GTC176 PDF

GUÍA TÉCNICA GTC
COLOMBIANA 176
2010-11-17
GUÍA PARA LA GESTIÓN DE LA CONTINUIDAD

DE NEGOCIO (GCN)
E: GUIDANCE ON BUSINESS CONTINUITY MANAGEMENT
CORRESPONDENCIA: es una adopción idéntica de la norma

BSI 25999-1:2006.
DESCRIPTORES: continuidad; negocio; gestión; riego;

evento; respuesta; impacto.
I.C.S.: 03.100.01
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproducción Primera actualización

Editada 2010-11-26
PRÓLOGO
El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

nacional de normalización, según el Decreto 2269 de 1993.
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
La representación de todos los sectores involucrados en el proceso de Normalización Técnica

está garantizada por los Comités Técnicos y el período de Consulta Pública, este último
caracterizado por la participación del público en general.
La GTC 176 (Primera actualización) fue ratificada por el Consejo Directivo de 2010-11-17.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

través de su participación en el Comité Técnico 205. Gestión de la continuidad del negocio.
BANCO DE LA REPÚBLICA ITEAM CONSULTING

DELOITTE PROFESIONAL INDEPENDIENTE -CARLOS
EMC2 JULIO DÍAZ-
EMPRESAS PÚBLICAS DE MEDELLÍN SMART SOLUTION
-EEPPM- WILLIS DE COLOMBIA
Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

siguientes empresas:
ABN AMOR SECURITIES COLOMBIA S.A. BANCO COLPATRIA RED MULTIBANCA

-COMISIONISTA DE BOLSA- COLPATRIA S.A.
ACCIÓN SOCIEDAD FIDUCIARIA S.A. BANCO DAVIVIENDA S.A.
AEROVÍAS DEL CONTINENTE BANCO DE BOGOTÁ
AMERICANO S.A. -AVIANCA S.A.- BANCO DE OCCIDENTE
AGENCIA LOGÍSTICA BANCO DEL COMERCIO
ALIANZA FIDUCIARIA S.A. BANCOLOMBIA
ALMACENES ÉXITO BOLSA DE VALORES DE COLOMBIA
ASOCIACIÓN BANCARIA DE COLOMBIA - BOLSA NACIONAL AGROPECUARIA
ASOBANCARIA- CÁMARA DE COMERCIO COLOMBO
ASOCIACIÓN COMISIONISTA DE BOLSA AMERICANA
ASOCOLFLORES CÁMARA DE COMPENSACIÓN DE
AVANTEL DIVIAS DE COLOMBIA S.A.
BANCO AV VILLAS CHAIN VARGAS
BANCO BILBAO VIZCAYA ARGENTARIA - CITIBANK COLOMBIA
BBVA COLOMBIA- CLUB EL NOGAL
BANCO CAFETERO S.A. -BANCAFÉ- COLFONDOS S.A.
COMPAÑÍA DE SEGUROS BOLÍVAR S.A. GROUP SEB COLOMBIA
CORPORACIÓN FINANCIERA COLOMBIANA HEWLETT PACKARD
-CORFICOLOMBIANA- HOLCIM DE COLOMBIA
CORPORACIÓN METROLOGÍA Y CALIDAD IBM
CRUZ ROJA SECCIONAL CUNDINAMARCA INGETEKNIA CONSULTORES LTDA.
Y BOGOTÁ INSURANCE SOLUTIONS
DELIMA MARSH INTER IGEN
DELIMA MARSH MARSH RISK CONSULTING JEQ SOLUCIONES EFECTIVAS
DEPÓSITO CENTRALIZADO DE KPMG
VALORES DE COLOMBIA -DECEVAL- MERCK S.A.
DIRECCIÓN DE PLANEACIÓN Y MINISTERIO DE HACIENDA
ATENCIÓN DE EMERGENCIAS -DPAE- NAVARTIS
ECOPETROL NESTLE
ENFOQUES INTEGRALES OCCIDENTAL DE COLOMBIA
ESCUELA COLOMBIANA DE INGENIERÍA OCENSA
EXTERIOR DE COLOMBIA S.A. OPTYSYS S.A.
-BANCOLDEX- PRAXO LTDA.
FUNDACIÓN PANAMERICANA PARA EL PROPILCO
DESARROLLO -FUPAD- SILVIO GERALDO Y ASOCIADOS
FUNDACIÓN PANAMERICANA PARA EL SUMA VALORES S.A. COMISIONISTA DE
DESARROLLO -FUPAD- WASHINTONG BOLSA
U.S.A. SUPERINTENDENCIA FINANCIERA
GESVALORES S.A. SURTIGAS S.A. E.S.P.
GIMNASIO LA FONTANA UNIVERSIDAD NACIONAL
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
CONTENIDO
Página
1. OBJETO Y ALCANCE DE APLICACIÓN........................................................................1
2. TÉRMINOS Y DEFINICIONES .........................................................................................1
3. VISIÓN GENERAL DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO (GCN) .........5
3.1 ¿QUÉ ES GCN?................................................................................................................5
3.2 GCN Y ESTRATEGIA ORGANIZACIONAL ...................................................................5
3.3 GCN Y LA RELACIÓN CON LA GESTIÓN DE RIESGOS ............................................5
3.4 POR QUÉ UNA ORGANIZACIÓN DEBE EMPRENDER LA GCN.................................6
3.5 BENEFICIOS DE UN PROGRAMA EFECTIVO DE GCN...............................................6
3.6 RESULTADOS DE UN PROGRAMA EFECTIVO DE GCN............................................7
3.7 ELEMENTOS DEL CICLO DE VIDA DE LA GESTIÓN DE LA CONTINUIDAD

DE NEGOCIO ....................................................................................................................7
4. POLÍTICA DE LA ADMINISTRACIÓN DE LA CONTINUIDAD DE NEGOCIO ............9
4.1 VISIÓN GENERAL ............................................................................................................9
4.2 CONTEXTO .......................................................................................................................9
4.3 DESARROLLO DE LA POLÍTICA DE CONTINUIDAD DE NEGOCIO........................10
4.4 ALCANCE DE UN PROGRAMA DE GCN.....................................................................10
4.5 ACTIVIDADES CONTRATACIÓN EXTERNA ...............................................................10
5. GESTIÓN DEL PROGRAMA GCN ................................................................................10
5.1 ASPECTOS GENERALES .............................................................................................11
5.2 ASIGNACIÓN DE RESPONSABILIDADES (GOBIERNO)...........................................11

Página
5.3 IMPLEMENTACIÓN DE LA CONTINUIDAD DE NEGOCIO

EN LA ORGANIZACIÓN ................................................................................................12
5.4 GESTIÓN CONTINÚA ...................................................................................................12
5.5 DOCUMENTACIÓN DE LA GCN ...................................................................................13
6. ENTENDIENDO LA ORGANIZACIÓN...........................................................................13
6.1 INTRODUCCIÓN.............................................................................................................14
6.2 ANÁLISIS DE IMPACTO AL NEGOCIO (BIA) ..............................................................15
6.3 IDENTIFICACIÓN DE ACTIVIDADES CRÍTICAS .........................................................15
6.4 DETERMINACIÓN DE LOS REQUISITOS DE CONTINUIDAD ..................................16
6.5 EVALUACIÓN DE AMENAZAS A ACTIVIDADES CRÍTICAS

(ANÁLISIS DE RIESGO) ................................................................................................16
6.6 DETERMINACIÓN DE ALTERNATIVAS ......................................................................17
6.7 APROBACIÓN ................................................................................................................18
7. DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO.........................18
7.1 INTRODUCCIÓN.............................................................................................................19
7.2 OPCIONES DE ESTRATEGIA ......................................................................................19
7.3 PERSONAL .....................................................................................................................20
7.4 INSTALACIONES ...........................................................................................................20
7.5 TECNOLOGÍA.................................................................................................................21
7.6 INFORMACIÓN ...............................................................................................................22
7.7 SUMINISTROS................................................................................................................23
7.8 PARTES INTERESADAS ...............................................................................................23
7.9 EMERGENCIAS CIVILES...............................................................................................23

Página
7.10 APROBACIÓN ................................................................................................................24
8. DESARROLLO E IMPLEMENTACIÓN DE LA RESPUESTA DE LA GCN.................24
8.1 INTRODUCCIÓN.............................................................................................................25
8.2 ESTRUCTURA DE LA RESPUESTA AL INCIDENTE .................................................25
8.3 CONTENIDO DE LOS PLANES.....................................................................................26
8.4 PLAN DE MANEJO DE INCIDENTES (PMI) .................................................................28
8.5 CONTENIDO DEL PMI ...................................................................................................28
8.6 LOS PLANES DE CONTINUIDAD DE NEGOCIO (PCN) .............................................31
8.7 CONTENIDO DEL PCN ..................................................................................................31
9. EJERCICIOS Y PRUEBAS, MANTENIMIENTO Y REVISIÓN DE PLANES GCN ......33
9.1 INTRODUCCIÓN.............................................................................................................33
9.2 PROGRAMA DE EJERCICIOS Y PRUEBAS................................................................33
9.3 PROGRAMA DE EJERCICIOS Y PRUEBAS DE LOS PLANES DE LA GCN............34
9.4 PLANES DE MANTENIMIENTO DE LA GCN ...............................................................35
9.5 PLANES DE REVISIÓN DE LA GCN.............................................................................36
10. INCORPORACIÓN DE LA GCN EN LA CULTURA DE LA ORGANIZACIÓN............37
10.1 GENERALIDADES..........................................................................................................38
10.2 CONCIENTIZACIÓN .......................................................................................................39
10.3 FORMACIÓN...................................................................................................................39
BIBLIOGRAFÍA ...........................................................................................................................41
DOCUMENTOS DE REFERENCIA............................................................................................42
Página
FIGURAS
Figura 1. Ciclo de vida de la GCN ..............................................................................................8
Figura 2. Gestión del programa GCN .....................................................................................11
Figura 3. Entender la organización..........................................................................................14
Figura 4. Determinar la estrategia de continuidad de negocio ............................................19
Figura 5. Desarrollo e implementación de la respuesta de la GCN.....................................24
Figura 6. Línea de tiempo de un incidente .............................................................................26
Figura 7. Ejercicios y pruebas, mantenimiento y revisión de planes GCN [d1] ................33
Figura 8. Incorporación de la GCN en la cultura de la organización ..................................38
Tabla 1. Tipos y métodos de ejercicios y pruebas del programa BCM ..............................36

GUÍA PARA LA GESTIÓN DE LA CONTINUIDAD DE NEGOCIO (GCN)
1. OBJETO Y CAMPO DE APLICACIÓN
Esta GTC establece los procesos, principios y terminología de la Gestión de la Continuidad del
Negocio (GCN). El propósito de esta GTC es brindar una base para el entendimiento,
desarrollo e implementación de la continuidad del negocio en una organización, con el fin de
proporcionar confianza en las relaciones de la organización con clientes y otras organizaciones.
También permite a la organización medir su capacidad de GCN, de forma consistente y
reconocida.
Esta GTC ofrece un sistema basado en las buenas prácticas de GCN.
Cualquier persona con responsabilidad sobre las operaciones o la provisión de servicios puede
utilizar esta GTC: desde la alta dirección pasando por todos los niveles de la organización;
desde aquellos funcionarios con cargos sencillos, hasta aquellos con presencia global; desde
simples comerciantes y pequeñas y medianas empresas (pymes), hasta grandes
organizaciones que emplean cientos de personas. Por tanto, es aplicable a toda persona que
sea responsable de cualquier operación, y de este modo de la continuidad de esa operación.
Esta GTC no incluye las actividades de planificación de emergencia, puesto que este asunto se
refiere a las emergencias civiles.
NOTA En definitiva, no importa cuánto esfuerzo o recursos se inviertan en la GCN, una organización podría
seguir enfrentándose a un incidente o combinación de incidentes que no había previsto.
2. TÉRMINOS Y DEFINICIONES
Para los propósitos de esta GTC, se aplican los siguientes términos y definiciones:
2.1 Actividad. Proceso o conjunto de procesos realizados por una organización (o en su

nombre) que producen o soportan uno o más productos o servicios.
NOTA Ejemplos de tales procesos incluyen el área financiera, soporte a clientes, sistemas, producción, y
distribución.
2.2 Continuidad de negocio. Capacidad estratégica y táctica de la organización para planificar

y responder a incidentes o interrupciones del negocio, con el fin de continuar las operaciones
del negocio en un lapso de tiempo predefinido aceptable.
1 de 42
2.3 Gestión de la continuidad del negocio (GCN). Proceso administrativo holístico que
identifica las amenazas potenciales a una organización y los impactos a las operaciones del
negocio que esas amenazas, en caso de materializarse, podrían causar y que proporciona una
estructura para construir resiliencia organizacional con capacidad para una respuesta efectiva
que salvaguarde los intereses de sus grupos claves de interés, su reputación, marca y
actividades de valor agregado.
NOTA La gestión de la continuidad de negocio involucra el manejo de la recuperación o actividades de

continuidad de negocio en el evento de una interrupción del negocio y la administración total del programa, a través
de entrenamiento, ejercicios, pruebas y revisiones, para asegurar que los planes de continuidad se mantengan
actualizados.
2.4 Ciclo de vida de gestión de continuidad del negocio. Serie de actividades de

continuidad de negocio que colectivamente cubren todos los aspectos y fases del programa de
gestión de continuidad del negocio.
NOTA El ciclo de vida de gestión de continuidad de negocio, se ilustra en la Figura 1.
2.5 Programa de gestión de continuidad del negocio. Proceso continuo de gestión y

gobierno apoyado por la alta dirección y dotado adecuadamente para asegurar que se toman
los pasos necesarios para identificar el impacto potencial de pérdidas, mantener viables los
planes y estrategias de recuperación y asegurar la continuidad de productos y servicios por
medio de formación, ejercicios, pruebas, mantenimiento y revisión.
2.6 Plan de continuidad de negocio (PCN). Conjunto de procedimientos e información

documentados que se desarrolla, compila y mantiene preparado para su utilización en caso de
producirse un incidente, para permitir a la organización continuar desempeñando sus
actividades críticas a un nivel aceptable predefinido.
2.7 Estrategia de continuidad de negocio. Enfoque de una organización que le asegurará su

recuperación y continuidad ante un desastre u otro tipo de incidente o interrupción del negocio.
2.8 Análisis de impacto al negocio (BIA). Proceso de análisis de funciones de negocio y

efecto que una interrupción del negocio podría tener sobre dichas funciones. (BIA sus siglas en
inglés).
2.9 Emergencia civil. Acontecimiento o situación que amenaza con serios daños al bienestar
humano.
2.10 Consecuencia. Resultado de un incidente que tenga un impacto en los objetivos de una
organización.
NOTA 1 Podrá existir una serie de consecuencias provocadas por un incidente.
NOTA 2 Una consecuencia podrá ser cierta o incierta y podrá tener un impacto positivo o negativo sobre los
objetivos.
2.11 Análisis costo-beneficio. Técnica financiera que mide el costo de la implementación de

una solución particular y lo compara con el beneficio derivado de esa solución.
NOTA El beneficio debería definirse en términos financieros, de reputación, prestación del servicio, regulatorio u
otro término apropiado para la organización.
2.12 Actividad crítica. Actividad que se realiza para garantizar el despacho de los productos y
servicios claves que le permitan a la organización cumplir con sus objetivos más importantes.
2
2.13 Interrupción. Evento previsto (como una huelga de empleados o un huracán) o imprevisto
(como un apagón o un terremoto), que causa una desviación negativa no planeada frente a los
envíos de productos o prestación de los servicios de acuerdo con los objetivos de la
organización.
2.14 Planificación de emergencia. Desarrollo y mantenimiento de procedimientos acordados

para prevenir, reducir, controlar, mitigar y tomar otras acciones en casos o eventos de
emergencias civiles.
2.15 Ejercicio. Actividad en la cual el (los) plan(es) de continuidad de negocio es (son)

ensayado(s) parcial o totalmente para asegurar que contiene(n) la información apropiada y que
los procedimientos producen el resultado previsto, cuando se realizan.
NOTA Un ejercicio debería involucrar la invocación (activación) de los procedimientos de continuidad de negocio,
pero es más probable que involucre la simulación de un incidente de continuidad anunciado o no anunciado donde
los participantes desempeñan un papel, con el fin de analizar qué problemas podrán surgir, antes de realizarse una
activación real.
2.16 Ganancia. Consecuencia positiva.
2.17 Impacto. Consecuencia evaluada de un resultado particular.
2.18 Incidente. Situación que podría ser o podría causar la interrupción del negocio, pérdidas,
emergencia o crisis.
2.19 Plan de manejo de incidentes. Plan de acción definido y documentado claramente para
ser utilizado durante un incidente. Su contenido típico es el personal clave, los recursos, las
acciones y los servicios necesarios para el proceso de manejo del incidente.
2.20 Activación (invocación). Acto de declarar que el plan de continuidad de negocio de una
organización necesita ponerse a funcionar para garantizar el envío de sus productos claves o la
prestación de los servicios.
2.21 Probabilidad. Posibilidad de que algo ocurra bien sea que se haya definido, medido o
estimado objetiva o subjetivamente, o en términos de los descriptores generales (tales como
raro, improbable, probable, casi cierto), frecuencia o probabilidad matemática.
NOTA La probabilidad puede expresarse cuantitativa o cualitativamente.
2.22 Pérdida. Consecuencia negativa.
2.23 Máximo período tolerable de interrupción. Periodo máximo de tiempo de interrupción

después del cual la viabilidad de la organización se ve comprometida como consecuencia de
los impactos negativos por no poder entregar sus productos o servicios.
2.24 Organización. Grupo de personas e instalaciones con una disposición de

responsabilidades, autoridades y relaciones.
EJEMPLO Compañía, corporación, firma, empresa, institución, institución de beneficiencia, empresa unipersonal
o asociación, o parte o una combinación de las anteriores.
NOTA 1 Su disposición, generalmente, es ordenada.
NOTA 2 Una organización podrá ser pública o privada (NTC-ISO 9000:2005).
3
2.25 Productos y servicios. Resultados beneficiosos provistos por una organización a sus
clientes, destinatarios y grupos de interés, por ejemplo: productos manufacturados, seguros de
automóvil, cumplimiento regulatorio y servicios sanitarios.
2.26 Tiempo objetivo de recuperación. Conjunto de tiempos para:
- reanudación de entrega y prestación de productos o servicios tras producirse un

incidente, o
- reanudación de la realización de una actividad tras producirse un incidente, o
- recuperación de un sistema de Infraestructura Tecnológica tras producirse un incidente.
NOTA El tiempo objetivo de recuperación es inferior al máximo período tolerable de interrupción.
2.27 Resiliencia. Capacidad de una organización para resistir los efectos de un incidente.
2.28 Riesgo. Algo que podría suceder y afectar el logro de los objetivos organizacionales.
NOTA 1 La palabra “riesgo” es utilizada coloquialmente de varias formas: como sustantivo (un “riesgo”, o en plural
“riesgos”), como verbo (arriesgar (algo), o poner en riesgo), o como un adjetivo (riesgoso). Utilizado como sustantivo,
el término “riesgo” se refiere a un evento potencial, sus causas, la probabilidad de que algo suceda o los efectos de
dichos eventos. En administración de riesgos (véase el numeral 6.5) es importante tener claridad para distinguir
entre los variados usos de la palabra “riesgo”.
NOTA 2 El riesgo está relativamente definido para un objetivo particular; por tanto, lo concerniente a varios
objetivos implica la posibilidad de más de una medición del riesgo respecto a cualquier fuente de riesgo.
NOTA 3 El riesgo está cuantificado como el efecto promedio de sumar el efecto combinado de cada posible
consecuencia con la probabilidad asociada de cada consecuencia, para obtener un “valor esperado”. Sin embargo,
se necesitan distribuciones de probabilidad para cuantificar las percepciones sobre el rango de posibles
consecuencias. Alternativamente, los estadígrafos, como la desviación estándar, puede utilizarse para obtener el
valor esperado.
2.29 Riesgo residual. Cantidad total de riesgo que una organización está dispuesta a aceptar,
tolerar o estar expuesta a asumir en cualquier momento dado.
2.30 Análisis de riesgo. Proceso total de identificación, análisis y evaluación de riesgos.
2.31 Gestión de riesgos. Desarrollo estructurado y aplicación de cultura, política,

procedimientos y prácticas de gestión a las tareas de identificación, análisis, evaluación y
respuesta ante el riesgo.
2.32 Partes interesadas. Todos aquellos que tienen interés especial en el logro de los
objetivos de una organización.
NOTA Éste es un término de amplio espectro que incluye, pero no se limita a, empleados internos y
“tercerizados”, clientes, proveedores, accionistas, funcionarios, distribuidores, inversionistas, propietarios, gobierno y
entes reguladores.
2.33 Alta dirección. Persona o grupo de personas que dirigen y controlan una organización al
más alto nivel (NTC-ISO 9000:2005).
NOTA La alta dirección, especialmente en grandes organizaciones multinacionales, podrá no estar directamente
involucrada; sin embargo, queda manifiesta su responsabilidad, a través de la cadena de mando. En organizaciones
pequeñas, la alta dirección la podrán tener los propietarios o un solo propietario.
4
3. VISIÓN GENERAL DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO (GCN)
3.1 ¿QUÉ ES GCN?
La Gestión de Continuidad del Negocio (GCN) es un proceso apropiado y dirigido al negocio,

que establece un propósito estratégico y una estructura organizacional que:
- mejora proactivamente la flexibilidad organizacional ante la interrupción de su habilidad

para conseguir sus objetivos fundamentales;
- provee un método probado de restauración la habilidad de una organización para

suministrar y prestar sus productos y servicios claves, según un nivel de tiempo
acordado tras producirse una interrupción, y
- proporciona una capacidad demostrada para manejar la interrupción del negocio y

proteger el prestigio y la marca de la organización.
Mientras que los procesos individuales de continuidad de negocio podrán cambiar según el
tamaño de la organización, las estructuras, las responsabilidades de la organización y los
principios básicos permanecen invariables para organizaciones de voluntariado, sector privado
o público, sin tener en cuenta su tamaño, alcance o complejidad.
3.2 GCN Y ESTRATEGIA ORGANIZACIONAL
Todas las organizaciones, tanto grandes como pequeñas, tienen metas y objetivos, como por
ejemplo crecimiento para prestar servicios y para adquirir otros negocios. Estas metas y
objetivos generalmente se logran a través de planes estratégicos definidos de corto, mediano o
largo plazo de la organización. El entendimiento de GCN en el nivel más alto nivel de la
organización asegurará que estas metas y objetivos no se vean comprometidos ante
interrupciones inesperadas.
Las consecuencias de cada incidente varían y pueden tener un alcance muy extenso. Estas
consecuencias pueden involucrar la pérdida de vidas, de activos o de ingresos o la incapacidad
de entregar y prestar productos y servicios sobre los que podrían depender la estrategia, el
prestigio o incluso la supervivencia de la Organización.
GCN necesita reconocer la importancia estratégica de las partes interesadas conocidas.

Además, a medida que se desarrollan las consecuencias de una interrupción, surgen nuevas
partes interesadas y éstas tienen impacto directo hasta el punto de daño. Por ejemplo, algunos
grupos podrán intentar ejercer presión a la organización, de cara a la interrupción.
Todos estos asuntos conciernen a la estrategia organizacional.
3.3 GCN Y LA RELACIÓN CON LA GESTIÓN DE RIESGOS
GCN es complementario con respecto del marco de Gestión de Riesgos que busca entender
los riesgos de las operaciones del negocio, así como las consecuencias de esos riesgos.
La gestión de riesgos busca gestionar el riesgo en torno a los productos y servicios claves que
entrega y presta la organización. La entrega y la prestación de productos y servicios pueden
verse interrumpidos por una amplia variedad de incidentes, muchos de los cuales son difíciles
de predecir o analizar por su causa.
5
Al centrarse en el impacto de la interrupción, la GCN identifica aquellos productos y servicios

de los que la organización depende para su supervivencia y puede identificar qué es lo que la
organización necesita para cumplir con sus obligaciones. A través de la GCN, una organización
puede reconocer lo que se necesita hacer antes de que un incidente ocurra, para proteger a
sus colaboradores, las instalaciones, la tecnología, la información, la cadena de suministros,
las partes interesadas y su reputación.
Con este reconocimiento, la organización puede tener una visión realista sobre las respuestas
que probablemente tengan que darse cómo y cuando ocurra una interrupción, de manera que
pueda confiar en que se manejarán adecuadamente sus consecuencias, sin desvíos
inaceptables de sus productos y servicios.
Una organización que cuente con medidas de GCN apropiadas puede beneficiarse de
oportunidades en las que se encuentre en alto riesgo.
3.4 POR QUÉ UNA ORGANIZACIÓN DEBE EMPRENDER LA GCN
La GCN es un elemento que forma parte importante de la buena administración de los

negocios, provisión de servicios y prudencia empresarial.
Los administradores y propietarios tienen la responsabilidad de mantener la capacidad de la

organización para funcionar sin interrupciones. Las organizaciones constantemente adquieren
fuertes compromisos de envíos de productos y prestación de servicios, es decir, deben cumplir
sus compromisos contractuales e incrementar las expectativas de sus clientes.
Todas las organizaciones tienen responsabilidades morales y sociales, particularmente donde

proveen respuestas a emergencias o servicios públicos o voluntarios. En algunos casos, las
organizaciones tienen la obligación regulatoria o estatutaria de emprender la GCN.
Toda actividad del negocio está sujeta a interrupciones como fallas tecnológicas, inundaciones,
interrupción de los servicios y terrorismo. La GCN proporciona la capacidad para reaccionar
adecuadamente a interrupciones operacionales mientras protege su bienestar y su seguridad.
La GCN debería reconocerse no como un costoso proceso de planeación, sino como un

proceso que agrega valor a la organización.
3.5 BENEFICIOS DE UN PROGRAMA EFECTIVO DE GCN
Los beneficios de un programa efectivo de GCN son aquellos en que la organización:
- es capaz de identificar proactivamente los impactos de una interrupción operacional;
- tiene preparada una respuesta efectiva que minimiza el impacto ante las interrupciones
en la organización;
- mantiene su capacidad para manejar riesgos no asegurables;
- fomenta el trabajo en equipo;
- es capaz de demostrar una respuesta creíble, a través de los procesos de ejercicios y

pruebas;
- puede mejorar su reputación, y
6
- puede ganar ventaja competitiva conferida por la capacidad demostrada para mantener
sus despachos.
3.6 RESULTADOS DE UN PROGRAMA EFECTIVO DE GCN
Los resultados de un programa efectivo de GCN son aquellos en que:
- se identifican los productos y los servicios claves, procurando su continuidad;
- la capacidad para administrar el incidente provee una respuesta efectiva;
- el entendimiento de la organización por sí misma y su relación con otras organizaciones,

reguladores u organismos de la administración pública correspondientes, autoridades
locales y los servicios de emergencia se desarrollan documentan y entienden
apropiadamente;
- los equipos de trabajo son entrenados efectivamente, para responder en forma eficaz
ante una interrupción, a través de ejercicios apropiados;
- las necesidades de las partes interesadas se entienden y se puede cumplir;
- el equipo de trabajo recibe apoyo y comunicaciones adecuados durante los eventos de

interrupción;
- se asegura la cadena de suministros de la organización;
- se protege la reputación organizacional, y
- la organización sigue cumpliendo sus obligaciones legales y regulatorios.
3.7 ELEMENTOS DEL CICLO DE VIDA DE LA GESTIÓN DE LA CONTINUIDAD DE

NEGOCIO
El ciclo de vida de GCN comprende seis elementos como se ilustra en la Figura 1. Éstos
pueden implementarse por organizaciones de todos los tamaños, en todos los sectores:
público, privado, solidario, educativo, de manufactura, entre otros. El alcance y la estructura de
un programa de GCN podrán variar y el esfuerzo empleado será proporcional al tamaño de la
organización, aunque estos elementos esenciales tienen que seguir acometiéndose.
7
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac Ejercicios, Gestión del Determinando
al
Mantenimiento programa la Estrategia
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Figura 1. Ciclo de vida de la GCN
a) Gestión del programa GCN (véase el numeral 5)
La gestión del programa permite la capacidad de la continuidad del negocio para ser
establecido (si es necesario) y para mantenerlo de manera apropiada al tamaño y
complejidad de la organización.
b) Entendimiento de la organización (véase el numeral 6)
Las actividades asociadas a “Entendimiento de la organización” proveen información

que permiten priorizar los productos y servicios de la organización y la urgencia de las
actividades que se requieren para proveerlos. Proporciona los requisitos que
determinarán la selección apropiada de las estrategias de GCN.
c) Estrategia de continuidad de negocio (véase el numeral 7)
Determinar la estrategia de continuidad de negocio permite evaluar un amplio rango de

estrategias. Esto facilita una respuesta apropiada de selección para cada producto o
servicio, de tal manera que la organización pueda continuar el envío de esos productos
y servicios:
- en un nivel de operación aceptable y
- dentro de un margen de tiempo durante y siguiente a la interrupción.
La elección realizada tomará en cuenta las opciones de resiliencia y medición que

posee la organización.
d) Desarrollo e implementación de la respuesta GCN (véase el numeral 8)
Desarrollar e implementar una respuesta GCN da como resultado la creación de una

estructura administrativa y una estructura de administración de incidentes de
8
continuidad y planes continuidad de negocio y de recuperación del negocio, que

detallan los pasos que deben darse durante y después de un incidente, para mantener o
restaurar las operaciones.
e) Ejercicios, mantenimiento y revisión de planes GCN (véase el numeral 9)
El ejercicio, mantenimiento, revisión y auditoría conduce a la organización a:
- demostrar el alcance para el cual sus estrategias y planes se han completado y

actualizado, e
- identificar oportunidades de mejora.
f) Afianzamiento de la GCN en la cultura organizacional (véase el numeral 10)
Afianzar la GCN en la cultura organizacional permite convertirla parte de los valores y

confianza de la organización, en habilidades de todas las partes interesadas para
manejar las interrupciones.
4. POLÍTICA DE LA ADMINISTRACIÓN DE LA CONTINUIDAD DE NEGOCIO
4.1 VISIÓN GENERAL
4.1.1 La política de GCN define los siguientes procesos:
- definición de actividades para establecer la capacidad de continuidad de negocio y
- puesta en marcha y mantenimiento de la capacidad de continuidad de negocio.
4.1.2 La definición de actividades incorpora las especificaciones, diseño, construcción,

implementación y ejercicios iniciales de la capacidad de continuidad de negocio.
4.1.3 La identificación de actividades de mantenimiento y gestión incluyen la fijación de la

continuidad de negocio en la cultura organizacional, ejercicios regulares de los planes y su
actualización y comunicación particularmente cuando hay cambios significativos en los
objetivos, funcionarios, procesos, mercado, tecnología o estructura organizacional.
4.2 CONTEXTO
La organización debería asegurar que su política de GCN es apropiada para la naturaleza,

escala, complejidad, geografía y criticidad de sus actividades de negocio y que refleja su
cultura, dependencias y ambiente de operación. La política de GCN define los requerimientos
de los procesos para asegurar que los planes de continuidad de negocio se mantienen para
lograr los objetivos corporativos en caso de un incidente. Esta política debería asegurar que se
promueve dentro de la cultura de la organización la capacidad de la continuidad de negocio. La
capacidad de GCN debería integrarse en la actividad de gestión de cambios de la organización,
como también incorporarse al crecimiento y desarrollo de los productos y servicios de la
organización.
9
4.3 DESARROLLO DE LA POLÍTICA DE CONTINUIDAD DE NEGOCIO
La organización debería desarrollar su política de continuidad de negocio, sin importar el

estado de los objetivos de GCN dentro de ella. Inicialmente, éste podrá ser un nivel alto de
intento, el cual es refinado y mejorado así como desarrollada la capacidad.
La política de continuidad debería proveer a la organización con principios documentados a los

que aspirará y contra los cuales se medirá su capacidad de continuidad de negocio. La política
de GCN debería apropiarse al más alto nivel, por ejemplo, a la junta directiva o a un
representante elegido por ésta.
La organización podrá considerar lo siguiente cuando desarrolle su política de GCN:
- definir el alcance de GCN dentro de ella;
- definir los recursos del GCN;
- definir los principios, normas y estándares mínimos para ella, y
- referenciar cualquier estándar relevante, regulación o política que tenga que incluirse o
pueda ser usada como una referencia.
La organización debería mantener y revisar regularmente su política de GCN, sus estrategias,

planes y soluciones sobre una base regular en línea con sus necesidades.
El alcance de la política de GCN debería definir claramente cualquier limitación que sea
aplicable, como por ejemplo las exclusiones geográficas o productos.
4.4 ALCANCE DE UN PROGRAMA DE GCN
La alta dirección puede determinar el alcance del programa de GCN, mediante la identificación
de los productos y servicios que soportan los objetivos, obligaciones y mandatos estatutarios
de la organización.
La determinación de qué es clave debería ser consistente con el análisis de impacto descrito
en el numeral 6.2, aunque en un nivel alto de consideración.
4.5 ACTIVIDADES CONTRATACIÓN EXTERNA
Si un producto, servicio o actividad han sido contratados externamente, la amenaza de riesgo

permanece latente dentro de la organización. Consecuentemente, una organización debería
asegurarse para ella misma que sus proveedores o terceros claves tienen en curso un
programa efectivo de GCN. Un método para realizar esto es obtener evidencias de auditoría de
la viabilidad de los planes de continuidad de los proveedores o terceros y los ejercicios,
pruebas y mantenimiento de sus programas.
5. GESTIÓN DEL PROGRAMA GCN
La gestión del programa está en el corazón del proceso GCN. La gestión efectiva del programa
establece el acercamiento de la organización a la continuidad de negocio.
10
La participación de la alta dirección es clave para asegurar que el proceso GCN está
correctamente aplicado, adecuadamente soportado y establecido como parte de la cultura
organizacional.
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
Ejercicios, Gestión del Determinando
al
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Figura 2. Gestión del programa GCN
5.1 ASPECTOS GENERALES
Debería ponerse en práctica un programa GCN, para lograr los objetivos definidos en la política
de continuidad de negocio (véase el numeral 4.3). La gestión del programa GCN comprende
tres pasos:
- asignación de responsabilidades (véase el numeral 5.2),
- implementación de la continuidad de negocio en la organización (véase el numeral 5.3),
- gestión continua del programa de continuidad de negocio (véase el numeral 5.4).
5.2 ASIGNACIÓN DE RESPONSABILIDADES (GOBIERNO)
5.2.1 La dirección de la organización debería:
- nombrar a una persona con rango y autoridad apropiadas para responder por la política
de GCN y su implementación, y
- nombrar uno o más funcionarios para implementar y mantener el programa GCN.
5.2.2 Si la estructura de la organización así lo indica, la alta dirección debe nombrar

representantes a lo largo de ella, bien sea por función o por sede para apoyar la
implementación del programa GCN.
11
Los roles, responsabilidades y autoridades deberían estar integrados en los manuales

descriptivos de funciones y habilidades.
Los procesos de auditoría organizacional deberían revisar estas responsabilidades.
Estas responsabilidades podrán reforzarse mediante su inclusión en los procesos de

evaluación organizacional, a través de una política de recompensa y reconocimiento.
5.3 IMPLEMENTACIÓN DE LA CONTINUIDAD DE NEGOCIO EN LA ORGANIZACIÓN
5.3.1 Las actividades para implementar un programa de continuidad de negocio deberían

incluir el diseño, la construcción y la implementación del programa.
La organización debería:
- comunicar el programa a las parte interesadas,
- planificar o entrenar adecuadamente al equipo de trabajo, y
- ejercitar la capacidad del programa de continuidad de negocio (véase la norma 9).
5.3.2 La organización podrá adoptar un método de proyecto de gestión reconocido para

asegurar que su implementación se es administra adecuadamente.
5.4 GESTIÓN CONTINÚA
5.4.1 Generalidades
Las actividades de gestión continua del programa deberían asegurar que la continuidad de
negocio se ha afianzado dentro de la cultura organizacional. Cada componente de la capacidad
de continuidad de negocio de la organización debería revisarse, ejercitarse y actualizarse con
regularidad. Adicionalmente, los planes de continuidad de negocio deberían también revisarse
y actualizarse cada vez que ocurre un cambio significativo en la operación de la organización,
su estructura, funcionarios, procesos o tecnología y cuando se detecten deficiencias en una
prueba u ocurra un incidente.
5.4.2 Mantenimiento continuo
No importa cómo se doten recursos de GCN, existen actividades que deberían realizarse tanto
en el inicio como durante su desarrollo. Éstas podrían incluir:
- definir el alcance, roles y responsabilidades para la GCN;
- nombrar una persona o equipo apropiado para administrar el programa GCN de manera
continua;
- mantener el programa de GCN actualizado a través de las buenas prácticas;
- promover la continuidad de negocio en toda la organización y ampliarla donde sea

necesario;
- administrar un programa de pruebas y ejercicios;
12
- coordinar la revisión y la actualización regulares de la capacidad de continuidad de

negocio, incluyendo la revisión o reajuste de las evaluaciones de riesgo (RA como
indican sus siglas en inglés) y del análisis de impacto al negocio (BIA);
- mantener documentación apropiada al tamaño y complejidad de la organización (véase

el numeral 5.5);
- monitorear el funcionamiento de la capacidad de continuidad de negocio;
- administrar los costos asociados con la capacidad de continuidad, y
- establecer y monitorear los cambios administrativos y sus diferentes regímenes.
5.5 DOCUMENTACIÓN DE LA GCN
Las personas encargadas de mantener la continuidad de negocio deberían crear y mantener la

documentación de continuidad de negocio. Esta podrá incluir lo siguiente:
a) Política de la GCN
- Declaración de alcance de GCN
- Términos de referencia de GCN
b) Análisis de impacto al Negocio (BIA)
c) Evaluación y control de riesgos
d) Estrategia(s) de la GCN
e) Programas de concientización
f) Programas de formación
g) Planes de manejo de incidentes
h) Planes de continuidad del negocio
i) Planes de recuperación de negocio
j) Programa de ejercicios y reportes
k) Acuerdos de nivel de servicios y contratos
6. ENTENDER LA ORGANIZACIÓN
El objetivo de este elemento del ciclo de vida de GCN es apoyar el entendimiento de la

organización, a través de la identificación de sus productos y servicios claves y las actividades
críticas y los recursos que las soportan. Este elemento asegura que el programa GCN está
alineado con los objetivos de la organización, obligaciones y deberes estatutarios.
13
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Figura 3. Entender la organización
6.1 INTRODUCCIÓN
6.1.1 En el contexto de continuidad de negocio, el entendimiento de la organización proviene

de:
- identificar los objetivos organizacionales, las obligaciones de las partes interesadas, los
deberes estatutarios y el entorno donde opera la organización;
- identificar las actividades, los activos y los recursos incluyendo aquellos externos a la
organización que soportan el envío de los productos y la prestación de los servicios;
- evaluar el impacto y las consecuencias de que estas actividades, activos y recursos

estén fuera de servicio (véase el numeral 6.2), e
- identificar y evaluar las amenazas percibidas que podrían interrumpir las actividades
críticas, el despacho de sus productos y servicios y los activos y recursos que las
soportan (véase el numeral 6.5).
6.1.2 Es importante que la organización entienda:
a) las interdependencias de sus actividades;
b) cualquier dependencia que se tiene de organizaciones externas, y
c) cualquier dependencia que se tenga para con otros.
14
6.2 ANÁLISIS DE IMPACTO AL NEGOCIO (BIA)
6.2.1 La organización debería determinar y documentar el impacto de una interrupción en las

actividades que dan soporte a sus productos y servicios claves. Este proceso se conoce
comúnmente como el Análisis de Impacto al Negocio (BIA, por sus siglas en inglés).
6.2.2 Para cada actividad que da soporte al envío de los productos y servicios claves dentro
del alcance de GCN, la organización debería:
a) evaluar en el tiempo los impactos que ocurrirían si la actividad se interrumpe;
b) establecer el máximo período tolerable de interrupción de cada actividad identificando:
1) el máximo período de tiempo después de iniciar la interrupción dentro del cual la

actividad necesita ser reanudada;
2) el mínimo nivel en el que la actividad debe realizarse cuando se reanude, y
3) el plazo en el que deben reanudarse los niveles normales de operación.
c) identificar toda actividad, activos, infraestructura de apoyo o recursos interdependientes

que también tengan que mantenerse de forma continua o recuperarse con el tiempo.
6.2.3 Cuando se analizan impactos, la organización debería considerar aquellos relacionados

con los objetivos y metas de negocio y los de las partes interesadas. Éstos podrían incluir:
- el impacto en el bienestar del personal o del público;
- el impacto de daño a locales, tecnología o información, o pérdida de éstos;
- el impacto por incumplimiento de los deberes estatutarios o requerimientos regulatorios;
- daños a la reputación;
- daños a la viabilidad financiera;
- deterioro de la calidad de sus productos y servicios, y
- daños ambientales.
La organización debería documentar su enfoque respecto a la evaluación del impacto de las

interrupciones, sus hallazgos y conclusiones.
6.3 IDENTIFICACIÓN DE ACTIVIDADES CRÍTICAS
La organización podrá categorizar sus actividades, de acuerdo con su prioridad de

recuperación. Aquellas actividades identificadas durante el BIA como generadoras de grandes
pérdidas, que tendrían los más altos impactos en el corto tiempo y que deberían recuperarse
más rápidamente, son las que se conocen como “actividades críticas”. Cada actividad crítica
soporta uno o más productos o servicios claves. La organización posiblemente desee enfocar
sus actividades de planificación en las actividades críticas, pero debería reconocer que otras
actividades también necesitarán recuperarse dentro de sus períodos máximos tolerables de
interrupción y también podrían requerir planes para llevarlas a cabo.
15
6.4 DETERMINACIÓN DE LOS REQUISITOS DE CONTINUIDAD
La organización debería estimar los recursos que cada actividad requerirá durante su
restauración. Esto podrá incluir:
a) Recursos de personal, incluyendo cantidad, habilidades y conocimientos (personal)
b) Los sitios y puestos de trabajo y las facilidades requeridas (instalaciones)
c) El soporte tecnológico, planta y equipos (tecnología)
d) Los registros vitales (impresos o en medio magnético) del trabajo previo o de las
actividades en curso, que sean suficientes para permitir que las actividades continúen
efectivamente dentro de los niveles acordados (información) y
e) Servicios y proveedores externos (proveedores).
La organización debería tomar en consideración las necesidades de las partes interesadas

cuando se determinan los niveles de recursos.
6.5 EVALUACIÓN DE AMENAZAS A ACTIVIDADES CRÍTICAS (ANÁLISIS DE RIESGO)
6.5.1 En el contexto de GCN, el nivel de riesgo debería entenderse específicamente con

respecto a las actividades críticas de la organización y el riesgo de interrupción de éstas. Las
actividades críticas son realizadas por personas y mantenidas por procesos, tecnología,
información proveedores y partes interesadas. La organización debería entender las amenazas
a esos recursos, las vulnerabilidades de cada recurso y el impacto que podría producirse en
caso de materializarse un incidente y causar la interrupción del negocio.
6.5.2 Es de entera discreción de la organización el nivel de riesgo que asume, pero es

importante que sea adecuado y apropiado para direccionar todos los requerimientos de la
organización.
6.5.3 La norma NTC-ISO 27001 define la estructura para el Análisis de Riesgo propuesta para
seleccionar los elementos que deberían tenerse en cuenta durante el proceso de análisis. Los
elementos típicos podrían ser los siguientes:
- Determinación de los criterios de aceptación del riesgo. Describe las circunstancias bajo
las cuales la organización está dispuesta a aceptar los riesgos.
- Identificación de los niveles aceptables de riesgo. Sin importar lo que arroje el análisis
de riesgo, la organización necesita identificar los niveles de riesgo que considere
aceptables.
- Análisis de riesgo. Es necesario que el análisis de riesgo de la organización se dirija de

acuerdo con los conceptos discutidos en los numerales 6.5.4, 6.5.5 y 6.5.6.
6.5.4 Las amenazas específicas podrán describirse como eventos o acciones que podrían, en
algunos casos puntuales, causar un impacto a los recursos; por ejemplo, amenazas como
incendio, inundación, corte de suministro eléctrico, pérdida de vidas, ausentismo, virus
informáticos y falla del hardware.
6.5.5 Las vulnerabilidades podrían ocurrir como debilidades de los recursos y podrán, al
mismo tiempo, explotar por las amenazas, por ejemplo, puntos simples de falla, inadecuaciones
16
en el sistema de protección contra incendios, resiliencia eléctrica, niveles de equipo de trabajo,

resiliencia y seguridad de la infraestructura tecnológica.
6.5.6 Los impactos (véase el numeral 6.2.3) podrían resultar de la explosión de las
vulnerabilidades causadas por las amenazas.
6.6 DETERMINACIÓN DE ALTERNATIVAS
6.6.1 Aspectos generales
Como resultado del BIA y del análisis de riesgo, la organización debería identificar medidas
que:
- reduzcan la probabilidad de interrupción,
- acorten los períodos de interrupción y
- limiten el impacto de una interrupción sobre sus productos y servicios claves.
Estas medidas se conocen como mitigación de pérdidas y tratamiento de riesgos.
Las estrategias de mitigación podrán utilizarse conjuntamente con otras opciones, dado que no
todos los riesgos podrán prevenirse o reducirse a un nivel aceptable. La organización podría
incluir una o más de todas las estrategias que se presentan en los numerales 6.6.2 al numeral
6.6.5 para cada actividad crítica.
6.6.2 Continuidad de negocio
Si se selecciona la continuidad de negocio como estrategia para un producto o servicio clave,

deberá establecerse un tiempo objetivo de recuperación (RTO como indican sus siglas en
inglés) y las estrategias de continuidad definidas en el numeral 7 deberían evaluarse frente a
este objetivo.
La estrategia de continuidad busca mejorar la resiliencia de la organización a una interrupción

asegurando la continuidad de las actividades críticas en, o recuperadas a un nivel mínimo y a
los niveles de tiempo estipulados en el BIA.
6.6.3 Aceptación
Se podrá aceptar un riesgo sin que sea necesario tomar acciones adicionales. Incluso si éste
no es aceptable, la habilidad para hacer algo sobre otros riesgos podría estar limitada o el
costo de tomar cualquier acción podrá ser desproporcionado, respecto al beneficio potencial
obtenido. En estos casos la respuesta podrá ser tolerar la existencia del nivel de riesgo si la
dirección estima que el riesgo es aceptable y que corresponda al apetito de riesgo definido. En
algunas circunstancias, el impacto del riesgo podría estar por fuera del apetito normal de
riesgo, pero, debido a la baja probabilidad de ocurrencia y/o debido al costo económico que
supone el control, la alta dirección podrá aceptar el riesgo.
La aceptación se podrá complementar con un plan para el manejo de impactos que surgirán si
el riesgo se materializa.
17
6.6.4 Transferencia
Para algunos riesgos la mejor respuesta podrá ser transferirlos. Esto podría hacerse a través
de pólizas de seguros convencionales o previsiones contractuales, o también podría hacerse
por pago realizado a un tercero para que asuma el riesgo de otra forma. Esta opción es
particularmente buena para poder mitigar los riesgos financieros o los riesgos a los que puedan
exponerse los activos. Los riesgos podrán transferirse para reducir la exposición de la
organización o porque otra organización está más capacitada para la gestión efectiva del
riesgo. Es importante notar que algunos riesgos no son (completamente) transferibles; en
particular, no es posible transferir el riesgo reputacional aún si la prestación del servicio se tiene
en forma externa.
La compra de una póliza de seguro puede formar parte de la estrategia de administración de

riesgos y podría generar alguna recompensa financiera para algunas pérdidas. Sin embargo,
no todas las pérdidas son completamente asegurables (por ejemplo, incidentes no asegurados,
daños a la reputación o a la marca, pérdida del valor de las acciones, reducción de la cuota de
mercado y las consecuencias humanas). Una sola provisión financiera es improbable que
proteja completamente la organización, de manera que satisfaga las expectativas de las partes
interesadas. Es más probable usar conjuntamente el cubrimiento, por medio de una póliza de
seguro con una o más estrategias diferentes.
6.6.5 Cambio, suspensión o terminación
En algunas circunstancias podría ser apropiado cambiar, suspender o terminar el servicio,

producto, actividad, función o proceso. Esta opción debe considerarse donde no hay conflicto
con los objetivos organizacionales, los estatutos y las expectativas de las partes interesadas.
Esta propuesta se considera con más probabilidad donde un servicio, producto, actividad,
función o proceso tiene una vida limitada.
NOTA Los términos tratados, en muchos casos se refieren como el modelo de las “4 T:
“Tratar” (continuidad de negocio), “Tolerar” (aceptar el riesgo), “Transferir” y “Terminar”,
6.7 APROBACIÓN
La alta dirección debería aprobar la lista de documentos de los productos y servicios claves, el
análisis de impacto y el análisis de riesgo para asegurar que el trabajo haya sido apropiado y
corresponda a un reflejo fiel de la organización.
7. DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO
Este elemento del ciclo de vida de la GCN lógicamente sigue “entendiendo la organización”.
Como resultado de los análisis previos, una organización estará en una posición para
seleccionar las estrategias apropiadas de continuidad para permitirle alcanzar sus objetivos.
18
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Figura 4. Determinar la estrategia de continuidad de negocio
7.1 INTRODUCCIÓN
Las propuestas de la organización para determinar las estrategias de GCN deberían:
a) implementar medidas apropiadas para reducir la probabilidad de ocurrencia de

incidentes y/o reducir los efectos potenciales de esos incidentes;
b) tomar en cuenta debidamente la resiliencia y las medidas de mitigación;
c) proveer continuidad para sus actividades críticas durante y enseguida de un incidente, y
d) tomar en cuenta aquellas actividades que no se han identificado como críticas.
7.2 OPCIONES DE ESTRATEGIA
7.2.1 La organización debería considerar opciones estratégicas para sus actividades críticas y
los recursos que cada actividad requerirá en su restauración. La estrategia o estrategias más
apropiadas dependerán de una serie de factores como:
- el período máximo tolerable de interrupción de la actividad crítica;
- el costo de implementar la estrategia o estrategias y
- las consecuencias de la no acción.
19
7.2.2 Las estrategias podrían requerirse para los siguientes recursos organizacionales
- personas (véase el numeral 7.3),
- instalaciones (véase el numeral 7.4),
- tecnología (véase el numeral 7.5),
- información (véase el numeral 7.6),
- suministros (véase el numeral 7.7) y
- partes interesadas (véase el numeral 7.8).
En cada caso, la organización debería minimizar la probabilidad de implementar una solución

de continuidad que pueda ser afectada por el mismo incidente que cause la interrupción del
negocio.
7.3 PERSONAL
La organización debería identificar estrategias apropiadas para mantener el núcleo de las

habilidades y conocimientos. Este análisis debería extenderse más allá de los empleados a los
contratistas y otras partes interesadas que posean especialistas con habilidades y
conocimientos. Las estrategias para proteger o proveer estas herramientas podrán incluir:
a) documentación de la forma como funcionarán las actividades críticas;
b) herramientas de entrenamiento múltiple para funcionarios y contratistas;
c) separación de las habilidades del núcleo para reducir la concentración de riesgo (esto
podrá conllevar la separación del equipo de trabajo con las habilidades núcleo o
asegurar que más de una persona tenga esas habilidades);
d) utilización de terceras partes;
e) planificación sucesiva, y
f) retención y administración del conocimiento.
7.4 INSTALACIONES
La organización debería idear una estrategia para reducir la indisponibilidad del(los) sitio(s)
normal(es) de trabajo. Esto podrá incluir uno o más de los siguientes aspectos:
a) instalaciones (locaciones) alternas dentro de la organización incluyendo el

desplazamiento de otras actividades;
b) instalaciones alternas provistas por otras organizaciones (podrán o no ser con acuerdo
recíprocos);
c) instalaciones alternas provistas por terceros especialistas;
d) trabajo desde casa o desde sitios remotos;
20
e) otras instalaciones acordadas disponibles, y
f) utilización de una fuerza de trabajo alterna en un sitio establecido.
NOTA 1 Si el equipo de trabajo debe movilizarse a sitios alternos, estas instalaciones deben estar ubicadas de tal
forma que el equipo de trabajo pueda desplazarse fácilmente hacia ellas, teniendo en cuenta cualquier posible
dificultad causada por el incidente. Sin embargo, no debe estar tan cercana que se pueda afectar por el mismo
incidente.
NOTA 2 El uso de sitios alternos para propósitos de continuidad debe estar soportado por una declaración de tal
forma que estas instalaciones sean solo para el uso de la organización. Si las instalaciones alternas están
compartidas con otras organizaciones, debe elaborarse y documentarse un plan para mitigar la no disponibilidad de
estas instalaciones.
NOTA 3 Podrá ser apropiado movilizar una unidad de trabajo además del equipo de trabajo, por ejemplo una línea
de producción o la línea de call center.
7.5 TECNOLOGÍA
7.5.1 Las estrategias de tecnología dependen de la naturaleza de la tecnología empleada y

de su relación con las actividades críticas, pero de manera general, será una o una
combinación de lo siguiente:
- provista al interior de la organización,
- servicios enviados a la organización y
- servicios provistos externamente por un tercero.
7.5.2 Las estrategias de tecnología podrán incluir:
- distribución geográfica de la tecnología, por ejemplo: mantener la misma tecnología en

diferentes sedes que no serán afectadas por la misma interrupción del negocio;
- tener equipos viejos como emergencia, reemplazo o repuesto, y
- mitigación de riesgos adicionales por un único o uso de equipos.
7.5.3 Los servicios tecnológicos de información, frecuentemente necesitan complejas

estrategias de continuidad. Donde se requieran tales estrategias, se deberían tener en cuenta
las siguientes consideraciones:
- tiempos objetivos de recuperación (RTO) para los sistemas y aplicaciones que soportan
las actividades críticas identificadas en el BIA;
- locación y distancia entre los sitios de tecnología;
- número de sitios de tecnología;
- accesos remotos;
- utilización de sitios oscuros como oposición a los sitios personalizados;
- conectividad de comunicaciones y enrutamiento redundante;
21
- la naturaleza de “failover” (bien sea de intervención manual si se requiere para activarla

o que se necesite de manera automática, y
- conectividad de terceros y enlaces externos.
NOTA 1 Si se adopta la estrategia de “Failover” de un sitio a otro, debe considerarse cuidadosamente la distancia
de la red ya que la distancia entre los dos sitios podrá tener un impacto negativo sobre la red en la que opera el
sistema normal.
NOTA 2 En los casos en que haya más de dos sitios que alojan la IT de la organización, se podrá aplicar una
estrategia mutual de recuperación, de tal forma que los sistemas, la red y el almacenamiento en cada sitio sea
dimensionado para que pueda combinar el tráfico y el trabajo de las otras, de manera adicional a su propia red.
NOTA 3 Otra solución para reubicar personas en instalaciones alternas es proveerlas con accesos remotos a la IT,
a través de un sistema dial-up o a través de internet por medio de Redes Privadas Virtuales (VPN) u otra tecnología
similar.
NOTA 4 Otras guías adicionales sobre hardware para IT y telecomunicaciones se podrá encontrar en documentos
como PAS 77, NTC-ISO/IEC 27001 y NTC-ISO/IEC 20000 (ambas partes).
7.6 INFORMACIÓN
Las estrategias de información deberían ser tales que aseguren que la información vital para la
operación de la organización esté protegida y sea recuperable de acuerdo con la estructura de
tiempos definida en el BIA.
NOTA 1 Información adicional se encuentra en NTC-ISO/IEC 27001. El almacenamiento y recuperación de tal

información debe ser condescendiente con la legislación vigente.
Cualquier información requerida para permitir la ejecución de las actividades críticas de la

organización, debería tener apropiado:
- confiabilidad,
- integridad,
- disponibilidad y
- actualización.
Las estrategias de información deberían estar documentadas para la recuperación de la

información que no haya sido copiada o respaldada (backup) a un sitio seguro.
Las estrategias de información deberían incluir:
- formatos físicos y
- formatos electrónicos, etc.
NOTA 2 En todos los casos, la información necesita recuperarse a un punto en el tiempo que sea conocido y
acordado por la alta dirección. Se podrán utilizar varios métodos de copiado de información como backup electrónico
o por medio de cintas, microfichas, fotocopias, creación de copias duales al momento de la producción. Esto se
conoce como punto de recuperación y es comúnmente referido como el Punto Objetivo de Recuperación (RPO).
22
7.7 SUMINISTROS
7.7.1 La organización debería identificar y mantener un inventario de los suministros más

importantes que soportan las actividades críticas. Las estrategias para proveerlos incluyen:
- almacenamiento de suministros adicionales en otra locación;
- acuerdo con terceros para el envío rápido de pequeñas cantidades cuando se requiera;
- envíos justo a tiempo a otras locaciones;
- mantener suministros en bodegas o sitios de despacho;
- transferir o subensamblar operaciones a una locación alterna que tenga suministros, e
- identificar suministros alternos o sustitutos.
7.7.2 Donde las actividades críticas dependan de suministros especializados, la organización

debería identificar los proveedores claves y fuentes sencillas de suministro. Las estrategias
para administrar continuamente la cadena de suministros, podrán incluir:
- incremento del número de proveedores,
- fomento o requerimiento de proveedores, que tengan capacidad certificada de

continuidad de negocio,
- contratos o acuerdos, o ambos, sobre niveles de servicio con proveedores claves, o
- identificación de proveedores alternos capacitados.
7.8 PARTES INTERESADAS
7.8.1 Cuando se determinen las estrategias apropiadas de GCN, la organización debería

considerar y proteger los intereses de sus interesados claves. Estas estrategias deberían tomar
en cuenta consideraciones sociales y culturales relevantes.
7.8.2 Las organizaciones deberían identificar las estrategias apropiadas para administrar las
relaciones con sus interesados claves, socios de negocio y contratistas. Cada grupo podría
tener consideraciones especiales. Las estrategias para proteger los intereses de los
interesados claves incluyen planes especiales para asegurar el bienestar de los interesados
con necesidades específicas como incapacidad, embarazo o enfermedad.
7.8.3 La organización debería identificar una persona o grupo de personas que se harán
responsables por el bienestar enseguida del incidente.
7.9 EMERGENCIAS CIVILES
7.9.1 Las organizaciones que buscan determinar, implementar o validar estrategias para la
administración de incidentes y la administración de la continuidad de negocio; también
deberían familiarizarse en primera instancia con los cuerpos oficiales de respuesta a las
emergencias. Estos organismos locales están preparados para analizar, prevenir, preparar,
responder y recuperar actividades relacionadas con las emergencias civiles que ocurran en sus
comunidades.
23
7.9.2 Los organismos civiles deberían estar documentados para declarar las emergencias y
proporcionar:
- aviso pre o post incidente (por ejemplo análisis de riesgo),
- procedimientos de prevención e información y
- planes comunitarios de recuperación posteriores a la emergencia.
NOTA Las emergencias civiles podrán ocasionar muertes o daños físicos que podrán tener un profundo y
prolongado impacto en el bienestar sicológico, económico y social de los individuos y en sus comunidades. Las
emergencias podrán implicar la rápida interrupción de los servicios de transporte público, redes de comunicaciones,
infraestructura crítica y el suministro de productos y servicios comunitarios. En vista de esta interrupción potencial las
organizaciones podrían familiarizarse con los planes de sus respectivas comunidades locales.
7.10 APROBACIÓN
La alta dirección debería aprobar las estrategias documentadas para confirmar que la
determinación de la continuidad de negocio ha sido apropiadamente concebida y las
estrategias están listas para atender los efectos de cualquier probable interrupción y que han
sido seleccionadas apropiadamente y alcanzan los objetivos de la organización dentro del
apetito de riesgo asumido.
8. DESARROLLO E IMPLEMENTACIÓN DE LA RESPUESTA DE LA GCN
Este elemento del ciclo de vida de la GCN concierne al desarrollo e implementación de los
planes apropiados para asegurar la continuidad de las actividades críticas y la administración
de los incidentes.
n l a Cu l t u
N e ra
C Or
G
Entendiendo la
l
ga
de
Organización
ni
i ón
za
c i on
F i j ac

al

y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Figura 5. Desarrollo e implementación de la respuesta de la GCN
24
8.1 INTRODUCCIÓN
Los numerales 6 y 7 exponen cómo la organización debería:
- identificar sus actividades críticas,
- evaluar las amenazas a esas actividades críticas,
- seleccionar las estrategias apropiadas para reducir la probabilidad e impacto de los

incidentes, y
- seleccionar las estrategias apropiadas que proporcionen la continuidad o recuperación

de las actividades críticas.
El alcance del análisis de las amenazas debería estar determinado por el apetito de riesgo de
la organización.
8.2 ESTRUCTURA DE LA RESPUESTA AL INCIDENTE
8.2.1 La organización debería definir una estructura de respuesta a los incidentes que le
permita responder efectivamente y recuperarse de las interrupciones.
8.2.2 En cualquier situación de incidente debería existir una estructura que responda de
manera simple, sencilla y rápida y le permita a la organización:
- confirmar la naturaleza y alcance del incidente,
- tomar el control de la situación,
- contener el incidente y
- comunicarse con las partes interesadas.
La misma estructura debería activar una respuesta apropiada para la continuidad de negocio.
Esta estructura podría estar identificada como el Equipo de Manejo de Incidentes (IMT como
indican sus siglas en inglés) o el Equipo de Administración de la Crisis (EMC como indican sus
siglas en inglés).
8.2.3 El equipo debería contar con planes procesos y procedimientos para manejar el
incidente y deberían soportarse en herramientas de continuidad que le permita a la
organización recuperar sus actividades críticas.
8.2.4 El equipo debería contar con planes para la activación, la operación, la coordinación y la
comunicación de la respuesta al incidente.
La Figura 2 ilustra las tres fases principales de la duración de un incidente y la relación entre la
administración del incidente y la continuidad de negocio.
25
Objetivo total de recuperación

Regreso a la normalidad tan rápido como sea posible
Incidente
Tiempo cero
Línea de tiempo
Respuesta al incidente
Continuidad de negocio
Recuperación/reanudación - retorno a la normalidad

De minutos a pocas horas:
Conteo de funcionarios y
visitantes ante posibles De minutos a días:
accidentes / Análisis de la Contactar ER, proveedores,
situación para limitar daños, clientes, etc, recuperar los
Invocación del GCN. procesos críticos del De semanas a meses:
negocio, reconstruir Repara daños, reemplazar,
operaciones en proceso. reubicar a sitios permanentes
de trabajo, recuperar costos
con los aseguradores.
Figura 6. Línea de tiempo de un incidente
NOTA En algunos casos, la activación de los planes de recuperación y de administración de incidentes de la

organización podrá promulgarse en sucesión rápida o de manera simultánea.
8.2.5 Las organizaciones podrán desarrollar planes específicos para recuperar o reanudar las
operaciones de regreso al estado de ”normalidad” (planes de recuperación). Sin embargo, en
algunos incidentes, podría no ser posible definir qué parece “normal” hasta un tiempo después
del incidente, de manera que no podría ser posible implementar de manera inmediata los
planes de recuperación. Las organizaciones desearían entonces asegurar que los planes de
continuidad de negocio son capaces de extender la operación dando tiempo para desarrollar
los planes de recuperación (“retorno a la normalidad”).
8.3 CONTENIDO DE LOS PLANES
8.3.1 Introducción
Todos los planes bien sean para manejo de incidentes, continuidad de negocio o recuperación
del negocio, deberían ser concisos y accesibles a aquellas personas con responsabilidad
definida en los planes. Los planes deberían contener los elementos listados en los numerales
8.3.2 al 8.3.6.
26
8.3.2 Propósito y alcance
El propósito y alcance de cada plan específico debería estar definido y acordado por la alta
dirección y entendido por todos aquellos quienes llevan a efecto el plan. Cualquier relación con
otros planes relevantes o documentos dentro de la organización, debería estar claramente
referenciada y debería estar descrito el método de obtener la información y de acceder a tales
documentos.
Cada plan de manejo de incidentes, continuidad de negocio o recuperación de negocio,

debería tener priorizados sus objetivos en términos de:
- las actividades críticas a recuperar,
- las escalas de tiempo en las cuales van a ser recuperadas,
- los niveles de recuperación necesarios para cada actividad crítica y
- la situación en la cual debe utilizarse cada plan.
8.3.3 Roles y responsabilidades
Los roles y las responsabilidades de las personas y equipos con autoridad (en términos de
toma de decisiones y autorización de gastos) durante y enseguida del incidente, deberían estar
claramente documentados.
Las personas y grupos cubiertos por un plan deberían tener claramente definidos:
- una parte específica del negocio,
- locaciones particulares o
- un escenario particular
Y podrán incluir documentación separada para la recuperación del incidente y las fases de
recuperación y continuidad.
8.3.4 Invocación (activación) de planes
El método para invocar y activar los planes de manejo de incidentes, continuidad de negocio o
recuperación del negocio debería estar claramente documentado. Este proceso debería
permitir la invocación de los planes o parte de éstos tan rápido como sea posible, luego de la
ocurrencia de la interrupción por un incidente.
La organización debería establecer y documentar con claridad las guías y los criterios, respecto
a cuáles individuos tiene autoridad para invocar y activar los planes y bajo qué circunstancias.
El proceso de activación podrá requerir la movilización inmediata de los recursos de la

organización. El plan debería incluir una descripción clara y precisa de:
- cómo movilizar el(los) equipo(s),
- puntos de encuentro inmediato y
27
- locaciones de encuentro subsecuentes y detalles de cualquier locación alterna (en

grandes organizaciones, estos puntos de encuentro podrán referirse al manejo de
incidentes o centros de comando).
La organización debería documentar un procedimiento claro para que el (los) equipo(s)

permanezca(n) una vez que el incidente ha terminado y retornar a sus actividades como lo
realiza(n) usualmente.
8.3.5 Dueño y responsable de mantenimiento de los documentos
La organización debería nombrar un dueño del plan e identificar y documentar quién es el

responsable de su revisión, corrección y actualización a intervalos regulares de tiempo.
Se debería utilizar un sistema controlado de versiones y notificarse formalmente los cambios a

todas las partes interesadas con un registro actualizado de su distribución.
8.3.6 Detalles de contacto
Cada plan debería contener o proporcionar una referencia a los detalles esenciales de los
contactos claves.
8.4 PLAN DE MANEJO DE INCIDENTES (PMI)
El propósito de un PMI es permitir a la organización manejar la fase inicial (aguda) de un

incidente. El PMI debería:
a) ser flexible, factible y relevante,
b) ser fácil de leer y entender y
c) proporcionar las bases para manejar todos los posibles problemas, incluyendo los
externos de las partes interesadas, que la organización enfrenta durante un incidente.
El PMI debería también:
1) tener apoyo de la alta dirección incluyendo el comité consultivo (sponsor) donde sea
aplicable y
2) estar apoyado por un presupuesto apropiado para desarrollo, mantenimiento y

entrenamiento.
8.5 CONTENIDO DEL PMI
8.5.1 General
Adicionalmente al contexto recomendado en el numeral 8.3, un PMI debería incluir la

información que se entrega en los numerales 8.5.2 al 8.5.8.
8.5.2 Tareas y listas de acción
El PMI debería incluir una lista de tareas y una lista de chequeo de las actividades necesarias
para manejar las consecuencias inmediatas de una interrupción. Estas tareas deberían:
- en primera instancia, garantizar la seguridad de las personas;
28
- basarse en los resultados del BIA de la organización;
- estructurarse, de tal manera que la organización seleccione las opciones estratégicas y

tácticas (como se describe en el numeral 7), y
- ayudar a prevenir pérdidas sobrevinientes o indisponibilidad de las actividades críticas y

soportar los recursos, tal como se definió en el numeral 7.
8.5.3 Contactos de emergencia
Se debería incluir una descripción de cómo y bajo qué circunstancias, la organización se

comunicará con sus funcionarios, partes interesadas, amigos y contactos de emergencia. En
algunos casos podría ser apropiado incluir un documento separado.
La información de contacto de clínicas y contactos de emergencia, debería mantenerse

actualizada y estar disponible para su utilización inmediata.
8.5.4 Actividades con respecto a las personas
El PMI debería satisfacer los intereses de aquellas personas cuyo bienestar podría estar en
riesgo como resultado de un incidente, tomando en cuenta consideraciones sociales y
culturales relevantes (véase el numeral 7.8.2).
El PMI debería identificar la(s) persona(s) que tendrán la responsabilidad por los problemas de
bienestar siguientes al incidente (véase el numeral 7.8.3), incluyendo:
a) sitios de evacuación (inclusive actividades en refugios internos);
b) movilización de la seguridad, primeros auxilios y equipos de evacuación;
c) ubicación y conteo de quienes estaban en el sitio o en la vecindad inmediata, y
d) identificación de las comunicaciones con clientes/empleados y reuniones informativas

de seguridad.
La organización debería desplegar un equipo de trabajo, con niveles apropiados de autoridad

para coordinar, donde sea necesario, con los servicios de emergencia.
NOTA Los servicios de emergencia desempeñan el rol primario en la protección de vidas y el alivio del
sufrimiento durante las emergencias. Por esta razón, la coordinación inicial, la fase previa a la planificación en el
manejo del incidente y la coordinación en tiempo real entre la organización y los servicios de emergencia, podrán
mejorar la eficiencia de la respuesta al incidente.
La organización puede retener un medio de distribución para proporcionar servicios a áreas y

entidades internas afectadas por el incidente. Los servicios pueden suministrarse externamente
o proporcionarse como una extensión de los programas existentes de salud ocupacional y
asistencia a los funcionarios.
8.5.5 Respuesta a los medios de comunicación
La respuesta de la organización a los medios debería estar documentada en el PMI incluyendo:
a) la estrategia para la comunicación de incidentes;
b) las interrelaciones de la organización con los medios de su preferencia;

29
c) una guía o modelo para los borradores del estado de la información que se va a
proporcionar a los medios en la primera oportunidad siguiente al incidente;
d) un número apropiado de voceros nombrados, entrenados, competentes y autorizados

para entregar información a los medios, y
e) establecer, donde sea práctico, una sala para apoyar la coordinación con los medios u
otros grupos de interés.
En algunos casos, esto podrá ser apropiado para:
- proporcionar apoyo detallado con documentos separados;
- establecer un número apropiado de funcionarios entrenados y competentes para

responder vía telefónica las preguntas de la prensa;
- preparar material de respaldo de la organización y sus operaciones (esta información

debería estar pre-acordada para su emisión), y
- asegurar que toda la información para los medios está disponible sin retraso excesivo.
8.5.6 Gestión de las partes interesadas
Se debería incluir un procedimiento para identificar y priorizar las comunicaciones con otros
interesados claves. Puede ser necesario desarrollar un plan separado de administración de las
partes interesadas para proporcionar criterios de selección de prioridades y ubicar una persona
para cada interesado o grupo de interesados.
8.5.7 Locación para la administración del incidente
La organización debería definir un sitio, salón o espacio predeterminado y robusto desde el que
pueda administrar el incidente. Una vez establecido, este sitio debería enfocarse en la
respuesta de la organización al incidente. Se podría también definir un punto alterno de
encuentro para el caso en que no se pueda ingresar al sitio primario. Cada sitio debería tener
acceso a los recursos apropiados con los que inicialmente el equipo podrá realizar las
actividades para la administración efectiva del incidente sin demoras.
El sitio seleccionado debería estar adecuado para todo propósito e incluir:
a) medios efectivos de comunicación efectivos primarios y secundarios y
b) facilidades para acceder a información compartida incluyendo el monitoreo de las

noticias de los medios.
8.5.8 Anexos
El PMI debería incluir detalles actualizados con información de contacto y movilización para
cualquier agencia u organización relevante y recursos que puedan requerirse para dar soporte
a las estrategias de respuesta de la organización.
El PMI debería incluir formatos para guardar información vital del incidente como su duración,
víctimas, decisiones tomadas, gastos incurridos, análisis de daños, comunicados emitidos y
otra información esencial que la organización estime para soportar la revisión posterior al
incidente.
30
El PMI también podrá incluir o referenciar:
a) mapas, cartas, planos, fotografías y otra información que pueda ser relevante en el
evento de un incidente;
b) estrategias documentadas de respuesta acordadas con terceros (socios de riesgo

compartido, contratistas, proveedores, entre otros);
c) detalles de equipos y áreas de almacenamiento;
d) planes de acceso al sitio, y
e) un procedimiento para la atención y administración de reclamos que aseguren que

todos los reclamos para o contra la organización cumplen los requisitos regulatorios y
contractuales.
8.6 LOS PLANES DE CONTINUIDAD DE NEGOCIO (PCN)
El propósito de un plan de continuidad de negocio (PCN) es permitir que una organización

recupere o mantenga sus actividades en el evento de una interrupción de la operación normal
de sus negocios.
Los planes de continuidad PCN son activados para apoyar las actividades críticas requeridas
para lograr los objetivos de la organización. Podrán ser activados total o parcialmente en
cualquier etapa de la respuesta a un incidente.
8.7 CONTENIDO DEL PCN
8.7.1 General
Adicional a los puntos recomendados en el numeral 8.3, un plan PCN debería contener los
elementos descritos en los numerales 8.7.2. al 8.7.5
8.7.2 Planes de acción / listas de tareas
El plan de acción debería incluir una lista de chequeo estructurada de acciones y tareas, en
orden de prioridad, resaltándose:
a) cómo se invoca (activa) el plan PCN;
b) la(s) persona(s) responsable(s) de invocar (activar) el plan de continuidad de negocio;
c) el procedimiento que cada persona debe adoptar cuando se toma esa decisión;
d) la(s) persona(s) que debería(n) ser consultada(s) antes de tomar esa decisión;
e) la(s) persona(s) que debería(n) ser informada(s) una vez que se haya tomado esa
decisión;
f) quién va, a dónde y cuándo;
g) qué servicios están disponibles, dónde y cuándo, incluyendo cómo moviliza la

organización sus recursos externos y sus terceros;
31
h) cómo y cuándo es comunicada esta información, y
i) si existen procedimientos detallados pertinentes para soluciones alternativas manuales,

sistemas de recuperación, entre otros.
8.7.3 Requerimiento de recursos
Los recursos necesarios para la continuidad de negocio y la recuperación de negocio deberían

estar identificados en diferentes puntos en el tiempo. Pueden incluir:
a) personas, las que podrán incluir:
- seguridad,
- logística de transporte,
- necesidades de bienestar y
- gastos para emergencias;
b) instalaciones;
c) tecnología incluyendo comunicaciones;
d) información, que podrá incluir:
- detalles financieros (por ejemplo la nómina),
- registros de cuentas de clientes,
- detalles de proveedores y de partes interesadas,
- documentos legales (por ejemplo contratos, pólizas de seguro, escrituras, entre

otros),
- otros documentos de servicios (por ejemplo acuerdos de niveles de servicio);
e) suministros, y
f) administración y comunicaciones con las partes interesadas.
8.7.4 Persona(s) responsable(s)
La organización debería identificar y nombrar una(s) persona(s) para administrar las fases de
continuidad de negocio y de recuperación de negocio, ante una interrupción de sus
operaciones.
8.7.5 Formatos y anexos
Donde sea apropiado, el PCN debería contener detalles actualizados de contacto para
agencias, organizaciones y proveedores relevantes internos y externos que podrían requerirse
para apoyar a la organización.
32
El plan de continuidad de negocio debería incluir un formato para el registro de información vital
del incidente, especialmente respecto a las decisiones tomadas.
9. EJERCICIOS Y PRUEBAS, MANTENIMIENTO Y REVISIÓN DE PLANES GCN
Este elemento del ciclo de vida de la GCN asegura que los planes de una organización son
validados y revisados mediante ejercicios y pruebas, y que se mantienen actualizados.
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
l
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Figura 7. Ejercicios y pruebas, mantenimiento y revisión de planes GCN
9.1 INTRODUCCIÓN
Los planes de continuidad de negocio y de administración de incidentes no podrán

considerarse confiables hasta que no se hayan ejercitado, probado y permanezca actualizada
su información. Los ejercicios y las pruebas son esenciales para desarrollar equipos de trabajo,
competencia, confidencialidad y conocimiento, lo cual es vital en el momento de un incidente.
Los planes deberían verificarse a través de ejercicios y pruebas, auditorías y procesos de auto
evaluación para asegurar que están listos para su propósito.
9.2 PROGRAMA DE EJERCICIOS Y PRUEBAS
Un programa de ejercicios y pruebas debería ser consistente con el alcance del(los) plan(es) de
continuidad de negocio, dando reconocimiento a cualquier legislación y regulación relevantes.
Los ejercicios y pruebas incluyen:
- anticipar un resultado predeterminado; por ejemplo: están planeados o incluidos en el

avance; o
33
- dejar que la organización desarrolle soluciones innovadoras.
Un programa de ejercicios y pruebas debería estar concebido de forma tal que conduzca al
aseguramiento del objetivo que el PCN trabajará de manera anticipada cuando se requiera. El
programa debería:
- ejercitar y probar los sistemas técnicos, administrativos, logísticos y otros sistemas

PCN;
- ejercitar y probar los planes y la infraestructura del PCN (incluyendo responsabilidades,

roles y cualquier locación y área de trabajo para la administración de incidentes);
- validar la recuperación de la tecnología y las telecomunicaciones, incluyendo la

disponibilidad y reubicación del equipo de trabajo.
Adicionalmente, podría dirigir al mejoramiento de la capacidad la GCN por:
- practicar la capacidad de la organización para recuperarse de un incidente;
- verificar que el PCN incorpora todas las actividades críticas y sus dependencias y
prioridades;
- resaltar los supuestos que necesitan cuestionarse;
- infundir confianza entre los participante en los ejercicios y pruebas;
- aumentar la conciencia de la continuidad de negocio a través de la organización,

mediante la publicación de los ejercicios y pruebas;
- validar la efectividad y oportunidad de restauración de las actividades críticas, y
- demostrar competencia de los equipos de respuesta primaria y sus alternos.
9.3 PROGRAMA DE EJERCICIOS Y PRUEBAS DE LOS PLANES DE LA GCN
9.3.1 Los ejercicios y pruebas deberían ser reales, cuidadosamente planeados y acordados
con las partes interesadas, de manera que haya un mínimo riesgo de interrupción de los
procesos del negocio. Un ejercicio o prueba debería planearse de manera que el riesgo de
ocurrencia de un incidente como consecuencia del ejercicio o prueba, sea mínimo.
9.3.2 Todos los ejercicios y pruebas deberían tener claramente definidos sus intenciones y
objetivos. Debería realizarse una reunión informativa luego de los ejercicios y pruebas y
analizar lo que debería emprenderse para lograr los objetivos del ejercicio o prueba. También
se debería elaborar un reporte pos ejercicio o prueba que contenga las recomendaciones y un
registro de los tiempos para su implementación.
9.3.3 La escala y complejidad de los ejercicios y pruebas deberían ser las apropiadas para la
recuperación de los objetivos de la organización.
9.3.4 Los planes de continuidad de negocio y administración de incidentes deberían estar

ejercitados y probados para asegurar que podrán ejecutarse correctamente y contienen
detalles e instrucciones apropiados.
34
9.3.5 El programa de ejercicios y pruebas debería considerar los roles de todas las partes
involucradas incluyendo terceros, proveedores, socios externos y aquellos que se espera
participarán en las actividades de recuperación. Una organización podrá incluir tales partes en
sus ejercicios y pruebas.
9.4 PLANES DE MANTENIMIENTO DE LA GCN
Se debería establecer un programa documentado para el mantenimiento de la GCN. Este

programa debería asegurar que cualquier cambio (interno o externo) que impacte la
organización es revisado en relación con la GCN. Debería también identificar cualquier nuevo
producto y servicio y sus actividades dependientes que necesitan incluirse en el programa de
mantenimiento en la GCN.
Como resultado del programa de mantenimiento, la organización debería:
- revisar y probar cualquier cambio supuesto en cualquier componente a lo largo de la

organización y
- distribuir la política, las estrategias, las soluciones, los procedimientos y los planes
actualizados corregidos o cambiados, a las personas claves, bajo un control formal de
cambios.
NOTA Si se presentan cambios mayores en la organización, entonces se actualiza el BIA. Los demás
componentes del programa GCN podrán arreglarse teniendo en cuenta estos cambios.
Los resultados del programa de mantenimiento de la GCN deberían incluir:
- evidencias documentadas de la administración proactiva y el gobierno del programa de

continuidad de negocio de la organización;
- verificación de que las personas claves que están a cargo de la implementación de la

GCN están entrenadas y tienen la competencia suficiente;
- verificación del monitoreo y control de los riesgos de la GCN enfrentados por la

organización, y
- evidencias documentadas de que los cambios a la estructura de la organización, sus

productos, servicios, actividades, propósitos, equipo de trabajo y objetivos se han
incorporado en los planes de continuidad de negocio y administración de incidentes.
35
Tabla 1. Tipos y métodos de ejercicios y pruebas del programa BCM
Frecuencia
Complejidad Ejercicio /Prueba Proceso Variantes
Buenas prácticas (A)
Prueba de escritorio Revisión/corrección de Actualización/validación Al menos una vez al
contenido Auditoría/verificación año
Simple
Funcionamiento del
contenido del BCP
Prueba guiada del plan Funcionamiento del Incluye interacción y Anualmente
contenido del BCP validación de los roles
de los participantes
Simulación Uso de una situación Incorporados planes Anualmente o dos
"artificial" para validar asociados veces por año
que los planes BCP
contienen información
Media necesaria y suficiente
que permita una
recuperación exitosa
Ejercicio y prueba de Invocar en situación Operaciones con Anualmente o menos
actividades críticas controlada donde no duración fija definidas
ponga en peligro la desde sitios alternos
operación normal del
negocio
Ejercitar Edificio-/campus-/ Anualmente o menos
completamente el BCP exclusión de las zonas
Compleja
incluyendo el manejo de pruebas
de incidentes
(A)
La frecuencia de las pruebas debería depender de las necesidades de la organización, el ambiente en el que
opera y las necesidades de las partes interesadas. Sin embargo, el programa de ejercicios y pruebas debería ser
flexible, tener en cuenta la tasa de cambios en la organización y los resultados de los ejercicios y pruebas
previos.
El programa propuesto puede aplicarse a planes individuales, componentes de los planes simples y múltiples.
9.5 PLANES DE REVISIÓN DE LA GCN
9.5.1 La alta dirección de la organización debería, dentro de los intervalos que considere
apropiados, revisar la capacidad de la GCN para asegurar su disponibilidad continua,
adecuación y efectividad. Esta revisión debería documentarse.
9.5.2 La revisión debería verificar que el cumplimiento de la política de la GCN con los
objetivos de la organización, asegura el cumplimiento de cualquier ley aplicable, norma,
estructura, procedimiento y buenas prácticas profesionales.
9.5.3 La revisión debería dirigirse a las posibles necesidades de cambios a la política,

estrategia, objetivos y otros elementos del sistema de administración de la GCN, en el
entendido que tales sucesos, como resultados de los ejercicios y pruebas cambien las
circunstancias y el comité de mejoramiento continuo.
9.5.4 La revisión podrá tomar la forma de auditoría interna o externa o auto-análisis. La

frecuencia y periodicidad de las revisiones podrán estar influidas por leyes y regulaciones,
dependiendo del tamaño naturaleza y estatus legal de la organización. También podrían estar
influidas por las necesidades de las partes interesadas.
Una auditoría o auto-análisis del programa GCN de la organización debería verificar que:
- todos los productos y servicios y sus soportes a las actividades críticas y recursos se
han identificado e incluido en la estrategia GCN de la organización;
36
- la política, las estrategias, la estructura y los planes reflejan fielmente sus prioridades y
requerimientos (los objetivos de la organización);
- la competencia de la organización y la capacidad de su GCN son efectivas para todos

los propósitos y le permitirán la administración, comando, control y coordinación de un
incidente;
- las soluciones de la GCN de la organización son efectivas, aplicables en cualquier

momento y para todo propósito y apropiados para el nivel de riesgo enfrentado por la
organización;
- los programas de mantenimiento, ejercicios y pruebas de la GCN han sido

implementados efectivamente;
- las estrategias y planes de la GCN incorporan las mejoras identificadas durante los
incidentes y los programas de ejercicios, pruebas y mantenimiento;
- la organización tiene un programa continuo de capacitación y entrenamiento de la GCN;
- los procedimientos de la GCN se han comunicado efectivamente al equipo de trabajo

pertinente y que ese equipo de trabajo entiende sus roles y responsabilidades, y
- los procedimientos de control de cambios están implementados y operan efectivamente.
9.5.5 Auditoría
La organización debería desarrollar una auditoría independiente de la capacidad y competencia

de su GCN para identificar fallas actuales y potenciales. Se deberían establecer, implementar y
mantener procedimientos para tratarlas. Las auditorías independientes deberían ser
conducidas por personas competentes, bien sean internas o externas.
9.5.6 Auto evaluación
El proceso de autoevaluación asegura que una organización cuenta con un GCN robusto,
efectivo, para todo propósito, competente y de gran capacidad. Provee la verificación cualitativa
de la habilidad de una organización, para recuperarse de un incidente. El auto-análisis debería
realizarse contra los objetivos de la organización. También debería tener en cuenta las buenas
prácticas y los estándares relevantes de la industria.
10. INCORPORACIÓN DE LA GCN EN LA CULTURA DE LA ORGANIZACIÓN
Para ser exitosa, la continuidad de negocio tiene que convertirse en parte del camino que una
organización administra, con independencia del tamaño o sector. En cada etapa del proceso
GCN, existen oportunidades para introducir y mejorar la cultura GCN de la organización.
37
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Figura 8. Incorporación de la GCN en la cultura de la organización
10.1 GENERALIDADES
La construcción, promoción y fijación de la cultura GCN dentro de la organización, asegura que

se convierte en parte de los valores centrales y administración efectiva de la organización. Una
organización con una positiva cultura GCN:
- desarrollará más eficientemente el programa GCN;
- inspirará confianza en sus partes interesadas (especialmente en sus clientes y equipo

de trabajo), en su capacidad para manejar las interrupciones de negocio;
- incrementará su resiliencia en el tiempo, asegurando que las implicaciones son

consideradas en las decisiones en todos los niveles, y
- minimizará la probabilidad e impacto de interrupciones.
El desarrollo de una cultura GCN está apoyada por:
- el liderazgo del personal de mayor rango en la organización;
- el asignación de responsabilidades (véase el numeral 5.2);
- el incremento de la conciencia;
- las habilidades por entrenamiento, y
- ejercicios y pruebas de los planes.

38
10.2 CONCIENTIZACIÓN
La organización debería contar con un procedimiento para identificar y entregar las

necesidades para la concientización de la GCN, y evaluar la efectividad de esa entrega.
El equipo de trabajo de la GCN debería autoconcientizarse con información externa de la GCN.

Esto podrá hacerse conjuntamente con la búsqueda de guías de los servicios de emergencia,
las autoridades locales y los entes reguladores.
La organización debería incrementar, mejorar y mantener la conciencia de la GCN mediante un

programa continuo de educación e información para su equipo de trabajo.
Este programa podrá incluir:
- un proceso de consulta, a través de la organización concerniente a la implementación

del programa GCN;
- discusión de la GCN en los documentos de la organización, reuniones, programas de

inducción o periódicos;
- inclusión de la GCN en las redes intranet e internet más pertinentes;
- aprendizaje de incidentes internos y externos;
- la GCN como un ítem en las reuniones de los equipos;
- plan de ejercicios y pruebas continuos en locaciones alternas (por ejemplo en el sitio de

recuperación), y
- visitas a cualquiera de los sitios designados como alternos (por ejemplo, en el sitio de
recuperación).
La organización podrá extender su programa de concientización de la GCN a sus proveedores

y otras partes interesadas.
10.3 FORMACIÓN
La organización debería contar con un procedimiento para identificar y entregar los

requerimientos para la formación de GCN de los participantes relevantes y evaluar la
efectividad de esa entrega.
La organización debería emprender un programa de entrenamiento de:
a) el equipo de trabajo para tareas como:
- la gestión del programa GCN,
- realización del análisis de impacto al negocio BIA,
- desarrollo e implementación de los programas PCN,
- ejecución de los programas de ejercicios y pruebas,
39
- análisis de riesgos y amenazas y
- medios de comunicación, y
b) los grupos que no forman parte del grupo de trabajo de la GCN que requieren
habilidades para emprender sus roles nominativos en la respuesta al incidente o
recuperación de negocio.
Las competencias y habilidades de respuesta a través de la organización deberían

desarrollarse por prácticas de entrenamiento que incluyan la participación activa en los
ejercicios y pruebas.
40
BIBLIOGRAFÍA
NTC-ISO 9000, Sistemas de Gestión de la Calidad. Fundamentos y Vocabulario.
NTC-ISO/IEC 20000 (ambas partes), Tecnología de la información. Gestión del Servicio.
NTC-ISO/IEC 27001, Tecnología de la información. Técnicas de seguridad. Sistemas de

gestión de la seguridad de la información (SGSI). Requisitos
PAS77, IT Service Continuity Management.
OTRAS PUBLICACIONES
[1] The Civil Contingencies Act 2004, London: TSO.
41
DOCUMENTO DE REFERENCIA
BIRTISH STANDARD, Business Continuity Management. Part 1: Code of Practice. United

Kingdom, 2006, 50 p. (BSI 25999-1:2006).
42

GTC176 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

GTC176 PDF

Cargado por

Copyright:

Formatos disponibles

GUÍA TÉCNICA GTC

GUÍA PARA LA GESTIÓN DE LA CONTINUIDAD

E: GUIDANCE ON BUSINESS CONTINUITY MANAGEMENT

CORRESPONDENCIA: es una adopción idéntica de la norma

DESCRIPTORES: continuidad; negocio; gestión; riego;

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)

Prohibida su reproducción Primera actualización

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC, es el organismo

La representación de todos los sectores involucrados en el proceso de Normalización Técnica

A continuación se relacionan las empresas que colaboraron en el estudio de esta norma a

BANCO DE LA REPÚBLICA ITEAM CONSULTING

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las

ABN AMOR SECURITIES COLOMBIA S.A. BANCO COLPATRIA RED MULTIBANCA

1. OBJETO Y ALCANCE DE APLICACIÓN........................................................................1

2. TÉRMINOS Y DEFINICIONES .........................................................................................1

3. VISIÓN GENERAL DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO (GCN) .........5

3.1 ¿QUÉ ES GCN?................................................................................................................5

3.2 GCN Y ESTRATEGIA ORGANIZACIONAL ...................................................................5

3.3 GCN Y LA RELACIÓN CON LA GESTIÓN DE RIESGOS ............................................5

3.4 POR QUÉ UNA ORGANIZACIÓN DEBE EMPRENDER LA GCN.................................6

3.5 BENEFICIOS DE UN PROGRAMA EFECTIVO DE GCN...............................................6

3.6 RESULTADOS DE UN PROGRAMA EFECTIVO DE GCN............................................7

3.7 ELEMENTOS DEL CICLO DE VIDA DE LA GESTIÓN DE LA CONTINUIDAD

4. POLÍTICA DE LA ADMINISTRACIÓN DE LA CONTINUIDAD DE NEGOCIO ............9

4.1 VISIÓN GENERAL ............................................................................................................9

4.2 CONTEXTO .......................................................................................................................9

4.3 DESARROLLO DE LA POLÍTICA DE CONTINUIDAD DE NEGOCIO........................10

4.4 ALCANCE DE UN PROGRAMA DE GCN.....................................................................10

4.5 ACTIVIDADES CONTRATACIÓN EXTERNA ...............................................................10

5. GESTIÓN DEL PROGRAMA GCN ................................................................................10

5.1 ASPECTOS GENERALES .............................................................................................11

5.2 ASIGNACIÓN DE RESPONSABILIDADES (GOBIERNO)...........................................11

5.3 IMPLEMENTACIÓN DE LA CONTINUIDAD DE NEGOCIO

5.4 GESTIÓN CONTINÚA ...................................................................................................12

5.5 DOCUMENTACIÓN DE LA GCN ...................................................................................13

6.2 ANÁLISIS DE IMPACTO AL NEGOCIO (BIA) ..............................................................15

6.3 IDENTIFICACIÓN DE ACTIVIDADES CRÍTICAS .........................................................15

6.4 DETERMINACIÓN DE LOS REQUISITOS DE CONTINUIDAD ..................................16

6.5 EVALUACIÓN DE AMENAZAS A ACTIVIDADES CRÍTICAS

6.6 DETERMINACIÓN DE ALTERNATIVAS ......................................................................17

6.7 APROBACIÓN ................................................................................................................18

7. DETERMINAR LA ESTRATEGIA DE CONTINUIDAD DE NEGOCIO.........................18

7.2 OPCIONES DE ESTRATEGIA ......................................................................................19

7.3 PERSONAL .....................................................................................................................20

7.4 INSTALACIONES ...........................................................................................................20

7.6 INFORMACIÓN ...............................................................................................................22

7.8 PARTES INTERESADAS ...............................................................................................23

7.9 EMERGENCIAS CIVILES...............................................................................................23

7.10 APROBACIÓN ................................................................................................................24

8. DESARROLLO E IMPLEMENTACIÓN DE LA RESPUESTA DE LA GCN.................24

8.2 ESTRUCTURA DE LA RESPUESTA AL INCIDENTE .................................................25

8.3 CONTENIDO DE LOS PLANES.....................................................................................26

8.4 PLAN DE MANEJO DE INCIDENTES (PMI) .................................................................28

8.5 CONTENIDO DEL PMI ...................................................................................................28

8.6 LOS PLANES DE CONTINUIDAD DE NEGOCIO (PCN) .............................................31

8.7 CONTENIDO DEL PCN ..................................................................................................31

9. EJERCICIOS Y PRUEBAS, MANTENIMIENTO Y REVISIÓN DE PLANES GCN ......33

9.2 PROGRAMA DE EJERCICIOS Y PRUEBAS................................................................33

9.3 PROGRAMA DE EJERCICIOS Y PRUEBAS DE LOS PLANES DE LA GCN............34

9.4 PLANES DE MANTENIMIENTO DE LA GCN ...............................................................35

9.5 PLANES DE REVISIÓN DE LA GCN.............................................................................36

10. INCORPORACIÓN DE LA GCN EN LA CULTURA DE LA ORGANIZACIÓN............37

10.2 CONCIENTIZACIÓN .......................................................................................................39