Auditoria Informtica

Investigacin: ISO 22301:2012

Ingeniero: Juan Carlos Inestroza Lozano
Integrantes del Grupo:
Nelson David Solrzano Lpez

Cuenta: 312111326

Freddy Ral Iras Dubon

Cuenta: 30841616

Odis Xavier Zavala Hernndez

Cuenta: 30911497

Vctor Manuel Figueroa Palma

Cuenta: 32211192

Joel David Ferman Prez

Cuenta: 30751471

Fecha: 15/10/2015
1

ndice
Contenido
Introduccin.......................................................................................................... 4
Objetivos Generales............................................................................................... 5
Objetivos Especficos.............................................................................................. 5
Naturaleza del ISO 22301:2012................................................................................ 6
Documentacin Requerida Por El ISO 22301:2012.....................................................9
Transicin De BS 25999-2:2007 a ISO 22301-2012....................................................9
Principales Adiciones Al ISO 22301-2012.................................................................10
Implantacin del ISO 22301:2012...........................................................................13
Beneficios de la Certificacin ISO 22301: 2012.........................................................14
El Ingreso y Uso de ISO 22301 como marco para BCM.............................................14
Cmo las herramientas en lnea estn revolucionando la implementacin de ISO 27001 e
ISO 22301........................................................................................................... 15
Lista de documentacin obligatoria para ISO 22301..................................................19
Determinacin del contexto de la organizacin (4.1)...............................................20
Procedimiento para identificacin de requerimientos legales y normativos aplicables y
Lista de requisitos legales, normativos y de otra ndole (4.2.2).................................20
Alcance del SGCN y explicacin de las exclusiones (4.3)........................................20
Poltica y objetivos de la continuidad del negocio (5.3, 6.2).....................................21
Plan de capacitacin y concienciacin; competencias del personal (7.2, 7.3).............21
Comunicacin con las partes interesadas (7.4)......................................................21
Procedimiento para control de informacin documentada (7.5)................................21
Contratos y acuerdos de niveles de servicio (8.1)..................................................22
Proceso para anlisis de impactos en el negocio y sus resultados (8.2.1, 8.2.2).........22
Proceso para evaluacin de riesgos y sus resultados (8.2.1, 8.2.3)..........................22
Estrategia de la continuidad del negocio (8.3).......................................................22
Mitigacin de riesgos y plan de implementacin para el logro de los objetivos de
continuidad de negocio (6.2, 8.3.3)......................................................................22
Procedimientos para continuidad del negocio (8.4.1)..............................................23
Procedimientos de respuesta ante incidentes y registros sobre un incidente (8.4.2,
8.4.3).............................................................................................................. 23
Procedimientos de comunicacin (8.4.2, 8.4.3)......................................................23
Procedimientos para respuesta ante incidentes disruptivos (8.4.4)...........................23

Procedimientos para restaurar y reiniciar actividades a partir de las medidas temporales

(8.4.5)............................................................................................................. 24
Escenarios de incidentes (8.5)............................................................................ 24
Planes de pruebas y verificacin e informes posteriores (8.5)..................................24
Resultados de las acciones que abordan tendencias o resultados adversos (9.1.1)....24
Programa de mantenimiento del SGCN (9.1.1)......................................................24
Mtodos para supervisin, medicin, anlisis y evaluacin (9.1.1)............................25
Datos y resultados de seguimiento y medicin (9.1.1)............................................25
Resultados de la revisin posterior al incidente (9.1.2)............................................25
Procedimiento, programa y resultados de auditora interna (9.2)..............................25
Resultados de la revisin por parte de la direccin (9.3).........................................25
No conformidades y medidas correctivas (10.1).....................................................26
ISO 22301:2012, para garantizar continuidad operativa de organizaciones ante
contingencias..
26

Escenario de la Situacin.
.29
Conclusiones....................................................................................................... 42
Anexos....
.43
Bibliografa.......................................................................................................... 60

Introduccin
El Sistema de Gestin de la Continuidad del Negocio (SGCN) se ha convertido en
una exigencia para las empresas que compiten el da de hoy en los mercados
globalizados. La tendencia mundial es que ya las empresas no compitan entre s:
la competencia es entre cadenas de suministros. Una cadena de suministros, para
mantenerse operando, no puede tener ningn eslabn dbil; ninguno de sus
componentes puede dejar de operar ya que si un elemento del todo dejara de
funcionar se paraliza toda la serie, generando el caos. Cada miembro del sistema
tiene que demostrar que es un proveedor confiable. Esto se logra teniendo en
cada empresa un SGCN que proteja a los procesos esenciales que permiten
originar los productos o servicios que desea el cliente. Qu es un SGCN? Es
parte del sistema de gestin gerencial que establece, implementa, opera, evala,
mantiene y mejora la continuidad del negocio. Un SGCN da confianza a terceros
ya que ha identificado los procesos esenciales que soportan a los productos o
servicios que se desean proteger de escenarios de amenazas producto del
anlisis del riesgo (Alexander, 2007). Cada escenario de amenazas tiene una
estrategia de continuidad que se materializa a travs de planes de reanudacin de
operaciones que son ensayados regularmente. Una empresa con un SGCN
ensayado peridicamente es muy difcil que deje de operar y no pueda suministrar
sus productos o servicios.

Objetivos Generales
Al finalizar la lectura de esta investigacin podr conocer los estndares que estn
dentro de la norma internacional ISO 22301:2012 que proporciona a las empresas
y todo tipo de organizaciones soluciones y prcticas para asegurar la marcha del
negocio ante posibles contingencias.

Objetivos Especficos
Usted podr implementar las normar descritas en el documento para una mejor
direccin de su empresa.

Naturaleza del ISO 22301:2012

El nuevo estndar ISO 22301:2012 tiene por nombre Seguridad de la Sociedad:
Sistemas de Continuidad del Negocio. Este modelo aparece como producto de
una evolucin de lineamientos, buenas prcticas y estndares en continuidad del
negocio.
En la Figura N 1, se presenta un bosquejo de la evolucin. El lineamiento ms
antiguo es el NFPA 1600, publicado en 1995, el cual estableci una serie de
conjuntos de criterios para la gestin de desastres, emergencias y programas de
continuidad para las organizaciones.
En 1997 el Disaster Recovery Institute International (DRII), public las Prcticas
Profesionales para la Gestin del Negocio. En el ao 2002, el Business Continuity
Institute public los lineamientos de Buenas Prcticas para la Continuidad del
Negocio.
En 2003, se publica el lineamiento PAS 56. Esta gua estableci el proceso,
principios y terminologa de un sistema de gestin de continuidad del negocio.
Describi las actividades y resultados involucrados en el establecimiento de un
proceso de gestin de continuidad del negocio. Desarroll una serie de
recomendaciones para las buenas prcticas para la anticipacin a incidentes, y
respuesta y tcnicas para la evaluacin. En 2006, se public el lineamiento BS
25999-1, el cual describi de manera concreta el ciclo de vida de la continuidad
del negocio. Su enfoque represent las opciones continuas del programa de
continuidad del negocio en la organizacin.

En el ao 2007, se public el estndar BS 25999-2:2007, el primer estndar

internacional certificable y auditable. Fue elaborado con el objetivo de definir los
requisitos para un enfoque de sistemas de gestin para la gestin de la
continuidad del negocio basado en buenas prcticas, para su uso por
organizaciones grandes, medianas y pequeas que operan en los sectores
industrial, comercial, pblico y de beneficencia.
En el mismo ao se public el ISO/PAS 22399, el cual gener los lineamientos
genricos para una organizacin interesada en desarrollar un sistema de gestin
con criterios para el desempeo de preparacin ante incidentes y continuidad
operacional.
En el ao 2008, se public el lineamiento ISO/IEC 24762 que desarroll guas
para la provisin de informacin y comunicacin frente a la recuperacin de
desastres. Ese mismo ao, se public el BS 25777, un cdigo de buenas prcticas
sobre gestin de la continuidad.
Una norma que, emparentada con la BS 25999 sobre continuidad de negocio,
defini un cdigo de buenas prcticas sobre continuidad centrado en las
infraestructuras TIC de las organizaciones.
En el ao 2010, se public el ASIS/BSI Business Continuity Management
Standard. Este lineamiento, basado en el BS 25999, especifica los requerimientos
para un sistema de gestin de continuidad del negocio, para permitir a las
organizaciones identificar, desarrollar e implementar polticas, objetivos,
capacidades, procesos y programas para poder atender eventos alteradores que
pudieran paralizar a la organizacin.
En 2011, se public el PAS 200, Gestin de Crisis - Lineamiento y Buena
Prctica. Es un lineamiento diseado para ayudar a las empresas a tomar pasos
prcticos para mejorar su habilidad de manejar crisis. Tambin en el ao 2011, se
7

public el lineamiento ISO/ IEC 27031, el cual describe los conceptos y principios
de tecnologa de informacin y comunicacin (ICT) para preparar a una
organizacin para la continuidad del negocio.
Es aplicable a todo tipo de empresa. Finalmente, en el ao 2012, la Organizacin
Internacional para la Normalizacin (ISO) public el estndar Seguridad de la
Sociedad: Sistemas de Continuidad del Negocio-Requisitos. Este estndar
certificable y auditable capta los principales conceptos de los dems lineamientos
publicados desde 1995.
El estndar ISO 22301:2012 Seguridad de la Sociedad: Sistemas de Continuidad
del Negocio-Requisitos aplica el ciclo Plan-Do-Check-Act (PDCA por sus siglas en
ingls) para la planificacin, establecimiento, implementacin, operacin,
monitoreo, revisin, mantenimiento y la mejora continua de su efectividad. El
modelo ha sido creado con consistencia con otros estndares de gestin, tales
como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con
el ISO 28000:2007.

En la figura N 2, se puede apreciar como el SGCN toma insumos de las partes

interesadas, requerimientos para la gestin de la continuidad, y a travs de las
necesarias acciones y procesos produce resultados de continuidad para cumplir
con los requerimientos. (ISO 22301:2012). En esta misma figura, se observa cada
componente del modelo. El establecimiento es el Plan. All se aprecian los
principales requerimientos. Las secciones 4, 5, 6 y 7 de la norma corresponden al
establecimiento. Seguidamente se tiene la implementacin y operacin, el cual
es el Do; esta etapa del proceso est compuesta por los requerimientos de la
seccin 8. Contemplamos en la figura N 2 sus principales requerimientos. Luego
se tiene la fase monitoreo y revisin, la cual representa al Check. All se pueden
8

apreciar los principales requerimientos de esta seccin. Esta fase comprende los
requerimientos de la seccin 9 de la norma. Finalmente, se tiene la fase de
mantenimiento y mejora, representando a la fase Act, la cual engloba todos los
requerimientos de la clusula 10 de la norma.

Documentacin Requerida Por El ISO 22301:2012

El nuevo modelo exige cierta documentacin obligatoria. La documentacin
obligatoria que una empresa de acuerdo a su alcance debe desarrollar es la
siguiente:

Lista de requisitos legales, normativos y de otra ndole.

Alcance del SGCN.
Poltica de la continuidad del negocio.
Objetivos de la continuidad del negocio.
Evidencia de competencias del personal.
Registros de comunicacin con las partes interesadas.
Anlisis del impacto en el negocio.
Evaluacin de riesgos, incluido un perfil del riesgo.
Estructura de respuesta a incidentes.
Planes de continuidad del negocio.
Procedimientos de recuperacin.
Resultados de acciones preventivas.
Resultados de supervisin y medicin.
Resultados de la auditora interna.
Resultados de la revisin por parte de la direccin.
Resultados de acciones correctivas.

Transicin De BS 25999-2:2007 a ISO 22301-2012

En la Figura N 3, se tiene una representacin grfica del proceso de transicin del
estndar BS 25999-2:2007 al ISO 22301:2012. El United Kingdom Accreditation
Service (UKAS) ha dado las pautas para la transicin del BS 25999-2:2007 al
nuevo modelo ISO 2301:2012. Como se puede apreciar en la Figura N 3, las
empresas podrn certificarse al estndar BS 25999-2:2007 hasta noviembre de
2012. A partir de esa fecha el estndar desaparece y solo prevalecer el ISO
22301:2012. Las empresas que obtuvieron la certificacin al BS 25999-2:2007
tienen hasta mayo de 2014 para realizar la transicin y realizar su ascenso al
nuevo modelo. (Sharp, 2012).

Principales Adiciones Al ISO 22301-2012

El nuevo estndar tiene 106 requerimientos versus 56 que tiene el BS 259992:2007. El modelo tiene una serie de clusulas adicionales que a continuacin se
detallan:

Clausula 4: Contexto de la Organizacin

Esta clusula introduce los requerimientos necesarios para establecer el contexto
del SGCN tal como debe aplicar a los requerimientos y necesidades de la
organizacin dentro de un alcance determinado. La clusula tambin requiere que
la organizacin determine su apetito al riesgo, as como los aspectos legales y
regulatorios que apliquen a la organizacin.

Clausula 5: Liderazgo
Esta clusula hace un buen resumen de las exigencias a la alta gerencia de la
empresa, en relacin a su rol en el SGCN. Hay nuevos requerimientos para la alta
gerencia, tales como:

Asegurarse que el SGCN es compatible con la direccin estratgica de la

organizacin.
Integracin de los requerimientos del SGCN en los procesos de negocios.
Comunicar la importancia de una eficaz gestin de la continuidad del
negocio.

Clausula 6: Planeacin
Esta clusula requiere que la organizacin claramente defina los objetivos de
continuidad del negocio y desarrolle proyectos para alcanzarlos. Estos objetivos
10

deben estar relacionados a la poltica de continuidad del negocio y deben ser

conmensurables. Al establecer los objetivos se debe considerar el nivel mnimo de
productos y servicios que seran aceptables para que la organizacin pueda
alcanzar sus objetivos globales de negocio.

Clausula 7: Soporte
11

La clusula 7 detalla el soporte requerido para establecer, implementar y mantener

un eficaz SGCN. Esto cubre los recursos requeridos, las competencias humanas,
toma de conciencia y comunicaciones con partes interesadas, as como
requerimientos para la gestin documentaria. Esta seccin, al cubrir toma de
conciencia, es bastante especfica ya que exige que todas las personas bajo el
control de la organizacin estn conscientes de la poltica de continuidad del
negocio, entender su contribucin al logro de eficacia del SGCN y las implicancias
de no tener conformidad con sus requerimientos. Tambin, las personas deben
conocer su rol en un momento de alteracin. La mayor adicin en la clusula 7 es
el tema de comunicaciones. Este es un punto importantsimo al gestionar cualquier
alteracin en la organizacin.

Clausula 8: Operacin

Clusula 8.1

La clusula planificacin operacional y control es nueva. Esta clusula requiere

que la organizacin asegure la existencia de procesos que hayan sido
desarrollados para gestionar que los riesgos al SGCN estn correctamente
implementados.

Clusula 8.2.2

El Business Impact Analysis, introduce un nuevo trmino: esquemas de tiempo

priorizados. Este trmino se relaciona con el conocido Recovery Time Objective
(RTO) y define el orden y los tiempos para la recuperacin de actividades crticas
que soportan los productos y servicios claves. El trmino Maximum Tolerable
Period of Disruption (MTPD), el cual es definido en la seccin 3 del estndar, no es
usado en la norma. Pero en la clusula 8.2.2 (c) plantea que la organizacin debe
establecer esquemas de tiempo priorizados para reanudar operaciones que
apoyan los productos/servicios claves, en un nivel especfico aceptable, tomando
en consideracin el tiempo en el cual, los impactos, de no reanudar operaciones
se convertiran en inaceptables. Como se puede apreciar, el concepto del MTPD
sigue vigente.

Clusula 8.2.3

La evaluacin del riesgo le presta atencin de que ciertos aspectos financieros y

obligaciones gubernamentales requieren de comunicacin, a distintos niveles de
detalle, de los riesgos que pudieran alterar las actividades priorizadas.

Clusula 8.4.2

La estructura para respuesta a incidentes ha expandido sus requerimientos;

especficamente la necesidad para identificar impactos de amenazas que
justifican la iniciacin de una respuesta formal y la necesidad de utilizar la
12

salvaguarda de vidas humanas como primera prioridad, al establecer comunicados

internos y/o externos.

Clusula 8.4.5

Recuperacin es un nuevo requerimiento. El estndar plantea que la organizacin

debe tener procedimientos documentados para poder restablecer y retornar las
actividades del negocio de medidas temporales creadas para soportar los
requerimientos normales de la organizacin.

Implantacin del ISO 22301:2012

Cuando una organizacin desea iniciar la implantacin del modelo ISO
22301:2012 siempre se genera la interrogante de por dnde empezar? Ser
conveniente iniciar con el Business Impact Analysis? O con la estructura para
responder a incidentes? En fin, hay una serie de opciones disponibles.
La manera adecuada es ir de lo general a lo particular. En la figura N 4, se han
categorizado las clusulas de la norma en globales y focales. Para el inicio del
proceso de implantacin es recomendable atender primero a las clusulas
globales y luego iniciar las focales.
Las clusulas globales, permiten crear la plataforma inicial en la construccin del
SGCN. Las clusulas focales son la parte netamente tcnica de la norma y
requieren para su desarrollo de la infraestructura que desarrollan las globales.
El comit 223 de ISO est actualmente trabajando en la elaboracin del
Lineamiento 22313. Este documento consistir en buenas prcticas y
recomendaciones, indicando qu prcticas una organizacin debiera desarrollar
para implementar un SGCN eficaz. Este documento podr ser utilizado como gua
para la implantacin del modelo, o tambin para efectos de usarlo como
autoevaluacin. Se estima que este documento estar publicado a finales de 2012
o primer trimestre de 2013

13

Beneficios de la Certificacin ISO 22301: 2012

Polticas y Procedimientos conformes a criterios, estructura y metodologa

con reconocimiento internacional.
Proporciona un marco de continuidad del negocio como soporte
fundamental para el Gobierno Corporativo.
Las auditoras realizadas con criterios internacionales armonizados tienen
como ventaja el reconocimiento mutuo de los resultados de las
evaluaciones.
Asegura que el compromiso con la continuidad del negocio existe en todos
los niveles de la organizacin
Aporta una diferenciacin en el mercado debido a la influencia positiva en la
imagen corporativa, prestigio y actitud proactiva.
Demuestra credibilidad y confianza satisfaccin y confianza con las partes
interesadas, socios, ciudadanos y clientes.
Reduce la responsabilidad con el riesgo, demuestra debida diligencia

El Ingreso y Uso de ISO 22301 como marco para BCM

El uso de ISO 22301 como marco para la aplicacin BCM ha aumentado este ao,
con un 52% utilizando el estndar en comparacin con 44% en 2014. Las
organizaciones en el Reino Unido (61%) y Asia (64%) son ms propensos a
reportar el uso de ISO 22301 como un marco as, lo que refleja la creciente
madurez de la norma en estas reas

14

El porcentaje de organizaciones que tengan la intencin de utilizar la norma ISO

22301 este ao ha disminuido, sin embargo, del 24% al 17%. Las pequeas y
medianas (50%) tambin son menos propensos a utilizar la norma ISO 22301 que
las grandes empresas (53%), pero se puede notar que la diferencia es bastante
estrecha. La figura resume los datos generales sobre el uso de ISO 22301.
Esta imagen mixta puede atribuirse a la creciente madurez de la norma que se
refleja por el crecimiento en el porcentaje de organizaciones alinear hacia la ISO
22301. El reciente apoyo de estudios de BCI estos datos. Segn la ltima
encuesta de la cadena de suministro BCI Resiliencia, 45% de las organizaciones
buscan alineacin hacia una norma como requisito para los proveedores, un
cambio de la media histrica de 38% 15. El 2013 BCI ISO 22301.
La Encuesta Benchmarking revela que el 71% de las organizaciones buscan
alinear hacia la ISO 22301 en los prximos 24 meses. Se observa una cifra inferior
al 30% para la certificacin contra obstante la norma. Estas cifras demuestran que,
si bien en general ISO 22301 est ganando reconocimiento como una herramienta
para apoyar la continuidad del negocio, las organizaciones an no estn
comprometerse con la evaluacin independiente de sus sistemas.

Cmo las herramientas en lnea estn revolucionando la

implementacin de ISO 27001 e ISO 22301

15

Antiguamente, solo haba dos opciones disponibles: navegar Internet de arriba a

abajo para juntar toda la informacin y documentacin necesarias para llevar
adelante un proyecto de implementacin; o contratar un consultor que vaya a la
empresa para ayudar a ejecutar todos los pasos necesarios.
1. Intentar Hacer La Implementacin Sin Ayuda

En el pasado, sin las nuevas herramientas y plataformas que tenemos

actualmente, intentar recolectar toda la informacin necesaria, desde diversas
fuentes en lnea, era una tarea pesada. Adems, no garantizaba resultados
consistentes y de calidad. Este enfoque presentaba varios inconvenientes:

Documentos de baja calidad: al no tener un solo lugar con buena

reputacin para obtener plantillas de documentacin, la gente tena que
buscar entre un sinnmero de fuentes y renegar para encontrar
documentos confiables, consistentes y con el formato necesario.
Sin asesoramiento para la implementacin: sin una estructura clara y una
planificacin para implementar ISO 27001 e ISO 22301, el proyecto puede
escaparse de las manos y resultar mucho ms caro.

Sin ayuda si el proyecto se complica: los proyectos de implementacin

pueden ser un gran desafo; por eso, es muy probable que en algn
momento necesite ayuda. Las respuestas se pueden encontrar en diversos
foros de Internet, pero muchas veces esto implica confiar en consejos de
dudosa credibilidad.

Demanda mucho tiempo: cuando no se est seguro sobre cmo hacer

algo, todo lleva ms tiempo que el previsto. Por eso, aunque no se vean
los costos, obvios como pagarle a un consultor, el proceso igualmente
puede tornarse muy caro (simplemente piense en el valor del tiempo).

Por ltimo, puede ser una opcin frustrante por no saber qu hacer despus, o
incluso dnde comenzar, y por nunca estar seguro si la documentacin es la
correcta. Y hacer todo sin ayuda en todo momento.

2. Contratacin De Un Consultor
Contratar un especialista, con experiencia en implementacin de ISO 27001 e ISO
22301, ayudar a que el trabajo se termine. Sin embargo, los consultores no
trabajan gratis, lo que transforma esta opcin en una alternativa cara.
Y con el incremento de las nuevas herramientas en lnea que han disminuido
drsticamente el costo de implementacin (principalmente evitando la necesidad
de consultores), la ecuacin costo-beneficio empieza a ser menos atractiva. Los
problemas con esta opcin son los siguientes:
16

Los consultores son caros: se trata del tiempo de un especialista y en la

factura lo ver reflejado. Y con la cantidad de tiempo necesario para un
proyecto tpico de implementacin, esta factura puede subir
metericamente.

No hay transferencia de conocimientos: un consultor puede ayudar a una

empresa a implementar ms rpido ISO 27001 e ISO 22301 (aunque como
el avance sigue siendo responsabilidad de la empresa, la velocidad no es
una garanta). Sin embargo, cuando un consultor se va, se lleva todo el
conocimiento y la experiencia. El consultor tiene poca iniciativa para
transferir su conocimiento porque es su medio de subsistencia; siempre le
va a interesar ser requerido ms adelante. Es mucho mejor que la base de
conocimientos del proceso de certificacin de ISO 27001 e ISO 22301
permanezca dentro de la organizacin.

Sin garantas de certificacin: ningn consultor, independientemente de la

experiencia que pueda tener, puede prometer la certificacin en ISO 27001
o ISO 22301. Lo que a menudo se olvida acerca de la contratacin de
consultores es que, aunque ofrezcan una gua durante el proceso, ellos
simplemente estn all para asesorar. El xito de la implementacin y de la
certificacin sigue dependiendo de la empresa.

Este informe no tiene la intencin de fustigar el trabajo de los consultores. Hay

muchos consultores experimentados y eficientes que llegarn a la empresa y
brindarn su ayuda durante todo el proceso de preparacin para obtener la
certificacin.
No obstante, el argumento planteado aqu es que ahora una empresa proactiva
puede hacer el mismo trabajo por una fraccin del costo de contratacin de estos
expertos. Sin ser una solucin milagrosa, las nuevas herramientas en lnea s
ofrecen una alternativa eficiente.

Qu deberan proporcionar las herramientas en lnea?

La informacin necesaria: la mejor de las herramientas en lnea debera brindar
una amplia base de recursos, plantillas, asesoramiento y soporte (todo orientado a
ayudar en la implementacin). Al no tener que ir cazando informacin, se puede
ahorrar mucho tiempo y evitar muchos problemas.
Ayuda oportuna: a menos que tenga experiencia en implementacin de ISO
27001 e ISO 22301, probablemente necesite algo de ayuda. Estas herramientas
17

deberan cumplir la mayora de las funciones de un consultor, avanzando paso a

paso a lo largo de todo el proceso (incluso proporcionando soporte en vivo con un
especialista). No es exactamente lo mismo que tener un consultor sentado en la
oficina, pero las herramientas deberan suministrar todo el asesoramiento
necesario (y, lo ms importante, estar disponible cuando realmente se lo necesita).

No es necesario estar calificado en ISO 27001 o ISO 22301: el proceso debera

ser diseado para que hasta un principiante pueda transitar de punta a punta un
proyecto de implementacin. Esto significa que no es necesario tener
conocimientos previos en ISO 27001 ni en ISO 22301 para entender todo (aunque
tenerlos, sera grandioso). Con un enfoque lgico y motivacin suficiente, debera
ser sencillo seguir el proceso estructurado.

Plantillas listas para usar: el acceso a todas las plantillas necesarias para la
implementacin de ISO 27001 y/o ISO 22301 es una gran ventaja. Los
servicios en lnea deberan proporcionar plantillas casi completas (adems
de ofrecer, al mismo tiempo, la flexibilidad de adaptarlas a las necesidades
especficas de la empresa).
Comunidad de soporte: durante un proyecto de implementacin es muy til
poder comunicarse con especialistas, pero tambin con otras personas que
se encuentran en su misma situacin. Las buenas herramientas en lnea
deberan permitir conversaciones con especialistas reales, pero tambin
con colegas o pares, para compartir ideas y conseguir ayuda vital.
Herramientas adicionales: adems del asesoramiento, de las plantillas de
documentacin y del servicio de soporte, los mejores sitios tambin
deberan ofrecer otras herramientas tiles para ayudar a tomar decisiones.
Por ejemplo, herramientas que ayuden a determinar especficamente qu
se necesita para la implementacin, qu documentos e informacin
necesarios hacen falta y cunto puede demorar el proyecto

El camino que tome para la implementacin de ISO 27001 e ISO 22301 depende
exclusivamente de su situacin especfica. Por eso, para ayudarle a decidir cul es
el mejor enfoque para usted, le presentamos a continuacin una gua rpida con
las distintas opciones:
Contratar un consultor:

Si el tiempo es un factor importante para usted. La contratacin de un

consultor le ayudar a tener xito dentro de un plazo ajustado.
Si no cuenta con gente que pueda dedicar tiempo a un proyecto de
implementacin. Un consultor puede ser la persona de campo.
Si los costos no son su principal preocupacin.
18

Si est seguro que conseguir un consultor de primer nivel, ya que esta es

la mejor forma de asegurarse que aportar valor al trabajo.

Hacerlo usted mismo sin ayuda si:

Si tiene mucho tiempo para dedicarle al proyecto.

Si no cuenta con fondos suficientes o si su presupuesto es casi nulo.
Si el alcance de su proyecto es muy acotado; de otra forma se le puede
complicar.
Si ya tiene gente en la empresa que est familiarizada con los temas de
ISO 27001 e ISO 22301.

Usar las herramientas en lnea:

Cuando necesita hacer la implementacin rpidamente.

Si el alcance de su proyecto es amplio o involucra diversos procesos.
Aunque la experiencia y conocimientos de su personal sobre el tema sean
escasos.
Si tiene algo de tiempo para dedicarle, pero no quiere que se genere un alto
impacto sobre la rutina diaria de todo el mundo.
Si su presupuesto es bajo.
Si desea retener en la empresa los conocimientos de la implementacin de
ISO 27001 e ISO 22301.

Lista de documentacin obligatoria para ISO 22301

Documentos y registros

Punto en ISO 22301

Determinacin del contexto de la

organizacin
Procedimiento para identificacin de
requerimientos legales y normativos
aplicables
Lista de requisitos legales,
normativos y de otra ndole
Alcance del SGCN (Sistema de
gestin de la continuidad del
negocio) y explicacin de las
exclusiones
Poltica de la continuidad del negocio
Objetivos de la continuidad del
negocio
Competencias del personal
Comunicacin con las partes

4.1
4.2.2

4.2.2
4.3

5.3
6.2
7.2
7.4
19

interesadas
Proceso para anlisis de impactos en
el negocio y evaluacin de riesgos
Resultados del anlisis del impacto
en el negocio
Resultados de la evaluacin de
riesgos
Procedimientos de la continuidad del
negocio
Procedimientos de respuesta a
incidentes
Decisin sobre si los riesgos e
impactos se deben comunicar
externamente
Comunicacin con las partes
interesadas, incluido el sistema
Procedimientos para restaurar y
reiniciar actividades a partir de las
medidas temporales
Resultados de las acciones que
abordan tendencias o resultados
adversos
Datos y resultados de seguimiento y
medicin
Resultados de la revisin posterior al
incidente
Resultados de la auditora interna
Resultados de la revisin por parte
de la direccin
Naturaleza de las no conformidades
y acciones tomadas
Resultados de acciones correctivas

8.2.1
8.2.2
8.2.3
8.4.1
8.4.2
8.4.2

8.4.3
8.4.5

9.1.1

9.1.1
9.1.2
9.2
9.3
10.1
10.1

Determinacin del contexto de la organizacin (4.1)

En general, el contexto se determina a travs de varios documentos; por ejemplo,
el Procedimiento para identificacin de requerimientos, la Poltica de continuidad
del negocio, la Metodologa de anlisis de impactos en el negocio, la Metodologa
de evaluacin de riesgos, etc.
En otras palabras, generalmente no se confecciona un nico documento para
determinar un contexto, sino que se lo debe dejar plasmado a travs de varios
otros documentos.

20

Procedimiento para identificacin de requerimientos legales y normativos

aplicables y Lista de requisitos legales, normativos y de otra ndole (4.2.2)
Este suele ser un procedimiento bastante corto que define quin es responsable
del cumplimiento: quin debe identificar todas las partes interesadas, quin tiene
que respetar todas las leyes y normativas y dems requisitos de las partes
interesadas, quines sern responsables de cumplir los requerimientos, cmo se
comunicarn estos requerimientos, etc.
Este procedimiento, y el listado resultante, deben ser definidos bien al comienzo
del proyecto, ya que proporcionar datos para todo el SGCN.
Alcance del SGCN y explicacin de las exclusiones (4.3)
Este documento tambin es muy breve y debe ser confeccionado al inicio del
proyecto de continuidad del negocio. Debe definir claramente a qu partes de su
organizacin se aplicar el BCMS en base a las necesidades identificadas y a las
pretensiones de la organizacin. Tambin debe explicar los motivos por los que
fueron excluidos del alcance algunas partes de su organizacin.
Muy a menudo, este documento se fusiona con la Poltica de continuidad del
negocio.
Poltica y objetivos de la continuidad del negocio (5.3, 6.2)
Este es el documento central en el que la alta direccin debe indicar lo que quiere
lograr con el SGCN y cmo lo controlarn. Habitualmente, la alta direccin
aprobar solamente este documento de alto nivel, mientras que los dems
documentos del SGCN son aprobados por administradores de nivel inferior.
Este documento es ms bien corto y las organizaciones pequeas y medianas, por
lo general, incluyen aqu el alcance y los objetivos del SGCN; mientras que las
organizaciones ms grandes, habitualmente, confeccionan documentos separados
para el alcance y los objetivos.
Los objetivos SGCN no deben mezclarse con los objetivos de tiempo de
recuperacin (OTR). Los objetivos del SGCN se establecen para todo el sistema,
no para las actividades.
Plan de capacitacin y concienciacin; competencias del personal (7.2, 7.3)
Estos planes normalmente son desarrollados anualmente por la persona
responsable de la continuidad del negocio junto con el departamento de recursos
humanos (si hay). Es el departamento de recursos humanos el que generalmente
se encarga de llevar los registros de las competencias. Si usted no tiene un sector
de este tipo, cualquier persona que habitualmente se encargue de los registros de
21

los empleados debera ser quien realice este trabajo. Bsicamente, sera
suficiente una carpeta en la que se encuentren todos los documentos.
Comunicacin con las partes interesadas (7.4)
Este tipo de comunicacin se hace de diferentes formas: correo electrnico, correo
postal, por telfono, etc.
Documentar este tipo de comunicacin es bastante sencillo, solo tiene que
guardar copias de estos mensajes de correo electrnico, cartas, documentos, etc.
en algn tipo de un archivo. Si la comunicacin se realiza a travs del telfono, se
debe hacer y archivar una nota de acuerdo a reglas predefinidas.
Procedimiento para control de informacin documentada (7.5)
En general, este es un procedimiento independiente, de 2 o 3 pginas de
extensin. Si usted ya implement alguna otra norma como ISO 9001, ISO 14001,
ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos
sistemas de gestin. A veces es mejor redactar este procedimiento como el primer
documento de un proyecto.
Contratos y acuerdos de niveles de servicio (8.1)
Es crucial que sus proveedores y socios externos reaccionen de la manera
esperada cuando ocurre un incidente; por eso es conveniente confeccionar una
plantilla con los requerimientos mnimos de continuidad del negocio que debera
incluirse en cada uno de los contratos que firme con ellos.
Proceso para anlisis de impactos en el negocio y sus resultados (8.2.1, 8.2.2)
Antes de empezar a hacer su anlisis de impactos en el negocio (AIN), es
necesario que defina las reglas sobre cmo hacerlo; esto, generalmente, se lleva a
cabo con la metodologa de anlisis de impactos en el negocio. Dicha metodologa
debe ser redactada en 4 o 5 pginas, debe ser lo suficientemente breve como
para que se pueda leer fcilmente, pero no demasiado corta como para que
termine siendo imprecisa.
La recopilacin de datos para dicho anlisis se realiza a travs de los
cuestionarios de AIN, que pueden ser en un formato sencillo de Excel o tambin
se puede usar alguna herramienta GCN.
Los resultados del proceso de AIN son documentados en el Informe de anlisis de
impactos en el negocio (para las grandes empresas) o puede ser incluidos en la
Estrategia de continuidad del negocio (esta es la versin ms corta, ms aplicable
en organizaciones pequeas y medianas).
Proceso para evaluacin de riesgos y sus resultados (8.2.1, 8.2.3)

22

Igual que el anlisis de impactos en el negocio, la evaluacin de riesgos tambin

debe ser definida en una metodologa antes de empezar a realizarla. Como ISO
22301 no especifica realmente los requerimientos para la evaluacin de riesgos,
puede utilizar la metodologa de ISO 27001 e ISO 27005 ya que estas normas
proporcionan, probablemente, la mejor metodologa para la evaluacin de riesgos
en la continuidad del negocio. Los resultados de la evaluacin de riesgos deben
ser documentados en el Informe sobre la evaluacin de riesgos.
Estrategia de la continuidad del negocio (8.3)
Este es un enlace clave entre el anlisis de impactos en el negocio, la evaluacin
de riesgos y los planes; su finalidad es garantizar que todos los recursos estn
disponibles si se produce una interrupcin. Esto es crucial, porque sin todos los
recursos necesarios el plan de continuidad del negocio no se podr realizar.
Generalmente, la estrategia de continuidad del negocio es un documento de alto
nivel que contiene estrategias para cada actividad bajo la forma de apndices.
Mitigacin de riesgos y plan de implementacin para el logro de los objetivos de
continuidad de negocio (6.2, 8.3.3)
La mitigacin de riesgos normalmente est documentada a travs del Plan de
tratamiento del riesgo; sin embargo, resulta ms prctico fusionarla en un plan de
implementacin ms integral que incluya todas las actividades necesarias para
implementar todos el SGCN.
Procedimientos para continuidad del negocio (8.4.1)
En trminos generales, los procedimientos para continuidad del negocio incluyen
los planes de respuesta ante incidentes, planes de recuperacin de negocios,
planes de recuperacin ante desastres, planes de comunicacin, etc. Usted puede
organizar todos esos documentos dentro de un nico plan de continuidad del
negocio con apndices para cada elemento mencionado.
Procedimientos de respuesta ante incidentes y registros sobre un incidente (8.4.2,
8.4.3)
En estos procedimientos se deben abordar todos los principales riesgos que
enfrenta su organizacin y cmo responder inicialmente si ocurre un incidente de
ese tipo. Puede redactar estos procedimientos en un nico documento o como
procedimientos separados, con un documento para cada posible incidente. Muy a
menudo, se confeccionan en un documento denominado plan de respuesta ante
incidentes; estos documentos tambin pueden incluir procedimientos de
comunicacin, planes de transporte, etc. En otras palabras, estos procedimientos
pueden terminar siendo bastante largos.

23

Un plan de respuesta ante incidentes debe definir la forma de registrar los hechos
del incidente; puede ser algo sencillo, como notas manuscritas en el plan junto a
cada paso que se ejecuta.
Procedimientos de comunicacin (8.4.2, 8.4.3)
Estos procedimientos deben incluir las decisiones relacionadas con si los impactos
y riesgos deben ser comunicados externamente y con cmo realizar la
comunicacin con las partes interesadas, particularmente con el sistema nacional
o regional de asesoramiento de riesgos (por ejemplo, los tsunamis). Para las
pequeas y medianas empresas, estos procedimientos formarn parte del plan de
respuesta ante los incidentes, mientras que en las grandes empresas sern
documentos separados.
El punto principal aqu es definir claramente quin es responsable de comunicarse
con quin, especialmente quin est autorizado a comunicarse con los medios
pblicos y con las autoridades. Tambin se pueden desarrollar plantillas para
enviar informacin a los medios de comunicacin, que le ayudarn a emitir
comunicados de prensa rpidamente en caso que sea necesario.

Procedimientos para respuesta ante incidentes disruptivos (8.4.4)

Generalmente, estos son procedimientos de recuperacin ante desastres
(orientados a cmo recuperar la infraestructura de tecnologa de informacin y de
comunicacin) y procedimientos de recuperacin de actividades (orientados a
recuperar el aspecto comercial de la organizacin).
Junto con el plan de respuesta ante incidentes, estos procedimientos conforman la
mayor parte de los procedimientos de continuidad del negocio.
Procedimientos para restaurar y reiniciar actividades a partir de las medidas
temporales (8.4.5)
En la mayora de los casos, estos procedimientos no sern muy detallados porque
usted no puede saber por adelantado qu tipo de daos sufrirn sus instalaciones.
Por lo tanto, puede definir brevemente quin ser el responsable de evaluar los
daos y de tomar las decisiones necesarias; puede incluir estos procedimientos en
el plan principal de continuidad de negocio.
Escenarios de incidentes (8.5)
Estas son breves descripciones (o historias) de cmo puede desarrollarse un
determinado incidente y cmo afectara las actividades de su empresa.

24

Deben ser desarrollados en base a los resultados de la evaluacin de riesgos

(deben reflejar los riesgos principales) y se los puede agregar al Plan de prueba y
verificacin o a la Estrategia de continuidad del negocio.

Planes de pruebas y verificacin e informes posteriores (8.5)

Las pruebas y verificaciones son cruciales para la mejora de los procedimientos de
continuidad del negocio; normalmente, se deberan realizar al menos una vez al
ao y deberan ser cada vez ms rigurosos cada ao.
Cada plan debe definir los escenarios y objetivos que se deben cumplir; mientras
que el informe debe indicar en qu nivel se han logrado esos objetivos.
Resultados de las acciones que abordan tendencias o resultados adversos (9.1.1)
Estas acciones se reflejan de dos formas: (1) plan de tratamiento del riesgo
(mencionado anteriormente) y (2) medidas preventivas.
Las medidas preventivas no son obligatorias en ISO 22301, pero s existen en ISO
27001, ISO 9001 y en otros sistemas de gestin; por lo tanto, si usted ya tiene un
procedimiento para medidas preventivas de otros sistemas, tambin lo puede
utilizar para su SGCN.
Programa de mantenimiento del SGCN (9.1.1)
Como la documentacin del SGCN puede ser bastante amplia, y se puede
convertir en obsoleta muy fcilmente, una buena prctica es definir exactamente
cundo se revisar cada documento. Esto puede ser una simple tabla que
determine cundo debe ser revisado cada documento y por quin.
Mtodos para supervisin, medicin, anlisis y evaluacin (9.1.1)
La forma ms sencilla de describir cmo se mide el sistema es a travs de cada
poltica y procedimiento. En general, esta descripcin puede ser realizada al final
de cada documento, y cada descripcin tiene que definir los tipos de KPI
(indicadores clave de desempeo) que se debe medir para cada documento.
Datos y resultados de seguimiento y medicin (9.1.1)
Estos son todos los informes, KPI, resultados no oficiales enviados por correo
electrnico, decisiones, etc. que deben ser guardados durante un perodo de
tiempo especificado.
Resultados de la revisin posterior al incidente (9.1.2)

25

El mejor mtodo sera crear un formulario con todos los datos necesarios que se
deben tener en cuenta despus de que ha ocurrido un incidente. Cuando se
completa este formulario y se realizan las conclusiones correspondientes (si los
planes de continuidad del negocio funcionaron bien o no), se debe guardar el
formulario durante un perodo de tiempo especificado.
Procedimiento, programa y resultados de auditora interna (9.2)
Habitualmente el procedimiento para auditora interna es un procedimiento
independiente que puede tener entre 2 y 3 pginas y que debe ser confeccionado
antes de que comience la auditora interna. En cuanto al procedimiento para
control de documentos, un procedimiento para auditora interna puede ser utilizado
para cualquier sistema de gestin.
Un programa de auditora interna podra ser un simple documento de una pgina
que describa cundo se llevar a cabo cada auditora y quin la realizar.
Los resultados de la auditora interna se documentan a travs del informe de
auditora interna; este informe debe incluir todas las no conformidades y las
observaciones.

Resultados de la revisin por parte de la direccin (9.3)

Estos registros se presentan, normalmente, bajo la forma de actas de reunin y
deben incluir todo el material tratado durante la reunin de la direccin, como
tambin todas las decisiones que se tomaron. Estas actas pueden ser en papel o
en formato digital.
No conformidades y medidas correctivas (10.1)
Generalmente, esta parte est cubierta en el Procedimiento para medidas
correctivas; si usted ya tiene ISO 27001, ISO 9001 u otra norma de gestin, puede
utilizar el procedimiento existente.
En general, este procedimiento no tiene ms que 2 o 3 pginas. Este
procedimiento puede ser confeccionado al final del proyecto de implementacin,
aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con
l.
Los resultados de las medidas correctivas son incluidos en los formularios para
medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros
en alguna aplicacin que ya est en uso en la organizacin; por ejemplo, la Mesa
de ayuda, porque las medidas correctivas no son ms que listas de actividades a
realizar con responsabilidades, tareas y plazos bien definidos.

26

ISO 22301:2012, PARA GARANTIZAR CONTINUIDAD

ORGANIZACIONES ANTE CONTINGENCIAS

OPERATIVA DE

De acuerdo con un comunicado emitido por el organismo internacional, los

requerimientos de la norma ISO 22301:2012, Societal security Business
continuity management systems Requirements (sistemas de gestin para la
continuidad de los negocios), ayudar a las organizaciones, independientemente
de su tamao, ubicacin o actividad, a estar mejor preparados y con ms
confianza para manejar contingencias de cualquier tipo: ambientales, legales,
econmicas, sociales, entre otras.
Los incidentes pueden afectar a una organizacin en cualquier momento, pero la
aplicacin de la norma ISO 22301 asegurar que las organizaciones puedan
responder de manera eficiente ante tales contratiempos, y no detener su
operacin y la de las partes involucradas.
Dicha norma contempla incidentes de gran escala como desastres naturales,
actos terroristas en sistemas tecnolgicos y contingencias ecolgicas. Aunque la
mayora de los casos los problemas que se presentan son menores, pueden tener
un impacto significativo en las empresas; por ello es de gran relevancia contar con
un sistema de gestin de continuidad de la organizacin en todo momento.
Esto ha llevado a una conciencia global de que las organizaciones de los sectores
pblico y privado deben saber cmo prepararse y responder a incidentes
inesperados y perjudiciales.
ISO 22301 proporciona un marco para planificar, establecer, implementar,
operar, verificar, revisar, mantener y mejorar continuamente un sistema de
gestin de la continuidad del negocio (BCMS). Se espera que esto ayude a las
organizaciones a protegerse contra incidentes perturbadores inesperados
mediante estrategias de preparacin, respuesta y recuperacin ante tales
circunstancias.
El Dr. Stefan Tangen, secretario del comit tcnico de ISO que desarroll la
nueva norma, establece que las organizaciones que implementan la norma ISO
22301 sern capaces de demostrar a los legisladores, reguladores, clientes,
posibles clientes y otras partes interesadas que han incorporado las buenas
prcticas en la Gestin de Continuidad de la Organizacin o Empresa (BCM,
por sus siglas en ingls: Business Continuity Management).

27

Aade que la norma tambin puede ser utilizada dentro de una organizacin para
evaluar las buenas prcticas, as como para los auditores que deseen informar a
la gerencia.
ISO 22301 ayudar a las organizaciones en el diseo de un Sistema de Gestin
de Continuidad de las Empresas u Organizaciones (BCMS) que sea apropiado
para sus necesidades y cumpla con los requisitos de los grupos de inters.
Estas necesidades estn determinadas por factores legales, reglamentarios,
organizativos, de la industria y de los productos; adems de los servicios, el
tamao, la estructura, los procesos y los grupos de inters de cada organizacin.
Por su parte, David Austin, lder del proyecto el responsable de redactar la
norma ISO 22301, explica que para que la norma ISO 22301 funcione
adecuadamente, es necesario que las organizaciones hayan entendido
completamente los requerimientos de la misma.
En lugar de ser simplemente un proyecto o el desarrollo de un plan, la gestin
para la continuidad de una empresa es un proceso de gestin continuo que
requiere de personas competentes que trabajen en el desarrollo de estructuras y
soportes adecuados cuando estos sean necesarios. Enfatiza
Adems indica que la norma ISO 22301 es la primera que se publica de acuerdo
con el nuevo formato ISO para la escritura de normas de sistemas de gestin.
Esto facilitar la comprensin y garantizar la coherencia con otros sistemas de
gestin, tales como ISO 9001 (gestin de calidad), ISO 14001 (gestin
medioambiental) e ISO / IEC 27001 (gestin de seguridad de la informacin).
ISO 22301 puede ser utilizada con propsitos de certificacin, as como para
la autoevaluacin. Adems incluye un apartado breve y conciso que describe los
elementos centrales de la gestin para la continuidad de las empresas que
permitir a los usuarios sacar el mximo provecho de la norma.

28

Escenario de la Situacin

Cada da la economa global se torna ms compleja e interdependiente, es por ello

que los incidentes que ocurren en el negocio o entorno pueden frenar o inclusive
paralizar las actividades de las organizaciones, impactando directamente en los
clientes finales y en los procesos crticos del negocio. Esto, especialmente cierto
en sectores como; TICS, sanitario, administracin pblica, financiero e industrial.

Es entonces esencial anticiparse a los eventos no deseados y disear e implantar

planes de contingencia efectivos para mantener la actividad de su negocio, sin
importar qu pueda ocurrir.

Hechos ocurridos en el ltimo ao en el mundo, han dado va libre para que se

haya creado este estndar enfocado a la continuidad de los negocios, algunos de
ellos son:

1.
2.
3.
4.
5.

Averas en cableado submarino afectando los servicios de internet de

pases como la india, Bahrain, Emiratos rabes, Arabia saud
Evacuacin de ms de 2,700 empleados en la torre de Londres por un
vehculo sospechoso en el estacionamiento.
Huelgas en los sistemas de transporte pblico de pases como; Francia,
Espaa, Alemania, Hungra y Grecia.
Eventos mltiples, terremotos, huelgas, temporales de nieve, explosiones,
cortes internacionales del fluido elctrico, incendios, afectando Atenas (Grecia).
Fallos en red/telefona en pases como Italia, Venezuela, y Colombia.
El sistema de gestin de la continuidad del negocio (BCMS, en ingls), le permitir
a las Empresas del pas, revisar continuamente los riesgos de su negocio y
conocer el grado real de preparacin para responder a situaciones imprevistas,
por ende la continuidad del negocio es parte integral de la estrategia de gestin de
riesgos.

29

El Sistema de gestin en continuidad del negocio le permitir adems, minimizar el

impacto en el negocio de las posibles interrupciones, construyendo una cadena de
suministro ms resistente y fiable, preservando y mejorando la imagen corporativa
de las organizaciones, reduciendo sus costos globales.
Mediante el cumplimiento de los requisitos establecidos en la norma tcnica, las
empresas pueden asegurar el buen gobierno corporativo, creando un clima de
confianza con los empleados, proveedores, clientes y dems stakeholders (grupos
de inters).

Por qu el BCMS debe ser integrado con la gestin de riesgos empresarial?

El BCMS proporciona a la gestin de riesgos una mejor comprensin de las

actividades ms importantes (productos y servicios), y los recursos necesarios que
les dan soporte, estableciendo un marco para la mitigacin de dichos riesgos.

Permite establecer una interaccin ms directa con el negocio y mediante un

enfoque pragmtico para comprender los desafos del da a da, por su parte. Por
la otra, la gestin de riesgos le aporta a la continuidad del negocio una visin
global del riesgo, le da acceso a la gestin del negocio, a sistemas de monitoreo,
y proporciona una mejor visin de las amenazas existentes.

La integracin y armonizacin de estos sistemas permite una mejor priorizacin,

un mtodo para dar tratamiento a los riesgos de una manera ms sistemtica,
pragmtica aportando mayor eficiencia en la inversin en la gestin de los riesgos.

El impacto en las partes interesadas requiere que las Empresas sean proactivas
para afrontar los incidentes e interrupciones del negocio, con el fin de evitar la
paralizacin de servicios y proceso clave de negocio, y que, en el caso de que se
generen, existan mecanismos internos para restaurar los productos y procesos a
la mayor rapidez en funcin de lo dependiente que sean de ellos.

30

Grfica 1 Esquema de Recuperacin del negocio

La Base de Madurez Empresarial

Las Organizaciones afectadas por catstrofes pueden agruparse en dos

categoras: recuperables y no recuperables. Cuando una Empresa ha afrontado
con xito una situacin de crisis (ejemplo; El incendio del Edificio Windsor donde
funcionaban las oficinas corporativas de DELOITTE en Madrid, Espaa) el valor
de sus acciones se incrementa en el largo plazo en comparacin con aquellas que
no lo hicieron y cuyo valor de las acciones disminuy y despus de un ao no fue
posible su recuperacin.

31

Grfica 2 Caso Windsor - Deloitte

Las investigaciones ms recientes han demostrado que aquellas organizaciones

que incluyen en sus presupuestos la gestin del riesgo, continuidad del negocio,
principios de buen gobierno corporativo, y modelos de gestin eficaces son ms
rentables en sus sectores. Por tanto modelos de gestin como el BCMS, son una
inversin y no un coste.

32

Es comn escuchar frases como:

No nos va a pasar
Le haremos frente, siempre lo hacemos
Somos demasiado grandes para quebrar
No somos un objetivo terrorista
La compaa de seguros pagar todo
No tenemos tiempo suficiente para prepararnos para algo que nunca va a
ocurrir
Ahora bien, la definicin de la continuidad del negocio es: proceso de gestin
holstico que identifica las amenazas potenciales de una organizacin y los
impactos que pueden causar en las operaciones de negocio si esas amenazas se
materializan, adems de proporcionar un marco de trabajo para construir una
empresa ms resistente con capacidad de respuesta efectiva y proteger los
intereses de las partes interesadas, su reputacin, imagen de marca y actividades
de valor aadido. El BCMS es ms que una gestin de crisis o emergencias y se
inicia con la identificacin de actividades crticas y un anlisis de impactos en el
negocio.

La norma tcnica ISO 22301:2012 es a nivel mundial el primer estndar

internacional para la gestin de la continuidad del negocio, y ha sido desarrollada
para ayudar a las empresas a minimizar el riesgo de este tipo de interrupciones.
ISO realiz el lanzamiento de la norma ISO 22301:2012 seguridad de la
sociedad sistema de gestin de la continuidad del negocio requisitos.
La cual reemplaza a la norma britnica BS25999.

Esta norma especfica los requisitos para planificar, establecer, implementar,

operar, monitorear, revisar, mantener y mejorar de forma continua un sistema de
gestin documentado para prepararse, responder y recuperarse de eventos que
generan interrupciones, cuando estos se materializan en las organizaciones. Los
requisitos especificados en la norma 22301 son genricos y pretenden ser
aplicables a todo tipo de organizaciones, sin importar su tipo, tamao, naturaleza,
el grado de aplicacin de dichos requisitos depender del ambiente operativo y del
grado de complejidad de las organizaciones.

Se agrega un mayor nfasis en el establecimiento de objetivos, el seguimiento del

desempeo y los KPI (indicadores de desempeo), requiere de una mayor claridad
33

sobre las expectativas de la direccin, la planificacin y preparacin ms

cuidadosa de los recursos para el aseguramiento de la continuidad del negocio.

La continuidad del negocio tiene un ciclo de vida conformado por las siguientes
etapas:

Comprensin de la organizacin en su contexto

Definicin de la estrategia de continuidad del negocio
Desarrollar e implementar un plan de continuidad del negocio (BCP
Business continuity Plan)
Probar, mantener y revisar
Para lograr lo anterior la norma conserva el enfoque basado en procesos PHVA,
Planear, Hacer, Verificar y Actuar, el cual se debe aplicar a toda la estructura de
procesos y al BCP.

Grfica 3 Modelo BCM articulado con el ciclo PHVA

34

Siguiendo la nueva estructura de la Gua ISO 83, la norma ISO 22301 est
organizada en las siguientes clusulas principales:

Captulo 4 Contexto de la organizacin

Captulo 5 Liderazgo
Captulo 6 Planificacin
Captulo 7 Soporte
Captulo 8 Operacin
Captulo 9 Evaluacin del desempeo
Captulo 10 Mejora
Cada una de estas actividades principales se describe a continuacin.
Grfica 4 Enfoque de Gestin del BCMS

35

CAPITULO 4 CONTEXTO DE LA ORGANIZACIN

En este acpite se debe determinar los temas internos y externos de la

organizacin que son relevantes y que afectan su capacidad para alcanzar los
resultados esperados en el sistema de gestin de la continuidad del negocio,
como son: actividades operacionales, funciones, servicios, productos, cadena de
suministro, relaciones con grupos de inters y el impacto potencial relacionado con
un incidente que genere una interrupcin.

CAPITULO 5 y 6 PLANIFICACIN Y LIDERAZGO

En este captulo se deber establecer la interaccin o vnculos entre la poltica de

continuidad del negocio y los objetivos de la empresa, y la alineacin o
armonizacin con otras polticas incluyendo la estrategia de gestin de riesgos, el
apetito de riesgo, las necesidades y expectativas de las partes interesadas, el
marco normativo, las regulaciones y otros requisitos aplicables al negocio.

Adems de identificar el alcance del sistema de gestin de continuidad del

negocio, tomando como referencia los objetivos estratgicos de la organizacin,
sus productos, servicios, su tolerancia al riesgo, y cualquier obligacin contractual
o de partes interesadas.

Grfica 5 Enfoque de Planificacin del BCMS

36

La alta direccin debe demostrar un compromiso continuo con el sistema de

gestin de la continuidad del negocio, mediante su liderazgo y acciones, la
direccin deber crear un ambiente en el cual los distintos miembros de la
organizacin estn involucrados totalmente, el sistema de gestin pueda funcionar
eficazmente en sinergia con los objetivos estratgicos. La direccin es
responsable de:

Asegurar que el sistema de gestin es compatible con el mapa estratgico

organizacional.
Integrar y armonizar los requisitos del sistema de gestin con los procesos
Suministrar los recursos necesarios para el funcionamiento eficaz del
sistema de gestin
Comunicar la importancia de la gestin de continuidad del negocio de
manera eficaz, asegurando que se logran los resultados esperados
Dirigir y apoyar la mejora continua
Establecer y comunicar la poltica de continuidad del negocio
Asegurar que los objetivos y el plan de continuidad del negocio se
establezcan
Asegurar que las responsabilidades y autoridades para las funciones sean
asignadas.
Esta es una etapa crtica en la que se debern establecer los objetivos
estratgicos, principios para la orientacin del sistema de gestin en su totalidad.
Los objetivos del sistema son una expresin del propsito de la empresa para el
37

tratamiento de los riesgos identificados y/o para cumplir con los requisitos de las
necesidades de la empresa, los objetivos de la continuidad del negocio deben:

Ser coherentes y consistentes con la poltica de continuidad del negocio

Tomar como referencia el nivel mnimo de productos y servicios que es
aceptable para que la empresa alcance los objetivos trazados
Ser mesurables
Tomar los requisitos aplicables como marco de referencia
Ser controlados y actualizados
La gestin de un sistema de continuidad del negocio, se basa en el uso de
recursos apropiados para cada actividad, estos recursos incluyen personal
competente con base en formacin, experiencia y habilidades, toma de
conciencia, comunicaciones pertinentes, servicios de soporte (con evidencia
demostrable y objetiva), esto debe ser apoyado por informacin documentada y
adecuadamente gestionada (plan de continuidad del negocio, entre otros
documentos).

Las comunicaciones, tanto internas como externas debern ser consideradas en

este numeral, incluyendo su formato, contenido y frecuencias. Los requisitos para
la creacin, actualizacin y control de la documentacin son igualmente
especificados en este numeral. Despus de que se planifica el sistema de gestin
de la continuidad del negocio, la empresa debe ponerlo en funcionamiento.

CAPITULO 7 Y 8 SOPORTE Y OPERACIN

Grfica 6 Operacin del BCMS

38

En estos numerales se incluyen las siguientes actividades:

Anlisis de impacto en el negocio: Esta actividad se enfoca en la

identificacin de los procesos crticos que soportan a los productos y servicios
clave, las interdependencias entre los procesos y recursos necesarios para
asegurar la operacin de los procesos en niveles aceptables.
Evaluacin del riesgo: La norma propone apoyarse en el estndar ISO
31000 para la administracin del riesgo, con el fin de implementar el proceso de
gestin del riesgo, la finalidad de este requisito es establecer, implementar y
mantener un proceso formal y documentado de valoracin de riesgos que
identifique, analice y evale sistemticamente el riesgo de todos los posibles
incidentes que generen interrupciones en la organizacin.
Estrategia de continuidad del negocio: Una vez que los requisitos se han
establecido, mediante el anlisis de impacto la evaluacin de los riesgos, las
estrategias se deben desarrollar para identificar disposiciones que permitan
proteger y recuperar actividades crticas, basadas en el grado de tolerancia y
apetito de riesgo de la empresa, estableciendo frecuencias de recuperacin, con el
fin de armonizar la continuidad del negocio con la estrategia global de la
organizacin.
Procedimientos de continuidad del negocio: La empresa debe
documentar los procedimientos necesarios para asegurar la continuidad del
negocio de las actividades, la gestin de incidentes que generen interrupciones,
los procedimientos deben establecer protocolos de comunicacin internas y
externas, ser especficos en funcin de las actividades inmediatas a ser tomadas
durante las interrupciones, ser flexibles para responder a amenazas no
anticipadas y a condiciones internas y externas cambiantes, enfocarse en el
impacto de los eventos que puedan potencialmente interrumpir operaciones, ser
39

desarrollados bajo las hiptesis establecidas del entorno de riesgo y anlisis de

interdependencias, ser efectivos para minimizar consecuencias a travs de la
implementacin de estrategias de mitigacin adecuadas.
Ejercicios y pruebas: Con el fin de asegurar que los procedimientos de
continuidad del negocio son consistentes con los objetivos de continuidad, las
organizaciones deben efectuar pruebas regularmente, los ejercicios y las pruebas
son procesos de validacin de planes y procedimientos de la continuidad del
negocio, para asegurar que las estrategias seleccionadas son capacees de
proveer resultados de respuesta y recuperacin dentro de plazos acordados con la
alta gerencia.
Tabla 1 Pruebas posibles a aplicar al BCMS

CAPITULO 9 EVALUACIN DEL DESEMPEO

40

Una vez que el sistema de gestin de continuidad del negocio se ha

implementado, se requiere permanentemente hacer seguimiento al sistema, as
como efectuar revisiones peridicas para mejorar continuamente su operacin, se
debe hacer seguimiento al grado de contribucin a la poltica, objetivos, metas de
continuidad con respecto al BCP (plan de continuidad) y ver si son
cumplidos. Adicionalmente, se deber hacer seguimiento a la medicin de los
procesos, procedimientos y funciones que protegen las actividades priorizadas y el
seguimiento histrico de evidencia de desempeo deficiente del sistema de
gestin de la continuidad del negocio y efectuar con base en los criterios de la ISO
19011:2011, los ciclos de auditora interna a intervalos planificados y realizar la
revisin por la direccin.

CAPITULO 10 MEJORA
La mejora continua puede ser definida como todas las acciones realizadas a lo
largo de los procesos planeados para incrementar la eficacia (cumplimiento de
objetivos) y la eficiencia (proporcin costo/beneficio optima) de los procesos,
controles de seguridad para brindar ms beneficios a la organizacin y a las partes
interesadas. La Empresa, puede mejorar continuamente la eficacia de su sistema
de gestin a travs del uso de la poltica de continuidad del negocio, los objetivos,
los resultados de las auditorias, el anlisis de eventos controlados, los KPI de
desempeo, las acciones correctivas y preventivas y la revisin por la direccin.

41

Conclusiones

El incremento de estas nuevas herramientas en lnea ha logrado, por

primera vez, que el enfoque de implementacin "hgalo usted mismo" sea
una alternativa posible. Pero el simple hecho de que ahora puede conseguir
los documentos, el asesoramiento y el soporte, todo en un solo lugar, no
significa que sta sea la alternativa ideal para usted.

Antes de embarcarse en un proyecto de implementacin es vital elegir el

mtodo que mejor se ajusta a sus necesidades. Y eso depende en gran
medida de su situacin particular. Para algunos, la contratacin de un
consultor ser la mejor opcin; para otros, las nuevas herramientas en lnea
son una opcin atractiva.
El estndar ISO 22301:2012 engloba las distintas metodologas y buenas
prcticas en continuidad del negocio generadas en los ltimos casi 20 aos.
Las empresas que hayan implementado y certificado el BS 25999-2:2007
tienen un lmite de tiempo para realizar la migracin al nuevo modelo.
Las organizaciones que estn implementando un SGCN bajo el esquema
BS 25999-2:2007 deben iniciar la transicin hacia el ISO 22301:2012.

42

Anexos
ISO 22301: consejos prcticos
La preocupacin por la continuidad del negocio es sin duda uno de
los puntos principales en las iniciativas estratgicas de las empresas del
sector de las tecnologas de la Informacin, que valoran ms que nadie,
los gravsimos inconvenientes, tanto econmicos como empresariales
que se podran causar debido a un tiempo de inactividad.
En este artculo se resumen algunas de las mejores recomendaciones
publicadas por SYMANTEC sobre polticas de continuidad del Negocio,
para tener en cuenta a la hora de implementar un sistema de
Continuidad del negocio.
Segn SYMANTEC, los principales puntos que debemos proteger con un
Sistema de Continuidad del Negocio son:

Recuperacin ante interrupciones imprevistas.

Posibles bloqueos econmicos o legales.
Daos en la reputaciones responsabilidades

Una vez establecidos los objetivos de la poltica de continuidad del

NEGOCIO, no solamente deberemos tener en cuenta la proteccin de
las aplicaciones, los datos y servicios de nuestra empresa contra una
amplia gama de amenazas, si no que deberemos adems evaluar otros
aspectos prcticos a tener en cuenta como son:

Las limitaciones de presupuesto,

Las limitaciones de recursos de personal
Las polticas de nuestros proveedores y su resistencia a
adoptar sistemas de proteccin y recuperacin ante interrupciones
imprevistas.

43

LOS RIESGOS
Uno de los captulos que no se nos debe pasar por alto, son los estudios
de las posibles amenazas de ataques cibernticos maliciosos, desastres
naturales y por su puesto lo errores humanos. Esto nos hace pensar,
que en las organizaciones deben pertrechar de sistemas que las
mantengan siempre alerta, sobre cmo estas amenazas podran afectar
a su infraestructura, aplicaciones, datos esenciales y disponibilidad de la
Informacin.
Estas son algunas de las mejores prcticas a tener en cuenta en el
diseo
e
implementacin
de
una
continuidad
del
negocio:

1.- AUTOMATIZAR
En los tiempos que corren no podemos seguir dependiendo de un
manual donde tengamos que consultar los procesos humanos y
tecnolgicos para recuperarse de los cortes y restaurar el acceso a los
datos y aplicaciones.
La experiencia de recuperacin ante desastres naturales ocurridos en la ltima
dcada, impone a las empresas el implantar sistemas automatizados de
recuperacin, incluso para las organizaciones que se hayan planeado para la
recuperacin disponer de centros de datos a distancia. Otro motivo para ello es la
disponibilidad del personal que tiene que realizar las tareas de recuperacin. En
situaciones de desastres naturales, es comn que el personal no llegue a tiempo a
los centros de recuperacin, bien por quedar atrapada en los atascos o por la
indisponibilidad de trasporte pblico etc...
2.- LAS MAQUINAS VIRTUALES FALLAN
Debemos hacer frente a la posibilidad de que las mquinas virtuales, por
mucho nivel de proteccin que queramos tener, pueden estar sujetas a
fallos e indisponibilidades. Es por ello que nuestro plan de continuidad
debe de ser un plan mixto, donde se contemple la copia de seguridad de
nuestros servidores virtuales.
3.- LA IMPORTANCIA DE LAS PRUEBAS
Un buen plan de continuidad, sin duda ser imperfecto si no realizamos
pruebas de su funcionamiento. Las pruebas son tanto o ms importantes
que tener un buen plan de comunidad. Este factor, es uno de los ms
crticos a la hora de enfrentarnos a un sistema que realmente responda
cuando lo necesitemos. Las pruebas adems de ser planificadas con
periodicidades adecuadas, deben contemplar aspectos de fiabilidad en
44

la conmutacin a los sistemas de copia de seguridad que nos garanticen

la continuidad de los trabajos crticos
4.- DESLOCALIZACION DEL CENTRO DE DATOS
El primer consejo es establecer una distancia razonable entre la
produccin y Sitios de recuperacin con el fin de mantenerse alejado de
los problemas regionales. Sin embargo, muchas pequeas y medianas
empresas poseen un solo centro de datos, por lo que es aconsejables
que negocien con sus proveedores de Servicios en la Nube para
disponer de una opcin de respaldo en una instalacin remota.

5.- ESTABLEZCA PRIORIDADES

Un Sistema de Continuidad del negocio evidentemente es un impacto
econmico que normalmente no pasa por ser insignificante. Es por ello,
que en orden a implementar una solucin econmicamente viable es
necesario establecer prioridades, analizando los procesos del negocio
en profundidad para establecer cuales son aquellas aplicaciones que
necesitan estar disponibles de inmediato y cuales pueden esperar unas
horas.
6.- CONTINUIDAD DEL NEGOCIO COMO UN SERVIOCIO MS
Nuestro sistema de Continuidad del negocio podra ser considerado
como un servicio gestionado, dentro de todos los dems que
componen la cartera de Servicios TI. Para ello debemos aprovechar la
experiencia en la seleccin de proveedores de TI, para seleccionar los
sistemas que nos ayudarn en la recuperacin ante interrupciones del
servicio.
7.- IMPULSAR LA MOVILIDAD
Est claro que las empresas que promocionan el BYOD (Trabaje desde
su propio dispositivo), favorecen la implantacin de polticas de
continuidad del negocio. Para ello, es suficiente con tener una conexin
a Internet fiable, por lo que es un factor que contribuye a la facilidad de
que un porcentaje relevante de nuestros empleados no sean
interrumpidos en sus tareas por necesidad de desplazarse. Con ello, nos
45

estamos protegiendo directamente de las incidencias climticas y otros

imprevistos.

Elementos del Ciclo de Vida del BCM

Lo conforman un conjunto de actividades de la Continuidad del Negocio que
colectivamente cubren todos los aspectos y fases del BCM, que se repite como
objetivo general de mejorar la residencia organizacional. Se divide en seis
prcticas profesionales:

46

Prcticas de Gestin
1. Poltica y Gestin de Programas
Es el inicio del ciclo de vida del BCM y se trata de la prctica profesional que
define la poltica de la organizacin y la forma en que la poltica se llevar a cabo,
controladas y validadas a travs de un programa de BCM.
La poltica BC incluye: La definicin de BC para la organizacin y del mbito de
aplicacin del BCM, asignar roles y responsabilidades de BC; un framework para
la gestin del BCM; un conjunto de principios, directrices y estndares mnimos;
una definicin clara de presupuesto, auditora y responsabilidades de gobernanza.

2. Incorporacin de Continuidad de Negocio

Es la prctica profesional que continuamente busca integrar BC en las actividades
empresariales del da a da y la cultura organizacional. Esta actividad no es
exclusiva de BC; otras disciplinas tambin deben incorporarse en la organizacin
de una manera similar. Disciplinas como la Calidad, Salud y Seguridad, Servicios
Ambientales, Seguridad y Gestin de Riesgos tiene retos similares. As que la
oportunidad de compartir experiencias y oportunidades de aprendizaje a travs de
diversas disciplinas relacionadas es importante.

Prcticas Tcnicas
3. Anlisis
Es la prctica profesional dentro del ciclo de vida de BCM que revisa y evala una
organizacin en trminos de cules son sus objetivos, su funcionamiento y las
limitaciones del entorno en el que opera.
La informacin recogida permite determinar la mejor manera de preparar una
organizacin para ser capaz de manejar las interrupciones que de otro modo
podran seriamente o fatalmente daarlo.
La principal tcnica utilizada para el anlisis de una organizacin para la
continuidad del negocio (BC) fines es el anlisis del impacto del negocio (BIA). A
nivel estratgico, puede hacer preguntas a la Alta Direccin que se refieren a la
misin de la organizacin, sus objetivos, los objetivos y las prioridades. Tambin
se pueden utilizar los niveles tctico y operacional para profundizar e identificar
informacin ms detallada.
47

Esta prctica profesional cubrir la estimacin de los recursos, instalaciones y

servicios externos que requerir cada actividad, tanto en la reanudacin y volver a
las operaciones normales. Dentro del programa de BCM, esta etapa debe
centrarse en las amenazas inherentes a las actividades de negocios identificados
como ms urgentes en el BIA, en lugar de todas las amenazas a la organizacin.

4. Diseo
Es la prctica profesional dentro del ciclo de vida de BCM que identifica y
selecciona las estrategias y tcticas para determinar la continuidad y recuperacin
de las prdidas que se lograrn. La informacin obtenida de la etapa de anlisis y
decisiones tomadas en la etapa de Polticas y Gestin de Programas se utilizan
para disear soluciones en las siguientes tres reas:
Continuidad y estrategias de recuperacin y tcticas
El propsito de disear estrategias de recuperacin y tcticas es fijar plazos para
la recuperacin e identificar los medios para que estos objetivos sean alcanzados.
Esto puede llevarse a cabo en tres niveles de organizacin:
Estratgico - productos y servicios;
Tctica - Infraestructura de proceso y;
Operacional - actividades que ofrecen los productos y servicios.

A nivel tctico, el proceso consiste en la infraestructura de los servicios e

instalaciones necesarias para ofrecer un producto o servicio. Es donde:
Las soluciones que harn planes viables en la prctica se han diseado y
Las decisiones probablemente incurrirn en la mayora de los gastos.
El diseo de soluciones operativas puede requerir conocimientos tcnicos ms
all de las de un profesional. Asesoramiento tcnico que tenga que ser solicitada a
expertos en otros campos.
Medidas de mitigacin de amenazas
El propsito de disearlas es identificar y seleccionar las medidas preventivas que
se pueden implementar para reducir la probabilidad y/o el impacto de la
interrupcin de las actividades de la organizacin, la mayora de tiempo crtico y
urgente.
Estructura de respuesta a incidentes

48

El propsito de disear una estructura de respuesta a incidentes es asegurar que

existe un mecanismo documentado y entendido por completo para responder a un
incidente que tiene el potencial de causar la interrupcin de la organizacin,
independientemente de su causa.

5. Implementacin
Es la prctica profesional dentro del ciclo de vida del BCM que ejecuta las
estrategias acordadas y tcticas a travs del proceso de elaboracin del Plan de
Continuidad de Negocios (BCP).
El objetivo es identificar y documentar las prioridades, procedimientos,
responsabilidades y recursos para ayudar a la organizacin en la gestin de un
incidente perturbador, mientras que la aplicacin de estrategias de continuidad y
recuperacin a un nivel predeterminado de servicio.
Los requisitos fundamentales para una respuesta eficaz por parte de la
organizacin son los siguientes:
La capacidad de reconocer y evaluar las amenazas existentes y potenciales
cuando se producen y para determinar una respuesta adecuada;
Un procedimiento claro y entendido por la activacin, la escalada y la estructura
de respuesta a incidentes;
Contar con el personal responsable y la capacidad para poner en prctica las
estrategias de continuidad acordada (u objetivos) tal como se definen en los
planes de la organizacin
Seguir y recuperar las actividades interrumpidas;
La capacidad de comunicarse de manera efectiva con las partes interesadas
internas y externas.
Los resultados se pueden lograr por varios mtodos y tcnicas, y es importante
que sea adecuado para las necesidades de la organizacin. Las acciones
descritas en los planes no estn destinadas a cubrir todas las eventualidades que,
por su naturaleza, todos los incidentes son diferentes. Los procedimientos pueden
ser necesarios adaptar el evento especfico que se ha producido y las
oportunidades que pueda haber creado.

6. Validacin
Es la prctica profesional dentro del ciclo de vida de BCM que confirma que el
Programa de BCM responde a los objetivos establecidos en la Poltica de BC y
que el BCP de la organizacin es apto para el propsito.
49

El objetivo de la validacin es garantizar que la capacidad BC refleja la

naturaleza, escala y complejidad de la organizacin que apoya y que es actual,
precisa y completa, y que se adopten medidas para mejorar continuamente la re
silencia organizacional.
La validacin se logra a travs de las siguientes tres actividades:

Hacer ejercicio:
Un programa de ejercicio planificado es necesario para asegurar que todos los
aspectos de la respuesta a un incidente que se han ejercido. En particular: toda la
informacin en los planes se verifica; todos los planes se ensayan, y todo el
personal pertinente (incluyendo diputados) se ejercen.
La capacidad de una organizacin no puede ser considerada fiable hasta que se
haya ejercido. No importa lo bien diseado una estrategia BC o Plan de
Continuidad de Negocios (BCP), parece ser, los ejercicios fuertes y realistas que
identificar problemas y supuestos que requieren atencin.
Para tener xito un programa de ejercicio debe empezar sencillamente y escalar
gradualmente en trminos de complejidad y desafo

Mantenimiento:
Mantiene acuerdos de la organizacin hasta la fecha, permite asegurar que la
organizacin est preparada para responder a gestionar eficazmente los
incidentes, a pesar del cambio constante.
Una parte importante del ciclo de vida de BCM es la gestin de la documentacin,
y el mantenimiento del programa de BCM se asegura de que esta documentacin
se mantiene actualizada y que la documentacin actual y relevante es distribuido a
las partes interesadas pertinentes.

Revisar:
El objetivo de revisar es evaluar el programa de BCM e identificar las mejoras que
tanto la ejecucin de la organizacin del ciclo de vida del BCM y el nivel de
resilencia organizacional.
Hay cinco tipos bsicos de opinin:
o Auditora (interna y externa) - un proceso formal de revisin que mide
programa BCM frente a un estndar acordado previamente;
o Auto-evaluacin - una evaluacin del programa de BCM a s misma;
50

o Garanta de calidad (QA) - un procedimiento que garantice que las

diferentes salidas del programa de BCM cumplen con los requisitos;
o Evaluacin del Desempeo - una revisin de la actuacin de las personas
encargadas de las funciones y responsabilidades; y
o Rendimiento Proveedor - un proveedor clave o una revisin del desempeo
de un proveedor de servicios de recuperacin.

Beneficios de un programa BCM eficiente:

Ser capaz de entender a la empresa, de los procesos y ayudar a mejorarlos
Identificar los diversos eventos que podran impactar a la continuidad de las
operaciones y su impacto financiero, humano y de reputacin.
Prevenir o minimizar las prdidas para el negocio en caso de desastre.
Clasificar los activos para priorizar su proteccin en caso de desastre.
Evitar que los incidentes se conviertan en una verdadera crisis, ya que se
asegura una mnima interrupcin del flujo de trabajo.
Implicar a los recursos humanos de la compaa en las actividades de
continuidad.
Mejorar una reputacin corporativa y ventajas competitivas debido a la
demostrada capacidad de mantener la entrega de servicios.

Plan- Do- Check- Act (PDCA)

Es un modelo para la planificacin, establecimiento, implementacin, operacin,
supervisin, revisin y mantenimiento de la mejora continua de la eficacia de un
BCMS de la organizacin.
Las fases del modelo Planificacin- Implementacin- Verificacin- Mantenimiento
son:

51

Plan

(Establecer): Establecer la poltica, objetivos, controles, procesos y procedimientos

de continuidad de negocio con el fin de obtener resultados que se alinean con las
polticas generales y los objetivos de la organizacin.
Do (Implementar y Operar): Implementar y operar la poltica de la continuidad de
negocios, controles proceso y procedimientos.
Check (Monitorear y Revisar): Monitorear y evaluar el desempeo de la poltica de
continuidad de negocio y los objetivos, informando de los resultados a la gerencia
52

para su revisin, y determinar y autorizar las acciones de remediacin y

mejoramiento.
Act (Mantener y Mejorar): Mantener y mejorar los BCMS mediante la adopcin de
medidas correctivas, con base en los resultados de la revisin de la gestin y la
revalorizacin del alcance de las BCMS y la poltica y objetivo de continuidad de
negocio.

BIA (Business ImpactAnalysis)

BIA es el proceso que consiste en analizar las funciones del negocio y el efecto
que una interrupcin del negocio pudiera causar sobre ellas. De acuerdo al BCIes
el anlisis a nivel de gestin por el cual una organizacin evala los impactos
cuantitativos y cualitativos, los efectos y la prdida que podra resultar si se tuviera
que sufrir una emergencia, incidente o crisis. Los hallazgos de un BIA se utiliza
para tomar decisiones sobre la estrategia de Continuidad del Negocio y
soluciones.
Un BIA ayuda a identificar lo que se perder si el negocio se interrumpe, lo que
podra costar la prdida de beneficios e ingresos, el deterioro de las relaciones con
los clientes, prdida de reputacin. Tambin es un proceso clave para entender
cunto de una interrupcin cada proceso o tarea puede tolerar antes de que el
dao sea irremediable y de cuales recursos (personas, mquinas, documentos u
otros procesos) depende la empresa.
Los propsitos de un BIA para cada actividad, producto o servicio son:
Documentar los impactos en tiempo que se derivarn de su prdida o
interrupcin.
Identificar el Mximo Periodo Tolerable de Interrupcin (MTPD).
Identificar las dependenciastanto internas como externas que son necesarias
para que la actividad funcione de forma eficaz.
BIA es la base para la toma de decisiones y la planificacin estratgica de
recuperacin en la cual la estructura de gestin de la continuidad reside y es sin
duda uno de los resultados ms importantes y fundamentales del ciclo de vida de
la continuidad del negocio. Es a travs del BIA que las necesidades de la
organizacin en respuesta a un desastre pueden ser adecuadamente evaluadas y
priorizadas.

Business Continuity Plan (BCP)

53

El plan de continuidad de negocios es un conjunto de procedimientos

documentados e informacin que ha sido desarrollada, recopilada y mantenida a
disposicin para su uso durante un incidente, para permitir a la organizacin
continua con la entrega de sus actividades ms importantes y urgentes a un nivel
aceptable predefinido. El plan de continuidad de negocios se actualiza y mantiene
a travs del proceso de BCM que se defini anteriormente. Este reducir el
nmero y la magnitud de las decisiones que se toman durante un perodo en que
los errores pueden resultar mayores. El Plan establecer, organizar y
documentar los riesgos, responsabilidades, polticas y procedimientos, acuerdos
con entidades internas y externas.
Un claro ejemplo de la ausencia de un plan de continuidad de negocios es cuando
se malogra el disco duro de una computadora, en realidad no cuesta nada
repararlo, pero el dao y el impacto que puede causar es inmensurable si es que
no hay ningn plan de mitigacin ante su prdida (mitigacin podra ser alguna
forma de copia de seguridad, por ejemplo).
Como menciona Hotchkiss [2010, p. 26.]. Eventos13de pequeo impacto tambin
pueden causar dao en trminos de tiempo de reparacin, como en el ejemplo
antes mencionado, una pequea deficiencia puede causar un impacto bastante
limitado en negocio, pero puede llegar a costar un montn de dinero para reparar
debido a la falta de planificacin. Esto significa que se debe tener en cuenta el
impacto y el dao, as como el costo de recuperacin llegar a una idea razonable
del costo de no tener un plan de continuidad.
Los elementos claves de un BCP son:
Respuesta a la emergencia: Respuesta inmediata a una emergencia. Por
ejemplo un Plan de Evacuacin.
Gestin del Incidente: La gestin de Respuesta al incidente como por ejemplo un
Plan de Continuidad en Crisis.
Continuidad: La repuesta inicial del negocio para asegurar que las actividades
esenciales pueden continuar operando a un nivel mnimo aceptable.
Recuperacin: Un plan para recuperar actividades a un nivel sostenible.
Reanudacin: Un plan para reanudar las operaciones de la organizacin.
Un Plan de Continuidad de Negocio (BCP) est formado por los siguientes planes:
Plan de Emergencia, Plan de Comunicacin de Crisis, Plan de Gestin de Crisis y
Plan de Recuperacin de Desastres

DisasterRecovery Plan (DRP)

54

Es un proceso documentado o conjunto de procedimientos o acciones para

recuperar y proteger la infraestructura de TI de una organizacin en caso de un
desastre. Refirindose con desastre a todo evento sbito, imprevisto catastrfico
que interrumpe los procesos de negocio lo suficiente como para poner en peligro
la viabilidad de la organizacin .Un desastre podra ser el resultado de un dao
importante a una parte de las operaciones, la prdida total de una instalacin, o la
incapacidad de los empleados para acceder a esa instalacin. EL DRP es "una
declaracin exhaustiva de acciones coherentes que deben tomarse antes, durante
y despus de un desastre". [Geoffrey, 2012]
El Plan de Recuperacin de Desastres tiene como objetivo proporcionar un marco
para la reconstruccin de las operaciones vitales de la organizacin, para
garantizar la seguridad de los empleados y la reanudacin de las operaciones
sensibles a tiempo y los servicios en caso de una emergencia.
El DRP incluye la planeacin de pasos para evitar riesgos y mitigarlos, DRP es
aplicable en todos los aspectos de un negocio, sin embargo se utiliza normalmente
en el contexto de operaciones para el procesamiento de datos.
Beneficios de un Plan de Recuperacin ante un desastre:
Permite a la organizacin evitar riesgos de retrasos o mitigar el impacto de
estos al: minimizar potenciales perdidas econmicas y; decremento de la
exposicin a escenarios de desastre;
Reducir la probabilidad de que ocurran al mejorar la capacidad de recuperar las
operaciones normales del negocio.
Reducir las interrupciones de la operacin.
Provee un procedimiento pre- planificado minimizando el tiempo de toma de
decisiones en caso de desastre.
Elimina la confusin y reduce la probabilidad de error humano debido al estrs
que produce una crisis.
Protege los activos de la organizacin incluyendo al recurso humano.
Instituciones

BCI (Business ContinuityInstitute)

El BCI fue establecido en 1994 para permitir a los miembros obtener orientacin y
apoyo de los compaeros practicantes de continuidad del negocio.

55

El rol ms amplio de la BCI es promover los ms altos estndares de

competencia profesional y tica comercial en la provisin y mantenimiento de la
planificacin de la continuidad del negocio y Servicios.

Los objetivos principales del BCI consiste en:

Establecer, mantener y promover altos estndares para la prctica tica de
BCM, incluyendo entrega de bienes y servicios
Establecer y fomentar una educacin de calidad y el desarrollo personal de los
practicantes de todos los niveles
Para iniciar, desarrollar, evaluar y comunicar el pensamiento BCM, estndares y
buenas prcticas
Para influir en los responsables polticos, lderes de opinin y otros grupos de
inters en todo el mundo en el tema de BCM.

DRI International (Disaster Recovery Institute)

DRI International es una organizacin sin fines de lucro fundada en 1988 como el
Instituto de Recuperacin de Desastres para lograr que profesionales de diversas
industrias y sectores empresariales entiendan los principios de continuidad de
negocio y mantengan su nivel de conocimiento a travs de una educacin
continua.
DRI Internacional tiene como objetivo promover base de conocimiento para la
continuidad del negocio y la recuperacin de desastres. Esto lo logran a travs de
la educacin, la asistencia y la publicacin de la base de recursos estndar. Por
otro lado, administra los principales programas de certificacin para las personas
comprometidas en la prctica y gestin de continuidad de negocios.

Sus objetivos son:

o Promover una base comn de gestin de la continuidad de la profesin.
o Promover la credibilidad y la profesionalidad de las personas certificadas.
o Lograr que los certificados tengan claro el tema de recuperacin de
desastres.
NIST (National Institute of Standards and Technology)
El Instituto Nacional de Estndares y Tecnologa (NIST) es un organismo federal
no regulador que forma parte de la Administracin de Tecnologa del
56

Departamento de Comercio de los EE.UU. cuyos objetivos son elaborar y

promover patrones de medicin, normas y tecnologa. Tiene una relacin con la
continuidad de negocios ya que, en su publicacin 800-34 (ContingencyPlanning
Guide for InformationTechnology Systems) de su serie 800 [NIST, 2010], desarrolla
una gua de planes de contingencia de los sistemas de informacin de cualquier
empresa.

BSI (British StandardsInstitution)

Es una institucin independiente y global, la cual se basa en la creacin de
normas para lograr la estandarizacin de procesos, mejorar las prcticas de
gestin y promover la innovacin, proporciona soluciones basadas en estndares
en ms de 150 pases. Es un organismo colaborador de ISO y proveedor de
dichas normas.
BSI ayuda a las empresas, gobiernos y organizaciones de todo el mundo a
aumentar la calidad y el rendimiento de una forma sostenible y socialmente
responsable. BSI Group es reconocido a nivel mundial por la publicacin de BS
25999 y la certificacin como lder y proveedor de formacin en este campo. En la
actualidad, BSI apoya el despliegue de las nuevas Normas Internacionales de
Continuidad de Negocio - ISO 22301 e ISO 22313.
Entre sus actividades principales se incluyen:
Certificar sistemas de gestin y productos.
Desarrollar normas nacionales e internacionales.
Proporcionar formacin e informacin sobre normas y comercio internacional.
Realizar auditoras a las organizaciones.

ISO/IEC 22301:2012 Gua de Buenas Prcticas del BCI

I.

La ISO/IEC 22301 junto con la Gua de Buenas Prcticas del BCI provee
aspectos y requisitos que todo SGCN debe cumplir:
Definir Polticas de Continuidad de Negocio La Alta Direccin establece,
valida, aprueba y se compromete con la poltica del BCM, logrando hacer
referencia a los objetivos y al alcance (incluyendo limitaciones) del SGCN
dentro de la organizacin. Una vez establecida, es necesario que se
informe dichas polticas a todo el personal de la organizacin, para lograr
as llevar un control de ellas ante cambios relevantes cada cierto periodo de
tiempo.
57

 Aprovisionamiento de recursos Como primer paso, la Alta Direccin debe

establecer y asignar roles y responsabilidades, segn el conocimiento, al
personal competente para el BCM y as, proporcionar los recursos
necesarios para determinar, implementar, operar, monitorear, revisar y
mejorar el SGCN a realizar. Por otro lado, al iniciar este nuevo proyecto es
relevante y necesario elaborar un presupuesto base de los principales
recursos que requiere el SGCN y que refleje el financiamiento del proyecto;
conforme se vaya desarrollando el mismo, ser necesario adicionar
presupuestos relacionados a nuevas estrategias de recuperacin para el
proyecto a realizar.
La Alta Direccin debe lograr analizar el nivel de riesgo aceptable del
alcance del SGCN, comunicar a todo el personal y los stakeholders la
relevancia del mismo y lograr establecer sus polticas para realizar una
mejora continua.
Adems, debe elegir un responsable capacitado para el manejo de las
polticas y otros para el mantenimiento del SGCN independientemente del
rol que desempean actualmente, para ello es necesario establecer
revisiones peridicas del SGCN.
Concientizacin, Conocimiento y Preparacin La organizacin debe
asignar responsabilidades a todo el personal competente y capacitado para
realizar los roles previamente definidos en el SGCN, una vez establecidos
los responsables, se debe analizar si es necesario una previa preparacin y
entrenamiento al personal seleccionado para las diferentes tareas continuas
referentes al SGCN.
De ser necesario se proporciona entrenamiento y se documenta cualquier
preparacin o entrenamiento impartidos, que proveen habilidades, grados
de calificacin o experiencias ganadas y finalmente se analiza la efectividad
del entrenamiento realizado.

II.

Es necesario que la organizacin adopte una metodologa para la

identificacin, evaluacin, gestin y control de los riesgos existentes en los
procesos crticos del negocio, para que a travs de la identificacin previa
de las amenazas y vulnerabilidades de incidentes en los mismos, se logre
determinar las causas, las probabilidades y estimar el impacto de un
determinado incidente en la organizacin. La organizacin debe:
Identificar Amenazas
Identificar Vulnerabilidades
Estimar el impacto en la organizacin de cada amenaza identificada.
58

 Determinar los riesgos a partir de las amenazas y vulnerabilidades

identificadas.
Registrar los riesgos y documentar toda la informacin identificada.
Identificar los riesgos de procesos crticos y tratarlos de acuerdo al nivel
de aceptacin del riesgo que ha sido determinado previamente por la Alta
Gerencia.
Realizar el mantenimiento de los riesgos y controles de cambios
relevantes en los procesos crticos de la organizacin cada cierto tiempo.

III.

La organizacin debe definir a partir de sus actividades crticas los planes

de reanudacin de las mismas. Es importante que la organizacin logre:
Determinar un plan de reanudacin de las actividades crticas dentro del
tiempo objetivo de recuperacin (RTO), este debe ser menor que el MTPD y
se debe estimar los recursos necesarios para la reanudacin.
Establecer la relacin entre el personal involucrado en la recuperacin y
reanudacin (interno y externo).
Documentar la estructura escogida para respuesta a incidentes, teniendo
en cuenta el objetivo de punto de recuperacin (RPO) o la mxima prdida
de datos soportada por la organizacin.

IV.

La organizacin deber ser capaz de determinar equipos responsables de

comunicacin, gestin de Crisis y respuesta a incidentes en emergencia,
cuya funcin es controlar la situacin, activar planes y comunicarlo a Alta
Direccin e interesados.
Los equipos deben ser capaces de determinar el alcance del incidente y
responder efectivamente de acuerdo a las estrategias, planes y
procedimientos de Continuidad de Negocio.

V.

Los BCPs de la organizacin deben estar destinados a ser utilizados en

situaciones de alta presin cuando las personas estn bajo estrs de la
interrupcin o incidente.
Los BCPs previamente son validados por Alta Direccin, alineados con
cualquier acuerdo externo y entendidos por los equipos claves, para ello
deben ser directos, esto significa que deben proporcionar una direccin
clara, orientada y basada en el tiempo; adaptables para que as puedan
59

responder a una amplia gama de incidentes; conciso, con orientaciones,

informacin y herramientas que son susceptibles de ser utilizados por el
equipo en un incidente perturbador.
Finalmente, debe ser relevante, significa que debe estar vigente
(actualizado y con control de versiones de cambios relevantes) y aplicable y
accesible al equipo de responsables que lo va a utilizar.
VI.

Es necesario que la organizacin adopte la continuidad de negocio como

parte de sus polticas con una adecuada gestin, garantizando:
Conocimiento (Cultura Organizacional) de la relevancia y trascendencia
de las estrategias y planes de continuidad de negocio para lograr una
respuesta efectiva ante incidentes y desastres; y cumpliendo los objetivos
inicialmente trazados.
Concientizacin en la organizacin mediante las actualizaciones y gestin
de la informacin brindada al personal para tener resultados durante un
incidente.
Realizar capacitaciones y entrenamientos al personal, para desarrollar
capacidades, competencias y habilidades de respuesta ante incidentes o
interrupciones.
Definir tcnicas o mtodos para evaluar la efectividad y eficacia de las
capacitaciones y programas de entrenamiento impartidos al personal.

VII.

La organizacin debe determinar el alcance y objetivos de los ejercicios a

realiza y en base a ello:
Determinar escenarios especficos de acuerdo al alcance de los incidentes
que cubre el presente SGCN.
Establecer periodos de tiempo para la actualizacin de los programas de
ejercicios de acuerdo a un control de cambios.
Determinar activos para los ejercicios definidos que sirvan de respaldo.
Determinar el presupuesto para el programa de ejercicios.
Decidir sobre tipos adecuados de ejercicio de las reas a ser ejercidas
durante el perodo de planificacin.
Verifique la disponibilidad de personal y las instalaciones necesarias.

60

 Elaborar un programa de ejercicios escrito, con hallazgos, resultados y

retroalimentacin. Adems se debe considerar recomendaciones de
cambios o actualizaciones con fechas establecidas.
Presentar a la Alta Direccin para su aprobacin, si procede, e
Identificar cualquier requisito de capacitacin para los participantes de
ejercicios o planificadores e integrarse en el programa de ejercicios. La
organizacin debe garantizar la adecuada alineacin del programa de
ejercicios con sus objetivos estratgicos para lograr sus metas.

Bibliografa
Alberto, A. (2007). Diseo y Gestin de un Sistema de Gestin de. Colombia:
Alfa.
http://www.bsigroup.com/. (s.f.).
http://www.gestion.com.do. (s.f.). ISO 22301.
https://www.youtube.com. (s.f.).
Security, S. (s.f.). ISO 22301 . Business Continuity Management.
Sharp, J. (s.f.). The Route Map to Business Continuity management. United
Kingdom: British Standards Institute.
http://normaiso22301.com/los-7-mejores-consejos-para-implantar-lacontinuidad-del-negocio/
https://qsmexikoblog.wordpress.com/2012/06/06/iso22301/
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/123456789/5110/CASTRO
_LAURA_DISE
%C3%91O_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_NORMA_ISO_I
EC_22301.pdf?sequence=1
http://dexconsultores.blogspot.com/2013/06/ntc-iso-223012012-gestion-dela.html

61