SISTEMA DE GESTION DE

CONTINUIDAD DEL NEGOCIO

ISO 22301:2012

TODA EMPRESA POR LO MENOS UNA

VEZ AL AO ES PENETRADA POR UN
DESASTRE

DEFINICIN DE UN DESASTRE

Un desastre es un evento que

altera los procesos crticos de
la organizacin que afectan su
misin y degrada su servicio a
un punto donde el impacto
financiero y operacional se
convierte en inaceptable.

 Solo el 6% de empresas que sufren

prdidas catastrficas de datos, logran
sobrevivir
43% nunca podr reabrir su negocio
51% tendr que cerrar en dos
aos
Una parada no controlada de ms de ocho
horas en una empresa, causa una prdida
irreversible al negocio

AMENAZAS A LA CONTINUIDAD
DEL NEGOCIO

Sismos

Vir
us

go
e
u
F
g
H
n
i
uel
Hack
gas Terrorismo
Sabo
taje

AMENAZAS A LA CONTINUIDAD DEL

NEGOCIO

DEFINICIN DE AMENAZA
Intento de hacer dao a algo
Segn el diccionario Webster, una amenazas es una indicacin
de un evento desagradable
AMENAZAS
AMENAZASNATURALES
NATURALES

AMENAZAS NATURALES
INUNDACIONES

TORMENTAS ELCTRICAS

TERREMOTOS

TORNADOS

MAREMOTOS

HURACANES
7

AMENAZAS A LA CONTINUIDAD DEL

NEGOCIO

AMENAZAS
AMENAZASNATURALES
NATURALES

AMENAZAS
AMENAZASAA
INSTALACIONES
INSTALACIONES

AMENAZAS A INSTALACIONES

DAO DE AGUA

CADA DE ENERGA

EXPLOSIN
FALLAS MECNICAS
PERDIDA DE ACCESO

FUEGO
9

AMENAZAS A LA
CONTINUIDAD DEL NEGOCIO

AMENAZAS
AMENAZASNATURALES
NATURALES
HUELGAS
EPIDEMIAS
MATERIALES
PELIGROSOS
PROBLEMAS DE
TRANSPORTE
PRDIDA DE
PERSONAL CLAVE

AMENAZAS
AMENAZASAA
INSTALACIONES
INSTALACIONES

AMENAZAS
AMENAZAS
HUMANAS
HUMANAS

10
14

AMENAZAS HUMANAS

MATERIALES
PELIGROSOS

HUELGAS

PROBLEMAS DE
TRANSPORTE

EPIDEMIAS

PERDIDA DE
PERSONAL CLAVE
11
15

AMENAZAS A LA
CONTINUIDAD DEL NEGOCIO

AMENAZAS
AMENAZAS
TECNOLGICAS
TECNOLGICAS

AMENAZAS
AMENAZASNATURALES
NATURALES

AMENAZAS
AMENAZASAA
INSTALACIONES
INSTALACIONES

VIRUS
HACKING
PRDIDA DE DATOS
FALLAS DE
HARDWARE
FALLAS DE
SOFTWARE
FALLAS EN LA RED
FALLAS EN LINEAS
TELEFNICAS

AMENAZAS
AMENAZAS
HUMANAS
HUMANAS

12
16

AMENAZAS TECNOLGICAS

VIRUS

Prdida DE
DATOS

FALLAS DE
SOFTWARE

FALLAS DE
HARDWARE

FALLAS EN LNEAS
TELEFNICAS
HACKERS

FALLAS EN
LA RED
13
17

AMENAZAS A LA CONTINUIDAD DEL

NEGOCIO

AMENAZAS
AMENAZAS
TECNOLGICAS
TECNOLGICAS

AMENAZAS
AMENAZASNATURALES
NATURALES

AMENAZAS
AMENAZASAA
INSTALACIONES
INSTALACIONES

CRISIS
FINANCIERAS
PRDIDA DE
SUPLIDORES
FALLAS EN EQUIPO
ASPECTOS
REGULATORIOS
MALA PUBLICIDAD

AMENAZAS
AMENAZAS
OPERACIONALES
OPERACIONALES

AMENAZAS
AMENAZAS
HUMANAS
HUMANAS

14
18

AMENAZAS OPERACIONALES

CRISIS
FINANCIERAS
PERDIDA DE
SUPLIDORES

FALLAS EN
EQUIPOS

ASPECTOS REGULATORIOS

MALA PUBLICIDAD

15
19

AMENAZAS A LA CONTINUIDAD
DEL NEGOCIO

AMENAZAS
AMENAZAS
TECNOLGICAS
TECNOLGICAS

AMENAZAS
AMENAZASNATURALES
NATURALES
MOTINES
PROTESTAS
SABOTAJE
VANDALISMO
AMENAZA DE BOMBAS
VIOLENCIA LABORAL
TERRORISMO

AMENAZAS
AMENAZASAA
INSTALACIONES
INSTALACIONES

AMENAZAS
AMENAZAS
HUMANAS
HUMANAS

AMENAZAS
AMENAZAS
OPERACIONALES
OPERACIONALES

AMENAZAS
AMENAZAS
SOCIALES
SOCIALES

16

AMENAZAS SOCIALES

MOTINES

SABOTAJE
AMENAZA
DE BOMBAS

TERRORISMO

VIOLENCIA
LABORAL

PROTESTAS
VANDALISMO
17

AMENAZAS A LA CONTINUIDAD
DEL NEGOCIO

AMENAZAS
AMENAZAS
TECNOLGICAS
TECNOLGICAS

AMENAZAS
AMENAZASNATURALES
NATURALES

AMENAZAS
AMENAZASAA
INSTALACIONES
INSTALACIONES

AMENAZAS
AMENAZAS
OPERACIONALES
OPERACIONALES

AMENAZAS
AMENAZAS
HUMANAS
HUMANAS

AMENAZAS
AMENAZAS
SOCIALES
SOCIALES

LA ORGANIZACIN
18
22

LAS EMPRESAS PARA PODER OPERAR REQUIEREN DE UN

EQUILIBRIO EN EL FUNCIONAMIENTO DE LA INTERDEPENDENCIA
ENTRE SUS DISTINTOS RECURSOS

19
23

FAMILIA ISO 22300

ISO 22300
Seguridad de la Sociedad: Vocabulario

ISO 22322
Seguridad de la Sociedad: Gestin de
Emergencias

ISO 22313
Seguridad de la Sociedad: Gestin de la
Continuidad del Negocio Lineamiento

ISO 22323
Seguridad de la Sociedad: Gestin de
Sistemas Organizacionales de Resistencia

ISO 22320
Seguridad de la Sociedad: Requerimientos
respuesta a incidentes

ISO 22351
Seguridad de la Sociedad: Planificacin de
Emergencias

ISO 22397

ISO 22398

ISO 22399

Seguridad de la Sociedad: Establecimiento

Relacin Pblico - Privado

Seguridad de la Sociedad: Guas para

Ejercicios y Pruebas

Seguridad de la Sociedad: Preparacin ante

Incidentes

ISO 22301:2012, NORMA CERTIFICABLE

20
29

NUEVA ESTRUCTURA EN
ESTNDARES CT 223
La organizacin ISO encarg al grupo Joint Technical Coordination
Group para crear un enfoque estndar para Sistemas de Gestin. El
ISO 22301:2012 es el primer estndar con la nueva estructura:
1)
2)
3)
4)
5)

Alcance
Referencias Normativas
Trminos y Definiciones
Requerimientos Generales
Liderazgo

6)
7)
8)
9)
10)

Planeacin
Soporte
Operacin
Evaluacin de Desempeo
Mejoramiento

Los 106 requerimientos del ISO 22301:2012 estn distribuidos en estas

10 secciones

21
30

LA NORMA ISO 22301:2012

Estndar internacional para establecer y gestionar un efectivo sistema de gestin de
Continuidad del Negocio (SGCN).
Un SGCN enfatiza la importancia de :
Entender la continuidad y necesidades de preparacin y la necesidad de establecer una
poltica de gestin de continuidad y objetivos.

Implementando y operando controles y medidas para la gestin global de los riesgos de

continuidad.

Monitoreando y revisando el desempeo y efectividad del SGCN.

Mejora continuada basada en mediciones objetivas.

LA NORMA ISO 22301:2012

4 Contexto de la organizacin
4.1 Entendimiento a la organizacin y su contexto
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas
4.3 Determinando el alcance del SGCN
4.4 SGCN
5 Liderazgo
5.1 Liderazgo y compromiso
5.2 Compromiso de la gerencia
5.3 Poltica
5.4 Roles organizacionales, responsabilidades y autoridades
6 Planeacin
6.1 Acciones a atender riesgos y oportunidades
6.2 Objetivos de continuidad del negocio y planes para alcanzarlos
7 Apoyo
7.1 Recursos
7.2 Competencia
7.3 Toma de conciencia
7.4 Comunicacin
7.5 Informacin documentada

LA NORMA ISO 22301:2012

8 Operacin
8.1 Planeamiento operacional y control
8.2 Anlisis de impacto del negocio y evaluacin del riesgo
8.2.2 Anlisis del Impacto
8.3 Estrategia de continuidad del negocio
8.4 Estableciendo e Implementando procedimientos para continuidad del negocio
8.5 Ejercicios y Ensayos
9 Evaluacin del desempeo
9.1 Monitoreo, medicin, anlisis y evaluacin
9.1.1 General
9.2 Auditora interna
9.3 Revisin gerencial
10 Mejoramiento
10.1 No conformidad y accin correctiva
10.2 Mejoramiento continuado

Clusula 4 es un componente del Plan. Introduce los requerimientos necesarios para establecer el
contexto del SGCN tal como aplica a la organizacin.
Clusula 5 es un componente del Plan. Resume los requerimientos especficos de la alta gerencia.
Clusula 6 es un componente del Plan. Describe los requerimientos en su relacin al
establecimiento de objetivos estratgicos y principios guas para el SGCN.
Clusula 7 es un componente del Plan. Soporta las operaciones del SGCN en su relacin al
establecimiento de competencias y comunicacin.
Clusula 8 es un componente del DO. Define los requerimientos de la Continuidad del Negocio,
determina como atenderlos y el desarrollo de procedimientos para atender un evento alterador.
Clusula 9 es un componente del Check. Hace un resumen de los requerimientos necesarios para
medir la gestin del desempeo de la continuidad del Negocio.
Clusula 10 es un componente del Act. Identifica y acta en relacin a conformidades detectadas al
SGCN tomando acciones correctivas.

CATEGORIZACIN DE LAS
EN GLOBALES Y FOCALES

Business Impact Analysis

8.4.3.3

Evaluacin Procedimientos
de Continuidad
8.7.2

Ejercicios y Pruebas
8.6.1

Focal
Global

CLUSULAS
ISO 22301:2012

Evaluacin del Riesgo

8.4.3.4

Sistema de Gestin y Alcance 4.3

Poltica SGCN 5.3
Objetivos y Planes para
Alcanzarlos 6.1
Opciones de Continuidad
Competencias del personal 7.2
del Negocio
Toma de Conciencia7.3
8.4.4
Control de Informacin Documentada7.5.3
Auditoras Internas 9.2
Revisin Gerencial 8.7.1
No conformidad y accin
Establecimiento
correctiva 10.1
Requerimientos de Recursos
Mejora Continuada 10.2
8.4.4.2

Estructura Respuesta a
Incidentes
Planes de Continuidad
8.5.4/8.5.5

27
37

OBJETIVO PRINCIPAL DE UN SGCN

Dotar a la organizacin de un Marco Organizativo, Tecnolgico, Funcional y
Operativo que garantice y asegure la continuidad de las actividades de negocio
y mejore la disponibilidad global de los recursos en consonancia con los criterios
de integridad, confidencialidad y disponibilidad en el tratamiento y gestin de la
informacin.
La implantacin de un SGCN en la organizacin permitir:
Aumentar la resistencia de la organizacin a amenazas internas y
externas.
Aumentar la confianza en el negocio por parte de los clientes.
Aumentar la reputacin, tanto interna como externa.
Demostrar capacidad de respuesta frente a imprevistos respecto a los
competidores de mercado.

QU ES LA GESTIN DE
CONTINUIDAD DEL NEGOCIO ?

Es la actividad que se lleva a cabo en una organizacin para asegurar que todos los
procesos de negocio crticos estarn disponibles para los clientes, proveedores, y otras entidades
que deben acceder a ellos.
Estas actividades incluyen un gran nmero de tareas diarias como gestin de proyectos,
copias de seguridad de los sistemas, control de cambios y helpdesk.
La gestin de la continuidad no se implanta cuando ocurre un desastre, sino que hace referencia a
todas aquellas actividades que se llevan a cabo diariamente para mantener el servicio y facilitar la
recuperacin.

EL PROCESO SGCN Y LOS

ENTREGABLES
Business Continuity Plan
Validado

Fase 5

Fase 4
Entregables

Ensayo del
Plan BC
Evaluar
resultados de
ensayo

Fase 4 Plan

Reanudacin
Operaciones

Actualizar Plan

Mantenimiento
Plan
SGCN

Monitorear cambios y
reevaluar estrategia

Estrategia de Continuidad:
Recursos crticos, alternos, servicios
y mtodos de recuperacin
Fase 3
Entregables

Business
Fase 1
Impact
Analysis

Monitorear cambios y
reevaluar riesgos
Fase 6

Business Continuity Plan

Documentado

Fase 5
Entregables

Procesos Esenciales
Tiempos de Recuperacin
Requerimientos de Recursos

Monitorear cambios y
reevaluar impactos

Desarrollo
Estrategias
Continuidad

Fase 3

Fase 1
Entregables

Gestin
Del
Riesgo

Fase 2

Anlisis Amenazas
Exposicin al riesgo
Escenarios de amenazas
Fase 2
Entregables
30
40

PASOS PARA LA IMPLEMENTACIN DEL

ISO 22301:2012 EN UNA ORGANIZACIN
Determinar el
Alcance

Disear Estructura
para Manejo del
Proyecto

Iniciar
Documentacin
Clusulas Globales

Iniciar Desarrollo
Clusulas Focales

Desarrollo Business
Impact Analysis

Evaluacin del
Riesgo

Opciones de
Continuidad del
Negocio

Establecimiento
Requerimientos de
Recursos

Estructura
Respuesta a
Incidentes

Planes de
Reanudacin de
Operaciones

Ejercicios y
Pruebas

Evaluacin de
Procedimientos de
Continuidad
31
31

CMO EMPEZAMOS ?
Lo primero que se debe realizar es un anlisis del impacto al negocio (BIA). ste es bsicamente
un informe que nos muestra el costo ocasionado por la interrupcin de los procesos de negocio.
Una vez obtenido este informe, la organizacin tiene la capacidad de clasificar los procesos de
negocio en funcin de su criticidad y lo que es ms importante: establecer la prioridad de
recuperacin (o su orden secuencial).

En el BIA se identifican los componentes claves requeridos para continuar con las
Operaciones de Negocio luego de un incidente, dentro de estos componentes se
encuentran:
Personal requerido
reas de trabajo
Registros vitales- Backups de informacin
Aplicativos crticos
Dependencias de otras reas
Dependencias de terceras partes
Criticidad de los recursos de informacin
Participacin del personal de seguridad informtica y los usuarios finales
Anlisis de todos los tipos de recursos de informacin
Tres aspectos claves para el anlisis:
Criticidad de los recursos de informacin relacionados con los procesos crticos del
negocio
Perodo de recuperacin crtico antes de incurrir en prdidas significativas
Sistema de clasificacin de riesgos

TERMINOLOGA

Maximum Tolerable Downtime (MTPD)

Representa el mximo tiempo de inactividad que pude tolerar la organizacin.

Recovery Time Objective (RTO)

Indica el tiempo disponible para recuperar sistemas/recursos que han sufrido
una alteracin

Recovery Point Objective (RPO)

Se refiere a la magnitud de prdida de datos en trminos de un periodo de
tiempo que puede ser tolerado por un proceso de negocios

Work Recovery Time (WRT)

Es el tiempo disponible para recuperar datos perdidos una vez que los
sistemas estn reparados, dentro del MTPD

TIEMPO PARA LA RECUPERACIN

DE UN DESASTRE
MTPD
RTO

RPO

Datos
perdidos

Procedimientos
normales

Procesar
amontonamiento de
trabajo

Sistemas
y recursos
inexistentes

WRT
Recuperar
amontonamiento de
trabajo

Recuperar
datos
perdidos

Recolectar datos
manualmente

Recuperacin
manual de
datos

Procedimientos normales y manuales

Procedimiento
manual

Procedimientos
manuales
de emergencia

ULTIMO
BACKUP

EVENTO
ALTERADOR

SISTEMAS Y
RECURSOS
RECUPERADOS

INICIO DE PROCESAMIENTO
NORMAL

35
47

PASO I
OBJETIVOS, ALCANCE Y
SUPOSICIONES

Este paso provee una base para:

Entendimiento de las expectativas de la gerencia, en relacin a

los resultados del BIA

Definir el mbito de las actividades del BIA

Estimar recursos, tiempos y esfuerzos requeridos para conducir
el BIA.

36
48

PASO II
IDENTIFICAR PROCESOS Y
FUNCIONES DEL NEGOCIO

El objetivos de este paso es identificar funciones y procesos

de negocios, que son utilizados para apoyar la misin y
objetivos de la empresa

37
49

PASO III
EVALUAR LOS IMPACTOS FINANCIEROS Y
OPERACIONALES

Este paso evala los impactos financieros y operacionales

de la organizacin, en el evento que haya una alteracin a
las funciones y procesos identificados en el paso previo

Evaluacin del impacto financiero

El impacto financiero, mide el grado y la severidad de la
prdida financiera para la organizacin. La evaluacin del
impacto financiero se desempea por cada proceso del
negocio, formndose la siguiente pregunta: Cul sera la
magnitud y severidad de las prdidas financieras si los
procesos se alteran por causa de un desastre?

38
50

PLANIFICACIN DE LA
REANUDACIN DE LAS
OPERACIONES

Qu es un plan para reanudar las operaciones?

Un plan de reanudacin de operaciones (PRO) son una

serie de actividades documentadas, que pudiesen
requerirse desempear por grupos de continuidad del
negocio, como respuesta a un potencial incidente
desastroso

Nota: Un PRO son usualmente denominados Planes de

Continuidad del Negocio, pero el trmino tiende a
confundir

39

PLANIFICACIN DE LA REANUDACIN
DE LAS OPERACIONES

Qu es un incidente potencialmente desastroso?

Es un evento interno o externo que puede causar una
interrupcin inaceptable en los procesos esenciales del
negocio
Qu es un Equipo de Continuidad del Negocio?
Es un grupo designado de individuos responsables por
la ejecucin de actividades especificas tal como se
detalla en el plan de continuidad
Puede haber equipos mltiples, cada uno con roles
claramente definidos y responsabilidades.

40

QU DEBE CONTEMPLAR UN PLAN

DE REANUDACIN DEL NEGOCIO
Cada plan del equipo debe contener:
Aspectos estratgicos por cada
tipo de incidente o escenarios de
amenazas
Lista de requerimientos mnimos
de recuperacin

Informacin de contacto

Lista de actividades organizada

por fase y escenario

Detalle de actividades

Detalle de
de
Detalle
Actividades
Actividades
Listasde
de
Listas
Actividad
Actividad
Materiales
Materiales
Externos
Externos
Miembrosde
de
Miembros
Equipo
Equipo
Requerimientosde
de
Requerimientos
Recuperacin
Recuperacin
Aspectos
Aspectos
Estratgicos
Estratgicos
Plande
de
Plan
Reanudacinde
de
Reanudacin
Operaciones
Operaciones
EquipoOficina
Oficina
Equipo
Principal
Principal

41

QU ES UN EQUIPO DE CONTINUIDAD
DEL NEGOCIO?

Un equipo de continuidad del negocio es un grupo

designado de individuos responsables, despus de
un incidente mayor, por:

Determinar qu
desempeadas

Coordinar ejecucin de aquellas actividades

Comunicarse con otros equipos de continuidad

del negocio

actividades requieren

ser

Cada equipo debe tener a un lder de equipo y alternos

42

ESTABLECIENDO LA ESTRUCTURA
DEL EQUIPO
La estructura de equipo para la continuidad del negocio, es
lo que har que los planes funcionen o no
No existe una estructura estandarizada de equipos. El
establecimiento de una estructura que es la correcta para
la organizacin es vital
Factores a considerar:

Tamao de la organizacin
Ubicacin de las instalaciones y unidades operativas
Estructura organizacional
Cultura organizacional
Escenarios potenciales de amenazas
Estrategias de continuidad
Complejidad de los planes de continuidad del negocio
Conocimiento especializado requerido

43

FACTORES CLAVES DE XITO AL

IMPLANTAR EL ISO 22301:2012

Incluir el SGCN en el plan estratgico de la empresa. El SGCN debe apoyar

la visin de la empresa

Rol protagnico de la alta gerencia en el desarrollo, operacin y mejora

continua del SGCN

Tiempo y recursos necesarios dedicados al cumplimiento con los

requerimientos del estndar

Presupuesto asignado al SGCN

Conseguir la transferencia Metodolgica y Tecnolgica para implantar el
estndar de la manera ms eficiente y eficaz
Promover la participacin de toda la organizacin

44

www.pe.sgs.com

45