Professional Practices SP 0215

Prcticas
Profesionales
por profesionales de la
continuidad de negocio
Mantenido por DRI International

Traducido por Jorge Escalera.
Para hacer una pregunta sobre este documento, contacte Traci ONeal a toneal@drii.org.
Para ms informacin, visite www.drii.org.
Prcticas Profesionales por profesionales de la continuidad de negocio
Prcticas Profesionales
Introduccin
Se define BCM como un proceso de administracin que identifica impactos potenciales que amenazan
una organizacin y crea una estructura para desarrollar resistencia con la capacidad por una respuesta
efectiva que protege los intereses de tenedores de apuestas claves, reputacin, y actividades que crean
morales.
El objetivo primario de BCM es permitir que el ejecutivo florerias continuar manejando las operaciones de
los negocios en condiciones tumbas por la introduccin de estrategias de resistencia aptas, objetivos de
recuperacin, la continuidad del negocio, consideraciones de la gestin de riesgo operacional y planos de
la gestin de crisis.
Las secciones de estas estndares no son en un orden particular porque puede ser necesario
implementar secciones a la misma vez durante el desarrollo del Programa de BCM.
DRI International
Prcticas Profesionales
Resumen de Materias
1. Inicio y Administracin del Programa 5. Preparacin y Respuesta de

Establecer la necesidad de un programa BCM con Emergencia
los componentes de estrategias de resiliencia, Esta prctica profesional define los requisitos para
planes de respuesta, restauracin y recuperacin, desarrollar e implementar el plan de la entidad
la continuidad del negocio. Los requisitos de para responder a emergencias y situaciones
la prctica incluyen obtener el apoyo de la que pudieran impactar la seguridad de los
administracin, organizar y manejar la creacin de empleados, visitantes u otros activos. El plan
las funciones o proceso requeridos para crear la de respuesta de emergencia documenta cmo
estructura de BCM. la entidad debe responder a emergencias de
una forma coordinada, oportuna y efectiva, para
2. Evaluacin y Control de Riesgos atender la seguridad de vida y la estabilizacin
de situaciones de emergencia hasta la llegada
Identificar los riesgos/amenazas y de personal entrenado o externo de primera
vulnerabilidades que pueden afectar respuesta.
adversamente a la entidad y a sus recursos
(ejemplos: personal, comodidades, tecnologas)
a causa de la Interrupcin del negocio; la perdida 6. Planes de la Continuidad del Negocio
potencial de estos eventos puede causar y los Crear, desarrollar e implementar Planes de
controles necesarios para evitar o mitigar los la Continuidad del Negocio que provee la
efectos de los riesgos. Como resuelta, se requiere continuidad y/o la recuperacin como son
un anlisis de los beneficiosdel cuesto para identificados por los requisitos de la entidad.
justificar la inversin en controles.
3. Anlisis del Impacto al Negocio 7. Programas de Concientizacin y
Identificar los impactos de interrupciones del Entrenamiento
negocio que pueden afectar a la entidad y Preparar un programa para establecer y
tcnicas que pueden cuantificar y calificar dichos mantener la concientizacin corporativa y mejorar
impactos. Identificar los procesos sensibles al las habilidades requisitas para desarrollar e
tiempo, los requisitos para recuperarlos y las implementar un plan de la continuidad del
interdependencias para que los objetivos del negocio.
tiempo de la recuperacin puede ser establecidos
y aprobados.
4. Estrategias de Continuidad del Negocio

Utilizar la informacin que fue obtenida durante el
BIA y la Evaluacin de Riesgos para desarrollar
y recomendar estrategias de continuidad del
negocio. El base de estas estrategias es el tiempo
de recuperacin y objetivos que apoyan las
funciones crticos de la entidad.
8. Ejercicio, Auditora y Mantenimiento del

Plan de Continuidad de Negocio
Establecer un programa de ejercicios/pruebas
que recuerda los requisitos del ejercicio del plan,
incluyendo la planificacin, horarios, facilitacin,
comunicacin, auditora y la documentacin
despus de la revisin. Establecer un programa
de mantenimiento para actualizar los planes.
Establecer un proceso de auditora que va a
validar el cumplimiento con los estndares,
revisar soluciones, verificar niveles aptas de
mantenimiento y ejercer actividades y validar que
los planes son actuales, correctos, y completos.
9. Comunicacin de Crisis
Desarrollar y recordar los planes de accin para
facilitar la comunicacin de informacin crtica
de la continuidad. Coordinar y ejercer con los
tenedores de apuestas y el media para asegurar
que hay claridad durante comunicaciones de
crisis.
10. Coordinacin con Dependencias

Externas
Establecer polticas y procedimientos para
coordinar actividades de respuesta, continuidad
y recuperacin con las dependencias externas,
a nivel local, regional y nacional, a la vez que
asegura el cumplimiento con los estatutos y
regulaciones aplicables.
Prctica Profesional Uno

Inicio y Administracin del Programa
Establecer la necesidad de un programa BCM c. Identificar y resuelva cualquier conflicto

dentro de la entidad e identificar los componentes entre las polticas organizacionales y los
del programa, derivado del entender los riesgos requerimientos externos relevantes.
y las vulnerabilidades de la entidad atravs del d. Analizar los reportes de auditora
desarrollo de estrategias de resiliencia, as como existentes para asegurarse de que
planes de respuesta, restauracin y recuperacin. el programa BCM propuesto atiende
Los objetivos de esta prctica profesional son adecuadamente cualesquier brechas u
obtener el apoyo y los fondos de la entidad, y oportunidades previamente identificadas
construir el marco de trabajo para desarrollar el (ya sea de fuentes internas o externas).
programa BCM.
e. Identificar las prcticas de negocio
(tales como estrategias de cadena de
El Rol del Profesional en la Prctica Uno suministro complejas implementadas
es el siguiente: a escala regional o global) que puedan
1. Establecer el por qu la entidad necesita un impactar adversamente la habilidad de la
Programa de Administracin de la Continuidad organizacin para recuperarse despus de
del Negocio (BCM) un evento de desastre.
2. Obtener el apoyo de los lderes/gerencia para f. Establecer los beneficios de BCM y
el programa BCM relacinelos con la misin, los objetivos y
las operaciones de la organizacin.
3. Coordinar y administrar la implementacin del
programa BCM dentro de la entidad g. Explicar el rol de alta gerencia/lderes,
incluyendo su rendicin de cuentas y
responsabilidades en el proceso BCM.
El Profesional de la Continuidad del
Negocio demostrar sus conocimientos h. Elaborar presentaciones y reportes
sobre esta prctica profesional al realizar formales enfocados en incrementar la
lo siguiente: concientizacin y el impacto potencial de
los riesgos para la organizacin desde
1. Establecer la Necesidad del Programa de
una perspectiva de Administracin de la
Continuidad de Negocio.
Continuidad del Negocio (BCM).
a. Investiguar y consulte cualquier
requerimiento y restriccin legal,
regulatoria, estatutario y contractual
tanto interna como externa, proveyendo
recomendaciones a la organizacin para
su apego y cumplimiento.
b. Consultar los estndares relevantes
desarrollados por entidades nacionales
o internacionales y/o asociaciones de la
industria.
DRI International
Prctica Profesional Uno Inicio y Administracin del Programa
2. Obtener el Apoyo de los Lderes/Gerencia 3. Coordinar y Administrar la Implementacin del

para el programa BCM. programa BCM en toda la entidad. La
a. Desarrollar una declaracin de misin/ a. Dirigir al Comit de Planeacin/Directivo
estatutos del programa BCM. designado en la definicin de objetivos,
b. Desarrollar objetivos para el programa estructura del programa, polticas y manejo
BCM alineados a dar soporte a la misin de los factores crticos de xito
de la entidad. b. Desarrollar polticas, procedimientos, y
c. Desarrollar los requisitos de presupuesto estatutos relevantes
para el programa BCM. c. Definir claramente y obtenga los recursos
d. Definir la estructura del programa BCM, requeridos para el programa BCM
sus polticas y los factores crticos de d. Identificar a los equipos para la
xito. implementacin del programa BCM
e. Presentar y obtenga el apoyo y aprobacin incluyendo equipos que participarn en la
de los lderes/gerencia para el programa ejecucin de las siguientes actividades:
BCM. i. Evaluacin de Riesgos y estrategias de
f. Identificar a los ejecutivos patrocinadores resiliencia
para el desarrollo del programa BCM. ii. Anlisis de Impacto al Negocio
g. Obtener la aprobacin de la gerencia con iii. Seleccin e implementacin de la
relacin al presupuesto requerido Estrategia de Recuperacin
h. Obtener un acuerdo para el iv. Administracin general de incidentes y
establecimiento de un Comit de emergencias
Planeacin/Directivo junto con sus 1. Respuesta y Recuperacin ante
funciones de soporte tctico necesarias, Incidentes
incluyendo su personal primario y su
2. Manejo y comunicacin de Crisis
alterno para cada rol.
3. Anlisis de brechas posterior al
i. Definir el alcance, responsabilidades y
incidente e implementacin de las
rendicin de cuentas general de cada
lecciones aprendidas
miembro del Comit de Planeacin/
Directivo y sus funciones de soporte. v. Desarrollo de documentacin del plan
de continuidad de negocio
vi. Pruebas, ejercicios, y actividades de
mantenimiento del plan
vii. Actividades de respuesta, recuperacin
y restauracin durante un evento
Prctica Profesional Uno Inicio y Administracin del Programa
e. Realizar un monitoreo del estatus de h. Informar a la alta gerencia/lderes el

impacto al presupuesto continuamente estatus del programa de manera peridica
para el proceso administrativo existente. i. Desarrollr un programa para informar
f. Desarrollar planes del proyecto e el avance del programa BCM a los
identifique las tareas requeridas para dar lderes de la entidad.
soporte a lo acordado sobre los factores ii. Desarrollar informes de manera
crticos de xito tales como: regular acerca del estatus dirigidos a
i. Horarios la alta gerencia/lderes que contengan
ii. Estimados de tiempos informacin concisa, pertinente,
exacta y oportuna de los elementos
iii. Etapas principales
clave del programa BCM.
iv. Requerimientos de personal,
iii. Proveer actualizaciones del
incluyendo entrenamiento, planeacin
estado del programa BCM y emita
y desarrollo de la sucesin
recomendaciones para mejoramiento
g. Supervisar la efectividad contina del del programa de manera continua.
programa
iv. Realizar un monitoreo de los
i. Desarrolle la administracin continua y
estndares relevantes de la industria
los requerimientos de documentacin
y organizacionales para asegurarse
para el programa BCM.
de que el programa BCM est
ii. Realice un monitoreo, de seguimiento proveyendo consistentemente valor al
e informe para cumplir con los
negocio.
estndares BCM establecidos.
iii. Lleve a cabo estrategias internas
y externas de punto de referencia
(benchmarking).
Prctica Profesional Dos

Evaluacin y Control de Riesgos
El objetivo de esta prctica profesional es 6. Documentar y presentar la evaluacin

identificar los riesgos/amenazas y vulnerabilidades de riesgos/amenazas/vulnerabilidades y
que son tanto inherentes como adquiridos, recomendaciones a los lderes de la entidad
las cuales pueden afectar adversamente a para su aprobacin
la entidad y a sus recursos, o impactar a la
imagen de la misma. Una vez identificadas, El Profesional de la Continuidad
amenazas y vulnerabilidades sern evaluadas del Negocio deber demostrar sus
para determinar la probabilidad de ocurrencia y conocimientos sobre la esta prctica
el nivel de impacto potencial que ocasionaran. profesional al realizar lo siguiente:
Despus de esto, la entidad puede enfocarse en
1. Trabajar con la gerencia y cualquier grupo de
los eventos de alta probabilidad y alto impacto,
administracin de riesgos/gestin integral de
para identificar donde los procesos de control,
riesgos dentro de la entidad, para obtener
mitigacin o de administracin son nulos,
un acuerdo sobre una metodologa clara y
dbiles, o ineficaces. Esta evaluacin da como
estandarizada de evaluacin de riesgos, as
resultado recomendaciones al Programa BCM de
como un entendimiento de la tolerancia al
controles, mitigaciones o procesos adicionales
riesgo de la entidad.
que deben ser implementados para incrementar la
resiliencia de la entidad ante los eventos de mayor a. Identificar metodologas y herramientas de
frecuencia y/o de mayor impacto. anlisis de riesgos. Estas pueden incluir:
i. Metodologas cualitativas y
El Rol del Profesional en la Prctica cuantitativas
Profesional Dos es el siguiente: ii. Evaluacin de ventajas y desventajas
1. Trabajar con la gerencia y cualquier grupo iii. Factores confiabilidad/confianza de los
de administracin de riesgos/gestin integral datos y contenidos.
de riesgos dentro de la entidad, para obtener iv. Uso de frmulas matemticas
un acuerdo sobre una metodologa clara y b. Seleccionar las metodologas y
estandarizada de evaluacin de riesgos, as herramientas apropiadas para la
como un entendimiento de la tolerancia al implementacin en toda la empresa y que
riesgo de la entidad vayan en paralelo con el nivel de tolerancia
2. Identificar, desarrollar, e implementar al riesgo de la entidad.
actividades para obtener informacin en toda c. Trabajar con los lderes de la entidad para
la entidad, para identificar amenazas/riesgos obtener un entendimiento de la tolerancia
y las vulnerabilidades de la misma al riesgo de la misma.
3. Estimar probabilidades e impactos de las d. Trabajar con la gerencia para seleccionar
amenazas/riesgos identificados un modelo apropiado de anlisis costo/-
4. Identificar y evaluar la efectividad de los beneficio.
controles existentes y contramedidas e. Establecer los criterios necesarios de
implementadas medicin para cuantificar el riesgo
5. Identificar estrategias de resiliencia del identificado y la efectividad de los
negocio para controlar, mitigar, aceptar, controles existentes.
o tomar ventaja del impacto potencial
del riesgo/amenaza, para reducir las
vulnerabilidades de la entidad
DRI International
Prctica Profesional Dos Evaluacin y Control de Riesgos
2. Identificar, desarrollar e implementar b. Identificar exposiciones a riesgos de fuentes

actividades para obtener informacin en toda internas y externas. Estas fuentes incluyen,
la entidad, para identificar amenazas/riesgos y mas no estn limitadas a:
vulnerabilidades de la misma. i. Naturales, tecnolgicas o actos del
a. Determinar mtodos para la obtencin de hombre
informacin. ii. Modelo de industria/negocio
b. Colaborar con el asesor legal de la entidad, iii. Accidentales versus intencionales
as como con las reas de seguridad fsica,
iv. Exposiciones/riesgos controlables
seguridad de la informacin, privacidad de
versus aquellos fuera del control de la
la informacin y otras reas pertinentes
entidad
para identificar riesgos ya conocidos y
vulnerabilidades. v. Eventos con alertas previas versus
aquellos sin alertas previas.
c. Determinar las fuentes de informacin que
sern utilizadas para obtener los datos de 4. Identificar las probabilidades e impactos de los
riesgos. riesgos/amenazas identificados.
d. Determinar la credibilidad de las fuentes de a. Desarrollar un mtodo para evaluar

informacin. exposiciones/riesgos en trminos de
frecuencia del riesgo, probabilidad,
e. Desarrollar una estrategia para obtener
velocidad de desarrollo, alerta previa
informacin consistente con las polticas de
al incidente (e.g., huracn), severidad e
la entidad.
impacto a la entidad.
f. Desarrollar una estrategia para obtener
b. Identificar el impacto de los riesgos
informacin que pueda ser manejada en
identificados. Los impactos de riesgo
todas las divisiones y ubicaciones de la
incluyen, ms no estn limitados a:
entidad.
i. Instalaciones
g. Crear mtodos de informacin para toda
la empresa para obtener y distribuir ii. Seguridad (fsica y lgica)
informacin. iii. Reputacin
i. Formas and cuestionarios iv. Legal
ii. Entrevistas v. Cliente
iii. Reuniones vi. Procedimental
iv. Combinacin de todas las anteriores vii. Tecnologa de la Informacin (incluyendo
3. Identificar amenazas/riesgos y vulnerabilidades la infraestructura operacional)
de la empresa. viii. Gente
a. Identificar amenazas/riesgos y ix. Cadena de Suministro (incluyendo
vulnerabilidades de la entidad tomando subcontrataciones)
en cuenta la frecuencia, probabilidad, x. Cumplimiento
velocidad de desarrollo, severidad, y el
impacto sobre la reputacin de la empresa
para tener una visin holstica de los riesgos
en toda la entidad.
c. Evaluar los riesgos y identificados d. Identificar y evaluar la efectividad de los

y clasificarlos de acuerdo a criterios controles para inhibir exposiciones al
relevantes incluyendo, mas no limitados a: impacto: controles preventivos (controles
i. Riesgos bajo el control de la entidad proactivos que ayudan a prevenir una
prdida).
ii. Riesgos fuera del control de la entidad
i. Prcticas de seguridad fsica (control
iii. Riesgos con advertencia previa
de acceso, cmaras, personal de
(tornados o huracanes)
seguridad)
iv. Riesgos sin advertencia previa
ii. Informacin sobre prcticas de
(terremotos)
seguridad (firewalls, deteccin de
d. Evaluar el impacto de los riegos y intrusos, contraseas)
las vulnerabilidades de esos factores
iii. Prcticas de empleo (investigaciones
esenciales para llevar a cabo las
de antecedentes, prcticas de
operaciones de la entidad:
contratacin)
i. Disponibilidad del personal
iv. Prcticas de privacidad (poltica
ii. Disponibilidad de las tecnologas de de escritorio limpio, eliminacin de
informacin informacin exclusiva)
iii. Disponibilidad de las comunicaciones e. Identificar y evaluar la efectividad de los
de tecnologa controles para compensar el impacto
iv. Estatus de la infraestructura a las exposiciones: controles reactivos
(incluyendo transporte), etc. (que tpicamente funcionan o son
5. Identificar y evaluar la efectividad de los implementados como respuesta a una
controles y contramedidas existentes. prdida).
a. Identificar y evaluar la efectividad de la i. Sistema de rociadores
proteccin inherente destinada para los ii. Brigada contra incendio
activos clave en virtud de su ubicacin iii. Generador
relativa a las fuentes de riesgo.
iv. Sistema UPS
b. Identificar y evaluar la efectividad de las
f. Evaluar el flujo de comunicaciones
capacidades de continuidad de negocio
relacionadas con la seguridad con
para los grupos dentro y fuera de la
otras reas internas y con proveedores
entidad, de los cuales depende para llevar
externos de servicios.
a cabo sus operaciones.
6. Identificar estrategias de resiliencia del
c. Identificar y evaluar la efectividad de
negocio para controlar, mitigar, aceptar, o
las acciones tomadas para reducir la
tomar ventaja de los impactos potenciales
probabilidad de ocurrencia de incidentes
del riesgo/amenaza, para reducir las
que pudieran perjudicar la habilidad de
vulnerabilidades de la entidad.
hacer negocios.
a. Analizar estrategias y controles para
i. Inspeccin de las instalaciones
administrar los riesgos identificados
ii. Polticas y procedimientos de
b. Identificar los puntos disparadores de
seguridad
servicios clave y reas de soporte, con
iii. Entrenamiento sobre el uso adecuado el fin de identificar, escalar y ejecutar las
de equipos y herramientas estrategias seleccionadas y tomar ventaja
iv. Mantenimiento preventivo de los riesgos clave
DRI International
c. Establecer escenarios de interrupcin 4. Identificar la necesidad para

con base en los riesgos a los que est la utilizacin de personal
expuesta la entidad. Estos escenarios especializado para revisin en los
deberan ser basados en situaciones puntos clave de entrada.
severas en magnitud, ocurriendo en el 5. Evaluar la necesidad de instalar
peor momento posible, resultando en equipo de vigilancia con monitoreo
una afectacin severa a la habilidad de la y/o video-grabada para controlar
entidad para realizar negocios. los puntos de acceso y las reas
d. Entender las opciones de administracin de exclusin; incluyendo deteccin,
de riesgos para seleccionar las respuestas notificacin y supresin (e.g.,
apropiadas costo-efectivas (los ejemplos sensores, alarmas y rociadores).
incluyen: evitar riesgos, transferir o aceptar 6. Cambios a los controles de
riesgos). seguridad y de acceso, iseguro
e. Desarrollar una documentacin formal de de arrendatario, acuerdos de
retencin de riesgos y prcticas de re- arrendamiento.
evaluacin en concordancia con el nivel ii. Proteccin Lgica
de tolerancia al riesgo aceptado por la
1. Evaluar la necesidad de proteccin
entidad.
provista por sistemas de los
f. Hacer recomendaciones de medidas datos guardados, o en transporte;
de seguridad viables y costo-efectivas informacin de respaldo y
requeridas para prevenir/reducir riesgos proteccin.
y exposiciones relacionadas con la
2. Evaluar seguridad de la
seguridad.
informacin: monitoreo de
g. Si es necesario, recomendar cambios para hardware, software, datos y red
reducir el impacto derivado de riesgos y (e.g., deteccin, notificacin, etc.).
vulnerabilidades.
3. Ubicacin de activos.
i. Proteccin fsica
iii. Cambios en los procedimientos del
1. Identificar los requerimientos personal.
necesarios para restringir el acceso
iv. Incremento del mantenimiento y
a todos los niveles pertinentes (e.g.
servicio preventivo, segn se requiera.
edificio, cuarto, etc.).
v. Servicios pblicos: duplicidad de
2. Investigar la necesidad de
servicios pblicos, redundancias
colocar barreras o reforzamiento
incorporadas (Telecomunicaciones,
de estructuras para determinar
electricidad, agua, etc.).
las entradas intencionales,
accidentales y/o sin autorizacin. vi. Interactuar con Dependencias Externas
(vendedores, proveedores, empresas
3. Ubicacin: construccin fsica,
subcontratadas, etc.).
ubicacin geogrfica, vecinos
corporativos, infraestructura de las
instalaciones, infraestructura de la
comunidad.
7. Documentar y presentar la evaluacin de

riesgos a los lderes de la entidad para
obtener su aprobacin.
a. Prepare un informe de evaluacin de
riesgos, estandarizando el anlisis en toda
la entidad
b. Presente los hallazgos de la evaluacin de
riesgos, incluyendo, pero no limitado a:
i. Informacin sobre riesgos y
exposiciones en el anlisis de riesgos.
ii. Una evaluacin de los controles y/o
estrategias existentes para administrar
los riesgos conocidos y una calificacin
de la efectividad de los controles
como: completamente efectivos,
parcialmente efectivos o inefectivos.
iii. Recomendar nuevos controles para
ser implementados incluyendo costo/
beneficio.
iv. Recomendar mejoras a los controles
incluyendo costo/beneficio.
v. Recomendar reas apropiadas para
transferir riesgos.
vi. Recomendar prioridades para la
implementacin del nuevo control.
vii. Documentar las reas en las que la
gerencia acepta transferir riesgos
incluyendo una autorizacin por
escrito.
c. Recibir la aprobacin de las
recomendaciones de la evaluacin de
riesgos
Prctica Profesional Tres

Anlisis del Impacto al Negocio
Durante las actividades de esta prctica Nota: Mientras que al Profesional de la

profesional, la entidad identificar la probabilidad y Continuidad del Negocio se le puede dar la
los impactos potenciales de eventos que pudiesen responsabilidad de manejar el BIA, la propiedad
afectar la entidad o sus procesos, as como los de ese BIA reside en la entidad y en sus lderes,
criterios que sern utilizados para cuantificar y o en los dueos del proceso o procesos en
calificar dichos impactos. Los criterios para medir construccin.
y evaluar los impactos financieros, operacionales,
en clientes, regulatorios y/o de reputacin de El Profesional de Continuidad del Negocio
la entidad, deben ser definidos y aceptados y deber demostrar sus conocimientos
posteriormente utilizados consistentemente en sobre esta prctica profesional al realizar
toda la entidad, con el fin de definir el Tiempo lo siguiente:
Objetivo de Recuperacin (RTO) y el Punto
1.) Identificar los criterios a ser utilizados para
Objetivo de Recuperacin (RPO) para cada
cuantificar y calificar el impacto de los
proceso de la entidad. El resultado de este
eventos sobre la entidad.
anlisis es identificar los procesos sensibles al
tiempo y los requisitos para recuperarlos en el i) Definir y obtener la aprobacin de los
marco de tiempo que es aceptable para la entidad. criterios a ser utilizados para evaluar
el impacto sobre las operaciones de la
entidad incluyendo mas no limitados a:
El Rol del Profesional en la Prctica
Profesional Tres es el siguiente: 1.) Impacto al cliente
1. Identificar los criterios a ser utilizados para a) Qu tan rpido sabrn los clientes
cuantificar y calificar el impacto de los que la empresa tiene un problema
eventos sobre la entidad. b) Qu tan preocupados estarn
2. Establecer el proceso y la metodologa del acerca de este problema
Anlisis de Impacto al Negocio (BIA). c) Cul es la probabilidad de que
3. Planear y coordinar la obtencin y anlisis de se lleven sus negocios con otra
datos. compaa
4. Obtener la aprobacin de los lderes de d) Cul ser el impacto en los niveles

la entidad sobre la metodologa BIA y los de servicio comprometidos
criterios a ser utilizados. e) El impacto a la cadena de
5. Analizar datos obtenidos a la luz de los suministro de los clientesLesiones
criterios aprobados para establecer el RTO o muerte de un cliente (i.e. paciente
y el RPO para cada rea operacional y la de un hospital)
tecnologa que los soporta. 2.) Impacto Financiero
6. Documentar los recursos mnimos requeridos a) Prdida de utilidad
para la reanudacin y la recuperacin de las b) Costos adicionales para
funciones esenciales de negocio y de soporte recuperarse
y su escalamiento en el tiempo.Preparar y i) Declaraciones y cuotas por uso
presentar los resultados del BIA a los lderes diario
de la entidad, para obtener su aceptacin
ii) Tiempo extra
de los RTO y RPO para cada uno de los
procesos. iii) Viajes y gastos
DRI International
Prctica Profesional Tres Anlisis del Impacto al Negocio
iv) Deducibles de seguro 6.) Impacto humano

v) Deducibles de seguro a) Prdida de vidas y lesiones
vi) Reemplazo de equipos perdidos, b) Impacto a la comunidad
materias primas y suministros c) Estrs
c) Costo de limpieza y restauracin d) Impacto emocional de largo plazo
d) Prdida de control financiero 2.) Establecer el proceso y metodologa BIA.
e) Impacto sobre el flujo de efectivo a) Identificar y obtener a un patrocinador para
f) Impacto sobre la participacin de las actividades del BIA.
mercado b) Definir objetivos y alcance para el proceso
g) Impacto sobre ventas futuras BIA.
h) Impacto sobre el precio del c) Escoger una metodologa/herramienta
inventario apropiada para la planeacin del BIA.
i) Multas contractuales o penalidades d) Escoger una metodologa apropiada para
j) Demandas la obtencin de datos del BIA.
3.) Impactos regulatorios i. Los datos a ser obtenidos incluyen:
a) Multas (1) Procesos operacionales.
b) Penalidades (2) Impactos al proceso y cmo esos
impactos cambian con el tiempo
c) Obligacin a retirar producto del
mercado debido a la prdida de la (a) Impacto al proceso por la
informacin de seguridad prdida del sitio
4.) Impacto operacional (i) Documentar las
capacidades de
a) Reduccin de niveles de servicio
recuperacin actuales
b) Costos incrementados por tiempo
(b) Impacto por la prdida de
extra
tecnologa necesaria para llevar
c) Interrupciones en el flujo de a cabo el proceso
trabajos
(ii) Documentar las
d) Prdida de control capacidades de
e) Inhabilidad para cumplir con los recuperacin actuales
plazos iii) Interdependencias
f) Interrupcin en la cadena de (i) Internas
suministro
(ii) Externas
5.) Impacto en la reputacin
(iii) Tecnologa
a) Atencin a los medios
(d) Niveles mnimos de servicio
b) Redes sociales
c) Comunidades
d) Confianza de los accionistas
e) Competidores tomando ventaja de
la atencin negativa
(e) Requisitos de recursos mnimos (iii) Equipamiento

para realizar funciones al nivel 1. Equipos de manufactura
mnimo aceptable
2. Equipo para correo
(i) Tecnologa impreso
1. Hardware de escritorio 3. Fotocopiadoras
2. Conectividad de red 4. Herramientas
3. Impresoras (iv) Registros vitales
a. Aisladas 1. Registros legales
b. En red 2. Contratos
c. Centrales 3. Manuales de
d. A color y blanco/ procedimientos
negro 4. Formatos
4. Fax 5. Hojas con membrete
5. Telfonos 6. Registros de
6. Lneas troncales de mantenimiento
entrada/salida 7. Registros de seguros
7. Servidores de impresin/ 8. Informacin de
archivos productos
8. Aplicaciones (v) Personal
9. Software de 1. Cuntos
proveedores
2. Qu habilidades
10. Conectividad a internet
3. Qu turnos
11. Grabacin de llamadas
4. Cundo
12. Escneres
(vi) Proveedores
(ii) Espacio fsico
1. Papel, plumas, lpices,
1. Escritorios grapadoras, tinta, tner,
2. Espacio necesario para etc.
el equipamiento 2. Materias primas
3. Espacio de almacenaje 3.) Planear y coordinar la obtencin y anlisis de
para materias primas y datos.
producto terminado
i) Obtencin de datos va cuestionarios.
4. Espacio para embarques
1.) Desarrollar cuestionarios e
5. Espacio para impresin/ instrucciones segn sea requerido.
correo
a) Entender la necesidad del diseo
6. Espacio para y distribucin apropiada de los
clasificacin cuestionarios, incluyendo una
7. Requerimientos de explicacin del propsito, para los
Electricidad gerentes de los departamentos
8. Requisitos de participantes y su personal.
Climatizacin (HVAC) 2.) Manejar reuniones de inicio (kick-off)
del proyecto para distribuir y explicar
los cuestionarios.
3.) Apoyar a los participantes durante la
respuesta de los cuestionarios.
DRI International
4.) Revisar los cuestionarios contestados 4.) Obtener la aprobacin de los lderes de la
e identificar a aquellos que requieran entidad sobre la metodologa BIA y los criterios
entrevistas de seguimiento. a ser utilizados.
5.) Llevar a cabo discusiones de a) Identificar y obtener un acuerdo sobre
seguimiento cuando se requieran cmo el impacto potencial financiero y no
clarificaciones y/o datos adicionales. financiero puede ser cuantificado y evaluado
ii) Obtencin de datos va entrevistas. en cada rea de impacto.
1.) Mantener consistencia con la estructura b) Identificar y obtener un acuerdo sobre los
predefinida en cada entrevista y seguir requisitos de informacin de impacto no
un formato comn. cuantificable en cada rea de impacto.
2.) Asegurarse de que la informacin base c) Establecer la definicin de la escala de
a ser obtenida en cada entrevista est impacto (e.g., alto, medio, bajo) a ser
predefinida. utilizada durante la obtencin de datos.
3.) Permitir a cada entrevistado que revise y d) Obtener un acuerdo de la gerencia en
verifique toda la informacin obtenida. cuanto al programa de trabajo final.
4.) Programar entrevistas de seguimiento, e) Identificar a los miembros del equipo que
si los anlisis iniciales muestran una participarn en el proceso BIA.
necesidad de clarificar y/o aadir a los i. Trabajar con el patrocinador del BIA
datos ya proporcionados. para identificar las reas principales
iii) Obtencin de datos va talleres. de la entidad incluyendo proveedores
externos de servicios.
1.) Establecer una agenda clara y definir
objetivos. ii. Trabajar con el patrocinador del BIA
para identificar individuos especficos
2.) Identificar el nivel apropiado de los
que representen las reas principales
participantes en el taller y obtener la
de la entidad.
aprobacin de la gerencia.
(1) Obtener y revisar los diagramas
3.) Escoger el lugar apropiado a travs
organizacionales actuales.
de la evaluacin de la ubicacin,
instalaciones, y la disponibilidad de los (2) Identificar miembros del
participantes. equipo gerencial funcional y a
representantes de proveedores
4.) Facilitar y liderar el taller o identificar
terceros a participar en el proceso de
los recursos apropiados para llevarlo a
obtencin de datos.
cabo.
iii. Informar a los individuos seleccionados
5.) Asegurarse de que los objetivos del
del proceso BIA y su propsito.
taller se cumplan.
iv. Identificar los requisitos de
6.) Asegurarse de que todos los aspectos
entrenamiento y establecer un programa
predominantes al final del taller sean
de entrenamiento.
identificados y se realice el seguimiento
apropiado. v. Entrenar a representantes de la
gerencia funcional conocedores.
f) Llevar a cabo la obtencin de datos.
5.) Analizar los datos obtenidos a la luz de los b) Administracin de Registros Vitales.
criterios aprobados para establecer el RTO i. Documentar registros vitales en la
y el RPO para cada rea operacional y la entidad, incluyendo electrnicos y en
tecnologa que les soporta. papel, y establecer cundo sern
a) Con base en los datos obtenidos, necesarios los registros durante la
determinar la prioridad de los procesos/ recuperacin.
servicios. ii. Evaluar los procedimientos existentes
b) Documentar las interdependencias de respaldo y restauracin para
entre cada proceso del negocio y su identificar cualesquier brechas
infraestructura de soporte (sistemas entre los requisitos de recuperacin
de datos y tecnologa relacionada, de registros y los procedimientos
administracin de la cadena de suministro existentes de respaldo y restauracin.
y otros recursos). c) Identificar brechas entre las capacidades
i. Intradepartamental actuales de recuperacin y los requisitos
ii. Interdepartamental definidos por los resultados del BIA.
iii. Relaciones externas 7.) Preparar y presentar los resultados del BIA
a los lderes de la entidad, para obtener su
c) Determinar el orden de recuperacin para
aceptacin de los RTO y los RPO para cada
las funciones esenciales de negocio y de
uno de los procesos, segn fue definido por
soporte y la tecnologa.
los resultados del BIA.
6.) Documentar los requisitos de recursos
a) Preparar un borrador del informe BIA
mnimos requeridos para la reanudacin y
utilizando los hallazgos iniciales de
la recuperacin de las funciones esenciales
impacto y las brechas identificadas.
de negocio y de soporte y su escalamiento
conforme avanza el tiempo. i. Proveer una declaracin de la misin,
metas y objetivos de la entidad.
a) Requisitos de recursos a incluir:
ii. Resumir el impacto a la misin, metas
i. Recursos internos y externos
y objetivos que puedan resultar por una
ii. Recursos propios versus no propios interrupcin.
iii. Necesidades de recursos de corto iii. Proveer una lista de prioridad de los
plazo versus largo plazo procesos y servicios de la entidad y los
iv. Recursos existentes y recursos RTO y RPO que resultaron del BIA
adicionales requeridos (1) Incluir un resumen de los recursos
(1) Personal clave necesarios a lo largo del tiempo
(2) Equipamiento para recuperarse y reanudar las
operaciones.
(3) Datos
(2) Incluir un anlisis de brechas
(4) Materias primas
entre las capacidades actuales
(5) Otros para cumplir con los. RTO y
RPO definidos y las capacidades
necesarias.
DRI International
iv. Elaborar un informe borrador para los

representantes funcionales y solicitar
su retroalimentacin.
v. Revisar la retroalimentacin de los
representantes funcionales y, cuando
sea apropiado, revisar los hallazgos en
consecuencia, o aadir a los asuntos
predominantes.
vi. Programar un taller o reunin con
los representantes funcionales
participantes y representantes de
proveedores externos para discutir
los hallazgos iniciales, segn sea
necesario.
vii. Asegurarse de que los descubrimientos
iniciales sean actualizados, cuantas
veces sea necesario, para reflejar
los cambios ocasionados por estas
reuniones.
b) Preparar un informe final del BIA.
c) Preparar y realizar una presentacin
formal de los hallazgos del BIA a los
lderes de la entidad.
d) Obtener la aprobacin de los RTO y RPO
para cada proceso como se fue definido
por los resultados del BIA.
Prctica Profesional Cuatro

Estrategias de Continuidad del Negocio
La informacin que fue obtenida durante el BIA entidad que cumplan con los RTOs y RPOs
y la Evaluacin de Riesgos es utilizada en esta identificados durante el proceso BIA.
prctica profesional para identificar estrategias a. Revisar los requerimientos de
de continuidad y de recuperacin de las recuperacin identificados para cada una
operaciones y la tecnologa de la entidad. Las de las operaciones de la entidad.
estrategias recomendadas deben ser aprobadas
b. Identificar estrategias alternativas de
y financiadas y deben cumplir con los tiempos
continuidad del negocio. Opciones
objetivo de recuperacin (RTO) y con los puntos
potenciales pueden incluir mas no estar
objetivo de recuperacin (RPO) identificados
limitadas a:
previamente en el BIA. Se realiza un anlisis
de costo-beneficio para las estrategias i. No hacer nada y dedicarse a reparar o
recomendadas con el fin de alinear el costo de reconstruir en tiempos de desastre
implementacin de la estrategia con los activos en ii. Desarrollar procedimientos manuales
riesgo. iii. Desarrollar acuerdos recprocos (ms
comunes en operaciones de pequeas
El Rol del Profesional en la Prctica empresas, acuerdos de ayuda mutua
Profesional Cuatro es el siguiente: del sector pblico y ambientes de
manufactura)
1. Utilizar la informacin obtenida durante el BIA
y la evaluacin de Riesgos para identificar iv. Identificar sitios internos con espacios
las estrategias disponibles de continuidad de doble uso que pudieran ser
y de recuperacin para las operaciones de equipados para dar soporte a la
la entidad que cumplan con los RTOs y recuperacin (salas de conferencias,
RPOs identificados durante el proceso BIA2. salas de entrenamiento, cafeteras,
Consolidar estrategias cuando sea apropiado etc.)
con el fin de reducir costos y/o complejidad v. Identificar un sitio alterno externo
3.Evaluar el costo de implementar las vi. Contratar proveedores de servicios/
estrategias identificadas atravs de un anlisis subcontratistas terceros
costo/beneficio 4. Recomendar estrategias y
vii. Transferir carga de trabajo al sitio de
obtener la aprobacin para su implementacin
supervivencia
viii. Transferir personal y carga de trabajo
El Profesional de la Continuidad al sitio de supervivencia
del Negocio deber demostrar sus
ix. Suspender operaciones que no
conocimientos sobre esta prctica
sean sensibles al tiempo en un sitio
profesional al realizar lo siguiente:
de supervivencia y transferir gente/
1. Utilizar la informacin obtenida durante el BIA carga de trabajo del sitio afectado
y la evaluacin de Riesgos para identificar (desplazamiento)
las estrategias disponibles de continuidad y
x. Construir un sitio alterno dedicado
de recuperacin para las operaciones de la
DRI International
Prctica Profesional Cuatro Estrategias de Continuidad del Negocio
xi. Tener personal trabajando desde casa vi. Habilidad para cumplir con los RTO y
xii. Estrategias de recuperacin para RPO establecidos
ambientes de manufactura e. Desarrollar un anlisis preliminar costo/
1. Reparar/Reconstruir en tiempo de beneficio
desastre 2. Utilizar los datos obtenidos durante el BIA
2. Acuerdos recprocos con otra y la evaluacin de Riesgos para identificar
manufacturera las estrategias disponibles de continuidad
y de recuperacin para la tecnologa de la
3. Asignar prioridades a los productos/
entidad que cumplan con los RTO y el RPO
servicios (SKU, Stock Keeping
identificados durante el proceso BIA.
Unit)
a. Revisar los requerimientos de
4. Asignar prioridades a los clientes
recuperacin identificados para la
5. Utilizar capacidad en exceso en tecnologa que soportan cada una de las
otras plantas operaciones de la entidad.
xiii. Estrategias de recuperacin de los b. Identificar estrategias alternativas de
registros vitales fsicos, y de trabajo en recuperacin de la tecnologa. Opciones
proceso para cumplir con el RPO para potenciales incluyen mas no estn
estos registros, y asegurar que sean limitadas a:
accesibles despus de un desastre.
i. No hacer nada y reparar o reconstruir
1. Fotocopias en tiempos de desastre.
2. Escner ii. Solicitar a las operaciones de negocio
3. Fichas desarrollar procedimientos alternos
4. Pelculas manuales.
c. Revisar sitios alternos alternativos iii. Implementar un medio ambiente de
tecnologa activo/activo a travs de un
i. Ubicacin
centro de datos dual.
ii. Espacio disponible
iv. Implementar un medio ambiente de
iii. Adecuacin del espacio a la necesidad tecnologa activo/pasivo para una alta
iv. Capacidades de comunicacin (voz/ disponibilidad de la tecnologa sensible
datos) al tiempo que provea un arranque
v. Equipamiento disponible rpido de la tecnologa requerida.
vi. Disponibilidad de materias primas v. Contratar proveedores de servicios
vii. Robustez del sitio (fuentes terceros/subcontratistas que proveen
redundantes de energa, agua, etc.) medio ambiente de recuperacin. Esto
incluye:
d. Evaluar viabilidad de estrategias
alternativas comparndolas con los 1. Un contrato tradicional de Hot Site
resultados del anlisis del impacto al con un proveedor que suministra
negocio/tiempos objetivo de recuperacin los equipos para recuperarse de su
inventario.
i. Comparar soluciones
2. La entidad pone sus propios
ii. Ventajas
equipos para la recuperacin en
iii. Desventajas el piso del centro de datos del
iv. Costos (arranque, mantenimiento y proveedor.
ejecucin)
v. Capacidad de mitigacin y opciones de
control
Prctica Profesional Cuatro Estrategias de Continuidad del Negocio
vi. Subcontratar completamente el medio iii. Desventajas

ambiente tecnolgico (Computacin iv. Costos (arranque, mantenimiento y
en la Nube, etc.). ejecucin)
vii. Identificar un sitio donde tomara lugar v. Capacidad de mitigacin y opciones de
la recuperacin pero construir slo control
los sistemas HVAC y elctrico y en el
vi. Habilidad para cumplir con los RTO y
momento del desastre equipar con la
el RPO definidos
tecnologa (Warm Site).
e. Desarrollar anlisis preliminares costo/
viii. Identificar un sitio donde tomara
beneficio
lugar la recuperacin pero construir
lo necesario slo cuando ocurra un 3. Consolidar estrategias cuando sea apropiado
desastre (Cold Site). para reducir costos y/o complejidad.
ix. Identificar estrategias para la a. Identificar dnde podra ser utilizada la

recuperacin de datos en formato misma estrategia de recuperacin para
electrnico que cumpla con los RPO cumplir con los requerimientos de mltiples
establecidos para esos registros y reas de operaciones (i.e. Un slo sitio
que asegure que estn disponibles alterno utilizado para la recuperacin de
despus de un desastre. las operaciones de negocio de diferentes
edificios que no se espera que sean
1. Respaldo Fsico y Virtual en Cintas
impactados por el mismo evento).
(a) Incremental
4. Evaluar el costo de implementacin de las
(b) Respaldo completo estrategias identificadas a travs de un
(c) Diferencial anlisis costo/beneficio.
2. Rplica asncrona a. Estimar el costo de implementacin y
3. Rplica Sincrnica mantenimiento de la recuperacin para las
estrategias de recuperacin identificadas.
c. Revisar sitios alternos
b. Validar que las estrategias de recuperacin
i. Ubicacin
a ser implementadas estn en lnea con el
ii. Espacio disponible monto de los negocios en riesgo (Ejemplo:
iii. Adaptabilidad del espacio a la usted no implementara una estrategia de
necesidad recuperacin de un milln de dlares para
iv. Capacidades de comunicacin (voz/ protege un rea del negocio con valor de
datos) $100,000 USD).
v. Equipamiento disponible 5. Recomendar estrategias y obtener la
vi. Robustez del sitio (redundancia de aprobacin para su implementacin.
energa, agua, etc.)
d. Evaluar la viabilidad de estrategias
alternativas comparndolas con los
resultados de los objetivos del BIA.
i. Comparar soluciones
ii. Ventajas
Prctica Profesional Cinco

Preparacin y Respuesta de Emergencia
Esta prctica profesional define los requisitos para El Profesional de la Continuidad

desarrollar e implementar el plan de la entidad del Negocio deber demostrar sus
para responder a emergencias y situaciones conocimientos sobre esta prctica
que pudieran impactar la seguridad de los profesional al realizar lo siguiente:
empleados, visitantes u otros activos. El plan 1. Identificar regulaciones aplicables de
de respuesta de emergencia documenta cmo preparacin y respuesta de emergencia.
la entidad debe responder a emergencias de
a. Seguridad e higiene
una forma coordinada, oportuna y efectiva, para
atender la seguridad de vida y la estabilizacin b. Prevencin de Incendios
de situaciones de emergencia hasta la llegada c. Seguridad de vida
de personal entrenado o externo de primera d. Seguridad nacional
respuesta.
e. Proteccin del medio ambiente
f. Regulaciones promulgadas por el gobierno
a nivel federal, estatal, regional, municipal,
Profesional Cinco es el siguiente:
religioso, tribal o local
1. Identificar las regulaciones aplicables de g. Regulaciones aplicables debido a:
preparacin y respuesta de emergencia
i. Condiciones inseguras en el sitio
2. Identificar tipos potenciales de emergencias,
ii. Tamao, peso, o distribucin de un
escenarios que pudieran ocurrir, e impactos
edificio
que pudieran resultar
iii. Ubicacin (e.g., proximidad a canales
3. Identificar las capacidades necesarias para
de agua)
responder
2. Identificar tipos de emergencias potenciales,
4. Revisar los procedimientos existentes
escenarios que pudieran ocurrir, y los
de respuesta de emergencia y evaluar
impactos que pudieran resultar
las capacidades para proteger la vida,
propiedades y el medio ambiente a. Naturales, causados por el hombre
(accidentales e intencionales), y
5. Recomendar el desarrollo/mejora de los
tecnolgicos. Para cada tipo emergencia,
procedimientos de emergencia
identificar escenarios potenciales que
6. Recomendar el desarrollo y la implementacin pudieran resultar:
de un sistema de manejo de incidentes para
i. Origen o Ubicacin (interna y externa)
el mando, control y coordinacin del personal
y los recursos durante emergencias 1. rea probable de afectacin
7. Revisar y coordinar los planes de preparacin b. Para cada tipo de emergencia, identificar
y respuesta de emergencia, as como impactos potenciales incluyendo:
los procedimientos de los profesionales i. Lesionados o Prdidas Humanas
entrenados de primera respuesta ii. Daos a activos
iii. Interrupciones o trastornos
operacionales
iv. Contaminacin ambiental
DRI International
Prctica Profesional Cinco Preparacin y Respuesta de Emergencia
3. Identificar las capacidades de respuesta c. Capacidades necesarias para prevenir la

necesarias contaminacin ambiental.
a. Capacidades necesarias para proteger la i. Documentacin, supervisin y
seguridad de vida incluyendo: manipulacin de los sistemas de
i. Evacuacin procesos, sistemas de contencin y
otros sistemas diseados para contener
ii. Albergue
los materiales peligrosos en el sitio.
iii. Refugio listo (i.e. condiciones inseguras
4. Revisar los procedimientos existentes
transmitidas va erea)
de respuesta de emergencia y evaluar
iv. Cierre las capacidades para proteger la vida, y
v. Conteo de todas las personas afiliadas propiedades.
a la organizacin y afectadas por la a. Obtencin de informacin
emergencia
i. Identificar las capacidades de respuesta
vi. Triage, tratamiento (primeros requeridas para proteger la vida, los
auxilios, RCP/desfibrilador externo activos, y el medio ambiente para los
automatizado), y transporte de los tipos de emergencias, escenarios e
lesionados o enfermos impactos identificados.
vii. Rescate incluyendo bsqueda y rescate ii. Identificar y establecer relaciones
b. Capacidades necesarias para proteger los con los departamentos internos y su
activos incluyendo: personal, as como con dependencias
i. Supervisin y manejo de sistemas externas, contratistas y otros con
y equipos del edificio incluyendo responsabilidades de preparacin y
servicios pblicos, ventilacin y aire respuesta de emergencia.
acondicionado, deteccin y supresin de iii. Recopilar los procedimientos de
incendios, comunicaciones y alertas. respuesta de emergencia de los
ii. Conservacin de la propiedad para departamentos internos y de aquellos
preparar una instalacin para un evento con responsabilidades asignadas para
pronosticado (e.g., apagn programado responder en caso de emergencia
previo a un huracn) y minimizar daos incluyendo al departamento del
con actividades de salvamente y medio ambiente, seguridad, recursos
limpieza despus de un evento. humanos, administracin de
instalaciones, y operaciones.
iii. Combate vs. incendios (e.g., brigada
contra incendios incipiente, planeacin iv. Recopilar los procedimientos de
coordinada con el departamento de respuesta de emergencia y una
bomberos, entrenamiento de uso del descripcin de las capacidades de
extinguidor, etc.). respuesta de emergencia de las fuentes
externas incluyendo al gerente del
edificio.
v. Contactar a dependencias pblicas f. Revisar los planes de respuesta de

(e.g., servicios mdicos de emergencia, emergencia para determinar si los tipos
departamento de bomberos, orden de emergencias, escenarios e impactos
pblico, rescate, equipo especialista en identificados han sido abordados
materiales peligrosos, dependencia adecuadamente para proteger la vida, los
de manejo de emergencias, etc.) activos y el ambiente.
para identificar requisitos, prcticas g. Revisar los planes de respuesta de
y recursos, y para establecer lneas emergencia para determinar si los
de comunicacin. (Ver tambin la procedimientos abordan adecuadamente
Prctica Profesional Diez). el monitoreo de condiciones inseguras
b. Evaluacin de los Recursos Necesarios o amenazas, deteccin de incidentes;
i. Identificar los recursos necesarios para reporte oportuno a la persona,
proteger la vida, los activos y el medio departamento, y/o dependencia
ambiente de los tipos de emergencias, responsable; activacin del plan; alerta a
escenarios e impactos identificados. personal de primera respuesta (internos
y externos), alerta a las personas
ii. Identificar el personal interno y externo
impactadas o con potencial de ser
incluyendo dependencias pblicas,
impactadas; y escalamiento cuando sea
gerentes del edificio, contratistas
requerido para estabilizar el incidente.
y otros que estn entrenados para
responder ante las emergencias h. Consulta con las dependencias pblicas
identificadas. (e.g., servicios mdicos de emergencia,
departamento de bomberos, orden pblico,
iii. Identificar los sistemas y equipos
rescate, materiales peligrosos, manejo
incluyendo sistemas de deteccin,
de emergencias, etc.) para coordinar la
alarmas, notificacin, comunicaciones,
preparacin y respuesta de emergencia
medios de evacuacin (i.e., salidas),
como lo requiere la Prctica Profesional 10.
supresin y contencin disponibles
para responder en caso de emergencia i. Documentar discrepancias y/o brechas
entre las necesidades y las capacidades.
c. Identificar materiales y proveedores
necesarios para respuesta de emergencia. 5. Recomendar el desarrollo/mejoramiento de los
procedimientos de emergencia.
d. Verificar que los acuerdos de ayuda
mutua o acuerdos de colaboracin estn a. Reportar las discrepancias significativas
documentados. entre los procedimientos, recursos
y capacidades requeridas para la
e. Evaluar la disponibilidad y la capacidad de
preparacin de emergencia y los
los recursos identificados para determinar
procedimientos, recursos y capacidades
si los recursos pueden ser provistos
actualmente disponibles para la gerencia.
oportunamente y si son adecuados para
proteger la vida, los activos y el medio b. Proveer recomendaciones con prioridad
ambiente de los tipos de emergencias, asignada para abordar las discrepancias o
escenarios e impactos identificados. cerrar las brechas.
DRI International
c. Solicitar el apoyo y compromiso de la 4. Rendicin de cuentas Establecer

gerencia para los recursos requeridos. una capacidad de rendicin de
La meta del programa en orden de cuentas por la seguridad y el
prioridad debe ser proteger la vida, los bienestar de todas las personas
activos y el medio ambiente de los tipos afiliadas a la organizacin que
de emergencias, escenarios e impactos estn involucradas en un incidente
identificados. o que puedan ser afectadas por el
i. Proteccin de Seguridad de Vida mismo.
1. Advertencia Establecer 5. Mdica Asegurarse de que exista
una capacidad para advertir una capacidad interna y externa
oportunamente a las personas en que cumpla con las regulaciones
riesgo o potencialmente en riesgo para administrar oportunamente
acerca de una amenaza o una primeros auxilios o tratamiento
condicin insegura. Los sistemas mdico y transporte de enfermos o
de notificacin deben cumplir con lesionados hacia alguna instalacin
las regulaciones aplicables y ser de servicios de salud capaz de
capaces de ser escuchados y brindar tratamiento de lesiones
entendidos. o enfermedades que pudieran
ocurrir en la instalacin.
2. Acciones de Proteccin
Organizar equipo(s) para evacuar, 6. Consejera Identificar o proveer
albergar o refugiar en sitio (si acceso a profesionales en salud
existe un peligro transmitido va mental quienes puedan proveer
area). Establecer procedimientos consejera y servicios relacionados
para advertir a las personas en despus de incidente traumtico.
riesgo acerca de las amenazas a 7. Seguridad Mantener o proveer un
la seguridad que pudieran requerir sitio, edificio y/o rea segura para
un cierre. la proteccin del personal, activos
3. Rescate Organizarse para contar fsicos e informacin durante y
con una capacidad competente despus de un incidente.
de rescate para proveer estos ii. Proteccin de la Propiedad
servicios, si as es requerido por 1. Establecer capacidades, planes
las regulaciones dependiendo de documentados y proveer los
las condiciones inseguras que recursos necesarios para preparar
existan en el sitio (e.g., espacio las instalaciones para un evento
confinado con requerimiento de pronosticado. Estos eventos
permiso). Establecer un equipo de pueden incluir pero no estn
bsqueda y rescate si se requiere limitados a peligros naturales
por el tipo de emergencias, (inundaciones, ciclones tropicales,
escenarios e impactos identificados etc.) y eventos causadas por el
si la disponibilidad y capacidad hombre (e.g., disturbios civiles,
de los recursos externos son etc.).
inadecuadas.
2. Establecer capacidades para iii. Proteccin del Medio Ambiente

supervisar sistemas en el edificio, 1. Hacer un inventario de materiales
servicios pblicos y equipos para peligrosos que incluya ubicacin
estabilizar un incidente en conjunto y cantidad. Asegurarse de que
con la gerencia del edificio, las las Hojas de Datos de Seguridad
dependencias pblicas u otros que del Material (MSDS, Material
puedan estar involucrados en el Safety Data Sheets) hayan sido
incidente. Esto incluye documentar recopiladas como lo requiere el
sistemas, servicios pblicos y Derecho a Saber (Right to
equipos, as como asegurarse de Know) o las regulaciones de
que personas competentes estn Comunicacin de Condiciones
disponibles para manejar los Inseguras y que las hojas estn
sistemas, segn sea requerido por accesibles de inmediato para
el incidente o cuando sea ordenado el personal de respuesta de
por el comandante del incidente. emergencia.
3. Establecer capacidades, planes 2. Establecer capacidades cuando
documentados y proveer los as lo requieran las regulaciones y
recursos necesarios para proveer los recursos necesarios
estabilizar incidentes identificaros para minimizar los impactos
que tengan el potencial para daar potenciales al medio ambiente
los activos, o interrumpir o alterar de los peligros identificados.
las operaciones de negocio. La Estos eventos pueden resultar en
meta es proteger de manera derrames de materiales peligrosos,
segura las instalaciones, equipos y roturas de tuberas o tanques,
contenidos, as como minimizar los fallos de los sistemas de proceso
daos durante o despus de que que liberen materiales peligrosos, o
se tomen acciones para proteger la prdidas de contenedores.
seguridad de vida.
3. Documentar los sistemas de
4. Establecer capacidades, planes proceso, tanques, tuberas y/o
documentados y proveer recursos contenedores de materiales
(internos o externos) para peligrosos; establecer
salvamento, limpieza y mitigacin procedimientos para prevenir
de las prdidas despus de un derrames o fugas; desarrollar
incidente que cause daos en las planes para estabilizar un incidente;
instalaciones. y asegurarse de que personas
5. Coordinarse o establecer competentes estn disponibles
enlaces con los operadores de para trabajar en conjunto con la
infraestructuras crticas (e.g., gerencia del edificio, dependencias
caminos, puentes, servicios pblicas (e.g., equipos de
pblicos, etc.) para proveer respuesta especialistas en
informacin respecto a las materiales peligrosos), contratistas,
capacidades, disponibilidad y u otros que pudieran estar
restauracin de la infraestructura involucrados con el incidente.
requerida para operar la
instalacin.
DRI International
iv. Comunicacin de Crisis 6. Recomendar el desarrollo y ayudar con la

1. Coordinar la planeacin de implementacin de un sistema de manejo
comunicacin de crisis entre el de incidentes para el mando, control y
plan de preparacin y respuesta coordinacin del personal y los recursos
de emergencia y la organizacin durante una emergencia.
de emergencia con el Programa a. Sistema de Manejo de Incidentes
de Comunicacin de Crisis y el i. Desarrollar y ayudar con la
equipo de comunicacin de crisis implementacin del sistema de
descrito en la Prctica Profesional manejo de incidentes que defina
8 Comunicacin de Crisis. puestos organizacionales, roles,
2. Identificar un vocero autorizado lneas de autoridad, sucesin de
por la gerencia que sea capaz de la autoridad y responsabilidades
hablar a nombre de la organizacin de los recursos internos y externos
a las audiencias locales como parte (e.g., unidades corporativas/de
de una postura de informacin negocio, departamentos, gerentes,
pblica del sistema de manejo supervisores, dependencias pblicas,
de incidentes y como parte de contratistas, etc.).
cualquier centro de informacin ii. Protocolos y procedimientos para
coordinado con las dependencias el escalamiento; la contratacin de
pblicas. servicios adicionales internos y
v. Evaluacin de Daos externos; y la adquisicin de recursos
1. Los planes de preparacin y adicionales debera ser abordada
respuesta de emergencia deberan dentro del sistema de manejo de
incluir procedimientos para el incidentes.
anlisis de la situacin y para la iii. El sistema debera incluir polticas y
evaluacin de daos de acuerdo procedimientos para la activacin del
al sistema de manejo de incidentes sistema de manejo de incidentes,
de la entidad. apertura del centro de operaciones
2. Identificar personas calificadas con de emergencia, comunicaciones y
conocimiento de la organizacin y coordinacin con el comandante del
de sus instalaciones y operaciones incidente en sitio, y la coordinacin
para evaluar la interrupcin/ de las actividades de preparacin
alteracin de operaciones y daos y respuesta de emergencia con
a los activos. las actividades de continuidad y
recuperacin.
3. Organizar un equipo de evaluacin
de daos y desarrollar un mtodo iv. El manejo de incidentes debera
para facilitar la identificacin incluir un anlisis situacional inicial y
rpida de daos y para evaluar peridico y debera ser guiado por un
la interrupcin/alteracin y los plan de acciones del incidente para
protocolos para la comunicacin alcanzar las metas de las acciones
de informes de la situacin de proteccin de seguridad de vida,
a la gerencia y aotros (e.g., proteccin de activos, continuidad de
organizacin de la continuidad negocio y recuperacin.
del negocio, equipo de manejo de
crisis, etc.).
b. Centro de Operaciones de Emergencia 7. Revisar y coordinar si los planes y

i. Un centro de operaciones de procedimientos de preparacin y respuesta
emergencia (EOC) fsico o virtual de emergencia han sido revisados por y
debera ser establecido y equipado coordinados con el personal de primera
para facilitar la coordinacin de las respuesta.
actividades de respuesta, continuidad a. Identificar los documentos (e.g.,
y recuperacin. prevencin de incendios, plan de manejo
ii. Capacidades de comunicacin (e.g., de materiales peligrosos, plan integral de
radios de dos vas, email, mensajes de contingencia, prevencin y contramedidas
texto, localizadores, comunicaciones de derrames, plan de manejo de riesgos
de voz y datos cableados o EPA - Environmental Protection Agency,
inalmbricos, etc.) necesarias para etc.) que deben ser entregados a las
dar soporte al manejo del incidente dependencias pblicas para cumplir con
deberan ser provistas dentro del EOC. las regulaciones.
Las capacidades de comunicacin b. Determinar si los planes de preparacin
deberan incluir la habilidad de obtener y respuesta de emergencia han sido
informacin de fuentes internas y entregados a las dependencias pblicas
externas, coordinar actividades, y (e.g., servicios de emergencia tales como
difundir instrucciones e informacin. el departamento de bomberos, servicios
iii. Las comunicaciones durante un mdicos de emergencia, servicios de
incidente deberan ser documentadas. rescate, equipo o contratista de respuesta
a materiales peligrosos, orden pblico,
iv. El EOC debera ser dimensionado
autoridades ambientales y otros cuerpos
para hospedar al nmero esperado
regulatorios) identificados en la Tabla 1
de personas; organizado para
para cumplir con los requisitos regulatorios
facilitar la recoleccin de informacin,
y otros (e.g., gerentes del edificio,
procesamiento, comunicaciones y
arrendatarios, etc.) con el propsito de
la toma de decisiones; y equipado
coordinacin.
para soportar su ocupacin durante
el tiempo del tipo de emergencias y c. Ayudar con la coordinacin de los
escenarios identificados. protocolos, planes y procedimientos de
respuesta con las dependencias pblicas
v. La seguridad para el EOC debera ser
y los recursos externos. La coordinacin
implementada.
debera incluir la respuesta a un incidente,
vi. Los procedimientos operacionales as como la coordinacin durante y
deberan incluir identificacin, la recuperacin despus del mismo.
asignacin y programacin de las Despus de un incidente, la autorizacin
personas para llevar a cabo las y acreditacin para tener acceso a las
funciones y las actividades del centro instalaciones debera ser determinada.
de operaciones de emergencia de
acuerdo con el sistema de manejo de
incidentes de la entidad.
vii. Los procedimientos operacionales
deberan incluir la administracin y la
operacin del EOC; protocolos de
comunicacin, procedimientos y flujo
de informacin; y el cierre del EOC.
DRI International
Tabla 1. Coordinacin de Planes con Dependencias Pblicas
Dependencia Plan a ser Revisado

Bomberos Local o municipal Evacuacin, incendio, materiales peligrosos, rescate, amenaza de
bomba, paquete sospechoso, eventos especiales
Comit Local de Local o regional Plan de respuesta ante materiales peligrosos
Planeacin de
Emergencias
Orden Pblico Local, municipal, o estatal Amenaza de bomba, paquete sospechoso, huelga, disturbio civil,
eventos especiales
Servicios Mdicos de Ambulancia, paramdicos, Emergencias mdicas, materiales peligrosos
Emergencia bomberos, servicios
privados
Manejo de Emergencias Local o municipal Huracn, tornado, terremoto, inundacin, desastres regionales
Prctica Profesional Seis

Desarrollo e Implementacin del
El Plan de Continuidad de Negocio es un conjunto ii.) Administrar el presupuesto para la

de procesos y procedimientos documentados implementacin de la estrategia.
que le permitirn a la entidad continuar o iii.) Reportar el progreso al Comit
recuperar los procesos sensibles al tiempo al Directivo.
mnimo nivel aceptable dentro de un marco de
iv.) Asegurarse de que las tareas
tiempo aceptable para la entidad. En esta fase del
requeridas para la implementacin del
Programa de Administracin de la Continuidad
plan sean completadas y que incluyan
del Negocio, los equipos relevantes disean,
lo siguiente:
desarrollan e implementan las estrategias de
continuidad aprobadas por la entidad, y tambin (1) Adquirir recursos especificados /
documentan los planes de recuperacin que planeados para la recuperacin
sern utilizados como respuesta a un incidente o / continuidad del negocio, e.g.
evento. equipo adicional, sistemas,
suministros, servicios, etc.
(2) Ejecucin de de los acuerdos
contractuales requeridos
Profesional Seis es el siguiente:
de respuesta/recuperacin/
1. Disear, desarrollar e implementar lo acordado restauracin/continuidad del
en cuanto a las estrategias de recuperacin negocio.
2. Disear el esquema de trabajo y definir la (3) Documentacin apropiada para
estructura para la documentacin del plan acceder al plan desarrollado.
3. Coordinar los esfuerzos de documentacin b) Trabajar con el equipo de planeacin
de los planes de recuperacin para las de tecnologa para disear, desarrollar
operaciones de la entidad y para la tecnologa e implementar estrategias para la
que las soporta recuperacin de la tecnologa de la
4. Publicar los documentos del plan entidad.
i.) Trabajar con los socios y proveedores
El Profesional de la Continuidad de tecnologa cuando sea apropiado.
del Negocio deber demostrar sus ii.) Administrar el presupuesto para la
conocimientos sobre esta prctica implementacin de la estrategia.
iii.) Reportar el progreso al Comit
1.) Disear, desarrollar e implementar lo acordado Directivo.
en cuanto a las estrategias de recuperacin. iv.) Asegurarse de que las tareas
a) Trabajar con el equipo de planeacin requeridas para la implementacin del
para disear, desarrollar e implementar plan sean completadas y que incluyan
estrategias de recuperacin para las lo siguiente:
operaciones de entidad.
i.) Trabajar con colegas del negocio y
proveedores cuando sea apropiado.
DRI International
Prctica Profesional Seis Desarrollo e Implementacin del Plan de Continuidad de Negocio
(1) Adquirir recursos especficos iii.) Tipos de planes a ser documentados,

especificados / planeados para la incluyen pero no estn limitados a:
recuperacin / continuidad del (1) Estratgicos incluyendo planeacin
negocio, e.g. equipo adicional, de sucesin
sistemas, proveedores, servicios,
(2) Tcticos
etc.
(3) Operacionales
(2) Ejecucin de de los acuerdos
contractuales sobre los requisitos (4) Respuestas de emergencia
de respuesta/recuperacin/ (5) Control de incidentes y
restauracin/tecnologa. evaluacin de daos
(3) Documentacin apropiada para (6) Continuidad y recuperacin
acceder al plan desarrollado. (7) Retorno-a-operaciones
2.) Disear el esquema de trabajo y definir la normales
estructura para la documentacin del plan. iv.) Los escenarios de planeacin a ser
a) Determinar cmo el plan ser organizado utilizados durante la documentacin del
e identificar los equipos necesarios para plan incluyen pero no estn limitado a:
documentar los planes. (1) Corto plazo (Falla de suministro
i.) Organizacin Decidir cmo ser menor a 1 mes)
organizado el plan. (2) Largo plazo (Falla de suministro
(1) En toda la empresa mayor a tres meses)
(2) Por sitio (3) Local (Sitio o campus
(3) Por lnea de negocio especfico)
(4) Por lnea de producto (4) Impacto regional
(5) Por servicio provisto (5) Impacto en toda la empresa
(6) Por tecnologa (6) Impacto potencial en cascada
ii.) Equipos individuos expertos b) Definir Roles y Responsabilidades para el

necesarios para documentar los Desarrollo del Plan.
procedimientos de recuperacin. i.) Identificar tareas a ser realizadas.
Incluyen pero no estn limitados a: ii.) Crear planes de accin / listas de
(1) Expertos del proceso de negocio verificacin para el desarrollo de plan.
de cada proceso que debe ser iii.) Definir cronograma para completar el
recuperado plan.
(2) Red de voz y datos iv.) Revisar, evaluar y recomendar
(3) Soporte de aplicacin herramientas, e.g. software de
(4) Administracin de planeacin, bases de datos, o
almacenamiento software especializado, plantillas, etc.
(5) Equipos v.) Desarrollar plantillas a ser utilizadas

para obtener informacin sobre los
(6) Recursos humanos
procesos, matrices y diagramas de
(7) Finanzas flujo de tecnologa.
(8) Servicios de impresin y correo vi.) Identificar otra documentacin de
(9) Administracin de proveedores soporte necesaria.
Administracin de registros vii.) Asegurar mecanismos integrados para
facilitar el mantenimiento, e.g. control
de versin.
c) Definir tabla de contenidos para la 4.) Locacin y activacin del Centro de

documentacin del plan el cual puede Operaciones de Emergencia (EOC)
incluir pero no est limitado a: b) Evaluacin de Daos
i.) Introduccin 1.) Informe inicial de evaluacin de daos
ii.) Declaracin de Polticas para apoyar el proceso de decisin
(1) Polticas de la Continuidad de 2.) Evaluacin completa de daos
Negocio a) Proteger el sitio de prdidas
(2) Declaracin de Confidencialidad adicionales
iii.) Alcance / Objetivos b) Economa de reparacin versus
(1) Alineados a la misin, metas y reposicin
objetivos de la organizacin, y a c) Tiempo de reparacin/reposicin
las polticas de continuidad de versus plan de activacin
negocio. d) Acuerdo sobre los mtodos de
(2) La Identificacin de las operaciones restauracin para los activos
sensibles al tiempo y la tecnologa de la empresa (e.g., equipos,
que las soporta cubiertas en este electrnicos, documentos, datos,
documento del plan. muebles, instalaciones, planta,
iv.) Supuestos/exclusiones hechas durante computadoras, etc.).
el proceso de planeacin e) Proceso de aprobacin para la
v.) Descripcin del equipo de restauracin y las implicaciones de
recuperacin, estructura garantas.
organizacional, y responsabilidades de f) Proceso de salvamento.
cada equipo. c) Manejo de Crisis y Plan de
vi.) Procedimientos para la activacin del Comunicaciones (ver tambin Prctica
plan Profesional 5 y 9)
(1) Notificacin de un evento 1.) Identificar el quipo de manejo de crisis.
(2) Proceso de evaluacin de un 2.) Procedimientos para la transicin de la
evento respuesta de emergencia al manejo de
(3) Procedimientos de declaracin crisis y continuidad de negocio.
(4) Procedimientos de escalamiento y 3.) Procedimientos documentados para
movilizacin la comunicacin a los participantes
durante un evento.
vii.) Procedimientos de Restauracin y
recuperacin a) Procedimientos de notificacin
3.) Coordinar los esfuerzos de documentacin b) Actualizaciones de estatus
de los planes de recuperacin para las c) Liberacin de informacin a los
operaciones de la entidad y para la medios de comunicacin
tecnologa que las soporta. d) Comunicacin dirigida
a) Plan de Emergencia / Plan de Manejo de (Participantes)
Incidentes (vea la Prctica Profesional 5) i) Medios de comunicacin
1.) Procedimientos de seguridad de vida ii) Empleados y sus familias
2.) Procedimientos de control y comando
de incidentes
3.) Roles y responsabilidades
DRI International
iii) Cuerpos regulatorios, personal 4.) Recursos requeridos

de primera respuesta en a) Requisitos de escritorio
emergencias, dependencias,
b) Registros vitales
servicios especiales para
materiales peligrosos c) Comunicaciones de voz y datos
iv) Relacin con inversionistas d) Contactos / proveedores clave
v) Relaciones laborales e) Requisitos de equipo
vi) Relaciones con otros grupos f) Plan de Continuidad de Negocio

involucrados (ejemplo(s) a) Maneras alternativas para conducir
incluyen a clientes, el negocio cuando los recursos
proveedores, suministros, etc.). normales no estn disponibles
d) Activacin del sitio de recuperacin. b) Procesos de continuidad de
1.) Procedimientos de declaracin negocio, procedimientos y
comunicaciones
2.) Infraestructura de recuperacin
provista que pueda incluir: c) Recursos alternos de movilizacin
a) Administracin/logstica d) Recursos alternos de

administracin
b) Nuevo equipo o entregas justo-a-
tiempo (just-in-time) g) Planes de Recuperacin de Tecnologa
c) Servicios y procedimientos (1) Tiempos de recuperacin

tcnicos, tales como (a) Primario y alternos
i) Redes de comunicacin (voz, (2) Recursos de movilizacin
datos, inalmbricas, etc.) (a) Logstica
ii) Preparacin de datos (iii)Soporte (i) Personal de viajes
de aplicacin (iv)Enlace con el y hospedaje para la
usuario final recuperacin
d) Operaciones de negocio (ii) Transporte de datos
e) Logstica y comunicaciones entre necesarios para la
sitios recuperacin
f) Procesos y procedimientos de (iii) Adquisicin de recursos
recuperacin de produccin adicionales
e) Planes Operacionales / de Recuperacin (3) Recursos Requeridos
1.) Equipos de Recuperacin (a) Requisitos de datos y
a) Primarios y alternos almacenamiento
2.) Logstica (i) SAN
3.) Personal de viajes y hospedaje para la (ii) NAS

recuperacin (iii) Cinta
a) Transporte de datos necesarios (b) Hardware de comunicaciones en
para la recuperacin voz y datos
b) Adquisicin de recursos adicionales (i) Red de banda ancha
(ii) Conmutador telefnico
(iii) Grabacin de llamadas
(iv) Enrutador
(c) Requisitos de hardware y (4) Plan de recuperacin de tecnologa

software (procesos de soporte)
(i) Servidor (a) Procedimientos detallados paso
(ii) Computadora central a paso para la recuperacin del
(Mainframe) ambiente tecnolgico
(iii) Discos de cintas/biblioteca (b) Interdependencias de
de cintas/ biblioteca virtual aplicaciones
de cintas (c) Administracin del cambio
(iv) Software de Aplicacin (d) Manejo de problemas
(v) Sistemas de operacin (e) Pruebas/Ejercicios/
(vi) Sistema de programacin Mantenimiento
Cdigo fuente (i) Requisitos de los ejercicios
(d) Requisitos de infraestructura (ii) Alcance, objetivos y
(i) Energa/PDU programa
(ii) Generador/UPS (iii) (iii) Programa de mantenimiento
Climatizacin (iv)Cableado del plan
(iii) (v) Distribucin (vi) 4.) Publicar los documentos del plan.
Seguridad a) Proveer un borrador final para los equipos
(e) Requisitos de seguridad de la de desarrollo del plan / dueos de proceso
informacin de negocio.
(i) Filtros (Firewalls) b) Obtener la autorizacin de la alta gerencia.
(ii) Autentificacin i.) Publicar y distribuir planes o porciones
de los planes a todo aquel que tenga
(iii) Proteccin anti virus
un rol documentado (La informacin
(iv) Encriptacin necesaria para que cada participante
(f) Contactos / proveedores clave cumpla con su rol).
(g) Requisitos de equipo c) Establecer procedimientos para la
distribucin y el control de los planes, e.g.
lista de distribucin.
d) Establecer procedimientos para la
distribucin y el control de los cambios y
actualizaciones del plan.
Prctica Profesional Siete

Programas de Concientizacin y Entrenamiento
En esta prctica profesional, se desarrolla e e. Alinear el entrenamiento BCM con las

implementa un programa para establecer y prioridades de recuperacin.
mantener la concientizacin acerca del Programa 2. Identificar los requisitos de concientizacin y
de Administracin de la Continuidad del Negocio entrenamiento funcionales.
(BCM) y para entrenar al personal de la entidad,
a. Identificar y documentar los roles y
de modo que estn preparados para responder
responsabilidades BCM que requieran
durante un evento.
entrenamiento.
b. Definir el nivel deseado de concientizacin
El Rol del Profesional en la Prctica con base en las responsabilidades.
Profesional Siete es el siguiente:
c. Identificar el nivel deseado de pericia
1. Establecer los objetivos del programa de que se desea alcanzar mediante el
concientizacin y entrenamiento BCM entrenamiento.
2. Identificar los requisitos de concientizacin y 3. Identificar las audiencias apropiadas internas
entrenamiento funcionales y externas.
3. Identificar las audiencias apropiadas internas a. Identificar y asignar prioridad a los
y externas grupos internos y a sus necesidades de
4. Desarrollar la metodologa para la concientizacin y entrenamiento.
concientizacin y el entrenamiento i. Gerencia.
5. Identificar, adquirir o desarrollar herramientas 1. Entrenamiento de manejo de
para la concientizacin y el entrenamiento incidentes.
6. Identificar oportunidades externas para la 2. Entendimientos de los
concientizacin y el entrenamiento componentes del programa BCM.
7. Supervisar la ejecucin de las actividades de ii. Miembros del equipo (incluyendo a
concientizacin y entrenamiento todos los empleados que estarn
involucrados en un nivel bsico).
El Profesional de la Continuidad 1. Cmo sern ellos notificados
del Negocio deber demostrar sus acerca de un evento.
conocimientos sobre esta prctica
2. Respuesta a amenazas o eventos
especficos.
1. Establecer los objetivos del programa de 3. Saber qu hacer cuando se realice
concientizacin y entrenamiento BCM. una evacuacin del sitio de trabajo.
a. Obtener el apoyo de la alta gerencia. 4. Tener conocimiento de los planes
b. Asegurar que se cuente con el de recuperacin y de sus roles.
presupuesto adecuado. 5. Orientacin a nuevos empleados.
c. Definir el enfoque para administrar 6. Entrenamiento especfico de sus
el programa, y los plazos para su roles.
implementacin.
d. Obtener el compromiso de los gerentes y
del personal operativo.
DRI International
Prctica Profesional Siete Programas de Concientizacin y Entrenamiento
b. Identificar y asignar prioridad a los grupos ii. Definir roles y responsabilidades para
externos objetivo. el entrenamiento.
i. Participantes clave. iii. Definir prioridad a los objetivos de
ii. Terceros. aprendizaje que definan el mensaje
BCM a ser asimilado.
4. Desarrollar la metodologa para la
Concientizacin y el Entrenamiento. iv. Seleccionar mtodos de orden y
ejecucin.
a. Llevar a cabo una evaluacin sobre
las necesidades de concientizacin y 5. Identificar, desarrollador o adquirir
entrenamiento. herramientas y recursos para la
concientizacin y el entrenamiento.
i. Llevar a cabo encuestas u otros
medios de evaluacin para conocer a. Identificar recursos internos para el
el estado actual de concientizacin y entrenamiento
preparacin. b. Contratar proveedores externos para el
ii. Obtener retroalimentacin a travs de entrenamiento
grupos de enfoque (focus groups). c. Comprar paquetes de software para
iii. Identificar tendencias y nuevos entrenamiento
desarrollos. d. Desarrollar e implementar un sitio web
iv. Revisar los resultados de pruebas/ BCM
ejercicios previos y de los anlisis de i. Utilizar las herramientas de las redes
brechas. sociales (LinkedIn, Facebook, Twitter,
b. Hacer un comparativo (benchmark) de YouTube, etc.)
los niveles actuales de concientizacin ii. Desarrollar y distribuir folletos con las
y preparacin en relacin con los niveles preguntas ms frecuentes
deseados. iii. Crear posters de concientizacin
c. Iniciar un plan para atender las brechas en iv. Comprar y distribuir artculos
la concientizacin y el entrenamiento. promocionales de concientizacin
d. Disear el proceso de entrenamiento. (imanes, plumas, linternas, etc.)
i. Identificar mtodos de entrenamiento. v. Desarrollar cursos de entrenamiento
1. Campaas de concientizacin. 6. Identificar oportunidades externas para la
2. Entrenamiento basado en la red. concientizacin y el entrenamiento.
3. Sitio en la red interna. a. Conferencias
4. Entrenamiento guiado por b. Seminarios
instructor. c. Grupos de usuarios y asociaciones
5. Entrenamiento basado en d. Artculos/publicaciones
escenarios. e. Redes regionales y grupos de trabajo
6. Guas y plantillas de instruccin. f. Grupos de trabajo de la industria
7. Informes ejecutivos, cartas, g. Entidades de certificacin
boletines, artculos.
h. Programas formales acadmicos de
8. Sesiones de entrenamiento al educacin
entrenador.
i. Eventos especiales de concientizacin
9. Ejercicios de continuidad y manejo
de incidentes.
Prctica Profesional Siete Programas de Concientizacin y Entrenamiento
7. Supervisar la ejecucin de las actividades de

concientizacin y entrenamiento.
a. Programar y realizar las actividades de
entrenamiento
b. Programar y llevar a cabo actividades de
concientizacin
c. Llevar un monitoreo de la efectividad
de las actividades de concientizacin y
entrenamiento
d. Revisar los resultados y elaborar un
informe de actividades para los lderes
Prcticas Profesionales for Business Continuity Practitioners
Prctica Profesional Ocho

Ejercicio, Auditora y Mantenimiento del
La meta de esta prctica profesional es El Profesional de la Continuidad
establecer un programa de ejercicios, pruebas, del Negocio debe demostrar sus
mantenimiento y auditora. Para continuar conocimientos sobre esta prctica
siendo efectivo, el Programa de Administracin profesional realizando lo siguiente:
de la Continuidad del Negocio (BCM) debe 1. Establecer un Programa de Ejercicios/
establecer un calendario regular de ejercicios Pruebas.
para desarrollar confianza de un desempeo
a. Desarrollar un programa de ejercicios que
predecible y repetible de las actividades de
cumpla con los objetivos de continuidad de
recuperacin en toda la organizacin. Como
la entidad.
parte del programa de administracin de cambios,
el seguimiento y la documentacin de estas i. Alinearse con la estrategia y los
actividades proveen una evaluacin continua requisitos tcticos de la entidad.
del estado de preparacin, y permite la mejora ii. Proveer un alto nivel de confianza
continua de las capacidades de recuperacin, de las operaciones de continuidad y
asegurando que los planes permanezcan recuperacin.
vigentes y relevantes. El establecimiento de un b. Obtener el patrocinio de la alta gerencia
proceso de auditora validar que los planes para el desarrollo del programa de
estn completos y precisos, cumpliendo con las ejercicios/pruebas.
metas de la organizacin y los estndares de la
c. Desarrollar un programa realista,
industria, segn aplique.
progresivo y costo/efectivo.
i. Documentar los estndares y
lineamientos que sern utilizados
Profesional Ocho es el siguiente:
durante para el ejercicio/prueba.
1. Establecer un Programa de Ejercicios/Pruebas ii. Definir supuestos y limitaciones del
2. Establecer un Programa para el programa de ejercicios/pruebas.
Mantenimiento del Plan iii. Identificar los tipos de ejercicios que
3. Identificar o establecer estndares apropiados sern incluidos y que integrarn un
de la industria y/u organizacin programa completo de ejercicios
4. Establecer un proceso de auditora del basado en las estrategias de
programa de continuidad de negocio recuperacin implementadas y
5. Comunicar resultados de ejercicios / pruebas / en el RTO y RPO definidos por la
auditoras y recomendaciones entidad para sus operaciones. Estos
pueden incluir ejercicios y pruebas
operacionales, de la instalacin y
tcnicos como:
1. Ejercicios de seguridad de vida
2. Recorrido del plan / revisin de
escritorio
3. Ejercicio de escritorio basado en
escenarios
DRI International
Prctica Profesional Ocho Ejercicio, Auditora y Mantenimiento del Plan de Continuidad de Negocio
4. Llamada de notificacin c. Logstica - La gente

5. Ejercicio en sitio alterno puede acceder al sitio de
recuperacin y llevar a
6. Ejercicio Independiente:
cabo sus procedimientos de
Plataforma, infraestructura o
recuperacin?
prueba de recuperacin de
aplicacin. d. Marcos de tiempo - Pueden
lograrse los RPO/RTO
7. Ejercicio completo funcional de
requeridos?
principio a fin de una operacin o
tecnologa. vi. Determinar los requisitos del ejercicio
para cada uno de los ejercicios a ser
8. Ejercicio completo de todas las
realizado.
estrategias de recuperacin
requeridas para recuperar 1. Definir y documentar los objetivos
las operaciones y tecnologas de los ejercicios
sensibles al tiempo par a una 2. Definir y documentar los requisitos
ubicacin. dentro y fuera de alcance
9. Ejercicio integral de tecnologa 3. Definir el proceso de notificacin
con interdependencias internas y del ejercicio.
externas. a. Anunciado/planeado
iv. Identificar participantes, roles y b. No anunciado/sorpresivo
responsabilidades en el programa de
vii. Programar los ejercicios/pruebas que
ejercicios/pruebas.
se llevarn a cabo.
1. Equipo(s) de Recuperacin
1. Desarrollar un programa progresivo
2. Observadores/reporteros multi-anual construyendo sobre
3. Cronometristas las lecciones aprendidas y sobre
4. Auditores/supervisores lo ya dominado del proceso de
recuperacin.
5. Facilitador
2. Desarrollar un programa especfico
6. Proveedores
para los ejercicios y pruebas a ser
7. Proveedores de servicios sub- realizados durante el ao o con la
contratados frecuencia necesaria para asegurar
v. Definir los objetivos del programa de la competencia y el cumplimiento
ejercicios y seleccionar los escenarios de los requisitos regulatorios.
apropiados. viii. Definir y documentar los criterios de
1. Simular los tipos de incidentes evaluacin alineados con los objetivos
que una organizacin pudiera y el alcance del ejercicio:
experimentar. Incluir actividades 1. Cuantitativos
adecuadas para ejercitar varias
2. Cualitativos
facetas de las estrategias de
recuperacin, por ejemplo: ix. Identificar actividades previas a los
ejercicios
a. Tcnica: - Funciona el equipo?
1. Identificar los recursos necesarios
b. Procedimental Son correctos
para llevar a cabo el ejercicio.
los procedimientos?
2. Identificar a los participantes
(ejemplo(s): contactos de unidades
de negocio, representantes de TI,
rbitros, mediadores, etc.).
3. Asegurarse de que todos entiendan 2. Informe posterior al ejercicio.

los objetivos del ejercicio y sus 3. Proveer un resumen completo con
respectivos roles. recomendaciones.
4. Proveer un inventario de 4. Documentar el informe de plan de
hardware, software y activos accin.
fsicos requeridos para el ejercicio
5. Identificar aspectos pendientes.
(ejemplo: PC/laptop, Control de
acceso, telfono, aplicaciones, 6. Identificar los elementos de accin
impresoras, etc.). con responsabilidades y los marcos
de tiempo para su resolucin.
5. Documentar y comunicar las
especificaciones para el ambiente 7. Monitoreo (y escalamiento cuando
del ejercicio. sea necesario) del progreso para
completar las acciones acordadas.
6. Especificar ambientes de
produccin vs. ambientes de 8. Comunicar los resultados del
prueba. ejercicio.
7. Tiempo de la prueba da laboral 9. Documentar las lecciones

vs. fin de semana. aprendidas.
8. Proveer un cronograma de los 10. Documentar los resultados

eventos y circularlo a todos esperados versus los resultados
los participantes, facilitadores y actuales.
mediadores. 11. Documentar los resultados
9. Establecer una retirada o un inesperados.
plan de cancelacin de la prueba/ 2. Establecer un Programa para el
ejercicio. Mantenimiento del Plan.
x. Llevar a cabo el ejercicio. a. Definir un mtodo y un programa de
1. Si ocurriera un incidente durante mantenimiento del plan.
el ejercicio se debe contar con un i. Definir el dueo del plan.
mecanismo predeterminado para ii. Preparar programas de mantenimiento
cancelar el ejercicio e invocar el y revisin de los procedimientos.
proceso actual de continuidad. iii. Seleccionar herramientas de
2. Registrar el proceso del ejercicio. mantenimiento.
3. Documentar los resultados del iv. Monitoreo de las actividades de
ejercicio mediante la activacin mantenimiento.
y mantenimiento del la lista de v. Establecer el proceso de
pendientes. actualizaciones del plan.
4. Declarar el fin del ejercicio. vi. Asegurarse de que el mantenimiento
5. Terminar los procedimientos. del plan programado atienda todas las
6. Llevar a cabo las actividades de recomendaciones documentadas.
limpieza. b. Definir el proceso del control de cambios
xi. Identificar actividades posteriores al i. Analizar los cambios de negocio y sus
ejercicio. implicaciones en la planeacin.
1. Conducir una sesin informativa ii. Desarrollar procedimientos de control
para revisar los resultados del de cambios para el monitoreo (utilizar
ejercicio e identificar acciones para los procesos existentes de control de
la mejora. cambios, si es que existen).
DRI International
iii. Crear un control apropiado de c. Documentar los estndares y lineamientos

versiones; desarrollar una re-edicin de las auditoras.
del plan; distribucin y procedimientos i. Seleccionar/desarrollar cualesquier
de circulacin. herramientas necesarias para la
iv. Identificar listas de distribucin del plan auditora.
para su circulacin. ii. Establecer un programa de auditoras.
v. Desarrollar un proceso para la iii. Realizar/hacer un monitoreo de las
actualizar los planes con base en las actividades de auditora.
respuestas a los hallazgos de las
iv. Auditar las estructuras, contenidos y
auditoras.
secciones de accin del plan.
vi. Establecer lineamientos para la
1. Auditar los requisitos, documentos
retroalimentacin de los cambios hacia
y estndares del programa.
la funcin de planeacin.
2. Auditar las plantillas y el plan.
vii. Implementar un proceso para el control
de cambios. 3. Auditar los requisitos y resultados
de pruebas.
3. Identificar o establecer estndares apropiados.
4. Auditar el resguardo del plan y
a. Revisar la industria apropiada (NFPA, ISO,
resultados del ejercicio.
ANSI, etc.) y los estndares nacionales/
internacionales (estadounidenses, 5. Auditar los procedimientos de
britnicos, australianos, etc.) control de la documentacin del
plan.
b. Revisar las expectativas del dueo del
proceso con base en los estndares de la 6. Auditar los procesos de control de
industria y de la organizacin, as como en versiones y documentacin.
las expectativas de servicio al cliente. 7. Auditar las listas de distribucin y
c. Desarrollar un estndar organizacional con los procesos asociados.
una revisin recurrente y un proceso de 8. Auditar los procesos de control de
mejora continua. cambios.
d. Con base en los estndares de la industria v. Revisar la respuesta de la gerencia a
y/o nacionales/internacionales, as como los hallazgos de la auditora.
en las expectativas de la organizacin y/o vi. Confirmar que las respuestas hayan
de los clientes. sido realizadas y que los planes de
e. Frecuencia y alcance apropiados para la accin se hayan documentado.
organizacin. vii. Verificar que las acciones completadas
f. Aprobacin de los lderes. hayan sido capturadas en la
4. Establecer un proceso de auditora del documentacin del plan y de soporte.
programa de continuidad de negocio. 5. Comunicar resultados y recomendaciones de
a. Definir fechas para una auditora interna. ejercicios/pruebas/auditorias.
b. Prepararse para apoyar otras auditoras a. Identificar a los participantes apropiados.

que se pudieran realizar. i. Dueos de proceso
i. Auditora interna ii. Coordinadores de gobierno corporativo
ii. Auditora externa iii. Supervisin de la alta gerencia/
iii. Auditora de una entidad relacionada operaciones
con la organizacin
b. Seleccionar los mtodos de comunicacin

apropiados y comunicar de manera
oportuna.
i. Reportar nivel de detalle
ii. Cuando sea apropiado, considerar
presentaciones grficas o informes
comparativos diseados para cada
audiencia.
c. Establecer un crculo de retroalimentacin/
validacin con el fin de confirmar que
las acciones apropiadas hayan sido
ejecutadas como un resultado de los
hallazgos reportados.
i. Rastreo de asuntos
ii. Fecha de apertura del elemento
iii. Responsable del asunto
iv. Fecha de clausura del elemento
Prctica Profesional Nueve

Comunicacin de Crisis
Esta prctica profesional provee el marco de i. Definir objetivos, alcance y estructura

trabajo para identificar, desarrollar, comunicar del plan
y ejercitar el plan de comunicacin de crisis, ii. Revisar el plan actual de comunicacin
que definir cmo sern manejadas las de crisis de la organizacin
comunicaciones por la entidad antes, durante y
iii. Identificar y documentar brechas en el
despus de un evento. El plan de comunicacin
plan actual
de crisis es desarrollado en colaboracin con el
rea de informacin pblica de la entidad y los iv. Utilizando los resultados de la
recursos internos de informacin, para asegurar Evaluacin de Riesgos en la Prctica
la consistencia de las comunicaciones de la Profesional 2, identificar eventos
entidad. El plan atender la necesidad de una potenciales para los que debera
comunicacin efectiva y oportuna entre la entidad planear comunicaciones
y todos los participantes impactados por un v. Establecer roles y responsabilidades
evento o involucrados durante los esfuerzos de para el equipo de comunicacin de
respuesta y recuperacin. crisis
1. Utilice el EOC como una ubicacin
El Rol del Profesional en la Prctica para controlar que mensaje se
Profesional Nueve es el siguiente: enva y cundo
1. Disear, desarrollar e implementar un 2. Informacin interna
programa de comunicacin de crisis 3. Informacin Pblica
2. Comunicar y entrenar a los participantes en 4. Vocero ante medios
sus roles y responsabilidades en el plan de 5. Identificar a los participantes a ser
comunicacin de crisis considerados durante el desarrollo
3. Ejercitar el plan de comunicacin de crisis del plan de comunicacin de crisis
4. Actualizar el plan de comunicacin de crisis y el vocero apropiado para cada
como se defini en la Prctica Profesional 8. participante
6. Empleados y sus familias
El Profesional de la Continuidad 7. Clientes
del Negocio deber demostrar sus 8. Vendedores y proveedores
conocimientos sobre esta prctica 9. Consejeros
10. Inversionistas
1. Disear, desarrollar e implementar un
11. Medios de comunicacin
programa de comunicacin de crisis.
12. Lderes de la comunidad
a. Identificar la informacin pblica existente,
as como los recursos internos de 13. Operaciones subcontratadas
informacin dentro de la entidad 14. Autoridades locales de respuesta
b. Colaborar con el rea de informacin 15. Reguladores
pblica y con los recursos internos de 16. Organizaciones laborales
informacin para disear el plan
17. Competidores
18. Autores de blogs de la industria
DRI International
Prctica Profesional Nueve Comunicacin de Crisis
c. Determinar cmo los participantes sern i. Desarrollar lineamientos para las

notificados sobre un incidente rpidamente comunicaciones con el equipo de
y efectivamente. respuesta de emergencia de la entidad.
d. Proveer lineamientos dentro del plan j. Preparar mensajes pre-diseados con
para determinar la frecuencia de base en los posibles eventos.
comunicaciones necesarias hacia cada k. Documentar el plan.
participante antes, durante y despus de
2. Comunicar y entrenar a los participantes para
un evento
llevar a cabo sus roles y responsabilidades
e. Identificar los mtodos ms efectivos definidas previamente en el plan de
para comunicarse con los participantes comunicacin de crisis.
identificados antes, durante y despus de
a. Distribuir el plan de comunicacin de crisis a
un evento
todo aquel que tenga un rol dentro del plan.
i. Sistemas de notificacin
b. Proveer entrenamiento a aquellos que
ii. Correos electrnicos y listas grupales tengan un rol dentro del plan.
de distribucin
i. Proveer entrenamiento sobre manejo
iii. Conferencias telefnicas de medios a la persona que se
iv. Intranet comunicar con los mismos.
v. Conferencia de prensa c. Comunicarse con los participantes internos
vi. Lnea telefnica de informacin del acerca del plan.
evento i. Mtodos de comunicacin disponibles
vii. Medios masivos de comunicacin y cmo sern utilizados para
notificaciones.
1. Prensa
ii. Cmo responder a las notificaciones.
2. Radio
iii. Cmo responder a solicitud de
3. TV
informacin de fuentes externas.
4. Internet
iv. Dnde obtener informacin.
5. Redes sociales
3. Ejercitar el Plan de Comunicacin de Crisis.
a. Facebook
a. Establecer el programa del plan
b. Twitter de comunicacin de crisis que sea
c. LinkedIn consistente con los lineamientos de la
d. Blogs Prctica Profesional 8.
f. Establecer lineamientos para la rpida i. Considerar llevar a cabo un ejercicio
identificacin del contexto de un evento, durante otros ejercicios BCM.
as como sus impactos potenciales y los b. Determinar mtodos para probar el plan de
participantes involucrados. comunicacin de crisis.
g. Establecer lineamientos para la c. Desarrollar escenario, alcance y objetivos
comunicacin inicial que debe realizarse para cada ejercicio.
despus de un evento, as como las d. Llevar a cabo una sesin de lecciones
consecuencias previstas (y las potenciales aprendidas despus de un ejercicio y
no previstas). documentar los elementos de accin.
h. Identificar y asignar miembros para 4. Actualizar el plan de comunicacin de crisis
los equipos de comunicacin de crisis con base en los resultados de los ejercicios y
identificados en el plan. acorde con el programa de mantenimiento del
plan establecido en la Prctica Profesional 8.
Prctica Profesional Diez

Coordinacin con Dependencias Externas
Esta prctica profesional define la necesidad b. Identificar dependencias regulatorias que

de establecer polticas y procedimientos para tengan jurisdiccin sobre las instalaciones
coordinar actividades de respuesta, continuidad y operaciones de la organizacin. Las
y recuperacin con las dependencias externas, dependencias pueden incluir a los
a nivel local, regional y nacional, a la vez que guardias de seguridad del edificio,
asegura el cumplimiento con los estatutos y bomberos, fuerzas del orden pblico,
regulaciones aplicables. regulacin del medio ambiente, cdigos
obligatorios, manejo de emergencias,
El Rol del Profesional en la Prctica seguridad nacional, reguladores de la
Profesional Diez es la siguiente: industria y otras.
c. Identificar la autoridad de las
1. Identificar y establecer procedimientos de
dependencias regulatorias con autoridad
preparacin y respuesta de emergencia con
para ordenar una evacuacin regional, del
base en la Prctica Profesional Cinco
sitio o del edificio, y si es posible, obtener
2. Identificar las regulaciones aplicables de las credenciales para el acceso prioritario
preparacin y respuesta de emergencia, a las instalaciones despus de ocurrir un
as como las dependencias que tengan incidente.
jurisdiccin sobre las instalaciones y
d. Identificar los requisitos para la
operaciones de la organizacin
presentacin de informacin sobre las
3. Coordinar procedimientos de preparacin instalaciones (i.e., planes pre-incidente)
y respuesta de emergencia con las incluyendo una descripcin del uso
dependencias externas del edificio, peligros, construccin del
edificio, sistemas de suministro, sistemas
El Profesional de la Continuidad del de proteccin, y procedimientos de
Negocio demostrar su conocimiento preparacin y respuesta de emergencia.
sobre esta prctica profesional al realizar e. Identificar los requisitos para las
lo siguiente: inspecciones peridicas de las
1. Identificar y establecer procedimientos de instalaciones; observancia de pruebas
preparacin y respuesta de emergencia con de los sistemas y/o equipos del edificio;
base en la Prctica Profesional Cinco. realizacin de simulacros de evacuacin
2. Identificar las regulaciones aplicables de o de refugio; y el alcance y la frecuencia
preparacin y respuesta de emergencia, requerida para el entrenamiento y los
as como las dependencias que tengan ejercicios.
jurisdiccin sobre las instalaciones y f. Identificar requisitos, umbrales (e.g.
operaciones de la organizacin. cantidad o duracin), y marcos de tiempo
a. Identificar regulaciones aplicables de la para el reporteo obligatorio de incidentes,
preparacin y respuesta de emergencia incluyendo deficiencias en los sistemas
de acuerdo a la Prctica Profesional 5. de proteccin, incendios, lesionados,
fatalidades, derrame de materiales
peligrosos y otras situaciones o incidentes.
DRI International
Prctica Profesional Diez Coordinacin con Dependencias Externas
g. Desarrollar o actualizar procedimientos de e. Invitar al personal de primera respuesta

preparacin y respuesta de emergencia a conocer las instalaciones de la
para que cumplan con las leyes, organizacin para desarrollar un plan pre-
regulaciones, ordenanzas y requisitos de incidente.
las dependencias regulatorias. f. Identificar y documentar roles y
h. Difundir la informacin a la gerencia y a los responsabilidades de preparacin y
miembros del equipo apropiados. respuesta de emergencia, para los tipos
3. Coordinar procedimientos de preparacin de emergencias, escenarios e impactos
y respuesta de emergencia con las identificados en la Prctica Profesional 5.
dependencias externas. g. Desarrollar procedimientos para establecer
a. Identificar al personal de primera un puesto de mando del incidente donde
respuesta para las instalaciones de la las dependencias de respuesta puedan
organizacin. El personal de primera reunirse con el comandante del incidente
respuesta puede ser llamado para de la organizacin. Documente el rol y
combatir incendios, derrames o fugas de las responsabilidades del personal de
materiales peligrosos, rescate, servicio la organizacin que trabaja dentro del
mdicos de emergencia, asuntos del orden sistema de manejo de incidentes que
pblico, falta de algn servicio pblico o utilice. (Vea la Prctica Profesional 5).
situaciones que afecten el acceso a las h. Coordinar, dirigir y/o participar en
instalaciones o los servicios de transporte entrenamientos, simulacros y ejercicios
(e.g., carreteras, puentes, tneles o con el personal de primera respuesta
espuelas privadas de ferrocarril). El con el fin de cumplir con las regulaciones
personal de respuesta puede ser pblico, y segn se requiera, establecer las
contratado, voluntario o ser provisto como capacidades requeridas o requeridas por
parte de un acuerdo de ayuda mutua o el personal de primera respuesta.
sociedad. i. Realizar una reunin para un informe
b. Evaluar la disponibilidad (e.g., tiempo de ejecutivo inmediatamente despus de
respuesta) y capacidades del personal entrenamientos, simulacros y ejercicios, y
de primera respuesta de acuerdo a la documentar las acciones a ser tomadas
Prctica Profesional Cinco.Evaluacin de para mejorar las capacidades de
Necesidades. preparacin y respuesta de emergencia.
c. Desarrollar y documentar los j. Documentar el ejercicio y las mejoras al
procedimientos de alerta de emergencia plan y proveer copias a la gerencia y a los
(i.e., alarmas de incendio automticas, miembros del equipo
telfono, etc.) y protocolos o requisitos k. Actualizar los planes de preparacin y
de notificacin (reporte obligatorio de respuesta de emergencia utilizando el
derrames, lesionados, etc.). plan mejorado y las lecciones aprendidas
d. Identificar a los representantes de las en los entrenamientos, simulacros y
dependencias de primera respuesta y ejercicios
establecer un dilogo abierto.
Coordinacin de Planes con Dependencias Pblicas

Dependencia Plan a ser Revisado
Bomberos Local o municipal Evacuacin, incendio, materiales peligrosos, rescate, amenaza de
bomba, paquete sospechoso, eventos especiales
Comit Local de Local o regional Plan de respuesta ante materiales peligrosos
Planeacin de
Emergencias
Orden Pblico Local, municipal, o estatal Amenaza de bomba, paquete sospechoso, huelga, disturbio civil,
eventos especiales
Servicios Mdicos de Ambulancia, paramdicos, Emergencias mdicas, materiales peligrosos
Emergencia bomberos, servicios
privados
Manejo de Emergencias Local o municipal Huracn, tornado, terremoto, inundacin, desastres regionales

Professional Practices SP 0215

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Professional Practices SP 0215

Cargado por

Copyright:

Formatos disponibles

Prcticas

Mantenido por DRI International

1. Inicio y Administracin del Programa 5. Preparacin y Respuesta de

4. Estrategias de Continuidad del Negocio

8. Ejercicio, Auditora y Mantenimiento del

10. Coordinacin con Dependencias

Prctica Profesional Uno

Establecer la necesidad de un programa BCM c. Identificar y resuelva cualquier conflicto

2. Obtener el Apoyo de los Lderes/Gerencia 3. Coordinar y Administrar la Implementacin del

e. Realizar un monitoreo del estatus de h. Informar a la alta gerencia/lderes el

Prctica Profesional Dos

El objetivo de esta prctica profesional es 6. Documentar y presentar la evaluacin

2. Identificar, desarrollar e implementar b. Identificar exposiciones a riesgos de fuentes

d. Determinar la credibilidad de las fuentes de a. Desarrollar un mtodo para evaluar

c. Evaluar los riesgos y identificados d. Identificar y evaluar la efectividad de los

c. Establecer escenarios de interrupcin 4. Identificar la necesidad para

7. Documentar y presentar la evaluacin de

Prctica Profesional Tres

Durante las actividades de esta prctica Nota: Mientras que al Profesional de la

4. Obtener la aprobacin de los lderes de d) Cul ser el impacto en los niveles

iv) Deducibles de seguro 6.) Impacto humano

(e) Requisitos de recursos mnimos (iii) Equipamiento

iv. Elaborar un informe borrador para los

Prctica Profesional Cuatro

vi. Subcontratar completamente el medio iii. Desventajas

ix. Identificar estrategias para la a. Identificar dnde podra ser utilizada la

Prctica Profesional Cinco

Esta prctica profesional define los requisitos para El Profesional de la Continuidad

3. Identificar las capacidades de respuesta c. Capacidades necesarias para prevenir la

v. Contactar a dependencias pblicas f. Revisar los planes de respuesta de

c. Solicitar el apoyo y compromiso de la 4. Rendicin de cuentas Establecer

2. Establecer capacidades para iii. Proteccin del Medio Ambiente

iv. Comunicacin de Crisis 6. Recomendar el desarrollo y ayudar con la

b. Centro de Operaciones de Emergencia 7. Revisar y coordinar si los planes y

Tabla 1. Coordinacin de Planes con Dependencias Pblicas

Dependencia Plan a ser Revisado

Prctica Profesional Seis

El Plan de Continuidad de Negocio es un conjunto ii.) Administrar el presupuesto para la

(1) Adquirir recursos especficos iii.) Tipos de planes a ser documentados,

(4) Por lnea de producto (4) Impacto regional

(5) Por servicio provisto (5) Impacto en toda la empresa

(6) Por tecnologa (6) Impacto potencial en cascada

ii.) Equipos individuos expertos b) Definir Roles y Responsabilidades para el

(5) Equipos v.) Desarrollar plantillas a ser utilizadas

c) Definir tabla de contenidos para la 4.) Locacin y activacin del Centro de

iii) Cuerpos regulatorios, personal 4.) Recursos requeridos

iv) Relacin con inversionistas d) Contactos / proveedores clave

v) Relaciones laborales e) Requisitos de equipo

vi) Relaciones con otros grupos f) Plan de Continuidad de Negocio

a) Administracin/logstica d) Recursos alternos de

c) Servicios y procedimientos (1) Tiempos de recuperacin

2.) Logstica (i) SAN

3.) Personal de viajes y hospedaje para la (ii) NAS

(c) Requisitos de hardware y (4) Plan de recuperacin de tecnologa

Prctica Profesional Siete

En esta prctica profesional, se desarrolla e e. Alinear el entrenamiento BCM con las

7. Supervisar la ejecucin de las actividades de

Prctica Profesional Ocho

4. Llamada de notificacin c. Logstica - La gente

3. Asegurarse de que todos entiendan 2. Informe posterior al ejercicio.

7. Tiempo de la prueba da laboral 9. Documentar las lecciones

8. Proveer un cronograma de los 10. Documentar los resultados

iii. Crear un control apropiado de c. Documentar los estndares y lineamientos

b. Prepararse para apoyar otras auditoras a. Identificar a los participantes apropiados.