Documentos de Académico
Documentos de Profesional
Documentos de Cultura
documento, haga click o coloque el ratón sobre el texto marcado. En Conformio, esos comentarios
sólo están visibles al usar la opción Editar en línea.] Commented [DK1]: Para aprender a completar este
documento consulte el tutorial en vídeo “How to Write Business
Continuity Strategy According to ISO 22301”:
- Si ha comprado el paquete, lo encontrará en el Portal del Cliente
ISO 27001 & ISO 22301: https://epps.customerhub.net/
- Si usted no ha comprado el paquete, aquí encontrará una vista
previa del tutorial:
https://advisera.com/27001academy/tutorial/documentation-
tutorial-how-to-write-business-continuity-strategy-according-to-
iso-22301/
Commented [DK2]: Conozca más acerca de la estrategia de
continuidad del negocio aquí: ¿Puede ahorrar dinero con una
estrategia de continuidad del negocio?
https://advisera.com/27001academy/blog/2010/03/15/can-
business-continuity-strategy-save-your-money/
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de
confidencialidad:
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
Historial de modificaciones
Fecha Versión Creado por Descripción de la modificación
Tabla de contenido
1. OBJETIVO, ALCANCE Y USUARIOS ........................................................................................................3
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
Este documento se aplica a todo el alcance del SGCN, según se define en la Política de la gestión de
continuidad del negocio.
Los usuarios de este documento son miembros de la alta dirección y personas que implementan el
proyecto de gestión de la continuidad del negocio.
2. Documentos de referencia
Norma ISO 22301, puntos 8.3 y 8.4.2
Norma BS 25999-2, puntos 4.1.1 y 4.2
Política de la gestión de continuidad del negocio
Cuestionarios sobre el análisis del impacto en el negocio
[Documento de evaluación de riesgos]
[Documento de tratamiento de riesgos]
Plan de continuidad del negocio que contiene el Plan de respuesta a los incidentes y los
planes de recuperación.
3. Datos de la estrategia
Esta estrategia está redactada en base a los resultados del Análisis del impacto en el negocio y de la
evaluación y tratamiento del riesgo.
El Análisis del impacto en el negocio establece que [especificar cuántas] actividades sostienen a los
productos y servicios clave (consultar el Apéndice 1 para obtener una lista de esas actividades).
El período máximo tolerable de interrupción (interrupción máxima aceptable) para cada actividad ha
sido determinado en el Cuestionario sobre el análisis del impacto en el negocio (consultar el
Apéndice 2).
El Apéndice 3 determina los objetivos de tiempo de recuperación para cada actividad tomando en
cuenta las dependencias con otras actividades.
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
La evaluación de riesgos que pueden afectar la continuidad del negocio se detalla en [nombre del
documento]. Los mayores riesgos que podrían producir un incidente disruptivo, es decir, una
interrupción del negocio identificada durante la evaluación de riesgos, son los siguientes:
Aplicar medidas preventivas para reducir la probabilidad de tales incidentes (las acciones se
detallan en [nombre del documento]. Commented [DK6]: Si la evaluación de riesgos fue realizada de
acuerdo a la metodología de la norma ISO 27001, el documento se
Aplicar medidas preventivas para minimizar las posibles consecuencias de tales incidentes llama "Plan de tratamiento del riesgo".
(estas acciones también se detallan en [nombre del documento].
Preparar escenarios de eventos que describan cómo esos incidentes afectarían el
funcionamiento de la organización (los escenarios están detallados en el Apéndice 4 de esta
Estrategia y deben ser utilizados más adelante para los planes de prueba.
Definir en el Plan de respuesta a los incidentes la forma adecuada para responder a cada uno
de los incidentes.
El Gabinete de crisis está dirigido por el Gerente de crisis. El [cargo] cumplirá la función de Gerente Por ejemplo, deben estar presente las siguientes capacidades:
de crisis; en caso de estar ausente, la función será realizada por el [cargo]. - persona que manejará la comunicación con las diversas partes
interesadas (incluidos los medios masivos)
- persona que se hará cargo de la seguridad de la vida de los
El Gabinete de crisis gestiona el incidente disruptivo desde una instalación denominada Centro de empleados
- persona que está autorizada a adquirir todos los recursos
crisis, cuya ubicación se especifica en el punto 5.1 de esta Estrategia. necesarios en un corto plazo
- persona que coordinará la recuperación de varias actividades
4.1.2. Gabinete de apoyo de crisis Commented [DK9]: Generalmente es alguien con la antigüedad
y nivel de autoridad adecuados.
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
[secretarios/as]
[mensajeros]
[personal de seguridad]
[personal para reparación de equipos no sean de TI]
[otro personal de apoyo]
Para que puedan funcionar el Gabinete de crisis y el Gabinete de apoyo de crisis, el Centro de crisis
debe estar equipado de la siguiente manera:
Nombre del recurso Descripción Cantidad Cuándo es necesario el Commented [DK10]: Según la cantidad de miembros del
recurso Gabinete de crisis y, en caso de ser necesario, del Gabinete de
apoyo de crisis.
Aplicaciones / bases de
datos:
Datos almacenados en
formato electrónico:
Estrategia de continuidad [dentro de las 2 horas]
del negocio y planes para
todas las actividades
Datos almacenados en
papel:
Estrategia de continuidad inmediatamente
del negocio y planes para
todas las actividades
Equipos de TI y
comunicaciones:
Estaciones de trabajo [dentro de las 2 horas]
Teléfonos inmediatamente
Teléfonos móviles inmediatamente
Impresora [dentro de las 2 horas]
Equipo de fax inmediatamente
Canales de
comunicación:
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
Otros equipos:
Televisor inmediatamente
Radio inmediatamente
Instalaciones e
infraestructura:
Red de computadoras [dentro de las 2 horas]
Muebles inmediatamente
Servicios externos:
Electricidad inmediatamente
El [cargo] es el responsable de la preparación del Gabinete de crisis y del Gabinete de apoyo de crisis
para que conozcan su función durante un incidente disruptivo. El [cargo] es el responsable de
equipar el Centro de crisis.
Los incidentes son comunicados de la siguiente forma: Commented [DK11]: Este es un ejemplo de un proceso de
toma de decisiones de dos niveles relacionado con un incidente,
que es aplicable a organizaciones pequeñas y medianas. Las
Todos los incidentes relacionados con tecnología de la información y comunicación son organizaciones grandes necesitan implementar un proceso de toma
informados al [cargo o nombre de la unidad organizativa]. de decisiones de tres niveles, que también incluye a los mandos
intermedios en la resolución de incidentes.
Todos los demás incidentes son informados al [cargo o nombre de la unidad organizativa].
Si las personas mencionadas no pueden resolver el incidente, deben informar al Gerente de crisis,
que decidirá si es necesario activar los planes de recuperación.
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
Las siguientes personas están a cargo de la colaboración con las autoridades públicas y con los
servicios de emergencia:
Las personas mencionadas deben implementar todas las actividades preliminares para garantizar que
la inter-operatividad con las autoridades durante el incidente disruptivo sea de un nivel satisfactorio.
Las actividades preliminares pueden incluir consultar a las autoridades las instrucciones acerca del
tipo de información necesaria en el caso de un incidente disruptivo y cómo se espera que reaccione
la organización.
Punto de encuentro 1 Punto de encuentro 2 Commented [DK14]: Estas son, generalmente, lugares abiertos
(para que no haya peligro en caso de terremotos), suficientemente
[domicilio de la ubicación nro. 1]
alejados del edificio (para que no haya peligro por el incidente
[domicilio de la ubicación nro. 2] mismo; por ej., incendio), pero tampoco demasiado lejos para que
[domicilio de la ubicación nro. 3] los empleados puedan llegar dentro de un tiempo razonable.
Habitualmente, la distancia es de entre 100 a 300 metros.
[domicilio de la ubicación nro. 4]
Aviso: Si no está disponible el Punto de encuentro 1, los empleados deben reunirse en el Punto de
encuentro 2.
En caso de un incidente disruptivo, se utilizarán las siguientes vías de comunicación (las que se
encuentran al principio de la lista se utilizarán primero, las que están cerca del final, se usarán sólo si
las primeras no están disponibles):
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
El [cargo] es el responsable de adquirir, preparar y, cuando sea necesario, mantener, las vías de
comunicación mencionadas para garantizar su disponibilidad durante un incidente disruptivo.
Los empleados de la organización serán trasladados desde la ubicación primaria hacia la alternativa
de las siguientes formas:
[nombre de la organización] manejará las relaciones con las diversas partes interesadas a través de la
designación de personas que, ante un incidente disruptivo, se comunicarán con ellos a través de las
siguientes vías de comunicación:
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
El [cargo] es responsable de preparar plantillas para las declaraciones a los medios, que cubrirán
todos los incidentes disruptivos relacionados con los riesgos más altos mencionados anteriormente.
de la organización templad También lea este artículo: Sitio de recuperación ante desastres:
(por ej., si la misma o, c) ¿Cuál es la distancia ideal desde la ubicación principal?
https://advisera.com/27001academy/knowledgebase/disaster-
organización tiene caliente recovery-site-what-is-the-ideal-distance-from-primary-site/
otras ubicaciones a o d)
su disposición); espejo]
b) ubicaciones
alternativas que
pueden ser provistas
por una organización
asociada (por ej., si
hay organizaciones
vinculadas por
propiedad u otros
intereses que
posean ubicaciones
alternativas
adecuadas);
c) contratos
recíprocos (si hay
organizaciones que
utilizan ubicaciones
con la misma, o
similar,
configuración e
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
infraestructura,
pueden firmar un
contrato por el cual
una organización
presta o alquila su
ubicación e
infraestructura a
otra organización en
el caso de
desastres);
d) ubicaciones
alternativas
provistas por
organizaciones
especializadas (por
ej., organizaciones
que alquilan sus
instalaciones ante el
caso de desastres,
pero también
hoteles o, por
ejemplo,
instituciones
educativas
equipadas con
infraestructura de
TI);
e) trabajo desde el
hogar o en alguna
ubicación remota
(esta opción es
posible para
actividades que no
requieren acceso a
documentación
física,
infraestructura,
etc.)} Commented [DK21]: Seleccione al menos una de las
estrategias mencionadas para cada actividad crítica y Gabinete de
[nombre de [domicilio] [domicilio [domicili apoyo de crisis.
la actividad ] o] Commented [DK22]: Enumere todas las actividades críticas,
incluyendo la responsable de la infraestructura central de TI.
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
El [cargo] es el responsable de realizar todos los preparativos necesarios relacionados con las
ubicaciones alternativas. El [cargo] es el responsable de equipar a las ubicaciones alternativas.
Las relaciones con los proveedores y socios deben ser manejadas de la siguiente forma:
Nombre del proveedor / socio Estrategia Commented [DK23]: Informar los nombres de todos los
proveedores o socios detallados en el Cuestionario sobre el análisis
[a) Se contratan servicios a diversos proveedores o socios en
del impacto en el negocio.
forma simultánea; si alguno de ellos no está disponible, se
pueden utilizar los servicios de otro).
b) Estimular u obligar a los proveedores o socios a aumentar el
nivel de su capacidad para la continuidad del negocio (de esta
manera se reduce el riesgo de ocurrencia de un incidente y de
sus consecuencias).
c) Obligar por contrato a los proveedores o socios a la entrega
de mercancías o servicios independientemente del incidente
disruptivo y definir sanciones (de esta manera, los
proveedores o socios están obligados implementar la
continuidad del negocio y, a la vez, se traslada a ellos una
parte del riesgo financiero).
d) Determinar proveedores o socios alternativos (de esta
forma, se puede preparar el traslado de actividades del
negocio, aunque la relación comercial no se iniciará hasta que
se produzca un incidente disruptivo).
e) Regreso de las actividades a la organización (se prepara a la
organización para retomar las actividades que hayan sido
externalizadas).] Commented [DK24]: Seleccionar una o más de las opciones
enumeradas para cada proveedor o socio.
El [cargo] es responsable de gestionar las relaciones con los proveedores y con los socios externos
para garantizar que la inter-operabilidad durante un incidente disruptivo sea de un nivel
satisfactorio.
Estrategia de continuidad del negocio ver. [versión] del [fecha] Página 11 de 15
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
Todas las aplicaciones y bases de datos necesarias estarán instaladas en la ubicación alternativa
dentro de las 24 horas de producido el incidente disruptivo; para aquellas aplicaciones y bases de
datos que no son necesarias dentro de las 24 horas, los medios de instalación se almacenarán en la
ubicación alternativa.
5.4. Datos
Se deben realizar copias de seguridad de los datos compartidos por varias actividades con los
siguientes intervalos:
Nombre de la aplicación, base de datos, Frecuencia para creación de Procedimiento para copias de
carpeta, documento: copias de seguridad seguridad Commented [DK25]: Copiar del Cuestionario sobre el análisis
del impacto en el negocio.
[a) aplicaciones / bases de
Commented [DK26]: La frecuencia se determina en base a los
datos: procedimiento de resultados del Cuestionario sobre el análisis del impacto en el
respaldo automatizado negocio, analizando las actividades críticas que pueden soportar la
menor cantidad de pérdida de datos.
basado en servidor; b)
documentos electrónicos:
almacenamiento en
carpetas de Intranet para
las cuales se crean copias
de seguridad en forma
automática; c) documentos
en papel: recepción de
todos los documentos de
fax por medios
electrónicos, o escaneo o
copia de los documentos y
almacenamiento en dos
lugares separados.] Commented [DK27]: Según el tipo de datos, seleccionar la
estrategia adecuada; agregar otras estrategias si es necesario.
Aviso: la frecuencia para crear copias de seguridad de los datos utilizados por una única actividad se
define en la estrategia para dicha actividad.
El [cargo] es el responsable de la creación de copias de seguridad para los datos mencionados Commented [DK28]: Si hay varios grupos de datos, se puede
designar una persona responsable para cada grupo de datos.
anteriormente.
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
Se utilizan las siguientes estrategias para evitar un punto único de falla, que puede ocasionar la
interrupción de una actividad:
Punto único de falla Actividad en la que Estrategia para evitarlo Commented [DK29]: Copiar del Cuestionario sobre el análisis
se produce del impacto en el negocio.
Commented [DK30]: Plan para recursos alternativos o de
respaldo, creación de copias de seguridad, obligaciones
contractuales precisas con los proveedores, etc.
[nombre de la organización] necesita [monto en moneda local] para capital de trabajo para todas las Commented [DK31]: Calcular de los cuestionarios sobre el
análisis del impacto en el negocio.
actividades, más [monto en moneda local] para compras de emergencia en caso que se produzca un
Commented [DK32]: Calcular el costo de todos los recursos
incidente disruptivo. que deberán ser adquiridos en inmediatamente, o poco después,
de ocurrido un incidente.
En caso de producirse un incidente disruptivo, los recursos financieros serán suministrados de la
siguiente forma: (a) una organización mantendrá en forma constante el nivel necesario de liquidez en
dinero o ; (b) se negociará un contrato de financiación contingente con [nombre de la institución Commented [DK33]: Especificar otros instrumentos
financieros que pueden ser liquidados en muy corto plazo.
financiera]; (c) [nombre de la persona] otorgará un préstamo privado o (d) [nombres de los
proveedores y socios externos] ampliarán las condiciones de pago.
La persona designada como Gerente de recuperación para una actividad individual es la responsable
de la redacción de los Planes de recuperación para dicha actividad. El [cargo] es el responsable de
preparar todos los recursos necesarios para actividades individuales.
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
Si la organización tuvo éxito en la recuperación de las actividades críticas dentro del objetivo
de tiempo de recuperación.
Si se han implementado todos los preparativos necesarios para la continuidad del negocio.
10. Apéndices
Apéndice 1: Lista de actividades
Apéndice 2: Prioridades de recuperación para las actividades
Apéndice 3: Objetivos de tiempo de recuperación para actividades
Apéndice 4: Ejemplos de escenarios de incidentes disruptivos
Apéndice 5: Plan de preparación para Continuidad del negocio
Apéndice [número]: Estrategia de recuperación de actividad para [nombre de la actividad] Commented [DK35]: Ingresar para cada actividad crítica,
comenzando por Apéndice nro. 6.
[cargo]
[nombre]
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.
Organization name [nivel de confidencialidad]
_________________________
[firma] Commented [DK36]: Sólo es necesario si el Procedimiento
para control de documentos y registros establece que los
documentos en papel deben ser firmados.
©2017 Plantilla para clientes de Advisera Expert Solutions Ltd. www.advisera.com, según Contrato de licencia.