M

A
N
U
A
L
D
E
B
U
E
N
A
S
P
R

C
T
I
C
A
S
2
0
0
7
3
Agradecimientos
La Asociacin Espaola para el Fomento de la Seguridad de la Informacin ISMS Forum Spain quiere
agradecer pblicamente al BCI (Business Continuity Institute), y a su presidenta y representante en
Espaa, D Joanne Gagnon, por haber cortsmente cedido los derechos de traduccin y edicin en
castellano de la presente Obra a ISMS ForumSpain. Ms informacin acerca del BCI se puede consultar
a travs de su pgina oficial www.thebci.org
La traduccin y edicin de este Manual en castellano no habra sido posible sin el patrocinio de
Hewlett-Packard Espaola, cuyo director de la Prctica de Seguridad y Continuidad de Negocio, D.
Luis J. Buezo, CISSP, socio cofundador de ISMS Forum Spain, ha apoyado todas las actividades
desarrolladas por la Asociacin Espaola para el Fomento de la Seguridad de la Informacin desde su
fundacin, lo cual queremos agradecer expresamente.
ISMS Forum Spain quiere agradecer asimismo a D. Csar Peacoba, SBCI, Gerente del rea de
Gobierno de la Seguridad de Hewlett-Packard, su valiosa contribucin como revisor y editor tcnico
especializado del texto traducido al castellano de esta Obra.
M
A
N
U
A
L
D
E
B
U
E
N
A
S
P
R

C
T
I
C
A
S
2
0
0
7
4
La Asociacin Espaola para el Fomento de la Seguridad de la Informacin
ISMS Forum Spain es una asociacin sin nimo de lucro, creada en enero de 2007, para el Fomento de
la Seguridad de la Informacin en Espaa. Adems, ISMS Forum Spain es el Captulo Espaol de ISMS
International User Group (IUG), organizacin que promueve el conocimiento e implementacin de los
Sistemas de Gestin de la Seguridad de la Informacin en todo el mundo, de acuerdo con los
estndares ISO27000.
La finalidad de ISMS ForumSpain es promover el desarrollo, conocimiento y cultura de la Seguridad de
la Informacin en Espaa y actuar en beneficio de toda la comunidad implicada en el sector. Se
constituye como foro especializado de debate para que todas las empresas; organismos pblicos y
privados; investigadores y profesionales colaboren, intercambien experiencias y conozcan los
ltimos avances y desarrollos en el mbito de los SGSI. Todo ello desde la transparencia, la
objetividad y la neutralidad.
ISMS Forum Spain nace respaldada por algunas de las ms representativas empresas y organizaciones
comprometidas con la seguridad de la informacin. Los socios fundadores ejercen su labor en muy
diversos mbitos que van desde la enseanza superior y la I+D hasta la Consultora, pasando por los
sectores de Banca, Certificacin, Seguros, Construccin, Servicios Jurdicos o Telecomunicaciones.
No obstante, la asociacin se ha creado con una vocacin plural y abierta; que quiere representar a
todos los sectores implicados. Por ello invita a todos los profesionales, empresas e instituciones
involucrados en la gestin de la seguridad de la informacin a asociarse.
En su primer ao de actividad, ISMS Forum Spain tiene ya a sesenta y cinco empresas asociadas y
cuenta con ms de 400 profesionales miembros, ya sea a travs de sus empresas o por iniciativa
individual. LaAsociacin para el Fomento de la Seguridad de la Informacin es ya, por tanto, la mayor
red activa espaola de expertos en SGSI.
Entre los principales objetivos de ISMS ForumSpain destacan:
- Dar visibilidad a un sector estratgico para el desarrollo econmico, como es la Seguridad de la
Informacin, y difundir el talento de los profesionales que trabajan en l.
- Situar a las empresas y organizaciones espaolas a la vanguardia de conocimientos e
implementacin de SGSI.
- Ser interlocutores en Espaa de las diversas asociaciones y foros internacionales y cooperar con
instituciones pblicas y privadas, nacionales e internacionales, para impulsar la cultura de la Gestin
de la Seguridad de la Informacin.
Forum Spai n
ASOCIACIN ESPAOLA PARA EL FOMENTO
DE LA SEGURIDAD DE LA INFORMACIN
www.ismsforum.es
ISMS Forum Spain, Asociacin Espaola para el Fomento de la Seguridad de la Informacin
Federico Salmn, 13. 28016 Madrid. Telfono +34 91 343 76 10 // Fax +34 91 343 78 78 // info@ismsforum.es
Inscrita en el Registro Nacional de Asociaciones Grupo I, Seccin I, Nmero Nacional 588718
M
A
N
U
A
L
D
E
B
U
E
N
A
S
P
R

C
T
I
C
A
S
2
0
0
7
5
El pasado mes de julio ISMS ForumSpain y el captulo espaol de The Business Continuity Institute, BCI
Spain, llegaron a un acuerdo que prev una estrecha colaboracin entre ambas instituciones, cuyos
objetivos y metas son claramente afines y podran resumirse, aunque de una forma muy simplificada,
en la promocin y difusin de los distintos aspectos de la Seguridad de la Informacin y la Continuidad
de Negocio.
Como primera materializacin prctica de este convenio de colaboracin, ISMS Forum Spain ha
traducido y editado por primera vez en castellano el Manual de Buenas Prcticas del Business
Continuity Institute (BCI). El manual ya se haba traducido al alemn y al italiano, y nos pareca
importante gestionar esta versin en castellano, sin duda una de las lenguas ms utilizadas en el
mbito mundial. Estamos convencidos de que esta completa y actualizada gua para instaurar Buenas
Prcticas Globales en Gestin de Continuidad de Negocio ser de gran utilidad para todos nuestros
asociados, a quienes daremos acceso restringido durante un periodo inicial de tres meses. Pero
tambin lo ser para todos aqullos profesionales del rea de Continuidad de Negocio que trabajan
en los numerosos pases de habla hispana, para quienes la haremos accesible pasado este plazo
inicial.
El gran valor aadido del Manual de Buenas Prcticas es que se inspira en la experiencia real y
contrastada de los propios miembros del BCI, expertos que practican la Gestin de Continuidad de
Negocio en su quehacer profesional diario. Si algo promueve ISMS Forum Spain es precisamente el
intercambio de experiencias y conocimientos entre los especialistas del sector; y sin duda esta obra
es un claro ejemplo del traspaso de conocimientos y que los profesionales de la
Continuidad de Negocio ponen a disposicin de la comunidad global, de forma que todo tipo de
organizaciones, independientemente de su tamao, sector o ubicacin, podrn aprender y aplicar
sus directrices.
Con esta entrega editorial ISMS Forum Spain contina con una de las lneas de trabajo que considera
de mayor utilidad para todos sus asociados: la publicacin de informes y manuales que constituyan
herramientas prcticas y actualizadas de trabajo para los profesionales y contribuyan as, de manera
directa, a impulsar el conocimiento y la implementacin de los Sistemas de Gestin de la Seguridad
de la Informacin en nuestro pas.
know-how
Gianluca D'Antonio
Presidente de ISMS Forum Spain
Noviembre de 2007
A
C
E
R
C
A
D
E
E
S
T
A
G
U

A
6
ACERCADE ESTAGUA
Introduccin
Objetivo
Audiencia
El Business Continuity Institute (BCI) public su primer Manual de Buenas Prcticas en 2002. Esto tuvo
una influencia significativa en el desarrollo del Publicly Available Specification for Business
Continuity Management (Especificaciones Pblicamente Disponibles para la Gestin de Continuidad
de Negocio, PAS 56) de la British Standards Institution (BSI). En 2005 se public una nueva edicin del
Manual de Buenas Prcticas con importantes modificaciones que reflejaban los conceptos ms
recientes en Gestin de Continuidad de Negocio (GCN) en el mundo y que destacaban la creciente
madurez en la prctica de GCN en todos los sectores, tanto en las empresas pblicas como en las
privadas.
Esta gua para la puesta en prctica de la GCN se ha elaborado para apoyar el lanzamiento del BS
25999-1 A Code of Practice for Business Continuity Management (Cdigo de Buenas Prcticas para la
Gestin de Continuidad de Negocio) de la British Standards Institution. Puede considerarse una gua
para la puesta en prctica de BS25999, adems de un texto definitivo para aquellos que deseen
entender los principios y prcticas de la GCNde una forma ms integral.
Existe una relacin cercana entre la estructura de este Manual y el BS 25999-1 porque la gua del BCI
siempre ha sido un componente clave para las iniciativas de la BSI en lo que se refiere a la Gestin de
Continuidad de Negocio. Est prevista una nueva revisin del Manual en cuanto se publique el BS
25999-2 debido a que este estndar definir el marco de gestin y los elementos que sern de
cumplimiento obligatorio.
No obstante, en su calidad de instituto global, el BCI tiene que reflejar las buenas prcticas en todo el
mundo. El BS25999 ofrece una visin integral acerca del tema, pero existen otros estndares en vigor
que muchos de los profesionales que son miembros del BCI necesitan entender. Por ello, la edicin
2007 del Manual tambin est diseada para tener en cuenta los requisitos de NFPA1600 (Estados
Unidos y Canad) HB221 (Australia), APS 232 (Australia) y FSA(Reino Unido).
A pesar de ello, en ningn caso debe considerarse que este Manual reemplaza aquellos estndares o
garantiza su cumplimiento.
Este documento pretende ofrecer una visin general y una gua acerca de las buenas prcticas en lo
que se refiere al ciclo de vida de la Gestin de Continuidad de Negocio (GCN), desde el
reconocimiento inicial de la necesidad de desarrollar el programa, hasta el mantenimiento constante
de un proceso maduro de Continuidad de Negocio.
Se pretende que los organismos que marcan los estndares definan los requerimientos de un
programa de GCN. En aquellos casos en el que el Cdigo de Prcticas requiera un proceso, este Manual
ofrece ms detalles acerca de cmo abordar ese proceso. No obstante, al tratarse de una gua de
procedimientos, en algunos casos el Manual identifica pasos adicionales que son necesarios realizar
para cumplir con los requisitos de cualquier estndar.
El Manual de Buenas Prcticas se inspira en las experiencias acadmicas, tcnicas y empricas de los
miembros del Business Continuity Institute es decir, personas que practican la GCN y que han
desarrollado y dado forma a las directrices en el mundo real.
Los principios de estas directrices son aplicables a todas las organizaciones sin importar el tamao,
sector y ubicacin - tanto para las que cuentan con una sola sede como las que tienen presencia
global.
Por lo tanto se pretende que estas normas sean utilizadas por aquellos que practican la GCN, gestores
de riesgo, auditores y legisladores con conocimiento prctico de los principios de GCN. No es una gua
para debutantes. Aquellos que se inicien a la disciplina deberan trabajar en colaboracin de alguien
ya experimentado en las prcticas o asistir a los programas de formacin que existen acerca del
tema.
A
C
E
R
C
A
D
E
E
S
T
A
G
U

A
7
Agradecimientos
Ian Charters (FBCI) es el principal autor del Manual de Buenas Prcticas del BCI
John Robinson (FBCI) aport informacin adicional acerca de los estndares globales e indicadores
clave de la GCN
Lyndon Bird (FBCI) revis y edit el Manual
Este Manual est basado en la edicin del mismo de 2005, al que contribuyeron las personas que
aparecen en la lista siguiente.
Anne Wright (MBCI) Howard Booth (MBCI)
Ian Griffiths (MBCI) Helen Sweet (ABCI)
Richard Ecclestone (SBCI) John Worthington (MBCI)
Martin Lippiett (MBCI) Mel Gosling (MBCI)
James Coates (MBCI) Mark Mahoney (MBCI)
Michael Bland (MBCI) David Bennett (MBCI)
JimBarrow(MBCI) Elaine Weston (MBCI)
Julia Graham(FBCI) Colin Ive (MBCI)
Michael Bews (MBCI) Adrian Jolly
Jane Naylor Richard Bridgeford (MBCI)
Andy Tomkinson (MBCI) Angela Hobley (MBCI)
Jo Welland Nathan Bird (MBCI)
Jeanette O'Neil (MBCI) Ian Charters (FBCI)
Business Continuity Institute agradece el tiempo y la asesora ofrecida de forma voluntaria por todas
las personas arriba mencionadas para el desarrollo del Manual de Buenas Prcticas en beneficio del
BCI y el sector dedicado a Gestin de Continuidad de Negocio. Los que han contribuido al Manual han
donado de forma gratuita sus derechos de autor y propiedad intelectual al Business Continuity
Institute para que el instituto pueda garantizar que las directrices se mantengan actualizadas y
completas.
E
S
T
R
U
C
T
U
R
A
D
E
E
S
T
A
G
U

A
8
Estructura de esta gua
Habilidades profesionales para la GCN
La gua est dividida en seis captulos, que se corresponden con las versiones anteriores y tambin
con la nomenclatura BS25999.
El captulo 1 ofrece informacin preliminar adems de Poltica y Gestin de Programa de GCN
El cptulo 2 es: Comprender la organizacin
El cptulo 3 es: Determinar la estrategia de GCN
El cptulo 4 es: Desarrollar y poner en prctica la respuesta de GCN
El cptulo 5 es: Probar, mantener y revisar los preparativos de GCN
El cptulo 6 es: Incorporar la GCNen la cultura de la organizacin
Al final de cada captulo se encuentra un resumen de los Indicadores clave de GCN que servirn de
base para el uso futuro de la herramienta para establecer criterios de referencia del BCI, la
plataforma educativa electrnica del BCI y los exmenes de admisin del BCI. Estos indicadores son
recomendaciones que generalmente aparecen en la mayora de los estndares relacionados con la
GCNy con los que este Manual se adecua de forma total o parcial.
Para aquellas personas que quieran convertirse en miembros profesionales del BCI, existen 10 reas
de competencia que han sido definidas de forma conjunta por el BCI y el Disaster Recovery Institute
International (DRII). Como apndice al Captulo 6, se ofrece un mapa de habilidades que muestra la
relacin de habilidades/competencias para los requisitos de conocimientos del GPG.

N
D
I
C
E
10
Captulo 5 Probar, mantener y revisar los preparativos de GCN
Captulo 6 Incorporar la GCNen la cultura de la organizacin
CONTENIDO
CONTENIDO
COMPONENTES DE LAETAPA5
Probar, mantener y revisar los preparativos de GCN Principios generales
Programa de Pruebas
Probar los preparativos de GCN
Mantener los preparativos de GCN
Revisar los preparativos de GCN
INDICADORES CLAVE DE GCN
COMPONENTES DE LAETAPA6
Incorporar la GCNen la cultura de la organizacin - Principios generales
Evaluar el nivel de concienciacin y formacin en GCN
Desarrollar la GCNdentro de la cultura de la organizacin
Supervisar el cambio cultural
Apndice Mapa de habilidades profesionales
INDICADORES CLAVE DE GCN
87
88
89
91
94
96
99
102
103
104
107
110
112
114
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
1
2

3

4

5

6
c
a
p
11
CONSIDERACIONES GENERALES
Qu es la Gestin de Continuidad de Negocio?
En defensa de la Gestin de Continuidad de Negocio
La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles
impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer
de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y
dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.
La GCN tiene que ser asimilada y totalmente integrada en la organizacin como uno ms entre sus
procesos de gestin.
La GCN aspira a mejorar la capacidad de recuperacin de una organizacin. Al identificar por
adelantado los posibles impactos de una amplia gama de incidencias que trastornaran de forma
sbita el xito de la organizacin, establece prioridades para los esfuerzos de los especialistas en
implantar robustez en sus respectivas reas de especializacin, como seguridad, instalaciones y
tecnologas de la informacin.
Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centra
particularmente en desarrollar una capacidad de recuperacin que sea conjunta para toda la
organizacin y le permita sobrevivir a la prdida total o parcial de su capacidad operativa. Tambin
debera enfocarse en soportar prdidas significativas de recursos, como personal o maquinaria.
Debido a que la capacidad de resistencia de la GCN de una organizacin depende de su equipo de
gestin y su personal, adems de su tecnologa y la diversificacin geogrfica, se debe desarrollar
esta capacidad de recuperacin a todos los niveles de la organizacin, desde la alta direccin hasta el
taller, y en todos los dems integrantes de la cadena de valor.
El factor determinante de esta robustez en toda la organizacin se sustenta en la responsabilidad de
la alta direccin de proteger los intereses a largo plazo del personal, clientes y todos aquellos que
dependen de algn modo de la organizacin. Si bien se pueden calcular las prdidas financieras
ocasionadas por una interrupcin, generalmente el mayor dao suele reflejarse en una prdida de
imagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente bien
gestionado puede mejorar la imagen de la organizacin y su equipo de gestin.
No nos pasar, Aguantaremos, como siempre lo hemos hecho, Somos demasiado grandes para
fracasar y No somos un objetivo para los terroristas son algunas de las respuestas ms frecuentes
que dan las empresas cuando se les cuestiona acerca de su falta de preparacin. Otros creen que las
empresas de seguros van a pagar por todo. La mayora piensa que no dispone de tiempo para
prepararse para algo que nunca suceder. El gran nmero de negocios que se han hundido despus de
sufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas.
Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicacin, el
90% de las incidencias que ponen en riesgo el negocio son "catstrofes silenciosas" que no figuran en
los medios pero que pueden tener un efecto devastador para el buen funcionamiento de una
organizacin. Muchas de las causas son ajenas al control de la organizacin y suelen estar a merced de
los servicios de emergencias o de proveedores que marcan los plazos de la interrupcin.
Ala hora de gestionar cualquier acontecimiento, el xito se mide tanto por la respuesta tcnica dada
como por la competencia de su equipo gestor. Una investigacin efectuada por Rory Knight y Deborah
Pretty, de la firma Oxford Metrica, indica que las organizaciones que se ven afectadas por catstrofes
se dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuando
una organizacin ha lidiado una crisis con xito el valor de sus acciones ha crecido en el largo plazo,
mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio de
sus ttulos y, pasado un ao, seguan sin recuperarse.
Investigaciones ms recientes demuestran que aquellas organizaciones que destinan un mayor
presupuesto a control de riesgos, GCN y buen gobierno son las empresas ms rentables en su sector, lo
que indica que la GCNes una inversin, no un coste.
Un elemento clave para el xito de los programas de GCN es que las distintas responsabilidades se
asuman a los niveles apropiados de la organizacin. En estas empresas las implicaciones de la GCN se
evalan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del proceso
de control del cambio.
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
12
1
2

3

4

5

6
c
a
p
Cmo beneficiar a mi organizacin?
Relacin con otras especialidades
El objetivo principal de la GCNes asegurar que la organizacin tiene una respuesta para los trastornos
importantes que pondran en riesgo su supervivencia. Esto de por s es suficientemente valioso, pero
adems incorporar la GCNen la gestin diaria puede aportar otras ventajas.
Ya sea por sus estatutos o por ley, algunas organizaciones tienen que incorporar la GCN o, de forma
ms genrica, la "gestin de riesgos", como parte de sus obligaciones de buen gobierno corporativo.
Un plan apropiado de GCN cumplir con las obligaciones especficas y adems constituir una
respuesta tanto a posibles incidentes especficos como a la creacin de una "conciencia de riesgos"
para la organizacin en su conjunto. No obstante la motivacin principal para instaurar la GCN no
debe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta en
marcha agrega valor a una organizacin y a los productos y servicios que ofrece.
. Nigel Turnbull, Presidente de Turnbull Committee acerca del buen gobierno
corporativo en Reino Unido.
Las empresas que venden a otras empresas han recurrido a la GCNcomo una ventaja competitiva para
lograr nuevos clientes y mejorar sus mrgenes al incorporarla a su poltica de atencin al cliente. Un
repaso exhaustivo de las actividades a travs de los ejercicios de Evaluacin y Planificacin de
Impacto al Negocio puede poner en relieve las ineficiencias y destacar prioridades que de otra forma
no hubieran nunca salido a la luz.
Las empresas que ofrecen productos o servicios saben que conservar a un cliente mediante un
servicio ms confiable es ms barato que tratar de recuperar a los "desertores" despus de una
interrupcin del negocio.
El espritu de equipo que se crea durante la buena gestin de un incidente puede mejorar el resultado
de un negocio mucho despus de que el problema se haya solucionado.
. (Extrado de un discurso de Eliza Manningham-Buller,
Directora General de MI5, en la Conferencia UK CBI, Noviembre 2004).
Determinar cules son las responsabilidades de la Gestin de Continuidad de Negocio dentro de una
organizacin concreta tendr mucho que ver con la persona que se nombrar para estar a cargo as
como de su experiencia previa en la materia. Esto puede significar que un responsable de Continuidad
de Negocio puede considerar que la seguridad, la disponibilidad de TI o la gestin de riesgos
constituyen las cuestiones clave, mientras restar importancia a otras reas. Por esta razn es
extremadamente difcil llegar a un acuerdo en cuanto a la lista general de responsabilidades
especficas para la Gestin de Continuidad de Negocio. En concreto existen muchos debates acerca
de su relacin con la Gestin de Riesgos.
Este Manual considera que, si bien se trata de facetas complementarias, los enfoques y mtodos
empleados en Continuidad de Negocio son muy diferentes de los dedicados a Gestin de Riesgos. La
tabla siguiente trata de destacar las diferencias entre ambos.
Para muchas empresas, la GCN tendr en cuenta algunosriesgos clave y les ayudar a cumplir con
sus obligaciones"
Muchas veces me preguntan cul es el consejo ms til que puedo ofrecer en el mundo de los
negocios. La respuesta es un sencillo y efectivo plan de continuidad de negocio que est
continuamente actualizado y probado
13
Tabla: Comparacin entre Gestin de Riesgos y Gestin de Continuidad de Negocio
Intensidad
Alcance
Mtodo clave
Gestin de riesgos
Parmetros
clave
Tipo de
incidente
Magnitud del
incidente
Gestin de continuidad
de negocio
Anlisis de riesgo
Anlisis de impacto sobre
el negocio
Impacto y Tiempo Impacto y Probabilidad
Acontecimientos causantes de
trastornos serios para el negocio
Todo tipo de eventualidades
generalmente segmentadas
Para la planificacin estratgica:
slo los incidentes que afectan a la
supervivencia del negocio
Toda magnitud (coste) de los
acontecimientos.
Generalmente segmentados
Acontecimientos sbitos o de
rpida evolucin (aunque es
posible que la respuesta tambin
resulte apropiada si un incidente
persistente se transforma en severo)
Todas, desde graduales
hasta sbitos
Se enfoca sobre todo en gestin de
incidentes en su mayor parte externos
a los aspectos fundamentales
de negocio
Se enfoca primordialmente
en la gestin de riesgos para
los objetivos del negocio
principal
La visin que se presenta en este Manual pretende presentar la caractersticas esenciales de la
Gestin de Continuidad de Negocio al mismo tiempo que entiende que los que las apliquen de forma
concreta muchas veces tendrn, ya sea por sentido comn o por rdenes recibidas, que ampliar su
papel debido a la situacin que desempeen en la organizacin para la que trabajan.
Ya se ha abordado la relacin entre el Manual de Buenas Prcticas 2007, BS 25999-1 y otros estndares
de GCN.
Otros estndares que contienen elementos de GCNson:
PAS 77 sobre Continuidad de Servicio deTI
ISO 27002 (Antes ISO 17799) Aunque primordialmente se trate de un estndar relativo a la
seguridad de la informacin, contiene aspectos de Continuidad de Negocio que deben ser atendidos
para implantar correctamente ISO27001.
ITIL este estndar se ocupa de disciplinas de Gestin de Servicio, como Riesgos y Seguridad,
Cambios, Problemas, Configuracin, Capacidad y Disponibilidad. No obstante existe un vnculo entre
la Continuidad de Servicio deTI de ITIL(Recuperacin de Desastres) y la Continuidad de Negocio.
Legislacin de Proteccin de Datos
Legislacin garante de la libertad de informacin
Normas sanitarias
Reglas y directrices como las previstas en la ley Sarbanes-Oxley de Estados Unidos y el acuerdo
internacional bancario Basilea II, influyen sobre GCN al ser obligatorias e imponer parmetros para la
continuidad de servicios.
Cada organizacin es diferente. Se gestiona de formas diferentes, tiene una presencia geogrfica
diferente y adems evoluciona con el paso del tiempo. Por eso es imposible hacer recomendaciones
especficas acerca de las soluciones que conviene adoptar.
Relacin con otras directrices y estndares
CMOUTILIZARESTE MANUAL
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
14
Por lo tanto, este Manual pretende dar una idea general de un proceso y recomendar mtodos, con la
creencia de que se llegar a la solucin adecuada si se siguen los pasos correctos.
Puede existir un caso en el que el proceso descrito necesite modificarse para cumplir con ciertas
necesidades especficas de la organizacin, por lo que cada organizacin necesita evaluar cmo
aplicar las directrices a su propia estructura. Tiene que asegurarse, que su capacidad y competencia
para la GCN son apropiadas para la naturaleza, tamao y complejidad de su negocio y adems es un
reflejo de su propia cultura y del entorno en el que opera.
La definicin de "buena" prctica implica que existe una prctica "mejor". Sin embargo, al contrario
de lo que sucede con otros estndares, tiene que encontrarse la solucin "apropiada" para cada
organizacin. Si la solucin se queda corta existe un riesgo de que fracase toda la estrategia, pero si
se excede se malgasta tiempo o dinero que podran ser empleados en otras necesidades. Por
desgracia es difcil determinar con exactitud esta estrategia ideal "apropiada", pero las directrices
deberan ofrecer un enfoque sistemtico para identificarla.
El anlisis de la respuesta que han tenido las organizaciones con respecto a las incidencias que
afectan a la Continuidad de Negocio demuestra que aquellas que los han solucionado mejor han
integrado las soluciones al conjunto de la organizacin. En la prctica esto significa que la capacidad
de gestin de incidencias por parte de la alta direccin se apoyaba en una logstica de Continuidad de
Negocio, adems de un soporte tcnico para retomar la actividad.
Por esta razn el Manual se centra en el papel fundamental del responsable de la GCN y asume que el
especialista en otras reas (TI, seguridad, RH y desarrollo de negocio) estar disponible para
aconsejar en la puesta en marcha de estas dems facetas.
En primer lugar el Manual se ocupa de las cuestiones de Poltica de GCN y su gestin que definen el
contexto y alcance del Programa, luego sigue el Ciclo de Vida de la Gestin de Continuidad de
Negocio; desde la Gestin de programa hasta la Comprensin de la organizacin. Despus sigue los
elementos del ciclo de vida de forma lgica y finaliza con el carcter permanente de un programa de
GCN"Insertar la GCNen la cultura de la organizacin".
Alo largo del Manual se hace referencia a las secciones importantes de BS 25999-1, pero no existe una
correspondencia directa entre las secciones.
El manual muestra cmo tericamente las etapas encajan entre s; en la prctica el que lo lleve a
cabo no seguir necesariamente esta progresin de forma estricta. Por ejemplo un ejercicio basado
en escenario puede resultar conveniente para "vender" el proyecto en sus comienzos y se pueden
escribir planes para dotar a la organizacin de cierta capacidad de gestin de incidentes antes de que
se hayan investigado los requisitos para el reinicio de actividades. No obstante los progresos deben
medirse siempre con respecto al ciclo de vida completo y la organizacin en su conjunto.
Cada paso contiene:
Alcance del Manual
Diseo del Manual
Estructura del contenido del Manual
Fases de las directrices Preguntas que responden
Introduccin
Detalle de los componentes
Indicadores clave de GCN
Contenidos descritos ms adelante
Qu es lo ms importante que hay que saber?
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
15
Diagrama y glosario
Al contrario de otras versiones anteriores del Manual, estas directrices utilizan el diagrama
esquemtico y el glosario de BS25999-1. Para obtener copias oficiales de stos hay que recurrir a la
documentacin estndar oficial de Bs25999.
Figura: El ciclo de vida de GCNBS 25999-1
1 2 3 4 5 6
cap
1 2 3 4 5 6
cap
Componentes de las directrices
Preguntas que responden
Introduccin
Pasos previos
Propsito
Conceptos y suposiciones
Proceso
Mtodos y Tcnicas
Resultados
Revisin
Qu se tiene que haber hecho antes de llegar
a esta etapa?
Por qu necesitamos hacerlo? Qu conseguir?
Qu necesitamos comprender?
Qu damos por supuesto?
Qu tenemos que hacer?
Qu herramientas necesitamos para lograrlo?
Qu debera producir?
Cuando debera realizarse?
La estructura y formato de cada componente sigue un esquema comn:
1
2

3

4

5

6
c
a
p
Desarrollar
e implantar
una respuesta
de GCN
Determinar
las opciones
de GCN
Comprender
la organizacin
I
n
s
e
r
t
a
r
l
a
G
C
N
e
n
l
a
c
ultu
r
a
d
e
l
a
o
r
g
a
n
i
z
a
c
i

n
Probar,
mantener
y revisar
Gestin
del
programa
GCN
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
16
COMPONENTES DE LAETAPA1
POLTICADE CONTINUIDADDE NEGOCIOYGESTINDELPROGRAMA
POLTICADE GESTINDE CONTINUIDADDE NEGOCIO
GESTINDELPROGRAMA
PLASMAR ELCONTEXTODE LAORGANIZACIN
CONTENIDOS DE LAPOLTICADE GCN
ALCANCE DELPROGRAMADE GCN
ACTIVIDADES SUBCONTRATADAS
ASIGNACINDE RESPONSABILIDADES
PONER ENPRCTICALAGCNENLAORGANIZACIN
GESTINDE PROYECTO
GESTINCONTINUA
DOCUMENTACIN
PREPARACINPARALOS INCIDENTES YSUS RESPUESTAS
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
17
LAPOLTICADE GESTINDE CONTINUIDADDE NEGOCIO
1. Introduccin
Referencia: BS 25999-1 Seccin 4
La Poltica de GCN es el documento clave que determina el alcance y buen gobierno del programa de
GCN. La Poltica ofrece el contexto en el que el equipo de GCN desarrolla las competencias
requeridas.
Cuando una organizacin se embarca en un programa de GCN no dispondr de una Poltica de GCN ni
probablemente entender las decisiones que tiene que tomar para escribir uno. Se necesita realizar
una serie de actividades que se encaminan a la formulacin de esta Poltica. Los pasos clave son:
Asegurarse de que el programa de GCNapoya los objetivos y la cultura de la organizacin
Decidir el alcance del programa de GCN
Formular una poltica de GCN
Deberan iniciarse uno o varios proyectos para permitir que la organizacin desarrolle una Poltica e
inicie las actividades necesarias para instaurarlo.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
18
PLASMARELCONTEXTODE LAORGANIZACIN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Ref: BS 25999-1 Seccin 4.2
Para desarrollar un programa de Gestin de Continuidad de Negocio apropiado hay que asegurarse de
que refleja los objetivos de la organizacin y su cultura.
Es necesario preguntarse lo siguiente:
Cules son los objetivos de la organizacin?
Cmo se logran las metas de negocio?
En algunas organizaciones, como parte de los procesos de planificacin de negocio, se llevar a cabo
una evaluacin de riesgos graves que puedan poner en riesgo el cumplimiento de los objetivos
estratgicos y de operacin. Las conclusiones de este ejercicio pueden ofrecer una informacin
valiosa a la hora de determinar el contexto general para el Anlisis de Impacto en el Negocio (AIN). En
algunos sectores de actividad o entornos es obligatorio realizar la evaluacin de riesgos.
Es ms fcil asegurarse de que la Poltica de GCN se corresponde con los requisitos de la organizacin
si stos se identifican y se acuerdan formalmente.
El propsito de alinear la Continuidad de Negocio con la estrategia conjunta desde el principio es
para:
Comprender la direccin y enfoque del negocio antes de iniciar una evaluacin de riesgos o de
impacto en el negocio.
Ayudar a entender el plan de negocio en lo que se refiere a crecimiento o reduccin de negocio,
reestructuracin, etc., en el corto, medio o largo plazo. Es posible que este tipo de informacin no
est a disposicin de la persona encargada de la actividad de continuidad de negocio y dependa
mucho del tipo y tamao de la organizacin. Conocer los planes de negocio ayudar a desarrollar
recomendaciones de estrategias de contingencia que sean adecuadas y flexibles.
Establecer el parmetro de escala geogrfica para la eleccin de opciones de recuperacin
Es posible y deseable que se utilice un AIN para determinar el impacto de una interrupcin antes de
emprender una reestructuracin importante del negocio como:
Introduccin de un nuevo producto, proceso o tecnologa
Cambio de ubicacin de una oficina o ampliacin geogrfica del negocio
Cambio significativo en las operaciones, estructura o recursos humanos
Incorporacin de un nuevo proveedor o empresa subcontratada importantes
Puede que esto d lugar a una revisin sobre cmo llevar a cabo la reestructuracin o incluso
cuestionar su propia puesta en marcha.
La reaccin de los clientes y competidores en un factor clave que afecta la viabilidad de una
organizacin despus de un trastorno. Algunas de las condiciones importantes son:
Si el producto se consigue de varios proveedores, unos pocos o slo uno
Cul es el plazo ms probable para encontrar otros proveedores
Si en el sector otros proveedores actuarn para aprovecharse de una empresa en dificultades o es
probable que se ayuden entre ellos (algo que puede suceder para proteger la reputacin del sector)
El Programa de GCN podra ofrecer una oportunidad de negocio para una organizacin comercial si el
cliente est dispuesto a pagar una cantidad suplementaria para tener mayor confianza en la entrega.
Estrategia de organizacin
Los aspectos de la estrategia de una organizacin con ms probabilidades de afectar al Programa de
GCNson:
Una estrategia de expansin (o contraccin)
Desarrollo de nuevos productos o servicios
Utilizar unAINpara revisar la estrategia de la organizacin
Condiciones de mercado
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
19
Responsabilidades
Tamao
6. Mtodos y tcnicas
7. Resultados
8. Revisin
Obligaciones en los estatutos
Responsabilidades legales
Normas sanitarias y de seguridad
Decidir la amplitud geogrfica mxima de una interrupcin o la magnitud de la prdida de un recurso
que la organizacin necesita planificar de cara a sobrevivir. Esto puede estar condicionado por:
Amplitud geogrfica (o rea de mercado/cliente)
Obligaciones legales o normas estatutarias
Productos, mercado, sectores o exigencias especficas de los clientes
Herramientas clave:
Demostrar una comprensin de los planes futuros de la organizacin
Disponer informacin actualizada de los procesos detallados, volmenes, objetivos y, cuando sea
posible, valores cuantificables relativos a la actividad
Es posible que cierta informacin sea confidencial y por lo tanto en algunas organizaciones no est
disponible para el responsable de GCN. El hecho de no disponer de esta informacin no debera
impedir el AIN o la Evaluacin de Riesgos, aunque s puede perjudicar la confiabilidad de los
resultados finales.
Determinacin del alcance y produccin de un documento con los trminos de referencia para el
Anlisis de Impacto en el Negocio y Evaluacin de Riesgos.
El impacto sobre la organizacin de una estrategia de Gestin de Continuidad de Negocio debera ser
revisado como mnimo una vez al ao como parte de (o al menos de forma paralela) los procesos de
planificacin estratgica y operativa de un negocio. Una revisin ms frecuente puede ser
consecuencia de alguna de estas cuestiones:
Modificacin clave en el negocio
Reestructuracin
Expansin/contraccin
Introduccin de un nuevo producto
Cambio de ubicacin o consolidacin geogrfica
Un incidente y la recuperacin de actividad
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
20
CONTENIDOS DE LAPOLTICADE GCN
1. Introduccin
2. Pasos Previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
7. Resultados
Referencia: BS 25999-1 Seccin 4.3
La poltica de GCN de una organizacin provee el marco en el que se disea y construye la capacidad
de GCN.
Una comprensin por parte de toda la organizacin de la GCNy su importancia.
El propsito de una poltica de GCN es documentar los principios a los que aspira atenerse la
organizacin y en referencia a los cuales sus resultados pueden ser auditados.
Si bien la alta direccin es la mxima responsable de la poltica de GCN, se supone que el equipo de
GCNser el encargado de crearla y asegurarse de que es la apropiada.
El proceso para desarrollar una poltica de GCNincluye:
Identificar y documentar los componentes de una poltica de GCN
Identificar una definicin de GCN
Identificar aquellos estndares, normas y leyes que sean relevantes y deban ser tenidos en cuenta
en la poltica de GCN
Identificar cualquier manual de buenas prcticas o dems polticas de GCN de otras organizaciones
que podran servir de modelo
Revisar y llevar a cabo un "anlisis diferencial" entre la actual poltica de GCN de la organizacin
(cuando exista) y una poltica de referencia externa o con los nuevos requisitos de la nueva poltica de
GCN
Desarrollar un borrador de una nueva poltica de GCNo, en su caso, de una versin corregida
Revisar el borrador de la poltica de GCN con respecto a los estndares que ha adoptado la
organizacin en cuestiones relacionadas, tales como la poltica de seguridad deTI
Circular el borrador de la poltica para consultas
Corregir el borrador de la poltica de GCNall donde sea necesario basndose en los comentarios tras
las consultas
Acordar una ratificacin de la poltica de GCN y una estrategia para su puesta en marcha por la alta
direccin de la organizacin
Publicar y distribuir la Poltica de Continuidad de Negocio por medio de un sistema de control
apropiado y tcnicas
Los mtodos, herramientas y tcnicas para desarrollar una Poltica de GCNincluyen:
Una revisin de la actual Poltica de GCNde la organizacin.
Una investigacin acerca de las fuentes externas que sirvan de orientacin, tales como los
organismos legales, cdigos de buenas prcticas sectoriales y colegios profesionales.
Contacto con organismos sectoriales y profesionales para entender los problemas y
desencadenantes de la GCN, tanto actuales como en desarrollo.
Identificacin y adopcin de componentes de una Poltica de GCN de otra organizacin considerada
modlica en Buenas Prcticas.
Una evaluacin del estado actual de carencias y revisin de las polticas externas e internas para
determinar los elementos esenciales de una nueva o revisada Poltica de GCN.
Una revisin por parte de expertos en GCNexternos
La Poltica de GCN, que incluir (o har referencia en un documento anexo):
La definicin de GCNde la organizacin
Una definicin del alcance del programa de GCN(ver seccin siguiente)
Un marco operativo de GCN documentado para la gestin del programa de GCN de la organizacin,
que adems incluya responsabilidades
Un conjunto documentado de principios de la GCN, sus directrices y estndares mnimos
Un plan de puesta en marcha y mantenimiento de la Poltica
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
21
8. Revisin
Mientras todas las polticas de organizacin deberan ser revisadas de forma continua, una revisin
formal de esta Poltica debera desencadenarse por un cambio en el entorno externo en el que opera
la organizacin. Estos cambios podran ser cambios en mercado o legales.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
22
ALCANCE DELPROGRAMADE GCN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
Referencia: BS 25999-1 Secciones 4.4 y 6.6
Una de las objeciones ms frecuentes a la puesta en marcha de la Gestin de Continuidad de Negocio
es que el programa exigido es demasiado extenso si se aplica a toda la organizacin en un proceso.
Los estndares britnicos determinan un alcance de cumplimiento para productos o servicios
especficos o ubicaciones geogrficas definidas. Esto permite que una organizacin ponga en marcha
la GCN slo en algunas partes, aunque se espera que con el tiempo luego la extiendan a todas sus
operaciones.
Esta seccin enumera las opciones disponibles para la organizacin para proteger su entrega de
productos y servicios. Dentro del estndar britnico BS 25999-1 slo la ruta de Continuidad de negocio
(seccin 6.6.2) puede servir a cumplirlo, puesto que las dems (secciones 6.6.3/5) - aceptacin,
transferencia y cancelacin - no presuponen el mantenimiento de la entrega del producto o servicio
al cliente. Las opciones a las que se refiere esta seccin radican en definir el alcance del programa de
GCNal que luego el estndar tiene que ser aplicado.
Lgicamente el primer paso es decidir acerca del alcance del programa de GCN. No obstante, es
probable que eso tenga que ser revisado constantemente. Puede resultar til llevar a cabo un AIN de
alto nivel de la entrega de producto o servicio para tomar una decisin acerca de qu productos y
servicios estarn incluidos en el alcance (basndose en el impacto de la no entrega).
El propsito de determinar el alcance es garantizar la claridad de qu reas de la organizacin estn
incluidas en el programa de GCN. La documentacin de las opciones para cada producto y servicio
pretende dejar claro cmo la organizacin piensa proteger (o no) su capacidad de mantener su
entrega, y esta decisin estar disponible para actores externos, tales como clientes o autoridades.
El alcance puede (y dentro del cumplimiento de estndares debe) ser definido identificando qu
productos y servicios van a estar englobados. Esto hace hincapi en el criterio clave de xito de la
mayora de las organizaciones: la entrega de productos o servicios.
La ubicacin puede tambin servir a la definicin del enfoque, permitiendo que el programa de GCN
incluya o excluya una o varias ubicaciones. Pero no es lgico dejar fuera un emplazamiento que es
importante para la entrega de un producto o servicio considerado dentro del alcance.
La limitacin del alcance debe ser considerada una decisin tctica que permite introducir de forma
escalonada la GCNen toda la organizacin.
Si un producto o servicio se asigna dentro del alcance entonces todas las actividades que apoyan su
entrega tienen que se incluidas en el programa de GCN.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
23
La organizacin BS 25999
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
Producto
A
Producto
B
Servicio
C
Cliente A Cliente A
Empresa
subcontratada
Actividad
Actividad
Servicio
D
Actividad
1
Actividad
2
Actividad
3
Actividad
4
Actividad 5
Alta
Direccin
BCM Actividad 6
LA EMPRESA
Accionistas
Diagrama: La organizacin BS 25999
5. Proceso
Criterios de eleccin
En el diagrama anterior se determina que el Producto B y el Servicio C estn dentro del programa, por
lo que las actividades sombreadas tienen que formar parte, ya sea parcial o totalmente dentro de su
alcance.
El proceso incluye los pasos siguientes:
Conformar un Equipo de Estrategia de Gestin de Continuidad de Negocio.
Identificar la Estrategia de Negocio de la organizacin, sus objetivos, obligaciones legales y
comprender cmo una Estrategia de Continuidad apoyar estos objetivos.
Si se ha llevado a cabo un Anlisis de Impacto en el Negocio para determinar los efectos que tendra
la prdida de un producto o servicio, revisar su alcance, las suposiciones y resultados
Considerar las opciones estratgicas para cada producto y servicio.
Ofrecer a la direccin ejecutiva un informe de evaluacin para determinar opciones, que se basan
en la estrategia de negocio actual y futura de la organizacin.
Garantizar que la opcin acordada es ratificada por la direccin ejecutiva, incluyendo las
previsiones financieras y de recursos.
LIevar a la prctica un proceso constante que garantice la revisin de la estrategia.
Los productos y servicios deberan ser identificados a un grado de detalle apropiado.
Ejemplos de productos y servicios pueden ser:
Un producto manufacturado o una gama
Recogida de deshechos
Soporte telefnico
Algunos de los siguientes factores pueden influir en las decisiones acerca de qu productos, servicios
o ubicaciones conviene incluir en el programa:
Un requisito del cliente
Una obligacin legal o estatutaria
Una ubicacin considerada de alto riesgo debido a su cercana con otras instalaciones industriales o
la posibilidad de una inundacin, entre otros riesgos
El producto representa una proporcin muy importante de los ingresos de la organizacin
24
Razones por las que un producto, servicio u organizacin pueden ser excluidos del programa:
Cuando se trata de determinar si se excluye del programa, adems del impacto financiero o
posibles prdidas se tienen que tomar en cuenta los siguientes factores:
Producto/servicio cercano a cumplir su ciclo de vida (dejara de existir si se interrumpiera el
suministro)
Producto/servicio con mrgenes reducidos (cancelacin o subcontratacin)
Una ubicacin considerada de bajo riesgo
Los puntos de vista de los proveedores, clientes y dems partes interesadas con influencia
Cualquier dao ocasionado por la interrupcin o cancelacin definitiva de un producto
El grado de confianza de cualquier clculo de riesgo
Las opciones disponibles para cada producto o servicio son:
Continuidad de Negocio
Aceptacin
Transferencia
Cambio, suspensin o cancelacin definitiva
Opciones
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
Diagrama: Opciones para productos y servicios
Opciones de
producto/
Servicio
Aceptacin Transferencia
Cambio,
Suspensin o
cancelacin
definitiva
Documentacin
y
ratificacin
Programa de
gestin de
riesgos
(BS 25700)
Continuidad
de
Negocio
Opciones para
la actividad
basadas en
niveles
operativos
aceptables
Fuerza laboral,
habilidades y
conocimientos
Instalaciones
del lugar
de trabajo
Tecnologas
de
apoyo
Datos
e
Informacin
Equipo
y
suministros
Proveedores,
clientes y dems
partes interesadas
25
Acontinuacin se describe de forma detallada cada opcin:
Si la estrategia elegida es la de Continuidad de Negocio, entonces es necesario instaurar medidas
adecuadas que garanticen que las diversas actividades que determinan la entrega pueden proseguir o
ser recuperadas en los plazos requeridos y que son descritos en la seccin 7.
Las estrategias alternativas que deben considerarse (que estn fuera del alcance de un programa de
GCN) son:
Si se valora que el coste de GCN es demasiado alto o se calcula que el riesgo es bajo porque es poco
probable que se produzca una interrupcin (o tendra un impacto menor) entonces el riesgo es
"aceptable".
En tal caso puede que la organizacin elija no hacer nada al respecto o instaure medidas para
enfrentar los riesgos en caso de que se materialicen. Estas medidas pueden incluir:
Lograr aptitudes para la Gestin de Incidentes
Medidas para protegerse de amenazas especficas de mayor probabilidad, como las existentes
contra incendios
Estrategia de fortaleza cuando se trate de instalaciones que poseen procesos de fabricacin nicos y
exclusivos o situadas en lugares nicos y para las que es imposible pensar en una estrategia de
reubicacin. En tal caso todos los esfuerzos deben enfocarse en minimizar las amenazas especficas
con la esperanza de que si pasara lo peor, el componente nico y exclusivo de la organizacin volver
a restaurarse sin importar el tiempo que se tarde.
La aceptacin de un riesgo y la determinacin de la capacidad de asuncin de riesgos por parte de una
organizacin estn sujetas a todas las advertencias de la seccin anterior acerca de la evaluacin de
riesgos. Esto significa que no es posible determinar de forma cientfica el valor de un riesgo y que por
ello una organizacin no puede contraponerlo de forma rigurosa con su terica capacidad de asuncin
de riesgos.
Si una organizacin busca protegerse de forma no sistemtica contra algunas amenazas que ha
detectado, el coste general de las medidas puede superar al de la estrategia de Continuidad de
Negocio y dar lugar a una proteccin menos integral y duradera de la que hubiera ofrecido un
programa de GCN.
Es posible transferir un riesgo a un tercero que tenga mejor capacidad para gestionarlo.
Las medidas posibles son:
. Cada vez son ms las organizaciones que estn subcontratando partes crticas del
negocio para crear organizaciones virtuales. La transferencia de riesgos es muchas veces un
argumento muy citado en favor de la subcontratacin. Es importante recordar que no se puede
subcontratar ni se puede transferir el riesgo para la reputacin e imagen de marca de la organizacin.
El riesgo y la responsabilidad siempre permanecen dentro del negocio.
a travs de proveedores internos o externos que estn lejos del centro del negocio
(generalmente en otro pas) trae consigo nuevas complicaciones en seguridad, adems de riesgos
polticos y medioambientales que pueden llamar la atencin de clientes y autoridades.
. Es decir, transferir parte de los costes financieros de un incidente a una compaa de
seguros. No obstante en caso de un incidente de gran escala, slo puede aportar dinero para apoyar
otras medidas de recuperacin de negocio y no es una solucin suficiente.
Es importante destacar que no se pueden delegar ciertas responsabilidades. La organizacin puede
ver daada su reputacin o estar sujeta a sanciones por el fallo de la empresa subcontratada.
Cambiar el proceso puede ofrecer una oportunidad para continuar con el negocio de cara a los
clientes, pero el producto o servicio a entregar est "ensamblado" de forma distinta, generalmente
mediante la subcontratacin de una parte o toda la operacin. Por ejemplo un fabricante puede
convertirse en distribuidora importando productos y reetiquetndolos.
Cambio, suspensin o cancelacin
Continuidad de Negocio
Aceptacin
Transferencia
Subcontratar
Deslocalizar
Asegurar
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
26
Puede resultar apropiado abandonar o vender ciertas partes del negocio cuando la actividad restante
se mantiene viable y puede dejar espacio para una recuperacin, o si un producto o servicio est
finalizando su ciclo de vida. Tambin puede resultar una estrategia apropiada para un grupo de
empresas que no quieren sufragar la capacidad de recuperacin de una filial marginal. Esta
estrategia comporta riesgos si la reputacin de los dems negocios puede resultar daada por el
fracaso de la parte cancelada.
Si estas decisiones no se toman de acuerdo con el cliente, la organizacin puede encarar demandas
legales y daos a su reputacin en caso de no cumplir las expectativas de un cliente.
Pero si est estrategia recibe el visto bueno de todas las partes, las opciones pueden verse como
soluciones para la Continuidad de Negocio y pueden ser incluidas en el programa de GCN.
Determinar una estrategia de Continuidad de Negocio adecuada depender de la aceptacin por
parte del cliente y llevar a cabo los cambios de procesos que seran necesarios para cumplirla (ya sea
determinados por adelantado o anticipados despus del trastorno).
Las herramientas que pueden utilizarse para desarrollar la estrategia de la Organizacin para
productos y servicios incluyen:
El Anlisis del Impacto en el Negocio ofrece una tcnica para evaluar de forma sistemtica el
impacto de las interrupciones para ofrecer productos y servicios. Se puede utilizar para tomar una
decisin acerca de qu productos y servicios deberan ser incluidos en el alcance del programa
basndose en el plazo y magnitud del impacto de la interrupcin.
Anlisis de Coste Beneficio (que incluye evaluaciones de proveedores, clientes y dems partes
interesadas, legales y normativas)
Anlisis DAFO(Debilidades/Amenazas/Fortalezas/Oportunidades)
Planificacin y gestin financieras
Herramientas de planificacin estratgica
Comparacin con respecto a los estndares nacionales e internacionales correspondientes
Anlisis PEST(Poltico/Econmico/Social/Tcnico)
Se puede recurrir a tcnicas de investigacin de mercado para determinar la viabilidad de un
producto despus de una interrupcin en su suministro.
Los resultados son:
Una estrategia acordada para proteger cada producto y servicio de la organizacin que estn:
o bien: dentro del alcance del programa de GCN
o bien: fuera del alcance del programa de GCN
Un alcance para el programa de GCNque quede documentado en la Poltica de GCN
Debera llevarse a cabo una revisin de la Estrategia de GCNde la organizacin (corporativa) al menos
cada 12 meses. No obstante existen acontecimientos que propician la reevaluacin de la estrategia
de GCN, tales como:
Una revisin del Anlisis del Impacto en el Negocio que identifique cambios importantes en los
procesos y prioridades.
Un cambio significativo en uno o ms de los aspectos siguientes: la actitud de la organizacin frente
a los riesgos (quizs desencadenados por un acontecimiento), las condiciones de mercado, compras o
fusin, nuevos productos o servicios, obligaciones legales o normativas.
6. Mtodos y tcnicas
7. Resultados
8. Revisin
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
27
ACTIVIDADES SUBCONTRATADAS
1. Introduccin
2. Propsito
4. Proceso
5. Mtodos y tcnicas
6. Resultados
7. Revisin
Referencia: BS 25999-1 Seccin 4.5
3. Conceptos y suposiciones
Si se subcontrata una parte o la totalidad de un producto o servicio, la responsabilidad de su
continuidad sigue siendo de la organizacin. Los clientes esperan que la organizacin haya elegido de
forma responsable a sus socios y haya tomado las medidas adecuadas para garantizar la entrega.
Las obligaciones internas o legales suelen destacar que la responsabilidad ltima de los servicios
subcontratados sigue siendo de la organizacin.
El propsito es asegurar que la entrega de productos y servicios de la organizacin no se ver
interrumpida por un tercero que provee bienes o servicios a la organizacin o directamente al cliente
en nombre de la organizacin.
La organizacin sigue siendo responsable de la entrega del producto o servicio y no puede delegar esa
obligacin en la empresa subcontratada.
Los procesos para revisar las medidas de Continuidad de Negocio de una empresa subcontratada son
parecidos a los que se emplean para revisar las medidas de la propia organizacin (ver una seccin
posterior).
Es importante que esta informacin est disponible para evaluar:
las ofertas de posibles empresas de subcontratacin
la adecuacin constante de las medidas de las empresas subcontratadas ya existentes
Se puede mejorar la robustez en los contratos de subcontratacin mediante:
Una seleccin apropiada de las empresas subcontratadas
La especificacin en el contrato de los requisitos para la Continuidad de Negocio
Acuerdo acerca de los niveles de servicio realistas que se ofrecern durante los incidentes en
cualquiera de las organizaciones
Involucrar a las empresas subcontratadas en formacin, concienciacin y pruebas de Continuidad de
Negocio
Documentacin para apoyar la subcontratacin que incluye:
Parmetros obligatorios para la seleccin de empresas subcontratadas
Trminos contractuales
Acuerdos de nivel de servicio
Documentacin acerca de los resultados de las pruebas
El resultado debera ser una cadena de suministro robusta que pueda absorber los trastornos sin
impactar de forma seria la entrega de productos y servicios al cliente.
La revisin de la continuidad del proveedor debera ser una parte importante de la evaluacin de las
ofertas a la hora de otorgar o renovar los contratos.
Se recomienda una revisin anual de los resultados del proveedor con respecto a las obligaciones para
la continuidad.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
28
GESTINDE PROGRAMA
1. Introduccin
Referencia: BS 25999-1 Seccin 5
Un factor clave de xito para la GCN es la designacin de personas competentes para supervisar y
gestionar el programa de GCN.
Si bien en un principio la GCN puede beneficiarse de un enfoque de gestin de proyectos, conforme
madura la GCN dentro de una organizacin se necesitan habilidades de gestin de programa para
garantizar el mantenimiento del nivel de preparacin.
Los pasos clave en la Gestin de Programa de GCNson:
Asignacin de responsabilidades
Puesta en marcha de la GCNen la organizacin
Gestin de Proyectos
Gestin constante
Documentacin de la GCN
Preparacin para incidentes y capacidad de respuesta.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
29
ASIGNARRESPONSABILIDADES
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
7. Resultados
8. Revisin
Referencia: BS 25999-1 Seccin 5.2
La clave para un programa exitoso de GCN radica en identificar funciones, responsabilidades y
autoridades claramente definidas para la gestin del programa de GCN y sus procesos en toda la
organizacin y la continua preparacin del personal apropiado para saber responder en caso de
necesidad.
La Poltica de GCNdebe identificar las funciones y responsabilidades necesarias que hay que asignar.
El propsito de asignar funciones y responsabilidades es garantizar que las tareas para llevar a cabo y
mantener el programa estn atribuidas a personas especficas cuyos resultados pueden ser
supervisados.
Las autoridades financieras como la Financial Services Authority (FSA) de Reino Unido consideran que
la GCNes un coste que forma parte de hacer negocios y tiene que disponer de los recursos adecuados.
Un integrante de la direccin ejecutiva debera tener responsabilidad general acerca de la
efectividad de la GCN en la organizacin. Esto asegura que el programa de GCN tiene el nivel de
importancia adecuado en la organizacin y dispone de ms posibilidades para su puesta en marcha
efectiva.
Se debera nombrar a una persona para gestionar el programa de GCN. Esta persona puede ser
conocida como el Director de Continuidad de Negocio.
Segn el tamao de la organizacin, se puede asignar personal adicional para ayudar al Director de
Continuidad de Negocio:
Personal de Continuidad de Negocio para ayudar, como llevar a cabo pruebas o bsqueda de
informacin
Personal administrativo de Continuidad de Negocio que lleve a cabo la revisin de la documentacin
Personal de otras unidades de negocio o ubicaciones que ayuden a la puesta en prctica de la
Continuidad de Negocio y sirvan de coordinadores en sus reas.
El personal asignado al programa de GCN debera recibir la formacin adecuada a su funcin
mediante cursos internos o externos.
Aquellos que gestionan el programa deberan obtener una certificacin por parte de un organismo
profesional adecuado, como el Business Continuity Institute.
La integracin de las funciones y responsabilidades en descripciones de puestos y el proceso de
evaluacin deberan resultar efectivos para garantizar que estas tareas son llevadas a cabo con el
tiempo y esfuerzo adecuados. El xito en la realizacin de las tareas debera reflejarse en la poltica
de incentivos y reconocimientos de la organizacin.
Las funciones y responsabilidades de las personas dentro del programa de GCN sern incluidas en las
descripciones de los puestos de trabajo y en la definicin de objetivos.
Tanto las personas como la organizacin debern entender claramente sus funciones y
responsabilidades.
La necesidad de personal para la GCN debera ser objeto de discusin para las previsiones anuales del
responsable de Continuidad de Negocio y puede estar sujeta a una auditora.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
30
LAGCNENLAORGANIZACIN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Referencia: BS 25999-1 Seccin 5.3
Iniciar un Programa de GCNimplica coordinar varias actividades que incluyen:
Momentos de creacin de mayor conciencia que mantienen el entusiasmo por emprender un
programa de GCN
Actividades de recopilacin de datos que indicarn la eleccin de las opciones de continuidad que
respaldarn los objetivos de la organizacin
La puesta en marcha de medidas que reduzcan el impacto de un incidente en caso de que ocurriera
cuando el programa est en fase de desarrollo.
Una Poltica de GCN interna con un programa definido y necesidades de personal bien
presupuestadas.
El propsito de este paso es garantizar que se pone en marcha un programa de GCN sostenible para
toda la organizacin. Un programa sostenible es aquel que ha logrado el compromiso de la
organizacin y posee estructuras y procedimientos que garantizan que se mantiene la preparacin y
adems se mejora de cara al futuro cercano.
La eleccin acerca de las actividades a llevar a cabo y el orden en el que se deben realizar depender
de la cultura existente y el grado de preparacin de la organizacin. La nica regla inamovible es que
no se deberan tomar las principales decisiones acerca de las opciones de Continuidad, as como las
tcticas de recuperacin hasta que se haya llevado a cabo la etapa de "Comprender la Organizacin".
Se puede recurrir a ayuda externa por parte de consultores cualificados en GCN para iniciar un
programa de GCN. Esta medida puede ser efectiva para los costes por ahorrar en tiempo de desarrollo
y necesidades de formacin externa. Durante esta etapa uno de los objetivos tiene que ser la
transferencia de conocimientos al personal de la organizacin.
Ejercicios sobre el papel con la alta direccin para demostrar lo que pasara si no existiera un
esquema de respuesta a incidentes y procedimientos
Presentaciones acerca del impacto de incidentes locales recientes
Cuestionarios o entrevistas para determinar el estado actual de preparacin dentro de la
organizacin
Escribir un borrador del alcance del programa
Discusiones para planificar una Poltica de GCN
Programa de formacin para el equipo que llevar a cabo el Anlisis de Impacto en el Negocio (AIN)
Programa de concienciacin para que los directivos entiendan mejor la GCN y sepan responder
mejor a las preguntas planteadas en el AIN
AINyAnlisis de Requisitos para la Recuperacin
Talleres para analizar los resultados
Talleres con la alta direccin para determinar las opciones de continuidad
Borrador de procedimientos para la gestin de incidentes
Identificar y poner en marcha mejoras rpidas de bajo coste
El proceso de inicio debera construirse con las actividades descritas en este documento. Entre
ellas:
Actividades de concienciacin:
Recuperacin de datos y eleccin de una opcin de continuidad:
Medidas para reducir amenazas especficas detectadas
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
31
6. Mtodos y tcnicas
7. Resultados
8. Revisin
En este documento se describen los mtodos, herramientas y tcnicas para desarrollar un Programa
de GCN. Se debe recurrir a una metodologa de Gestin de Proyectos para supervisar los avances.
Cuando se trata de iniciar el programa, se debe destinar el tiempo suficiente para complementar
cada actividad con formacin de habilidades y ejercicios de concienciacin.
Al final del inicio exitoso de un Programa de GCNla organizacin debera disponer de:
Un estado satisfactorio de preparacin, generalmente comprobado a travs de ejercicios sobre el
papel de los procedimientos de gestin de incidentes
Procedimientos, estructuras y competencias para mantener y desarrollar la capacidad de GCN
Mientras se encuentra en la fase inicial, el programa de GCN debe ser revisado al menos una vez al
mes, adems de cada vez que se alcance un hito.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
32
GESTINDE PROYECTOS
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
7. Resultados
8. Revisin
Referencia: BS 25999-1 Seccin 5.3.2
Cuando se inicia un programa de GCN por primera vez es necesario instaurar una disciplina de gestin
de proyecto.
Una vez que todos los elementos clave estn en su sitio se llega a una gestin constante de programa.
No obstante, se trata de una prctica til para un programa constante con resultados claros, como
crear momentos de concienciacin en toda la organizacin.
Un mtodo acordado para la Gestin de Proyectos.
Generar un empuje inicial para la puesta en marcha de la GCN. El uso de un mtodo para la gestin de
proyectos puede sirve para:
Identificacin de resultados
Plazos y fechas de entrega
Controles de presupuesto y esfuerzo laboral
Si bien se pueden identificar resultados claros para algunas tareas de GCN, otras son menos tangibles,
por lo que puede resultar difcil llevar a cabo algunas tareas de la gestin de proyectos en su sentido
ms estricto. Por ejemplo en un Anlisis de Impacto en el Negocio suele existir un elemento de
"descubrimiento" que vuelve difcil una cuantificacin del tiempo necesario para llevarlo a cabo.
Se puede utilizar este documento para definir un plan para la puesta en marcha inicial de un
programa de GCN. Las etapas tpicas del proyecto con resultados definidos son:
Generar concienciacin - defender la GCN
Definir el alcance del programa (borrador de Poltica)
Anlisis de Impacto en el Negocio
Anlisis de riesgos
Eleccin de la opcin para la continuidad
Desarrollar y poner en marcha la respuesta
Desarrollar y dirigir un simulacro sobre el papel que verifique la efectividad de un primer borrador
del plan
Las estimaciones de trabajo para ciertas etapas del proyecto dependern muchas veces de los
resultados de las etapas anteriores.
Tambin se puede aplicar mtodos de gestin de proyectos para ciertos elementos del programa de
GCNcon resultados claros, como:
Desarrollar y dirigir un simulacro de GCN
Desarrollar y ofrecer un programa de formacin al personal
Seleccionar a un proveedor para un recurso de continuidad
Existen varios mtodos para la gestin de proyectos, muchos de ellos con software de apoyo. Se
debera recurrir a un mtodo apropiado para el tamao y complejidad de la organizacin.
La puesta en marcha inicial del programa de GCN puede ser llevada a cabo mediante varios proyectos
con resultados claros y estimaciones de trabajo.
El mtodo de proyecto adoptado debera incluir los requisitos para revisiones peridicas para evaluar
el progreso con respecto a fechas o hitos predeterminados y estimaciones de trabajo.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
33
GESTINCONTINUA
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Referencia: BS 25999-1 Seccin 5.4
Un programa efectivo de GCNrequerir la participacin de diversas disciplinas de gestin, operacin,
administrativas y tcnicas que deben ser coordinadas a lo largo de su ciclo de vida mediante
procedimientos como los indicados en este Manual.
El Programa debe gestionarse dentro del marco y de acuerdo con los principios contenidos en la
Poltica de GCNde la organizacin.
Puesta en prctica con xito de las actividades de iniciacin del Programa.
El propsito del proceso de gestin es ofrecer una gestin constante efectiva del programa de GCN de
la organizacin.
El nmero de profesionales dedicados a la GCN y personal de otras especialidades necesario para
gestionar el programa depende del tamao, naturaleza, complejidad y ubicacin de la organizacin.
En organizaciones ms pequeas es posible que el responsable de la GCN tenga otras funciones. Rara
vez esto es buena solucin cuando alguna de esas otras funciones tambin involucre una
responsabilidad operativa diaria.
En una organizacin de mayor tamao pueden existir varias personas que dediquen todo o parte de su
tiempo a la GCN. En tal caso se puede establecer una jerarqua y puede que los que dirijan el
programa necesiten tener capacidad de gestin de personal (adems de habilidades para la GCN).
Nombrar a una persona o un equipo para gestionar el programa de GCN
Definir el alcance del proceso de gestin y el programa
Aprobar el presupuesto de continuidad
Supervisar el resultado del proceso de gestin
Desarrollar y aprobar un proceso de planificacin de GCNy el programa.
Determinar los enfoques clave para cada fase del ciclo de vida de GCN tal y como se describen ms
adelante
Iniciar o gestionar las actividades de GCNapropiadas dentro de la organizacin
Promover la Continuidad de Negocio en toda la organizacin y fuera de ella en donde sea
conveniente
Gestionar el presupuesto de continuidad
Documentar el programa de GCN
Investigar la capacidad de preparacin en la que se encuentran las dems organizaciones del mismo
sector y las obligaciones marcadas por leyes y normas
Informar al directivo de forma constante del grado de preparacin en el que se encuentran y
destacar los retrasos y problemas
Identificar y formar representantes de Continuidad de Negocio en los departamentos o en otras
ubicaciones para:
Servir de punto de contacto para las cuestiones de Continuidad de Negocio que tengan que ver con
el departamento o ubicacin
Ayudar al departamento a identificar las implicaciones de la Continuidad de Negocio en los
cambios de procesos
Informar al equipo de GCNde los cambios en los procesos
Ayudar o dirigir la recuperacin del departamento o ubicacin en caso de interrupcin.
La Direccin de la organizacin debera:
El equipo de GCNdesignado debera (junto con la Direccin):
El equipo de GCNpuede (junto con los ejecutivos de negocio):
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
34
6. Mtodos y tcnicas
7. Resultados
8. Revisin
Los mtodos, herramientas y tcnicas para gestionar un programa de GCNincluyen:
Este Manual de Buenas Prcticas
Una ficha de auto evaluacin de la Poltica de GCN
Evaluaciones anuales de resultados para cada persona
Gestin de la relacin con proveedores y empresas subcontratadas para los productos y servicios
Gestin de la relacin con proveedores y el especialista en GCN
Gestin financiera
Asesoramiento legal
Comparacin de la GCNen las dems empresas del sector (Proceso y Mtricas)
Estndares nacionales e internacionales como el BS 25999
Auditora de GCNinternas y/o independientes
Revisin y motivacin.
Los resultados del programa de GCNincluyen:
Un programa de Gestin de Continuidad de Negocio claramente definido que ha sido aceptado por la
alta direccin.
Informes de cumplimiento de GCNen intervalos predeterminados
Una estrategia de GCNy estndares claramente definidos y documentados
Un proceso de gestin que forma parte integral del programa de GCN y ciclo de vida de la
organizacin
La revisin de las soluciones para la recuperacin de la organizacin
El presupuesto anual del programa de GCN
El informe de auditora del programa de GCN
El mantenimiento de capacidades efectivas para la GCN
Experiencias exitosas en notificacin, traspaso de responsabilidades, prevencin y recuperacin
Un programa de GCNdebera ser gestionado de forma constante.
El programa debera ser revisado por auditores internos o externos en los plazos que ellos
determinen.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
35
DOCUMENTACIN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
7. Resultados
Referencia: BS 25999-1 Seccin 5.5
Una parte importante del proceso de GCN es gestionar toda la documentacin de GCN. Tiene que
hacerse de forma consistente, fcil de comprender y que apoye tanto la supervisin de operacin
como las auditoras. El nivel y tipo de la documentacin debe corresponderse con el tipo y tamao de
la organizacin.
Las organizaciones que han recibido la certificacin de estndares como el ISO 9000 o ISO 27001
tendrn que asegurarse que la documentacin de GCNcumple con esos estndares.
La documentacin de GCNtiene tres propsitos:
Gestionar el programa de forma efectiva.
Demostrar que el programa ha sido gestionado de forma efectiva en caso de auditora.
Durante una interrupcin, disponer de la documentacin efectiva y actualizada que se necesita para
la gestin de incidentes y la recuperacin de la actividad.
Si bien es importante mantener la documentacin de GCN, su sola existencia no demuestra que se
dispone de la capacidad para responder a un incidente.
Se tiene que ofrecer al personal una formacin adecuada en la operacin de las aplicaciones software
utilizadas en el programa. Aquellos responsables del mantenimiento de los planes deberan ser
capaces de actualizar su documentacin, ya que esto les ayuda a sentirse involucrados y disminuye
las necesidades de personal administrativo en la supervisin central de GCN.
Un software especializado de GCN puede suponer ciertas ventajas para el mantenimiento, pero
tambin significa un coste constante en formacin a lo largo del programa.
El mantenimiento de la documentacin de la GCN debera estar integrado con los procedimientos de
gestin de cambio de la organizacin.
Se puede utilizar un software para gestionar la documentacin de la GCN.
Un procesador de texto puede utilizarse para los documentos de texto como la Poltica.
Se pueden utilizar hojas de clculo y bases de datos para la logstica de los planes de respuesta.
Se puede utilizar un software especializado para los planes.
Tambin se puede utilizar un software para garantizar que las diferentes ubicaciones de la
organizacin disponen de copias actualizadas de los documentos.
Un conjunto actualizado de documentacin GCN. Puede incluir lo siguiente:
Una Poltica de GCNque incluya su alcance y principios.
Anlisis del Impacto en el Negocio.
Evaluacin de riesgos y amenazas.
Estrategias de GCNcon informes que sustenten la eleccin de las estrategias adoptadas.
Planes de respuesta
Planes de Gestin de Incidentes
Planes de Continuidad de Negocio
Planes por departamentos de Recuperacin de Negocio
Calendario de pruebas e informes
Programa de concienciacin y formacin
Acuerdos de niveles de servicio con clientes y proveedores
Contratos con terceras partes para servicios de recuperacin como espacio de trabajo y rescate
Revisin
El ciclo de revisin de cada documento se puede consultar en las secciones relativas a su creacin y
utilizacin. La documentacin y los controles deberan ser revisados por auditores internos o
externos con la regularidad que ellos determinen.
-
-
-
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
36
PREPARACINPARALOS INCIDENTES YSUS RESPUESTAS
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
7. Resultados
8. Revisin
A pesar de que la Gestin de Continuidad de Negocio es principalmente una actividad de
planificacin, es inevitable que se espere del equipo de GCN que lidere cuando se tenga que
responder a un incidente.
Los responsables de la GCN deberan asumir que la gestin de incidentes se hara progresivamente
cargo en caso de tener que poner el plan en prctica.
El equipo de GCN es el que posee el conocimiento ms detallado acerca de las estrategias generales y
las acciones que necesitan llevarse a cabo inmediatamente. Tienen que apoyar a la direccin con
evaluaciones y actividades preventivas hasta que entre en operacin el Equipo de Gestin de
Incidentes.
Se suele asumir que aquellos que han desarrollado el plan son los mejores para responder a un
incidente. Sin embargo suele existir una contradiccin entre las caractersticas de personalidad que
se exigen a un planificador y las necesarias en un lder. Cualquier problema relativo a esta cuestin
debera salir a la luz tras la realizacin de simulacros realistas.
Recibir notificacin de un problema.
Evaluar la situacin y luego:
gestionar la respuesta a travs de los planes previstos
o transferir el problema al equipo de gestin de incidentes
Si es necesaria una respuesta, entonces se deben considerar inmediatamente los siguientes aspectos:
Est usted preparado, tanto fsica como emocionalmente para ayudar o dirigir la respuesta?
Estn presentes las dems personas que tienen que aportar una respuesta? Son capaces de asumir
los papeles que les han asignado? Algunas personas pueden reaccionar a un incidente con un
comportamiento inusual
Ha comunicado lo sucedido a la alta direccin?
Existen muchos mtodos para gestionar incidentes, aqu sugerimos uno genrico.
Contener - Hay algo que se pueda hacer de inmediato para evitar que empeore el problema?
Seguir el Plan - Existe una respuesta planificada con antelacin que se corresponda con el
incidente?
Seguir el procedimiento documentado, el cual puede incluir los pasos siguientes:
comunicar - Tratar de resolver el problema en solitario puede hacer perder tiempo si la situacin se
descontrola.
si necesario, crear un equipo de respuesta
evaluar la situacin - Averiguar tanto como se pueda sin incurrir en riesgos personales
Predecir el resultado ms probable y adaptar el Plan de Continuidad de Negocio para ofrecer una
estrategia de respuesta
Predecir un resultado para el peor de los casos y disponer de una estrategia de respuesta de respaldo
Llevar la respuesta al grado adecuado de responsabilidad dentro de la organizacin
Poner en prctica la estrategia de respuesta
Evaluar el progreso de la respuesta con respecto al resultado ms probable
En cuanto la situacin lo permita, revisar la efectividad de la respuesta
El resultado de una respuesta exitosa es un regreso controlado de la organizacin a su actividad
normal.
La respuesta de la organizacin debera evaluarse tan pronto como sea posible despus de la
interrupcin y efectuar las modificaciones necesarias a los procedimientos, personal o contratos.
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
37
INDICADORES DE GCN
COMPROMISODE LA ALTADIRECCIN
CONTENIDODE LAPOLTICA
GESTINDE PROGRAMADE GCN
RECURSOS DE LAGCN
Estos son los elementos clave que se esperan de una organizacin madura que cuenta con GCN:
1. La organizacin posee una poltica de GCN
2. El Consejo de Administracin o su equivalente es responsable ltimo de la instauracin de la
Poltica GCN
3. El Consejo de Administracin ha nombrado a un comit o persona con autoridad, experiencia y
capacidad necesarias para responsabilizarse y rendir cuentas de la poltica de GCN
4. La responsabilidad operativa de la GCN se refleja claramente en los objetivos de resultados de la
alta direccin
5. La alta direccin ha definido directrices claras de responsabilidad e informacin para todas las
personas a cargo de la GCN
6. Existe una autoridad centralizada de GCN que se encarga de asegurar que toda la organizacin
comparte estndares y prcticas comunes
7. Define principios, objetivos y el propsito de la GCNen la organizacin
8. Expone la definicin de GCNpara la organizacin
9. Expone los procedimientos que garantizan que todas las unidades de negocio tienen total
conocimiento y cumplen la poltica
10. Explica de forma clara los lmites de alcance y las salvedades que se aplican en su interpretacin
11. Expone plazos explcitos para el cumplimiento de todos los objetivos de la poltica de GCN
12. Hace referencia al conjunto de estndares mnimos adoptados para la GCN
13. Hace referencia al marco operativo y de gestin de la GCN
14. Hace referencia a la tolerancia o capacidad de absorcin de riesgos de la organizacin
relacionados con la GCN
15. Obliga a promover la GCNdentro de la cultura de la organizacin
16. Obliga a que todas las terceras partes y empresas subcontratadas de crtica importancia
dispongan de polticas de GCNaceptables
17. Apoya y est en lnea con los objetivos estratgicos de la organizacin
18. La poltica exige controles de cambios efectivos para todos los componentes del programa de GCN
19. La poltica se revisa de forma regular para asegurar que refleja las necesidades cambiantes de la
empresa
20. La poltica define factores desencadenantes para revisiones de todos los componentes de la GCN,
tanto las peridicas como las causadas por cambios
21. Est instaurado un programa de GCN para poner en prctica la poltica de GCN en todas las reas
de la organizacin
22. Sus objetivos y alcance estn claramente definidos y formalmente aceptados por la alta direccin
23. Est completa y claramente en lnea con los objetivos y estrategias ms amplios de la
organizacin
24. Sus avances se comunican de forma regular a los proveedores, clientes y dems partes
interesadas de la organizacin
25. Est formalmente gestionado por la alta direccin, a la cual se informa sistemticamente del
grado de cumplimiento de objetivos
26. Siempre se actualiza rpidamente para reflejar las nuevas adquisiciones del negocio, acuerdos de
subcontratacin y cambios principales en proyectos o sistemas
27. Estn formalmente supervisados, respaldados y autorizados por la alta direccin
28. Estn supervisados, gestionados y operados por personas competentes y cualificadas
29. Definen claramente y reconocen formalmente los roles, responsabilidades y grados de autoridad
de las personas involucradas en su operacin
30. Los roles y responsabilidades de todas las personas en el programa se reflejan de forma clara en
sus perfiles de puestos y objetivos de resultados
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
38
31.El programa de GCNidentifica las siguientes medidas como obligatorias:
A. Anlisis de Impacto en el Negocio (AIN)
B. Evaluacin de riesgos relacionados con la continuidad
C. Previsin de estrategias realistas de continuidad de negocio
D. Planificacin de gestin de incidentes
E. Planificacin de continuidad de negocio
F. Probar la GCN
G. Promover la concienciacin en GCN
H. Mantener la capacidad en GCN
I. Gestin efectiva de programa de GCN
J. Adopcin de poltica de GCN
32. Las actividades se revisan y autorizan formalmente por una persona con autoridad adecuada
33. Los proyectos se revisan y actualizan para tomar en cuenta los cambios que afectan su validez
34. Los proyectos se gestionan formalmente con respecto a plazos y objetivos definidos en la poltica
35. El programa de GCNest documentado de forma clara y completa
36. El programa de GCN especifica claramente el punto de vista que se utilizar para documentar
cada componente
37. El programa de GCNcontrola toda la documentacin obligatoria de la actividad de GCN.
GESTINDE PROYECTO
DOCUMENTACIN
1
2

3

4

5

6
c
a
p
P
O
L

T
I
C
A
Y
G
E
S
T
I

N
D
E
P
R
O
G
R
A
M
A
D
E
G
C
N
39
1 3 4 5 6 2 captulo
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
Comprender
la organizacin
40
Acerca del Captulo 2 - Comprender la organizacin
COMPONENTES DE LAETAPA2
COMPRENDERLAORGANIZACIN
La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles
impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer
de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y
dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.
Comprender la organizacin es un elemento clave de toda buena Gestin de Continuidad de Negocio.
Busca identificar los productos y servicios clave de una organizacin, y tras ello definir los factores
crticos de las actividades que estn detrs. Esta parte de la GCN debe estar totalmente integrada
dentro de los objetivos, obligaciones y estatutos de la organizacin.
1. PRINCIPIOS GENERALES
2. ANLISIS DELIMPACTOENELNEGOCIO
3. EVALUAR LOS REQUISITOS DE RECUPERACIN
4. EVALUAR LASAMENAZAS (EVALUACINDE RIESGOS)
Una comprensin del negocio mediante la combinacin de unAnlisis del Impacto en el Negocio (AIN)
y una Evaluacin de Riesgos (ER) puede en muchos casos destacar las ineficiencias del negocio y
centrarse en prioridades que de otra forma no podra ver la alta direccin.
1
3

4

5

6
2
c
a
p
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
41
COMPRENDERLAORGANIZACIN
Principios generales
Referencia: BS 2999-1 Seccin 6
Tal y como se describe en la seccin dedicada a la Poltica de GCN, la organizacin debe tomar una
decisin clara acerca de si la GCN afectar a toda la organizacin o slo a ciertos productos o
servicios. Esto determina el alcance del Anlisis del Impacto en el Negocio (AIN) y de la Evaluacin de
Riesgos (ER).
Las herramientas para comprender su negocio desde un punto de vista de continuidad de negocio son:
Anlisis del Impacto en el Negocio (AIN) - un proceso obligatorio para calcular el impacto en el
tiempo de una interrupcin en la capacidad de operar de una organizacin.
Anlisis de Requisitos de Continuidad - para calcular los recursos, instalaciones y servicios que
necesitar cada actividad cuando se reinicie.
Evaluacin de Riesgos (ER) - para calcular la probabilidad de amenazas conocidas y su impacto sobre
funciones especficas.
El AINidentifica la urgencia de cada actividad de negocio llevada a cabo por la organizacin al evaluar
el impacto en el tiempo de una interrupcin de esta actividad en la entrega de productos y servicios.
Se utiliza esta informacin para identificar el plazo de las estrategias de continuidad y recuperacin
apropiadas para cada actividad por separado y entre ellas.
El Anlisis de Requisitos para la Continuidad ofrece la informacin que permitir determinar la
magnitud (tamao y cantidad) de las medidas apropiadas de continuidad.
La Evaluacin de Riesgos (ER) ayuda a identificar las posibles causas de interrupcin en una
organizacin, la probabilidad de que suceda y el impacto en caso de que la amenaza se materialice. A
partir de entonces se pueden detectar medidas que reduzcan la probabilidad de que suceda o
aminoren el impacto de un incidente que se produzca por estas amenazas. Dentro del programa de
GCN, tras estudiar los resultados del AIN, una ER debera dar prioridad a tecnologas especficas y
riesgos inherentes a las actividades de negocio identificadas, y no en todos los riesgos que encara la
organizacin.
1
3

4

5

6
2
c
a
p
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
42
ANLISIS DELIMPACTOENELNEGOCIO
1. Introduccin
2. Pasos previos
Referencia: BS 2999-1 Seccin 6.23
El Anlisis del Impacto en el Negocio son los cimientos sobre los que se construye todo el proceso de
GCN.
Identifica, cuantifica y califica los impactos sobre el negocio de una prdida, interrupcin o trastorno
de los procesos de una organizacin y ofrece los datos a partir de los que se determinan las estrategias
de continuidad adecuadas.
Se puede utilizar un Anlisis del Impacto en el Negocio (AIN) para identificar el plazo y magnitud del
impacto de un trastorno en varios niveles de una organizacin. Por ejemplo para examinar el efecto
de:
La prdida de capacidad para entregar cada producto o servicio - para tomar decisiones informadas
acerca del alcance del programa de GCN.
Una interrupcin de las actividades internas y externas que creara un trastorno en la entrega de
productos y servicios - para disponer de informacin para elegir las opciones de continuidad y los
recursos que necesitan.
Un trastorno en una actividad de negocio - para ayudar a preparar un plan detallado para el
departamento.
Una vez determinado el alcance, el AIN se centra en las actividades (que apoyan esos productos y
servicios) e identifica aquellas cuya deficiencia pondra ms rpido en riesgo la entrega. Tienden a
ser actividades "operativas" que interactan de forma directa con clientes o otras organizaciones
externas. No obstante es posible que estas actividades dependan para la entrega del "apoyo" de otros
procesos internos y externos, que tambin debern ser analizados.
Algunos ejemplos de funciones operativas:
Servicio a cliente
Ventas
Produccin
Algunos ejemplos de funciones de apoyo:
TI
Recursos humanos
Servicios externos de apoyo tales como energa
Algunos ejemplos de actividades estratgicas:
Direccin
Proyectos
Planificacin
Antes de intentar realizar un Anlisis del Impacto en el Negocio (AIN) es necesario lograr el apoyo
total de la direccin ejecutiva y la mayora de la alta direccin. Es poco probable que los dems
directivos estn dispuestos a dedicar tiempo a este ejercicio si no est asegurado el apoyo de las ms
altas esferas.
Antes de llevar a cabo el AIN se puede haber tomado una decisin acerca de qu productos y servicios
se incluirn en el programa de GCN, algo que quedar documentado en la Poltica de Gestin de
Continuidad de Negocio (GCN). El mtodo de AIN tambin puede utilizarse para comprender el
impacto de un fracaso en la entrega de un producto o servicio. Esto luego sirve para tomar decisiones
informadas.
La Poltica de GCN es el documento clave que determina el alcance y buen gobierno del programa de
GCN. La Poltica ofrece el contexto en el que el equipo de GCN pondr en marcha las competencias
necesarias. Para desarrollar un programa adecuado de Gestin de Continuidad de Negocio debe
asegurarse que refleja los objetivos y la cultura de la organizacin (Ver Captulo 1).
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
1
3

4

5

6
2
c
a
p
43
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Conceptos
Terminologa: actividades 'crticas'
Suposiciones
Confidencialidad de la informacin
Alcance y magnitud
El propsito de unAnlisis del Impacto en el Negocio es - para cada actividad, producto y servicio:
Documentar los impactos a lo largo del tiempo causados por su prdida o trastorno
Dar elementos a la direccin para tomar una decisin acerca del Perodo Mximo Tolerable de
Interrupcin
Identificar las dependencias (tanto internas como externas) que se generan obligatoriamente para
que la actividad opere de forma efectiva
Es posible, e incluso deseable, que se utilice un AIN para evaluar por adelantado el impacto de una
interrupcin de un cambio sustancial de negocio, como:
Introduccin de un nuevo producto, proceso o tecnologa
Cambio de ubicacin de las oficinas o modificaciones de la extensin geogrfica del negocio
Cambio significativo en las operaciones, estructura o niveles de personal del negocio
Incorporacin de un nuevo proveedor o contrato de subcontratacin importantes
Perodo Mximo Tolerable de Interrupcin (PMTI). Se trata del plazo despus del cual la viabilidad de
una organizacin (tanto financiera como por prdida de reputacin) se ver amenazada de forma
irrevocable si no puede reiniciar la entrega de un producto y servicio especfico.
Es posible que el PMTI tenga un componente estacional. Por ejemplo, el final de un ao fiscal puede
reducir el tiempo tolerable de interrupcin de la actividad financiera y un contrato nico que
conlleve penalizaciones significativas puede reducir el nivel tolerable de inactividad de varias
funciones de la organizacin.
Objetivo de Punto de Recuperacin (OPR) - es el punto en el que la informacin debe ser restaurada
para permitir la operacin de una actividad una vez se haya reiniciado.
Tras determinar el PMTI de cada actividad, suele ser recomendable vincular esas actividades con
requisitos similares de recuperacin. Algunas veces las organizaciones definen estos grupos segn su
plazo de recuperacin (por ejemplo, 1 da, 2 da, 1 semana,... etc); otras utilizan el trmino "crticas"
para ciertas actividades necesarias en los primeros das.
Aquellos que no estn familiarizados con la terminologa de GCN, se suele confundir el trmino
"crtico" como "importante", lo que conlleva confusiones a la hora de recolectar datos para el AIN y la
creencia errnea de que no se necesitan planes y tcticas de recuperacin para las actividades "no
crticas". Otros trminos menos ambiguos son "crtico en tiempo", "sensible al tiempo" y "urgente".
Se asume que es posible entender la organizacin mediante el anlisis por separado de sus
actividades de negocio.
Es posible que el PMTI sea difcil de determinar en el caso de funciones con componentes
estacionales o peridicos como los proyectos de final de ao. En tales casos el anlisis de impacto
debera centrarse en una interrupcin de la actividad durante uno de estos picos.
Cuando ya existan medidas de resistencia instauradas, se asume que ya estn operativas (aunque
pueden revelarse inadecuadas).
Es posible que cierta informacin tenga carcter confidencial para el mercado o el sector, por lo que
algunas organizaciones no la revelarn al responsable de GCN. El hecho de no disponer de esta
informacin no debera impedir la relacin del AIN, aunque podra afectar a la fiabilidad de los
resultados finales.
Si la organizacin es parte de un grupo identificar la relacin existente entre las diferentes partes
de la organizacin, ya que esto puede afectar al PMTI.
Si la organizacin tiene varias ubicaciones, determinar el alcance geogrfico del AINde la Poltica.
Conseguir que el responsable de proyecto nombrado por la alta direccin ratifique los trminos de
referencia.
1
3

4

5

6
2
c
a
p
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
44
Anlisis del Impacto en el Negocio
Informes
Recopilacin de datos
Cuestionarios para la recopilacin de datos
6. Mtodos y Tcnicas
Identificar las actividades diferenciadas a lo largo de la organizacin (que pueden implicar a varios
departamentos) y los responsables de esos procesos.
Identificar el personal adecuado del que se puede conseguir la informacin acerca de los procesos
los expertos en la materia.
Identificar los impactos que pueden provocar daos para la reputacin, activos o situacin
financiera de la organizacin.
Cuantificar los tiempos en los que una interrupcin de cada actividad resulta inaceptable para la
organizacin.
En aquellos casos en el que la organizacin dispone de varios emplazamientos puede ser necesario
decidir cul ser el alcance geogrfico de un trastorno o la magnitud de la prdida de recursos que la
organizacin tiene que planificar de cara a sobrevivir. Esto puede ser determinado por:
Amplitud geogrfica (o extensin de mercado/cliente)
Obligaciones legales o estatutarias
Requisitos de los productos, del mercado o de los clientes
Lograr que los responsables de los procesos ratifiquen los datos para confirmar la fiabilidad de la
informacin.
Obtener el respaldo del responsable de GCNpara las conclusiones.
Algunos mtodos, herramientas y tcnicas para llevar a cabo los Anlisis de Impacto en el Negocio:
Talleres
Cuestionario (s) - en papel y/o software
Entrevistas (estructuradas y no estructuradas)
En trminos generales:
Los talleres ofrecen resultados rpidos y una oportunidad para establecer un compromiso directo
con el programa siempre y cuando todos los departamentos y participantes hayan asumido su
importancia.
Los cuestionarios ofrecen grandes cantidades de datos, pero la calidad de la informacin puede ser
muy cuestionable si no se han obtenido de forma coherente.
Las entrevistas pueden ofrecer muy buena informacin pero llevan tiempo y los datos logrados
pueden variar en formato y detalle.
La combinacin de los mtodos reseados puede ofrecer excelentes resultados siempre y cuando se
establezca un grado adecuado de detalle y un formato estndar de informes que permitan una
coherencia en la recopilacin y anlisis de la informacin a lo largo de mltiples reas de la
organizacin.
No existe una metodologa nica para recoger los datos en un Anlisis del Impacto en el Negocio. Los
mtodos cambian segn el sector y segn las personas responsables. Cada sector de actividad tiene
sus necesidades especficas en lo que se refiere a resultados, tipos de informacin, profundidad y
alcance. No obstante se deben considerar algunos principios bsicos:
El objetivo del AIN es recopilar informacin que sustenten la eleccin de las estrategias de
continuidad adecuadas, que se sustenta en la urgencia de cada actividad para reiniciarse
Cmo se utilizar la informacin que recoja?
Cul es el mejor formato para la recopilacin de datos de cara a presentar resultados de forma
efectiva?
Informacin bsica que se necesita para determinar la urgencia de la actividad que se analiza tanto
por separado como siendo parte integral de la organizacin:
Plazos en los que la actividad debe reiniciarse
Ubicaciones desde las que se lleva a cabo la actividad
Cuestiones que influyen sobre la actividad, por ejemplo perodos pico, informes a las
autoridades...
Cul sera el impacto de suspender la actividad
Cunto tiempo puede sobrevivir la organizacin sin ella
-
-
-
-
-
-
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
1
3

4

5

6
2
c
a
p
45
-
-
-
-
-
-
-
-
Existen alternativas?
Factores que deben tomarse en cuenta:
Volmenes, por ejemplo, llamadas por hora, produccin...
Obligaciones contractuales o legales
Herramientas clave para lograr la continuidad de la actividad (cuntas, dnde y cundo):
Personal conjunto de habilidades
Equipos TI, telecomunicaciones, planta de fabricacin / industrial
Datos en papel y electrnicos
Dependencias internas o externas a la organizacin
Existen varios productos informticos disponibles para llevar a cabo Anlisis del Impacto en el
Negocio que pueden ser tiles, aunque no esenciales. Las principales ventajas de utilizar un software
radican en la facilidad de analizar resultados, el almacenamiento de informacin y la elaboracin de
informes de resultados. No obstante, su utilizacin no elimina la necesidad de realizar entrevistas o
involucrar a las personas que conozcan la actividad que se analiza.
Cada organizacin tiene su estilo para elaborar informes. En algunos casos ese estilo tendr que ser
ajustado para lograr que muchos grupos lo puedan interpretar dentro de la misma organizacin y
puede incluir tablas y grficos. El formato idneo de informes de la organizacin debe ser establecido
y acordado en el momento de determinar el alcance de la actividad ya que el formato final de reporte
puede afectar la forma de recopilar, agregar, analizar y presentar la informacin.
Los resultados de unAnlisis del Impacto en el Negocio son:
1) El Perodo Mximo Tolerable de Interrupcin y su justificacin (naturaleza de los impactos) para
cada
actividad
2) El Objetivo de Punto de Recuperacin (OPR) al que la informacin tiene ser restaurada para
permitir que una actividad opere una vez que se ha reiniciado.
Las buenas prcticas indican que unAnlisis del Impacto en el Negocio debera revisarse como mnimo
una vez al ao, pero de forma ms frecuente en caso de:
Un cambio importante en el negocio a un ritmo particularmente agresivo
Un cambio importante en los procesos internos de negocio, ubicacin o tecnologa
Un cambio importante en el entorno externo de negocio, como un cambio en el mercado o en las
leyes.
Esto no significa necesariamente que se deba rehacer todo el AIN. Un diseo cuidadoso de los
informes del AINpuede facilitar este proceso si ofrece una comparacin con respecto a cambios en las
reas reseadas. En tal caso se puede medir los cambios de impacto relativos a esas cuestiones.
Software
Informes
7. Resultados
8. Revisin
1
3

4

5

6
2
c
a
p
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
46
EVALUARLOS REQUISITOS DE CONTINUIDAD
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y Tcnicas
7. Resultados
Referencia: BS 2999-1 Seccin 6.4
Requisitos de Continuidad
Requisitos de Continuidad
Informes
Recopilacin de datos
El Anlisis de Requisitos de Continuidad recopila informacin acerca de los recursos necesarios para
reiniciar y continuar las actividades de negocio al nivel suficiente para satisfacer las obligaciones de
las organizaciones.
Este paso se suele dar al mismo tiempo que se busca la informacin para el AIN.
Su propsito es:
Ofrecer la informacin de recursos a partir de la que se puede recomendar o determinar una
estrategia de recuperacin adecuada
Identificar las necesidades de recursos derivadas de las dependencias tanto internas como externas
que se generan para llevar a cabo las actividades
Se suele asumir que los recursos necesarios despus de un trastorno sern mucho menores que los que
se requieren durante las operaciones normales - al menos durante un tiempo. Sin embargo en algunos
casos es posible que los recursos necesarios en las primeras etapas de recuperacin sean mayores de
los normalmente utilizados para resolver retrasos en la entrega. Por ejemplo, en un centro de
llamadas se puede necesitar personal adicional para resolver la cantidad de llamadas suplementarias
que se recibirn tras una interrupcin, adems de que puede que los sistemas de TI de apoyo
necesiten una mayor capacidad para responder a este nmero suplementario de usuarios.
Cuantificar los recursos (es decir, personal, tecnologa, telefona...) que sern necesarios a lo largo
del tiempo para mantener el negocio en un nivel aceptable durante el plazo mximo tolerable de
trastorno. Durante un tiempo despus del trastorno pueden ser menores o mayores que las
necesidades habituales de recursos. Deberan tener en cuenta cualquier actividad suplementaria que
se generar a consecuencia de la interrupcin y la necesidad de eliminar los retrasos en la entrega
que ya existan.
Hacerlos ratificar por el responsable del proceso para confirmar la veracidad de la informacin
Lograr que las conclusiones estn respaldadas por el responsable de GCN
Iniciar el desarrollo de la estrategia de GCN
Los mtodos, herramientas y tcnicas para llevar a cabo un Anlisis de Requisitos de Continuidad
incluyen:
Talleres
Cuestionario (s) - en papel y/o software
Entrevistas estructuradas o no estructuradas
Se suele recoger esta informacin al mismo tiempo que la informacin relativa al AIN
Los resultados de unAnlisis de Requisitos de Continuidad son:
Los recursos que se necesitan durante el tiempo despus del retorno de la actividad para ofrecer los
niveles de servicio acordados.
Las interdependencias entre actividades internas y proveedores externos.
Esta informacin alimenta de forma directa la etapa de creacin de una Estrategia de Continuidad de
Negocio.Las necesidades de recursos ofrecern los datos para evaluar soluciones alternativas de
recuperacin que se adecuen en tamao y resultados.
Presentarlos a la alta direccin para determinar si los resultados se veran impactados por
cualquiera de las modificaciones de negocio propuestas y para su aprobacin para que pasen a la
etapa de diseo de estrategia.
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
1
3

4

5

6
2
c
a
p
47
1
3

4

5

6
2
c
a
p
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
8. Revisin
EVALUARLASAMENAZAS (EVALUACINDE RIESGOS)
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
Referencia: BS 2999-1 Seccin 6.5
Antes de efectuar una Evaluacin de Riesgos se debe llevar a cabo un Anlisis del Impacto en el
Negocio para identificar las funciones ms urgentes en las que debe centrarse la evaluacin de
riesgos.
Conceptos:
La revisin del anlisis de requisitos de continuidad debera realizarse al mismo tiempo que la del AIN.
En el contexto de la GCN, una Evaluacin de Riesgos estudia la probabilidad e impacto de una serie de
amenazas especficas que podran causar una interrupcin en el negocio. Asignando prioridades es
posible instaurar medidas para reducir la probabilidad o frenar el impacto de estas amenazas.
Cuando se evalan las amenazas para las actividades del negocio, el AIN ofrece una dimensin
suplementaria (tiempo) en la conocida ecuacin Impacto de la Amenaza x Probabilidad. Esto sugiere
que los esfuerzos para instaurar iniciativas para atacar los riesgos deberan dirigirse a aquellas
actividades que afectarn ms rpido el negocio.
Es difcil extender el Anlisis de Riesgos a toda la organizacin. Pero al centrarse en los recursos
necesarios para operar las actividades ms urgentes de la organizacin (es decir, siguiendo unAIN), el
enfoque de la Evaluacin de Riesgos puede reducirse a un alcance ms manejable.
Debera entenderse que la Evaluacin de Riesgos presenta serias deficiencias a la hora de evaluar
riesgos operativos catastrficos porque:
Es imposible identificar todas las amenazas.
Las estimaciones de probabilidad son conjeturas o estn basadas en informacin histrica y a veces
poco fiable.
Los impactos no son fijos ("alto, medio y bajo") pero crecen en diferentes ritmos con el paso del
tiempo.
Las escalas numricas utilizadas suelen exagerar el impacto de acontecimientos menores.
La Evaluacin de Riesgos puede identificar concentraciones de riesgos inaceptables y lo que se llama
"puntos nicos de fallo". Estos deben ser comunicados lo antes posible al responsable de Continuidad
de Negocio en la alta direccin adems de presentarle opciones para resolver el problema. La
decisin estratgica de mitigar, transferir o aceptar el riesgo debe estar documentada y ratificada.
En algunos pases y sectores es obligatorio realizar la Evaluacin de Riesgos.
El propsito de una Evaluacin de Riesgos es:
Identificar las amenazas internas y externas que podran causar un trastorno y evaluar su
probabilidad e impacto
Dar prioridad a las amenazas segn una frmula acordada
Dar elementos de juicio para un programa de control de gestin de riesgos y un plan de accin.
Independiente de la complejidad de la frmula que se adopte, se asume la relacin siguiente:
Riesgo = Impacto de la amenaza x Probabilidad
Algunos modelos de riesgo ordenan los riesgos por: Prioridad = Riesgo x Capacidad para controlar ese
riesgo. Esto asigna una prioridad a las amenazas que son ms fciles de controlar con el argumento
implcito de que as se lograr el mejor retorno para la inversin en tiempo y dinero, pero no tiene en
cuenta muchos impactos externos.
En otros modelos de riesgo los riesgos evaluados se examinan sin la existencia de controles y luego con
los controles reales y deseados ya instalados. Este segundo paso sirve para recalcar que no se deben
hacer suposiciones a la hora de gestionar el entorno de control de riesgos y que se debera de medir la
efectividad de los controles en su estado real, cuando estn amenazados y luego mejorados. Si
despus de este segundo paso una organizacin decide que no quiere mejorar los controles - quizs
debido a un coste excesivo, los responsables de Riesgos y GCN tienen que ser conscientes de ello y
tomar en cuenta esta decisin en su visin.
48
El "apetito para los riesgos" o "nivel de tolerancia de riesgos" de la organizacin es la cantidad de
riesgos que una organizacin est dispuesta a aceptar y influir en las acciones que tomar para
controlar las amenazas reconocidas.
Se pueden identificar todas las amenazas realistas.
Hay disponibles estadsticas fiables para calcular la probabilidad de que suceda.
Las amenazas ms fciles de controlar (las relativas a personal o edificios propios) deben tener una
mayor prioridad con respecto a las que es ms difcil de influir como las malas condiciones
meteorolgicas.
La utilizacin de una escala numrica para asignar un valor a los impactos puede reflejar de forma
adecuada la importancia relativa de activos de ms difcil cuantificacin, como la reputacin.
La utilizacin de una escala numrica (1,2,3.) sirve para representar una relacin realista entre los
diferentes impactos y sus probabilidades (cuando en realidad puede ser ms realista una escala
logartmica, (por ejemplo 1, 10, 100, 1000...)).
Las etapas clave de una Evaluacin de Riesgos son:
Tabular un sistema de puntuacin para impactos y probabilidades y obtener el acuerdo del
responsable del proyecto.
Hacer una lista de los procesos urgentes determinados por el AIN.
Estimar el impacto de la amenaza sobre la organizacin mediante un sistema de evaluacin
numrico.
Determinar la probabilidad o frecuencia de que ocurra cada amenaza y darle un grado de
importancia mediante un sistema de evaluacin numrico.
Calcular el riesgo mediante la combinacin de las valoraciones de impacto y probabilidad de cada
amenaza segn una frmula acordada.
Se puede asignar rangos de prioridad a los riesgos segn una frmula que incluya una medida de la
capacidad para controlar la amenaza.
Obtener la ratificacin por escrito del responsable de la organizacin para estas prioridades de
riesgo.
Revisar las estrategias existentes de gestin de control de riesgos fijndose en aquellos puntos en los
que el nivel de riesgo detectado no se corresponde con las actuales estrategias de gestin de riesgos
relativas a esa amenaza.
Considerar la instauracin de medidas adecuadas para:
Transferir el riesgo, por ejemplo con una compaa de seguros
Aceptar el riesgo, por ejemplo all donde el impacto y/o la probabilidad sean bajos
Reducir el riesgo, por ejemplo mediante la puesta en marcha de mayores controles
Evitar el riesgo, por ejemplo mediante la eliminacin de la causa u origen de la amenaza
Asegurar que las medidas planificadas contra los riesgos no aumentan otros riesgos. Por ejemplo,
subcontratar una actividad puede reducir ciertos riesgos, y a su vez elevar otros.
Obtener del responsable la autorizacin por escrito y el presupuesto para las medidas propuestas de
gestin de control de riesgos.
Algunos de los mtodos, herramientas y tcnicas para lograr una Evaluacin de Riesgos:
Anlisis del rbol de Eventos
Anlisis del rbol de Fallos
Estadsticas de las empresas de seguros
Estadsticas publicadas acerca de la frecuencia de desastres
Existen muchos sistemas de evaluacin en los libros que se han publicado acerca del tema.
Suposiciones
Determinar las amenazas
Evaluar las probabilidades
Sistemas de evaluacin
5. Proceso
6. Mtodos y tcnicas

C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
1
3

4

5

6
2
c
a
p
49
1
3

4

5

6
2
c
a
p
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
Tabular los riesgos
Evaluar soluciones
7. Resultados
8. Revisin
Matriz de Vulnerabilidad a las Amenazas
Matriz de Riesgo
Anlisis de coste y beneficio.
Los resultados de una Evaluacin de Riesgos deben identificar y documentar:
Los puntos especficos de fallo
Una lista de amenazas a la organizacin o a los procesos de negocio analizados, clasificadas por
orden prioritario
Informacin para una estrategia de gestin de control de riesgos y un plan de accin para atajar los
riesgos
Aceptacin demostrada de los riesgos identificados que no se van a atajar
Se debe realizar la Evaluacin de Riesgos tal y como est definida en la estrategia de gestin de
riesgos de la organizacin. Normalmente tendr una periodicidad anual para aquellos procesos ms
sensibles a los tiempos, pero ser ms frecuente si:
El ritmo en la evolucin del negocio es particularmente agresivo.
Se han producido importantes cambios en el negocio en lo que se refiere a los procesos internos, la
ubicacin o los recursos tecnolgicos
Se ha registrado una modificacin importante en el entorno del negocio un cambio en el mercado o
en las obligaciones legales, por ejemplo.
Nota: Se habla de BS 25999-1 Seccin 6.6 (Determinar opciones) en Etapa 1Alcance del Programa de
GCN.
50
INDICADORES CLAVE DE GCN
BUENGOBIERNOCORPORATIVO
PRCTICADEL AIN
Estos son los elementos clave de lo que se espera de una organizacin con una GCNmadura
1. El programa de GCN contiene mecanismos formales explcitos que garantizan el cumplimiento de
todas las leyes, normas y cdigos sectoriales de buenas prcticas
2. El programa de GCN contiene mecanismos formales explcitos que garantizan el cumplimiento de
todas las polticas y directrices internas y los cdigos sectoriales de buenas prcticas adoptados
3. El programa de GCN contiene mecanismos formales explcitos que permiten rpidamente
identificar y reflejar todos los cambios en los estatutos, polticas o cdigos que afectan a la GCN
4. La organizacin lleva a cabo el Anlisis del Impacto en el Negocio (AIN) para todas las reas de
operacin
5. El AIN evala y registra a lo largo del tiempo la tolerancia de las partes interesadas a verse privadas
de los productos, servicios y otros intereses
6. El AIN evala y registra a lo largo del tiempo la tolerancia de la organizacin a cada tipo de gran
impacto relacionado con la continuidad que pueda enfrentar
7. El AINevala y registra a lo largo del tiempo los posibles tipos, niveles de gravedad y combinaciones
de impacto relacionados con la continuidad
8. El AIN evala y registra a lo largo del tiempo el impacto conjunto sobre la organizacin de la falta
de recuperacin de cada actividad despus de un trastorno
9. El AINestablece, cuantifica y justifica:
A. El Perodo Mximo Tolerable de Interrupcin para cada actividad
B. Los niveles a los que, con el tiempo, todas las actividades deben regresar
C. Todos los recursos de cada actividad para lograr los objetivos de tiempos de recuperacin
D. Las actividades o funciones, recursos e infraestructuras de la organizacin
10. El AINtoma totalmente en cuenta y cumple en toda su extensin con la poltica de GCN
11. El AINcumple integralmente con la visin estipulada por la organizacin
12. Los datos y conclusiones derivados del AINestn totalmente documentados
13. El AINy toda su documentacin asociada:
A. Representa una visin actualizada que refleja el estado de la organizacin
B. Una vez al ao se revisar formalmente con respecto a la Poltica de GCN y ms veces si sucede
un cambio en el perfil de impacto de la organizacin
C. Debe ser ratificado por la alta direccin
14. El AINtoma en cuenta los siguientes tipos de impactos financieros tangibles
A. Coste de oportunidad
B. Aumentos en los costes laborales y gastos
C. Ingresos o equivalentes que hayan registrado una reduccin de valor
D. Ineficiencia y rentabilidad
E. Remplazo de activos no asegurados
F. Coste del capital y viabilidad financiera
15. El AINtoma en cuenta los siguientes tipos de impactos no financieros intangibles
A. Reputacin marca y presencia
B. Obligaciones legales y contractuales
C. Calidad de productos y servicios
D. Confianza y apoyo de los accionistas, proveedores, clientes y dems partes interesadas
E. Bienestar y estado de la moral del personal
F. Control operativo y de gestin
G. Daos medioambientales
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
1
3

4

5

6
2
c
a
p
51
1
3

4

5

6
2
c
a
p
C
O
M
P
R
E
N
D
E
R
L
A
O
R
G
A
N
I
Z
A
C
I

N
PRCTICADE EVALUACINDE RIESGOS
16. De forma sistemtica la organizacin planifica y lleva a cabo una evaluacin formal de riesgos
relacionados con la GCNpara todas las reas de operacin
17. La Evaluacin de Riesgos identifica, evala y registra los elementos siguientes:
A. Todos los riesgos y amenazas importantes para las actividades y recursos ms urgentes de la
organizacin
B. Todas los aspectos vulnerables importantes de cada una de las actividades y recursos de la
organizacin que tengan mayor sensibilidad a los tiempos
C. Todas las concentraciones de riesgos importantes que amenacen la continuidad de negocio
(puntos nicos de fallo)
D. Todos los riesgos de continuidad importantes que se deban a proveedores o empresas
subcontratadas
18. La Evaluacin de Riesgos identifica, evala y registra:
A. Todos los escenarios de trastornos importantes que podran afectar a la organizacin
B. Los riesgos para la continuidad que deben ser aceptados, desviados a otro sitio o no
contemplados por el programa de GCN
C. Las medidas que reducen la probabilidad, duracin e impacto de un trastorno de los productos y
servicios clave de la organizacin
D. Los riesgos para la continuidad derivados de la escasez o concentracin de habilidades clave
19. La Evaluacin de Riesgos utiliza la informacin de impactos del AIN para ofrecer una buena
estimacin del grado de exposicin
20. La Evaluacin de Riesgos vuelve a especificar y toma en cuenta el grado de tolerancia de la
organizacin para los riesgos de continuidad
21. La Evaluacin de Riesgos:
A. Utiliza estadsticas apropiadas para evaluar la probabilidad de cada amenaza realista para la
continuidad
B. Hace referencia a los contratos de seguros de la organizacin y cuantifica el grado de exposicin
que se deriva
C. Es parte integral del marco de gestin y control de riesgos de la organizacin
D. Ofrece la base para establecer una prioridad en la forma de atajar los riesgos de continuidad
22. La organizacin dispone de estrategias formales para aminorar todos los riesgos de continuidad
del negocio para todas las reas y operaciones
23. Las estrategias aminoran los efectos de, y aseguran que la organizacin pueda tolerar y
recuperarse de forma aceptable de:
A. Todos los escenarios relativos a la continuidad identificados en la Evaluacin de Riesgos
B. Imposibilidad de acceso o prdida de un lugar de trabajo
C. Cualquier fallo tecnolgico
D. Cualquier fallo de bienes bsicos o proveedores
E. Cualquier fallo en las empresas subcontratadas u otras unidades de negocio
F. Cualquier emergencia civil que surja
52
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1 2 4 5 6 3 captulo
Determinar la estrategia
de Continuidad de Negocio
53
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
Acerca del captulo 3 Determinar la Estrategia de Continuidad de Negocio
COMPONENTES DE LAETAPA3
DETERMINARLAESTRATEGIADE CONTINUIDADDE NEGOCIO
La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles
impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer
de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y
dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.
Determinar la Estrategia de Continuidad de Negocio es un elemento clave para la buena Gestin de
Continuidad de Negocio. Para lograrlo es necesario basarse en la etapa de Comprender la
organizacin de cara a elegir las estrategias de continuidad adecuadas que cumplan los objetivos
definidos en el AIN. Debe adems respaldar los objetivos y obligaciones de la organizacin a unos
costes ajustados.
1. OPCIONES DE ESTRATEGIA
2. OPCIONES PARALACONTINUIDADDE LAACTIVIDAD
3. CONSOLIDACINDE RECURSOS
54
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
DETERMINARLAESTRATEGIADE CONTINUIDADDE NEGOCIO
1. Introduccin
Referencia: BS 2999-1 Seccin 7
La primera parte de "Determinar la Estrategia de Continuidad de Negocio" se centra en las cuestiones
generales que garantizan la proteccin de la capacidad de la organizacin para entregar un producto
o servicio en el marco de su programa de Continuidad de Negocio. La siguiente, "Opciones para la
Continuidad de la Actividad" describe las tcticas disponibles para asegurar la continuidad de las
actividades que respaldan la entrega de esos productos o servicios.
Tambin tiene sentido, si se puede, poner en marcha medidas que reduzcan la probabilidad de que
sucedan incidentes o aminorar su impacto en caso de que sucedan. Pero no se pueden ofrecer
consejos acerca de su efectividad en costes y no deberan considerarse substitutas de la puesta en
marcha de las estrategias adecuadas de Continuidad de Negocio que figuran ms adelante.
En la etapa anterior se averigu el Perodo Mximo Tolerable de Interrupcin para cada producto y
servicio dentro del alcance del programa. Al entender sus interdependencias se habr podido
determinar el PMTI para cada actividad. En la etapa de Estrategia se debe fijar el Objetivo de Tiempo
de Recuperacin para cada actividad dentro del PMTI.
55
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
DETERMINARLAESTRATEGIADE CONTINUIDADDE NEGOCIO
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
Referencia: BS 2999-1 Seccin 7.2
Objetivo deTiempo de Recuperacin
Distancia de separacin qu se considera fuera de las instalaciones?
Robustez (Resilience)
robustez de la organizacin
Esta seccin se abordan las diferentes estrategias de alto nivel disponibles para proteger la entrega
de un producto y servicio.
Es necesario disponer de unAINactualizado antes de elegir una estrategia adecuada.
El propsito de este paso es garantizar que la estrategia de continuidad conjunta respalda de forma
adecuada la entrega de los productos y servicios de la organizacin.
Cuando se est recuperando una actividad interrumpida es probable que la organizacin no quiera
llegar a ese momento en el que est a duras penas sobreviviendo. Es posible que se fije un Objetivo de
Tiempo de Recuperacin (OTR) ms corto que tambin le d un margen en caso de que se produzcan
dificultades no previstas en la recuperacin o de que su medida original de PMTI fuera demasiado
optimista.
La capacidad de continuar o reiniciar tiene que ser realista. Desplazar fsicamente a personal y
operaciones tomar ms tiempo del esperado y tendr un impacto sobre la jornada laboral
disponible. Es importante incorporar a las previsiones un tiempo suficiente de continuacin o reinicio
para garantizar que las actividades pueden recobrarse cumpliendo los Objetivos de Tiempo de
Recuperacin (OTR).
Suele pasar que cuanto ms rpida sea la necesidad de recuperacin, mayor el ser el coste de una
solucin. Por esa razn, para minimizar los costes es importante asegurarse de que se establece un
OTR adecuado y no demasiado rpido.
Debido a que muchos de los acontecimientos que afectan a la Continuidad de Negocio suelen derivar
en una imposibilidad de acceder a las instalaciones o incluso su destruccin, es necesario asegurarse
de que existe un duplicado de los registros tanto fsicos como electrnicos en un emplazamiento
separado geogrficamente de tal forma que puedan ser accesibles y recuperados en los plazos
determinados.
Si bien es evidente que una mayor distancia geogrfica reduce la probabilidad de que dos
instalaciones se vean afectadas por el mismo incidente, no existe una distancia de separacin
considerada "mnima" o "correcta", tal y como lo demuestran la capacidad infecciosa de los virus
informticos para causar incidentes simultneos en el mundo entero. Apesar de ello es probable que
una separacin de unos centenares de metros sea de poca ayuda, incluso cuando suceden incidentes
muy localizados, debido a la forma en la que los servicios de emergencia acordonan una zona y los
consiguientes trastornos que ocasiona para el transporte. Algunas organizaciones pueden basarse en
su rea de mercado o su jurisdiccin para determinar el lmite de su dispersin (ver la discusin
acerca de incidentes en la Introduccin a la Etapa 1); otras pueden elegir la decisin pragmtica de
situar su emplazamiento de reubicacin en la distancia mxima que el personal est dispuesto a
recorrer (podra ser a una hora de distancia).
Este trmino sirve para indicar que algo puede sufrir un fallo y a pesar de ello seguir operando.
Muchas veces se utiliza como si fuera un valor absoluto y, sin embargo, como sucede con los trminos
"cerca" o "lejos" el concepto de robustez es relativo y su alcance debe ser definido en cada utilizacin.
Es mejor ilustrarlo con ejemplos:
Incorporar tecnologa RAID a un ordenador aumenta la robustez de la mquina (pero slo con
respecto a los fallos de disco duro) pero no protege de la prdida de esa mquina en caso de incendio.
La duplicacin del suministro elctrico mejora la robustez resistencia de las instalaciones frente a
cortes de electricidad, pero el lugar puede volverse inservible si el fallo elctrico afecta a ambos
suministros.
Expandir la dispersin geogrfica y diversidad de las ubicaciones de la organizacin mejora la
pero sigue siendo vulnerable a incidentes como pandemias o virus
informticos.
56
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
5. Proceso
6. Mtodos y tcnicas
7. Resultados
8. Revisin
Centro(s) de llamadas:
Las estrategias de comercio electrnico e Internet / Intranet
Soluciones para la fabricacin
Utilizando los resultados del Anlisis del Impacto en el Negocio, apuntar el Perodo Mximo Tolerable
de Interrupcin (PMTI).
Determinar un Objetivo de Tiempo de Recuperacin (OTR) para el producto o servicio, que (por
lgica) debera ser menor que el PMTI. Este clculo debe tener en cuenta el grado de confianza que se
tiene en la veracidad del PMTI.
Si ya existe una estrategia de reinicio de actividades, llevar a cabo un Anlisis Diferencial para
determinar si los resultados actuales se miden contra los resultados requeridos.
Ofrecer a la direccin ejecutiva una evaluacin estratgica.
Garantizar que la opcin acordada, con sus previsiones de recursos y financieras, es ratificada por la
direccin ejecutiva.
Cuestiones referentes a servicios especficos:
La convergencia de TI, grabacin de voz y telefona inteligente en un centro
de llamadas puede ofrecer importantes retos de cara a la recuperacin. Los centros de llamadas que
gestionan llamadas entrantes suelen tener un PMTI medido en horas ms que en das, por lo que la
solucin suele ser dos o ms centros dispersos geogrficamente que comparten la carga de llamadas.
Debido a las altas necesidades de personal para este tipo de instalaciones suelen surgir problemas de
recursos humanos durante un largo perodo de interrupcin en el caso de que los empleados no
quieran o no puedan mudarse de lugar.
Algunas empresas de servicios pueden ofrecer recepcin de llamadas con varias capacidades para
gestionar volmenes de llamadas y con diferentes niveles de competencia en el producto.
se determinarn segn la importancia
que la organizacin otorga a estos servicios y las funciones que desempean - si slo sirven para
propsitos de comunicacin o para realizar negocios interactivos.
Al igual que sucede con otras actividades, un Anlisis del Impacto en el Negocio determinar los
parmetros de reinicio de los servicios de comercio electrnico. Se suele considerar que estos
servicios necesitan reiniciarse de forma rpida debido a su alta visibilidad y las expectativas de los
clientes.
Internet y la Intranet corporativa pueden tambin constituirse en un excelente medio de
comunicacin durante un incidente.
Diversidad geogrfica fabricar en varios emplazamientos mejora la resistencia a muchos
acontecimientos, pero suele ser a costa de las economas de escala
Subcontratacin - Aunque la suma de los procesos de cada compaa sea nica, suelen existir
varios procesos que pueden ser replicados por otros fabricantes. La empresa afectada puede recurrir
a varias firmas de subcontratacin para producir su producto final durante el tiempo en el que las
instalaciones propias no estn disponibles. Debido a las necesidades de herramientas y ajustes,
generalmente no se puede lograr esto de forma rpida sin una preparacin previa. Por desgracia esta
estrategia puede conectar a los clientes con la competencia.
Existencias en almacn En el caso de aquellos productos que se pueden almacenar, mantener un
almacn lejos de las instalaciones permite disponer de una ventana de tiempo durante la cual se
puede mantener el aprovisionamiento mientras se soluciona un percance.
Este paso ofrecer una estrategia para cada producto y servicio bajo el programa de GCN que en el
siguiente paso permitir seleccionar las alternativas adecuadas para cada actividad.
Al menos cada 12 meses se debera realizar una revisin de la estrategia de GCN para cada producto y
servicio.
No obstante, ciertos acontecimientos pueden causar una reevaluacin de la estrategia de GCN:
Una revisin del Anlisis del Impacto en el Negocio que detecte cambios substanciales en los
procesos y prioridades
Un cambio importante en una de las cuestiones siguientes: la actitud frente al riesgo de la
organizacin (quizs a consecuencia de un acontecimiento), condiciones de mercado, adquisicin o
fusin, nuevos productos o servicios, obligaciones legales.
57
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
OPCIONES PARALACONTINUIDADDE LA ACTIVIDAD
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
Referencia: BS 2999-1 Seccin 7.3-8
Fiabilidad
Costes vs. beneficios
Ratios de sindicacin de instalaciones para la recuperacin a cuenta de terceros
Este paso abarca los procesos para determinar las tcticas adecuadas a cada actividad que permiten
la entrega de uno o ms productos y servicios dentro del programa de GCN.
El Anlisis del Impacto en el Negocio (AIN) habr identificado el PMTI para cada actividad. En ese
tiempo se tendra que fijar el Objetivo deTiempo de Recuperacin (OTR) para cada actividad.
Se deben elegir las tcticas adecuadas para cada actividad que garanticen los recursos necesarios en
las reas de:
Personas, habilidades y conocimientos
Instalaciones
Tecnologa
Aprovisionamiento
Proveedores, clientes y dems partes interesadas
Las opciones siguientes no son excluyentes entre ellas. Una estrategia de recuperacin viable y
efectiva para cada actividad deber establecerse basndose en elementos de las opciones descritas.
El OTR del producto o servicio debe determinarse antes de fijar el OTR para cada actividad y
seleccionar las tcticas adecuadas.
El propsito de este paso es asegurar que las opciones tcticas de continuidad para cada actividad
respaldan de forma apropiada la entrega de los productos y servicios de la organizacin.
Las actividades cuyo reinicio sea ms urgente pueden recibir proteccin suplementaria por las
medidas de reduccin de amenazas que parezcan apropiadas.
Suele ser necesaria una decisin por parte de la direccin en cuanto al coste y la fiabilidad de la
entrega por parte de un servicio necesario para la recuperacin ofrecido por un tercero. Los
compromisos pueden variar, desde verbales con promesas por esforzarse, hasta un nivel de servicio
asegurado por contrato. Los costes pueden variar (generalmente relacionados con la calidad del
compromiso) de cero a una suma importante. Cuanto ms corto sea el OTR ms importante ser la
fiabilidad en la entrega.
Alcance de la planificacin
El alcance y detalle con el que las tcticas para cada actividad necesitan planificarse depender de la
urgencia con la que se necesiten y la complejidad de las necesidades.
Es imposible juzgar el coste adecuado de las medidas mediante un anlisis de coste-beneficio
convencional debido a que es necesario asumir premisas cuestionables acerca de la probabilidad de
los incidentes para demostrar que existen beneficios.
Es posible que las fabricantes y empresas de servicio que son proveedoras de otros negocios logren
mejores ventas o mejores mrgenes al demostrar a sus clientes que poseen una estrategia de GCN (y
por lo tanto mayor fiabilidad) - y obtengan un beneficio que contrarreste los costes.
Esto es ms difcil de demostrar cuando el servicio no es comercial o va dirigido a la venta al pblico,
en donde ser ms probable dejar patentes reducciones de costes en los procesos internos (para
enfrentar trastornos reducidos).
Un rea de trabajo dedicada en la que una empresa tiene la utilizacin exclusiva para
acomodarla. Se suele recurrir a ella cuando se ha establecido un OTR corto, para funciones
generadoras de alto valor en las que se emplean equipos especializados y para las cuales no se puede
permitir que no haya disponibilidad debido a estar sindicada. Un ejemplo seran las mesas de
negociacin para una firma de inversin.
Una rea de trabajo "sindicada" o en suscripcin en la que una empresa paga por la utilizacin de
un lugar siempre que no est ya usada por otro suscriptor.
60
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
Operaciones con robustez
Figura: Resumen de las estrategias de recuperacin con respecto al tiempo de recuperacin
incluyen operaciones simultneas en dos sitios y soluciones de
disponibilidad continua. En caso de una interrupcin en un emplazamiento, la actividad es
transferida a una o varias ubicaciones alternativas en donde tanto personal como instalaciones ya
estn listas para hacerse cargo.
Suele ser una de las opciones ms caras de llevar a cabo (debido a los costes que implican sincronizar
los datos en varios sitios y el personal que se necesita), pero se trata de una solucin adecuada cuando
es necesario un reinicio rpido (menos de 24 horas) de actividades.
Para que sea una estrategia de recuperacin viable, no pueden existir fallos y ambos sitios tienen que
estar convenientemente separados y geogrficamente diversificados.
Propiedad
Meses
Semanas
Das
Horas
Inmediato
Internas Contratadas A medida
Reconstruir o reubicar
Edificios prefabricados ya
disponibles en el mismo
sitio.
Adaptacin de edificios
para otros usos.
Emplazamiento de
recuperacin en el mismo
sitio.
Mover las instalaciones dentro
de la misma ubicacin.
Trabajo desde casa.
Varias ubicaciones con
personal reasignado de otras
funciones.
Disponer de diversas
ubicaciones para cada
actividad.
Iniciar una conmutacin de
TI a un emplazamiento de
recuperacin contratado.
Reubicar SLO un equipo
reducido a un
emplazamiento de
recuperacin contratado.*
Emplazamiento para la
recuperacin de la actividad
comercial.
Acuerdos recprocos.
Instalaciones mviles.
Procesos subcontratados.
Expansin en el
emplazamiento de
recuperacin.
Unidades prefabricadas y
mviles alquiladas.
Ampliar el contrato
comercial del
emplazamiento de
recuperacin (si es posible)
Reconstruir, alquilar o
comprar.
Oficinas amuebladas.
Subcontratacin de
procesos.
Oficinas gestionadas (si
disponibles)
Ninguna
Ninguna
* Es posible que se pueda acceder en pocas horas, pero cuestiones de logstica y comodidad vuelven
poco probable que las operaciones puedan reiniciarse de forma fiable al menos en uno o dos das.
62
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
Equipos de fabricacin
Informacin
Confidencialidad
Integridad
Disponibilidad
Rapidez
Referencia: BS 2999-1 Seccin 7.6
Existen pocas opciones para aprovisionarse de equipos de fabricacin por parte de un tercero para
que los enve despus de una avera o prdida, debido a que eso suele tomar mucho tiempo.
Algunas posibles soluciones:
Algunas firmas dedicadas a la restauracin de activos pueden ser capaces de recuperar los equipos
despus de un incendio o inundacin.
Firmar contratos de mantenimiento en el sitio con empresas que se encuentren en las inmediaciones
(para minimizar los retrasos).
Recurrir a empresas de subcontratacin locales o a competidores con equipos similares.
Slo por el hecho de que se ha producido un incidente no significa que dejan de tener efecto los
estndares legales, estatutarios o de negocio para la gestin de la informacin. Algunas de las
cuestiones clave que hay tomar en cuenta son:
Se deben tomar las medidas para asegurar que se mantiene el nivel necesario de confidencialidad
para los datos en circunstancias como:
dao en una ubicacin - por ejemplo, una explosin puede ocasionar que se esparzan documentos en
la calle
un hacker logra penetrar la red y publicar informacin en Internet
utilizacin de personal temporal
compartir un emplazamiento temporal con otras organizaciones
A menos que los respaldos informticos se realicen al mismo tiempo a lo largo de varios sistemas
conectados, a la hora de restaurarlos los datos pueden no estar completos. Por ejemplo, un nuevo
pedido puede figurar en la base de datos de pedidos pero el cliente en cuestin puede no estar
presente en la base de datos de clientes si la informacin se respald antes. Se debe contemplar un
tiempo dentro del Objetivo de Tiempo de Recuperacin para resolver los problemas de datos en caso
de que obstaculicen la recuperacin.
La destruccin parcial de los registros en papel puede daar la recuperacin cuando no se sabe bien
qu documentos faltan
Se necesitar que la informacin para reconstruir equipos o recuperar procesos est disponible en el
momento precisado para lograr los plazos de reinicio de actividad
Es posible que existan obligaciones en los estatutos que establezcan plazos especficos para acceder
a documentos o datos cuando stos son solicitados por las autoridades o el pblico en general
La estrategia adecuada de respaldo de datos se determina por:
La cantidad de datos que los usuarios pueden asimilar sin perjudicar irremediablemente su
capacidad para reiniciar sus procesos
El impacto de la prdida de datos para aquellos usuarios que estn fuera de la organizacin, como
clientes o autoridades
La velocidad a la que los datos pueden estar disponibles para ser utilizados despus de reiniciar
operaciones. Los programas de respaldo de datos suelen estar diseados para minimizar el tiempo de
respaldo, pero durante la recuperacin de la actividad es importante la velocidad con la que se
recuperan. Por ejemplo, el respaldo diario de los cambios minimiza el tiempo para llevarlo a cabo;
lleva ms tiempo respaldar los cambios desde el ltimo respaldo completo, pero con esta modalidad
la informacin se restaura de forma ms rpida.
Existen muchos mtodos para copiar los datos entre sistemas informticos. Estos son:
Mirroring - en teora no hay prdida de datos
Shadowing - prdida mnima de datos
Logging - prdida de datos medida en minutos
58
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
Generalmente el ratio se sita entre 40 y 25 a 1. Es decir, cada mesa de trabajo se vende hasta 40
veces como mximo, pero es importante entender que existen otros clientes que podran utilizar esa
mesa. Algunos proveedores ofrecen detalles de sus clientes por cdigos postales. Los parmetros
aceptables para una organizacin deberan estar claramente definidos en el marco de la Estrategia
de GCN para la Recuperacin de Recursos y no deberan estar sujetos a negociaciones de contrato
individuales.
Actualmente existen dos premisas segn las cuales un proveedor de emplazamientos para la
recuperacin puede asignar los recursos disponibles a sus suscriptores cuando estos los demanden:
El primero que llegue: El primer suscriptor que demande el servicio obtiene la totalidad de los
recursos que han contratado. El espacio que quede seguir disponible para los dems suscriptores.
Reparto equitativo: Los recursos disponibles se asignan de forma proporcional a lo suscrito.
La zona de exclusin es la distancia en la que el proveedor de recuperacin no revender a otro
posible cliente los recursos a los que su organizacin se ha suscrito. La organizacin debe definir
claramente en la Estrategia corporativa de GCN lo que considera como zonas de exclusin. Por
ejemplo, en el centro de Londres una zona de exclusin de 800 metros (correspondiente a un coche
bomba) es un estndar mnimo aceptable para esta amenaza especfica, pero puede no ser adecuada
para otro tipo de incidentes.
El proceso engloba los pasos siguientes:
Identificar las posibles tcticas para cada actividad que pueden cumplir con el OTR.
Seleccionar las ms adecuadas basadas en costes, garantas ventajas adicionales y dems factores.
Crear un proyecto de puesta en marcha para la medida elegida.
Poner en marcha un proceso constante que garantice la revisin de las tcticas de GCN para las
actividades.
Se pueden elegir las tcticas adecuadas de la lista siguiente.
Las tcnicas para proteger los conocimientos y habilidades de la organizacin pueden proteger contra
la prdida o ausencia de personal clave
Mapa de procesos y documentacin - para permitir al personal hacerse cargo de funciones que
desconocen
Formacin multidisciplinar de cada persona
Intercambio de formacin entre varios profesionales
Planificacin para la sucesin
Se puede disponer de habilidades suplementarias mediante el recurso permanente u ocasional de
soporte a cargo de terceros. La dependencia de este soporte debera estar respaldada por un
contrato.
La organizacin debe estar protegida por un programa de gestin de conocimientos, que debera
recurrir a almacenamiento fuera de las instalaciones para salvaguardar los datos.
Una organizacin podra llevar a cabo un inventario de las habilidades de su personal que no estn
empleando en sus funciones actuales.
Podra incluir:
Formacin en primeros auxilios
Experiencia en otras funciones en otro empleo
Rescate
Capacidad de liderazgo o gestin durante un incidente anterior
Habilidades de formacin o actuacin para ayudar al equipo de Continuidad de Negocio
La separacin geogrfica de aquellas personas o grupos con habilidades clave puede reducir la
posibilidad de perder a todos aquellos capaces de asumir una funcin especfica
El OTR es el principal indicador de las tcticas de continuidad del lugar de trabajo adecuadas.
Un OTR de varios meses puede permitir a la organizacin esperar a tomar decisiones hasta despus
del incidente.
Zonas de exclusin (Emplazamientos para la recuperacin a cuenta de terceros)
Personal, fuerza laboral, habilidades y conocimientos
Instalaciones
5. Proceso
Referencia: BS 2999-1 Seccin 7.3
Referencia: BS 2999-1 Seccin 7.4
59
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
Un OTR de ms de un da o dos puede permitir tiempo para la reubicacin del personal a otro
emplazamiento
Un OTR de menos de un da obligar a asumir tcticas que permitan que el personal en otra ubicacin
se haga cargo de la actividad - lo que significa que la otra ubicacin tendr disponibilidad inmediata
de los recursos necesarios para esa actividad, adems de informacin actualizada
Una vez que se ha definido el OTR, el coste y la disponibilidad determinarn la eleccin de las
tcticas.
La dispersin geogrfica de la organizacin puede influir en la eleccin de instalaciones alternativas.
Si se eligen otras instalaciones de la empresa, es posible que el personal no est dispuesto a recorrer
una larga distancia.
Unas instalaciones con un gran nmero de personal pueden requerir ms de una ubicacin alternativa
para disponer de la capacidad necesaria. La estrategia de reubicacin de la organizacin podra estar
influida por la disponibilidad de alternativas cercanas, tanto propias de la empresa como de terceros.
Aquellas organizaciones que ofrecen servicios a una localidad en particular, como administraciones
pblicas o negocios orientados a un mercado local, pueden ver limitada su eleccin de ubicaciones
alternativas por su necesidad de mantenerse cerca de sus clientes.
Posibles tcticas relativas a instalaciones:
Una estrategia de puede ser aceptable para las actividades menos urgentes
identificadas por el AIN. Aquellas actividades con un OTR mayor a varios meses permitirn a la
organizacin disponer de una planificacin y preparacin mnimas y tener tiempo para encontrar
edificios e instalar los servicios necesarios despus del incidente. Esta opcin puede volverse ms
rpida o fiable si se mantiene un registro actualizado de los edificios adecuados disponibles.
Tcticas que involucran la reubicacin del personal a otros emplazamientos
consiste en utilizar lugares existentes dentro de la empresa, como unas
instalaciones hasta entonces dedicadas a la formacin o un comedor, para ofrecer un espacio para la
recuperacin o el aumento del personal trabajando. Esto necesitar una planificacin cuidadosa y
algunas adecuaciones tcnicas.
significa desplazar aqul personal que realiza los procesos menos urgentes y aqul
que lleva a cabo una actividad de mayor prioridad. Se debe tener cuidado de que las rdenes
retrasadas del trabajo suspendido menos urgente no se vuelvan imposibles de gestionar.
incluye el concepto de trabajar desde casa y trabajar desde otras ubicaciones no
corporativas como hoteles (no se deben tomar en cuenta los cibercafs). Trabajar desde casa puede
ser una solucin muy efectiva, pero se debe tener cuidado de que se respetan las normas sanitarias y
de seguridad y de que se dispone de la suficiente capacidad de conexin telefnica.
Los acuerdos recprocos pueden funcionar para ciertos servicios pero se debe tener cuidado cuando
se establezcan este tipo de acuerdos. Se deben instaurar procedimientos que garanticen
comprobaciones peridicas para asegurar que los acuerdos suscritos no han cambiado.
deben llevar una clusula en el contrato que asegure que se pueden realizar
pruebas.
pueden ser una opcin a considerar si
garantizan el cumplimiento de los Objetivos de Tiempo de Recuperacin (OTR) de la organizacin.
Existen varios servicios comerciales, como instalaciones fijas, mviles, fijas o prefabricadas.
El espacio dedicado ofrece una disponibilidad garantizada e inmediata, pero es ms caro que un
espacio sindicado.
El espacio sindicado suele ser accesible en menos de cuatro horas, pero puede tardar ms de 48
horas para que una gran cantidad de personal sea productivo desde ese emplazamiento (las
cuestiones que se derivan de la sindicacin se abordan en la seccin de conceptos)
Las instalaciones mviles pueden utilizarse rpidamente pero ofrecen un espacio limitado y
pueden exigir conexiones de servicio adems de un importante trabajo de preparacin de cimientos
Las unidades prefabricadas toman como mnimo 4 das en construirse (de media son 8) asumiendo
que los cimientos ya estaban listos y dependiendo de las condiciones del lugar y meteorolgicas
No hacer nada
"no hacer nada"
Moverse dentro
Desplazamiento
Trabajo remoto
Los acuerdos recprocos
Acuerdos con un tercero para una ubicacin alternativa
Ubicaciones diversas - desplazar la actividad (no el personal).
61
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
Tecnologas de apoyo
Referencia: BS 2999-1 Seccin 7.5
Centro(s) de Datos
Contratos de envo
Sistemas telefnicos
El coste de las soluciones y el impacto extenso y rpido que significa la prdida de un centro de datos
pueden tener un impacto financiero importante en una organizacin.
Estas son algunas de las opciones que pueden ofrecer una solucin adecuada, como la robustez
interna, la recuperacin o soporte por parte de terceros.
Ser necesaria la duplicacin de tecnologas en varias ubicaciones cuando los plazos de
recuperacin son cortos, pero aumentar los gastos segn el grado de duplicacin requerido.
La Recuperacin de Tecnologa ofrece un reemplazo a travs de contratos con terceros. La decisin
entre duplicar actividades, alquilar equipos por adelantado o comprar despus del incidente debe
tomar en cuenta el tiempo previsto para la adquisicin de los elementos en caso de que suceda un
trastorno generalizado y de larga duracin que obligue a otras organizaciones menos preparadas a
adquirir los mismos equipos. Las promesas de palabra por parte de un proveedor acerca de que
mantendr un stock de contingencia deberan considerarse como no contractuales.
Suelen existir conflictos de presupuesto entre:
el deseo de aumentar la robustez o resistencia de las mquinas (para reducir la prdida de tiempo
ocasionada por el fallo de esa mquina)
la necesidad de una diversidad geogrfica (que minimiza la prdida de tiempo ocasionada por el fallo
de la mquina o del edificio en el que se encuentra).
Estos pueden incluir generadores, equipos de TI como PC, servidores e impresoras y equipos
especializados como sistemas telefnicos. Puede tratarse de una estrategia adecuada si se debe
equipar un edificio que no est preparado para ofrecer un entorno de trabajo adecuado. La mayora
de estos contratos permiten que el lugar de entrega sea definido en su momento, lo que permite dar
una respuesta ms flexible a un incidente especfico en comparacin con una estrategia de
recuperacin para un emplazamiento fijo. Los trminos de los contratos van desde un compromiso
leve de cumplimiento hasta una entrega garantizada.
Un desvo no planificado de los sistemas telefnicos a las ubicaciones alternativas puede demorarse
un tiempo inaceptable, sobre todo en caso de incidentes de amplia magnitud. La mayora de las
empresas telefnicas ofrecern, a cambio de un pago, un abanico de soluciones flexibles planificadas
que permitirn el desvo instantneo o rpido de las llamadas desde un emplazamiento a uno o varios
distintos. Se tiene que tomar en cuenta el problema de logstica que acarrea la gestin de llamadas de
telfono durante una interrupcin una vez que han sido desviadas.
Algunas soluciones:
Aviso por radio o televisin al personal y otras partes interesadas
Nmeros no vinculados a un rea geogrfica
Desvo de llamadas
Plan para el reinicio de la actividad
Servicios de gestin de redes
Centralita mvil
Robustez de las instalaciones
Robustez de la red
La convergencia entre los sistemas de telfono y las redes de datos VOIP (Voz por IP) genera nuevas
oportunidades y problemas de continuidad debido a que muchas veces se suelen utilizar el telfono y
correo electrnico de forma alternativa en caso de que uno de los dos falle. Estas cuestiones deben
ser evaluadas, as como se debe llevar a cabo un anlisis de los riesgos e impactos.
Recurrir a empresas de subcontratacin locales o a competidores con equipos similares.
63
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
Cada uno tiene sus caractersticas de posibles prdidas de datos, distancia operativa y fiabilidad que
debern ser comparadas con los requisitos del usuario.
Almacenamiento remoto de registros duplicados (en papel y electrnicos)
incluyen almacenes externos para
documentos y copias escaneadas.
puede gestionarse internamente pero tambin se
puede contratar a terceros. Los registros pueden ser enviados fuera de las instalaciones por la
recogida fsica de equipos de almacenamiento o por transmisin electrnica.
El lugar para el almacenamiento debe estar lo suficientemente lejos para que las instalaciones no
puedan verse afectadas por el mismo incidente, pero no tan lejos como para que tome tanto tiempo
acceder a ellos que los OTR puedan verse afectados. Algunos documentos pueden estar en proceso de
elaboracin y ser necesarios en un plazo muy corto mientras otros pueden ser archivos que se
conservan por cuestiones legales para los cuales puede ser conveniente un almacenamiento lejano,
de menor coste.
Se puede utilizar mobiliario a prueba de incendios pero eso no ofrece una proteccin aceptable
para documentos nicos. Incluso si sobrevivieran a un incendio, es posible que no se pueda acceder al
mobiliario.
Es posible que para ciertos documentos slo tengan validez legal los originales.
La organizacin necesita determinar qu equipos y aprovisionamientos se necesitan y cun rpido
debern estar disponibles tras un percance para cumplir con el OTR de la actividad.
Algunas tcnicas para reemplazo de equipos:
Almacenar suministros adicionales en otra ubicacin
si los suministros se degradan con el tiempo (como el papel) deberan rotarse con el inventario
normal
cambios en el proceso pueden implicar una modificacin de los suministros almacenados (por
ejemplo, la papelera de la empresa si han cambiado la direccin o los detalles de contacto)
Acuerdos con terceros para entrega de stock en un plazo rpido
Desvo de entregas "justo a tiempo" a otras ubicaciones
Guardar materiales en almacenes o centros de distribucin
Transferencia de las operaciones de ensamblaje a una ubicacin alternativa, tanto de la
organizacin como de una empresa subcontratada
Conservacin en una ubicacin externa de equipos ms antiguos para reemplazos de emergencia o
para utilizar sus componentes
Estrategias especficas de disminucin de riesgos para equipos considerados nicos o con tiempos de
entrega muy largos. Es posible que los equipos obsoletos tengan que ser reemplazados o su
substitucin podra poner en riesgo los tiempos de recuperacin
Diversidad geogrfica de aquellos procesos en los que el OTR no se podr cumplir por reemplazo si
todos los equipos se pierden durante un incidente
Posibles tcnicas para reducir el impacto de interrupciones en el suministro
Materiales duales o provenientes de diversas fuentes
Inspeccin de los planes de Continuidad de Negocio del proveedor y los registros de pruebas, adems
de requerir una certificacin contra BS 25999
Conservacin de inventarios en una ubicacin externa, que puede ser la del proveedor
Clusulas con penalidades importantes para los contratos de suministros (pero eso no protege de
una quiebra)
Identificacin y aceptacin previa de proveedores alternativos
Puede que un incidente afecte a muchas personas y grupos. Por ejemplo en el caso de un incendio en
las instalaciones es posible que algunos proveedores resulten heridos, que los residentes locales sean
evacuados de sus casas y que los comercios locales tengan que cerrar por razones de seguridad o por
una disminucin en sus negocios. La organizacin debe comprender el grado de responsabilidad
(tanto legal como moral) que tiene con respecto a estos grupos.
Las soluciones para almacenamiento de registros en papel
El almacenamiento de registros electrnicos
Equipos y aprovisionamiento
Accionistas, socios y proveedores
Referencia: BS 2999-1 Seccin 7.7
Referencia: BS 2999-1 Seccin 7.8
64
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
La organizacin debe asegurarse de que se cubren las necesidades de estos afectados, ya que podran
afectar la recuperacin del negocio. Por ejemplo, los residentes de la comunidad podran presionar a
las autoridades locales para que nieguen la autorizacin para reconstruir las instalaciones despus de
un incendio.
La organizacin debe conocer los procedimientos de los servicios de emergencia.
Contactar a estos grupos con antelacin puede ofrecer informacin til para asistencia en el caso de
incidente como:
Recomendaciones para puntos preferibles de reunin y rutas de evacuacin
Informacin de riesgos especficos en las inmediaciones
Conocer la posicin de los posibles bloqueos de trfico (en poblaciones grandes suelen estar
predeterminados debido a los patrones de la red de carreteras)
Acuerdos especiales de acceso
Participacin en simulacros
Los organismos de respuesta a emergencias civiles deberan llevar a cabo su propio programa de
Continuidad de Negocio para garantizar que el acceso a sus instalaciones no afectar los servicios de
respuesta que ofrecen a la comunidad. En Reino Unido esta planificacin es obligatoria y las
autoridades locales deben ofrecer asesoramiento en Continuidad de Negocio a las organizaciones que
se encuentren bajo su tutela.
El responsable de GCN debe conocer varias tcnicas de reduccin de amenazas que pueden proteger
a las actividades de negocio de ciertos tipos de trastornos. Se puede recurrir a la Evaluacin de
Riesgos para determinar qu medidas deben adoptarse. Entre ellas figuran:
- Se puede pedir recomendaciones a las diversas asociaciones profesionales
dedicadas a la seguridad, tanto nacionales como internacionales. Muchas de ellas publican manuales
y consejos de buenas prcticas.
- Se puede pedir recomendaciones a los diversos organismos nacionales
e internacionales dedicados a la seguridad de la informacin. Las normas ISO 17799 e ISO 27001
tambin ofrecen valiosas directrices que conviene adoptar.
- Pueden ofrecer advertencias inmediatas de fallos de electricidad,
problemas en los equipos y amenazas destructivas
y generadores de respaldo pueden proteger a edificios
y equipos especficos de fallos en la electricidad. Deben recibir mantenimiento y ser probados de
forma regular para garantizar que funcionarn cuando se necesiten. Tambin existen contratos
especializados de recuperacin que ofrecen generadores porttiles como servicio contratado o bajo
pedido (dependiendo de la disponibilidad).
suelen estar recomendados para edificios con materiales
combustibles o muy pesados, o equipos caros. Si bien los sistemas de agua apagan los incendios,
tambin pueden causar grandes daos a papeles y equipos electrnicos cuando se activan de forma
correcta por un incendio o de forma incorrecta cuando detectan una explosin o terremoto.
, si estn bien contratados, ofrecen una compensacin financiera para la prdida de
activos, incrementos de los costes de operacin y proteccin contra responsabilidades legales, No
obstante es posible que no protejan de todos los gastos ocasionados por un incidente, como la prdida
de clientes, el impacto sobre el precio de las acciones o desgaste en la reputacin e imagen de marca.
El equipo de GCN debera colaborar de forma estrecha con el encargado de seguros para lograr una
cobertura que est dentro de los parmetros de GCN.
Una pliza contra todo riesgo compensar el valor calculado de los activos fsicos y registros
electrnicos daados o perdidos.
Un seguro contra interrupcin del negocio puede pagar el coste incrementado de
funcionamiento durante el reinicio de actividades o la "prdida de beneficios" durante el perodo de
interrupcin.
Existen seguros que ofrecen una suma de dinero tras la prdida de ciertos responsables especficos
del negocio debido a una muerte, accidente o renuncia a su cargo.
Emergencias de carcter civil
Referencia: BS 2999-1 Seccin 7.9
Medidas para reducir amenazas especficas
Seguridad fsica
Seguridad de la informacin
Sistemas de supervisin
El Suministro deAlimentacin Ininterrumpido
Los sistemas contra incendios
Medidas para atenuar los impactos
Los seguros
65
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
Un seguro puede tambin ofrecer proteccin contra responsabilidades, incluidas aquellas con
empleados, propiedades de terceros y personas.
son ofrecidos por varias empresas especializadas que
generalmente pueden minimizar los daos en papeles, equipos y edificios despus de un incendio o
inundacin. Estas empresas pueden ofrecer asesoramiento y un servicio de registro por adelantado,
adems de estar disponibles tras el incidente si se les solicita.
Las herramientas disponibles para elegir las tcticas adecuadas incluyen:
Los resultados del Anlisis del Impacto en el Negocio y la Evaluacin de Riesgos
El anlisis Coste-Beneficio
El mapa de servicios y procesos.
Los resultados de las Opciones para la Continuidad de laActividad incluyen:
Una seleccin debidamente documentada de las opciones de continuidad para cada actividad,
acordada y ratificada por la direccin ejecutiva de la organizacin.
Un plan para la puesta en marcha de la estrategia acordada.
Al menos cada 12 meses se debera realizar una revisin que garantice que se han elegido las opciones
de continuidad adecuadas para cada actividad.
No obstante, ciertos acontecimientos pueden causar una reevaluacin de la estrategia de GCN:
Una revisin del Anlisis del Impacto en el Negocio que detecte cambios en los procesos o
prioridades del negocio.
Un cambio importante en:
tecnologas clave, telecomunicaciones, asignacin, personal, proveedores de servicio
adquisicin o fusin, nuevos productos o servicios
obligaciones legales.
Los servicios de recuperacin de activos
6. Mtodos y tcnicas
7. Resultados
8. Revisin
66
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
CONSOLIDACINDE RECURSOS
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
7. Resultados
Disponibilidad de soluciones
Tras determinar las tcticas adecuadas para el reinicio de cada actividad de negocio, se exigir al
equipo de GCN que consolide sus necesidades de recursos, determine cmo aprovisionarlos y los
incluya en el plan.
Las necesidades de recursos para cada actividad se obtendrn de los Objetivos de Tiempo de
Recuperacin y las cantidades determinadas por el Anlisis de Requisitos de Continuidad.
El propsito de esta medida es coordinar y ofrecer un nivel predeterminado de recursos dentro de un
Plan de Continuidad de Negocio (PCN) para permitir la puesta en marcha de las opciones de
continuidad elegidas para cada actividad.
Esta consolidacin es necesaria por dos razones prcticas:
Si se tienen que comprar los recursos es probable conseguir un mejor precio con un slo pedido que
con varios pequeos
Coordinar la adquisicin de recursos puede prevenir conflictos - como en el caso de que ms de una
actividad dentro de un edificio espere utilizar el mismo espacio de trabajo alternativo en otro
emplazamiento.
Es posible que los servicios de recuperacin contratados que necesiten los procesos de negocio no se
encuentren en las inmediaciones. Algunas organizaciones han decidido crear sus propias
instalaciones para recuperacin, y luego ofrecen compartirlas (comercialmente) con otras empresas
que se enfrentan al mismo problema.
Este proceso incluye las siguientes etapas:
Obtener los Requisitos de Recuperacin de Recursos Agregados de la seccin relativa a Opciones de
Continuidad
Calcular los costes y beneficios de la obtencin de los recursos necesarios para cada opcin que
puedan satisfacer los Objetivos deTiempo de Recuperacin
Ofrecer a la direccin ejecutiva una evaluacin estratgica de las opciones
Asegurarse de que las opciones acordadas, con sus correspondientes previsiones financieras y de
recursos, estn ratificadas por la direccin ejecutiva
Crear un proyecto de puesta en marcha y planes de accin
Aplicar la estrategia acordada para llevar a cabo el proyecto y los planes de accin (incluido el
desarrollo de un Plan de Continuidad de Negocio)
Poner en marcha un proceso constante que garantice la revisin de la planificacin del Nivel de
Recursos para la GCN
Las herramientas utilizadas para seleccionar las soluciones apropiadas de las enumeradas
previamente para crear una Estrategia de Recuperacin de Recursos incluyen:
Resultados del Anlisis del Impacto en el Negocio y el Anlisis de Recuperacin de Recursos ajustados
por la Estrategia de Recuperacin a nivel de Procesos
Herramientas de evaluacin para servicios de compra que incluyan un anlisis del valor obtenido por
el dinero y de los trminos contractuales
Anlisis de Coste Beneficio
Los resultados de una Estrategia de Recuperacin de Recursos para la Gestin de Continuidad de
Negocio incluyen:
Un conjunto de recursos y servicios de recuperacin que pueden desplegarse bajo el auspicio del
Plan de Continuidad de Negocio (PCN) y que permite la restauracin de un nivel de funcionamiento
aceptable para las actividades de negocio:
Dentro de suTiempo de Recuperacin (OTR)
Con informacin recuperada de sus Objetivos de Punto de Recuperacin (OPR).
67
1

2
4

5

6
3
c
a
p
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
8. Revisin
Cada 12 meses debera llevarse a cabo una revisin de la Estrategia de Recuperacin de Recursos para
la GCN.
No obstante, ciertos acontecimientos pueden causar una reevaluacin de la estrategia de GCN:
Cambios en los requisitos para la recuperacin de una actividad
Un cambio importante en la asignacin, personal o tecnologa disponible que pueda ofrecer nuevas
estrategias de recuperacin
Un cambio en la disponibilidad de los servicios de recuperacin en las inmediaciones de la
organizacin. Puede tratarse de un cierre, fusin o apertura de una instalacin.
68
D
E
T
E
R
M
I
N
A
R
L
A
E
S
T
R
A
T
E
G
I
A
D
E
C
O
N
T
I
N
U
I
D
A
D
D
E
N
E
G
O
C
I
O
1

2
4

5

6
3
c
a
p
INDICADORES CLAVE DE GCN
Estos son los elementos clave de lo que se espera de una organizacin con una GCNmadura
1. La organizacin dispone de estrategias formales para atenuar todos los riesgos de continuidad para
el negocio en todas las reas de sus operaciones
2. Las estrategias atenan los efectos y garantizan que la organizacin puede tolerar y recuperarse de
forma aceptable de:
A. Todos los escenarios relativos a continuidad identificados en la Evaluacin de Riesgos
B. Imposibilidad de acceder a o prdida de cualquier lugar de trabajo
C. Cualquier fallo tecnolgico
D. Cualquier fallo en los proveedores o el aprovisionamiento de energa
E. Cualquier fallo en la subcontratacin o en las dems unidades de negocio
F. Cualquier emergencia de carcter civil que pueda surgir
3. Despus de sufrir un trastorno, las estrategias garantizan de forma especfica la continua
integridad y la restauracin progresiva de:
A. Toda la informacin electrnica que se vea afectada
B. Toda la informacin fsica (por ejemplo, en papel) que se vea afectada
C. Toda la informacin en curso de elaboracin que se vea afectada
D. Todos los procesos de negocio que se vean afectados
E. Todas las capacidades logsticas que se vean afectadas
F. Todas las operaciones subcontratadas que se vean afectadas
4. Las estrategias contemplan la preservacin las habilidades y conocimientos centrales despus de
un trastorno en el negocio
5. Las estrategias contemplan la progresiva restauracin a niveles aceptables de equipos,
aprovisionamientos y todos los dems recursos necesarios despus de un trastorno en el negocio
6. Las estrategias se evalan de forma sistemtica en trminos de Retorno sobre Inversin (ROI) o
cualquier otra medicin financiera adecuada
7. Las estrategias tienen una probabilidad baja probada de verse simultneamente afectadas por
otros trastornos en el negocio
8. Las estrategias toman en cuenta y gestionan las ayudas ofrecidas por u otorgadas a otras
organizaciones
9. Las estrategias toman en cuenta y gestionan el apoyo voluntario recibido u otorgado por la
organizacin
10. Lo siguiente aplica para las estrategias de Continuidad de Negocio de la organizacin:
A. Quedan documentados todos los razonamientos utilizados para definir la estrategia y su
desarrollo
B. Estn completamente actualizadas y en su conjunto reflejan las necesidades presentes de la
organizacin
11. La alta direccin siempre ratifica las estrategias
12. Todas las estrategias de la organizacin toman en cuenta de forma totalmente objetiva
A. Los resultados del Anlisis del Impacto sobre el Negocio
B. Los resultados de la Evaluacin de Riesgos
C. La experiencia obtenida por la organizacin y organizaciones similares
D. Anlisis de coste y beneficio.
69
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1 2 3 5 6 4 captulo
Desarrollar y poner en prctica
la respuesta de GCN
70
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
Acerca del captulo 4 Desarrollar y poner en prctica la respuesta de GCN
COMPONENTES DE LAETAPA4
DESARROLLARYPONERENPRCTICALARESPUESTADE GCN
La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles
impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer
de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y
dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.
Determinar y poner en marcha una respuesta de GCN es un elemento clave para el xito o fracaso de
un programa de GCN. Engloba el desarrollo de planes de accin detallados para garantizar la
continuidad de las actividades y una gestin efectiva de incidentes.
1. ESTRUCTURADE LAS RESPUESTAAINCIDENTES
2. PLANDE GESTINDE INCIDENTES
3. PLANDE CONTINUIDADDE NEGOCIO
4. PLANES DE RESPUESTAPORACTIVIDAD
1

2

3
5

6
4
c
a
p
71
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
DESARROLLARYPONERENPRCTICALARESPUESTADE GCN
Principios generales
Referencia: BS 2999-1 Seccin 8
El objetivo de los diversos planes abordados en esta etapa es identificar tanto como sea posible las
acciones y recursos necesarios para permitir que la organizacin gestione una interrupcin de
cualquier naturaleza.
Los requisitos clave para una respuesta efectiva son:
Un procedimiento claro para la escalada y control de un incidente
Comunicacin con proveedores, clientes y dems partes interesadas
Planes para reiniciar las actividades interrumpidas
Se puede llegar a esto por varios medios, y aqu slo se describe una posible estructura. Pero al
margen de la estructura que se adopte, es importante que la estrategia est de acuerdo con la cultura
de la organizacin.
Como todos los incidentes son diferentes, las acciones descritas en los planes no pretenden cubrir
cada una de las eventualidades. Cualquier procedimiento predefinido puede necesitar ser adaptado
con flexibilidad e iniciativa por los responsables de poner en marcha el plan al incidente especfico
que haya ocurrido y las oportunidades que haya creado.
72
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
ESTRUCTURADE LAS RESPUESTASAINCIDENTES
1. Introduccin
Un modelo de respuesta a incidentes, tomado de los servicios de emergencia de Reino Unido, muestra
tres tipos de respuesta generalmente clasificados como Oro, Plata y Bronce. Cuando se aplican a la
estructura de respuesta de una organizacin, las responsabilidades son las siguientes.
1

2

3
5

6
4
c
a
p
ORO
PLATA
BRONCE
Estratgico
Tctico
Operativo
Alta Direccin
(para incidentes)
Equipo de Continuidad
de negocio
Equpos de respuesta
a incidentes y reinicio
de actividades
Nivel estratgico
Nivel tctico: Plan de Continuidad de Negocio (PCN)
Nivel operativo: Planes de Reinicio deActividades
- Plan de Gestin de Incidentes (PGI)
El PGI define cmo la direccin ejecutiva encarara y gestionara las cuestiones estratgicas de una
crisis que afecte a la organizacin. Esto puede suceder cuando el incidente no se enmarca totalmente
en el Plan de Continuidad de Negocio (PCN). Puede referirse a crisis que no ocasionan interrupciones,
como una OPAhostil, o una atencin excesiva de los medios de comunicacin, y aquellas en las que el
impacto afecta a un rea mayor de la contemplada en la estrategia de GCN, como sera el caso de una
emergencia nacional. La respuesta de los medios de comunicacin a cualquier incidente se suele
abordar mediante un PGI, aunque algunas organizaciones prefieren manejar a los medios de
comunicacin mediante un PCN.
El Plan de gestin de incidentes a veces tambin se llama "Plan de gestin de crisis". El problema es
que decir a los medios de comunicacin que la organizacin ha puesto en marcha su "Plan de gestin
de crisis" puede hacer creer a la gente que tiene una crisis. La palabra "incidente" tiene
connotaciones menos negativas, por lo que es la que se prefiere utilizar en este documento.
El PCN se interesa por los trastornos, interrupciones o prdidas en el negocio desde la respuesta
inicial que se le da hasta que las operaciones han regresado a la normalidad. Estn basadas en las
Estrategias de Continuidad de Negocio acordadas y ofrecen procedimientos y procesos tanto para los
equipos de continuidad de negocio como para los de recuperacin de recursos. En particular, los
planes asignan funciones, con sus responsabilidades y grado de autoridad. Los planes tambin deben
detallar los caminos y principios para trabajar durante la respuesta con varios actores externos, como
proveedores de servicios de recuperacin y los servicios de emergencia.
Si el incidente se sale del alcance que contemplaba el Plan de Continuidad de Negocio, la situacin
debe ser transferida a aquellos responsables de poner en marcha el Plan de Gestin de Incidentes
(PGI).
A nivel de las operaciones los planes se ocupan del reinicio de las funciones normales del negocio.
Para aquellos departamentos que gestionan infraestructura, como Instalaciones y TI, los planes
ofrecern una estructura para restaurar los servicios existentes o disponer de instalaciones
alternativas.
73
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
Plazos
En el caso de un incidente destructivo, los tres tipos de planes encararn diferentes problemas
durantes las diferentes fases del percance. Por ejemplo:
Repercusiones
inmediatas
Dao controlado
Inicio de la
recuperacin
Consolidacin Revisin Se retira
Revisin
Reinicio de otras
actividades y proyectos
Se retira
Gestin de medios
de comunicacin
Supervisin del equipo
de continuidad de
negocio
Gestin de medios
de comunicacin
Evaluacin estratgica
Enlace con los servicios
de Emergencia
Evaluacin de daos
Poner en marcha a los
servicios de Continuidad
de Negocio
Movilizacin de recursos
alternativos
Comunicacin con el
personal
Gestin de recursos
alternativos
Reinicio de actividades
crticas urgentes
Limitacin de daos y
rescate (instalaciones)
Gestin de prdidas
laborales (RH)
Escalabilidad
Si bien los tres niveles ofrecen un modelo adecuado para una organizacin de tamao medio con un
nico emplazamiento, una organizacin ms pequea puede disponer de un nico grupo de gestin
que se haga cargo de las responsabilidades tanto tcticas como estratgicas. No obstante, sigue
siendo importante que este grupo gestione primero los problemas estratgicos a pesar de los
problemas acuciantes que plantea la respuesta tctica.
Para las organizaciones con mltiples instalaciones existen muchos modelos adecuados, quizs con
ms subdivisiones de las mencionadas anteriormente, por ejemplo:
Un equipo de respuesta en cada instalacin respaldado por un "comando volante" central de
Continuidad de Negocio
Un equipo de Continuidad de Negocio en cada emplazamiento importante con un Equipo de Gestin
de Incidentes central
Disponer de una GCN y un PGI a escala nacional con poca intromisin de la direccin internacional
salvo en los casos en los que la se ve amenazada la reputacin global.
74
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
PLANDE GESTINDE INCIDENTES
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Referencia: BS 2999-1 Seccin 8.3-5
Los estudios de casos de incidentes importantes (segn Knight y Pretty, de Oxford Metrica) indican
que la gestin rpida y efectiva de una crisis es el factor determinante para proteger la marca de una
organizacin de daos financieros y de reputacin.
Para las organizaciones que no han previsto planes, el Plan de Gestin de Incidentes (PGI) debera ser
lo primero que tienen que desarrollar, ya que permite disponer de una pequea proteccin mientras
se desarrollan los dems planes.
El propsito de un PGI es ofrecer un marco de accin que permita a una organizacin gestionar
cualquier crisis sin importar la causa (incluyendo aquellas en la que no existe una respuesta de
Continuidad de Negocio adecuada, como en el caso de una amenaza a la reputacin).
Los conceptos utilizados en este Manual para los diversos planes no son de aplicacin universal, en
particular el trmino Equipo de Gestin de Incidentes, EGI, puede equivaler a lo que otros llaman un
equipo de respuesta o de gestin de crisis. Es importante para una organizacin elegir nombres que se
adecuen a su cultura y estructura, pero que contengan las funciones aqu descritas.
Algunos incidentes necesitarn una respuesta de PGI que no provenga de un trastorno de las
actividades, como por ejemplo aquellos que acarreen amenazas slo para la reputacin y por lo tanto
no requieran una respuesta de Continuidad de Negocio. No obstante, cuando se requiera una
respuesta de Continuidad de Negocio casi siempre es necesario involucrar al EGI, aunque slo sea
para que conozcan la situacin en caso de que luego se agrave.
Los pasos clave para desarrollar un Plan de gestin de incidentes incluyen:
Nombramiento de un responsable en la direccin ejecutiva del Plan de Gestin de Incidentes
Definicin de los objetivos y alcance del plan
Desarrollo y aprobacin del proceso de desarrollo y programa del Plan de gestin de incidentes
Si no existe plan, puede ser til realizar un ejercicio con el equipo de alta direccin, pero ejerciendo
una presin mnima, para que se vuelvan evidentes las muchas necesidades que tiene el plan, como la
misma urgencia de disponer de uno
Crear un equipo de planificacin de gestin de incidentes para desarrollar el plan
Acordar las responsabilidades del Equipo de Gestin de Incidentes y su relacin con otros planes
Decidir la estructura, formato, componentes y contenido del plan
Determinar las estrategias, como las ubicaciones alternativas, en las que se basa el plan
Recopilar informacin para elaborar el plan
Nombrar a personas responsables y sustitutos (en caso de que el equipo de alta direccin sea
demasiado grande)
Nombrar a personas responsables del apoyo administrativo para el PGI
Hacer un borrador del plan
Circular el borrador del plan para consultas y revisiones
Obtener las reacciones a las consultas
Corregir el plan en lo que se considere adecuado
Acordar y validar el plan, por ejemplo en un ensayo
Repetir el proceso para el Plan de Comunicacin de Incidentes (si va por separado)
Acordar un programa constante de ejercicios y mantenimiento para garantizar que est
actualizado.
75
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
6. Mtodos y tcnicas.
Contenidos del PGI
Responsable del documento y su mantenimiento
Funciones y responsabilidades
Activacin / Instrucciones de movilizacin
Planes de accin
Elaborar el Plan de Gestin de Incidentes
Los mtodos, herramientas y tcnicas que permiten la planificacin y desarrollo de un Plan de
Gestin de Incidentes incluyen:
Anlisis de proveedores, clientes y dems partes interesadas
Planificacin de escenarios
Listas de verificacin
Talleres
Formularios de PGI que se distribuyen para ayudar a la puesta en marcha de los procedimientos
estndar (en el caso de una organizacin internacional con varios equipos de gestin de incidentes)
Existen muchos programas informticos que ayudan a crear y mantener un Plan de Gestin de
Incidentes. Pueden ofrecer beneficios significativos en las reas de mantenimiento de planes e
integridad pero no son necesarios y no suplantan la necesidad de conocer el negocio.
Como, por su propia naturaleza, todas las crisis son diferentes, el Plan de Gestin de Incidentes es un
conjunto de componentes y recursos que pueden ser tiles para el equipo responsable de activarlo. El
contenido tambin variar segn la naturaleza y complejidad de la organizacin.
El Plan de Gestin de Incidentes debe estar diseado por mdulos para que las diferentes secciones
puedan comunicarse a los equipos segn la informacin que necesiten saber. Cada seccin puede
imprimirse en un papel de diferente color para que sea fcil de utilizar en el momento de una crisis.
El plan tiene que nombrar a un responsable y los procedimientos para el mantenimiento.
Debe figurar las funciones del equipo y personas especficas. Se debe identificar a un sustituto para
cada funcin.
Las responsabilidades del equipo pueden ser:
Gestionar las comunicaciones (ver ms adelante)
Asegurar que el PGI y el Equipo de Continuidad de Negocio tienen el personal adecuado y realizar
nombramientos en caso de que sea necesario
Establecer enlaces con el Equipo de Continuidad de Negocio para acordar un calendario de reinicio
de actividades
Aprobar una partida importante de gastos
Supervisar el progreso conjunto de recuperacin y el desempeo del personal
Identificar y maximizar las oportunidades o ventajas que surjan del incidente
Identificar el impacto estratgico del incidente en la organizacin, algo que puede exigir cambios
importantes en la direccin o abrir nuevas oportunidades
Mantener un registro de las decisiones tomadas a lo largo del incidente.
Se debe especificar por escrito las circunstancias en las que el equipo debe activarse y determinar
qu personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los
incidentes, debera otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas, debido
a que es ms fcil desactivar un equipo que iniciarlo cuando el incidente est descontrolado.
Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones
en el menor tiempo posible.
El equipo tiene que haber acordado previamente varios posibles lugares de reunin, dando prioridad
a aquellos que contienen los recursos necesarios (ver ms adelante). Nada ms activado, el primer
responsable informado deber identificar el lugar ms adecuado para las reuniones y un lugar
alternativo.
El plan debe contener elementos iniciales para pasar a la accin como una lista de proveedores,
clientes, accionistas y dems partes interesadas. Es posible que el Anlisis del Impacto en el Negocio
contenga indicadores tiles acerca de posibles impactos que necesitarn gestionarse.
1

2

3
5

6
4
c
a
p
76
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
Sala de reuniones
Recursos
Actividades de las personas
Se debe determinar con antelacin al menos dos ubicaciones que sirvan de centro de gestin de
incidentes (centro de control). Es probable que una sea dentro de las instalaciones, donde est la alta
direccin, pero la otra debe encontrarse fuera de las instalaciones.
La ubicacin externa no tiene que ser propiedad de la organizacin. Un hotel abierto las 24 horas con
un director colaborativo debera ser suficiente para disponer de todas las instalaciones que necesitan
la mayora de las organizaciones.
Se debe pensar en cmo se utiliza mejor el espacio para las necesidades de:
comunicacin - de entrada y de salida
registro de eventos, acciones y problemas
supervisin de los medios de comunicacin
acceso restringido
Se deberan tener en cuenta los siguientes recursos:
Pizarra / tablero (y rotuladores que funcionen)
Varios telfonos, entre ellos al menos uno con una lnea exterior directa y capacidad de grabacin
Lnea de ayuda para emergencias
Aparatos mviles de comunicacin, telfonos mviles, fax, correo electrnico e Internet
Equipo para controlar la TV y radio
Estudio deTV y radio para ensayar entrevistas
Lnea de ISDN y cmara para transmitir entrevistas directamente a una radiodifusora y
videoconferencias
Papelera
Medios para registrar todas las acciones
Comida y bebida e instalaciones cercanas para dormir
Un emplazamiento separado y cercano para recibir a la prensa
Los equipos y la informacin pueden mantenerse fuera de las instalaciones de la ubicacin
alternativa en un camin (tambin llamado "caja de batalla").
Las organizaciones son responsables del bienestar de sus empleados, proveedores, visitantes y
clientes. Durante un incidente y su fase de recuperacin, todas las estrategias de GCN deberan
tomar en cuenta las cuestiones de necesidades bsicas. Es ms probable que el personar colabore de
forma voluntaria con las exigencias del momento si sus necesidades bsicas estn cubiertas.
Algunas de las cuestiones que debe contemplar el plan:
Necesidades especiales de las personas durante evacuaciones o perodos de permanencia en las
instalaciones, como:
embarazos
discapacidad
responsabilidades familiares
Durante un incidente una o varias personas deben responsabilizarse de:
Evacuar las instalaciones
Contabilizar el personal, proveedores y visitantes
Comunicar con el personal y otras personas dentro de las instalaciones
Dirigirse al contacto para casos de emergencia o familiar - la legislacin local puede obligar a hacer
esto slo si los servicios de emergencia lo aprueban previamente
Servicios de traduccin
Asistencia para transporte
Poner en marcha una lnea telefnica de ayuda para el personal
Podran derivarse otras necesidades como:
Alojamiento temporal
Servicios de terapia y rehabilitacin - podran ser ofrecidos a travs de una prestacin mdica para
los empleados
77
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
Necesidades bsicas en las ubicaciones alternativas:
Necesidades especiales
Comida y bebida
Seguridad personal
Transporte y accesibilidad
Formacin adecuada en los equipos de reemplazo
Se debe nombrar a empleados con un nivel adecuado de experiencia y autoridad para servir de enlace
con los servicios de emergencia cuando lleguen a las instalaciones y segn lo vayan requiriendo.
Los servicios de emergencia deberan recibir informacin en las instalaciones acerca de cualquier
herido y el estado de la situacin, adems de cualquier peligro conocido al que tuvieran que
enfrentarse.
Mientras se encuentren en las instalaciones, las instrucciones de los servicios de emergencia tienen
mayor autoridad que las dadas por el personal de la organizacin. Cuando se vayan de las
instalaciones, la organizacin volver a ser responsable de la seguridad en el sitio.
El Plan de Comunicacin de Incidentes debe determinar la forma en la que la organizacin gestionar
la comunicacin con todas las partes involucradas como:
Personal, familiares, amigos y contactos en caso de emergencia
Clientes y proveedores
Accionistas y dueos
Enlace con otros integrantes del grupo corporativo o sede central (si se pertenece a una
organizacin ms amplia)
Contactar e informar a las autoridades (despus de consultar las formas establecidas por la
organizacin para el cumplimiento de sus obligaciones legales)
Asuntos relacionados con heridos graves o fallecimientos (tras consultar con los servicios de
emergencia y cumpliendo las costumbres y leyes locales)
Medios de comunicacin - prensa local y nacional, radio, TV, Internet y otros medios
Pensar por adelantado:
Qu crisis podran afectarnos? (Puede ser adecuado realizar una Evaluacin de Riesgos)
Cules son las audiencias?
Cmo nos comunicamos con ellas?
Cules son los mensajes?
Quin conformar el equipo de incidentes?
Cules son los recursos e instalaciones?
Han recibido formacin el equipo de incidentes y los portavoces?
Funciona?
Qu Manual de Incidentes necesitamos?
Hemos desarrollado lneas de comunicacin con nuestras audiencias?
Cuando se hace pblica una crisis o una interrupcin en el negocio, una comunicacin efectiva ser
clave para salvar y mantener el activo ms valioso de una organizacin: su reputacin.
En caso de enfrentar una crisis hay que tener en cuenta:
aquellos que tengan que tomar decisiones acerca de cmo comunicar
tienen que haberse puesto de acuerdo previamente acerca de los qus, cmos y dndes de la
comunicacin.
su reputacin se ver afectada no tanto por lo que ha pasado sino por lo que
la gente cree que ha pasado - y por su percepcin acerca de cmo lo ha gestionado.
y lo que necesitan escuchar.
Cada hora de silencio que transcurre multiplica por dos su problema de reputacin.
Tiene que comunicar lo antes posible.
comunique a sus diferentes audiencias toda la informacin que pueda dar sin meterse
en problemas legales o prcticos. Demostrar que no se tiene nada que esconder ayuda a ahuyentar las
sospechas.
Enlace con los servicios de emergencia
Plan de Comunicacin de Incidentes
Responsabilidad del plan:
Percepcin es realidad:
Comprender las audiencias clave
Acte rpido:
Sea abierto:
1

2

3
5

6
4
c
a
p
78
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
Demuestre que le importa:
7. Resultados
8. Revisin
valo desde el punto de vista de sus audiencias y ajuste sus mensajes a lo
que necesitan escuchar, no slo a lo que usted quiere decir.
Los resultados del proceso de planificacin del Plan de Gestin de Incidentes incluyen:
Un Plan de Gestin de Incidentes que apoya las funciones del Equipo de Gestin de Incidentes de la
organizacin durante una crisis
Un Plan de Comunicacin de Incidentes que puede gestionar los mensajes dirigidos a los medios de
comunicacin y partes interesadas durante una crisis
Una demostracin a los medios de comunicacin, mercados, clientes, partes interesadas y
autoridades de que la organizacin est preparada para gestionar de forma efectiva los incidentes
Cumplimiento de las obligaciones estatutarias y legales
La revisin o auditora debe corresponder con las de otras estrategias, planes y soluciones para GCN y
gestin de incidentes.
La revisin del plan puede estar provocada por un cambio importante en el negocio, la alta direccin
o el entorno de operaciones externo.
79
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
PLANDE CONTINUIDADDE NEGOCIO
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
Referencia: BS 2999-1 Seccin 8.3 y 8.6-7
El Plan de Continuidad de Negocio agrupa la respuesta de toda la organizacin frente a un incidente y
facilita la recuperacin de las actividades. Aquellas personas que utilicen el plan deberan ser
capaces de analizar la informacin de los equipos de respuesta acerca del impacto del incidente,
elegir y desarrollar las estrategias adecuadas de entre todas las disponibles en el plan, dirigir las
unidades de negocio para la recuperacin segn las prioridades acordadas y, por ltimo, comunicar
los avances al Equipo de Gestin de Incidentes.
Los componentes y contenidos de un Plan de Continuidad de Negocio variarn segn la organizacin,
y presentarn diferentes grados de detalle basados en la cultura de la organizacin y la complejidad
tcnica de las soluciones propuestas.
Muy pocas veces se puede redactar un Plan de Continuidad de Negocio efectivo si no se han instaurado
los elementos clave de la estrategia de reinicio de actividades o su planificacin est muy avanzada.
El propsito de un Plan de Continuidad de Negocio es ofrecer un marco de accin y procesos
documentados para que la organizacin pueda reiniciar todos sus procesos de negocio dentro de sus
Objetivos de Tiempos de Recuperacin. Un Plan de Continuidad de Negocio en s mismo no demuestra
que se posea capacidades para la GCN; pero el hecho de que exista un plan actualizado en la
organizacin sugiere que existe una capacidad efectiva.
El plan debe estar orientado a la accin y por lo tanto debe ser rpido de consultar y no debe incluir
documentacin (por ejemplo unAIN) que no sea necesaria durante un incidente.
El Plan de Continuidad de Negocio siempre contendr (y debera documentar) los supuestos de
gravedad mxima del incidente (en trminos de amplitud, duracin o impacto sobre el personal). Si
stos se sobrepasaran, entonces deber transferirse la responsabilidad al Equipo de Gestin de
Incidentes, debido a que es casi inevitable que la solucin emane de una decisin estratgica.
Los pasos clave en el desarrollo de un Plan de Continuidad de Negocio (PCN) son:
Nombrar a un responsable del Plan de Continuidad de Negocio (o de cada plan para varias
ubicaciones)
Definir los objetivos y alcance del plan en referencia a la estrategia de la organizacin y la Poltica
de GCN
Desarrollar y aprobar un proceso de planificacin y un programa
Crear un equipo de planificacin para llevar a cabo el desarrollo del plan
Decidir la estructura, formato, componentes y contenido del plan
Determinar las estrategias que describir el plan y qu es lo que se abordar en otros planes
Determinar las circunstancias que superan el alcance del PCN
Recopilar informacin para elaborar el plan
Hacer un borrador del plan
Circular el borrador del plan para consultas y revisiones
Obtener las reacciones a las consultas
Corregir el plan en lo que se considere adecuado
Acordar un programa constante de pruebas y mantenimiento para garantizar que est actualizado
(ver seccin siguiente)
Probar el plan mediante un ensayo sobre el papel
Un Plan de Continuidad de Negocio debe estar diseado por mdulos para que las diferentes
secciones puedan comunicarse a los equipos segn la informacin que necesiten saber. Cada seccin
puede imprimirse en un papel de diferente color para que sea fcil de utilizar y referenciar. Tambin
se recomienda asegurarse de que toda la informacin que cambia de forma regular, como los detalles
de contacto, figure bajo la forma de apndices al final del plan de forma que pueda ser corregida ms
fcilmente. Por esta razn es preferible que en el texto del documento figuren las funciones y no los
nombres especficos de quienes las desempean.
1

2

3
5

6
4
c
a
p
80
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
Existen muchos programas informticos para desarrollar y mantener un Plan de Continuidad de
Negocio, pero no es esencial utilizarlos. Puede ser suficiente recurrir a software ofimtico normal (un
procesador de textos y una hoja de clculo), adems de que mucha ms gente puede utilizarlo puesto
que no exige una formacin especial. No obstante, un software adaptado a las necesidades
especficas puede aportar ventajas significativas en lo que se refiere al mantenimiento e integridad
del plan. Cualquiera que sea la solucin adoptada, tiene que haber un proceso de gestin de control y
cambios para la produccin, actualizacin y distribucin del Plan de Continuidad de Negocio.
El plan debe contener:
La persona o grupo nombrado para asegurar que el plan se mantiene actualizado y efectivo.
Deben figurar las funciones del equipo y personas especficas.
Se debe identificar a los sustitutos para cada funcin.
Las responsabilidades del equipo o de las personas especficas pueden ser:
Servir de enlace con los servicios de emergencia
Recibir o buscar la informacin de los equipos de respuesta
Reportar la informacin al Equipo de Gestin de Incidentes
Activar a proveedores de servicios de rescate o recuperacin
Asignar los recursos disponibles a los equipos de recuperacin
Se tienen que especificar las circunstancias en las que el equipo debe activarse y determinar qu
personas tienen la autoridad para activarlo. A pesar de ello, debido a la propia naturaleza de los
incidentes, se debera otorgar cierta flexibilidad y alentar a tomar decisiones en caso de dudas,
debido a que es ms fcil desactivar un equipo que iniciarlo cuando el incidente est descontrolado.
Deben figurar los medios por los que se activa el equipo de tal forma que se puedan tomar decisiones
en el menor tiempo posible.
El equipo tiene que haber acordado previamente varios posibles lugares de reunin, dando prioridad
a aquellos que contienen los recursos necesarios (ver ms adelante). Nada ms activado, el primer
responsable informado deber identificar el lugar ms adecuado para las reuniones y un lugar
alternativo.
Procedimientos detallados destinados al equipo para:
Responder a la invocacin
Cmo se deben tomar las decisiones
Movilizar recursos
Iniciar la recuperacin de actividad
Recibir informacin de otros equipos
Informar del estatus al Equipo de Gestin de Incidentes
Listas de recursos disponibles:
Personal
Instalaciones y suministros
Tecnologa, comunicaciones y datos
Seguridad
Transporte y logstica
Necesidades bsicas
Dinero y pagos de emergencia
Informacin de contacto para acceder a estos recursos
Necesidades de recursos para recuperacin de cada actividad
Informacin de clientes
Detalles de contacto
Documentos legales (contratos y plizas de seguro)
Acuerdos de servicios
Responsable de documentacin y mantenimiento
Funciones y responsabilidades
Instrucciones para su activacin
Planes de accin / lista de tareas
Necesidades de recursos
Informacin vital
81
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
Formularios y anexos
7. Resultados
8. Revisin
Listas de verificacin para ayudar a la recuperacin
Los resultados del proceso de planificacin de Gestin de Continuidad de Negocio incluyen:
Un Plan de Continuidad de Negocio que debera estar ratificado por la direccin ejecutiva
Un marco en el que puede operar cada unidad de negocio (ver seccin siguiente)
Alguna informacin contenida en el Plan de Continuidad de Negocio como los detalles de contacto
tendr que ser revisada mensual o trimestralmente. Otra informacin deber revisarse de forma
anual y comprobada mediante pruebas. Otros posibles desencadenantes para una revisin son:
Un cambio importante en la tecnologa y/o telecomunicaciones
Un cambio importante en los procesos
Un cambio importante en el personal
Un cambio en el proveedor de soluciones de GCN.
1

2

3
5

6
4
c
a
p
82
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
PLANES DE RESPUESTAPORACTIVIDAD
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Un Plan de Continuidad de Negocio ser rpidamente difcil de manejar si todos los procedimientos
de recuperacin figuran en un nico documento. Cuando ste sea el caso (como en las organizaciones
medianas o grandes) los planes de respuesta y recuperacin de cada actividad deberan excluirse del
PCN y ser incluidos en un documento separado que se pasa a ser responsabilidad de la actividad con la
que est relacionado.
Los planes de respuesta por actividad (en el nivel operativo) abordan la respuesta al incidente de
cada departamento o unidad de negocio. Algunos ejemplos de los planes de respuesta por operacin
son:
Procedimientos para ayudar a un equipo de respuesta a incidentes generalmente dirigido por un
departamento que se ocupa del incidente especfico y su impacto material (si existe)
Una respuesta de recursos humanos a problemas de necesidades bsicas durante un incidente
Un plan del departamento para reiniciar actividades en un plazo predeterminado
Una respuesta logstica del departamento de TI a la prdida y subsiguiente recuperacin de los
servicios deTI para el negocio
La complejidad y urgencia de los procesos de negocio pueden determinar si los planes operativos slo
se ocupan de una actividad o abarcan un departamento que gestiona varias actividades.
Segn el grado de complejidad de la organizacin, los planes de respuesta operativos pueden ser
respaldados por planes ms detallados para respuestas, ubicaciones o equipos especficos.
Debido a los muchos vnculos que existen entre el Plan de Continuidad de Negocio y los de respuesta
operativos, el Plan de Continuidad de Negocio debera estar redactado, al menos en su esquema
general, antes de que se determinen estos planes por actividad.
El propsito del Plan Operativo de Respuesta es estructurar la respuesta de cada departamento a una
interrupcin dentro del Plan de Continuidad de Negocio general.
El plan debe estar orientado a la accin y por lo tanto debe ser rpido de consultar y no debe incluir
documentacin que no sea necesaria durante un incidente.
Los pasos clave para la planificacin y desarrollo del plan de recuperacin para la unidad de negocio
son:
Nombrar a una persona responsable del desarrollo general de los planes y un representante dentro
de cada unidad para desarrollar su propio plan
Definir el objetivo y alcance de los planes
Desarrollar un proceso de planificacin y un programa con plazos. Cuando sea posible, empezar con
los planes para las actividades de negocio ms urgentes
Determinar las estrategias generales de GCNen las que se basa el plan
Decidir la estructura, formato, componentes y contenido de los planes
Desarrollar un esquema general de plan para favorecer que se estandarice la documentacin, pero
que tambin se permita ciertas variaciones especficas si fuera adecuado
Asegurarse de que las unidades de negocio nombran a personas para cumplir las funciones
determinadas en el plan
Gestionar y supervisar el desarrollo de planes dentro de las unidades de negocio
Circular el borrador para consulta, revisin y crtica, tanto dentro como fuera del departamento si
fuera necesario
Registrar las reacciones de la consulta
Corregir el plan en caso de que sea necesario
Validar el plan a travs de un test en la unidad de negocio
Consolidar los planes para las unidades de negocio y revisarlos para comprobar su coherencia
Documentar las conexiones con el Plan de Continuidad de Negocio y entre los planes para las
unidades
Llevar a cabo un anlisis de las necesidades de recursos de todos los planes para determinar las
necesidades de recursos que apoyarn las funciones
83
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
6. Mtodos y tcnicas
7. Resultados
8. Revisin
Los planes de respuesta para operaciones especficas pueden incluir lo siguiente:
Recursos humanos
Recuperacin de la unidad de negocio
Los mtodos, herramientas y tcnicas para desarrollar un Plan Operativo de Respuesta incluyen:
Entrevistas (estructuradas y no estructuradas)
UnAnlisis del Impacto en el Negocio y unAnlisis de las Necesidades de Recursos para esta actividad
(para afinar los resultados del AINde mayor nivel)
Listas de verificacin y formularios
Talleres
Instalaciones (Equipo de Respuesta a Incidentes)
Planes para la evacuacin y realojo de edificios
Respuesta a amenazas de bomba y escenarios parecidos
Puntos de evacuacin (incluyen ubicaciones alternativas o externas)
Enlace con los servicios de emergencia
Dispersin del personal y visitantes
Rescate de recursos y asistencia contratada
Circunstancias agravantes
Necesidades bsicas
Responsabilidades legales en cuestiones de salud y seguridad
Procedimiento para contabilizar el personal
Procedimiento para contactar al personal
Recursos para terapia psicolgica y rehabilitacin
Criterios de escalado para poner en marcha la Respuesta de Continuidad de Negocio (el problema se
sale de la zona de gestin de la unidad de negocio)
Procedimiento de escalado para transferir la responsabilidad al Equipo de Continuidad de Negocio
Contacto inicial del Equipo de Continuidad de Negocio
Contacto con los miembros del equipo
Plan de reinicio de actividades para cada proceso
Nmero de empleados necesario
Contactos clave
Procedimiento para el reinicio de la actividad de negocio
Forma de iniciarlo
Prioridades
Procedimientos especiales
Problemas durante la puesta en prctica
Nmero de empleados necesario
Recursos necesarios
Los resultados del Plan Operativo de Respuesta incluyen:
Un Plan Operativo de Respuesta documentado para cada actividad o departamento
Criterios para que las unidades de negocio deriven el asunto al Equipo de Continuidad de Negocio
Definicin clara de las funciones de GCNdentro del departamento
Los planes operativos de respuesta tienen que revisarse en caso de que se produzca un cambio
importante en los procesos o tecnologa dentro de ese rea.
1

2

3
5

6
4
c
a
p
84
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
1

2

3
5

6
4
c
a
p
INDICADORES CLAVE DE GCN
Estos son los elementos clave de lo que se espera de una organizacin con una GCNmadura
1. La organizacin es responsable de al menos un Plan de gestin de incidentes y un Plan de
Continuidad de Negocio, que le permite gestionar cualquier posible incidente o crisis que afecte a la
continuidad en cualquier parte del negocio y sin importar la causa
2. La organizacin opera uno o varios equipos para incidentes y recuperacin que son responsables de
gestionar todos los posibles incidentes que afectan a la continuidad
3. Cada equipo incluye a ejecutivos de alta direccin que son responsables y que poseen la autoridad
y conocimiento para responder de forma efectiva a cualquier incidente
4. Cada miembro del equipo tiene al menos un sustituto con igual nivel de autoridad y formacin
5. Cada equipo tiene poderes y recursos para ser siempre movilizado a tiempo y dar una respuesta
adecuada
6. Cada equipo tiene que saber operar todas las herramientas e informacin necesarias que necesita
para gestionar un incidente
7. Todos los integrantes del equipo han recibido la formacin adecuada para operar bajo una crisis o
en condiciones parecidas
8. Cada plan define una escalada y un proceso de invocacin que permite su activacin rpida o
inmediata
9. Cada plan contiene instrucciones inequvocas para la invocacin en caso de cualquier tipo de
incidentes y condiciones
10. Cada plan contiene criterios claros de invocacin y directrices
11. Cada plan identifica con claridad aquellas personas que tienen autoridad para invocarlo
12. Cada plan contiene tareas y listas para obstaculizar las consecuencias inmediatas de un trastorno
en el negocio
13. Cada plan contiene una declaracin clara e inequvoca de su propsito y alcance
14. Cada plan explica los protocolos y mecanismos para comunicaciones de emergencia y avisos
15. Cada plan exige que la informacin de contacto de familiares y de emergencia de todo el personal
est actualizada y disponible para su rpida utilizacin
16. Cada plan identifica la o las personas que despus de un accidente se encargarn de las
responsabilidades de salud y bienestar del personal
17. Cada plan contiene medidas especficas que garanticen que despus de un accidente la prioridad
se enfoca en el bienestar de las personas y que los problemas a este respecto son gestionados de
forma efectiva
18. Cada plan define y comunica las funciones, responsabilidades y grados de autoridad de todos los
participantes
19. Cada plan contiene y establece un marco de accin claro para el control aceptable de cualquier
incidente
20. Cada plan describe con claridad cmo elegir, adaptar y poner en marcha las estrategias para
optimizar la recuperacin despus de un incidente
21. Cada plan contiene explicaciones claras de prioridades que reflejen las variaciones estacionales,
peridicas y de da a da
22. Cada plan identifica con claridad los niveles de recuperacin que deben lograrse con el tiempo
(Objetivos deTiempos de Recuperacin)
23. Cada plan describe con claridad los medios para coordinar todos los equipos y entidades
involucradas en la recuperacin
24. Cada plan contiene tareas, procedimientos y listas de verificacin que inician y cumplen de forma
aceptable con las estrategias
25. Cada plan contiene un inventario actualizado de los recursos necesarios en el tiempo para
entregar de forma aceptable las estrategias
26. Cada plan contiene registros o formularios para resear la informacin del incidente
27. Cada plan contiene tareas y listas de verificacin para la restauracin de las operaciones despus
de cualquier incidente
28. Cada plan contiene tareas que permiten un anlisis efectivo de la situacin y una evaluacin de
los daos
29. Cada plan contiene tareas que aseguran la continuidad de cada acuerdo de subcontratacin
85
D
E
S
A
R
R
O
L
L
A
R
Y
P
O
N
E
R
E
N
P
R

C
T
I
C
A
L
A
R
E
S
P
U
E
S
T
A
D
E
G
C
N
30. Cada plan ofrece indicaciones fiables acerca del tiempo para completar cada paso bajo
condiciones de trastorno
31. Cada plan incluye el contacto y los detalles para movilizar a todos los proveedores y clientes clave
32. Los planes de la organizacin prevn de forma especfica la gestin rpida de la comunicacin con
todos los proveedores y clientes clave antes, durante y despus de un incidente
33. Los planes de incidentes contienen provisiones especficas acerca de cmo llevar a cabo medidas
adecuadas de buen gobierno
34. Cada plan identifica al personal con el grado de autoridad adecuado para servir de enlace con los
servicios de emergencia
35. Cada plan ofrece la base para un sistema efectivo de gestin de la informacin en momentos de
crisis
36. Cada plan especifica los medios y la frecuencia con la que se debe ofrecer la informacin, como
por ejemplo en comunicados de prensa, correo electrnico, sitio de Internet
37. Cada plan ofrece una estrategia y marco de accin para comunicarse con los medios de
comunicacin
38. Cada plan identifica a los portavoces formados que estn autorizados a enviar informacin a los
medios de comunicacin
39. Cada plan identifica un lugar preferido de enlace con los medios de comunicacin u otras partes
interesadas
40. Cada plan identifica cmo hacer seguimiento de la respuesta de los medios de comunicacin
41. Los planes contienen un comunicado tipo para enviar a los medios de comunicacin
42. Los planes contienen directrices para crear conciencia a travs de los medios de comunicacin
43. Cada plan identifica una ubicacin preferida desde la que se gestionar el incidente (ubicacin
para la gestin de incidentes)
44. Cada plan identifica una ubicacin alternativa en caso de que no se pueda acceder a la ubicacin
preferida para la gestin de incidente
45. Cada ubicacin de gestin de incidentes dispone de el acceso a los recursos necesarios para poner
en marcha el plan de incidentes
46. Cada ubicacin de gestin de incidentes dispone de medios de comunicacin efectivos, tanto
principales como alternativos
47. Cada ubicacin de gestin de incidentes dispone de instalaciones para acceder y compartir
informacin, incluido el seguimiento de los medios de comunicacin
48. Cada plan es conciso y es asimilado por todos sus posibles usuarios
49. Cada plan es prctico, est orientado a la accin y excluye toda la informacin que no ser exigida
durante un incidente
50. Cada plan es rpidamente accesible para todos sus posibles usuarios
51. Cada plan se considera completo en el sentido de que se ocupa de cualquier trastorno desde el
punto de recuperacin hasta el reinicio de las operaciones normales de negocio
52. Cada plan se considera completo en el sentido de que documenta todos los componentes
requeridos para poner en marcha de forma fiable cada una de las estrategias
53. Cada plan identifica su principal responsable
54. Cada plan cuenta con el apoyo de la alta direccin e incluye un responsable concreto directo
55. Cada plan identifica a aquellos responsables de su revisin, mantenimiento y difusin autorizada
56. Cada plan cuenta con un presupuesto adecuado para su desarrollo y mantenimiento
57. Cada plan cumple con todas las obligaciones legales y estatutarias
58. Cada plan describe con claridad su relacin con todos los dems planes o documentos relevantes
59. Cada plan y su documentacin asociada estn actualizados y reflejan las necesidades de la
organizacin
60. Cada plan est sujeto a un control sistemtico de su versin y distribucin
61. Cada plan est ratificado por la alta direccin.
1

2

3
5

6
4
c
a
p
86
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1 2 3 4 6 5 captulo
Probar, mantener y revisar
los preparativos de GCN
87
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
Acerca del captulo 5 Probar, mantener y revisar los preparativos de GCN
COMPONENTES DE LAETAPA5
PROBAR, MANTENERYREVISARLOS PREPARATIVOS DE GCN
La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles
impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer
de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y
dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.
Est seccin garantiza que las estrategias, planes y acuerdos de GCN de la organizacin son
refrendados por pruebas y revisiones, adems de estar actualizados.
1. PRINCIPIOS GENERALES
2. PROGRAMADE PRUEBAS
3. PROBAR LOS PREPARATIVOS DE GCN
4. MANTENER LOS PREPARATIVOS DE GCN
5. REVISAR LOS PREPARATIVOS DE GCN
1

2

3

4
6
5
c
a
p
88
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
PROBAR, MANTENERYREVISARLOS PREPARATIVOS
Principios generales
Referencia: BS 25999-1 Seccin 9
Pruebas
Mantenimiento
Revisin
La capacidad para la Gestin de Continuidad de Negocio (GCN) no puede considerarse fiable hasta
que no se ha puesto en prctica. Como rara vez es posible llevar a cabo un ensayo para toda la
organizacin de una sola vez, se necesita un programa de pruebas planificado para garantizar que
todos los aspectos de los planes y personal se han ensayado durante un perodo de tiempo.
Las pruebas tienen mltiples formas, entre ellos ejercicios tcnicos, pruebas desde el ordenador y
ensayos completos en vivo. Independientemente de lo bien diseada y planificada que est una
Estrategia de GCN o un Plan de Continuidad de Negocio (PCN), varias pruebas slidas y realistas
identificarn los problemas y suposiciones que se debern corregir.
El tiempo y los recursos empleados en ensayar las Estrategias de GCN y PCN son partes cruciales del
proceso en su conjunto por el hecho de que desarrollan competencias inspiran confianza e imparten
conocimientos esenciales en momentos de crisis.
Si bien es necesario dedicar esfuerzos en poner a prueba las capacidades tcnicas para la
recuperacin, el elemento clave es el papel de las personas y su capacidad en habilidades,
conocimientos, gestin y toma de decisiones.
Cuando se subcontrata un servicio o actividad, no se transfiere la responsabilidad del riesgo. Por esa
razn las organizaciones deben asegurarse por s mismas que los proveedores de servicios
subcontratados estn preparados para aguantar un incidente. Deben comprobar la efectividad sus
propios planes y exigir a sus proveedores pruebas acerca de la viabilidad de los planes de contingencia
y cerciorarse de ello a travs de ejercicios.
La mayora de las organizaciones actan en un entorno dinmico y estn sujetas a cambios en las
personas, procesos, mercado, riesgos, entorno, geografa y estrategia de negocio. Es necesario
garantizar que su capacidad para la GCNsigue reflejando la naturaleza, magnitud y complejidad de la
organizacin. Debe estar actualizada, ser fiable, completa, ensayada, y comprendida por
proveedores, clientes, accionistas, trabajadores y todas las partes interesadas.
Se debe instaurar un Programa de Mantenimiento de la Continuidad de Negocio para garantizar que
todas las partes interesadas conocen las partes ms actualizadas y relevantes del PCN.
Existen varias formas de revisar un programa de GCN:
Auditora interna
Auditora externa
Autoevaluacin
El proceso de auditora de GCN garantiza que una organizacin dispone de un Programa de
Continuidad de Negocio efectivo. La auditora cumple cinco funciones esenciales:
Certifica el cumplimiento de las polticas y estndares de GCNde la organizacin
Revisa las soluciones de GCNpara la organizacin
Da validez a los PCNde la organizacin.
Verifica que se estn realizando las actividades adecuadas de ensayo y mantenimiento
Pone de relieve las deficiencias y problemas y garantiza su correccin
El proceso puede ser realizado por el departamento de auditora interna de la organizacin, un
auditor externo o un profesional externo experto en Continuidad de Negocio. Se debe realizar el
proceso cada uno o dos aos. Entretanto los responsables de los planes de Continuidad de Negocio
pueden llevar a cabo de forma ms frecuente una "comprobacin de desempeo".
89
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
PROGRAMADE PRUEBAS
1. Introduccin
2. Pasos previos
4. Conceptos y suposiciones
5. Proceso
Referencia: BS 25999-1 Seccin 9.2
3. Propsito
Procesos de recuperacin
El desarrollo de una capacidad para la GCN se logra a travs de un programa estructurado de pruebas.
Se puede iniciar un programa de pruebas de GCN mediante un ejercicio diseado para poner de
relieve las deficiencias en la capacidad.
Para ser exitoso, un programa de pruebas debe tener una forma simple al inicio y complicarse de
forma gradual.
Aun cuando la entrega de un producto o servicio ha sido subcontratada, la organizacin sigue siendo
responsable de esa entrega. En ese caso la organizacin debera asegurarse de que, mediante
ejercicios, la empresa subcontratada es capaz de cumplir con sus obligaciones. De igual forma se
debera solicitar a los proveedores de productos o servicios cuya interrupcin podra causar un
trastorno importante para la organizacin que den pruebas de su capacidad de recuperacin.
La Poltica de GCNdebera definir el calendario y responsabilidades para el programa de ejercicios.
El propsito del programa de ejercicios es garantizar que a lo largo de un tiempo:
Se verifica toda la informacin de los planes
Se ensayan los planes
Todo el personal (incluyendo subalternos) han ejercitado sus habilidades
Actividades subcontratadas
Las pruebas para las actividades subcontratadas deberan figurar como obligatorias en el contrato y
ser formalizadas mediante acuerdos de servicio.
Redactar una lista de todos los procesos de recuperacin (por ejemplo, reubicacin)
Determinar el tipo de prueba ms adecuada para cada proceso
Redactar una lista de todo el personal o grupos involucrados en cada proceso
Determinar un calendario de pruebas para asegurarse de que, a lo largo de un tiempo, todo el
personal determinante se ver involucrado en ellas
El programa de ejercicios debe incluir actividades que permitan ensayar las diversas facetas de las
estrategias de GCNadoptadas. Entre ellas:
Tcnico - Funcionan los equipos?
Procedimientos - Son correctos los procedimientos?
Logstica - Logran los procedimientos sucederse de forma lgica?
Entrega a tiempo - Consiguen los procedimientos cumplir con los OTR de cada actividad?
Administrativo - Son los procedimientos fciles de gestionar?
Personal - Estn involucradas las personas correctas? Poseen las habilidades, autoridad y
experiencia adecuadas?
1

2

3

4
6
5
c
a
p
90
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
6. Mtodos y tcnicas
Figura :Tipos de ejercicios (Fuente: Elliot, Swartz y Herbane 1999)
La siguiente matriz ilustra una progresin y posibles combinaciones de ejercicios:
7. Resultados
8. Revisin
La planificacin del Programa de Pruebas de GCNdeber resultar en:
Un calendario para un programa de Pruebas
La frecuencia de un Programa de Pruebas de GCN depender de la naturaleza, magnitud y
complejidad de la organizacin. Un ensayo de la Capacidad para la GCN de la organizacin en su
conjunto debera realizarse al menos una vez cada 12 meses. Tambin es posible que otros
acontecimientos obliguen a realizar nuevas pruebas:
Un cambio significativo en los procesos, la plantilla o la tecnologa
Un cambio importante en el entorno externo del negocio
91
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
PROBARLOS PREPARATIVOS DE GCN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
Ref: BS 25999-1 Seccin 9.3
Rigurosa
Realista
"Pruebas" es un trmino genrico que se utiliza aqu para describir el conjunto de medidas que ponen
a prueba el Plan de Continuidad de Negocios, los integrantes de los equipos y la tecnologa y
procedimientos. Se suelen utilizar tres trminos:
Prueba (Test): suele referirse a someter a examen un proceso tecnolgico o de negocio,
generalmente con respecto al cumplimiento de ciertos plazos. Es posible que el resultado sea "pasa" o
"falla" (para el proceso, no la persona). Un ejemplo podra ser la recuperacin de un servidor
mediante los archivos de respaldo.
Simulacro: Prctica de un conjunto especfico de procedimientos que requieren el seguimiento de
un guin para inculcar conocimientos y familiarizarse con la prctica. Un ejemplo sera un simulacro
de incendio.
Ejercicio: Suelen realizarse para un evento basado en un escenario en el que se ponen a prueba la
capacidad para tomar decisiones. Un ejemplo es un ejercicio de escritorio para gestionar un
incidente grave.
Ms all del trmino que se utilice, es importante darse cuenta de que una prueba es una oportunidad
medir la calidad de la planificacin, la competencia de las personas y la efectividad en las
capacidades y no un simple examen con un aprobado o un suspenso. Demostrar una actitud positiva
frente a las pruebas de GCN logra que el proceso tenga mayor aceptacin, permite reconocer las
fortalezas, mientras que las deficiencias sern consideradas oportunidades para mejorar en lugar de
dar lugar a crticas.
Las pruebas enfocadas en actividades individuales son parte de un programa de pruebas y deben ser
programados junto con las actividades de formacin correspondientes.
El propsito de ensayar es:
Evaluar las actuales competencias de la organizacin para la GCN
Identificar reas para mejorar o en las que falta informacin
Destacar suposiciones que deben ser cuestionadas
Ofrecer informacin e inspirar confianza a los participantes de los ejercicios
Incentivar el trabajo en equipo
Mejorar el nivel de conciencia de toda la organizacin acerca de la Continuidad de Negocio dando
publicidad al ejercicio
Comprobar la efectividad y cumplimiento de plazos de los procedimientos de restauracin al final
del ejercicio
Para que una prueba se considere "til" necesita cumplir con los siguientes criterios: rigurosa, realista
y de exposicin mnima. Suele suceder que estos tres criterios plantean requisitos opuestos por lo que
se necesitar llegar a un compromiso balanceado entre todos.
Cuando sea posible, las pruebas deben realizarse utilizando los mismos procedimientos y mtodos
que se utilizaran durante un incidente real, tratando de que todo sea lo ms realista que se pueda. Se
trata de un ideal, pero no es posible llevar a cabo ciertas pruebas sin realizar alteraciones reales
sobre los procesos. Esto sobre todo aplica a pruebas tcnicas.
La utilidad de una prueba se ve comprometida si se elige un escenario poco realista. Se necesita
simular un incidente para demostrar la viabilidad de los planes en tales circunstancias.
Reflejar un escenario de negocios realista garantiza que la audiencia se comprometa por completo
con la prueba y aprenda ms de ella.
1

2

3

4
6
5
c
a
p
92
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
Exposicin mnima
Participantes
5. Proceso
6. Mtodos y tcnicas
La realizacin de pruebas puede exponer el negocio a un nivel elevado de riesgo. El responsable de
disear la prueba debe asegurarse de que:
queda minimizado el riesgo e impacto del trastorno
el negocio entiende y acepta el riesgo
Para pruebas de mayor complejidad tcnica, el responsable debe asegurarse de que existen puntos
acordados previamente para continuar o detener la prueba a lo largo de etapas clave, adems de
planes adecuados de respaldo en caso de que las cosas salgan mal.
Del mismo modo, para los ejercicios de despacho o en directo, el responsable tiene que disponer de la
capacidad de interrumpir la prueba si el equipo est tomando decisiones que no seran adecuadas en
el escenario planteado.
Una prueba tcnica incluye las siguientes fases:
Acordar el alcance y objetivos de la prueba
Acordar el presupuesto para la prueba si fuera necesario
Asignar a la tarea el personal adecuado
Plantear un escenario sencillo y un conjunto de suposiciones que dan contexto a la prueba
Llevar a cabo una Evaluacin de Riesgos de la prueba para minimizar el riesgo de impacto sobre las
operaciones reales
Llevar a cabo la prueba y registrar los resultados
Evaluar e informar de los resultados
Solucionar cualquier problema detectado
Un ejercicio sobre un escenario necesitar pasos similares, pero ms complejos:
Acordar el alcance y objetivos del ejercicio con la alta direccin
Acordar el presupuesto para la prueba
Acordar con los responsables y proveedores adecuados la logstica y servicios necesarios para
desarrollar el ejercicio
Preparar un escenario realista y detallado
Incluir aspectos como fecha, hora, carga de trabajo, condiciones polticas y econmicas y
problemas temporales o estacionales
Asegurarse de que los participantes estn disponibles
Llevar a cabo una Evaluacin de riesgos del ejercicio para minimizar el riesgo de impacto sobre las
operaciones reales
Informar a observadores y preparar cuestionarios que se utilizarn durante el ejercicio para plasmar
las lecciones aprendidas por jugadores y observadores
Dar a los participantes informacin previa al ejercicio
Llevar a cabo el ejercicio
Hacer un informe de resultados y comunicarlo a los participantes inmediatamente despus del
ejercicio
Presentar un informe ms formal a los participantes en una fecha posterior
Evaluar los resultados del ejercicio y los resultados del informe y preparar un informe con
recomendaciones
Preparar un informe de las cuestiones problemticas durante y justo despus de la prueba.
Enviar copia de los informes a los participantes y alta direccin
Crear un plan de accin que se pondr en marcha despus del ejercicio con las recomendaciones al
informe, como la actualizacin de la estrategia y plan conforme a lo aprobado o revisin del
calendario de ejercicios para dar tiempo a demostrar la eficacia de los cambios.
Adems del personal, en un ejercicio con un escenario los participantes tambin pueden ser:
El facilitador
Los proveedores de recursos y servicios especializados para la GCN
Los representantes de las compaas de seguros
Los servicios de emergencia
Los encargados de seguridad
93
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p

Las autoridades locales dedicadas a planificacin de emergencias

Los responsables de comunicacin y relaciones pblicas
Expertos (cuando se necesiten)
Los proveedores de productos y servicios para el negocio
Los proveedores de actividades subcontratadas
El proceso de probar la GCN puede brindar los siguientes resultados:
Comprobacin de que la Continuidad de Negocio y las estrategias son efectivas
Grado de familiaridad del personal con sus funciones, responsabilidades y autoridad en
respuesta a un incidente.
Prueba de los aspectos tcnicos, logsticos y administrativos del Plan de Continuidad de Negocio.
Prueba de la infraestructura de recuperacin como los centros de mando, el rea de trabajo,
tecnologa y telecomunicaciones.
Un ensayo acerca del grado de disponibilidad y reubicacin de la plantilla
Documentar los resultados del ejercicio en un informe posterior para la alta direccin,
auditores, aseguradoras, autoridades y dems partes interesadas
Documentar y resolver todas las cuestiones que han surgido en el ejercicio
Una conciencia mayor acerca de los procedimientos de emergencia
Una conciencia mayor acerca del significado de la GCN.
La oportunidad para identificar las deficiencias y posibilidades de mejora en la preparacin a la
Continuidad de Negocio por parte de la organizacin
La frecuencia de un Programa de Ejercicios de GCN depender de la naturaleza, magnitud y
complejidad de la organizacin. Un ensayo de la Capacidad para la GCN de la organizacin en su
conjunto debera realizarse al menos una vez cada 12 meses. Tambin es posible que otros
acontecimientos obliguen a realizar nuevos ejercicios:
Un cambio significativo en los procesos, la plantilla o la tecnologa
Un cambio importante en el entorno externo del negocio.
7. Resultados
8. Revisin
94
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
MANTENERLOS PREPARATIVOS DE GCN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
7. Resultados
Referencia: BS 25999-1 Seccin 9.4
El Programa de Mantenimiento de GCN garantiza que la organizacin se encuentra preparada para
gestionar incidentes a pesar de los constantes cambios que experimentan todas las organizaciones.
Para que un Programa de Mantenimiento de GCN sea efectivo, debe estar integrado en los procesos
normales de gestin de la organizacin en lugar de formar parte de una estructura separada que
puede ser olvidada.
La mayora de los problemas que surgen de las pruebas y ejercicios son resultado de cambios internos
en la organizacin personal, ubicacin o tecnologa.
El propsito del proceso de Mantenimiento de la Gestin de Continuidad de Negocio e Incidentes es
garantizar que la capacidad para la GCN de la organizacin se mantiene efectiva a pesar de los
cambios en los procesos internos y las influencias externas.
Disponer de una gestin de cambios es un prerrequisito para el mantenimiento del programa de GCN.
Revisar los cambios internos en:
Procesos de negocio
Tecnologa
Personal
Esta revisin puede ser provocada por un cambio en la gestin, por los "puntos de aprendizaje" de
despus de los ejercicios o por un informe de auditora.
Revisar y cuestionar las suposiciones hechas en el Anlisis del Impacto en el Negocio acerca del
entorno en el que opera la organizacin para determinar si los imperativos de tiempo han cambiado
desde la ltima revisin
Revisar la idoneidad y disponibilidad de aquellos servicios externos que podran ser exigidos por una
organizacin en momentos difciles, como la restauracin de activos, ubicaciones de recuperacin y
subcontrataciones
Revisar los planes de Continuidad de Negocio para proveedores de componentes cuya entrega a
tiempo es crtica para el negocio
Evaluar si los cambios y enmiendas crean una necesidad de formacin, concienciacin y/o
comunicacin.
Ofrecer formacin, concienciacin y/o comunicacin adecuadas en lo que se necesite.
Distribuir la poltica, estrategias soluciones, procesos y planes de GCN actualizados, corregidos,
modificados a las principales partes interesadas mediante el proceso formal de control de cambios
(versin).
Cada responsable del plan se hace cargo del mantenimiento de los planes de Continuidad de Negocio
del equipo y los datos dinmicos, como los telfonos del personal fuera de horas de oficina, tareas del
equipo, detalles de contacto de los proveedores, contenido de la caja de contingencia, etc.
Las secciones del plan se actualizan desde mensualmente hasta una vez al ao, segn el calendario
estipulado en la seccin relativa al Mantenimiento del Plan de Continuidad de Negocio. Los meses
adecuados para la actualizacin tambin se especifican en esa misma seccin.
La "fecha de la ltima actualizacin" se muestra claramente al principio de cada captulo del plan de
Continuidad de Negocio para garantizar un registro efectivo para las auditoras.
El proceso de mantenimiento de la Continuidad de Negocio brinda los siguientes resultados:
Un programa documentado de supervisin y mantenimiento de la Continuidad de Negocio
Un informe de mantenimiento claramente definido (con recomendaciones) acordado y ratificado
por el directivo adecuado
Un plan de accin del informe de mantenimiento claramente definido acordado y ratificado por el
directivo adecuado
Planes de Continuidad de Negocio, estrategias y soluciones que sean efectivos y adecuados.
95
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
8. Revisin
La frecuencia de un Programa de Ejercicios de GCN depender de la naturaleza, magnitud y
complejidad de los cambios en el negocio.
Es probable que se necesite realizar el mantenimiento:
Cuando se produce un cambio significativo en los procesos, la plantilla o la tecnologa.
Despus de un ejercicio o prueba.
Despus de una auditora que recomiende cambios.
De acuerdo con el calendario definido en el captulo sobre el Mantenimiento del Plan de Continuidad
de Negocio.
96
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
REVISARLOS PREPARATIVOS DE GCN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Referencia: BS 25999-1 Seccin 9.5
?
La revisin incluye
Auditoras, tanto internas como externas
Autoevaluacin
La auditora sirve para revisar de forma imparcial con respecto a estndares y polticas definidas y
para ofrecer recomendaciones para subsanar las deficiencias. No obstante, la naturaleza de la GCN
exige a la auditora una visin distinta debido a la evolucin de los estndares. La auditora est
diseada para verificar que se han seguido de forma correcta, no que las soluciones adoptadas son
obligatoriamente correctas.
La auditora debe realizarse con respecto a una Poltica de GCNy los estndares adecuados.
El propsito de una auditora de GCN es analizar las competencias que posee una organizacin para la
GCN; medirlas con respecto los estndares y criterios predeterminados y confeccionar un informe de
auditora estructurado.
Adems, la misma GCNdebera estar sujeta de forma peridica a un proceso de garanta.
Esta visin asume que si el proceso es correcto y se aplica de forma adecuada, el resultado debera
ofrecer una capacidad efectiva para la GCN.
Se asume que los estndares disponibles ofrecen el marco de accin adecuado para la auditora.
Entre ellos figuran:
Estndares nacionales e internacionales, como el Cdigo de Prcticas BS 25999-1 y la Especificacin
BS25999-2 (an no publicada)
Obligaciones normativas, como las marcadas por las autoridades financieras correspondientes
Obligaciones legales
Los Manuales de Buenas prcticas (como este documento) o aquellas especficas para un sector
Estndares de la industria como el ISO17799 (relativo a la seguridad deTI).
Al igual que sucede con la planificacin, puesta en marcha y mantenimiento de la Continuidad de
Negocio, la auditora de GCN se ocupa de un proceso complejo y necesita interactuar con un amplio
abanico de funciones directivas y operativas, tanto desde el punto de vista de negocio como tcnico.
La auditora del proceso de GCNincluye:
Una auditora del plan de GCN- que a su vez debera incluir:
Identificacin del tipo de auditora a llevar a cabo (de cumplimiento, gestin de proyectos, estudio
de factibilidad, due diligence o de investigacin).
Identificacin de los objetivos de auditora, es decir, los resultados. Esos objetivos pueden estar en
parte motivados y marcados o restringidos por las obligaciones legales o normativas. Esto incluye
cuestiones clave de alta importancia.
Identificacin del marco estndar para la auditora (cuando sea apropiado) que se va a utilizar,
como el BS 25999. El marco puede ser forzoso o estar restringido por las obligaciones legales o
normativas.
Definicin del alcance de la auditora.
Determinar los aspectos de gobierno corporativo, cumplimiento u otras cuestiones que deban ser
auditadas.
Determinar el rea/departamento/ubicacin de la organizacin que ser auditada.
Definicin de la perspectiva de la auditora.
Las actividades de auditora que se van a realizar, como cuestionarios/entrevistas
personales/revisin de documentos/revisin de soluciones.
Calendario de actividades y fechas de entrega
Identificacin de los criterios de evaluacin de la auditora (estndares).
Determinar las necesidades de opiniones expertas en temas especficos o asistencia por parte de
terceros para realizar la auditora.
Revisin y recopilacin de informacin mediante la auditora de las actividades de GCN.
-
-
-
-
-
-
-
-
-
-
-
97
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
Recopilar y resumir las entrevistas, cuestionarios y otras fuentes.
Identificar las deficiencias en contenido e informacin encontradas y realizar entrevistas nuevas o
por segunda vez, segn el caso.
Obtener y contrastar la documentacin relevante (como el Anlisis del Impacto en el Negocio) con
los datos de entrevistas y otras fuentes (inspecciones fsicas, muestreos).
Referencias a fuentes secundarias, como estndares, normas o manuales de buenas prcticas para
confirmar los resultados preliminares.
Formacin de una opinin que debera reflejar tanto los intereses del patrocinador de la auditora
como el "patrn" fijado por las fuentes externas, como normas, leyes o estndares del sector.
Asignar un factor de riesgo a los elementos individuales de auditora para distinguir entre los
resultados con riesgos crticos, altos, medios y bajos.
Definir los criterios para clasificar los resultados mediante una clasificacin predefinida
claramente diferenciada por categoras.
Entregar un borrador de informe de opinin para ser discutido por las principales partes interesadas.
Entregar un informe de opinin de auditora acordado que incorpore las recomendaciones as como
las respuestas auditadas all donde sigue habiendo diferencias de opinin.
Entregar un plan de medidas correctivas con plazos de cumplimiento para llevar a cabo las
recomendaciones acordadas en el informe de auditora. Tambin debera ser un elemento clave del
Programa de Mantenimiento de GCN.
Entregar un proceso de supervisin (adems del Programa de Mantenimiento de GCN) para
garantizar que se lleva a cabo en los plazos acordados el plan de auditora para corregir las
deficiencias materiales.
El proceso de garanta de GCNincluye:
Definir el grado de responsabilidad y autoridad de cada funcin
Definir los Indicadores Clave de Desempeo Objetivos, mediciones y estndares
Definir los factores de xito
Incorporar los Indicadores Clave de Desempeo en los contratos internos y externos as como en la
evaluacin anual
Evaluar y revisar el desempeo con respecto a los Indicadores Clave de Desempeo, los objetivos y
los estndares de la industria predefinidos.
Entregar un plan de medidas correctivas.
Los mtodos para la auditora deben ser determinados por los responsables de ella.
La autoevaluacin, o "supervisin de desempeo" llevada a cabo dentro del programa de GCN puede
recurrir a indicadores de desempeo como:
Nmero de meses transcurridos desde el ltimo ejercicio activo.
Nmero de asuntos pendientes que siguen sin resolverse desde el ltimo ejercicio.
Grado en el que se ha completado la documentacin del plan de Continuidad de Negocio.
Nmero de meses transcurridos desde el ltimoAnlisis del Impacto en el Negocio.
Nmero de asuntos pendientes que siguen sin resolverse desde el ltimo Anlisis del Impacto en el
Negocio.
Nueva aplicacin deTI evaluada para su inclusin en los planes de Continuidad de Negocio.
Nuevo o modificado proceso de negocio evaluado para su inclusin en los planes de Continuidad de
Negocio.
Adecuacin/viabilidad de los datos dinmicos del Equipo de Recuperacin como miembros del
equipo, telfonos de contacto, lista de proveedores, determinacin de la estacin de trabajo en el
emplazamiento de recuperacin.
Creacin de un presupuesto de GCNpara su puesta en marcha y mantenimiento.
Control presupuestario.
Cuadro de mandos de grado de cumplimiento de la autoevaluacin
La evaluacin cualitativa puede lograrse a travs de:
Documentar el anlisis y la revisin
Entrevistas con el personal, clientes, proveedores y dems partes interesadas.
-
-
6. Mtodos y tcnicas
98
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
7. Resultados
8. Revisin
Una auditora de GNC ofrecer los siguientes resultados:
El informe de una auditora de GNC independiente que haya recibido la conformidad y est
ratificado por la alta direccin
Un plan de accin correctivo que ha recibido la conformidad y est ratificado por la alta direccin
El resultado de una puntuacin deficiente ser:
Reconocimiento por el departamento de auditora interna de que el Plan de Continuidad de
Negocio es "inadecuado".
Iniciar una revisin del plan de Continuidad de Negocio dirigida por un experto en la materia que
ayudar al equipo a mejorar su estado.
El resultado de un proceso de autoevaluacin puede ser:
Mejoras en la gestin del programa de GCN
La poltica acerca de la frecuencia de las auditoras debe estar claramente definida y estipulada en la
"Poltica y Estndares deAuditora" de la organizacin.
99
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
INDICADORES CLAVE DE GCN
Estos son los elementos clave de lo que se espera de una organizacin con una GCNmadura
1. La organizacin opera un programa de pruebas de GCN que afecta a todas sus operaciones de
negocio
2. Todos los planes han sido puestos a prueba recientemente y de forma realista
3. Todo el personal ha participado recientemente de forma activa en ejercicios realistas
4. Todas las ubicaciones para la recuperacin de actividades y centros de mando han sido puestos a
prueba recientemente y de forma realista
5. Todos los sistemas crticos de recuperacin han sido puestos a prueba recientemente y de forma
realista
6. Toda la recuperacin crtica de telecomunicaciones (datos) ha sido puesta a prueba recientemente
y de forma realista
7. Toda la recuperacin crtica de telecomunicaciones (voz) ha sido puesta a prueba recientemente y
de forma realista
8. Toda la recopilacin, recuperacin y restauracin de informacin han sido puestas a prueba
recientemente y de forma realista
9. Todos los proveedores y empresas de servicio subcontratadas crticos han sido puestos a prueba
recientemente y de forma realista
10. Todos los proveedores de servicios de recuperacin han sido puestos a prueba recientemente y de
forma realista
11. Se ha ensayado recientemente y de forma realista la reubicacin de toda la plantilla
12. Los diversos planes de la organizacin se corresponden entre s y han sido puestos a prueba juntos
para garantizar que pueden ejecutarse sin dar lugar a omisiones o conflictos
13. El programa de ejercicios de GCNde la organizacin:
A. Es coherente con el alcance de todos los planes y estrategias
B. Garantiza que cada componente de las capacidades para la Continuidad de Negocio de la
organizacin se revisa y ensaya de forma regular y es actualizado segn un calendario determinado
C. Ofrecer una certeza objetiva de que todos los planes y estrategias funcionarn como previsto
cuando se necesiten
D. Garantiza que siempre que sea posible se utilizan escenarios realistas para las pruebas
E. Garantiza que se han comprobado todos los elementos y dependencias que existen en el plan y
que estn relacionados entre s
F. Garantiza que las pruebas reflejan una amplia gama de escenarios y posibles fallos
14. Se evala cada prueba del programa para garantizar que no expone a la organizacin a niveles de
riesgo inaceptablemente ms altos
15. Cada prueba posee una magnitud y complejidad adecuadas para los objetivos de recuperacin,
perfil de riesgo y nivel de madurez de la GCNen la organizacin
16. Cada prueba es realista, se planifica de forma cuidadosa y est acordada con las partes
interesadas
17. Cada prueba posee objetivos y criterios de xito claramente definidos que han sido autorizados
por la alta direccin
18. Cada prueba genera un informe resumido y anlisis posterior
19. Cada ejercicio genera un informe posterior que contiene medidas correctivas y un calendario
para su puesta en marcha
20. El programa de ejercicios incluye de forma especfica:
A. Revisiones sobre el papel del contenido del plan
B. Pruebas o revisiones completas de escenarios sobre el papel
C. Pruebas de aumento de la gravedad del incidente y de convocatoria del personal
D. Pruebas con escenarios limitados, como por ejemplo de recuperacin de tecnologa
E. Pruebas de recuperacin de unidades de negocio
F. Pruebas integrales de recuperacin que involucren el desplazamiento de toda la ubicacin
21. El programa de ejercicios se adecua de forma rigurosa a unos tiempos previamente fijados que
estn acordes con la Poltica de GCN
22. El programa de ejercicios es responsabilidad ltima de un miembro del equipo de alta direccin
23. El programa de ejercicios posee un presupuesto aprobado propio y adecuado
100
P
R
O
B
A
R
,
R
E
V
I
S
A
R
Y
M
A
N
T
E
N
E
R
L
O
S
P
R
E
P
A
R
A
T
I
V
O
S
D
E
G
C
N
1

2

3

4
6
5
c
a
p
24. La documentacin del programa de ejercicios describe de forma clara su relacin con otros
documentos importantes
25. La organizacin lleva a cabo un programa de mantenimiento de GCN que engloba todos los
aspectos de la GCNen todas las operaciones
26. Todos los aspectos de la GCN en toda la organizacin estn actualizados y reflejan los requisitos
de la Poltica
27. El proceso de mantenimiento de GNC est claramente definido y documentado y ofrece un
control de los cambios para todos los componentes de la GCN
28. El proceso de mantenimiento de GNC:
A. Se adecua de forma rigurosa a unos tiempos previamente fijados
B. Es responsabilidad ltima de un miembro del equipo de alta direccin
C. Posee un presupuesto aprobado propio y adecuado
29. El proceso de mantenimiento de GNC est ratificado por la alta direccin
30. El proceso de auditora revisa de forma independiente y peridica la competencia para la GCN de
la organizacin en nombre de la alta direccin para verificar su continua adecuacin y efectividad
31. La organizacin posee los procedimientos adecuados para subsanar las deficiencias relacionadas
con la GCNidentificadas en la auditora.
101
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1 2 3 4 5 6 captulo
Incorporar la GCN en la
cultura de la organizacin
102
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
Acerca del Captulo 6 Incorporar la GCNen la cultura de la organizacin
COMPONENTES DE LAETAPA6
INCORPORARLAGCNENLACULTURADE LAORGANIZACIN
La Gestin de Continuidad de Negocio es un proceso integral de gestin que identifica los posibles
impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer
de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y
dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.
Para tener xito, la GCN tiene que ser una parte asumida dentro de la gestin normal del negocio, sin
importar el tamao o sector de actividad. En todo momento del proceso de GCN existen las
oportunidades de introducir y mejorar la cultura de GCNen una organizacin.
1. PRINCIPIOS GENERALES
2. EVALUAR ELNIVELDE CONCIENCIACINYFORMACINENGCN
3. DESARROLLAR LAGCNDENTRODE LACULTURADE LAORGANIZACIN
4. SUPERVISAR ELCAMBIOCULTURAL
103
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
INCORPORARLAGCNENLACULTURADE LAORGANIZACIN
Principios generales
Referencia: BS 25999-1 Seccin 10
La instauracin de una Gestin de Continuidad de Negocio (GCN) dentro de la cultura de la
organizacin depende de su integracin con la gestin diaria y estratgica de la organizacin y su
correspondencia con las prioridades del negocio.
Una cultura de GCNgarantizar que una organizacin puede:
Desarrollar un programa de GCNde forma ms eficiente
Inculcar confianza en personal y clientes en su capacidad para sobrellevar los trastornos
Mejorar su robustez con el paso del tiempo al asegurarse de que todas las decisiones en todos los
niveles toman en cuenta las implicaciones para la GCN
Minimizar el impacto y la probabilidad de los trastornos
El proceso para desarrollar e incorporar de forma sostenida la GCN en la cultura de la organizacin es
fruto de los siguientes tres pasos:
1. Evaluar el actual nivel de concienciacin y compromiso con la GCN con respecto al nivel deseado;
identificar las "carencias de formacin" que existen entre los dos
2. Disear y realizar una campaa para crear una concienciacin corporativa y desarrollar las
habilidades, conocimientos y compromiso necesarios para garantizar una exitosa Gestin de
Continuidad de Negocio.
3. Comprobar que la campaa de creacin de concienciacin ha logrado los resultados esperados y
supervisar la concienciacin en GCNen el largo plazo
Todo programa tiene una limitacin en cuanto a su posibilidad para alterar la cultura de una
organizacin. Adems, los intentos por cambiar los comportamientos pueden tener efectos
inesperados que pueden ser contrarios a los deseados.
Algunos factores necesarios para el xito:
Obtener el apoyo visible y continuo de la alta direccin. Esto tambin significa contar con un
presupuesto adecuado que respalde la campaa de concienciacin. Tambin es importante lograr el
compromiso de los directivos y personal de operaciones que debern poner en prctica la Gestin de
Continuidad de Negocio.
Efectuar consultas a todos los involucrados en la GCNa la hora de desarrollar la campaa. Adems de
que ayudar a centrar mejor el esfuerzo de concienciacin, las mismas consultas contribuirn a
mejorar el nivel de concienciacin y servirn para crear un mejor compromiso con las nuevas
prcticas laborales.
Centrarse en las prioridades de negocio de la organizacin. Relacionar el mensaje de la campaa con
factores de inters para la corporacin y personales ("Qu gano yo con esto?") permite justificar la
GCNy las prcticas laborales que la sustentan.
La campaa de concienciacin y sus mensajes deberan estar adecuados a cada grupo objetivo de
audiencia. Estas audiencias son tanto internas, por ejemplo los que llevan a cabo la GCN y el personal
en general, como externas, por ejemplo, proveedores, clientes y terceros que dependen de (o
pueden afectar de forma negativa a) la iniciativa de Gestin de Continuidad de Negocio de la
organizacin. La toma de concienciacin por parte de actores externos es particularmente
importante cuando la GCNopera en un entorno de subcontratacin.
La cultura de la organizacin se manifiesta en valores compartidos, normas de operacin, estilos y
patrones de comportamiento. Se suele explicar como "la forma en la que aqu se hacen las cosas " o "lo
que tienes que hacer para llevarte bien".
La experiencia demuestra que las iniciativas para cambiar los comportamientos no logran
compromisos a largo plazo si no abordan tambin las actitudes y creencias. Una creencia en
particular, la de "eso nunca me pasar a m" es un obstculo muy grande para la GCN. Para realmente
cambiar los comportamientos es necesario influir en las actitudes. Para ello es necesario desarrollar y
establecer creencias. Por esta razn lograr un cambio cultural puede ser un proceso largo y sutil.
Esta etapa describe el proceso para evaluar y mejorar el nivel de concienciacin y la formacin en
GCN en la organizacin. Su estructura es por lo tanto diferente de la seccin 10 de BS 25999-1 que se
centra en definir los resultados de ese proceso.
?
104
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
EVALUARELNIVELDE CONCIENCIACINYFORMACINENGCN
1. Introduccin
2. Pasos previos
3 Propsito
4. Conceptos y suposiciones
5. Proceso
Requisitos
Antes de planificar y disear los componentes de una campaa de concienciacin es importante
entender el nivel de concienciacin que existe y cul es el que se deseara obtener tras ofrecer la
formacin. Tambin es importante determinar cmo se medir el nivel deseable de concienciacin y
qu cambios propiciar la nueva cultura de GCN.
El nivel de concienciacin de la organizacin cambiar constantemente conforme llegue y se vaya el
personal. Es posible que acontecimientos internos y externos contribuyan a mejorar de forma sbita
la concienciacin y entendimiento de las cuestiones relacionadas con la GCN. Pero tambin suelen
desaparecer rpidamente, por lo que el programa de GCN debe estar listo para aprovechar y
desarrollar estas oportunidades en caso de que se produzcan.
Se debe estudiar la posibilidad de ampliar el alcance del nivel de concienciacin acerca del programa
de GCNa los proveedores, clientes y dems partes interesadas relacionadas con la organizacin.
La Poltica de GCNofrecer el marco en el que reposa la necesidad de un cambio cultural.
El propsito de esta actividad es evaluar los niveles actuales y deseables de nivel de concienciacin
de GCN, definir qu reas debe cubrir la campaa de concienciacin y de qu forma ms efectiva se
puede llevar a cabo.
Una auditora del actual nivel de concienciacin en GCN debera tratar de establecer el nivel de
conocimiento y compromiso con la GCN. Se determinar principalmente por los comportamientos,
pero existen otras formas de determinarlo dentro de la organizacin.
Aquellos responsables de evaluar el nivel de concienciacin deberan disponer de un buen
entendimiento del negocio y de los objetivos de la GCN. Tambin deberan ser capaces de convocar
aquellos que tengan un nivel adecuado de competencias en formacin y actividades de
concienciacin, adems de habilidades para diagnosticar situaciones y buen trato con las personas.
Al igual que en otras etapas de la campaa de concienciacin, esta actividad exige que se consulte y
se busque la colaboracin de personal de toda la organizacin, desde la alta direccin hasta el
personal que no tenga atribuidas funciones especficas en la GCN, pero que tenga que demostrar
responsabilidad en general de "cumplir su papel" en la GCN. Desde el principio la alta direccin
debera ofrecer su apoyo para el trabajo de concienciacin, tanto en trminos de recursos materiales
como en compromiso con la misin.
La evaluacin del nivel de concienciacin es en realidad unAnlisis de las Necesidades de Formacin y
abarca tres tareas:
1. Establecer el actual nivel de concienciacin en GCN
2. Especificar el nivel deseado de concienciacin o formacin, y cmo sern medidos
3. Identificar la naturaleza y alcance de las "deficiencias de formacin" que la campaa deber
subsanar
Las habilidades especficas necesarias del personal encargado de GCNincluyen:
Gestin del programa
Anlisis del Impacto en el Negocio
Desarrollar y poner en marcha los planes de Continuidad de Negocio
Llevar a cabo un programa de ejercicios
Se debe impartir una formacin ms genrica en cuestiones relacionadas con la GCN para que, por
ejemplo, el personal involucrado en el programa pueda:
Conocer las tendencias y nuevos desarrollos en el tema
Explorar las posibilidades y problemas de las nuevas tecnologas
Saber cmo otras organizaciones estn enfrentando retos similares
Es posible que se necesiten otras habilidades para responder a incidentes, como:
Evacuacin por incendio
Limitacin de daos
Rescate y evaluacin de daos
105
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
Restauracin de los equipos
Liderazgo
La campaa para la concienciacin del personal en general puede tratar acerca de:
Cmo dar la alarma
Responder a amenazas especficas
Qu hacer en caso de evacuacin
Conocimiento de los planes de recuperacin
Integrar el nivel bsico de concienciacin en los programas de formacin de personal recin llegado
Esta actividad es un ejercicio de recoleccin de informacin. El objetivo es establecer indicadores
estadsticos de cualquier deficiencia en concienciacin y una evaluacin del nivel de entendimiento y
compromiso con la GCNpara el personal al que se quiere llegar.
Entre las fuentes de informacin deberan figurar:
Documentacin: revisar la poltica y procedimientos corporativos, los informes de respuestas a
incidentes y crisis, los documentos acerca de pruebas y ejercicios de GCN realizados anteriormente o
mediciones importantes de los sistemas deTI y de negocio
Comentarios personales: realizar entrevistas con altos directivos y ejecutivos, llevar a cabo
entrevistas de grupo (focus groups) con responsables de la GCNy usuarios finales
Observacin: realizar revisiones en el puesto de trabajo acerca de las prcticas laborales actuales
(para, por ejemplo, compararlas con la poltica de la organizacin)
Se trata de especificar qu indicadores de comportamientos y sus resultados correspondientes
servirn para confirmar que cada grupo objetivo del personal ha alcanzado un nivel satisfactorio en
cuanto al nivel de concienciacin de GCN. Estas especificaciones debern ser acordadas junto con la
alta direccin (en lo que se refiere a la correspondencia entre los resultados corporativos y la GCN) y
con los responsables de llevar a cabo la GCN(para determinar si son factibles y se pueden integrar con
las prcticas laborales).
Las especificaciones dependern del alcance y naturaleza del negocio, sus necesidades de GCN, pero
tambin pueden tener en cuenta:
Habilidades especficas necesarias para la respuesta de la GCNfrente a posibles trastornos
Prcticas laborales mejoradas que apoyan el desarrollo de la GCN
Una mejor comprensin y apoyo real por parte de la plantilla en general de las cuestiones
relacionadas con la GCN
Un mayor protagonismo de la GCNen las decisiones, poltica y cultura de la organizacin
Esta tarea obliga a comparar los resultados de los pasos 1 y 2 descritos anteriormente. Se debe
identificar la naturaleza y alcance de las deficiencias de formacin, tanto en trminos de los temas
de GCN que la campaa deber abordar, como en la cuestin de la forma ms efectiva para
resolverlas - campaas de educacin (informacin), formacin (habilidades) o concienciacin
(entendimiento y compromiso con la GCN).
La concienciacin del personal puede determinarse en uno de cuatro niveles:
La incompetencia inconsciente se define como la condicin en la que el personal no es consciente de
las cuestiones relativas a la GCN. Desconocen lo que no saben.
La incompetencia consciente se define como la condicin en la que el personal es consciente de la
GCNen trminos generales, pero sabe poco acerca de sus necesidades detalladas.
La competencia consciente se define como la condicin en la que el personal es consciente de la
GCNy es efectivo (por ejemplo siguiendo los procedimientos documentados) en su mantenimiento
La competencia inconsciente se define como la condicin en la que el personal se muestra
completamente competente en la aplicacin de la GCNen numerosas circunstancias.
6. Mtodos y tcnicas
Determinar el actual nivel de concienciacin en GCN
Especificar el nivel deseado de concienciacin y de qu forma se medir
Identificar la naturaleza y alcance de las "deficiencias de formacin" que la campaa debe subsanar
106
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
7. Resultados
8. Revisin
Los resultados de la evaluacin de concienciacin deberan incluir:
Una declaracin del actual nivel de concienciacin y efectividad del personal para apoyar la GCN
Una declaracin del nivel deseable de concienciacin y cmo se medir
Una definicin de las deficiencias de formacin, incluyendo los temas de GCN que requieren de
mayor concienciacin, la actitud del personal frente a la GCN - ayudar a definir el mensaje general
de la campaa de concienciacin - y el nivel de competencia que ha demostrado cada grupo objetivo.
La evaluacin del nivel de concienciacin debe realizarse al inicio de la campaa de concienciacin,
de nuevo despus de que la campaa ha alcanzado su supuesta mayor efectividad, y por ltimo de
forma peridica como una herramienta de supervisin.
De forma adicional es posible que se necesiten evaluaciones suplementarias del nivel de
concienciacin como respuesta a cambios en:
Los procesos del negocio que afectan a las prioridades de GCN
La legislacin que afecta a los requisitos de GCN
Los riesgos para la GCN, entre ellos amenazas para la seguridad y otros riesgos relacionados con el
negocio
Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de informacin y
servicios, entre ellos las mejores prcticas aceptadas por la industria como BS25999 y ISO27001.
107
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
DESARROLLARLAGCNDENTRODE LACULTURADE LAORGANIZACIN
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
Diseo
Las actividades de las que se disponen para influir sobre la cultura son:
Formacin - Habilidades especficas relacionadas con la GCN
Educacin - Conocimientos generales de la GCN
Concienciacin - Conocimientos especficos acerca de cuestiones relativas a la GCN
El diseo y la entrega de stas suponen tres actividades principales:
Diseo
Planificacin de entrega
Entrega
La Poltica de GCN ofrece el marco en el que se basan las necesidades y requisitos para el cambio
cultural. Dentro de la cultura de GCN y la actividad de concienciacin, el diseo y la entrega de la
educacin, formacin y concienciacin deben derivarse del Anlisis de Necesidades de Formacin
(ver paso anterior).
Antes de disear el programa, se tienen que asignar las responsabilidades dentro del programa de
GCN.
El propsito de esta actividad es definir los mensajes de GCN que tiene que asimilar el personal y
elegir los medios ms efectivos para entregar esos mensajes.
La educacin, formacin y concienciacin puede ofrecerse de muchas maneras; para el xito de una
campaa de concienciacin, es crtico que se elijan los mtodos ms adecuados y efectivos.
La planificacin y diseo de la campaa deberan ser jerrquicos, empezando por los objetivos
derivados de la definicin de las deficiencias de formacin y sus caractersticas. Los puntos a ensear
deberan identificarse por las cuestiones de conocimiento, habilidades y concienciacin que el
personal tiene que asimilar para eliminar esas deficiencias.
Puede que el personal que no tenga una responsabilidad particular en la GCN slo necesite
concienciacin, o un nivel determinado de competencia para llevar a cabo esas tareas relacionadas
con la GCN. No obstante, los responsables de la GCN deberan recibir un curso de formacin
estructurado que les inculque conocimientos, habilidades y finalmente incluya competencias en GCN
mediante oportunidades para poner sus habilidades en prctica.
La alta direccin debe entender desde el principio el esfuerzo que supone la campaa y su coste.
Tambin se debe tomar en cuenta la disponibilidad de personal para acudir a los cursos de formacin
a la hora de planificar la estrategia y el calendario.
Disear y ofrecer educacin, formacin y concienciacin se divide en tres actividades:
Diseo
Planificacin
Entrega
En un primer momento el diseo global puede ser elevar el grado de concienciacin general acerca de
la GCN, de tal manera que se motive al personal para recibir formacin o cursos de ese tipo en los que
se impartir informacin clave.
Despus de los cursos formales, se debera ofrecer ms informacin y oportunidades para aprender a
travs de, por ejemplo, artculos en boletines corporativos y la intranet, grupos de discusin y otras
actividades.
Al disear la campaa se deben realizar las siguientes tareas:
Identificar las audiencias a las que va dirigida la campaa, y las cuestiones clave de educacin,
formacin y concienciacin que tienen que ofrecer
Clasificar por orden de importancia los temas de enseanza relativos a las cuestiones de educacin,
formacin y concienciacin de GCN
Elegir el orden y los mtodos de entrega adecuados para los temas de enseanza
108
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
Planificacin
Entrega
6. Mtodos y tcnicas
Se ha elegido deliberadamente la palabra "campaa" para enfatizar su importancia: lograr un cambio
cultural requerir un punto de vista de largo plazo. La planificacin de la entrega debe tomar en
cuenta las formas ms efectivas en trminos de costes y conocer la disponibilidad del personal y sus
prcticas laborales. Tambin debera estudiar la posibilidad de dar publicidad a la campaa en s
misma para dar impulso a la labor de concienciacin.
Las principales actividades de esta tarea son:
La alta direccin debe discutir y aprobar la campaa propuesta
Probar los elementos claves de la campaa con un nmero reducido de grupos de directivos y
empleados staff y definir los criterios de xito
Planificar la integracin del mensaje de la GCNcon induccin y formacin de refresco, adems de su
inclusin en la formacin de otros empleados
Probar con un nmero reducido las evaluaciones de los cursos de formacin propuestos
La estrategia elegida para la educacin, formacin y concienciacin depende de las circunstancias
individuales; por lo tanto stas son las nicas recomendaciones generales que se pueden dar para una
campaa de educacin, formacin y concienciacin:
La campaa debera mejorar la concienciacin acerca de cuestiones relacionadas con GCN para la
organizacin y el empleado. En los papeles y cursos de formacin debera quedar claro que la alta
direccin apoya la campaa.
Los cursos formales de formacin slo debern ser ofrecidos cuando exista la evidencia de que
existe una concienciacin acerca de las cuestiones. Se deber evaluar la asimilacin de los
conocimientos o habilidades que ofrece la formacin y se deber corregir cualquier deficiencia.
Una vez realizados los cursos de formacin, se debe hacer un nuevo esfuerzo de educacin,
formacin y concienciacin para garantizar que el personal sigue consciente de las continuas (y
cambiantes) necesidades que impone la GCN.
Existen muchas teoras acercan de cmo aprenden los adultos y otras tantas numerosas estrategias
para ponerlas en prctica. Los responsables de la GCN ofrecern los contenidos de la formacin, pero
deberan trabajar expertos en formacin para desarrollar la estrategia y poner en marcha la
campaa.
Es importante reconocer que el nivel de concienciacin no se limita a la formacin y que necesita que
la cuestin, en este caso la GCN, est integrada dentro de las prcticas laborales. Por esto se deben
buscar oportunidades para incluir la GCN en la agenda cuando sea posible. A continuacin se
detallan algunos ejemplos.
Recursos para la informacin:
Sitios de Internet dedicados a GCN
Libros y publicaciones
Conferencias y seminarios
Recursos para la formacin:
Cursos externos de formacin certificados
Programas acadmicos formales
Grupos de trabajo y forums regionales del BCI
Grupos de trabajo sectoriales
Formacin interna, con cursos especficos de induccin o de actualizacin
Cursos a distancia (vdeos, lecturas)
Organismos de certificacin
Ejercicios de GCNy gestin de incidentes (internos o externos)
Recursos para la concienciacin:
Documentos informativos
Revistas corporativas, boletines, artculos en la revista de la empresa
Visitas a los emplazamientos de reinicio de actividades y centros de gestin de incidentes
Informacin en la Intranet
Hacer ejercicios, ensayos y pruebas de los planes de GCNde la organizacin
Profesionales de la GCNdentro de la organizacin
109
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
Bonos e incentivos obtenidos a travs del sistema de evaluacin de desempeo
Participacin en ejercicios de GCNo acontecimientos reales sucedidos en otra organizacin
Inclusin de los objetivos relacionados con la GCN en los mecanismos de medicin de resultados de
la organizacin
La campaa incluye un abanico de cursos, formacin directa, educacin a distancia, eventos de
concienciacin y la promocin de las cuestiones relativas a la GCN en las prcticas laborales. Queda
claro que la naturaleza y alcance de estas tcnicas depender de las metas especficas de la campaa
en cuanto al nivel de concienciacin de GCN.
Algunos posibles resultados de la campaa seran:
Una mayor concienciacin general acerca de la necesidad de GCN
Creacin de una concienciacin acerca de los riesgos de GCN para la organizacin y de las
prioridades del negocio
Identificacin de una visin aceptable de GCNque puede integrarse en las prcticas laborales
Mejor efectividad a la hora de realizar tareas especficas de la GCN
Respuestas ms efectivas a incidentes que afecten a la continuidad del negocio
Mayores exigencias por parte de los responsables de GCN, como por ejemplo que los responsables de
negocio demuestren una mayor preocupacin por la GCN
La formacin debera impartirse como parte de los cursos de iniciacin del personal, adems de ser
revisada y de nuevo impartida en respuesta a cambios en:
Las actividades de negocio que afectan a las prioridades de GCN
La legislacin que afecta a las necesidades de GCN
Los riesgos para la GCN, entre ellos las amenazas y vulnerabilidades a la seguridad y otros riesgos
relacionados con el negocio
Los requisitos de la empresa y clientes o socios relativos a la disponibilidad de informacin y
servicios, entre ellos las mejores prcticas aceptadas por la industria como BS 25999-1 e ISO17799.
7. Resultados
8. Revisin
110
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
SUPERVISARELCAMBIOCULTURAL
1. Introduccin
2. Pasos previos
3. Propsito
4. Conceptos y suposiciones
5. Proceso
6. Mtodos y tcnicas
Est claro que tanto el resultado general de la campaa como de sus componentes especficos debe
ser revisado para mejorar continuamente la relevancia y efectividad del trabajo realizado.
La campaa de concienciacin debe ser considerada una tarea constante y se debe realizar revisiones
peridicas para comprobar el grado de concienciacin e identificar cualquier iniciativa necesaria
para mantenerlo en niveles aceptables.
La Poltica de GCN brinda el marco en el que se apoya la necesidad de un cambio cultural. En el marco
de la cultura de GCNy las actividades de concienciacin, el mantenimiento y mejora de las iniciativas
de educacin, formacin y concienciacin debe ser fruto de la comparacin con los objetivos
originales determinados por la evaluacin del grado de concienciacin y el anlisis de las necesidades
de formacin.
El propsito de evaluacin de la educacin, formacin y grado de concienciacin es mantener la
calidad y efectividad de una campaa, garantizar su correspondencia con los aspectos corporativos,
sectoriales y otras cuestiones pertinentes de la GCNy asegurar que se logra el nivel de concienciacin
necesario para la GCN.
La efectividad de la formacin y concienciacin puede medirse de muchas maneras: mejor
desempeo de las personas, mayores estndares en toda la organizacin, mayor nfasis en la GCN
dentro de la cultura corporativa.
Como sucede con toda investigacin, hay que tener cuidado de hacer las preguntas adecuadas para
lograr respuestas relevantes, interpretar los datos de forma correcta y mantenerse alerta de aquellas
cuestiones que no formen parte del programa central de formacin que sean relevantes para la
cultura de GCN.
Solicitar y recopilar las reacciones a ciertos cursos de formacin. Mientras que algunos habrn
tenido xito y otros menos, es importante buscar las tendencias subyacentes por ejemplo puede
haber ciertos mdulos dentro de un curso de formacin que reciben crticas constantes.
Supervisar la efectividad. Si bien las reacciones de corto plazo pueden aportar informacin acerca
de los componentes de una campaa y permitir su mejora, es ms importante fijarse en los efectos de
largo plazo de la campaa, que se manifestarn de forma menos reconocible (por ejemplo, a travs
de una mayor concienciacin). Apesar de ello, la efectividad de la campaa debera ser cuantificada
en trminos de mejoras en el negocio y resultados financieros.
Comprobar de forma peridica el nivel de concienciacin. La alta direccin debe entender que de
forma regular (anual) se necesitar un presupuesto para ejercicios de evaluacin y la posible accin
que se derive de ellos.
La evaluacin puede realizarse de muchas formas. Una valoracin efectiva combinara varios mtodos
de corto y largo plazo, que revisarn tanto la forma como el contenido de la campaa en s misma y
sus efectos en la GCNdentro de la organizacin.
Cuando sea posible los resultados de la evaluacin deberan expresarse en trminos de los beneficios
que la campaa aporta al negocio.
De forma ms especfica, la evaluacin de las clases de formacin puede incluir discusiones, tests o
pequeos exmenes durante el curso para comprobar y ajustar los mtodos de enseanza "en pleno
vuelo". Se pueden distribuir formularios de evaluacin de los cursos para mejorar continuamente la
estructura de las clases y su contenido. La evaluacin de un curso debe basarse en varias tandas
sucesivas de valoraciones, y no en slo una.
7. Resultados
8. Revisin
Los resultados de la formacin y de la revisin de la campaa deberan incluir una serie de informes
para diferentes niveles dentro de la organizacin. Entre ellos deben figurar la alta direccin, los
directores importantes y los responsables de GCN, adems de los encargados de ofrecer la formacin.
Los resultados de la evaluacin de la campaa deberan ser comunicados al personal a travs de los
canales corporativos y pueden incluir:Identificacin de necesidades adicionales de formacin y
concienciacin
Identificacin de oportunidades de desarrollo profesional para los encargados de la GCN
Mejoras en las prcticas laborales
Se debe realizar una evaluacin de la campaa tanto durante como despus de que se haya llevado a
cabo la mayor parte de ella, para permitir una readecuacin de la estrategia y para asegurar que la
campaa ha logrado su objetivo general de eliminar las deficiencias en la formacin identificadas en
la evaluacin inicial de los niveles de concienciacin. De forma regular se debera efectuar una
revisin de los niveles de concienciacin y resolver cualquier deficiencia encontrada.
111
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
112
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
APNDICE - Mapa de habilidades profesionales
Comprender la organizacin
Determinar la estrategia de Continuidad de Negocio
Desarrollar y poner en marcha una respuesta de GCN
Plan de Gestin de Incidentes
Este es un mapa de los Estndares de Certificacin de BCI/DRII en las seis etapas del Manual de Buenas
Prcticas para indicar qu habilidades son necesarias en cada etapa. Algunas habilidades se aplican a
ms de una etapa.
Gestin del Programa de Continuidad de Negocio
1.A.1Ayudar a los responsables en la definicin de objetivos, polticas y factores crticos de xito
Alcance y objetivos
Causas legales y obligaciones
Casos prcticos y buenas prcticas sectoriales
1.A.2. Coordinar y organizar/gestionar el inicio del proceso general de GCN
Con la ayuda de un comit de direccin y un equipo gestor del proyecto.
1.A.3 Supervisar el proceso de GCNa travs de mtodos efectivos de control y gestin de cambios
1.A.4. Presentar (vender) el proceso a la direccin y personal
1.A.5 Desarrollar un presupuesto para iniciar el proceso
1.A.6 Definir y recomendar una estructura y direccin para la GCN
1.A.7 Desarrollar y poner en marcha el proceso de GCN
2.A.1 Identificar a los responsables con conocimientos de cada rea para el proceso de Anlisis de
Impacto en el Negocio (AIN)
2.A.2 Identificar las funciones de la organizacin, sin olvidar la informacin y recursos (personas,
tecnologa, instalaciones,... etc)
2.A.3 Identificar y definir los criterios crticos
2.A.4 Lograr la aprobacin de la direccin para los criterios definidos
2.A.5 Coordinar el anlisis
2.A.6 Identificar las interdependencias (internas y externas a la organizacin)
2.A.7 Definir los objetivos de recuperacin y plazos de cumplimiento
2.A.8 Definir el formato de los informes
2.A.9 Preparar y presentar a la direccin el AINacordado
3.A.1 Identificar los posibles riesgos para la organizacin
3.A.1.a Probabilidad
3.A.1.b Consecuencias/impacto/gravedad
3.A.2 Comprender la funcin de la reduccin de riesgos dentro de la organizacin
3.A.3 Identificar las necesidades de asesoramiento externo
3.A.4 Identificar los niveles de exposicin
3.A.5 Identificar las alternativas para reduccin de riesgos
3.A.6 Confirmar con la direccin para determinar los niveles de riesgo aceptables
3.A.7 Documentar y presentar los resultados
4.A.1 Conocer las alternativas disponibles y sus ventajas, inconvenientes y costes, incluir la
reduccin de riesgos como una estrategia de recuperacin
4.A.2 Identificar las estrategias de recuperacin viables para las reas de negocio
4.A.3 Consolidar las estrategias
4.A.4 Identificar las necesidades de emplazamientos externos e instalaciones alternativas
4.A.5 Desarrollar las estrategias para las unidades de negocio
4.A.6 Lograr el compromiso de la direccin para las estrategias desarrolladas
9.A.1 Establecer programas para la comunicacin proactiva de crisis
9.A.2 Coordinar la comunicacin necesaria ante las crisis con los organismos externos (autoridades
locales y nacionales, servicios de emergencia,... etc.)
9.A.3 Establecer mecanismos de comunicacin esencial ante las crisis con proveedores, clientes y
dems partes directamente afectadas
9.A.4 Establecer planes de comunicacin con los medios para la organizacin y sus unidades de
negocio. Hacer pruebas.
Plan de Continuidad de Negocio
Pruebas, mantenimiento y revisin
Integrar la GCNen la cultura de la organizacin
6.A.1 Identificar los componentes del proceso de planificacin
6.A.1.a Metodologa para la planificacin
6.A.1.b Organizacin del plan
6.A.1.c Direccin de esfuerzos
6.A.1.d Necesidad de personal
6.A.2 Controlar el proceso de planificacin y redactar los planes
6.A.3 Implantar los planes
6.A.4 Probar los planes
6.A.5 Mantener los planes
5.A.5 Identificar las necesidades de direccin y control para la gestin de una emergencia
5.A.6 Recomendar el desarrollo de los procedimientos de direccin y control para definir funciones,
autoridad y procesos de comunicacin para gestionar una emergencia
10.A.1 Identificar y establecer procedimientos de enlace para la gestin de emergencias
10.A.2 Coordinar la gestin de emergencias con los organismos externos
10.A.3 Mantener actualizado el conocimiento en leyes y normas relativas a gestin de emergencias
como si fueran dictadas por la propia organizacin
5.A.1 Identificar los posibles tipos de emergencias y las respuestas necesarias (por ejemplo,
incendio, fuga de materiales peligrosos, problemas mdicos)
5.A.2 Identificar la existencia de procedimientos adecuados para la respuesta a emergencias
5.A.3 Recomendar el desarrollo de procedimientos para emergencia all donde no existan
5.A.4 Integrar los procedimientos para recuperacin de desastres/Continuidad de Negocio/Gestin
de crisis con los procedimientos relativos a respuesta a emergencias e intensificacin de riesgos
5.A.7 Garantizar que los procedimientos de respuesta a emergencias estn integrados con las
obligaciones de las autoridades (mirar tambin el tema 10, Coordinacin con organismos externos)
8.A.1 Planificar previamente y coordinar las pruebas
8.A.2 Facilitar las pruebas
8.A.3 Evaluar y documentar los resultados de las pruebas
8.A.4Actualizar los planes
8.A.5 Informar de los resultados y evaluaciones a la direccin
8.A.6 Coordinar el mantenimiento constante de los planes
8.A.7Ayudar a establecer un programa de auditoras para los planes
7.A.1 Establecer los objetivos y componentes del programa de formacin y concienciacin de GCN
7.A.2 Identificar las necesidades prcticas para la concienciacin y formacin
7.A.3 Desarrollar la metodologa para la concienciacin y formacin
7.A.4Adquirir o desarrollar las herramientas para la concienciacin y formacin
7.A.5 Identificar las oportunidades de concienciacin y formacin externas
7.A.6 Identificar las opciones alternativas para la concienciacin y formacin de la organizacin.
113
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
114
I
N
C
O
R
P
O
R
A
R
L
A
G
C
N
E
N
L
A
C
U
L
T
U
R
A
D
E
L
A
O
R
G
A
N
I
Z
A
C
I

N
1

2

3

4

5
6
c
a
p
INDICADORES CLAVE DE GCN
Estos son los elementos clave de lo que se espera de una organizacin con una GCNmadura
1. La organizacin lleva a cabo un programa formal y reconocido de concienciacin para la GCN
2. El programa de concienciacin es responsabilidad de un integrante del equipo de alta direccin
3. El programa de concienciacin est dotado de un presupuesto adecuado y aprobado expresamente
para ese propsito
4. La organizacin posee una evaluacin actualizada y precisa acerca del nivel de concienciacin de
GCNen todo su personal
5. El programa de concienciacin resulta efectivo para integrar la GCN en la cultura de la
organizacin
6. Todo el personal de GCNha recibido la formacin adecuada
7. Todo el personal no dedicado a la GCN posee las habilidades necesarias para desempear sus
funciones preestablecidas para responder a un incidente y reestablecer el negocio
8. Todos los proveedores y empresas subcontratadas considerados crticos llevan a cabo las
actividades de concienciacin para la GCN
9. La efectividad de toda la actividad de concienciacin de GCN se comunica formalmente a la alta
direccin
10. El equipo de GCNse muestra proactivo a la hora de obtener informacin externa relativa a la GCN
11. El programa de concienciacin cumple un calendario previamente acordado
12. El programa de concienciacin de la organizacin contiene actividades planificadas
A. Que evalan de forma precisa las necesidades actuales de concienciacin de la organizacin
B. Que organizan y ofrecen la formacin adecuada de GCNpara todo el personal
C. Que integran de forma fehaciente la continuidad de negocio en la organizacin
D. Que verifican realmente que todo el personal de GCNha recibido la formacin adecuada
13. La documentacin del programa de concienciacin de GCNen la organizacin
A. Describe de forma clara su relacin con los dems documentos relevantes
B. Est totalmente actualizada y refleja las necesidades de la organizacin
C. Est sujeta a un control sistemtico de sus versiones y distribucin
14. El programa de concienciacin de GCN
A. Toma totalmente en cuenta la poltica de GCNy cumple con todos sus requisitos
B. Se revisa al menos una vez al ao para verificar que cumple el programa y poltica de GCN
C. Se revisa formalmente despus de cualquier cambio importante en el negocio
D. Est formalmente ratificado por la alta direccin
E. Cumple con todas las obligaciones legales.
ANOTACIONES
ANOTACIONES