de actividades.
Para que sea una estrategia de recuperación viable, no pueden existir fallos y ambos sitios tienen que
estar convenientemente separados y geográficamente diversificados.
Figura: Resumen de las estrategias de recuperación con respecto al tiempo de recuperación
Propiedad Internas Contratadas A medida
Ampliar el contrato Reconstruir, alquilar o

Reconstruir o reubicar
comercial del comprar.
Meses emplazamiento de
recuperación (si es posible)
Edificios prefabricados ya Expansión en el Oficinas amuebladas.
disponibles en el mismo emplazamiento de Subcontratación de
Semanas sitio. recuperación. procesos.
Adaptación de edificios Unidades prefabricadas y
123456
para otros usos. móviles alquiladas.
Emplazamiento de Emplazamiento para la Oficinas gestionadas (si

recuperación en el mismo recuperación de la actividad disponibles)
sitio. comercial.
Mover las instalaciones dentro Acuerdos recíprocos.
Días de la misma ubicación. Instalaciones móviles.
Trabajo desde casa. Procesos subcontratados.
cap
Varias ubicaciones con Reubicar SÓLO un equipo Ninguna

personal reasignado de otras reducido a un
funciones. emplazamiento de
Horas recuperación contratado.*
Disponer de diversas Iniciar una conmutación de Ninguna

ubicaciones para cada TI a un emplazamiento de
actividad. recuperación contratado.
Inmediato
* Es posible que se pueda acceder en pocas horas, pero cuestiones de logística y comodidad vuelven
poco probable que las operaciones puedan reiniciarse de forma fiable al menos en uno o dos días.
60
Equipos de fabricación
Existen pocas opciones para aprovisionarse de equipos de fabricación por parte de un tercero para
que los envíe después de una avería o pérdida, debido a que eso suele tomar mucho tiempo.
•Algunas posibles soluciones:
•Algunas firmas dedicadas a la restauración de activos pueden ser capaces de recuperar los equipos
después de un incendio o inundación.
•Firmar contratos de mantenimiento en el sitio con empresas que se encuentren en las inmediaciones
(para minimizar los retrasos).
•Recurrir a empresas de subcontratación locales o a competidores con equipos similares.
Información
Sólo por el hecho de que se ha producido un incidente no significa que dejan de tener efecto los
estándares legales, estatutarios o de negocio para la gestión de la información. Algunas de las
cuestiones clave que hay tomar en cuenta son:
Confidencialidad
Se deben tomar las medidas para asegurar que se mantiene el nivel necesario de confidencialidad
para los datos en circunstancias como:
•daño en una ubicación - por ejemplo, una explosión puede ocasionar que se esparzan documentos en
la calle
•un hacker logra penetrar la red y publicar información en Internet
•utilización de personal temporal
•compartir un emplazamiento temporal con otras organizaciones
Integridad
A menos que los respaldos informáticos se realicen al mismo tiempo a lo largo de varios sistemas
conectados, a la hora de restaurarlos los datos pueden no estar completos. Por ejemplo, un nuevo
123456
pedido puede figurar en la base de datos de pedidos pero el cliente en cuestión puede no estar
presente en la base de datos de clientes si la información se respaldó antes. Se debe contemplar un
tiempo dentro del Objetivo de Tiempo de Recuperación para resolver los problemas de datos en caso
de que obstaculicen la recuperación.
La destrucción parcial de los registros en papel puede dañar la recuperación cuando no se sabe bien
qué documentos faltan
Disponibilidad
cap
•Se necesitará que la información para reconstruir equipos o recuperar procesos esté disponible en el
momento precisado para lograr los plazos de reinicio de actividad
•Es posible que existan obligaciones en los estatutos que establezcan plazos específicos para acceder
a documentos o datos cuando éstos son solicitados por las autoridades o el público en general
Rapidez
La estrategia adecuada de respaldo de datos se determina por:
•La cantidad de datos que los usuarios pueden asimilar sin perjudicar irremediablemente su
capacidad para reiniciar sus procesos
•El impacto de la pérdida de datos para aquellos usuarios que están fuera de la organización, como
clientes o autoridades
•La velocidad a la que los datos pueden estar disponibles para ser utilizados después de reiniciar
operaciones. Los programas de respaldo de datos suelen estar diseñados para minimizar el tiempo de
respaldo, pero durante la recuperación de la actividad es importante la velocidad con la que se
recuperan. Por ejemplo, el respaldo diario de los cambios minimiza el tiempo para llevarlo a cabo;
lleva más tiempo respaldar los cambios desde el último respaldo completo, pero con esta modalidad
la información se restaura de forma más rápida.
•Existen muchos métodos para copiar los datos entre sistemas informáticos. Estos son:
•Mirroring - en teoría no hay pérdida de datos
•Shadowing - pérdida mínima de datos
•Logging - pérdida de datos medida en minutos
62
•Generalmente el ratio se sitúa entre 40 y 25 a 1. Es decir, cada mesa de trabajo se vende hasta 40
veces como máximo, pero es importante entender que existen otros clientes que podrían utilizar esa
mesa. Algunos proveedores ofrecen detalles de sus clientes por códigos postales. Los parámetros
aceptables para una organización deberían estar claramente definidos en el marco de la Estrategia
de GCN para la Recuperación de Recursos y no deberían estar sujetos a negociaciones de contrato
individuales.
•Actualmente existen dos premisas según las cuales un proveedor de emplazamientos para la
recuperación puede asignar los recursos disponibles a sus suscriptores cuando estos los demanden:
•El primero que llegue: El primer suscriptor que demande el servicio obtiene la totalidad de los
recursos que han contratado. El espacio que quede seguirá disponible para los demás suscriptores.
•Reparto equitativo: Los recursos disponibles se asignan de forma proporcional a lo suscrito.
Zonas de exclusión (Emplazamientos para la recuperación a cuenta de terceros)
La zona de exclusión es la distancia en la que el proveedor de recuperación no revenderá a otro
posible cliente los recursos a los que su organización se ha suscrito. La organización debe definir
claramente en la Estrategia corporativa de GCN lo que considera como zonas de exclusión. Por
ejemplo, en el centro de Londres una zona de exclusión de 800 metros (correspondiente a un coche
bomba) es un estándar mínimo aceptable para esta amenaza específica, pero puede no ser adecuada
para otro tipo de incidentes.
5. Proceso
El proceso engloba los pasos siguientes:
•Identificar las posibles tácticas para cada actividad que pueden cumplir con el OTR.
•Seleccionar las más adecuadas basadas en costes, garantías ventajas adicionales y demás factores.
•Crear un proyecto de puesta en marcha para la medida elegida.
•Poner en marcha un proceso constante que garantice la revisión de las tácticas de GCN para las
actividades.
123456
Se pueden elegir las tácticas adecuadas de la lista siguiente.

Personal, fuerza laboral, habilidades y conocimientos
Las técnicas para proteger los conocimientos y habilidades de la organización pueden proteger contra
la pérdida o ausencia de personal clave
•Mapa de procesos y documentación - para permitir al personal hacerse cargo de funciones que
desconocen
cap
•Formación multidisciplinar de cada persona

•Intercambio de formación entre varios profesionales
•Planificación para la sucesión
Se puede disponer de habilidades suplementarias mediante el recurso permanente u ocasional de
soporte a cargo de terceros. La dependencia de este soporte debería estar respaldada por un
contrato.
La organización debe estar protegida por un programa de gestión de conocimientos, que debería
recurrir a almacenamiento fuera de las instalaciones para salvaguardar los datos.
Una organización podría llevar a cabo un inventario de las habilidades de su personal que no estén
empleando en sus funciones actuales.
Podría incluir:
•Formación en primeros auxilios
•Experiencia en otras funciones en otro empleo
•Rescate
•Capacidad de liderazgo o gestión durante un incidente anterior
•Habilidades de formación o actuación para ayudar al equipo de Continuidad de Negocio
La separación geográfica de aquellas personas o grupos con habilidades clave puede reducir la
posibilidad de perder a todos aquellos capaces de asumir una función específica
Instalaciones
El OTR es el principal indicador de las tácticas de continuidad del lugar de trabajo adecuadas.
•Un OTR de varios meses puede permitir a la organización esperar a tomar decisiones hasta después
del incidente.
58
•Un OTR de más de un día o dos puede permitir tiempo para la reubicación del personal a otro
emplazamiento
•Un OTR de menos de un día obligará a asumir tácticas que permitan que el personal en otra ubicación
se haga cargo de la actividad - lo que significa que la otra ubicación tendrá disponibilidad inmediata
de los recursos necesarios para esa actividad, además de información actualizada
Una vez que se ha definido el OTR, el coste y la disponibilidad determinarán la elección de las
tácticas.
La dispersión geográfica de la organización puede influir en la elección de instalaciones alternativas.
Si se eligen otras instalaciones de la empresa, es posible que el personal no esté dispuesto a recorrer
una larga distancia.
Unas instalaciones con un gran número de personal pueden requerir más de una ubicación alternativa
para disponer de la capacidad necesaria. La estrategia de reubicación de la organización podría estar
influida por la disponibilidad de alternativas cercanas, tanto propias de la empresa como de terceros.
Aquellas organizaciones que ofrecen servicios a una localidad en particular, como administraciones
públicas o negocios orientados a un mercado local, pueden ver limitada su elección de ubicaciones
alternativas por su necesidad de mantenerse cerca de sus clientes.
Posibles tácticas relativas a instalaciones:
No hacer nada
•Una estrategia de "no hacer nada" puede ser aceptable para las actividades menos urgentes
identificadas por el AIN. Aquellas actividades con un OTR mayor a varios meses permitirán a la
organización disponer de una planificación y preparación mínimas y tener tiempo para encontrar
edificios e instalar los servicios necesarios después del incidente. Esta opción puede volverse más
rápida o fiable si se mantiene un registro actualizado de los edificios adecuados disponibles.
Tácticas que involucran la reubicación del personal a otros emplazamientos
•Moverse dentro consiste en utilizar lugares existentes dentro de la empresa, como unas
cap
instalaciones hasta entonces dedicadas a la formación o un comedor, para ofrecer un espacio para la
recuperación o el aumento del personal trabajando. Esto necesitará una planificación cuidadosa y
algunas adecuaciones técnicas.
•Desplazamiento significa desplazar aquél personal que realiza los procesos menos urgentes y aquél
123456
que lleva a cabo una actividad de mayor prioridad. Se debe tener cuidado de que las órdenes
retrasadas del trabajo suspendido menos urgente no se vuelvan imposibles de gestionar.
•Trabajo remoto incluye el concepto de “trabajar desde casa” y trabajar desde otras ubicaciones no
corporativas como hoteles (no se deben tomar en cuenta los cibercafés). Trabajar desde casa puede
ser una solución muy efectiva, pero se debe tener cuidado de que se respetan las normas sanitarias y
de seguridad y de que se dispone de la suficiente capacidad de conexión telefónica.
•Los acuerdos recíprocos pueden funcionar para ciertos servicios pero se debe tener cuidado cuando
se establezcan este tipo de acuerdos. Se deben instaurar procedimientos que garanticen
comprobaciones periódicas para asegurar que los acuerdos suscritos no han cambiado.
•Los acuerdos recíprocos deben llevar una cláusula en el contrato que asegure que se pueden realizar
pruebas.
•Acuerdos con un tercero para una ubicación alternativa pueden ser una opción a considerar si
garantizan el cumplimiento de los Objetivos de Tiempo de Recuperación (OTR) de la organización.
Existen varios servicios comerciales, como instalaciones fijas, móviles, fijas o prefabricadas.
•El espacio dedicado ofrece una disponibilidad garantizada e inmediata, pero es más caro que un
espacio sindicado.
•El espacio sindicado suele ser accesible en menos de cuatro horas, pero puede tardar más de 48
horas para que una gran cantidad de personal sea productivo desde ese emplazamiento (las
cuestiones que se derivan de la sindicación se abordan en la sección de conceptos)
•Las instalaciones móviles pueden utilizarse rápidamente pero ofrecen un espacio limitado y
pueden exigir conexiones de servicio además de un importante trabajo de preparación de cimientos
•Las unidades prefabricadas toman como mínimo 4 días en construirse (de media son 8) asumiendo
que los cimientos ya estaban listos y dependiendo de las condiciones del lugar y meteorológicas
Ubicaciones diversas - desplazar la actividad (no el personal).
59
Tecnologías de apoyo
Centro(s) de Datos
El coste de las soluciones y el impacto extenso y rápido que significa la pérdida de un centro de datos
pueden tener un impacto financiero importante en una organización.
Estas son algunas de las opciones que pueden ofrecer una solución adecuada, como la robustez
interna, la recuperación o soporte por parte de terceros.
•Será necesaria la duplicación de tecnologías en varias ubicaciones cuando los plazos de
recuperación son cortos, pero aumentará los gastos según el grado de duplicación requerido.
•La Recuperación de Tecnología ofrece un reemplazo a través de contratos con terceros. La decisión
entre duplicar actividades, alquilar equipos por adelantado o comprar después del incidente debe
tomar en cuenta el tiempo previsto para la adquisición de los elementos en caso de que suceda un
trastorno generalizado y de larga duración que obligue a otras organizaciones menos preparadas a
adquirir los mismos equipos. Las promesas de palabra por parte de un proveedor acerca de que
mantendrá un stock de contingencia deberían considerarse como no contractuales.
Suelen existir conflictos de presupuesto entre:
•el deseo de aumentar la robustez o resistencia de las máquinas (para reducir la pérdida de tiempo
ocasionada por el fallo de esa máquina)
la necesidad de una diversidad geográfica (que minimiza la pérdida de tiempo ocasionada por el fallo
de la máquina o del edificio en el que se encuentra).
Contratos de envío
Estos pueden incluir generadores, equipos de TI como PC, servidores e impresoras y equipos
especializados como sistemas telefónicos. Puede tratarse de una estrategia adecuada si se debe
equipar un edificio que no está preparado para ofrecer un entorno de trabajo adecuado. La mayoría
cap
de estos contratos permiten que el lugar de entrega sea definido en su momento, lo que permite dar
una respuesta más flexible a un incidente específico en comparación con una estrategia de
recuperación para un emplazamiento fijo. Los términos de los contratos van desde un compromiso
leve de cumplimiento hasta una entrega garantizada.
123456
Sistemas telefónicos
Un desvío no planificado de los sistemas telefónicos a las ubicaciones alternativas puede demorarse
un tiempo inaceptable, sobre todo en caso de incidentes de amplia magnitud. La mayoría de las
empresas telefónicas ofrecerán, a cambio de un pago, un abanico de soluciones flexibles planificadas
que permitirán el desvío instantáneo o rápido de las llamadas desde un emplazamiento a uno o varios
distintos. Se tiene que tomar en cuenta el problema de logística que acarrea la gestión de llamadas de
teléfono durante una interrupción una vez que han sido desviadas.
Algunas soluciones:
•Aviso por radio o televisión al personal y otras partes interesadas
•Números no vinculados a un área geográfica
•Desvío de llamadas
•Plan para el reinicio de la actividad
•Servicios de gestión de redes
•Centralita móvil
•Robustez de las instalaciones
•Robustez de la red
La convergencia entre los sistemas de teléfono y las redes de datos VOIP (Voz por IP) genera nuevas
oportunidades y problemas de continuidad debido a que muchas veces se suelen utilizar el teléfono y
correo electrónico de forma alternativa en caso de que uno de los dos falle. Estas cuestiones deben
ser evaluadas, así como se debe llevar a cabo un análisis de los riesgos e impactos.
Recurrir a empresas de subcontratación locales o a competidores con equipos similares.
61
Cada uno tiene sus características de posibles pérdidas de datos, distancia operativa y fiabilidad que
deberán ser comparadas con los requisitos del usuario.
Almacenamiento remoto de registros duplicados (en papel y electrónicos)
•Las soluciones para almacenamiento de registros en papel incluyen almacenes externos para
documentos y copias escaneadas.
•El almacenamiento de registros electrónicos puede gestionarse internamente pero también se
puede contratar a terceros. Los registros pueden ser enviados fuera de las instalaciones por la
recogida física de equipos de almacenamiento o por transmisión electrónica.
•El lugar para el almacenamiento debe estar lo suficientemente lejos para que las instalaciones no
puedan verse afectadas por el mismo incidente, pero no tan lejos como para que tome tanto tiempo
acceder a ellos que los OTR puedan verse afectados. Algunos documentos pueden estar en proceso de
elaboración y ser necesarios en un plazo muy corto mientras otros pueden ser archivos que se
conservan por cuestiones legales para los cuales puede ser conveniente un almacenamiento lejano,
de menor coste.
•Se puede utilizar mobiliario a prueba de incendios pero eso no ofrece una protección aceptable
para documentos únicos. Incluso si sobrevivieran a un incendio, es posible que no se pueda acceder al
mobiliario.
•Es posible que para ciertos documentos sólo tengan validez legal los originales.
Equipos y aprovisionamiento
La organización necesita determinar qué equipos y aprovisionamientos se necesitan y cuán rápido
deberán estar disponibles tras un percance para cumplir con el OTR de la actividad.
Algunas técnicas para reemplazo de equipos:
•Almacenar suministros adicionales en otra ubicación
•si los suministros se degradan con el tiempo (como el papel) deberían rotarse con el inventario
cap
normal
•cambios en el proceso pueden implicar una modificación de los suministros almacenados (por
ejemplo, la papelería de la empresa si han cambiado la dirección o los detalles de contacto)
•Acuerdos con terceros para entrega de stock en un plazo rápido
123456
•Desvío de entregas "justo a tiempo" a otras ubicaciones
•Guardar materiales en almacenes o centros de distribución
•Transferencia de las operaciones de ensamblaje a una ubicación alternativa, tanto de la
organización como de una empresa subcontratada
•Conservación en una ubicación externa de equipos más antiguos para reemplazos de emergencia o
para utilizar sus componentes
•Estrategias específicas de disminución de riesgos para equipos considerados únicos o con tiempos de
entrega muy largos. Es posible que los equipos obsoletos tengan que ser reemplazados o su
substitución podría poner en riesgo los tiempos de recuperación
•Diversidad geográfica de aquellos procesos en los que el OTR no se podrá cumplir por reemplazo si
todos los equipos se pierden durante un incidente
Posibles técnicas para reducir el impacto de interrupciones en el suministro
•Materiales duales o provenientes de diversas fuentes
•Inspección de los planes de Continuidad de Negocio del proveedor y los registros de pruebas, además
de requerir una certificación contra BS 25999
•Conservación de inventarios en una ubicación externa, que puede ser la del proveedor
•Cláusulas con penalidades importantes para los contratos de suministros (pero eso no protege de
una quiebra)
•Identificación y aceptación previa de proveedores alternativos
Accionistas, socios y proveedores
Puede que un incidente afecte a muchas personas y grupos. Por ejemplo en el caso de un incendio en
las instalaciones es posible que algunos proveedores resulten heridos, que los residentes locales sean
evacuados de sus casas y que los comercios locales tengan que cerrar por razones de seguridad o por
una disminución en sus negocios. La organización debe comprender el grado de responsabilidad
(tanto legal como moral) que tiene con respecto a estos grupos.
63
La organización debe asegurarse de que se cubren las necesidades de estos afectados, ya que podrían
afectar la recuperación del negocio. Por ejemplo, los residentes de la comunidad podrían presionar a
las autoridades locales para que nieguen la autorización para reconstruir las instalaciones después de
un incendio.
Emergencias de carácter civil
La organización debe conocer los procedimientos de los servicios de emergencia.
Contactar a estos grupos con antelación puede ofrecer información útil para asistencia en el caso de
incidente como:
•Recomendaciones para puntos preferibles de reunión y rutas de evacuación
•Información de riesgos específicos en las inmediaciones
•Conocer la posición de los posibles bloqueos de tráfico (en poblaciones grandes suelen estar
predeterminados debido a los patrones de la red de carreteras)
•Acuerdos especiales de acceso
•Participación en simulacros
Los organismos de respuesta a emergencias civiles deberían llevar a cabo su propio programa de
Continuidad de Negocio para garantizar que el acceso a sus instalaciones no afectará los servicios de
respuesta que ofrecen a la comunidad. En Reino Unido esta planificación es obligatoria y las
autoridades locales deben ofrecer asesoramiento en Continuidad de Negocio a las organizaciones que
se encuentren bajo su tutela.
Medidas para reducir amenazas específicas
El responsable de GCN debe conocer varias técnicas de reducción de amenazas que pueden proteger
a las actividades de negocio de ciertos tipos de trastornos. Se puede recurrir a la Evaluación de
Riesgos para determinar qué medidas deben adoptarse. Entre ellas figuran:
•Seguridad física - Se puede pedir recomendaciones a las diversas asociaciones profesionales
123456
dedicadas a la seguridad, tanto nacionales como internacionales. Muchas de ellas publican manuales
y consejos de buenas prácticas.
•Seguridad de la información - Se puede pedir recomendaciones a los diversos organismos nacionales
e internacionales dedicados a la seguridad de la información. Las normas ISO 17799 e ISO 27001
también ofrecen valiosas directrices que conviene adoptar.
•Sistemas de supervisión - Pueden ofrecer advertencias inmediatas de fallos de electricidad,
problemas en los equipos y amenazas destructivas
cap
•El Suministro de Alimentación Ininterrumpido y generadores de respaldo pueden proteger a edificios

y equipos específicos de fallos en la electricidad. Deben recibir mantenimiento y ser probados de
forma regular para garantizar que funcionarán cuando se necesiten. También existen contratos
especializados de recuperación que ofrecen generadores portátiles como servicio contratado o bajo
pedido (dependiendo de la disponibilidad).
•Los sistemas contra incendios suelen estar recomendados para edificios con materiales
combustibles o muy pesados, o equipos caros. Si bien los sistemas de agua apagan los incendios,
también pueden causar grandes daños a papeles y equipos electrónicos cuando se activan de forma
correcta por un incendio o de forma incorrecta cuando detectan una explosión o terremoto.
Medidas para atenuar los impactos
•Los seguros, si están bien contratados, ofrecen una compensación financiera para la pérdida de
activos, incrementos de los costes de operación y protección contra responsabilidades legales, No
obstante es posible que no protejan de todos los gastos ocasionados por un incidente, como la pérdida
de clientes, el impacto sobre el precio de las acciones o desgaste en la reputación e imagen de marca.
El equipo de GCN debería colaborar de forma estrecha con el encargado de seguros para lograr una
cobertura que esté dentro de los parámetros de GCN.
•Una póliza contra todo riesgo compensará el valor calculado de los activos físicos y registros
electrónicos dañados o perdidos.
•Un seguro contra interrupción del negocio puede pagar el “coste incrementado de
funcionamiento” durante el reinicio de actividades o la "pérdida de beneficios" durante el período de
interrupción.
•Existen seguros que ofrecen una suma de dinero tras la pérdida de ciertos responsables específicos
del negocio debido a una muerte, accidente o renuncia a su cargo.
64
•Un seguro puede también ofrecer protección contra responsabilidades, incluidas aquellas con
empleados, propiedades de terceros y personas.
•Los servicios de recuperación de activos son ofrecidos por varias empresas especializadas que
generalmente pueden minimizar los daños en papeles, equipos y edificios después de un incendio o
inundación. Estas empresas pueden ofrecer asesoramiento y un servicio de registro por adelantado,
además de estar disponibles tras el incidente si se les solicita.
Las herramientas disponibles para elegir las tácticas adecuadas incluyen:
•Los resultados del Análisis del Impacto en el Negocio y la Evaluación de Riesgos
•El análisis Coste-Beneficio
•El mapa de servicios y procesos.
7. Resultados
Los resultados de las Opciones para la Continuidad de la Actividad incluyen:
•Una selección debidamente documentada de las opciones de continuidad para cada actividad,
acordada y ratificada por la dirección ejecutiva de la organización.
•Un plan para la puesta en marcha de la estrategia acordada.
8. Revisión
Al menos cada 12 meses se debería realizar una revisión que garantice que se han elegido las opciones
de continuidad adecuadas para cada actividad.
•Una revisión del Análisis del Impacto en el Negocio que detecte cambios en los procesos o
prioridades del negocio.
•Un cambio importante en:
•tecnologías clave, telecomunicaciones, asignación, personal, proveedores de servicio
•adquisición o fusión, nuevos productos o servicios
cap
•obligaciones legales.
123456
65
CONSOLIDACIÓN DE RECURSOS
1. Introducción
Tras determinar las tácticas adecuadas para el reinicio de cada actividad de negocio, se exigirá al
equipo de GCN que consolide sus necesidades de recursos, determine cómo aprovisionarlos y los
incluya en el plan.
2. Pasos previos
Las necesidades de recursos para cada actividad se obtendrán de los Objetivos de Tiempo de
Recuperación y las cantidades determinadas por el Análisis de Requisitos de Continuidad.
3. Propósito
El propósito de esta medida es coordinar y ofrecer un nivel predeterminado de recursos dentro de un
Plan de Continuidad de Negocio (PCN) para permitir la puesta en marcha de las opciones de
continuidad elegidas para cada actividad.
Esta consolidación es necesaria por dos razones prácticas:
•Si se tienen que comprar los recursos es probable conseguir un mejor precio con un sólo pedido que
con varios pequeños
•Coordinar la adquisición de recursos puede prevenir conflictos - como en el caso de que más de una
actividad dentro de un edificio espere utilizar el mismo espacio de trabajo alternativo en otro
emplazamiento.
Disponibilidad de soluciones
Es posible que los servicios de recuperación contratados que necesiten los procesos de negocio no se
encuentren en las inmediaciones. Algunas organizaciones han decidido crear sus propias
instalaciones para recuperación, y luego ofrecen compartirlas (comercialmente) con otras empresas
que se enfrentan al mismo problema.
5. Proceso
123456
Este proceso incluye las siguientes etapas:

•Obtener los Requisitos de Recuperación de Recursos Agregados de la sección relativa a Opciones de
Continuidad
•Calcular los costes y beneficios de la obtención de los recursos necesarios para cada opción que
puedan satisfacer los Objetivos de Tiempo de Recuperación
•Ofrecer a la dirección ejecutiva una evaluación estratégica de las opciones
•Asegurarse de que las opciones acordadas, con sus correspondientes previsiones financieras y de
cap
recursos, están ratificadas por la dirección ejecutiva

•Crear un proyecto de puesta en marcha y planes de acción
•Aplicar la estrategia acordada para llevar a cabo el proyecto y los planes de acción (incluido el
desarrollo de un Plan de Continuidad de Negocio)
•Poner en marcha un proceso constante que garantice la revisión de la planificación del Nivel de
Recursos para la GCN
Las herramientas utilizadas para seleccionar las soluciones apropiadas de las enumeradas
previamente para crear una Estrategia de Recuperación de Recursos incluyen:
•Resultados del Análisis del Impacto en el Negocio y el Análisis de Recuperación de Recursos ajustados
por la Estrategia de Recuperación a nivel de Procesos
•Herramientas de evaluación para servicios de compra que incluyan un análisis del valor obtenido por
el dinero y de los términos contractuales
•Análisis de Coste Beneficio
7. Resultados
Los resultados de una Estrategia de Recuperación de Recursos para la Gestión de Continuidad de
Negocio incluyen:
•Un conjunto de recursos y servicios de recuperación que pueden desplegarse bajo el auspicio del
Plan de Continuidad de Negocio (PCN) y que permite la restauración de un nivel de funcionamiento
aceptable para las actividades de negocio:
•Dentro de su Tiempo de Recuperación (OTR)
•Con información recuperada de sus Objetivos de Punto de Recuperación (OPR).
66
8. Revisión
Cada 12 meses debería llevarse a cabo una revisión de la Estrategia de Recuperación de Recursos para
la GCN.
•Cambios en los requisitos para la recuperación de una actividad
•Un cambio importante en la asignación, personal o tecnología disponible que pueda ofrecer nuevas
estrategias de recuperación
•Un cambio en la disponibilidad de los servicios de recuperación en las inmediaciones de la
organización. Puede tratarse de un cierre, fusión o apertura de una instalación.
cap
123456
67

1. La organización dispone de estrategias formales para atenuar todos los riesgos de continuidad para
el negocio en todas las áreas de sus operaciones
2. Las estrategias atenúan los efectos y garantizan que la organización puede tolerar y recuperarse de
forma aceptable de:
•A. Todos los escenarios relativos a continuidad identificados en la Evaluación de Riesgos
•B. Imposibilidad de acceder a o pérdida de cualquier lugar de trabajo
•C. Cualquier fallo tecnológico
•D. Cualquier fallo en los proveedores o el aprovisionamiento de energía
•E. Cualquier fallo en la subcontratación o en las demás unidades de negocio
•F. Cualquier emergencia de carácter civil que pueda surgir
3. Después de sufrir un trastorno, las estrategias garantizan de forma específica la continua
integridad y la restauración progresiva de:
•A. Toda la información electrónica que se vea afectada
•B. Toda la información física (por ejemplo, en papel) que se vea afectada
•C. Toda la información en curso de elaboración que se vea afectada
•D. Todos los procesos de negocio que se vean afectados
•E. Todas las capacidades logísticas que se vean afectadas
•F. Todas las operaciones subcontratadas que se vean afectadas
4. Las estrategias contemplan la preservación las habilidades y conocimientos centrales después de
un trastorno en el negocio
5. Las estrategias contemplan la progresiva restauración a niveles aceptables de equipos,
aprovisionamientos y todos los demás recursos necesarios después de un trastorno en el negocio
6. Las estrategias se evalúan de forma sistemática en términos de Retorno sobre Inversión (ROI) o
123456
cualquier otra medición financiera adecuada

7. Las estrategias tienen una probabilidad baja probada de verse simultáneamente afectadas por
otros trastornos en el negocio
8. Las estrategias toman en cuenta y gestionan las ayudas ofrecidas por u otorgadas a otras
organizaciones
9. Las estrategias toman en cuenta y gestionan el apoyo voluntario recibido u otorgado por la
organización
cap
10. Lo siguiente aplica para las estrategias de Continuidad de Negocio de la organización:

•A. Quedan documentados todos los razonamientos utilizados para definir la estrategia y su
desarrollo
•B. Están completamente actualizadas y en su conjunto reflejan las necesidades presentes de la
organización
11. La alta dirección siempre ratifica las estrategias
12. Todas las estrategias de la organización toman en cuenta de forma totalmente objetiva
•A. Los resultados del Análisis del Impacto sobre el Negocio
•B. Los resultados de la Evaluación de Riesgos
•C. La experiencia obtenida por la organización y organizaciones similares
•D. Análisis de coste y beneficio.
68
DESARROLLAR Y PONER EN PRÁCTICA LA RESPUESTA DE GCN
Desarrollar y poner en práctica
la respuesta de GCN
69
Acerca del capítulo 4 – Desarrollar y poner en práctica la respuesta de GCN
Determinar y poner en marcha una respuesta de GCN es un elemento clave para el éxito o fracaso de
un programa de GCN. Engloba el desarrollo de planes de acción detallados para garantizar la
continuidad de las actividades y una gestión efectiva de incidentes.
1. ESTRUCTURA DE LAS RESPUESTAA INCIDENTES
2. PLAN DE GESTIÓN DE INCIDENTES
3. PLAN DE CONTINUIDAD DE NEGOCIO
4. PLANES DE RESPUESTA POR ACTIVIDAD
cap 123456
70
El objetivo de los diversos planes abordados en esta etapa es identificar tanto como sea posible las
acciones y recursos necesarios para permitir que la organización gestione una interrupción de
cualquier naturaleza.
Los requisitos clave para una respuesta efectiva son:
•Un procedimiento claro para la escalada y control de un incidente
•Comunicación con proveedores, clientes y demás partes interesadas
•Planes para reiniciar las actividades interrumpidas
Se puede llegar a esto por varios medios, y aquí sólo se describe una posible estructura. Pero al
margen de la estructura que se adopte, es importante que la estrategia esté de acuerdo con la cultura
de la organización.
Como todos los incidentes son diferentes, las acciones descritas en los planes no pretenden cubrir
cada una de las eventualidades. Cualquier procedimiento predefinido puede necesitar ser adaptado
con flexibilidad e iniciativa por los responsables de poner en marcha el plan al incidente específico
que haya ocurrido y las oportunidades que haya creado.
cap
123456
71
ESTRUCTURA DE LAS RESPUESTAS A INCIDENTES

1. Introducción
Un modelo de respuesta a incidentes, tomado de los servicios de emergencia de Reino Unido, muestra
tres tipos de respuesta generalmente clasificados como Oro, Plata y Bronce. Cuando se aplican a la
estructura de respuesta de una organización, las responsabilidades son las siguientes.
Alta Dirección
ORO Estratégico (para incidentes)
Equipo de Continuidad
PLATA Táctico de negocio
Equípos de respuesta
BRONCE Operativo a incidentes y reinicio
de actividades
123456
Nivel estratégico - Plan de Gestión de Incidentes (PGI)

El PGI define cómo la dirección ejecutiva encararía y gestionaría las cuestiones estratégicas de una
crisis que afecte a la organización. Esto puede suceder cuando el incidente no se enmarca totalmente
en el Plan de Continuidad de Negocio (PCN). Puede referirse a crisis que no ocasionan interrupciones,
como una OPA hostil, o una atención excesiva de los medios de comunicación, y aquellas en las que el
cap
impacto afecta a un área mayor de la contemplada en la estrategia de GCN, como sería el caso de una
emergencia nacional. La respuesta de los medios de comunicación a cualquier incidente se suele
abordar mediante un PGI, aunque algunas organizaciones prefieren manejar a los medios de
comunicación mediante un PCN.
El Plan de gestión de incidentes a veces también se llama "Plan de gestión de crisis". El problema es
que decir a los medios de comunicación que la organización ha puesto en marcha su "Plan de gestión
de crisis" puede hacer creer a la gente que tiene una crisis. La palabra "incidente" tiene
connotaciones menos negativas, por lo que es la que se prefiere utilizar en este documento.
Nivel táctico: Plan de Continuidad de Negocio (PCN)
El PCN se interesa por los trastornos, interrupciones o pérdidas en el negocio desde la respuesta
inicial que se le da hasta que las operaciones han regresado a la normalidad. Están basadas en las
Estrategias de Continuidad de Negocio acordadas y ofrecen procedimientos y procesos tanto para los
equipos de continuidad de negocio como para los de recuperación de recursos. En particular, los
planes asignan funciones, con sus responsabilidades y grado de autoridad. Los planes también deben
detallar los caminos y principios para trabajar durante la respuesta con varios actores externos, como
proveedores de servicios de recuperación y los servicios de emergencia.
Si el incidente se sale del alcance que contemplaba el Plan de Continuidad de Negocio, la situación
debe ser transferida a aquellos responsables de poner en marcha el Plan de Gestión de Incidentes
(PGI).
Nivel operativo: Planes de Reinicio de Actividades
A nivel de las operaciones los planes se ocupan del reinicio de las funciones normales del negocio.
Para aquellos departamentos que gestionan infraestructura, como Instalaciones y TI, los planes
ofrecerán una estructura para restaurar los servicios existentes o disponer de instalaciones
alternativas.
72
Plazos
En el caso de un incidente destructivo, los tres tipos de planes encararán diferentes problemas
durantes las diferentes fases del percance. Por ejemplo:
Repercusiones Gestión de medios Enlace con los servicios Limitación de daños y

inmediatas de comunicación de Emergencia rescate (instalaciones)
Evaluación estratégica Evaluación de daños Gestión de pérdidas

laborales (RH)
Poner en marcha a los

servicios de Continuidad
de Negocio
Daño controlado Gestión de medios Movilización de recursos Comunicación con el

de comunicación alternativos personal
Supervisión del equipo
de continuidad de
negocio
Inicio de la Se retira Gestión de recursos Reinicio de actividades
recuperación alternativos críticas urgentes
Consolidación Revisión Se retira Reinicio de otras

actividades y proyectos
cap
Revisión
Escalabilidad
123456
Si bien los tres niveles ofrecen un modelo adecuado para una organización de tamaño medio con un
único emplazamiento, una organización más pequeña puede disponer de un único grupo de gestión
que se haga cargo de las responsabilidades tanto tácticas como estratégicas. No obstante, sigue
siendo importante que este grupo gestione primero los problemas estratégicos a pesar de los
problemas acuciantes que plantea la respuesta táctica.
Para las organizaciones con múltiples instalaciones existen muchos modelos adecuados, quizás con
más subdivisiones de las mencionadas anteriormente, por ejemplo:
•Un equipo de respuesta en cada instalación respaldado por un "comando volante" central de
Continuidad de Negocio
•Un equipo de Continuidad de Negocio en cada emplazamiento importante con un Equipo de Gestión
de Incidentes central
•Disponer de una GCN y un PGI a escala nacional con poca intromisión de la dirección internacional
salvo en los casos en los que la se ve amenazada la reputación global.
73
PLAN DE GESTIÓN DE INCIDENTES

Referencia: BS 2999-1 Sección 8.3-5
1. Introducción
Los estudios de casos de incidentes importantes (según Knight y Pretty, de Oxford Metrica) indican
que la gestión rápida y efectiva de una crisis es el factor determinante para proteger la marca de una
organización de daños financieros y de reputación.
2. Pasos previos
Para las organizaciones que no han previsto planes, el Plan de Gestión de Incidentes (PGI) debería ser
lo primero que tienen que desarrollar, ya que permite disponer de una pequeña protección mientras
se desarrollan los demás planes.
3. Propósito
El propósito de un PGI es ofrecer un marco de acción que permita a una organización gestionar
cualquier crisis sin importar la causa (incluyendo aquellas en la que no existe una respuesta de
Continuidad de Negocio adecuada, como en el caso de una amenaza a la reputación).
Los conceptos utilizados en este Manual para los diversos planes no son de aplicación universal, en
particular el término Equipo de Gestión de Incidentes, EGI, puede equivaler a lo que otros llaman un
equipo de respuesta o de gestión de crisis. Es importante para una organización elegir nombres que se
adecuen a su cultura y estructura, pero que contengan las funciones aquí descritas.
Algunos incidentes necesitarán una respuesta de PGI que no provenga de un trastorno de las
actividades, como por ejemplo aquellos que acarreen amenazas sólo para la reputación y por lo tanto
no requieran una respuesta de Continuidad de Negocio. No obstante, cuando se requiera una
respuesta de Continuidad de Negocio casi siempre es necesario involucrar al EGI, aunque sólo sea
para que conozcan la situación en caso de que luego se agrave.
123456
5. Proceso
Los pasos clave para desarrollar un Plan de gestión de incidentes incluyen:
•Nombramiento de un responsable en la dirección ejecutiva del Plan de Gestión de Incidentes
•Definición de los objetivos y alcance del plan
•Desarrollo y aprobación del proceso de desarrollo y programa del Plan de gestión de incidentes
•Si no existe plan, puede ser útil realizar un ejercicio con el equipo de alta dirección, pero ejerciendo
una presión mínima, para que se vuelvan evidentes las muchas necesidades que tiene el plan, como la
cap
misma urgencia de disponer de uno

•Crear un equipo de planificación de gestión de incidentes para desarrollar el plan
•Acordar las responsabilidades del Equipo de Gestión de Incidentes y su relación con otros planes
•Decidir la estructura, formato, componentes y contenido del plan
•Determinar las estrategias, como las ubicaciones alternativas, en las que se basa el plan
•Recopilar información para elaborar el plan
•Nombrar a personas responsables y sustitutos (en caso de que el equipo de alta dirección sea
demasiado grande)
•Nombrar a personas responsables del apoyo administrativo para el PGI
•Hacer un borrador del plan
•Circular el borrador del plan para consultas y revisiones
•Obtener las reacciones a las consultas
•Corregir el plan en lo que se considere adecuado
•Acordar y validar el plan, por ejemplo en un ensayo
•Repetir el proceso para el Plan de Comunicación de Incidentes (si va por separado)
•Acordar un programa constante de ejercicios y mantenimiento para garantizar que está
actualizado.
74
6. Métodos y técnicas.
Elaborar el Plan de Gestión de Incidentes
Los métodos, herramientas y técnicas que permiten la planificación y desarrollo de un Plan de
Gestión de Incidentes incluyen:
•Análisis de proveedores, clientes y demás partes interesadas
•Planificación de escenarios
•Listas de verificación
•Talleres
•Formularios de PGI que se distribuyen para ayudar a la puesta en marcha de los procedimientos
estándar (en el caso de una organización internacional con varios equipos de gestión de incidentes)
Existen muchos programas informáticos que ayudan a crear y mantener un Plan de Gestión de
Incidentes. Pueden ofrecer beneficios significativos en las áreas de mantenimiento de planes e
integridad pero no son necesarios y no suplantan la necesidad de conocer el negocio.
Contenidos del PGI
Como, por su propia naturaleza, todas las crisis son diferentes, el Plan de Gestión de Incidentes es un
conjunto de componentes y recursos que pueden ser útiles para el equipo responsable de activarlo. El
contenido también variará según la naturaleza y complejidad de la organización.
El Plan de Gestión de Incidentes debe estar diseñado por módulos para que las diferentes secciones
puedan comunicarse a los equipos según la información que necesiten saber. Cada sección puede
imprimirse en un papel de diferente color para que sea fácil de utilizar en el momento de una crisis.
Responsable del documento y su mantenimiento
El plan tiene que nombrar a un responsable y los procedimientos para el mantenimiento.
Funciones y responsabilidades
Debe figurar las funciones del equipo y personas específicas. Se debe identificar a un sustituto para
cada función.
cap
Las responsabilidades del equipo pueden ser:
•Gestionar las comunicaciones (ver más adelante)
•Asegurar que el PGI y el Equipo de Continuidad de Negocio tienen el personal adecuado y realizar
nombramientos en caso de que sea necesario
123456
•Establecer enlaces con el Equipo de Continuidad de Negocio para acordar un calendario de reinicio
de actividades
•Aprobar una partida importante de gastos
•Supervisar el progreso conjunto de recuperación y el desempeño del personal
•Identificar y maximizar las oportunidades o ventajas que surjan del incidente
•Identificar el impacto estratégico del incidente en la organización, algo que puede exigir cambios
importantes en la dirección o abrir nuevas oportunidades
•Mantener un registro de las decisiones tomadas a lo largo del incidente.
Activación / Instrucciones de movilización
Se debe especificar por escrito las circunstancias en las que el equipo debe activarse y determinar
qué personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los
incidentes, debería otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas, debido
a que es más fácil desactivar un equipo que iniciarlo cuando el incidente está descontrolado.
Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones
en el menor tiempo posible.
El equipo tiene que haber acordado previamente varios posibles lugares de reunión, dando prioridad
a aquellos que contienen los recursos necesarios (ver más adelante). Nada más activado, el primer
responsable informado deberá identificar el lugar más adecuado para las reuniones y un lugar
alternativo.
Planes de acción
El plan debe contener elementos iniciales para pasar a la acción como una lista de proveedores,
clientes, accionistas y demás partes interesadas. Es posible que el Análisis del Impacto en el Negocio
contenga indicadores útiles acerca de posibles impactos que necesitarán gestionarse.
75
Sala de reuniones
Se debe determinar con antelación al menos dos ubicaciones que sirvan de centro de gestión de
incidentes (centro de control). Es probable que una sea dentro de las instalaciones, donde está la alta
dirección, pero la otra debe encontrarse fuera de las instalaciones.
La ubicación externa no tiene que ser propiedad de la organización. Un hotel abierto las 24 horas con
un director colaborativo debería ser suficiente para disponer de todas las instalaciones que necesitan
la mayoría de las organizaciones.
Se debe pensar en cómo se utiliza mejor el espacio para las necesidades de:
•comunicación - de entrada y de salida
•registro de eventos, acciones y problemas
•supervisión de los medios de comunicación
• acceso restringido
Recursos
Se deberían tener en cuenta los siguientes recursos:
•Pizarra / tablero (y rotuladores que funcionen)
•Varios teléfonos, entre ellos al menos uno con una línea exterior directa y capacidad de grabación
•Línea de ayuda para emergencias
•Aparatos móviles de comunicación, teléfonos móviles, fax, correo electrónico e Internet
•Equipo para controlar la TV y radio
•Estudio de TV y radio para ensayar entrevistas
•Línea de ISDN y cámara para transmitir entrevistas directamente a una radiodifusora y
videoconferencias
•Papelería
•Medios para registrar todas las acciones
•Comida y bebida e instalaciones cercanas para dormir
123456
•Un emplazamiento separado y cercano para recibir a la prensa

Los equipos y la información pueden mantenerse fuera de las instalaciones de la ubicación
alternativa en un camión (también llamado "caja de batalla").
Actividades de las personas
Las organizaciones son responsables del bienestar de sus empleados, proveedores, visitantes y
clientes. Durante un incidente y su fase de recuperación, todas las estrategias de GCN deberían
tomar en cuenta las cuestiones de necesidades básicas. Es más probable que el personar colabore de
cap
forma voluntaria con las exigencias del momento si sus necesidades básicas están cubiertas.
Algunas de las cuestiones que debe contemplar el plan:
Necesidades especiales de las personas durante evacuaciones o períodos de permanencia en las
instalaciones, como:
•embarazos
•discapacidad
•responsabilidades familiares
Durante un incidente una o varias personas deben responsabilizarse de:
•Evacuar las instalaciones
•Contabilizar el personal, proveedores y visitantes
•Comunicar con el personal y otras personas dentro de las instalaciones
•Dirigirse al contacto para casos de emergencia o familiar - la legislación local puede obligar a hacer
esto sólo si los servicios de emergencia lo aprueban previamente
•Servicios de traducción
•Asistencia para transporte
•Poner en marcha una línea telefónica de ayuda para el personal
Podrían derivarse otras necesidades como:
•Alojamiento temporal
•Servicios de terapia y rehabilitación - podrían ser ofrecidos a través de una prestación médica para
los empleados
76
•Necesidades básicas en las ubicaciones alternativas:
•Necesidades especiales
•Comida y bebida
•Seguridad personal
•Transporte y accesibilidad
•Formación adecuada en los equipos de reemplazo
Enlace con los servicios de emergencia
Se debe nombrar a empleados con un nivel adecuado de experiencia y autoridad para servir de enlace
con los servicios de emergencia cuando lleguen a las instalaciones y según lo vayan requiriendo.
Los servicios de emergencia deberían recibir información en las instalaciones acerca de cualquier
herido y el estado de la situación, además de cualquier peligro conocido al que tuvieran que
enfrentarse.
Mientras se encuentren en las instalaciones, las instrucciones de los servicios de emergencia tienen
mayor autoridad que las dadas por el personal de la organización. Cuando se vayan de las
instalaciones, la organización volverá a ser responsable de la seguridad en el sitio.
Plan de Comunicación de Incidentes
El Plan de Comunicación de Incidentes debe determinar la forma en la que la organización gestionará
la comunicación con todas las partes involucradas como:
•Personal, familiares, amigos y contactos en caso de emergencia
•Clientes y proveedores
•Accionistas y dueños
•Enlace con otros integrantes del grupo corporativo o sede central (si se pertenece a una
organización más amplia)
•Contactar e informar a las autoridades (después de consultar las formas establecidas por la
organización para el cumplimiento de sus obligaciones legales)
cap
•Asuntos relacionados con heridos graves o fallecimientos (tras consultar con los servicios de
emergencia y cumpliendo las costumbres y leyes locales)
•Medios de comunicación - prensa local y nacional, radio, TV, Internet y otros medios
Pensar por adelantado:
123456
•¿Qué crisis podrían afectarnos? (Puede ser adecuado realizar una Evaluación de Riesgos)
•¿Cuáles son las audiencias?
•¿Cómo nos comunicamos con ellas?
•¿Cuáles son los mensajes?
•¿Quién conformará el equipo de incidentes?
•¿Cuáles son los recursos e instalaciones?
•¿Han recibido formación el equipo de incidentes y los portavoces?
•¿Funciona?
•¿Qué Manual de Incidentes necesitamos?
•¿Hemos desarrollado líneas de comunicación con nuestras audiencias?
Cuando se hace pública una crisis o una interrupción en el negocio, una comunicación efectiva será
clave para salvar y mantener el activo más valioso de una organización: su reputación.
En caso de enfrentar una crisis hay que tener en cuenta:
•Responsabilidad del plan: aquellos que tengan que tomar decisiones acerca de cómo comunicar
tienen que haberse puesto de acuerdo previamente acerca de los qués, cómos y dóndes de la
comunicación.
•Percepción es realidad: su reputación se verá afectada no tanto por lo que ha pasado sino por lo que
la gente cree que ha pasado - y por su percepción acerca de cómo lo ha gestionado.
•Comprender las audiencias clave y lo que necesitan escuchar.
•Actúe rápido: Cada hora de silencio que transcurre multiplica por dos su problema de reputación.
Tiene que comunicar lo antes posible.
•Sea abierto: comunique a sus diferentes audiencias toda la información que pueda dar sin meterse
en problemas legales o prácticos. Demostrar que no se tiene nada que esconder ayuda a ahuyentar las
sospechas.
77
•Demuestre que le importa: véalo desde el punto de vista de sus audiencias y ajuste sus mensajes a lo
que necesitan escuchar, no sólo a lo que usted quiere decir.
7. Resultados
Los resultados del proceso de planificación del Plan de Gestión de Incidentes incluyen:
•Un Plan de Gestión de Incidentes que apoya las funciones del Equipo de Gestión de Incidentes de la
organización durante una crisis
•Un Plan de Comunicación de Incidentes que puede gestionar los mensajes dirigidos a los medios de
comunicación y partes interesadas durante una crisis
•Una demostración a los medios de comunicación, mercados, clientes, partes interesadas y
autoridades de que la organización está preparada para gestionar de forma efectiva los incidentes
•Cumplimiento de las obligaciones estatutarias y legales
8. Revisión
La revisión o auditoría debe corresponder con las de otras estrategias, planes y soluciones para GCN y
gestión de incidentes.
La revisión del plan puede estar provocada por un cambio importante en el negocio, la alta dirección
o el entorno de operaciones externo.
cap 123456
78
PLAN DE CONTINUIDAD DE NEGOCIO
Referencia: BS 2999-1 Sección 8.3 y 8.6-7
1. Introducción
El Plan de Continuidad de Negocio agrupa la respuesta de toda la organización frente a un incidente y
facilita la recuperación de las actividades. Aquellas personas que utilicen el plan deberían ser
capaces de analizar la información de los equipos de respuesta acerca del impacto del incidente,
elegir y desarrollar las estrategias adecuadas de entre todas las disponibles en el plan, dirigir las
unidades de negocio para la recuperación según las prioridades acordadas y, por último, comunicar
los avances al Equipo de Gestión de Incidentes.
Los componentes y contenidos de un Plan de Continuidad de Negocio variarán según la organización,
y presentarán diferentes grados de detalle basados en la cultura de la organización y la complejidad
técnica de las soluciones propuestas.
2. Pasos previos
Muy pocas veces se puede redactar un Plan de Continuidad de Negocio efectivo si no se han instaurado
los elementos clave de la estrategia de reinicio de actividades o su planificación está muy avanzada.
3. Propósito
El propósito de un Plan de Continuidad de Negocio es ofrecer un marco de acción y procesos
documentados para que la organización pueda reiniciar todos sus procesos de negocio dentro de sus
Objetivos de Tiempos de Recuperación. Un Plan de Continuidad de Negocio en sí mismo no demuestra
que se posea capacidades para la GCN; pero el hecho de que exista un plan actualizado en la
organización sugiere que existe una capacidad efectiva.
El plan debe estar orientado a la acción y por lo tanto debe ser rápido de consultar y no debe incluir
documentación (por ejemplo un AIN) que no sea necesaria durante un incidente.
cap
El Plan de Continuidad de Negocio siempre contendrá (y debería documentar) los supuestos de
gravedad máxima del incidente (en términos de amplitud, duración o impacto sobre el personal). Si
éstos se sobrepasaran, entonces deberá transferirse la responsabilidad al Equipo de Gestión de
Incidentes, debido a que es casi inevitable que la solución emane de una decisión estratégica.
123456
5. Proceso
Los pasos clave en el desarrollo de un Plan de Continuidad de Negocio (PCN) son:
•Nombrar a un responsable del Plan de Continuidad de Negocio (o de cada plan para varias
ubicaciones)
•Definir los objetivos y alcance del plan en referencia a la estrategia de la organización y la Política
de GCN
•Desarrollar y aprobar un proceso de planificación y un programa
•Crear un equipo de planificación para llevar a cabo el desarrollo del plan
•Decidir la estructura, formato, componentes y contenido del plan
•Determinar las estrategias que describirá el plan y qué es lo que se abordará en otros planes
•Determinar las circunstancias que superan el alcance del PCN
•Recopilar información para elaborar el plan
•Hacer un borrador del plan
•Circular el borrador del plan para consultas y revisiones
•Obtener las reacciones a las consultas
•Corregir el plan en lo que se considere adecuado
•Acordar un programa constante de pruebas y mantenimiento para garantizar que está actualizado
(ver sección siguiente)
•Probar el plan mediante un ensayo sobre el papel
Un Plan de Continuidad de Negocio debe estar diseñado por módulos para que las diferentes
secciones puedan comunicarse a los equipos según la información que necesiten saber. Cada sección
puede imprimirse en un papel de diferente color para que sea fácil de utilizar y referenciar. También
se recomienda asegurarse de que toda la información que cambia de forma regular, como los detalles
de contacto, figure bajo la forma de apéndices al final del plan de forma que pueda ser corregida más
fácilmente. Por esta razón es preferible que en el texto del documento figuren las funciones y no los
nombres específicos de quienes las desempeñan.
79
Existen muchos programas informáticos para desarrollar y mantener un Plan de Continuidad de

Negocio, pero no es esencial utilizarlos. Puede ser suficiente recurrir a software ofimático normal (un
procesador de textos y una hoja de cálculo), además de que mucha más gente puede utilizarlo puesto
que no exige una formación especial. No obstante, un software adaptado a las necesidades
específicas puede aportar ventajas significativas en lo que se refiere al mantenimiento e integridad
del plan. Cualquiera que sea la solución adoptada, tiene que haber un proceso de gestión de control y
cambios para la producción, actualización y distribución del Plan de Continuidad de Negocio.
El plan debe contener:
Responsable de documentación y mantenimiento
La persona o grupo nombrado para asegurar que el plan se mantiene actualizado y efectivo.
•Funciones y responsabilidades
Deben figurar las funciones del equipo y personas específicas.
Se debe identificar a los sustitutos para cada función.
Las responsabilidades del equipo o de las personas específicas pueden ser:
•Servir de enlace con los servicios de emergencia
•Recibir o buscar la información de los equipos de respuesta
•Reportar la información al Equipo de Gestión de Incidentes
•Activar a proveedores de servicios de rescate o recuperación
•Asignar los recursos disponibles a los equipos de recuperación
Instrucciones para su activación
Se tienen que especificar las circunstancias en las que el equipo debe activarse y determinar qué
personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los
incidentes, se debería otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas,
debido a que es más fácil desactivar un equipo que iniciarlo cuando el incidente está descontrolado.
Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones
123456
en el menor tiempo posible.

El equipo tiene que haber acordado previamente varios posibles lugares de reunión, dando prioridad
a aquellos que contienen los recursos necesarios (ver más adelante). Nada más activado, el primer
responsable informado deberá identificar el lugar más adecuado para las reuniones y un lugar
alternativo.
Planes de acción / lista de tareas
•Procedimientos detallados destinados al equipo para:
cap
•Responder a la invocación
•Cómo se deben tomar las decisiones
•Movilizar recursos
•Iniciar la recuperación de actividad
•Recibir información de otros equipos
•Informar del estatus al Equipo de Gestión de Incidentes
Necesidades de recursos
Listas de recursos disponibles:
•Personal
•Instalaciones y suministros
•Tecnología, comunicaciones y datos
•Seguridad
•Transporte y logística
•Necesidades básicas
•Dinero y pagos de emergencia
Información de contacto para acceder a estos recursos
Necesidades de recursos para recuperación de cada actividad
Información vital
Información de clientes
Detalles de contacto
Documentos legales (contratos y pólizas de seguro)
Acuerdos de servicios
80
Formularios y anexos
Listas de verificación para ayudar a la recuperación
7. Resultados
Los resultados del proceso de planificación de Gestión de Continuidad de Negocio incluyen:
•Un Plan de Continuidad de Negocio que debería estar ratificado por la dirección ejecutiva
•Un marco en el que puede operar cada unidad de negocio (ver sección siguiente)
8. Revisión
Alguna información contenida en el Plan de Continuidad de Negocio como los detalles de contacto
tendrá que ser revisada mensual o trimestralmente. Otra información deberá revisarse de forma
anual y comprobada mediante pruebas. Otros posibles desencadenantes para una revisión son:
•Un cambio importante en la tecnología y/o telecomunicaciones
•Un cambio importante en los procesos
•Un cambio importante en el personal
•Un cambio en el proveedor de soluciones de GCN.
cap
123456
81
PLANES DE RESPUESTA POR ACTIVIDAD

1. Introducción
Un Plan de Continuidad de Negocio será rápidamente difícil de manejar si todos los procedimientos
de recuperación figuran en un único documento. Cuando éste sea el caso (como en las organizaciones
medianas o grandes) los planes de respuesta y recuperación de cada actividad deberían excluirse del
PCN y ser incluidos en un documento separado que se pasa a ser responsabilidad de la actividad con la
que está relacionado.
Los planes de respuesta por actividad (en el nivel operativo) abordan la respuesta al incidente de
cada departamento o unidad de negocio. Algunos ejemplos de los planes de respuesta por operación
son:
•Procedimientos para ayudar a un equipo de respuesta a incidentes generalmente dirigido por un
departamento que se ocupa del incidente específico y su impacto material (si existe)
•Una respuesta de recursos humanos a problemas de necesidades básicas durante un incidente
•Un plan del departamento para reiniciar actividades en un plazo predeterminado
•Una respuesta logística del departamento de TI a la pérdida y subsiguiente recuperación de los
servicios de TI para el negocio
La complejidad y urgencia de los procesos de negocio pueden determinar si los planes operativos sólo
se ocupan de una actividad o abarcan un departamento que gestiona varias actividades.
Según el grado de complejidad de la organización, los planes de respuesta operativos pueden ser
respaldados por planes más detallados para respuestas, ubicaciones o equipos específicos.
2. Pasos previos
Debido a los muchos vínculos que existen entre el Plan de Continuidad de Negocio y los de respuesta
operativos, el Plan de Continuidad de Negocio debería estar redactado, al menos en su esquema
general, antes de que se determinen estos planes por actividad.
3. Propósito
123456
El propósito del Plan Operativo de Respuesta es estructurar la respuesta de cada departamento a una
interrupción dentro del Plan de Continuidad de Negocio general.
El plan debe estar orientado a la acción y por lo tanto debe ser rápido de consultar y no debe incluir
documentación que no sea necesaria durante un incidente.
5. Proceso
Los pasos clave para la planificación y desarrollo del plan de recuperación para la unidad de negocio
cap
son:
•Nombrar a una persona responsable del desarrollo general de los planes y un representante dentro
de cada unidad para desarrollar su propio plan
•Definir el objetivo y alcance de los planes
•Desarrollar un proceso de planificación y un programa con plazos. Cuando sea posible, empezar con
los planes para las actividades de negocio más urgentes
•Determinar las estrategias generales de GCN en las que se basa el plan
•Decidir la estructura, formato, componentes y contenido de los planes
•Desarrollar un esquema general de plan para favorecer que se estandarice la documentación, pero
que también se permita ciertas variaciones específicas si fuera adecuado
•Asegurarse de que las unidades de negocio nombran a personas para cumplir las funciones
determinadas en el plan
•Gestionar y supervisar el desarrollo de planes dentro de las unidades de negocio
•Circular el borrador para consulta, revisión y crítica, tanto dentro como fuera del departamento si
fuera necesario
•Registrar las reacciones de la consulta
•Corregir el plan en caso de que sea necesario
•Validar el plan a través de un test en la unidad de negocio
•Consolidar los planes para las unidades de negocio y revisarlos para comprobar su coherencia
•Documentar las conexiones con el Plan de Continuidad de Negocio y entre los planes para las
unidades
•Llevar a cabo un análisis de las necesidades de recursos de todos los planes para determinar las
necesidades de recursos que apoyarán las funciones
82
Los métodos, herramientas y técnicas para desarrollar un Plan Operativo de Respuesta incluyen:
•Entrevistas (estructuradas y no estructuradas)
•Un Análisis del Impacto en el Negocio y un Análisis de las Necesidades de Recursos para esta actividad
(para afinar los resultados del AIN de mayor nivel)
•Listas de verificación y formularios
•Talleres
Los planes de respuesta para operaciones específicas pueden incluir lo siguiente:
Instalaciones (Equipo de Respuesta a Incidentes)
•Planes para la evacuación y realojo de edificios
•Respuesta a amenazas de bomba y escenarios parecidos
•Puntos de evacuación (incluyen ubicaciones alternativas o externas)
•Enlace con los servicios de emergencia
•Dispersión del personal y visitantes
•Rescate de recursos y asistencia contratada
•Circunstancias agravantes
Recursos humanos
•Necesidades básicas
•Responsabilidades legales en cuestiones de salud y seguridad
•Procedimiento para contabilizar el personal
•Procedimiento para contactar al personal
•Recursos para terapia psicológica y rehabilitación
Recuperación de la unidad de negocio
•Criterios de escalado para poner en marcha la Respuesta de Continuidad de Negocio (el problema se
sale de la zona de gestión de la unidad de negocio)
cap
•Procedimiento de escalado para transferir la responsabilidad al Equipo de Continuidad de Negocio
•Contacto inicial del Equipo de Continuidad de Negocio
•Contacto con los miembros del equipo
•Plan de reinicio de actividades para cada proceso
123456
•Número de empleados necesario
•Contactos clave
•Procedimiento para el reinicio de la actividad de negocio
•Forma de iniciarlo
•Prioridades
•Procedimientos especiales
•Problemas durante la puesta en práctica
•Número de empleados necesario
•Recursos necesarios
7. Resultados
Los resultados del Plan Operativo de Respuesta incluyen:
•Un Plan Operativo de Respuesta documentado para cada actividad o departamento
•Criterios para que las unidades de negocio deriven el asunto al Equipo de Continuidad de Negocio
•Definición clara de las funciones de GCN dentro del departamento
8. Revisión
Los planes operativos de respuesta tienen que revisarse en caso de que se produzca un cambio
importante en los procesos o tecnología dentro de ese área.
83

1. La organización es responsable de al menos un Plan de gestión de incidentes y un Plan de
Continuidad de Negocio, que le permite gestionar cualquier posible incidente o crisis que afecte a la
continuidad en cualquier parte del negocio y sin importar la causa
2. La organización opera uno o varios equipos para incidentes y recuperación que son responsables de
gestionar todos los posibles incidentes que afectan a la continuidad
3. Cada equipo incluye a ejecutivos de alta dirección que son responsables y que poseen la autoridad
y conocimiento para responder de forma efectiva a cualquier incidente
4. Cada miembro del equipo tiene al menos un sustituto con igual nivel de autoridad y formación
5. Cada equipo tiene poderes y recursos para ser siempre movilizado a tiempo y dar una respuesta
adecuada
6. Cada equipo tiene que saber operar todas las herramientas e información necesarias que necesita
para gestionar un incidente
7. Todos los integrantes del equipo han recibido la formación adecuada para operar bajo una crisis o
en condiciones parecidas
8. Cada plan define una escalada y un proceso de invocación que permite su activación rápida o
inmediata
9. Cada plan contiene instrucciones inequívocas para la invocación en caso de cualquier tipo de
incidentes y condiciones
10. Cada plan contiene criterios claros de invocación y directrices
11. Cada plan identifica con claridad aquellas personas que tienen autoridad para invocarlo
12. Cada plan contiene tareas y listas para obstaculizar las consecuencias inmediatas de un trastorno
en el negocio
13. Cada plan contiene una declaración clara e inequívoca de su propósito y alcance
123456
14. Cada plan explica los protocolos y mecanismos para comunicaciones de emergencia y avisos
15. Cada plan exige que la información de contacto de familiares y de emergencia de todo el personal
esté actualizada y disponible para su rápida utilización
16. Cada plan identifica la o las personas que después de un accidente se encargarán de las
responsabilidades de salud y bienestar del personal
17. Cada plan contiene medidas específicas que garanticen que después de un accidente la prioridad
se enfoca en el bienestar de las personas y que los problemas a este respecto son gestionados de
cap
forma efectiva
18. Cada plan define y comunica las funciones, responsabilidades y grados de autoridad de todos los
participantes
19. Cada plan contiene y establece un marco de acción claro para el control aceptable de cualquier
incidente
20. Cada plan describe con claridad cómo elegir, adaptar y poner en marcha las estrategias para
optimizar la recuperación después de un incidente
21. Cada plan contiene explicaciones claras de prioridades que reflejen las variaciones estacionales,
periódicas y de día a día
22. Cada plan identifica con claridad los niveles de recuperación que deben lograrse con el tiempo
(Objetivos de Tiempos de Recuperación)
23. Cada plan describe con claridad los medios para coordinar todos los equipos y entidades
involucradas en la recuperación
24. Cada plan contiene tareas, procedimientos y listas de verificación que inician y cumplen de forma
aceptable con las estrategias
25. Cada plan contiene un inventario actualizado de los recursos necesarios en el tiempo para
entregar de forma aceptable las estrategias
26. Cada plan contiene registros o formularios para reseñar la información del incidente
27. Cada plan contiene tareas y listas de verificación para la restauración de las operaciones después
de cualquier incidente
28. Cada plan contiene tareas que permiten un análisis efectivo de la situación y una evaluación de
los daños
29. Cada plan contiene tareas que aseguran la continuidad de cada acuerdo de subcontratación
84
30. Cada plan ofrece indicaciones fiables acerca del tiempo para completar cada paso bajo
condiciones de trastorno
31. Cada plan incluye el contacto y los detalles para movilizar a todos los proveedores y clientes clave
32. Los planes de la organización prevén de forma específica la gestión rápida de la comunicación con
todos los proveedores y clientes clave antes, durante y después de un incidente
33. Los planes de incidentes contienen provisiones específicas acerca de cómo llevar a cabo medidas
adecuadas de buen gobierno
34. Cada plan identifica al personal con el grado de autoridad adecuado para servir de enlace con los
servicios de emergencia
35. Cada plan ofrece la base para un sistema efectivo de gestión de la información en momentos de
crisis
36. Cada plan especifica los medios y la frecuencia con la que se debe ofrecer la información, como
por ejemplo en comunicados de prensa, correo electrónico, sitio de Internet
37. Cada plan ofrece una estrategia y marco de acción para comunicarse con los medios de
comunicación
38. Cada plan identifica a los portavoces formados que están autorizados a enviar información a los
medios de comunicación
39. Cada plan identifica un lugar preferido de enlace con los medios de comunicación u otras partes
interesadas
40. Cada plan identifica cómo hacer seguimiento de la respuesta de los medios de comunicación
41. Los planes contienen un comunicado tipo para enviar a los medios de comunicación
42. Los planes contienen directrices para crear conciencia a través de los medios de comunicación
43. Cada plan identifica una ubicación preferida desde la que se gestionará el incidente (ubicación
para la gestión de incidentes)
44. Cada plan identifica una ubicación alternativa en caso de que no se pueda acceder a la ubicación
cap
preferida para la gestión de incidente
45. Cada ubicación de gestión de incidentes dispone de el acceso a los recursos necesarios para poner
en marcha el plan de incidentes
46. Cada ubicación de gestión de incidentes dispone de medios de comunicación efectivos, tanto
123456
principales como alternativos
47. Cada ubicación de gestión de incidentes dispone de instalaciones para acceder y compartir
información, incluido el seguimiento de los medios de comunicación
48. Cada plan es conciso y es asimilado por todos sus posibles usuarios
49. Cada plan es práctico, está orientado a la acción y excluye toda la información que no será exigida
durante un incidente
50. Cada plan es rápidamente accesible para todos sus posibles usuarios
51. Cada plan se considera completo en el sentido de que se ocupa de cualquier trastorno desde el
punto de recuperación hasta el reinicio de las operaciones normales de negocio
52. Cada plan se considera completo en el sentido de que documenta todos los componentes
requeridos para poner en marcha de forma fiable cada una de las estrategias
53. Cada plan identifica su principal responsable
54. Cada plan cuenta con el apoyo de la alta dirección e incluye un responsable concreto directo
55. Cada plan identifica a aquellos responsables de su revisión, mantenimiento y difusión autorizada
56. Cada plan cuenta con un presupuesto adecuado para su desarrollo y mantenimiento
57. Cada plan cumple con todas las obligaciones legales y estatutarias
58. Cada plan describe con claridad su relación con todos los demás planes o documentos relevantes
59. Cada plan y su documentación asociada están actualizados y reflejan las necesidades de la
organización
60. Cada plan está sujeto a un control sistemático de su versión y distribución
61. Cada plan está ratificado por la alta dirección.
85
PROBAR, REVISAR Y MANTENER LOS PREPARATIVOS DE GCN
Probar, mantener y revisar
los preparativos de GCN
86
Acerca del capítulo 5 – Probar, mantener y revisar los preparativos de GCN
Está sección garantiza que las estrategias, planes y acuerdos de GCN de la organización son
refrendados por pruebas y revisiones, además de estar actualizados.
PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS DE GCN
2. PROGRAMA DE PRUEBAS
3. PROBAR LOS PREPARATIVOS DE GCN
4. MANTENER LOS PREPARATIVOS DE GCN
5. REVISAR LOS PREPARATIVOS DE GCN
cap
123456
87
PROBAR, MANTENER Y REVISAR LOS PREPARATIVOS

Pruebas
La capacidad para la Gestión de Continuidad de Negocio (GCN) no puede considerarse fiable hasta
que no se ha puesto en práctica. Como rara vez es posible llevar a cabo un ensayo para toda la
organización de una sola vez, se necesita un programa de pruebas planificado para garantizar que
todos los aspectos de los planes y personal se han ensayado durante un período de tiempo.
Las pruebas tienen múltiples formas, entre ellos ejercicios técnicos, pruebas desde el ordenador y
ensayos completos en vivo. Independientemente de lo bien diseñada y planificada que esté una
Estrategia de GCN o un Plan de Continuidad de Negocio (PCN), varias pruebas sólidas y realistas
identificarán los problemas y suposiciones que se deberán corregir.
El tiempo y los recursos empleados en ensayar las Estrategias de GCN y PCN son partes cruciales del
proceso en su conjunto por el hecho de que desarrollan competencias inspiran confianza e imparten
conocimientos esenciales en momentos de crisis.
Si bien es necesario dedicar esfuerzos en poner a prueba las capacidades técnicas para la
recuperación, el elemento clave es el papel de las personas y su capacidad en habilidades,
conocimientos, gestión y toma de decisiones.
Cuando se subcontrata un servicio o actividad, no se transfiere la responsabilidad del riesgo. Por esa
razón las organizaciones deben asegurarse por sí mismas que los proveedores de servicios
subcontratados están preparados para aguantar un incidente. Deben comprobar la efectividad sus
propios planes y exigir a sus proveedores pruebas acerca de la viabilidad de los planes de contingencia
y cerciorarse de ello a través de ejercicios.
Mantenimiento
123456
La mayoría de las organizaciones actúan en un entorno dinámico y están sujetas a cambios en las
personas, procesos, mercado, riesgos, entorno, geografía y estrategia de negocio. Es necesario
garantizar que su capacidad para la GCN sigue reflejando la naturaleza, magnitud y complejidad de la
organización. Debe estar actualizada, ser fiable, completa, ensayada, y comprendida por
proveedores, clientes, accionistas, trabajadores y todas las partes interesadas.
Se debe instaurar un Programa de Mantenimiento de la Continuidad de Negocio para garantizar que
todas las partes interesadas conocen las partes más actualizadas y relevantes del PCN.
cap
Revisión
•Existen varias formas de revisar un programa de GCN:
•Auditoría interna
•Auditoría externa
•Autoevaluación
El proceso de auditoría de GCN garantiza que una organización dispone de un Programa de
Continuidad de Negocio efectivo. La auditoría cumple cinco funciones esenciales:
•Certifica el cumplimiento de las políticas y estándares de GCN de la organización
•Revisa las soluciones de GCN para la organización
•Da validez a los PCN de la organización.
•Verifica que se están realizando las actividades adecuadas de ensayo y mantenimiento
•Pone de relieve las deficiencias y problemas y garantiza su corrección
El proceso puede ser realizado por el departamento de auditoría interna de la organización, un
auditor externo o un profesional externo experto en Continuidad de Negocio. Se debe realizar el
proceso cada uno o dos años. Entretanto los responsables de los planes de Continuidad de Negocio
pueden llevar a cabo de forma más frecuente una "comprobación de desempeño".
88
PROGRAMA DE PRUEBAS
1. Introducción
El desarrollo de una capacidad para la GCN se logra a través de un programa estructurado de pruebas.
Se puede iniciar un programa de pruebas de GCN mediante un ejercicio diseñado para poner de
relieve las deficiencias en la capacidad.
Para ser exitoso, un programa de pruebas debe tener una forma simple al inicio y complicarse de
forma gradual.
Aun cuando la entrega de un producto o servicio ha sido subcontratada, la organización sigue siendo
responsable de esa entrega. En ese caso la organización debería asegurarse de que, mediante
ejercicios, la empresa subcontratada es capaz de cumplir con sus obligaciones. De igual forma se
debería solicitar a los proveedores de productos o servicios cuya interrupción podría causar un
trastorno importante para la organización que den pruebas de su capacidad de recuperación.
2. Pasos previos
La Política de GCN debería definir el calendario y responsabilidades para el programa de ejercicios.
3. Propósito
El propósito del programa de ejercicios es garantizar que a lo largo de un tiempo:
•Se verifica toda la información de los planes
•Se ensayan los planes
•Todo el personal (incluyendo subalternos) han ejercitado sus habilidades
Actividades subcontratadas
Las pruebas para las actividades subcontratadas deberían figurar como obligatorias en el contrato y
ser formalizadas mediante acuerdos de servicio.
cap
5. Proceso
•Redactar una lista de todos los procesos de recuperación (por ejemplo, reubicación)
•Determinar el tipo de prueba más adecuada para cada proceso
•Redactar una lista de todo el personal o grupos involucrados en cada proceso
123456
Determinar un calendario de pruebas para asegurarse de que, a lo largo de un tiempo, todo el
personal determinante se verá involucrado en ellas
Procesos de recuperación
El programa de ejercicios debe incluir actividades que permitan ensayar las diversas facetas de las
estrategias de GCN adoptadas. Entre ellas:
•Técnico - ¿Funcionan los equipos?
•Procedimientos - ¿Son correctos los procedimientos?
•Logística - ¿Logran los procedimientos sucederse de forma lógica?
•Entrega a tiempo - ¿Consiguen los procedimientos cumplir con los OTR de cada actividad?
•Administrativo - ¿Son los procedimientos fáciles de gestionar?
•Personal - ¿Están involucradas las personas correctas? ¿Poseen las habilidades, autoridad y
experiencia adecuadas?
89
La siguiente matriz ilustra una progresión y posibles combinaciones de ejercicios:
Figura :Tipos de ejercicios (Fuente: Elliot, Swartz y Herbane 1999)

cap 123456
7. Resultados
La planificación del Programa de Pruebas de GCN deberá resultar en:
•Un calendario para un programa de Pruebas
8. Revisión
La frecuencia de un Programa de Pruebas de GCN dependerá de la naturaleza, magnitud y
complejidad de la organización. Un ensayo de la Capacidad para la GCN de la organización en su
conjunto debería realizarse al menos una vez cada 12 meses. También es posible que otros
acontecimientos obliguen a realizar nuevas pruebas:
•Un cambio significativo en los procesos, la plantilla o la tecnología
•Un cambio importante en el entorno externo del negocio
90
PROBAR LOS PREPARATIVOS DE GCN
Ref: BS 25999-1 Sección 9.3
1. Introducción
"Pruebas" es un término genérico que se utiliza aquí para describir el conjunto de medidas que ponen
a prueba el Plan de Continuidad de Negocios, los integrantes de los equipos y la tecnología y
procedimientos. Se suelen utilizar tres términos:
•Prueba (Test): suele referirse a someter a examen un proceso tecnológico o de negocio,
generalmente con respecto al cumplimiento de ciertos plazos. Es posible que el resultado sea "pasa" o
"falla" (para el proceso, no la persona). Un ejemplo podría ser la recuperación de un servidor
mediante los archivos de respaldo.
•Simulacro: Práctica de un conjunto específico de procedimientos que requieren el seguimiento de
un guión para inculcar conocimientos y familiarizarse con la práctica. Un ejemplo sería un simulacro
de incendio.
•Ejercicio: Suelen realizarse para un evento basado en un escenario en el que se ponen a prueba la
capacidad para tomar decisiones. Un ejemplo es un ejercicio de escritorio para gestionar un
incidente grave.
Más allá del término que se utilice, es importante darse cuenta de que una prueba es una oportunidad
medir la calidad de la planificación, la competencia de las personas y la efectividad en las
capacidades y no un simple examen con un aprobado o un suspenso. Demostrar una actitud positiva
frente a las pruebas de GCN logra que el proceso tenga mayor aceptación, permite reconocer las
fortalezas, mientras que las deficiencias serán consideradas oportunidades para mejorar en lugar de
dar lugar a críticas.
2. Pasos previos
Las pruebas enfocadas en actividades individuales son parte de un programa de pruebas y deben ser
cap
programados junto con las actividades de formación correspondientes.
3. Propósito
El propósito de ensayar es:
•Evaluar las actuales competencias de la organización para la GCN
123456
•Identificar áreas para mejorar o en las que falta información
•Destacar suposiciones que deben ser cuestionadas
•Ofrecer información e inspirar confianza a los participantes de los ejercicios
•Incentivar el trabajo en equipo
•Mejorar el nivel de conciencia de toda la organización acerca de la Continuidad de Negocio dando
publicidad al ejercicio
•Comprobar la efectividad y cumplimiento de plazos de los procedimientos de restauración al final
del ejercicio
Para que una prueba se considere "útil" necesita cumplir con los siguientes criterios: rigurosa, realista
y de exposición mínima. Suele suceder que estos tres criterios plantean requisitos opuestos por lo que
se necesitará llegar a un compromiso balanceado entre todos.
Rigurosa
Cuando sea posible, las pruebas deben realizarse utilizando los mismos procedimientos y métodos
que se utilizarían durante un incidente real, tratando de que todo sea lo más realista que se pueda. Se
trata de un ideal, pero no es posible llevar a cabo ciertas pruebas sin realizar alteraciones reales
sobre los procesos. Esto sobre todo aplica a pruebas técnicas.
Realista
La utilidad de una prueba se ve comprometida si se elige un escenario poco realista. Se necesita
simular un incidente para demostrar la viabilidad de los planes en tales circunstancias.
Reflejar un escenario de negocios realista garantiza que la audiencia se comprometa por completo
con la prueba y aprenda más de ella.
91
Exposición mínima
La realización de pruebas puede exponer el negocio a un nivel elevado de riesgo. El responsable de
diseñar la prueba debe asegurarse de que:
•queda minimizado el riesgo e impacto del trastorno
•el negocio entiende y acepta el riesgo
Para pruebas de mayor complejidad técnica, el responsable debe asegurarse de que existen puntos
acordados previamente para continuar o detener la prueba a lo largo de etapas clave, además de
planes adecuados de respaldo en caso de que las cosas salgan mal.
Del mismo modo, para los ejercicios de despacho o en directo, el responsable tiene que disponer de la
capacidad de interrumpir la prueba si el equipo está tomando decisiones que no serían adecuadas en
el escenario planteado.
5. Proceso
•Una prueba técnica incluye las siguientes fases:
•Acordar el alcance y objetivos de la prueba
•Acordar el presupuesto para la prueba si fuera necesario
•Asignar a la tarea el personal adecuado
•Plantear un escenario sencillo y un conjunto de suposiciones que dan contexto a la prueba
•Llevar a cabo una Evaluación de Riesgos de la prueba para minimizar el riesgo de impacto sobre las
operaciones reales
•Llevar a cabo la prueba y registrar los resultados
•Evaluar e informar de los resultados
•Solucionar cualquier problema detectado
Un ejercicio sobre un escenario necesitará pasos similares, pero más complejos:
•Acordar el alcance y objetivos del ejercicio con la alta dirección
•Acordar el presupuesto para la prueba
123456
•Acordar con los responsables y proveedores adecuados la logística y servicios necesarios para
desarrollar el ejercicio
•Preparar un escenario realista y detallado
•Incluir aspectos como fecha, hora, carga de trabajo, condiciones políticas y económicas y
problemas temporales o estacionales
•Asegurarse de que los participantes están disponibles
•Llevar a cabo una Evaluación de riesgos del ejercicio para minimizar el riesgo de impacto sobre las
cap
operaciones reales
•Informar a observadores y preparar cuestionarios que se utilizarán durante el ejercicio para plasmar
las lecciones aprendidas por jugadores y observadores
•Dar a los participantes información previa al ejercicio
•Llevar a cabo el ejercicio
•Hacer un informe de resultados y comunicarlo a los participantes inmediatamente después del
ejercicio
•Presentar un informe más formal a los participantes en una fecha posterior
•Evaluar los resultados del ejercicio y los resultados del informe y preparar un informe con
recomendaciones
•Preparar un informe de las cuestiones problemáticas durante y justo después de la prueba.
•Enviar copia de los informes a los participantes y alta dirección
•Crear un plan de acción que se pondrá en marcha después del ejercicio con las recomendaciones al
informe, como la actualización de la estrategia y plan conforme a lo aprobado o revisión del
calendario de ejercicios para dar tiempo a demostrar la eficacia de los cambios.
Participantes
Además del personal, en un ejercicio con un escenario los participantes también pueden ser:
El facilitador
•Los proveedores de recursos y servicios especializados para la GCN
•Los representantes de las compañías de seguros
•Los servicios de emergencia
•Los encargados de seguridad
92
•Las autoridades locales dedicadas a planificación de emergencias
•Los responsables de comunicación y relaciones públicas
•Expertos (cuando se necesiten)
•Los proveedores de productos y servicios para el negocio
•Los proveedores de actividades subcontratadas
7. Resultados
El proceso de probar la GCN puede brindar los siguientes resultados:
•Comprobación de que la Continuidad de Negocio y las estrategias son efectivas
•Grado de familiaridad del personal con sus funciones, responsabilidades y autoridad en
respuesta a un incidente.
•Prueba de los aspectos técnicos, logísticos y administrativos del Plan de Continuidad de Negocio.
•Prueba de la infraestructura de recuperación como los centros de mando, el área de trabajo,
tecnología y telecomunicaciones.
•Un ensayo acerca del grado de disponibilidad y reubicación de la plantilla
•Documentar los resultados del ejercicio en un informe posterior para la alta dirección,
auditores, aseguradoras, autoridades y demás partes interesadas
•Documentar y resolver todas las cuestiones que han surgido en el ejercicio
•Una conciencia mayor acerca de los procedimientos de emergencia
•Una conciencia mayor acerca del significado de la GCN.
•La oportunidad para identificar las deficiencias y posibilidades de mejora en la preparación a la
Continuidad de Negocio por parte de la organización
8. Revisión
La frecuencia de un Programa de Ejercicios de GCN dependerá de la naturaleza, magnitud y
complejidad de la organización. Un ensayo de la Capacidad para la GCN de la organización en su
conjunto debería realizarse al menos una vez cada 12 meses. También es posible que otros
cap
acontecimientos obliguen a realizar nuevos ejercicios:
•Un cambio significativo en los procesos, la plantilla o la tecnología
•Un cambio importante en el entorno externo del negocio.
123456
93
MANTENER LOS PREPARATIVOS DE GCN

1. Introducción
El Programa de Mantenimiento de GCN garantiza que la organización se encuentra preparada para
gestionar incidentes a pesar de los constantes cambios que experimentan todas las organizaciones.
Para que un Programa de Mantenimiento de GCN sea efectivo, debe estar integrado en los procesos
normales de gestión de la organización en lugar de formar parte de una estructura separada que
puede ser olvidada.
2. Pasos previos
La mayoría de los problemas que surgen de las pruebas y ejercicios son resultado de cambios internos
en la organización – personal, ubicación o tecnología.
3. Propósito
El propósito del proceso de Mantenimiento de la Gestión de Continuidad de Negocio e Incidentes es
garantizar que la capacidad para la GCN de la organización se mantiene efectiva a pesar de los
cambios en los procesos internos y las influencias externas.
Disponer de una gestión de cambios es un prerrequisito para el mantenimiento del programa de GCN.
5. Proceso
Revisar los cambios internos en:
•Procesos de negocio
•Tecnología
•Personal
Esta revisión puede ser provocada por un cambio en la gestión, por los "puntos de aprendizaje" de
después de los ejercicios o por un informe de auditoría.
123456
•Revisar y cuestionar las suposiciones hechas en el Análisis del Impacto en el Negocio acerca del
entorno en el que opera la organización para determinar si los imperativos de tiempo han cambiado
desde la última revisión
•Revisar la idoneidad y disponibilidad de aquellos servicios externos que podrían ser exigidos por una
organización en momentos difíciles, como la restauración de activos, ubicaciones de recuperación y
subcontrataciones
•Revisar los planes de Continuidad de Negocio para proveedores de componentes cuya entrega a
cap
tiempo es crítica para el negocio

•Evaluar si los cambios y enmiendas crean una necesidad de formación, concienciación y/o
comunicación.
•Ofrecer formación, concienciación y/o comunicación adecuadas en lo que se necesite.
•Distribuir la política, estrategias soluciones, procesos y planes de GCN actualizados, corregidos,
modificados a las principales partes interesadas mediante el proceso formal de control de cambios
(versión).
•Cada responsable del plan se hace cargo del mantenimiento de los planes de Continuidad de Negocio
del equipo y los datos dinámicos, como los teléfonos del personal fuera de horas de oficina, tareas del
equipo, detalles de contacto de los proveedores, contenido de la caja de contingencia, etc.
•Las secciones del plan se actualizan desde mensualmente hasta una vez al año, según el calendario
estipulado en la sección relativa al Mantenimiento del Plan de Continuidad de Negocio. Los meses
adecuados para la actualización también se especifican en esa misma sección.
•La "fecha de la última actualización" se muestra claramente al principio de cada capítulo del plan de
Continuidad de Negocio para garantizar un registro efectivo para las auditorías.
7. Resultados
El proceso de mantenimiento de la Continuidad de Negocio brinda los siguientes resultados:
•Un programa documentado de supervisión y mantenimiento de la Continuidad de Negocio
•Un informe de mantenimiento claramente definido (con recomendaciones) acordado y ratificado
por el directivo adecuado
•Un plan de acción del informe de mantenimiento claramente definido acordado y ratificado por el
directivo adecuado
•Planes de Continuidad de Negocio, estrategias y soluciones que sean efectivos y adecuados.
94
8. Revisión
La frecuencia de un Programa de Ejercicios de GCN dependerá de la naturaleza, magnitud y
complejidad de los cambios en el negocio.
Es probable que se necesite realizar el mantenimiento:
•Cuando se produce un cambio significativo en los procesos, la plantilla o la tecnología.
•Después de un ejercicio o prueba.
•Después de una auditoría que recomiende cambios.
•De acuerdo con el calendario definido en el capítulo sobre el Mantenimiento del Plan de Continuidad
de Negocio.
cap
123456
95
REVISAR LOS PREPARATIVOS DE GCN
1. Introducción
La revisión incluye
•Auditorías, tanto internas como externas
•Autoevaluación
La auditoría sirve para revisar de forma imparcial con respecto a estándares y políticas definidas y
para ofrecer recomendaciones para subsanar las deficiencias. No obstante, la naturaleza de la GCN
exige a la auditoría una visión distinta debido a la evolución de los estándares. La auditoría está
diseñada para verificar que se han seguido de forma correcta, no que las soluciones adoptadas son
obligatoriamente correctas.
2. Pasos previos
La auditoría debe realizarse con respecto a una Política de GCN y los estándares adecuados.
3. Propósito
El propósito de una auditoría de GCN es analizar las competencias que posee una organización para la
GCN; medirlas con respecto los estándares y criterios predeterminados y confeccionar un informe de
auditoría estructurado.
Además, la misma GCN debería estar sujeta de forma periódica a un proceso de garantía.
Esta visión asume que si el proceso es correcto y se aplica de forma adecuada, el resultado debería
ofrecer una capacidad efectiva para la GCN.
Se asume que los estándares disponibles ofrecen el marco de acción adecuado para la auditoría.
Entre ellos figuran:
?Estándares nacionales e internacionales, como el Código de Prácticas BS 25999-1 y la Especificación
123456
BS25999-2 (aún no publicada)

•Obligaciones normativas, como las marcadas por las autoridades financieras correspondientes
•Obligaciones legales
•Los Manuales de Buenas prácticas (como este documento) o aquellas específicas para un sector
•Estándares de la industria como el ISO 17799 (relativo a la seguridad de TI).
5. Proceso
Al igual que sucede con la planificación, puesta en marcha y mantenimiento de la Continuidad de
cap
Negocio, la auditoría de GCN se ocupa de un proceso complejo y necesita interactuar con un amplio
abanico de funciones directivas y operativas, tanto desde el punto de vista de negocio como técnico.
La auditoría del proceso de GCN incluye:
•Una auditoría del plan de GCN - que a su vez debería incluir:
-Identificación del tipo de auditoría a llevar a cabo (de cumplimiento, gestión de proyectos, estudio
de factibilidad, due diligence o de investigación).
-Identificación de los objetivos de auditoría, es decir, los resultados. Esos objetivos pueden estar en
parte motivados y marcados o restringidos por las obligaciones legales o normativas. Esto incluye
cuestiones clave de alta importancia.
-Identificación del marco estándar para la auditoría (cuando sea apropiado) que se va a utilizar,
como el BS 25999. El marco puede ser forzoso o estar restringido por las obligaciones legales o
normativas.
-Definición del alcance de la auditoría.
-Determinar los aspectos de gobierno corporativo, cumplimiento u otras cuestiones que deban ser
auditadas.
-Determinar el área/departamento/ubicación de la organización que será auditada.
-Definición de la perspectiva de la auditoría.
-Las actividades de auditoría que se van a realizar, como cuestionarios/entrevistas
personales/revisión de documentos/revisión de soluciones.
-Calendario de actividades y fechas de entrega
-Identificación de los criterios de evaluación de la auditoría (estándares).
-Determinar las necesidades de opiniones expertas en temas específicos o asistencia por parte de
terceros para realizar la auditoría.
•Revisión y recopilación de información mediante la auditoría de las actividades de GCN.
96
•Recopilar y resumir las entrevistas, cuestionarios y otras fuentes.
•Identificar las deficiencias en contenido e información encontradas y realizar entrevistas nuevas o
por segunda vez, según el caso.
•Obtener y contrastar la documentación relevante (como el Análisis del Impacto en el Negocio) con
los datos de entrevistas y otras fuentes (inspecciones físicas, muestreos).
•Referencias a fuentes secundarias, como estándares, normas o manuales de buenas prácticas para
confirmar los resultados preliminares.
•Formación de una opinión que debería reflejar tanto los intereses del patrocinador de la auditoría
como el "patrón" fijado por las fuentes externas, como normas, leyes o estándares del sector.
-Asignar un factor de riesgo a los elementos individuales de auditoría para distinguir entre los
resultados con riesgos críticos, altos, medios y bajos.
-Definir los criterios para clasificar los resultados mediante una clasificación predefinida
claramente diferenciada por categorías.
•Entregar un borrador de informe de opinión para ser discutido por las principales partes interesadas.
•Entregar un informe de opinión de auditoría acordado que incorpore las recomendaciones así como
las respuestas auditadas allí donde sigue habiendo diferencias de opinión.
•Entregar un plan de medidas correctivas con plazos de cumplimiento para llevar a cabo las
recomendaciones acordadas en el informe de auditoría. También debería ser un elemento clave del
Programa de Mantenimiento de GCN.
•Entregar un proceso de supervisión (además del Programa de Mantenimiento de GCN) para
garantizar que se lleva a cabo en los plazos acordados el plan de auditoría para corregir las
deficiencias materiales.
El proceso de garantía de GCN incluye:
•Definir el grado de responsabilidad y autoridad de cada función
•Definir los Indicadores Clave de Desempeño – Objetivos, mediciones y estándares
cap
•Definir los factores de éxito
•Incorporar los Indicadores Clave de Desempeño en los contratos internos y externos así como en la
evaluación anual
•Evaluar y revisar el desempeño con respecto a los Indicadores Clave de Desempeño, los objetivos y
123456
los estándares de la industria predefinidos.
•Entregar un plan de medidas correctivas.
Los métodos para la auditoría deben ser determinados por los responsables de ella.
La autoevaluación, o "supervisión de desempeño" llevada a cabo dentro del programa de GCN puede
recurrir a indicadores de desempeño como:
•Número de meses transcurridos desde el último ejercicio activo.
•Número de asuntos pendientes que siguen sin resolverse desde el último ejercicio.
•Grado en el que se ha completado la documentación del plan de Continuidad de Negocio.
•Número de meses transcurridos desde el último Análisis del Impacto en el Negocio.
•Número de asuntos pendientes que siguen sin resolverse desde el último Análisis del Impacto en el
Negocio.
•Nueva aplicación de TI evaluada para su inclusión en los planes de Continuidad de Negocio.
•Nuevo o modificado proceso de negocio evaluado para su inclusión en los planes de Continuidad de
Negocio.
•Adecuación/viabilidad de los datos dinámicos del Equipo de Recuperación como miembros del
equipo, teléfonos de contacto, lista de proveedores, determinación de la estación de trabajo en el
emplazamiento de recuperación.
•Creación de un presupuesto de GCN para su puesta en marcha y mantenimiento.
•Control presupuestario.
•Cuadro de mandos de grado de cumplimiento de la autoevaluación
La evaluación cualitativa puede lograrse a través de:
•Documentar el análisis y la revisión
•Entrevistas con el personal, clientes, proveedores y demás partes interesadas.
97
7. Resultados
Una auditoría de GNC ofrecerá los siguientes resultados:
•El informe de una auditoría de GNC independiente que haya recibido la conformidad y esté
ratificado por la alta dirección
•Un plan de acción correctivo que ha recibido la conformidad y está ratificado por la alta dirección
El resultado de una puntuación deficiente será:
•Reconocimiento por el departamento de auditoría interna de que el Plan de Continuidad de
Negocio es "inadecuado".
•Iniciar una revisión del plan de Continuidad de Negocio dirigida por un experto en la materia que
ayudará al equipo a mejorar su estado.
El resultado de un proceso de autoevaluación puede ser:
•Mejoras en la gestión del programa de GCN
8. Revisión
La política acerca de la frecuencia de las auditorías debe estar claramente definida y estipulada en la
"Política y Estándares de Auditoría" de la organización.
cap 123456
98
1. La organización opera un programa de pruebas de GCN que afecta a todas sus operaciones de
negocio
2. Todos los planes han sido puestos a prueba recientemente y de forma realista
3. Todo el personal ha participado recientemente de forma activa en ejercicios realistas
4. Todas las ubicaciones para la recuperación de actividades y centros de mando han sido puestos a
prueba recientemente y de forma realista
5. Todos los sistemas críticos de recuperación han sido puestos a prueba recientemente y de forma
realista
6. Toda la recuperación crítica de telecomunicaciones (datos) ha sido puesta a prueba recientemente
y de forma realista
7. Toda la recuperación crítica de telecomunicaciones (voz) ha sido puesta a prueba recientemente y
de forma realista
8. Toda la recopilación, recuperación y restauración de información han sido puestas a prueba
recientemente y de forma realista
9. Todos los proveedores y empresas de servicio subcontratadas críticos han sido puestos a prueba
recientemente y de forma realista
10. Todos los proveedores de servicios de recuperación han sido puestos a prueba recientemente y de
forma realista
11. Se ha ensayado recientemente y de forma realista la reubicación de toda la plantilla
12. Los diversos planes de la organización se corresponden entre sí y han sido puestos a prueba juntos
para garantizar que pueden ejecutarse sin dar lugar a omisiones o conflictos
13. El programa de ejercicios de GCN de la organización:
•A. Es coherente con el alcance de todos los planes y estrategias
cap
•B. Garantiza que cada componente de las capacidades para la Continuidad de Negocio de la
organización se revisa y ensaya de forma regular y es actualizado según un calendario determinado
•C. Ofrecer una certeza objetiva de que todos los planes y estrategias funcionarán como previsto
cuando se necesiten
123456
•D. Garantiza que siempre que sea posible se utilizan escenarios realistas para las pruebas
•E. Garantiza que se han comprobado todos los elementos y dependencias que existen en el plan y
que están relacionados entre sí
•F. Garantiza que las pruebas reflejan una amplia gama de escenarios y posibles fallos
14. Se evalúa cada prueba del programa para garantizar que no expone a la organización a niveles de
riesgo inaceptablemente más altos
15. Cada prueba posee una magnitud y complejidad adecuadas para los objetivos de recuperación,
perfil de riesgo y nivel de madurez de la GCN en la organización
16. Cada prueba es realista, se planifica de forma cuidadosa y está acordada con las partes
interesadas
17. Cada prueba posee objetivos y criterios de éxito claramente definidos que han sido autorizados
por la alta dirección
18. Cada prueba genera un informe resumido y análisis posterior
19. Cada ejercicio genera un informe posterior que contiene medidas correctivas y un calendario
para su puesta en marcha
20. El programa de ejercicios incluye de forma específica:
•A. Revisiones sobre el papel del contenido del plan
•B. Pruebas o revisiones completas de escenarios sobre el papel
•C. Pruebas de aumento de la gravedad del incidente y de convocatoria del personal
•D. Pruebas con escenarios limitados, como por ejemplo de recuperación de tecnología
•E. Pruebas de recuperación de unidades de negocio
•F. Pruebas integrales de recuperación que involucren el desplazamiento de toda la ubicación
21. El programa de ejercicios se adecua de forma rigurosa a unos tiempos previamente fijados que
estén acordes con la Política de GCN
22. El programa de ejercicios es responsabilidad última de un miembro del equipo de alta dirección
23. El programa de ejercicios posee un presupuesto aprobado propio y adecuado
99
24. La documentación del programa de ejercicios describe de forma clara su relación con otros
documentos importantes
25. La organización lleva a cabo un programa de mantenimiento de GCN que engloba todos los
aspectos de la GCN en todas las operaciones
26. Todos los aspectos de la GCN en toda la organización están actualizados y reflejan los requisitos
de la Política
27. El proceso de mantenimiento de GNC está claramente definido y documentado y ofrece un
control de los cambios para todos los componentes de la GCN
28. El proceso de mantenimiento de GNC:
•A. Se adecua de forma rigurosa a unos tiempos previamente fijados
•B. Es responsabilidad última de un miembro del equipo de alta dirección
•C. Posee un presupuesto aprobado propio y adecuado
29. El proceso de mantenimiento de GNC está ratificado por la alta dirección
30. El proceso de auditoría revisa de forma independiente y periódica la competencia para la GCN de
la organización en nombre de la alta dirección para verificar su continua adecuación y efectividad
31. La organización posee los procedimientos adecuados para subsanar las deficiencias relacionadas
con la GCN identificadas en la auditoría.
cap 123456
100
INCORPORAR LA GCN EN LA CULTURA DE LA ORGANIZACIÓN
Incorporar la GCN en la
cultura de la organización
101
Acerca del Capítulo 6 – Incorporar la GCN en la cultura de la organización
Para tener éxito, la GCN tiene que ser una parte asumida dentro de la gestión normal del negocio, sin
importar el tamaño o sector de actividad. En todo momento del proceso de GCN existen las
oportunidades de introducir y mejorar la cultura de GCN en una organización.
2. EVALUAR EL NIVEL DE CONCIENCIACIÓN Y FORMACIÓN EN GCN
3. DESARROLLAR LA GCN DENTRO DE LA CULTURA DE LA ORGANIZACIÓN
4. SUPERVISAR EL CAMBIO CULTURAL
cap 123456
102
La instauración de una Gestión de Continuidad de Negocio (GCN) dentro de la cultura de la
organización depende de su integración con la gestión diaria y estratégica de la organización y su
correspondencia con las prioridades del negocio.
Una cultura de GCN garantizará que una organización puede:
•Desarrollar un programa de GCN de forma más eficiente
•Inculcar confianza en personal y clientes en su capacidad para sobrellevar los trastornos
•Mejorar su robustez con el paso del tiempo al asegurarse de que todas las decisiones en todos los
niveles toman en cuenta las implicaciones para la GCN
•Minimizar el impacto y la probabilidad de los trastornos
El proceso para desarrollar e incorporar de forma sostenida la GCN en la cultura de la organización es
fruto de los siguientes tres pasos:
1. Evaluar el actual nivel de concienciación y compromiso con la GCN con respecto al nivel deseado;
identificar las "carencias de formación" que existen entre los dos
2. Diseñar y realizar una campaña para crear una concienciación corporativa y desarrollar las
habilidades, conocimientos y compromiso necesarios para garantizar una exitosa Gestión de
Continuidad de Negocio.
3. Comprobar que la campaña de creación de concienciación ha logrado los resultados esperados y
supervisar la concienciación en GCN en el largo plazo
Todo programa tiene una limitación en cuanto a su posibilidad para alterar la cultura de una
organización. Además, los intentos por cambiar los comportamientos pueden tener efectos
inesperados que pueden ser contrarios a los deseados.
cap
Algunos factores necesarios para el éxito:
?Obtener el apoyo visible y continuo de la alta dirección. Esto también significa contar con un
presupuesto adecuado que respalde la campaña de concienciación. También es importante lograr el
compromiso de los directivos y personal de operaciones que deberán poner en práctica la Gestión de
123456
Continuidad de Negocio.
•Efectuar consultas a todos los involucrados en la GCN a la hora de desarrollar la campaña. Además de
que ayudará a centrar mejor el esfuerzo de concienciación, las mismas consultas contribuirán a
mejorar el nivel de concienciación y servirán para crear un mejor compromiso con las nuevas
prácticas laborales.
•Centrarse en las prioridades de negocio de la organización. Relacionar el mensaje de la campaña con
factores de interés para la corporación y personales ("¿Qué gano yo con esto?") permite justificar la
GCN y las prácticas laborales que la sustentan.
La campaña de concienciación y sus mensajes deberían estar adecuados a cada grupo objetivo de
audiencia. Estas audiencias son tanto internas, por ejemplo los que llevan a cabo la GCN y el personal
en general, como externas, por ejemplo, proveedores, clientes y terceros que dependen de (o
pueden afectar de forma negativa a) la iniciativa de Gestión de Continuidad de Negocio de la
organización. La toma de concienciación por parte de actores externos es particularmente
importante cuando la GCN opera en un entorno de subcontratación.
La cultura de la organización se manifiesta en valores compartidos, normas de operación, estilos y
patrones de comportamiento. Se suele explicar como "la forma en la que aquí se hacen las cosas " o "lo
que tienes que hacer para llevarte bien".
La experiencia demuestra que las iniciativas para cambiar los comportamientos no logran
compromisos a largo plazo si no abordan también las actitudes y creencias. Una creencia en
particular, la de "eso nunca me pasará a mí" es un obstáculo muy grande para la GCN. Para realmente
cambiar los comportamientos es necesario influir en las actitudes. Para ello es necesario desarrollar y
establecer creencias. Por esta razón lograr un cambio cultural puede ser un proceso largo y sutil.
Esta etapa describe el proceso para evaluar y mejorar el nivel de concienciación y la formación en
GCN en la organización. Su estructura es por lo tanto diferente de la sección 10 de BS 25999-1 que se
centra en definir los resultados de ese proceso.
103
EVALUAR EL NIVEL DE CONCIENCIACIÓN Y FORMACIÓN EN GCN

1. Introducción
Antes de planificar y diseñar los componentes de una campaña de concienciación es importante
entender el nivel de concienciación que existe y cuál es el que se desearía obtener tras ofrecer la
formación. También es importante determinar cómo se medirá el nivel deseable de concienciación y
qué cambios propiciará la nueva cultura de GCN.
El nivel de concienciación de la organización cambiará constantemente conforme llegue y se vaya el
personal. Es posible que acontecimientos internos y externos contribuyan a mejorar de forma súbita
la concienciación y entendimiento de las cuestiones relacionadas con la GCN. Pero también suelen
desaparecer rápidamente, por lo que el programa de GCN debe estar listo para aprovechar y
desarrollar estas oportunidades en caso de que se produzcan.
Se debe estudiar la posibilidad de ampliar el alcance del nivel de concienciación acerca del programa
de GCN a los proveedores, clientes y demás partes interesadas relacionadas con la organización.
2. Pasos previos
La Política de GCN ofrecer el marco en el que reposa la necesidad de un cambio cultural.
3 Propósito
El propósito de esta actividad es evaluar los niveles actuales y deseables de nivel de concienciación
de GCN, definir qué áreas debe cubrir la campaña de concienciación y de qué forma más efectiva se
puede llevar a cabo.
Una auditoría del actual nivel de concienciación en GCN debería tratar de establecer el nivel de
conocimiento y compromiso con la GCN. Se determinará principalmente por los comportamientos,
pero existen otras formas de determinarlo dentro de la organización.
Aquellos responsables de evaluar el nivel de concienciación deberían disponer de un buen
entendimiento del negocio y de los objetivos de la GCN. También deberían ser capaces de convocar
123456
aquellos que tengan un nivel adecuado de competencias en formación y actividades de

concienciación, además de habilidades para diagnosticar situaciones y buen trato con las personas.
Al igual que en otras etapas de la campaña de concienciación, esta actividad exige que se consulte y
se busque la colaboración de personal de toda la organización, desde la alta dirección hasta el
personal que no tenga atribuidas funciones específicas en la GCN, pero que tenga que demostrar
responsabilidad en general de "cumplir su papel" en la GCN. Desde el principio la alta dirección
debería ofrecer su apoyo para el trabajo de concienciación, tanto en términos de recursos materiales
cap
como en compromiso con la misión.

5. Proceso
La evaluación del nivel de concienciación es en realidad un Análisis de las Necesidades de Formación y
abarca tres tareas:
1. Establecer el actual nivel de concienciación en GCN
2. Especificar el nivel deseado de concienciación o formación, y cómo serán medidos
3. Identificar la naturaleza y alcance de las "deficiencias de formación" que la campaña deberá
subsanar
Requisitos
Las habilidades específicas necesarias del personal encargado de GCN incluyen:
•Gestión del programa
•Análisis del Impacto en el Negocio
•Desarrollar y poner en marcha los planes de Continuidad de Negocio
•Llevar a cabo un programa de ejercicios
Se debe impartir una formación más genérica en cuestiones relacionadas con la GCN para que, por
ejemplo, el personal involucrado en el programa pueda:
•Conocer las tendencias y nuevos desarrollos en el tema
•Explorar las posibilidades y problemas de las nuevas tecnologías
•Saber cómo otras organizaciones están enfrentando retos similares
Es posible que se necesiten otras habilidades para responder a incidentes, como:
•Evacuación por incendio
•Limitación de daños
•Rescate y evaluación de daños
104
•Restauración de los equipos
•Liderazgo
La campaña para la concienciación del personal en general puede tratar acerca de:
•Cómo dar la alarma
•Responder a amenazas específicas
•Qué hacer en caso de evacuación
•Conocimiento de los planes de recuperación
•Integrar el nivel básico de concienciación en los programas de formación de personal recién llegado
Determinar el actual nivel de concienciación en GCN
Esta actividad es un ejercicio de recolección de información. El objetivo es establecer indicadores
estadísticos de cualquier deficiencia en concienciación y una evaluación del nivel de entendimiento y
compromiso con la GCN para el personal al que se quiere llegar.
Entre las fuentes de información deberían figurar:
•Documentación: revisar la política y procedimientos corporativos, los informes de respuestas a
incidentes y crisis, los documentos acerca de pruebas y ejercicios de GCN realizados anteriormente o
mediciones importantes de los sistemas de TI y de negocio
•Comentarios personales: realizar entrevistas con altos directivos y ejecutivos, llevar a cabo
entrevistas de grupo (focus groups) con responsables de la GCN y usuarios finales
•Observación: realizar revisiones en el puesto de trabajo acerca de las prácticas laborales actuales
(para, por ejemplo, compararlas con la política de la organización)
Especificar el nivel deseado de concienciación y de qué forma se medirá
Se trata de especificar qué indicadores de comportamientos y sus resultados correspondientes
servirán para confirmar que cada grupo objetivo del personal ha alcanzado un nivel satisfactorio en
cuanto al nivel de concienciación de GCN. Estas especificaciones deberán ser acordadas junto con la
cap
alta dirección (en lo que se refiere a la correspondencia entre los resultados corporativos y la GCN) y
con los responsables de llevar a cabo la GCN (para determinar si son factibles y se pueden integrar con
las prácticas laborales).
Las especificaciones dependerán del alcance y naturaleza del negocio, sus necesidades de GCN, pero
123456
también pueden tener en cuenta:
•Habilidades específicas necesarias para la respuesta de la GCN frente a posibles trastornos
•Prácticas laborales mejoradas que apoyan el desarrollo de la GCN
•Una mejor comprensión y apoyo real por parte de la plantilla en general de las cuestiones
relacionadas con la GCN
•Un mayor protagonismo de la GCN en las decisiones, política y cultura de la organización
Identificar la naturaleza y alcance de las "deficiencias de formación" que la campaña debe subsanar
Esta tarea obliga a comparar los resultados de los pasos 1 y 2 descritos anteriormente. Se debe
identificar la naturaleza y alcance de las deficiencias de formación, tanto en términos de los temas
de GCN que la campaña deberá abordar, como en la cuestión de la forma más efectiva para
resolverlas - campañas de educación (información), formación (habilidades) o concienciación
(entendimiento y compromiso con la GCN).
La concienciación del personal puede determinarse en uno de cuatro niveles:
•La incompetencia inconsciente se define como la condición en la que el personal no es consciente de
las cuestiones relativas a la GCN. Desconocen lo que no saben.
•La incompetencia consciente se define como la condición en la que el personal es consciente de la
GCN en términos generales, pero sabe poco acerca de sus necesidades detalladas.
•La competencia consciente se define como la condición en la que el personal es consciente de la
GCN y es efectivo (por ejemplo siguiendo los procedimientos documentados) en su mantenimiento
•La competencia inconsciente se define como la condición en la que el personal se muestra
completamente competente en la aplicación de la GCN en numerosas circunstancias.
105
7. Resultados
Los resultados de la evaluación de concienciación deberían incluir:
•Una declaración del actual nivel de concienciación y efectividad del personal para apoyar la GCN
•Una declaración del nivel deseable de concienciación y cómo se medirá
•Una definición de las deficiencias de formación, incluyendo los temas de GCN que requieren de
mayor concienciación, la actitud del personal frente a la GCN - ayudará a definir el mensaje general
de la campaña de concienciación - y el nivel de competencia que ha demostrado cada grupo objetivo.
8. Revisión
La evaluación del nivel de concienciación debe realizarse al inicio de la campaña de concienciación,
de nuevo después de que la campaña ha alcanzado su supuesta mayor efectividad, y por último de
forma periódica como una herramienta de supervisión.
De forma adicional es posible que se necesiten evaluaciones suplementarias del nivel de
concienciación como respuesta a cambios en:
•Los procesos del negocio que afectan a las prioridades de GCN
•La legislación que afecta a los requisitos de GCN
•Los riesgos para la GCN, entre ellos amenazas para la seguridad y otros riesgos relacionados con el
negocio
•Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de información y
servicios, entre ellos las mejores prácticas aceptadas por la industria como BS25999 y ISO27001.
cap 123456
106
DESARROLLAR LA GCN DENTRO DE LA CULTURA DE LA ORGANIZACIÓN
1. Introducción
Las actividades de las que se disponen para influir sobre la cultura son:
•Formación - Habilidades específicas relacionadas con la GCN
•Educación - Conocimientos generales de la GCN
•Concienciación - Conocimientos específicos acerca de cuestiones relativas a la GCN
El diseño y la entrega de éstas suponen tres actividades principales:
•Diseño
•Planificación de entrega
•Entrega
2. Pasos previos
La Política de GCN ofrece el marco en el que se basan las necesidades y requisitos para el cambio
cultural. Dentro de la cultura de GCN y la actividad de concienciación, el diseño y la entrega de la
educación, formación y concienciación deben derivarse del Análisis de Necesidades de Formación
(ver paso anterior).
Antes de diseñar el programa, se tienen que asignar las responsabilidades dentro del programa de
GCN.
3. Propósito
El propósito de esta actividad es definir los mensajes de GCN que tiene que asimilar el personal y
elegir los medios más efectivos para entregar esos mensajes.
La educación, formación y concienciación puede ofrecerse de muchas maneras; para el éxito de una
campaña de concienciación, es crítico que se elijan los métodos más adecuados y efectivos.
La planificación y diseño de la campaña deberían ser jerárquicos, empezando por los objetivos
derivados de la definición de las deficiencias de formación y sus características. Los puntos a enseñar
cap
deberían identificarse por las cuestiones de conocimiento, habilidades y concienciación que el
personal tiene que asimilar para eliminar esas deficiencias.
Puede que el personal que no tenga una responsabilidad particular en la GCN sólo necesite
concienciación, o un nivel determinado de competencia para llevar a cabo esas tareas relacionadas
123456
con la GCN. No obstante, los responsables de la GCN deberían recibir un curso de formación
estructurado que les inculque conocimientos, habilidades y finalmente incluya competencias en GCN
mediante oportunidades para poner sus habilidades en práctica.
La alta dirección debe entender desde el principio el esfuerzo que supone la campaña y su coste.
También se debe tomar en cuenta la disponibilidad de personal para acudir a los cursos de formación
a la hora de planificar la estrategia y el calendario.
5. Proceso
•Diseñar y ofrecer educación, formación y concienciación se divide en tres actividades:
•Diseño
•Planificación
Entrega
Diseño
En un primer momento el diseño global puede ser elevar el grado de concienciación general acerca de
la GCN, de tal manera que se motive al personal para recibir formación o cursos de ese tipo en los que
se impartirá información clave.
Después de los cursos formales, se debería ofrecer más información y oportunidades para aprender a
través de, por ejemplo, artículos en boletines corporativos y la intranet, grupos de discusión y otras
actividades.
Al diseñar la campaña se deben realizar las siguientes tareas:
•Identificar las audiencias a las que va dirigida la campaña, y las cuestiones clave de educación,
formación y concienciación que tienen que ofrecer
•Clasificar por orden de importancia los temas de enseñanza relativos a las cuestiones de educación,
formación y concienciación de GCN
•Elegir el orden y los métodos de entrega adecuados para los temas de enseñanza
107
Planificación
Se ha elegido deliberadamente la palabra "campaña" para enfatizar su importancia: lograr un cambio
cultural requerirá un punto de vista de largo plazo. La planificación de la entrega debe tomar en
cuenta las formas más efectivas en términos de costes y conocer la disponibilidad del personal y sus
prácticas laborales. También debería estudiar la posibilidad de dar publicidad a la campaña en sí
misma para dar impulso a la labor de concienciación.
Las principales actividades de esta tarea son:
•La alta dirección debe discutir y aprobar la campaña propuesta
•Probar los elementos claves de la campaña con un número reducido de grupos de directivos y
empleados staff y definir los criterios de éxito
•Planificar la integración del mensaje de la GCN con inducción y formación de refresco, además de su
inclusión en la formación de otros empleados
•Probar con un número reducido las evaluaciones de los cursos de formación propuestos
Entrega
La estrategia elegida para la educación, formación y concienciación depende de las circunstancias
individuales; por lo tanto éstas son las únicas recomendaciones generales que se pueden dar para una
campaña de educación, formación y concienciación:
•La campaña debería mejorar la concienciación acerca de cuestiones relacionadas con GCN para la
organización y el empleado. En los papeles y cursos de formación debería quedar claro que la alta
dirección apoya la campaña.
•Los cursos formales de formación sólo deberán ser ofrecidos cuando exista la evidencia de que
existe una concienciación acerca de las cuestiones. Se deberá evaluar la asimilación de los
conocimientos o habilidades que ofrece la formación y se deberá corregir cualquier deficiencia.
•Una vez realizados los cursos de formación, se debe hacer un nuevo esfuerzo de educación,
formación y concienciación para garantizar que el personal sigue consciente de las continuas (y
123456
cambiantes) necesidades que impone la GCN.

Existen muchas teorías acercan de cómo aprenden los adultos y otras tantas numerosas estrategias
para ponerlas en práctica. Los responsables de la GCN ofrecerán los contenidos de la formación, pero
deberían trabajar expertos en formación para desarrollar la estrategia y poner en marcha la
campaña.
Es importante reconocer que el nivel de concienciación no se limita a la formación y que necesita que
cap
la cuestión, en este caso la GCN, esté integrada dentro de las prácticas laborales. Por esto se deben
buscar oportunidades para incluir la GCN “en la agenda” cuando sea posible. A continuación se
detallan algunos ejemplos.
Recursos para la información:
•Sitios de Internet dedicados a GCN
•Libros y publicaciones
•Conferencias y seminarios
Recursos para la formación:
•Cursos externos de formación certificados
•Programas académicos formales
•Grupos de trabajo y forums regionales del BCI
•Grupos de trabajo sectoriales
•Formación interna, con cursos específicos de inducción o de actualización
•Cursos a distancia (vídeos, lecturas)
•Organismos de certificación
•Ejercicios de GCN y gestión de incidentes (internos o externos)
Recursos para la concienciación:
•Documentos informativos
•Revistas corporativas, boletines, artículos en la revista de la empresa
•Visitas a los emplazamientos de reinicio de actividades y centros de gestión de incidentes
•Información en la Intranet
•Hacer ejercicios, ensayos y pruebas de los planes de GCN de la organización
•Profesionales de la GCN dentro de la organización
108
•Bonos e incentivos obtenidos a través del sistema de evaluación de desempeño
•Participación en ejercicios de GCN o acontecimientos reales sucedidos en otra organización
•Inclusión de los objetivos relacionados con la GCN en los mecanismos de medición de resultados de
la organización
7. Resultados
La campaña incluye un abanico de cursos, formación directa, educación a distancia, eventos de
concienciación y la promoción de las cuestiones relativas a la GCN en las prácticas laborales. Queda
claro que la naturaleza y alcance de estas técnicas dependerá de las metas específicas de la campaña
en cuanto al nivel de concienciación de GCN.
Algunos posibles resultados de la campaña serían:
•Una mayor concienciación general acerca de la necesidad de GCN
•Creación de una concienciación acerca de los riesgos de GCN para la organización y de las
prioridades del negocio
•Identificación de una visión aceptable de GCN que puede integrarse en las prácticas laborales
•Mejor efectividad a la hora de realizar tareas específicas de la GCN
•Respuestas más efectivas a incidentes que afecten a la continuidad del negocio
•Mayores exigencias por parte de los responsables de GCN, como por ejemplo que los responsables de
negocio demuestren una mayor preocupación por la GCN
8. Revisión
La formación debería impartirse como parte de los cursos de iniciación del personal, además de ser
revisada y de nuevo impartida en respuesta a cambios en:
•Las actividades de negocio que afectan a las prioridades de GCN
•La legislación que afecta a las necesidades de GCN
•Los riesgos para la GCN, entre ellos las amenazas y vulnerabilidades a la seguridad y otros riesgos
relacionados con el negocio
cap
•Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de información y
servicios, entre ellos las mejores prácticas aceptadas por la industria como BS 25999-1 e ISO17799.
123456
109
SUPERVISAR EL CAMBIO CULTURAL

1. Introducción
Está claro que tanto el resultado general de la campaña como de sus componentes específicos debe
ser revisado para mejorar continuamente la relevancia y efectividad del trabajo realizado.
La campaña de concienciación debe ser considerada una tarea constante y se debe realizar revisiones
periódicas para comprobar el grado de concienciación e identificar cualquier iniciativa necesaria
para mantenerlo en niveles aceptables.
2. Pasos previos
La Política de GCN brinda el marco en el que se apoya la necesidad de un cambio cultural. En el marco
de la cultura de GCN y las actividades de concienciación, el mantenimiento y mejora de las iniciativas
de educación, formación y concienciación debe ser fruto de la comparación con los objetivos
originales determinados por la evaluación del grado de concienciación y el análisis de las necesidades
de formación.
3. Propósito
El propósito de evaluación de la educación, formación y grado de concienciación es mantener la
calidad y efectividad de una campaña, garantizar su correspondencia con los aspectos corporativos,
sectoriales y otras cuestiones pertinentes de la GCN y asegurar que se logra el nivel de concienciación
necesario para la GCN.
La efectividad de la formación y concienciación puede medirse de muchas maneras: mejor
desempeño de las personas, mayores estándares en toda la organización, mayor énfasis en la GCN
dentro de la cultura corporativa.
Como sucede con toda investigación, hay que tener cuidado de hacer las preguntas adecuadas para
lograr respuestas relevantes, interpretar los datos de forma correcta y mantenerse alerta de aquellas
cuestiones que no formen parte del programa central de formación que sean relevantes para la
123456
cultura de GCN.
5. Proceso
•Solicitar y recopilar las reacciones a ciertos cursos de formación. Mientras que algunos habrán
tenido éxito y otros menos, es importante buscar las tendencias subyacentes – por ejemplo puede
haber ciertos módulos dentro de un curso de formación que reciben críticas constantes.
•Supervisar la efectividad. Si bien las reacciones de corto plazo pueden aportar información acerca
de los componentes de una campaña y permitir su mejora, es más importante fijarse en los efectos de
cap
largo plazo de la campaña, que se manifestarán de forma menos reconocible (por ejemplo, a través
de una mayor concienciación). A pesar de ello, la efectividad de la campaña debería ser cuantificada
en términos de mejoras en el negocio y resultados financieros.
•Comprobar de forma periódica el nivel de concienciación. La alta dirección debe entender que de
forma regular (anual) se necesitará un presupuesto para ejercicios de evaluación y la posible acción
que se derive de ellos.
La evaluación puede realizarse de muchas formas. Una valoración efectiva combinara varios métodos
de corto y largo plazo, que revisarán tanto la forma como el contenido de la campaña en sí misma y
sus efectos en la GCN dentro de la organización.
Cuando sea posible los resultados de la evaluación deberían expresarse en términos de los beneficios
que la campaña aporta al negocio.
De forma más específica, la evaluación de las clases de formación puede incluir discusiones, tests o
pequeños exámenes durante el curso para comprobar y ajustar los métodos de enseñanza "en pleno
vuelo". Se pueden distribuir formularios de evaluación de los cursos para mejorar continuamente la
estructura de las clases y su contenido. La evaluación de un curso debe basarse en varias tandas
sucesivas de valoraciones, y no en sólo una.
110
7. Resultados
Los resultados de la formación y de la revisión de la campaña deberían incluir una serie de informes
para diferentes niveles dentro de la organización. Entre ellos deben figurar la alta dirección, los
directores importantes y los responsables de GCN, además de los encargados de ofrecer la formación.
Los resultados de la evaluación de la campaña deberían ser comunicados al personal a través de los
canales corporativos y pueden incluir:Identificación de necesidades adicionales de formación y
concienciación
•Identificación de oportunidades de desarrollo profesional para los encargados de la GCN
•Mejorías en las prácticas laborales
8. Revisión
Se debe realizar una evaluación de la campaña tanto durante como después de que se haya llevado a
cabo la mayor parte de ella, para permitir una readecuación de la estrategia y para asegurar que la
campaña ha logrado su objetivo general de eliminar las deficiencias en la formación identificadas en
la evaluación inicial de los niveles de concienciación. De forma regular se debería efectuar una
revisión de los niveles de concienciación y resolver cualquier deficiencia encontrada.
cap
123456
111
APÉNDICE - Mapa de habilidades profesionales

Este es un mapa de los Estándares de Certificación de BCI/DRII en las seis etapas del Manual de Buenas
Prácticas para indicar qué habilidades son necesarias en cada etapa. Algunas habilidades se aplican a
más de una etapa.
Gestión del Programa de Continuidad de Negocio
•1.A.1 Ayudar a los responsables en la definición de objetivos, políticas y factores críticos de éxito
•Alcance y objetivos
•Causas legales y obligaciones
•Casos prácticos y buenas prácticas sectoriales
•1.A.2. Coordinar y organizar/gestionar el inicio del proceso general de GCN
•Con la ayuda de un comité de dirección y un equipo gestor del proyecto.
•1.A.3 Supervisar el proceso de GCN a través de métodos efectivos de control y gestión de cambios
•1.A.4. Presentar (vender) el proceso a la dirección y personal
•1.A.5 Desarrollar un presupuesto para iniciar el proceso
•1.A.6 Definir y recomendar una estructura y dirección para la GCN
•1.A.7 Desarrollar y poner en marcha el proceso de GCN
Comprender la organización
•2.A.1 Identificar a los responsables con conocimientos de cada área para el proceso de Análisis de
Impacto en el Negocio (AIN)
•2.A.2 Identificar las funciones de la organización, sin olvidar la información y recursos (personas,
tecnología, instalaciones,... etc)
•2.A.3 Identificar y definir los criterios críticos
•2.A.4 Lograr la aprobación de la dirección para los criterios definidos
•2.A.5 Coordinar el análisis
•2.A.6 Identificar las interdependencias (internas y externas a la organización)
123456
•2.A.7 Definir los objetivos de recuperación y plazos de cumplimiento

•2.A.8 Definir el formato de los informes
•2.A.9 Preparar y presentar a la dirección el AIN acordado
•3.A.1 Identificar los posibles riesgos para la organización
•3.A.1.a Probabilidad
•3.A.1.b Consecuencias/impacto/gravedad
•3.A.2 Comprender la función de la reducción de riesgos dentro de la organización
cap
•3.A.3 Identificar las necesidades de asesoramiento externo

•3.A.4 Identificar los niveles de exposición
•3.A.5 Identificar las alternativas para reducción de riesgos
•3.A.6 Confirmar con la dirección para determinar los niveles de riesgo aceptables
•3.A.7 Documentar y presentar los resultados
Determinar la estrategia de Continuidad de Negocio
•4.A.1 Conocer las alternativas disponibles y sus ventajas, inconvenientes y costes, incluir la
reducción de riesgos como una estrategia de recuperación
•4.A.2 Identificar las estrategias de recuperación viables para las áreas de negocio
•4.A.3 Consolidar las estrategias
•4.A.4 Identificar las necesidades de emplazamientos externos e instalaciones alternativas
•4.A.5 Desarrollar las estrategias para las unidades de negocio
•4.A.6 Lograr el compromiso de la dirección para las estrategias desarrolladas
Desarrollar y poner en marcha una respuesta de GCN
Plan de Gestión de Incidentes
•9.A.1 Establecer programas para la comunicación proactiva de crisis
•9.A.2 Coordinar la comunicación necesaria ante las crisis con los organismos externos (autoridades
locales y nacionales, servicios de emergencia,... etc.)
•9.A.3 Establecer mecanismos de comunicación esencial ante las crisis con proveedores, clientes y
demás partes directamente afectadas
•9.A.4 Establecer planes de comunicación con los medios para la organización y sus unidades de
negocio. Hacer pruebas.
112
Plan de Continuidad de Negocio
•6.A.1 Identificar los componentes del proceso de planificación•
•6.A.1.a Metodología para la planificación
•6.A.1.b Organización del plan
•6.A.1.c Dirección de esfuerzos
•6.A.1.d Necesidad de personal
•6.A.2 Controlar el proceso de planificación y redactar los planes
•6.A.3 Implantar los planes
•6.A.4 Probar los planes
•6.A.5 Mantener los planes
•5.A.5 Identificar las necesidades de dirección y control para la gestión de una emergencia
•5.A.6 Recomendar el desarrollo de los procedimientos de dirección y control para definir funciones,
autoridad y procesos de comunicación para gestionar una emergencia
•10.A.1 Identificar y establecer procedimientos de enlace para la gestión de emergencias
•10.A.2 Coordinar la gestión de emergencias con los organismos externos
•10.A.3 Mantener actualizado el conocimiento en leyes y normas relativas a gestión de emergencias
como si fueran dictadas por la propia organización
•5.A.1 Identificar los posibles tipos de emergencias y las respuestas necesarias (por ejemplo,
incendio, fuga de materiales peligrosos, problemas médicos)
•5.A.2 Identificar la existencia de procedimientos adecuados para la respuesta a emergencias
•5.A.3 Recomendar el desarrollo de procedimientos para emergencia allí donde no existan
•5.A.4 Integrar los procedimientos para recuperación de desastres/Continuidad de Negocio/Gestión
de crisis con los procedimientos relativos a respuesta a emergencias e intensificación de riesgos
•5.A.7 Garantizar que los procedimientos de respuesta a emergencias están integrados con las
obligaciones de las autoridades (mirar también el tema 10, Coordinación con organismos externos)
cap
Pruebas, mantenimiento y revisión
•8.A.1 Planificar previamente y coordinar las pruebas
•8.A.2 Facilitar las pruebas
•8.A.3 Evaluar y documentar los resultados de las pruebas
123456
•8.A.4 Actualizar los planes
•8.A.5 Informar de los resultados y evaluaciones a la dirección
•8.A.6 Coordinar el mantenimiento constante de los planes
•8.A.7 Ayudar a establecer un programa de auditorías para los planes
Integrar la GCN en la cultura de la organización
•7.A.1 Establecer los objetivos y componentes del programa de formación y concienciación de GCN
•7.A.2 Identificar las necesidades prácticas para la concienciación y formación
•7.A.3 Desarrollar la metodología para la concienciación y formación
•7.A.4 Adquirir o desarrollar las herramientas para la concienciación y formación
•7.A.5 Identificar las oportunidades de concienciación y formación externas
•7.A.6 Identificar las opciones alternativas para la concienciación y formación de la organización.
113

1. La organización lleva a cabo un programa formal y reconocido de concienciación para la GCN
2. El programa de concienciación es responsabilidad de un integrante del equipo de alta dirección
3. El programa de concienciación está dotado de un presupuesto adecuado y aprobado expresamente
para ese propósito
4. La organización posee una evaluación actualizada y precisa acerca del nivel de concienciación de
GCN en todo su personal
5. El programa de concienciación resulta efectivo para integrar la GCN en la cultura de la
organización
6. Todo el personal de GCN ha recibido la formación adecuada
7. Todo el personal no dedicado a la GCN posee las habilidades necesarias para desempeñar sus
funciones preestablecidas para responder a un incidente y reestablecer el negocio
8. Todos los proveedores y empresas subcontratadas considerados críticos llevan a cabo las
actividades de concienciación para la GCN
9. La efectividad de toda la actividad de concienciación de GCN se comunica formalmente a la alta
dirección
10. El equipo de GCN se muestra proactivo a la hora de obtener información externa relativa a la GCN
11. El programa de concienciación cumple un calendario previamente acordado
12. El programa de concienciación de la organización contiene actividades planificadas
A. Que evalúan de forma precisa las necesidades actuales de concienciación de la organización
B. Que organizan y ofrecen la formación adecuada de GCN para todo el personal
C. Que integran de forma fehaciente la continuidad de negocio en la organización
D. Que verifican realmente que todo el personal de GCN ha recibido la formación adecuada
13. La documentación del programa de concienciación de GCN en la organización
123456
• A. Describe de forma clara su relación con los demás documentos relevantes

• B. Está totalmente actualizada y refleja las necesidades de la organización
• C. Está sujeta a un control sistemático de sus versiones y distribución
14. El programa de concienciación de GCN
• A. Toma totalmente en cuenta la política de GCN y cumple con todos sus requisitos
• B. Se revisa al menos una vez al año para verificar que cumple el programa y política de GCN
• C. Se revisa formalmente después de cualquier cambio importante en el negocio
cap
• D. Está formalmente ratificado por la alta dirección

• E. Cumple con todas las obligaciones legales.
114
ANOTACIONES
ANOTACIONES

Buenas Practicas Continuidad Negocio 2007 BCI

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Buenas Practicas Continuidad Negocio 2007 BCI

Încărcat de

Drepturi de autor:

Formate disponibile

MANUAL DE BUENAS PRÁCTICAS 2007

La Asociación Española para el Fomento de la Seguridad de la Información

La finalidad de ISMS Forum Spain es promover el desarrollo, conocimiento y cultura de la Seguridad de

Entre los principales objetivos de ISMS Forum Spain destacan:

- Dar visibilidad a un sector estratégico para el desarrollo económico, como es la Seguridad de la

- Situar a las empresas y organizaciones españolas a la vanguardia de conocimientos e

ACERCA DE ESTA GUÍA

Anne Wright (MBCI) Howard Booth (MBCI)

Estructura de esta guía

Habilidades profesionales para la GCN

Capítulo 5 – Probar, mantener y revisar los preparativos de GCN

Capítulo 6 – Incorporar la GCN en la cultura de la organización

¿Qué es la Gestión de Continuidad de Negocio?

¿Cómo beneficiará a mi organización?

negocios. La respuesta es un sencillo y efectivo plan de continuidad de negocio que esté

Relación con otras especialidades

Parámetros Impacto y Probabilidad Impacto y Tiempo

Tipo de Todo tipo de eventualidades Acontecimientos causantes de

Toda magnitud (coste) de los Para la planificación estratégica:

Se enfoca primordialmente Se enfoca sobre todo en gestión de

Relación con otras directrices y estándares

CÓMO UTILIZAR ESTE MANUAL

Estructura del contenido del Manual

Fases de las directrices Preguntas que responden

Detalle de los componentes Contenidos descritos más adelante

Componentes de las directrices Preguntas que responden

¿Qué se tiene que haber hecho antes de llegar

Propósito ¿Por qué necesitamos hacerlo? ¿Qué conseguirá?

¿Qué necesitamos comprender?

Proceso ¿Qué tenemos que hacer?

Métodos y Técnicas ¿Qué herramientas necesitamos para lograrlo?

Resultados ¿Qué debería producir?

Revisión ¿Cuando debería realizarse?

Probar, del Determinar

PLASMAR EL CONTEXTO DE LA ORGANIZACIÓN

•Introducción de un nuevo producto, proceso o tecnología

CONTENIDOS DE LA POLÍTICA DE GCN

ALCANCE DEL PROGRAMA DE GCN

Accionistas Producto Producto

Actividad Actividad Actividad Actividad Servicio Actividad

Opciones para Programa de

Instalaciones Tecnologías Datos Proveedores,

Diagrama: Opciones para productos y servicios

•Comparación con respecto a los estándares nacionales e internacionales correspondientes

• o bien: dentro del alcance del programa de GCN

•Generar concienciación - defender la GCN

•Experiencias exitosas en notificación, traspaso de responsabilidades, prevención y recuperación

PREPARACIÓN PARA LOS INCIDENTES Y SUS RESPUESTAS

31.El programa de GCN identifica las siguientes medidas como obligatorias:

Acerca del Capítulo 2 - Comprender la organización

ANÁLISIS DEL IMPACTO EN EL NEGOCIO

Algunos ejemplos de actividades estratégicas:

Análisis del Impacto en el Negocio

pueden variar en formato y detalle.

EVALUAR LOS REQUISITOS DE CONTINUIDAD

EVALUAR LAS AMENAZAS (EVALUACIÓN DE RIESGOS)

El "apetito para los riesgos" o "nivel de tolerancia de riesgos" de la organización es la cantidad de

•Considerar la instauración de medidas adecuadas para:

INDICADORES CLAVE DE GCN

•D. Las actividades o funciones, recursos e infraestructuras de la organización

un cambio en el perfil de impacto de la organización

Determinar la Estrategia de Continuidad de Negocio es un elemento clave para la buena Gestión de

DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO