Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COLOMBIANA 176
2010-11-17
I.C.S.: 03.100.01
ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental
para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en
los mercados interno y externo.
La GTC 176 (Primera actualización) fue ratificada por el Consejo Directivo de 2010-11-17.
Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en
todo momento a las necesidades y exigencias actuales.
ICONTEC cuenta con un Centro de Información que pone a disposición de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIÓN DE NORMALIZACIÓN
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
CONTENIDO
Página
Página
6. ENTENDIENDO LA ORGANIZACIÓN...........................................................................13
6.1 INTRODUCCIÓN.............................................................................................................14
7.1 INTRODUCCIÓN.............................................................................................................19
7.5 TECNOLOGÍA.................................................................................................................21
7.7 SUMINISTROS................................................................................................................23
Página
8.1 INTRODUCCIÓN.............................................................................................................25
9.1 INTRODUCCIÓN.............................................................................................................33
10.1 GENERALIDADES..........................................................................................................38
10.3 FORMACIÓN...................................................................................................................39
BIBLIOGRAFÍA ...........................................................................................................................41
DOCUMENTOS DE REFERENCIA............................................................................................42
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
Página
FIGURAS
Esta GTC establece los procesos, principios y terminología de la Gestión de la Continuidad del
Negocio (GCN). El propósito de esta GTC es brindar una base para el entendimiento,
desarrollo e implementación de la continuidad del negocio en una organización, con el fin de
proporcionar confianza en las relaciones de la organización con clientes y otras organizaciones.
También permite a la organización medir su capacidad de GCN, de forma consistente y
reconocida.
Cualquier persona con responsabilidad sobre las operaciones o la provisión de servicios puede
utilizar esta GTC: desde la alta dirección pasando por todos los niveles de la organización;
desde aquellos funcionarios con cargos sencillos, hasta aquellos con presencia global; desde
simples comerciantes y pequeñas y medianas empresas (pymes), hasta grandes
organizaciones que emplean cientos de personas. Por tanto, es aplicable a toda persona que
sea responsable de cualquier operación, y de este modo de la continuidad de esa operación.
Esta GTC no incluye las actividades de planificación de emergencia, puesto que este asunto se
refiere a las emergencias civiles.
NOTA En definitiva, no importa cuánto esfuerzo o recursos se inviertan en la GCN, una organización podría
seguir enfrentándose a un incidente o combinación de incidentes que no había previsto.
2. TÉRMINOS Y DEFINICIONES
Para los propósitos de esta GTC, se aplican los siguientes términos y definiciones:
NOTA Ejemplos de tales procesos incluyen el área financiera, soporte a clientes, sistemas, producción, y
distribución.
1 de 42
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
2.3 Gestión de la continuidad del negocio (GCN). Proceso administrativo holístico que
identifica las amenazas potenciales a una organización y los impactos a las operaciones del
negocio que esas amenazas, en caso de materializarse, podrían causar y que proporciona una
estructura para construir resiliencia organizacional con capacidad para una respuesta efectiva
que salvaguarde los intereses de sus grupos claves de interés, su reputación, marca y
actividades de valor agregado.
2.9 Emergencia civil. Acontecimiento o situación que amenaza con serios daños al bienestar
humano.
2.10 Consecuencia. Resultado de un incidente que tenga un impacto en los objetivos de una
organización.
NOTA 2 Una consecuencia podrá ser cierta o incierta y podrá tener un impacto positivo o negativo sobre los
objetivos.
NOTA El beneficio debería definirse en términos financieros, de reputación, prestación del servicio, regulatorio u
otro término apropiado para la organización.
2.12 Actividad crítica. Actividad que se realiza para garantizar el despacho de los productos y
servicios claves que le permitan a la organización cumplir con sus objetivos más importantes.
2
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
2.13 Interrupción. Evento previsto (como una huelga de empleados o un huracán) o imprevisto
(como un apagón o un terremoto), que causa una desviación negativa no planeada frente a los
envíos de productos o prestación de los servicios de acuerdo con los objetivos de la
organización.
NOTA Un ejercicio debería involucrar la invocación (activación) de los procedimientos de continuidad de negocio,
pero es más probable que involucre la simulación de un incidente de continuidad anunciado o no anunciado donde
los participantes desempeñan un papel, con el fin de analizar qué problemas podrán surgir, antes de realizarse una
activación real.
2.18 Incidente. Situación que podría ser o podría causar la interrupción del negocio, pérdidas,
emergencia o crisis.
2.19 Plan de manejo de incidentes. Plan de acción definido y documentado claramente para
ser utilizado durante un incidente. Su contenido típico es el personal clave, los recursos, las
acciones y los servicios necesarios para el proceso de manejo del incidente.
2.20 Activación (invocación). Acto de declarar que el plan de continuidad de negocio de una
organización necesita ponerse a funcionar para garantizar el envío de sus productos claves o la
prestación de los servicios.
2.21 Probabilidad. Posibilidad de que algo ocurra bien sea que se haya definido, medido o
estimado objetiva o subjetivamente, o en términos de los descriptores generales (tales como
raro, improbable, probable, casi cierto), frecuencia o probabilidad matemática.
EJEMPLO Compañía, corporación, firma, empresa, institución, institución de beneficiencia, empresa unipersonal
o asociación, o parte o una combinación de las anteriores.
3
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
2.25 Productos y servicios. Resultados beneficiosos provistos por una organización a sus
clientes, destinatarios y grupos de interés, por ejemplo: productos manufacturados, seguros de
automóvil, cumplimiento regulatorio y servicios sanitarios.
2.27 Resiliencia. Capacidad de una organización para resistir los efectos de un incidente.
2.28 Riesgo. Algo que podría suceder y afectar el logro de los objetivos organizacionales.
NOTA 1 La palabra “riesgo” es utilizada coloquialmente de varias formas: como sustantivo (un “riesgo”, o en plural
“riesgos”), como verbo (arriesgar (algo), o poner en riesgo), o como un adjetivo (riesgoso). Utilizado como sustantivo,
el término “riesgo” se refiere a un evento potencial, sus causas, la probabilidad de que algo suceda o los efectos de
dichos eventos. En administración de riesgos (véase el numeral 6.5) es importante tener claridad para distinguir
entre los variados usos de la palabra “riesgo”.
NOTA 2 El riesgo está relativamente definido para un objetivo particular; por tanto, lo concerniente a varios
objetivos implica la posibilidad de más de una medición del riesgo respecto a cualquier fuente de riesgo.
NOTA 3 El riesgo está cuantificado como el efecto promedio de sumar el efecto combinado de cada posible
consecuencia con la probabilidad asociada de cada consecuencia, para obtener un “valor esperado”. Sin embargo,
se necesitan distribuciones de probabilidad para cuantificar las percepciones sobre el rango de posibles
consecuencias. Alternativamente, los estadígrafos, como la desviación estándar, puede utilizarse para obtener el
valor esperado.
2.29 Riesgo residual. Cantidad total de riesgo que una organización está dispuesta a aceptar,
tolerar o estar expuesta a asumir en cualquier momento dado.
2.32 Partes interesadas. Todos aquellos que tienen interés especial en el logro de los
objetivos de una organización.
NOTA Éste es un término de amplio espectro que incluye, pero no se limita a, empleados internos y
“tercerizados”, clientes, proveedores, accionistas, funcionarios, distribuidores, inversionistas, propietarios, gobierno y
entes reguladores.
2.33 Alta dirección. Persona o grupo de personas que dirigen y controlan una organización al
más alto nivel (NTC-ISO 9000:2005).
NOTA La alta dirección, especialmente en grandes organizaciones multinacionales, podrá no estar directamente
involucrada; sin embargo, queda manifiesta su responsabilidad, a través de la cadena de mando. En organizaciones
pequeñas, la alta dirección la podrán tener los propietarios o un solo propietario.
4
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
Mientras que los procesos individuales de continuidad de negocio podrán cambiar según el
tamaño de la organización, las estructuras, las responsabilidades de la organización y los
principios básicos permanecen invariables para organizaciones de voluntariado, sector privado
o público, sin tener en cuenta su tamaño, alcance o complejidad.
Todas las organizaciones, tanto grandes como pequeñas, tienen metas y objetivos, como por
ejemplo crecimiento para prestar servicios y para adquirir otros negocios. Estas metas y
objetivos generalmente se logran a través de planes estratégicos definidos de corto, mediano o
largo plazo de la organización. El entendimiento de GCN en el nivel más alto nivel de la
organización asegurará que estas metas y objetivos no se vean comprometidos ante
interrupciones inesperadas.
Las consecuencias de cada incidente varían y pueden tener un alcance muy extenso. Estas
consecuencias pueden involucrar la pérdida de vidas, de activos o de ingresos o la incapacidad
de entregar y prestar productos y servicios sobre los que podrían depender la estrategia, el
prestigio o incluso la supervivencia de la Organización.
GCN es complementario con respecto del marco de Gestión de Riesgos que busca entender
los riesgos de las operaciones del negocio, así como las consecuencias de esos riesgos.
La gestión de riesgos busca gestionar el riesgo en torno a los productos y servicios claves que
entrega y presta la organización. La entrega y la prestación de productos y servicios pueden
verse interrumpidos por una amplia variedad de incidentes, muchos de los cuales son difíciles
de predecir o analizar por su causa.
5
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
Con este reconocimiento, la organización puede tener una visión realista sobre las respuestas
que probablemente tengan que darse cómo y cuando ocurra una interrupción, de manera que
pueda confiar en que se manejarán adecuadamente sus consecuencias, sin desvíos
inaceptables de sus productos y servicios.
Una organización que cuente con medidas de GCN apropiadas puede beneficiarse de
oportunidades en las que se encuentre en alto riesgo.
Toda actividad del negocio está sujeta a interrupciones como fallas tecnológicas, inundaciones,
interrupción de los servicios y terrorismo. La GCN proporciona la capacidad para reaccionar
adecuadamente a interrupciones operacionales mientras protege su bienestar y su seguridad.
- tiene preparada una respuesta efectiva que minimiza el impacto ante las interrupciones
en la organización;
6
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
- puede ganar ventaja competitiva conferida por la capacidad demostrada para mantener
sus despachos.
- los equipos de trabajo son entrenados efectivamente, para responder en forma eficaz
ante una interrupción, a través de ejercicios apropiados;
El ciclo de vida de GCN comprende seis elementos como se ilustra en la Figura 1. Éstos
pueden implementarse por organizaciones de todos los tamaños, en todos los sectores:
público, privado, solidario, educativo, de manufactura, entre otros. El alcance y la estructura de
un programa de GCN podrán variar y el esfuerzo empleado será proporcional al tamaño de la
organización, aunque estos elementos esenciales tienen que seguir acometiéndose.
7
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac Ejercicios, Gestión del Determinando
al
Mantenimiento programa la Estrategia
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
La gestión del programa permite la capacidad de la continuidad del negocio para ser
establecido (si es necesario) y para mantenerlo de manera apropiada al tamaño y
complejidad de la organización.
4.2 CONTEXTO
9
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
- referenciar cualquier estándar relevante, regulación o política que tenga que incluirse o
pueda ser usada como una referencia.
El alcance de la política de GCN debería definir claramente cualquier limitación que sea
aplicable, como por ejemplo las exclusiones geográficas o productos.
La alta dirección puede determinar el alcance del programa de GCN, mediante la identificación
de los productos y servicios que soportan los objetivos, obligaciones y mandatos estatutarios
de la organización.
La determinación de qué es clave debería ser consistente con el análisis de impacto descrito
en el numeral 6.2, aunque en un nivel alto de consideración.
La gestión del programa está en el corazón del proceso GCN. La gestión efectiva del programa
establece el acercamiento de la organización a la continuidad de negocio.
10
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
La participación de la alta dirección es clave para asegurar que el proceso GCN está
correctamente aplicado, adecuadamente soportado y establecido como parte de la cultura
organizacional.
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
Mantenimiento programa la Estrategia
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
Debería ponerse en práctica un programa GCN, para lograr los objetivos definidos en la política
de continuidad de negocio (véase el numeral 4.3). La gestión del programa GCN comprende
tres pasos:
- nombrar a una persona con rango y autoridad apropiadas para responder por la política
de GCN y su implementación, y
11
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
La organización debería:
5.4.1 Generalidades
Las actividades de gestión continua del programa deberían asegurar que la continuidad de
negocio se ha afianzado dentro de la cultura organizacional. Cada componente de la capacidad
de continuidad de negocio de la organización debería revisarse, ejercitarse y actualizarse con
regularidad. Adicionalmente, los planes de continuidad de negocio deberían también revisarse
y actualizarse cada vez que ocurre un cambio significativo en la operación de la organización,
su estructura, funcionarios, procesos o tecnología y cuando se detecten deficiencias en una
prueba u ocurra un incidente.
No importa cómo se doten recursos de GCN, existen actividades que deberían realizarse tanto
en el inicio como durante su desarrollo. Éstas podrían incluir:
- nombrar una persona o equipo apropiado para administrar el programa GCN de manera
continua;
12
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
a) Política de la GCN
d) Estrategia(s) de la GCN
e) Programas de concientización
f) Programas de formación
6. ENTENDER LA ORGANIZACIÓN
13
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
Ejercicios, Gestión del Determinando
al
Mantenimiento programa la Estrategia
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
6.1 INTRODUCCIÓN
- identificar los objetivos organizacionales, las obligaciones de las partes interesadas, los
deberes estatutarios y el entorno donde opera la organización;
- identificar las actividades, los activos y los recursos incluyendo aquellos externos a la
organización que soportan el envío de los productos y la prestación de los servicios;
- identificar y evaluar las amenazas percibidas que podrían interrumpir las actividades
críticas, el despacho de sus productos y servicios y los activos y recursos que las
soportan (véase el numeral 6.5).
14
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
6.2.2 Para cada actividad que da soporte al envío de los productos y servicios claves dentro
del alcance de GCN, la organización debería:
- daños a la reputación;
- daños ambientales.
15
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
La organización debería estimar los recursos que cada actividad requerirá durante su
restauración. Esto podrá incluir:
d) Los registros vitales (impresos o en medio magnético) del trabajo previo o de las
actividades en curso, que sean suficientes para permitir que las actividades continúen
efectivamente dentro de los niveles acordados (información) y
6.5.3 La norma NTC-ISO 27001 define la estructura para el Análisis de Riesgo propuesta para
seleccionar los elementos que deberían tenerse en cuenta durante el proceso de análisis. Los
elementos típicos podrían ser los siguientes:
- Determinación de los criterios de aceptación del riesgo. Describe las circunstancias bajo
las cuales la organización está dispuesta a aceptar los riesgos.
- Identificación de los niveles aceptables de riesgo. Sin importar lo que arroje el análisis
de riesgo, la organización necesita identificar los niveles de riesgo que considere
aceptables.
6.5.4 Las amenazas específicas podrán describirse como eventos o acciones que podrían, en
algunos casos puntuales, causar un impacto a los recursos; por ejemplo, amenazas como
incendio, inundación, corte de suministro eléctrico, pérdida de vidas, ausentismo, virus
informáticos y falla del hardware.
6.5.5 Las vulnerabilidades podrían ocurrir como debilidades de los recursos y podrán, al
mismo tiempo, explotar por las amenazas, por ejemplo, puntos simples de falla, inadecuaciones
16
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
6.5.6 Los impactos (véase el numeral 6.2.3) podrían resultar de la explosión de las
vulnerabilidades causadas por las amenazas.
Como resultado del BIA y del análisis de riesgo, la organización debería identificar medidas
que:
Las estrategias de mitigación podrán utilizarse conjuntamente con otras opciones, dado que no
todos los riesgos podrán prevenirse o reducirse a un nivel aceptable. La organización podría
incluir una o más de todas las estrategias que se presentan en los numerales 6.6.2 al numeral
6.6.5 para cada actividad crítica.
6.6.3 Aceptación
Se podrá aceptar un riesgo sin que sea necesario tomar acciones adicionales. Incluso si éste
no es aceptable, la habilidad para hacer algo sobre otros riesgos podría estar limitada o el
costo de tomar cualquier acción podrá ser desproporcionado, respecto al beneficio potencial
obtenido. En estos casos la respuesta podrá ser tolerar la existencia del nivel de riesgo si la
dirección estima que el riesgo es aceptable y que corresponda al apetito de riesgo definido. En
algunas circunstancias, el impacto del riesgo podría estar por fuera del apetito normal de
riesgo, pero, debido a la baja probabilidad de ocurrencia y/o debido al costo económico que
supone el control, la alta dirección podrá aceptar el riesgo.
La aceptación se podrá complementar con un plan para el manejo de impactos que surgirán si
el riesgo se materializa.
17
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
6.6.4 Transferencia
Para algunos riesgos la mejor respuesta podrá ser transferirlos. Esto podría hacerse a través
de pólizas de seguros convencionales o previsiones contractuales, o también podría hacerse
por pago realizado a un tercero para que asuma el riesgo de otra forma. Esta opción es
particularmente buena para poder mitigar los riesgos financieros o los riesgos a los que puedan
exponerse los activos. Los riesgos podrán transferirse para reducir la exposición de la
organización o porque otra organización está más capacitada para la gestión efectiva del
riesgo. Es importante notar que algunos riesgos no son (completamente) transferibles; en
particular, no es posible transferir el riesgo reputacional aún si la prestación del servicio se tiene
en forma externa.
NOTA Los términos tratados, en muchos casos se refieren como el modelo de las “4 T:
6.7 APROBACIÓN
La alta dirección debería aprobar la lista de documentos de los productos y servicios claves, el
análisis de impacto y el análisis de riesgo para asegurar que el trabajo haya sido apropiado y
corresponda a un reflejo fiel de la organización.
Este elemento del ciclo de vida de la GCN lógicamente sigue “entendiendo la organización”.
Como resultado de los análisis previos, una organización estará en una posición para
seleccionar las estrategias apropiadas de continuidad para permitirle alcanzar sus objetivos.
18
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
Mantenimiento programa la Estrategia
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
7.1 INTRODUCCIÓN
7.2.1 La organización debería considerar opciones estratégicas para sus actividades críticas y
los recursos que cada actividad requerirá en su restauración. La estrategia o estrategias más
apropiadas dependerán de una serie de factores como:
19
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
7.2.2 Las estrategias podrían requerirse para los siguientes recursos organizacionales
7.3 PERSONAL
c) separación de las habilidades del núcleo para reducir la concentración de riesgo (esto
podrá conllevar la separación del equipo de trabajo con las habilidades núcleo o
asegurar que más de una persona tenga esas habilidades);
e) planificación sucesiva, y
7.4 INSTALACIONES
La organización debería idear una estrategia para reducir la indisponibilidad del(los) sitio(s)
normal(es) de trabajo. Esto podrá incluir uno o más de los siguientes aspectos:
b) instalaciones alternas provistas por otras organizaciones (podrán o no ser con acuerdo
recíprocos);
20
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
NOTA 1 Si el equipo de trabajo debe movilizarse a sitios alternos, estas instalaciones deben estar ubicadas de tal
forma que el equipo de trabajo pueda desplazarse fácilmente hacia ellas, teniendo en cuenta cualquier posible
dificultad causada por el incidente. Sin embargo, no debe estar tan cercana que se pueda afectar por el mismo
incidente.
NOTA 2 El uso de sitios alternos para propósitos de continuidad debe estar soportado por una declaración de tal
forma que estas instalaciones sean solo para el uso de la organización. Si las instalaciones alternas están
compartidas con otras organizaciones, debe elaborarse y documentarse un plan para mitigar la no disponibilidad de
estas instalaciones.
NOTA 3 Podrá ser apropiado movilizar una unidad de trabajo además del equipo de trabajo, por ejemplo una línea
de producción o la línea de call center.
7.5 TECNOLOGÍA
- tiempos objetivos de recuperación (RTO) para los sistemas y aplicaciones que soportan
las actividades críticas identificadas en el BIA;
- accesos remotos;
21
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
NOTA 1 Si se adopta la estrategia de “Failover” de un sitio a otro, debe considerarse cuidadosamente la distancia
de la red ya que la distancia entre los dos sitios podrá tener un impacto negativo sobre la red en la que opera el
sistema normal.
NOTA 2 En los casos en que haya más de dos sitios que alojan la IT de la organización, se podrá aplicar una
estrategia mutual de recuperación, de tal forma que los sistemas, la red y el almacenamiento en cada sitio sea
dimensionado para que pueda combinar el tráfico y el trabajo de las otras, de manera adicional a su propia red.
NOTA 3 Otra solución para reubicar personas en instalaciones alternas es proveerlas con accesos remotos a la IT,
a través de un sistema dial-up o a través de internet por medio de Redes Privadas Virtuales (VPN) u otra tecnología
similar.
NOTA 4 Otras guías adicionales sobre hardware para IT y telecomunicaciones se podrá encontrar en documentos
como PAS 77, NTC-ISO/IEC 27001 y NTC-ISO/IEC 20000 (ambas partes).
7.6 INFORMACIÓN
Las estrategias de información deberían ser tales que aseguren que la información vital para la
operación de la organización esté protegida y sea recuperable de acuerdo con la estructura de
tiempos definida en el BIA.
- confiabilidad,
- integridad,
- disponibilidad y
- actualización.
- formatos físicos y
NOTA 2 En todos los casos, la información necesita recuperarse a un punto en el tiempo que sea conocido y
acordado por la alta dirección. Se podrán utilizar varios métodos de copiado de información como backup electrónico
o por medio de cintas, microfichas, fotocopias, creación de copias duales al momento de la producción. Esto se
conoce como punto de recuperación y es comúnmente referido como el Punto Objetivo de Recuperación (RPO).
22
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
7.7 SUMINISTROS
- acuerdo con terceros para el envío rápido de pequeñas cantidades cuando se requiera;
7.8.2 Las organizaciones deberían identificar las estrategias apropiadas para administrar las
relaciones con sus interesados claves, socios de negocio y contratistas. Cada grupo podría
tener consideraciones especiales. Las estrategias para proteger los intereses de los
interesados claves incluyen planes especiales para asegurar el bienestar de los interesados
con necesidades específicas como incapacidad, embarazo o enfermedad.
7.8.3 La organización debería identificar una persona o grupo de personas que se harán
responsables por el bienestar enseguida del incidente.
7.9.1 Las organizaciones que buscan determinar, implementar o validar estrategias para la
administración de incidentes y la administración de la continuidad de negocio; también
deberían familiarizarse en primera instancia con los cuerpos oficiales de respuesta a las
emergencias. Estos organismos locales están preparados para analizar, prevenir, preparar,
responder y recuperar actividades relacionadas con las emergencias civiles que ocurran en sus
comunidades.
23
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
7.9.2 Los organismos civiles deberían estar documentados para declarar las emergencias y
proporcionar:
NOTA Las emergencias civiles podrán ocasionar muertes o daños físicos que podrán tener un profundo y
prolongado impacto en el bienestar sicológico, económico y social de los individuos y en sus comunidades. Las
emergencias podrán implicar la rápida interrupción de los servicios de transporte público, redes de comunicaciones,
infraestructura crítica y el suministro de productos y servicios comunitarios. En vista de esta interrupción potencial las
organizaciones podrían familiarizarse con los planes de sus respectivas comunidades locales.
7.10 APROBACIÓN
La alta dirección debería aprobar las estrategias documentadas para confirmar que la
determinación de la continuidad de negocio ha sido apropiadamente concebida y las
estrategias están listas para atender los efectos de cualquier probable interrupción y que han
sido seleccionadas apropiadamente y alcanzan los objetivos de la organización dentro del
apetito de riesgo asumido.
Este elemento del ciclo de vida de la GCN concierne al desarrollo e implementación de los
planes apropiados para asegurar la continuidad de las actividades críticas y la administración
de los incidentes.
n l a Cu l t u
N e ra
C Or
G
Entendiendo la
l
ga
de
Organización
ni
i ón
za
c i on
F i j ac
Desarrollo e
Implementación
de la Respuesta
24
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
8.1 INTRODUCCIÓN
El alcance del análisis de las amenazas debería estar determinado por el apetito de riesgo de
la organización.
8.2.1 La organización debería definir una estructura de respuesta a los incidentes que le
permita responder efectivamente y recuperarse de las interrupciones.
8.2.2 En cualquier situación de incidente debería existir una estructura que responda de
manera simple, sencilla y rápida y le permita a la organización:
- contener el incidente y
La misma estructura debería activar una respuesta apropiada para la continuidad de negocio.
Esta estructura podría estar identificada como el Equipo de Manejo de Incidentes (IMT como
indican sus siglas en inglés) o el Equipo de Administración de la Crisis (EMC como indican sus
siglas en inglés).
8.2.3 El equipo debería contar con planes procesos y procedimientos para manejar el
incidente y deberían soportarse en herramientas de continuidad que le permita a la
organización recuperar sus actividades críticas.
8.2.4 El equipo debería contar con planes para la activación, la operación, la coordinación y la
comunicación de la respuesta al incidente.
La Figura 2 ilustra las tres fases principales de la duración de un incidente y la relación entre la
administración del incidente y la continuidad de negocio.
25
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
Incidente
Tiempo cero
Línea de tiempo
Respuesta al incidente
Continuidad de negocio
8.2.5 Las organizaciones podrán desarrollar planes específicos para recuperar o reanudar las
operaciones de regreso al estado de ”normalidad” (planes de recuperación). Sin embargo, en
algunos incidentes, podría no ser posible definir qué parece “normal” hasta un tiempo después
del incidente, de manera que no podría ser posible implementar de manera inmediata los
planes de recuperación. Las organizaciones desearían entonces asegurar que los planes de
continuidad de negocio son capaces de extender la operación dando tiempo para desarrollar
los planes de recuperación (“retorno a la normalidad”).
8.3.1 Introducción
Todos los planes bien sean para manejo de incidentes, continuidad de negocio o recuperación
del negocio, deberían ser concisos y accesibles a aquellas personas con responsabilidad
definida en los planes. Los planes deberían contener los elementos listados en los numerales
8.3.2 al 8.3.6.
26
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
El propósito y alcance de cada plan específico debería estar definido y acordado por la alta
dirección y entendido por todos aquellos quienes llevan a efecto el plan. Cualquier relación con
otros planes relevantes o documentos dentro de la organización, debería estar claramente
referenciada y debería estar descrito el método de obtener la información y de acceder a tales
documentos.
Los roles y las responsabilidades de las personas y equipos con autoridad (en términos de
toma de decisiones y autorización de gastos) durante y enseguida del incidente, deberían estar
claramente documentados.
Las personas y grupos cubiertos por un plan deberían tener claramente definidos:
- locaciones particulares o
- un escenario particular
Y podrán incluir documentación separada para la recuperación del incidente y las fases de
recuperación y continuidad.
El método para invocar y activar los planes de manejo de incidentes, continuidad de negocio o
recuperación del negocio debería estar claramente documentado. Este proceso debería
permitir la invocación de los planes o parte de éstos tan rápido como sea posible, luego de la
ocurrencia de la interrupción por un incidente.
La organización debería establecer y documentar con claridad las guías y los criterios, respecto
a cuáles individuos tiene autoridad para invocar y activar los planes y bajo qué circunstancias.
27
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
Cada plan debería contener o proporcionar una referencia a los detalles esenciales de los
contactos claves.
c) proporcionar las bases para manejar todos los posibles problemas, incluyendo los
externos de las partes interesadas, que la organización enfrenta durante un incidente.
1) tener apoyo de la alta dirección incluyendo el comité consultivo (sponsor) donde sea
aplicable y
8.5.1 General
El PMI debería incluir una lista de tareas y una lista de chequeo de las actividades necesarias
para manejar las consecuencias inmediatas de una interrupción. Estas tareas deberían:
28
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
El PMI debería satisfacer los intereses de aquellas personas cuyo bienestar podría estar en
riesgo como resultado de un incidente, tomando en cuenta consideraciones sociales y
culturales relevantes (véase el numeral 7.8.2).
El PMI debería identificar la(s) persona(s) que tendrán la responsabilidad por los problemas de
bienestar siguientes al incidente (véase el numeral 7.8.3), incluyendo:
NOTA Los servicios de emergencia desempeñan el rol primario en la protección de vidas y el alivio del
sufrimiento durante las emergencias. Por esta razón, la coordinación inicial, la fase previa a la planificación en el
manejo del incidente y la coordinación en tiempo real entre la organización y los servicios de emergencia, podrán
mejorar la eficiencia de la respuesta al incidente.
c) una guía o modelo para los borradores del estado de la información que se va a
proporcionar a los medios en la primera oportunidad siguiente al incidente;
e) establecer, donde sea práctico, una sala para apoyar la coordinación con los medios u
otros grupos de interés.
- asegurar que toda la información para los medios está disponible sin retraso excesivo.
Se debería incluir un procedimiento para identificar y priorizar las comunicaciones con otros
interesados claves. Puede ser necesario desarrollar un plan separado de administración de las
partes interesadas para proporcionar criterios de selección de prioridades y ubicar una persona
para cada interesado o grupo de interesados.
La organización debería definir un sitio, salón o espacio predeterminado y robusto desde el que
pueda administrar el incidente. Una vez establecido, este sitio debería enfocarse en la
respuesta de la organización al incidente. Se podría también definir un punto alterno de
encuentro para el caso en que no se pueda ingresar al sitio primario. Cada sitio debería tener
acceso a los recursos apropiados con los que inicialmente el equipo podrá realizar las
actividades para la administración efectiva del incidente sin demoras.
8.5.8 Anexos
El PMI debería incluir detalles actualizados con información de contacto y movilización para
cualquier agencia u organización relevante y recursos que puedan requerirse para dar soporte
a las estrategias de respuesta de la organización.
El PMI debería incluir formatos para guardar información vital del incidente como su duración,
víctimas, decisiones tomadas, gastos incurridos, análisis de daños, comunicados emitidos y
otra información esencial que la organización estime para soportar la revisión posterior al
incidente.
30
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
a) mapas, cartas, planos, fotografías y otra información que pueda ser relevante en el
evento de un incidente;
Los planes de continuidad PCN son activados para apoyar las actividades críticas requeridas
para lograr los objetivos de la organización. Podrán ser activados total o parcialmente en
cualquier etapa de la respuesta a un incidente.
8.7.1 General
Adicional a los puntos recomendados en el numeral 8.3, un plan PCN debería contener los
elementos descritos en los numerales 8.7.2. al 8.7.5
El plan de acción debería incluir una lista de chequeo estructurada de acciones y tareas, en
orden de prioridad, resaltándose:
c) el procedimiento que cada persona debe adoptar cuando se toma esa decisión;
d) la(s) persona(s) que debería(n) ser consultada(s) antes de tomar esa decisión;
e) la(s) persona(s) que debería(n) ser informada(s) una vez que se haya tomado esa
decisión;
31
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
- seguridad,
- logística de transporte,
- necesidades de bienestar y
b) instalaciones;
e) suministros, y
La organización debería identificar y nombrar una(s) persona(s) para administrar las fases de
continuidad de negocio y de recuperación de negocio, ante una interrupción de sus
operaciones.
Donde sea apropiado, el PCN debería contener detalles actualizados de contacto para
agencias, organizaciones y proveedores relevantes internos y externos que podrían requerirse
para apoyar a la organización.
32
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
El plan de continuidad de negocio debería incluir un formato para el registro de información vital
del incidente, especialmente respecto a las decisiones tomadas.
Este elemento del ciclo de vida de la GCN asegura que los planes de una organización son
validados y revisados mediante ejercicios y pruebas, y que se mantienen actualizados.
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
l
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
Mantenimiento programa la Estrategia
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
9.1 INTRODUCCIÓN
Los planes deberían verificarse a través de ejercicios y pruebas, auditorías y procesos de auto
evaluación para asegurar que están listos para su propósito.
Un programa de ejercicios y pruebas debería ser consistente con el alcance del(los) plan(es) de
continuidad de negocio, dando reconocimiento a cualquier legislación y regulación relevantes.
Un programa de ejercicios y pruebas debería estar concebido de forma tal que conduzca al
aseguramiento del objetivo que el PCN trabajará de manera anticipada cuando se requiera. El
programa debería:
- verificar que el PCN incorpora todas las actividades críticas y sus dependencias y
prioridades;
9.3.1 Los ejercicios y pruebas deberían ser reales, cuidadosamente planeados y acordados
con las partes interesadas, de manera que haya un mínimo riesgo de interrupción de los
procesos del negocio. Un ejercicio o prueba debería planearse de manera que el riesgo de
ocurrencia de un incidente como consecuencia del ejercicio o prueba, sea mínimo.
9.3.2 Todos los ejercicios y pruebas deberían tener claramente definidos sus intenciones y
objetivos. Debería realizarse una reunión informativa luego de los ejercicios y pruebas y
analizar lo que debería emprenderse para lograr los objetivos del ejercicio o prueba. También
se debería elaborar un reporte pos ejercicio o prueba que contenga las recomendaciones y un
registro de los tiempos para su implementación.
9.3.3 La escala y complejidad de los ejercicios y pruebas deberían ser las apropiadas para la
recuperación de los objetivos de la organización.
34
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
9.3.5 El programa de ejercicios y pruebas debería considerar los roles de todas las partes
involucradas incluyendo terceros, proveedores, socios externos y aquellos que se espera
participarán en las actividades de recuperación. Una organización podrá incluir tales partes en
sus ejercicios y pruebas.
- distribuir la política, las estrategias, las soluciones, los procedimientos y los planes
actualizados corregidos o cambiados, a las personas claves, bajo un control formal de
cambios.
NOTA Si se presentan cambios mayores en la organización, entonces se actualiza el BIA. Los demás
componentes del programa GCN podrán arreglarse teniendo en cuenta estos cambios.
35
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
Frecuencia
Complejidad Ejercicio /Prueba Proceso Variantes
Buenas prácticas (A)
Prueba de escritorio Revisión/corrección de Actualización/validación Al menos una vez al
contenido Auditoría/verificación año
Simple
Funcionamiento del
contenido del BCP
Prueba guiada del plan Funcionamiento del Incluye interacción y Anualmente
contenido del BCP validación de los roles
de los participantes
Simulación Uso de una situación Incorporados planes Anualmente o dos
"artificial" para validar asociados veces por año
que los planes BCP
contienen información
Media necesaria y suficiente
que permita una
recuperación exitosa
Ejercicio y prueba de Invocar en situación Operaciones con Anualmente o menos
actividades críticas controlada donde no duración fija definidas
ponga en peligro la desde sitios alternos
operación normal del
negocio
Ejercitar Edificio-/campus-/ Anualmente o menos
completamente el BCP exclusión de las zonas
Compleja
incluyendo el manejo de pruebas
de incidentes
(A)
La frecuencia de las pruebas debería depender de las necesidades de la organización, el ambiente en el que
opera y las necesidades de las partes interesadas. Sin embargo, el programa de ejercicios y pruebas debería ser
flexible, tener en cuenta la tasa de cambios en la organización y los resultados de los ejercicios y pruebas
previos.
El programa propuesto puede aplicarse a planes individuales, componentes de los planes simples y múltiples.
9.5.1 La alta dirección de la organización debería, dentro de los intervalos que considere
apropiados, revisar la capacidad de la GCN para asegurar su disponibilidad continua,
adecuación y efectividad. Esta revisión debería documentarse.
9.5.2 La revisión debería verificar que el cumplimiento de la política de la GCN con los
objetivos de la organización, asegura el cumplimiento de cualquier ley aplicable, norma,
estructura, procedimiento y buenas prácticas profesionales.
Una auditoría o auto-análisis del programa GCN de la organización debería verificar que:
- todos los productos y servicios y sus soportes a las actividades críticas y recursos se
han identificado e incluido en la estrategia GCN de la organización;
36
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
- la política, las estrategias, la estructura y los planes reflejan fielmente sus prioridades y
requerimientos (los objetivos de la organización);
- las estrategias y planes de la GCN incorporan las mejoras identificadas durante los
incidentes y los programas de ejercicios, pruebas y mantenimiento;
9.5.5 Auditoría
El proceso de autoevaluación asegura que una organización cuenta con un GCN robusto,
efectivo, para todo propósito, competente y de gran capacidad. Provee la verificación cualitativa
de la habilidad de una organización, para recuperarse de un incidente. El auto-análisis debería
realizarse contra los objetivos de la organización. También debería tener en cuenta las buenas
prácticas y los estándares relevantes de la industria.
Para ser exitosa, la continuidad de negocio tiene que convertirse en parte del camino que una
organización administra, con independencia del tamaño o sector. En cada etapa del proceso
GCN, existen oportunidades para introducir y mejorar la cultura GCN de la organización.
37
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
n l a Cu l t u
N e ra
C O
G r
Entendiendo la
ga
de
Organización
ni
i ón
za
c i on
F i j ac
al
Mantenimiento programa la Estrategia
y Revisión GCN GCN
Desarrollo e
Implementación
de la Respuesta
10.1 GENERALIDADES
- el incremento de la conciencia;
10.2 CONCIENTIZACIÓN
- visitas a cualquiera de los sitios designados como alternos (por ejemplo, en el sitio de
recuperación).
10.3 FORMACIÓN
39
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
- medios de comunicación, y
b) los grupos que no forman parte del grupo de trabajo de la GCN que requieren
habilidades para emprender sus roles nominativos en la respuesta al incidente o
recuperación de negocio.
40
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
BIBLIOGRAFÍA
OTRAS PUBLICACIONES
41
GUÍA TÉCNICA COLOMBIANA GTC 176 (Primera actualización)
DOCUMENTO DE REFERENCIA
42