LIDERAZGO DEL SISTEMA DE GESTION DE CONTINUIDAD DEL NEGOCIO - REQUISITO Nº 5 DE LA ISO 22301:2019

5.2.1. Politica de Continuidad del Negocio:

La politica de continuidad del negocio de Autotropical S.A.S. esta fundamentada en la protección y seguridad de las personas expuestas frente a una situacion de emergencia derivada de accidentes, pandemias, catastrofes naturales o
cualquier escenario que ponga en peligro la integridad de nuestro equipo humano, a través de planes de accion basados en la toma de decisiones asertivas para minimizar el impacto de la emergencia en la compañia, y de esta forma
recuperar la normalidad de las operaciones en el tiempo establecido.

5.2.2. Comunicación de la Politica de Continuidad del Negocio:

La empresa (), establece las formas o medios de comunicación satisfactoria con todas las áreas y centros de trabajo de la organizacion, la cual hace posible divulgar la gestión interna (Políticas, Lineamientos, estrategias,
procedimientos, formatos, sanciones, circulares, llamados de atención y comunicados) a todos los empleados y recibir llamados de mejora continua para la empresa, mediante: Correo Electrónico (Email) Pagina Web, WhatsApp, Red
telefónica, Fax, Memorandos, Carteleras informativas, Llamados de atención verbal y escrita, Página de internet, Folletos y cartas, Buzón PQRS (preguntas, quejas, reclamos y sugerencias), Encuestas, Comunicación
Directa, Informe escrito, Reuniones, Circulares, Certificaciones

5.3. Roles, Responsabilidades y Autoridades del Sistema de Gestion:

La identificación y asignación de los roles y responsabilidades asociados al SGCN es clave para alcanzar los objetivos del proyecto. Para el SGCN, los roles
identificados se detallan a continuacion:

ROL FUNCIONES Y RESPONSABILIDADES

- Aprobar la Política de Continuidad.
- Aprobar los objetivos de continuidad.
- Aprobar el Plan de Continuidad.
- Aprobar las Estrategias de Continuidad.
Dirección
- Aprobar el presupuesto y los recursos necesarios.

- Aprobar la estructura organizativa del SGCN.

- Efectuar una revisión periódica del SGCN.

- Aprobar las revisiones realizadas.
- Definir las expectativas del proyecto.
- Financiar el proyecto.
- Asignar el presupuesto.
- Recibir los resultados del proyecto.

Patrocinador del SGCN - Tomar decisiones en relación a la financiación, cronograma y resultados.

- Alinear el proyecto con los objetivos de la Organización

- Intervenir en la resolución de conflictos.

- Revisar periódicamente el estado del proyecto.

- Establecer los objetivos, políticas y factores críticos de éxito.

- Identificar las responsabilidades necesarias.

- Definir y recomendar la estructura y gestió n del proyecto.

- Liderar el equipo para desarrollar el plan del proyecto.

Coordinador del SGCN - Desarrollar el plan y determinar el presupuesto necesario.

- Organizar, coordinar y administrar cada fase del proyecto.

- Presentar el proyecto a la Dirección y partes implicadas.

- Controlar el proceso a travé s de mé todos de control efectivos y gestió n de cambio.

- Reportar de forma periódica el estado del proyecto.

- Proponer los objetivos de recuperació n.

- Dirigir y liderar todas las actividades del PCN.

- Declarar la contingencia ante el escenario de interrupció n del lugar de trabajo, con base en
las decisiones tomadas por el Comité de Crisis.
Responsable de Continuidad
- Liderar las reuniones del Comité de Crisis.
- Advertir sobre nuevos riesgos que afectan la continuidad de la operació n normal de la entidad
y que ponen al descubierto debilidades del plan de continuidad.
- Coordinar la ejecución de las pruebas del PCN.
- Asegurar la gestión y operación del SGCN de la Organización.
- Asegurar la divulgación de la Política de Continuidad.
- Generar el Plan de Continuidad y actualizarlo cuando se produzcan cambios.
- Planificar y dirigir las pruebas definidas en el Plan de Pruebas.
- Asegurar la supervivencia de los procesos críticos tras una catástrofe o fallo muy grave.
- Velar porque se siga y respete la metodología del proyecto.
Gestor de Continuidad
- Monitorizar, analizar y evaluar la efectividad del proceso de la gestión de la continuidad del
servicio.
- Apoyar las auditorías del SGCN.
- Crear, implementar y mantener Planes de Formación y Concienciación en Continuidad de
Negocio.
- Ayudar a las distintas unidades de negocio en la adaptación del Plan de Continuidad.
- Desarrollar, mantener, coordinar, operar y evaluar Planes de Divulgación y Coordinación de
crisis.
- Prestar un apoyo visible por parte de la Dirección al Plan de Continuidad de Negocio.
- Controlar desde la perspectiva gerencial, el buen desarrollo del proyecto y que cumpla con los
parámetros establecidos en el plan de proyecto y los compromisos entre las partes.
- Tomar decisiones que tengan que ver con cambios importantes en el alcance del proyecto y en
Comité del SGCN el esquema de contratación.
- Facilitar los recursos necesarios para el desarrollo y mantenimiento del Plan de Continuidad
de Negocio.
- Aprobar los cambios del Plan de Continuidad de Negocio.
- Activar el PCN en cualquiera de los escenarios de contingencia o de desastre previamente
establecidos.
- Coordinar la respuesta ante los incidencias graves o catastróficas determinando, en caso de
considerarlo necesario, el traslado de las operaciones a las ubicaciones de contingencia, y
garantizando la reanudación de las mismas en el marco temporal establecido para ello.
Comité de Gestion de Crisis
Comité de Gestion de Crisis - Asegurar que se cuenta con los recursos económicos necesarios para afrontar las partidas de
gastos extraordinarios en los que sea necesario incurrir durante el estado de contingencia o
desastre y autorizar la ejecución de los mismos.

Aprobar los mensajes que serán enviados a la opinión publica, accionistas y proveedores acerca
de la situación de la organización tras la contingencia o el desastre.
 PLANEACION DEL SISTEMA DE GESTION DE CONTINUIDAD DEL NEGOCIO - REQUISITO Nº 6 DE LA ISO 22301:2019

6.2. Elaboracion de los Objetivos de Contuinuidad del Negocio:

Directrices de Política de Continuidad del Negocio Objetivo del SGCN

Dar prioridad a la protección de la integridad de las personas ante

Proteccion y seguridad de personas expuestas cualquier contingencia o escenario de crisis.
Garantizar que los responsables de los planes de acción del PCN, sus
colaboradores inmediatos y los afectados conocen dichos planes y
planes de accion realizan los oportunos simulacros.
Lograr un PCN efectivo que minimice la improvisación en la toma de
Toma de decisiones asertivas decisiones ante las contingencias.
Cumplir los estándares de plazos o tiempos de recuperación
Recuperacion de operaciones establecidos en el PCN.

6.3. Relacion de Directrices de la Politica y Objetivos de Contuinuidad del Negocio con Planes:
Objetivo del SGCN Meta Indicadores de SGCN Planes Relacionados Responsable
NO NO NO
Dar prioridad a la protección de la integridad de las personas ante Preservar la vida y la integridad de las personas en situacion de
NO NO NO
cualquier contingencia o escenario de crisis. emergencia.
Garantizar que los responsables de los planes de acción del PCN,
Mantener el nivel idóneo de preparación de nuestros empleados de
sus colaboradores inmediatos y los afectados conocen dichos NO NO NO
como actuar frente a una situacion de emergencia.
planes y realizan los oportunos simulacros.
Lograr un PCN efectivo que minimice la improvisación en la toma Establecer acciones frente a situaciones probables que puedan
NO NO NO
de decisiones ante las contingencias. generar una emergencia.
Cumplir los estándares de plazos o tiempos de recuperación Lograr un liderazgo y una organización efectiva para responder ante
NO NO NO
establecidos en el PCN. una situación de crisis.
NO NO NO
NO NO NO
NO NO NO
NO NO NO
NO NO NO
Los registros y documentos mínimos
reclamados por el estándar
internacional ISO-22301 son:
Alcance del SGCN.
Lista de requisitos legales, normativos y de otra
índole.
Política de la continuidad del negocio.
Evidencia de competencias del personal.
Registros de comunicación.
Objetivos de la continuidad del negocio.
Análisis del impacto en el negocio.
Estructura de respuesta a incidentes.
Planes de continuidad del negocio.
Evaluación de riesgos, incluido un perfil del
riesgo.
Procedimientos de recuperación, medidas
temporales para devolver al negocio a la
situación inicial.
Resultados de acciones preventivas.
Resultados de supervisión y medición.
Procedimientos para responder a incidentes
disruptivos.
Resultados de la revisión de la dirección.
Resultados de la auditoría interna.
Resultados de acciones correctivas.
Aquellos documentos que no son
obligatorios pero sí que tienen un uno
frecuente son:
Veamos a continuación, las partes esenciales a tener
en cuenta a la hora de estructurar el Plan de
Continuidad de Negocio de acuerdo a ISO 22301:
1.- Propósito, alcance y usuarios: debe quedar claro el
objetivo por el que contamos con este Plan de
Continuidad de Negocio, las áreas a las que afecta y las
personas que deben conocerlo.
2.- Documentos de referencia: detallar los documentos
a los que este Plan está vinculado como son la Política
de Continuidad de Negocio, el Análisis del impacto
sobre el negocio, y la Estrategia de Continuidad de
Negocio, entre otros.
3.- Condiciones: debemos definir una serie de requisitos
para asegurar la eficacia del plan.
4.- Roles y responsabilidades: determinar las personas
encargadas de gestionar los incidentes que pudieran
alterar la Continuidad del Negocio.
5.- Contactos claves: identificación de los datos de
contacto de las personas que están implicadas en la
puesta en marcha del Plan de Continuidad de Negocio.
6.- Planificación de activación: determinar aquellos
casos en los que activar el citado plan así como el
método a emplear para ponerlo en marcha. Igualmente
debemos detallar las condicionas bajo las que es
posible desactivarlo.
7.- Comunicación: definimos la manera de proceder
para comunicar el incidente entre los diferentes equipos
así como hacia las otras partes interesadas.
8.- Respuesta ante el incidente: aquí especificamos
cómo debe ser la primera reacción ante el incidente,
con el objetivo de minimizar los daños.
9.- Sitios físicos y transporte: definir los sitios físicos y
los alternativos, detallar dónde se encuentran los
puntos de concentración, así como la manera de llegar
desde los sitios primarios hasta los alternativos.
10.- Orden de recuperación de las actividades: aquí se
elabora un listado de todo el conjunto de actividades a
realizar para la recuperación con especificación del
tiempo de recuperación objetivo.
11.- Planes de recuperación para las actividades:
detalle paso a paso de las acciones a realizar y las
responsabilidades asumir en las tareas de recuperación
tanto de la mano de obra, de las infraestructuras, el
software, así como de la propia información y procesos.
Además, especificaremos la relación con otras
actividades y partes interesadas.
Procedimiento para el control de la información
documentada.
Los contratos y acuerdos de nivel de servicio
con los proveedores y la externalización de los
socios.
Formación y plan de sensibilización.
Escenarios de incidentes.
Planes de ejercicio y de pruebas.
La mitigación del riesgo.
Informes post-ejercicio.
Los métodos de seguimiento, medición, análisis
y evaluación.
Procedimiento para la auditoría interna.
Plan de mantenimiento SGCN.
Programa de auditoría interna.
Procedimiento para la acción correctiva.