Sie sind auf Seite 1von 27

Contents

4. Contexto de la organizacin:...........................................................................2
4.1 Entendimiento de la organizacin y su contexto:......................................2
4.2 Comprender las necesidades y expectativas de las partes interesadas....2
4.2.1 General................................................................................................ 2
4.2.2 Requerimientos legales y regulatorios.................................................2
4.3 Determinar el alcance del sistema de gestin de continuidad del negocio
BCMS............................................................................................................... 3
4.3.1 General................................................................................................ 3
4.3.2 Alcance del BCMS................................................................................ 3
4.4 Sistema de gestin de continuidad de negocios........................................3
5 Liderazgo......................................................................................................... 4
5.1 Liderazgo y compromiso............................................................................ 4
5.2 Compromiso de la direccin.......................................................................4
5.3 poltica....................................................................................................... 5
5.4 Roles de la organizacin, responsabilidades y autoridades.......................5
6. Planeacin....................................................................................................... 6
6.1 Acciones para direccin de riesgos y oportunidades.................................6
6.2 Objetivos de continuidad de negocio y los planes para alcanzarlos..........6
7. Soporte........................................................................................................... 7
7.1 Recursos.................................................................................................... 7
7.2 Competencia.............................................................................................. 7
7.3 Conciencia................................................................................................. 7
7.4 Comunicacin............................................................................................ 7
7.5 Documentacin de la Informacin.............................................................8
7.5.1 General................................................................................................ 8
7.5.2 Creacin y actualizacin......................................................................8
7.5.3 Control de informacin de la documentacin (documentacin de la
informacin)................................................................................................. 8
8. Operacin....................................................................................................... 9
8.1 Planificacin y control operacional.............................................................9
8.2 Anlisis de impacto al negocio y valoracin del riesgo..............................9

8.2.1 General................................................................................................ 9
8.2.2 Anlisis de Impacto al Negocio..........................................................10
8.2.3 Evaluacin de Riesgos.......................................................................10
8.3 Estrategia de Continuidad de Negocio.....................................................11
8.3.1 Determinacin y Seleccin................................................................11
8.3.2 Establecimiento de las necesidades de recursos...............................11
8.3.3 Proteccin y Mitigacin......................................................................12
8.4 Establecer y aplicar procedimientos de Continuidad del Negocio............12
8.4.1 General.............................................................................................. 12
8.4.2 Estructura de respuesta a Incidentes................................................12
8.4.3 Advertencia y Comunicacin.............................................................13
8.4.4 Planes de Continuidad de Negocio....................................................13
8.4.5 Recuperacin..................................................................................... 14
8.5 El ejercicio y Pruebas............................................................................... 14
9. Evaluacin del Desempeo...........................................................................15
9.1 Seguimiento, medicin, anlisis y evaluacin..........................................15
9.1.1 General.............................................................................................. 15
9.1.2 Evaluacin de Procedimientos de Continuidad de Negocio................16
9.2 Auditora Interna...................................................................................... 16
9.3 Revisin por la Direccin..........................................................................17
10. Mejoramiento.............................................................................................. 18
10.1 No conformidades y acciones correctivas (medidas correctivas)...........18
10.2 Mejoramiento Continuo..........................................................................19

4. Contexto de la organizacin:
4.1 Entendimiento de la organizacin y su contexto:
La organizacin deber determinar los problemas externos e internos que son
relevantes para su propsito y que afectan a su capacidad para alcanzar el
resultado (s) previsto (s) de su BCMS.
Estos problemas debern considerarse al establecer, implementar y mantener
el BCMS de la organizacin.
La organizacin deber identificar y documentar lo siguiente:
a) Las actividades de la organizacin, funciones, servicios, productos,
proveedores, cadena de suministro, relaciones con las partes
interesados, y el impacto potencial para un incidente disruptivo;
b) Vnculos entre la poltica de continuidad de negocio y los objetivos de la
organizacin y otras polticas, incluida su estrategia global para la
gestin del riesgo.; y
c) El apetito del riesgo de la organizacin.
En el establecimiento del contexto la organizacin deber
1) Articular sus objetivos, incluidos los relacionados con la continuidad de
negocio,
2) Definir los factores internos y externos que crean la incertidumbre que
da lugar al riesgo,
3) Criterios de riesgo establecidos, teniendo en cuenta el apetito de riesgo,
y
4) Definir el propsito del BCMS.

4.2 Comprender las necesidades y expectativas de las partes interesadas


4.2.1 General
Al establecer su BCMS, la organizacin deber determinar
a) Las partes interesadas que son relevantes para el BCMS, y
b) Los requerimientos de las partes interesadas (Es decir: sus necesidades
y expectativas se declaren, generalmente implcitas u obligatorias)
4.2.2 Requerimientos legales y regulatorios
La organizacin deber establecer, implementar y mantener un(os)
procedimiento(s) para identificar, tener acceso a, y evaluar los requerimientos
legales y regulatorios aplicables a la cual la organizacin se suscribe
relacionados con la continuidad de sus operaciones, productos y servicios, as
como los intereses de las partes interesadas.

La organizacin debe asegurarse de que estos sean aplicables tanto a


normativas legales,
regulatorios y otros requerimientos, a los que la
organizacin est subscrita y se tendrn en cuenta en el establecimiento,
implementacin y mantencin en su BCMS.
La organizacin deber documentar y mantenerla al da esta informacin. Las
nuevas o modificaciones de normativas legales, regulatorias y otros
requerimientos debern ser comunicadas a empleados y a las partes
interesadas afectados.
4.3 Determinar el alcance del sistema de gestin de continuidad del negocio
BCMS.
4.3.1 General
La organizacin deber determinar los lmites y aplicacin del BCMS para
establecer su alcance.
Cuando se determine este alcance, la organizacin deber considerar:
-

Los problemas internos y externos referidos dentro de 4.1, y


Los requerimientos referidos dentro de 4.2.

El alcance deber estar disponible como informacin documentada.


4.3.2 Alcance del BCMS
La organizacin deber
a) Establecer las partes de la organizacin que se incluirn en el BCMS,
b) Establecer los requerimientos del BCMS, considerando la misin de la
organizacin, metas, obligaciones internas y externas (incluidos las
relacionadas con las partes interesadas), y responsabilidades
regulatorias y legales,
c) Identificar productos y servicios y todas las actividades relacionadas
dentro del alcance del BCMS,
d) Tener en cuenta las necesidades e intereses de las partes interesadas,
tales como clientes, inversionistas, accionistas, la cadena de suministro,
necesidades de la comunidad y/o pblico (necesidades como entradas),
expectativas e intereses (segn corresponda), y
e) Determinar el alcance del BCMS en trminos de y adecuado para el
tamao, naturaleza y la complejidad de la organizacin.
Al definir el alcance, la organizacin deber documentar y explicar exclusiones;
Tales exclusiones no debern afectar a la capacidad y la responsabilidad de la
organizacin de asegurar la continuidad de los negocios y operaciones que
cumplen con los requerimientos BCMS.

4.4 Sistema de gestin de continuidad de negocios


La organizacin deber establecer, implementar y mejorar continuamente el
BCMS, incluyendo los procesos necesarios y sus interacciones, de acuerdo con
los requisitos de este estndar internacional.

5 Liderazgo
5.1 Liderazgo y compromiso
Las personas de la alta direccin y otras funciones de direccin
correspondientes en toda la organizacin deben demostrar su liderazgo con
respecto a la BCMS.
Ejemplo Este liderazgo y compromiso se puede mostrarse al motivar y
capacitar a las personas para contribuir a la eficacia del BCMS.
5.2 Compromiso de la direccin
La alta direccin debe demostrar su liderazgo y compromiso con respecto a la
BCMS para
- Garantizar que las polticas y los objetivos se establecen para el sistema de
gestin de la continuidad del negocio y son compatibles con la direccin
estratgica de la organizacin.
R:// HF 17
- Garantizar la integracin de los requisitos del sistema de gestin de
continuidad del negocio en los procesos de negocio de la organizacin.
R:// BIA, los procesos que no son crticos no son desarrollados y documentados,
solo se utiliza una minuta de reunin.
- Garantizar que los recursos necesarios para el sistema de gestin de la
continuidad del negocio estn disponibles.
A:// Presupuesto, proceso de solicitud
R:// Presupuesto, Budget anual para la continuidad de negocio, con la
mantencin
- Comunicar la importancia del sistema de gestin de la continuidad del
negocio que sea eficaz y que se ajuste a los requisitos BCMS.

A:// Correos o antecedentes de comunicacin, no es una prctica repetible para


la toma de conciencia del BCMS, instancias de comunicacin para concientizar,
compromiso con la alta direccin (correo de alta gerencia).
R:// Correos a los gestores responsables e involucrados con la continuidad de
negocio,
- Garantizar que el BCMS alcance lo(s) resultado(s) establecidos (s),
A:// Como demuestro el logro de los objetivos, la alta direccin se preocupe de
lograr los resultados, minuta donde se aborden temas de presupuesto y
necesidad de los recursos, acta.
R:// Acta y composicin del comit o en su defecto la minuta.

- Direccin y apoyo a las personas que contribuyen a la eficacia de la BCMS,


A: // Actas.
R: //
- Promover la mejora continua, y
- El apoyo a otras funciones de gestin relevantes para demostrar su liderazgo
y compromiso aplicado a su mbito de responsabilidad.
A:// Actas
R://
Nota 1: Referencia a los "negocios" en esta Norma Internacional est destinada
a ser interpretada ampliamente en el sentido de aquellas actividades que son
fundamentales para los fines de la existencia de la organizacin.
La alta direccin debe asegurarse de que las responsabilidades y autoridades
para las funciones relevantes sean asignadas y comunicadas dentro de la
organizacin por
- Definicin de los criterios para la aceptacin de riesgos y los niveles
aceptables de riesgo
A: // En que momento de realizo el nombramiento
R: // Organigrama, acta y correo informando la composicin
- Participar activamente en el ejercicio y las pruebas
A: // involucramiento de la alta direccin en las pruebas, levantar punto de
mejora en el involucramiento de alta gerencia
R: // No existe involucramiento de la alta gerencia
- Asegurar que las auditoras internas de las BCMS se llevan a cabo
A: // Carta de inicio de la auditoria interna de cortesa, reforzar comunicacin e
involucramiento de la alta gerencia, debido a que:
R: //Carta de inicio de la auditoria interna, no se demuestra un mbito tctico
sino ms bien operativo,

- La realizacin de revisiones por la direccin del BCMS


A: // Revisin de las pruebas y apoyado por la alta direccin, rendir cuentas,
revisin de resultados, se identifica que es a nivel genrico.
R: // Hay una rendicin a la alta gerencia, existe una a nivel general, resumen
del cuaderno BIA, pruebas a realizar
- Demostrando su compromiso con la mejora contina
A: // Deteccin de problemas de acuerdo a la revisin, puntos de auditoria
solicitadas en etapas anteriores, planificacin de auditoras tempranas en ao
en curso para mostrar sus resultados a la alta direccin.// se recomienda que
la auditoria se realice luego de la ejecucin del programa para poder incluir las
observaciones en el informe y presentarlos en el comit.
R:// -Nota 2 Estas personas pueden contener otras responsabilidades dentro de la
organizacin
La alta direccin deber asegurar que las responsabilidades y autoridades para
las funciones relevantes son asignados y comunicadas dentro de la
organizacin para
- Definir los criterios de la aceptacin de riesgos y los niveles aceptables de
riesgo
A: // Acta donde haya participado la alta direccin
R: //
- Participacin activa en ejercicios y pruebas,
- Revisin por parte de la direccin de del BCMS, y
- Demostrando su compromiso con la mejora continua.
5.3 Poltica
La alta direccin debe establecer una poltica de continuidad de negocio que
a) Este adecuada al propsito de la organizacin
b) Proporciona un marco para el establecimiento de objetivos
continuidad del negocio
c) Incluye un compromiso de cumplir con los requisitos aplicables.
d) Incluye un compromiso de mejora continua de los BCMS
La poltica del BCMS deber
-

Estar disponible como informacin documentada

de

Ser comunicadas dentro de la organizacin


R: // disponible pero no comunicada dentro del portal, HF 17 prrafo IV
Estar disponible para las partes interesadas, segn proceda
Ser revisado para su continua adecuacin a intervalos definidos cuando
se produzcan cambios significativos
A:// Cumple revisar HF 17

La organizacin deber mantener la informacin documentada acerca de la


poltica de continuidad de negocio.
5.4 Roles de la organizacin, responsabilidades y autoridades
La alta direccin debe asegurarse que la responsabilidad y autoridad para las
funciones relevantes en materia de continuidad se asignan y se comunican a
toda la organizacin.
La alta direccin debe asignar la responsabilidad y autoridad para
a) Velar por que el sistema de gestin se ajusta a los requisitos de esta
norma internacional
A: // Ultimo GAP anlisis 2010
b) Informar a la alta direccin sobre el desempeo del BCMS.
R: // Comit de continuidad de negocio y comit de gestin de crisis (no
existe el documento)
6. Planeacin
6.1 Acciones para gestin de riesgos y oportunidades
Cuando se planifique el BCMS, la organizacin deber considerar los problemas
mencionados en el 4.1 y los requerimientos mencionados en el punto 4.2
respectivamente y determinar los riesgos y oportunidades que deben ser
abordados para:
a) Garantizar que el sistema de gestin pueda alcanzar los resultados
deseados.
b) Prevenir, o reducir, los efectos no deseados,
c) Asegurar la mejora continua
La organizacin deber planificar
a) Acciones para abordar estos riesgos y oportunidades
b) Como se
1) integrar e implementaran las acciones en el proceso de BCMS (ver
8.1)
2) Evaluar la efectividad de sus acciones (ver 9.1)

A : //Conjunto de actividades que prevengan en tiempo y forma al impacto de


algunos eventos para tratarlos, se recomienda introducir la gestin de riesgo
en las actividades de continuidad de negocio
R: //Carta Gantt, indicadores para el cumplimiento de hitos para el seguimiento
del plan, indicadores de desempeo.
6.2 Objetivos de continuidad de negocio y los planes para alcanzarlos
La alta direccin deber asegurar que los objetivos de la continuidad de
negocio son establecidos y comunicados para las funciones y niveles
relevantes dentro de la organizacin.
Los objetivos de la continuidad de negocio debern:
a) Ser consistentes dentro de los objetivos de la poltica de continuidad de
negocio.
b) Tener en cuenta el mnimo nivel de los productos y servicios que resulte
aceptable para la organizacin para alcanzar sus objetivos.
c) Ser medibles.
d) Tener en consideracin los requerimientos aplicables, y
e) Estar monitoreadas y actualizadas segn corresponda.
A: // cuantos planes de continuidad estn en orden, probados, de calidad, se
desprenden las mtricas. Alineado con los escenarios de riesgo.
E: // No tienen todos los indicadores de gestin, solo los de cumplimiento. Se
recomienda generar indicadores de desempeo de gestin (BCPs %).
La organizacin conservar informacin documentada sobre los objetivos de
continuidad del negocio.
Para alcanzar sus objetivos de continuidad del negocio, la organizacin deber
determinar
-

Quien ser el responsable.


R: // Claudio Saavedra
Lo que se har.
R :// politica
Que recursos sern requeridos.
R: // budget
Cuando ser completada, y
Cuando sern evaluacin los resultados.
R: //

7. Soporte
7.1 Recursos
La organizacin deber determinar y proveer los recursos necesarios para el
establecimiento, la implementacin, el mantenimiento y la mejora continua del
BCMS.
A: // Budget anual, facturas y actividades de administracin para la BC
R: //CECO por departamento, CECO riesgo operacional y continuidad de
negocio, Budget y facturas con los tems relacionados con continuidad de
negocio

7.2 Competencia
La organizacin deber:
a) Determinar las competencias necesarias de la(s) persona(s) que
trabaja(n) bajo su control, que afectan su desempeo,
A: // Prueba de su empleo, facturas por los cursos, Certificados,
Descripcin de perfil del cargo
R: // Definicin de cargo para la gente de continuidad, evidencia y/o
procedimiento de seleccin del cargo.
b) Asegurarse de que estas personas sean competentes basndose en que
cuenten con una educacin apropiada, entrenamiento y experiencia.
A: // Procedimiento de seleccin de cargo
R:// Evidencia del procedimiento
Ej: Un ingeniero de continuidad debera tener tal perfil.
c) Segn corresponda, adopte medidas para adquirir competencias
necesarias, y evalue la efectividad de las acciones tomadas. Y
A:// Formacin, cursos internos, registro de asistencia
R:// Certificados y cursos, registro de asistencia
d) Conservar la informacin documentada apropiada como evidencia de
competencia.
A: // Respaldo de los certificados
R: // Evidencia
Nota: Las acciones aplicables pueden incluir, por ejemplo: La provisin de
entrenamiento (Suministro de capacitacin) para, la tutora, o la reasignacin
de empleados contratados; o la subcontratacin o contratacin de personas
competentes.

7.3 Conciencia
Las personas que realizan trabajo en virtud del control de la organizacin
debern estar conscientes de
a) La poltica de continuidad del negocio.
A: // Poltica de continuidad de negocio y como se informa
R: //Comunicado de las polticas de continuidad de negocio
b) Su contribucin a la eficacia del BCMS, incluyendo los beneficios de un
mejor desempeo para la gestin de la continuidad del negocio.
A: // Aporte del ing. Continuidad de negocio/obs: formalizar el proceso de
concientizacin y documentar la induccin de continuidad
R: //induccin de continuidad del negocio
c) Las implicaciones de no conformidad con los requerimientos del BCMS, y
A: // Sanciones debido a implicancias por no cumplimiento, evidencia de
la toma de conciencia
R: // Firma de documento de tica y reglamento interno que indique
referencia a las sanciones por no cumplimiento, hoja con la firma de
toma de conocimiento
d) Su rol durante un incidente disruptivo.
A: // Evidencia del rol durante los incidentes, instructivos
R: // instructivos ante incidentes
7.4 Comunicacin
La organizacin debe determinar la necesidad de comunicaciones internas y
externas pertinentes para el BCMS incluidos
a) Acerca de lo que se comunicar
A: //Plan de gestin de crisis, este incluye los protocolos de
comunicacin, plan de gestin de crisis, OBS/ generar un plan de gestin
de crisis.
R: // Minuta, comit de gestin de crisis
b) Cuando comunicarse
A: // protocolos de gestin de crisis (Tiempo de paz)
c) Con quien comunicarse
A: // protocolos de gestin de crisis (Tiempo de guerra)
La organizacin deber
procedimientos para
-

establecer,

implementar,

mantener

los

Comunicacin interna entre las partes interesadas y los empleados


dentro de la organizacin.
A: //Lista de contactos EJ la ONEMI, Plan de sucesin (quien reemplaza),
evidencia de la comunicacin
R: // plan de sucesin o de back UP
Comunicacin externa con clientes, entidades asociadas, comunidad
local, y otras partes interesadas incluyendo los medios de comunicacin
(prensa).
A: // Lista de contactos por ej ABIF, chilectra, agua andinas, transbank

R: //
Recepcin, documentacin, y respuesta a la comunicacin de las partes
interesadas.
A: // Protocolos de comunicacin
R: // BCP
Adaptacin e integracin a un sistema nacional o regional de
asesoramiento de amenazas, o equivalente, dentro de la planificacin y
uso operativo, si es apropiado
A: // Programa o comisin de seguridad,
R: // Mail y comunicaciones de la ABIF
Garantizar la disponibilidad de los recursos de comunicacin durante un
incidente disruptivo.
A: // Enumerar los recursos, capacidad de uso de medio sustituto, plan
de gestin de crisis y plan de continuidad del negocio
B: // Medios sustitutos de comunicacin
Facilitar una comunicacin estructurada con las autoridades apropiadas
y garantizar la interoperabilidad de mltiples organizaciones y personal
de respuesta, cuando sea apropiado, y
A: // Necesidad de comunicacin y medios estructurados de
comunicacin, plan de gestin de crisis, evidencia de la comunicacin
estructurada
R: // plan de gestin de crisis, evidencia de la comunicacin estructurada
Funcionamiento y pruebas de las capacidades de las comunicaciones
destinadas para su uso durante la interrupcin de las comunicaciones
normales.
A: // Plan de gestin de crisis
R:// Plan de gestin de crisis

Nota: Se especifican ms requisitos para la comunicacin en respuesta a un


incidente en punto 8.4.3
7.5 Documentacin de la Informacin
7.5.1 General
El BCMS de la organizacin deber incluir
-

Informacin documentada requerida por esta norma internacional, e


Informacin documentada determinada por la organizacin como
necesaria para la efectividad del BCMS.
A: // Metodologa y soporte de documento ms funcionamiento
R: // Metodologa

Nota: La extensin de la informacin documentada para un BCMS puede diferir


de una organizacin a otra debido a
-

El tamao de la organizacin y sus actividades, procesos, productos y


servicios
La complejidad de los procesos y sus interacciones, y

Las competencias del personal

7.5.2 Creacin y actualizacin


Cuando cree y/o actualice la documentacin, la organizacin deber garantizar
apropiadamente
a) Identificacin y descripcin (Por ej. Un ttulo, fecha, autor o nmero de
referencia),
b) Formato (Por Ej. Lenguaje, versin del software, grficos) y medios (Por
Ej. Papel, electrnico), revisin y aprobacin de idoneidad y adecuacin.
A: // Evidencia, procedimiento, OBS la organizacin no garantiza la
identificacin y creacin de la documentacin
R: // Procedimiento de la creacin y actualizacin de documento
7.5.3 Control de informacin de la documentacin (documentacin de la
informacin)
La documentacin requerida por el BCMS y por la norma internacional se debe
controlar para garantizar
a) Estar disponible y adecuada para su uso, donde y cuando sea requerida,
A: // Procedimiento para el tratamiento de la documentacin, Print
screen del portal
R: // Procedimiento para el tratamiento de la documentacin, Print
screen del portal
b) Estar
protegida
adecuadamente
(Es
decir:
De
prdida
de
confidencialidad, uso inapropiado, o de prdida de integridad).
A: // Procedimiento de proteccin y control de la informacin de la
documentacin
R: // Procedimiento de proteccin y control de la informacin de la
documentacin
Para el control de la documentacin, la organizacin dirigir las siguientes
actividades, segn corresponda
-

Distribucin, acceso, recuperacin y uso.


Almacenamiento y preservacin, incluida la conservacin para facilitar la
lectura.
Control de cambios (Por Ej. Control de versiones)
Retencin y disposicin
Recuperacin y uso
Preservacin de la legibilidad (es decir, lo suficientemente clara para
leer), y
Prevencin del uso accidental de informacin obsoleta.

A: // Procedimiento de proteccin y control de la informacin de la


documentacin
R: // Procedimiento de proteccin y control de la informacin de la
documentacin

La documentacin determinada de origen externo por la organizacin deber


ser identificada, de ser necesaria para la planificacin y operacin del BCMS, y
controlada segn sea el caso.
Al establecer el control de la documentacin, la organizacin deber garantizar
que existe una proteccin adecuada para la documentacin de la informacin
(Por Ej. Proteccin frente a posibles riesgos, modificaciones o borrado no
autorizadas.)
Nota: El acceso implica una decisin sobre el permiso para ver la
documentacin, permiso y /o autorizacin para ver o cambiar la informacin
del documento, etc.
8. Operacin
8.1 Planificacin y control operacional
La organizacin deber planificar, implementar y controlar los procesos
necesarios para cumplir con los requerimientos, e implementar las acciones
determinadas en el punto 6.1, para
a) Establecer los criterios para los procesos
b) Implementar el control de los procesos segn los criterios, y
c) Mantener la informacin documentada en la medida que resulte
necesario para mantener la confianza de que los procesos se llevarn a
cabo segn lo planificado.
La organizacin deber controlar los cambios planificados y revisar las
consecuencias de los cambios no deseados, para tomar accin y mitigar
cualquiera de los efectos adversos segn sea necesario.
La organizacin deber asegurar el control de los procesos externalizados.
A: //Administracin (ejemplo del auto y la lnea de produccin), Gantt,
procedimientos para la implementacin, reporte e indicadores de proceso que
indique como vamos, escenarios de riesgos.
Recomendacin: Generar los registros y documentos relacionados a este punto,
ya que no existen procedimientos respectivos para el control de los posibles
retrasos y riesgos.
Incluir los escenarios de riesgos en el Gantt.
R: //Gantt, reporte e indicadores de proceso, apetito del riesgo, escenarios de
riesgos

8.2 Anlisis de impacto al negocio y valoracin del riesgo


8.2.1 General
La organizacin debe establecer, implementar y mantener un proceso formal y
documentado para el anlisis de impacto en el negocio y la evaluacin de los
riesgos que
a) Establezca el marco de la evaluacin, defina criterios y evale el impacto
potencial de un incidente perturbador,
b) Considere los requisitos legales y de otro tipo que la organizacin se
suscriba,
c) Incluya un anlisis sistemtico, la priorizacin de los tratamientos de
riesgo, y el costo relacionado,
d) Define la salida necesaria desde el anlisis del impacto empresarial y
evaluacin de riesgos, y
e) Especifica los requisitos para que esta informacin se mantenga
actualizada y confidencial.
Nota: Existen varias metodologas para el anlisis de impacto en el negocio y la
evaluacin del riesgo que determinarn el orden en que stas se llevarn a
cabo.
A: //Metodologa, proceso de anlisis
R: //Metodologa.
8.2.2 Anlisis de Impacto al Negocio
La organizacin deber establecer, implementar y mantener un proceso de
evaluacin formal y documentado para determinar las prioridades, objetivos y
metas de continuidad y recuperacin. Este proceso deber incluir la valoracin
de los impactos de disrupciones de las actividades que apoyan los productos y
servicios de la organizacin.
El anlisis del impacto al negocio deber incluir lo siguiente:
a) La identificacin de las actividades que apoyan la provisin de productos
y servicios.
b) La evaluacin de los impactos en el tiempo de no realizar estas
actividades.
c) Establecer los plazos priorizados para reanudar las actividades a un nivel
mnimo aceptable, tomando en consideracin el tiempo en el que los
impactos de no reanudarlos se convertiran en inaceptables.
d) La identificacin de las dependencias y recursos de apoyo para estas
actividades, incluyendo proveedores, externalizar socios y otras partes
interesadas pertinentes.
A: // BIA (RTO)

R: //BIA
8.2.3 Evaluacin de Riesgos
La organizacin debe establecer, implementar y mantener un proceso formal y
documentado de evaluacin de riesgos que identifique de forma sistemtica,
analice y evale el riesgo de incidentes perturbadores a la organizacin.
Nota: Este proceso podra hacerse de acuerdo con la norma ISO 31000.
La organizacin deber:
a) Identificar el riesgo ante la interrupcin de las actividades prioritarias de
la organizacin y los procesos, sistemas, informacin, personas, bienes,
socios externos y otros recursos que los apoyan.
b) Analizar sistemticamente riesgos.
c) Evaluar el tratamiento que los riesgos relacionados tienen con la
interrupcin.
d) Identificar los tratamientos acordes con los objetivos de continuidad de
negocio y de conformidad con el apetito del riesgo de la organizacin.
Nota: La organizacin debe estar consciente de que ciertas obligaciones
financieras o gubernamentales requieren la comunicacin de estos riesgos a
diferentes niveles de detalle. Adems, ciertas necesidades sociales tambin
pueden justificar el intercambio de esta informacin en un nivel de detalle
apropiado.
A: //Metdologia de gestin de riesgo
R: // Metdologia de gestin de riesgo
8.3 Estrategia de Continuidad de Negocio
8.3.1 Determinacin y Seleccin
La determinacin y seleccin de la estrategia se basarn en los resultados de
los anlisis de impacto en el negocio y la evaluacin de riesgos.
La organizacin deber determinar una estrategia de continuidad de negocio
apropiada para:
a) La proteccin de las actividades priorizadas.
b) La estabilizacin, continuidad, reanudacin y recuperacin de las
actividades priorizadas, sus dependencias y recursos de apoyo.
c) La mitigacin, respuesta y gestin de impactos.
La determinacin de la estrategia deber incluir la aprobacin de los plazos de
tiempo priorizados para la reanudacin de las actividades.
La organizacin deber realizar evaluaciones de las capacidades de los
proveedores sobre la continuidad de negocio.

A: // BCP, charlas o minutos donde se revise el anlisis de las estrategias por


proceso, tiempos que mejor respuesta dan en momentos de contingencia
R: // BCP, charlas o minutos donde se revise el anlisis de las estrategias por
proceso
8.3.2 Establecimiento de las necesidades de recursos
La organizacin deber determinar los recursos necesarios para implementar
las estrategias seleccionadas. Los tipos de recursos considerados pueden
incluir, pero no se limitan a los siguientes ejemplos:
a)
b)
c)
d)
e)
f)
g)
h)

Personas.
Informacin y datos.
Los edificios, ambiente de trabajo y servicios asociados.
Instalaciones, equipos y consumibles.
Informacin y tecnologa de la comunicacin (TIC) sistemas.
Transporte.
Finanzas.
Socios y Proveedores.

A: //Presupuesto, disponibilidad de recursos, determinar los recursos necesarios


para implementar las estrategias seleccionadas. Los tipos de recursos
considerados pueden incluir
Recomendaciones: se recomienda que la organizacin coordinar con el ara de
finanzas con el rea de recursos, recomendar tal y como sale la clausulade la
norma.
R: //presupuesto y disponibilidad de recursos.
8.3.3 Proteccin y Mitigacin
Para el riesgo detectado que requiere tratamiento, la organizacin estudiar
medidas adecuadas que:
a) Reduzcan la probabilidad de interrupcin.
b) Reduzca el periodo de interrupcin.
c) Limiten el impacto de la interrupcin de los productos y servicios clave
de la organizacin.
La organizacin debe elegir y aplicar tratamientos de riesgo adecuadas, de
conformidad con su apetito por el riesgo.
A: //Metodologas con previa evaluacin de mitigacin,
Recomendacciones: Documentar
R: //

8.4 Establecer y aplicar procedimientos de Continuidad del Negocio


8.4.1 General
La organizacin deber documentar los procedimientos (incluidos los acuerdos
necesarios) para garantizar la continuidad de las actividades y la gestin de un
incidente disruptivo.
Los procedimientos debern
a) Establecer un protocolo de comunicacin interna y externa adecuado,
b) Ser especfico respecto a las medidas inmediatas que deben tomarse
durante una interrupcin,
c) Ser flexible a las condiciones internas y externas para responder las
amenazas inesperadas y cambiantes.
d) Centrarse en el impacto de los eventos que podran interrumpir las
operaciones,
e) Ser desarrollado sobre la base de supuestos establecidos y el anlisis de
las interdependencias, y
f) Ser eficaz en la reduccin de las consecuencias a travs de la
implementacin de estrategias de mitigacin apropiadas.
A: // 4 BCP, escenarios, probabilidades de fallas en el escenario.
R: // 3 planes (1 de cada uno con los diferentes niveles de criticidad),
proceso seleccin Vendor,
8.4.2 Estructura de respuesta a Incidentes
La organizacin deber establecer, documentar y poner en prctica los
procedimientos y una estructura de gestin para responder a un incidente
disruptivo utilizando personal con la responsabilidad necesaria, la autoridad y
competencia para manejar un incidente.
La estructura de respuesta deber
a) Identificar los umbrales de impacto que justifiquen la iniciacin de la
respuesta formal,
b) Evaluar la naturaleza y el alcance de un incidente disruptivo y su
potencial impacto,
c) Activar una respuesta adecuada de continuidad de negocio,
d) Tener procesos y procedimientos para la activacin, el funcionamiento, la
coordinacin y la comunicacin de la respuesta,
e) Disponer de recursos para apoyar los procesos y procedimientos para
manejar un incidente disruptivo Con el propsito de minimizar el
impacto, y
f) Comunicarse con las partes interesadas y las autoridades, as como los
medios de comunicacin.

La organizacin debe decidir, tomando como primera prioridad el cuidado de la


vida humana la seguridad de vida como la primera prioridad y en consulta con
las partes interesadas pertinentes, si comunica o no externamente informacin
acerca de sus riesgos e impactos significativos y documentar su decisin. Si la
decisin es comunicarla entonces la organizacin debe establecer e
implementar procedimientos para realizar esta comunicacin externa, alertas y
advertencias, incluyendo los medios de comunicacin, segn corresponda.
A: //junta con directivas y anlisis GAP, cierto umbral
R: //BCP
8.4.3 Advertencia y Comunicacin
La organizacin deber establecer, implementar y mantener procedimientos
para
a) La deteccin de un incidente
b) El seguimiento regular de un incidente,
c) La comunicacin interna dentro de la organizacin y recibir, documentar
y responder a las comunicaciones de las partes interesadas,
d) Recibir, documentar y responder a cualquier sistema nacional o regional
de asesoramiento de riesgos o equivalente,
e) Asegurar la disponibilidad de los medios de comunicacin durante un
incidente disruptivo,
f) Facilitar la comunicacin estructurada con los servicios de emergencia
g) El registro de la informacin vital sobre el incidente, las medidas
adoptadas y las decisiones tomadas, y el seguimiento. Tambin ser
considerado y aplicado cuando proceda:
-

Alertar a las partes interesadas potencialmente afectadas por un


incidente disruptivo real o inminente;
Garantizar la interoperabilidad de mltiples organizaciones y personal
de respuesta a incidentes;
Operacin de una instalacin de comunicaciones.

Los procedimientos de comunicacin y de alerta se ejercitarn peridicamente.


A:// Registros de incidentes
R: // Registros de incidentes
8.4.4 Planes de Continuidad de Negocio
La organizacin deber establecer procedimientos documentados para
responder a un incidente disruptivo y cmo va a continuar o recuperar sus
actividades dentro de un plazo predeterminado. Tales procedimientos debern
abordar los requisitos de los que van a utilizarlos.
Los planes de continuidad de negocio debern contener en conjunto

a) Las funciones y responsabilidades definidas para las personas y equipos


que tienen autoridad durante y despus de un incidente,
b) Un proceso para la activacin de la respuesta,
c) Detalles para gestionar las consecuencias inmediatas de un incidente
disruptivo teniendo debidamente en cuenta
1) El bienestar de los individuos,
2) Opciones estratgicas, tcticas y operativas para responder a la
interrupcin, y
3) Prevencin de las prdidas o indisponibilidad de las actividades
prioritarias;
d) Detalles sobre cmo y en qu circunstancias la organizacin se
comunicar con los empleados y sus familiares, las principales partes
interesadas y contactos de emergencia,
e) Cmo la organizacin va a continuar o recuperar sus actividades
priorizadas dentro de plazos predeterminados,
f) Los detalles de respuesta de los medios de la organizacin despus de
un incidente, incluyendo
1) Una estrategia de comunicacin,
2) Interfaz preferente con los medios de comunicacin,
3) Gua o plantilla para la redaccin de una declaracin para los medios
de comunicacin, y
4) Voceros apropiados;
g) Un proceso de cese una vez que el incidente ha terminado.
Cada plan deber definir
-

Propsito y alcance
Objetivos
Criterios y procedimientos de activacin
Los procedimientos de ejecucin
Los roles, responsabilidades y autoridades,
Requisitos y procedimientos de comunicacin
Interdependencias e interacciones internas y externas,
Las necesidades de recursos, y
Procesos de flujo y documentacin de la informacin.

A: // Plan de comunicacin con poltica de Salud ocupacional.


Recomendacin: Gua o plantilla para la redaccin de una declaracin para los
medios de comunicacin, y
R: //
8.4.5 Recuperacin
La organizacin debe tener procedimientos documentados para restaurar y
volver las actividades de negocio desde las medidas temporales adoptadas
para apoyar los requerimientos de negocio normales despus de un incidente.
A: //Plan de retorno.

Recomendacin: Desarrollo de un plan de retorno, DRP.


R: // Plan de Retorno.
8.5 El ejercicio y Pruebas
La organizacin debe ejercer y poner a prueba sus procedimientos de
continuidad de negocio para asegurar que sean compatibles dichos objetivos.
La organizacin debe realizar ejercicios y pruebas que:
a) Sean compatibles con el alcance y los objetivos del BCMS,
b) Se basen en escenarios apropiados que estn bien planificados, con
metas y objetivos claramente definidos,
c) Tomados en conjuntos, prueben la totalidad de los acuerdos de
continuidad de negocio, involucrando a las partes pertinentes,
d) Reducir al mnimo el riesgo de interrupcin de las operaciones,
e) Formalizar informes post-ejercicio que contienen los resultados,
recomendaciones y acciones para implementar mejoras,
f) Sean revisados con el contexto de la promocin de la mejora continua.
g) Sean conducidos y planificados a intervalos y cuando hay cambios
significativos dentro de la organizacin o para el medio ambiente.

A: // Planes de pruebas
R: //
9. Evaluacin del Desempeo.
9.1 Seguimiento, medicin, anlisis y evaluacin.
9.1.1 General.
La organizacin deber determinar
a) Lo que necesita ser monitoreado y medido.
b) Los mtodos de seguimiento, medicin, anlisis y evaluacin, segn
corresponda, para asegurar resultados vlidos.
c) Cuando sern llevados a cabo el seguimiento y medicin.
d) Cuando sern evaluados y analizados los resultados del seguimiento y
medicin.
La organizacin conservar apropiadamente la documentacin como evidencia
de los resultados.
La organizacin debe evaluar el desempeo y la eficacia del BCMS.
Adems, la organizacin deber:

Tomar medidas cuando sea necesario para hacer frente a las tendencias
adversas o resultados antes de que ocurra una no conformidad,
Retener informacin documentada pertinente como prueba de los
resultados.

Los procedimientos para la supervisin del rendimiento debern prever:


-

El ajuste de parmetros de rendimiento adecuado a las necesidades de la


organizacin,
Seguimiento de la medida en que se cumplan las polticas de continuidad
de negocio, objetivos y metas de la organizacin,
Rendimiento de los procesos, procedimientos y funciones que protegen sus
actividades priorizadas,
Control del cumplimiento de esta Norma Internacional y los objetivos de
continuidad de negocio,
Seguimiento histrico de la evidencia del desempeo deficiente de BCMS.
resguardar los datos y resultados de seguimiento, y medicin para facilitar
las acciones correctivas tomadas.

Nota: Rendimiento deficiente podra incluir la no conformidad, por escaso


margen, falsas alarmas, y los incidentes ocurridos.
A:// mtricas para monitorear y controlar monitorear el BCMS
Recomendacin: la organizacin debe determina cmo controlar, medir y con
qu frecuencia, se recomienda utilizar tableros para registrar y notificar las
actividades de medicin y supervisin con indicadores de rendimiento.
R: // KRI
9.1.2 Evaluacin de Procedimientos de Continuidad de Negocio.
a) La organizacin debe llevar a cabo evaluaciones de sus procedimientos y
capacidades de continuidad de negocio con el fin de asegurar su
conveniencia, adecuacin y eficacia.
b) Estas evaluaciones se llevarn a cabo a travs de revisiones peridicas,
el ejercicio, las pruebas, los informes post-incidente y evaluaciones de
desempeo. Cambios significativos que surjan, se reflejarn en el
procedimiento (s) de una manera oportuna.
c) La organizacin debe evaluar peridicamente el cumplimiento de los
requisitos legales aplicables y reglamentarios, las mejores prcticas de
la industria, y de conformidad con su propia poltica y objetivos de la
continuidad del negocio.
d) La organizacin debe llevar a cabo evaluaciones a intervalos planificados
y cuando se produzcan cambios significativos.
Cuando se produce un incidente disruptivo y da lugar a la activacin de sus
procedimientos de continuidad de negocio, la organizacin llevar a cabo una
revisin posterior al incidente y debe registrar los resultados.

A: //Informe post- incidentes, Procedimiento del mismo


R: //informe post-incidentes.
9.2 Auditora Interna
La organizacin debe realizar auditoras internas a intervalos planificados para
proporcionar informacin sobre si el sistema de gestin de la continuidad del
negocio.
a) Cumple con:
- Requisitos propios de la organizacin para su BCMS.
- Los requisitos de esta norma internacional.
b) Se ha implementado y mantiene de manera eficaz.
La organizacin deber:
-

Planificar, establecer, implementar y mantener un programa de auditora,


incluyendo la frecuencia, los mtodos, las responsabilidades, los requisitos
de planificacin y presentacin de informes. El programa de auditora debe
tener en cuenta la importancia de los procesos en cuestin y los resultados
de auditoras previas.
Definir los criterios de auditora y las posibilidades de cada auditora.
Seleccione los auditores y las auditoras de conducta para asegurar la
objetividad e imparcialidad del proceso de auditora.
Asegrese de que los resultados de las auditoras se reportan a la gerencia
correspondiente.
Mantener informacin documentada como evidencia de la ejecucin del
programa de auditora y los resultados de la auditora.

El programa de auditora, incluyendo su planificacin, se basar en los


resultados de las evaluaciones de riesgos de las actividades de la organizacin,
as como los resultados de auditoras previas. Los procedimientos de auditora
deben cubrir el alcance, frecuencia, metodologas y competencias, as como las
responsabilidades y los requisitos para llevar a cabo auditoras e informar de
los resultados.
La direccin responsable del rea que est siendo auditada debe asegurarse de
que las correcciones necesarias y las acciones correctivas que se tomen sin
demora injustificada para eliminar las no conformidades detectados y sus
causas. Las actividades de seguimiento deben incluir la verificacin de las
acciones tomadas y el informe de resultados de la verificacin.
A: // Procedimiento de auditora
Las diferencias entre las Auditoras Internas y Externas
Rol de la Funcin de la Auditoria Interna
Independencia, objetividad e imparcialidad
Planificacin de las actividades de auditoria
La gestin y la asignacin de recursos

Actividades de seguimiento de no conformidades


R: // Proceso de auditora, carta de inicio, punto de no conformidades
9.3 Revisin por la Direccin
La alta direccin debe revisar BCMS de la organizacin, a intervalos
planificados, para asegurarse de su conveniencia, adecuacin y eficacia.
La revisin por la direccin debe incluir la consideracin de:
a) El estado de las acciones de las revisiones por la direccin previas.
b) Los cambios en los problemas externos e internos que son relevantes
para el sistema de gestin de la continuidad del negocio.
c) La informacin sobre el rendimiento de la continuidad del negocio,
incluyendo las tendencias en
1) No conformidades y acciones correctivas.
2) Seguimiento y medicin de resultados de la evaluacin.
3) resultados de las auditoras.
d) Las oportunidades de mejora contina.
La revisin de la gestin debern considerar el desempeo de la organizacin,
incluyendo:
- Las acciones de seguimiento de revisiones por la direccin previas,
- La necesidad de cambios en el BCMS, incluyendo la poltica y los objetivos,
- Oportunidades de mejora,
- Los resultados de las auditoras BCMS y los comentarios, incluyendo los de los
proveedores y socios en su caso clave.
- Tcnicas, productos o procedimientos, que podran ser utilizados en la
organizacin para mejorar el rendimiento y la eficacia BCMS.
- Estado de las acciones correctivas.
- Resultados del ejercicio y la medicin.
- Riesgos o cuestiones que no se aborden adecuadamente en cualquier
evaluacin del riesgo conocido.
- Cualquier cambio que podran afectar el BCMS, ya sean internos o externos a
la alcance de la BCMS.
- Adecuacin de la poltica.
- Recomendaciones para la mejora.
- Lecciones aprendidas y acciones derivadas de incidentes disruptivos.

- las buenas prcticas emergentes y orientacin.


Las salidas de la revisin por la direccin deben incluir las decisiones
relacionadas con las oportunidades de mejora continua y la posible necesidad
de cambios en el BCMS, e incluyen los siguientes:
a) Las variaciones en el alcance de la BCMS.
b) Mejoramiento de la eficacia de la BCMS.
c) Actualizacin de la evaluacin de riesgos, anlisis de impacto en el negocio,
planes de continuidad de negocio y procedimientos relacionados.
d) Modificacin de los procedimientos y controles para responder a eventos
internos o externos que pueden impactar en la BCMS, incluyendo cambios
a:
1) Las empresas y las requerimientos operacionales.
2) Reduccin de riesgos y requisitos de seguridad.
3) Las condiciones y los procesos operativos.
4) los requisitos legales y reglamentarios.
5) Las obligaciones contractuales
6) Los niveles de riesgo y / o criterios para la aceptacin del riesgo.
7) Recursos necesarios.
8) La financiacin y las necesidades presupuestarias.
e) Cmo se mide la eficacia de los controles.
La organizacin conservar la informacin documentada como evidencia de los
resultados de las revisiones por la direccin.
La organizacin debe:
-

Comunicar los resultados del examen de la gestin de las partes


interesadas pertinentes.
Tomar las medidas necesarias en relacin con esos resultados.

A: //
R: // Panel de control auditoria
10. Mejoramiento
10.1 No conformidades y acciones correctivas (medidas correctivas)
Cuando ocurre una inconformidad, la organizacin deber
a) Identificar la inconformidad
b) Reaccin para la inconformidad, y, segn sea el caso
1) Tomar medidas para controlar y corregir, y
2) Tratar las consecuencias
c) Evaluar la necesidad de acciones para eliminar las causas de la
inconformidad, con el fin de que no se produzca u ocurra en otros
lugares, por una

1) Revisin de inconformidad
2) Determinando las causas de la inconformidad, y
3) Determinando si existen no conformidades similares, o que puedan
producirse
4) Evaluar la necesidad de acciones correctivas para asegurar que las
no conformidades no vuelvan a ocurrir o se presentan en otras partes
5) Determinar e implementar acciones correctivas necesarias,
6) Revisar la efectividad de alunas acciones correctiva tomadas y
7) Realizar cambios en el sistema de gestin de continuidad de negocio,
si es necesario.
Las acciones correctivas debern ser apropiadas para los efectos de las no
conformidades detectadas.
A organizacin deber mantener documentada como evidencia de
-

La naturaleza de las no conformidades


posteriormente tomada, y
Los resultados de cualquier accin correctiva.

cualquier

medida

A: // Proceso para el tratamiento de no conformidades y resolucin de


problemas
R: //
10.2 Mejoramiento Continuo
La organizacin deber mejorar continuamente, la eficacia y adecuacin del
BCMS.
Nota: La organizacin deber usar el proceso para el BCMS como la direccin,
planeacin y evaluacin del desempeo, para conseguir las mejoras.