Seguridad y resiliencia. Sistemas de gestion de continuidad de negocio. Orientacion sobre el uso de la NTC-ISO 22301 E: Security and resilience. Business continuity management systems. Guidance on the use of NTC-ISO 22301 CORRESPONDENCIA: Esta Guia Técnica Colom! traduccion (IDT) de la norma ISO 223132020. Ina es una adopcién idéntica por DESCRIPTORES: seguridad de las personas; sistema de gestién de continuidad de negocio; resiliencia - resiliencia de la sociedad; emergencia; criss. LLCS: 03.10.70; 03.10.01 ® CONTEC 2020 Reservados todos los derachos. Ninguna parte de esta publicacion puede ser reproducida o utiizada en cualquier forma 0 por cualquier medio, elecrnico 0 mecénicoincluyendo fotocoplado y microfiacién, sin permiso por escrito del editor. Eaitada por ICONTEC. Apartado 14237 Bogoté, 0.C.-Tel. (579) 6078888 Primera actualizacién Prohibida Sureproduccién. «|, Editada 2020-06-10PROLOGO EI Instituto Colombiano de Normas Técnicas y Certificacién, ICONTEC, es el organismo nacional de normalizacién, segun el Decreto 1595 de 2015. ICONTEC es una entidad de caracter privado, sin énimo de lucro, cuya Misién es fundamental para brindar soporte y desarrollo al productor y proteccién al consumidor. Colabora con el sector gubernamental y apoya al sector privado del pais, para lograr ventajas competitivas en los mercados interno y externo. La representacién de todos los sectores involucrados en el proceso de Normalizacién Técnica esta garantizada por los Comités Técnicos y el periodo de Consulta Publica, este ultimo caracterizado por la participacién del publico en general. La guia GTC-ISO 22313 (Primera actualizacién) fue ratificada por el Consejo Directivo de 2020-06-10. Esta guia esta sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuaci6n, se relacionan las empresas que colaboraron en el estudio de esta guia a través de su participacién en el Comité Técnico 205 Seguridad de la sociedad y resiliencia. ACERIAS DE COLOMBIA (ACESCO) SAS ACTRUST SAS AEROVIAS DEL CONTINENTE AMERICANO AVIANCA AES GESTIOM LTDA. ALIANZA EMPRESARIAL PARA UN COMERCIO SEGURO BASC BOGOTA - COLOMBIA ANGELUS SEGURIDAD LTDA. ASIS INTERNATIONAL, CAPITULO 225 BOGOTA. ASOBANCARIA ASYSQ CONSULTORES LATINOAMERICA SAS AVIPS BANCO AGRARIO DE COLOMBIA S.A. BANCO CAJA SOCIAL BANCO DAVIVIENDA BANCO DE LA REPUBLICA BANCO GNB SUDAMERIS BCM CONSULTORES SAS BIGXPERIENCE SAS BPM GLOBAL SOLUCIONES SAS 3 CONSULTORES SAS CARLOS JULIO DIAZ RIVEROS CHUBB DE COLOMBIA COMPANIA DE SEGUROS CINTEL COLPENSIONES COLVISEG LTDA. COMFENALCO ANTIOQUIA COMUNIDAD COLADCA - COMUNIDAD LATINOAMERICANA DE CONSULTORES Y ASESORES EN GESTION DE RIESGOS Y ‘SEGURIDAD. CONSULTORES & GESTION SAS CONSULTORGO DHL DIRECCION NACIONAL DE INTELIGENCIA ECOPETROL EMPRESA DE SERVICIOS_—_—DE CONSULTORIA Y ASESORIA ESTRATEGICA SAS EMPRESAS PUBLICAS DE MEDELLIN ESP ETICA Y TECNOLOGIA SAS AUDITORES ENEXPERIAN S.A. FINANCIERO FRONTERA ENERGY CROP. FUNDICIONES Y COMPONENTES. AUTOMOTORES SAS (FUNDICOM) SAS. GAMA CONSULTING SAS GESTION & ESTRATEGIA SAS. GRUPO ATLAS DE SEGURIDAD INTEGRAL. HEWLETT PACKARD COLOMBIA LTDA. HONOR SERVICIOS DE SEGURIDAD LTDA. ICONTEC - EVALUACION DE LA CONFORMIDAD INSTITUTO NACIONAL PENITENCIARIO Y CARCELARIO DE COLOMBIA ISOLUCIONES SAS. ITEAM LTDA. KPMG LARCARGO LTDA. MARSH RISK CONSULTING ORGANIZACION GDC PFIZER PRICEWATERHOUSECOOPERS AG PROMIGAS S.A. ESP REFINANCIA SAS. RISK & RESILIENCE CONSULTING SAS. SECURITY FAIR COLOMBIA SEGURIDAD NUEVA ERA LTDA. SERGIO IVAN GARCIA SERVICIO DE VIGILANCIA TECNICO LTDA. SESCOLOMBIA SAS SMART IT SOLUTIONS SOCIETAL SECURITY SUPERINTENDENCIA DE VIGILANCIA Y SEGURIDAD PRIVADA TEAM FOODS COLOMBIA S.A. THOMAS GREG & SONS DE COLOMBIA S.A. THOMAS MANEJO TECNICO DE INFORMACION TOTAL SOLUTIONS GROUP SAS VIGCO LTDA. - NICOLAS A. VILLAMIL G. WILLIS CONSULTING XC CONSULTORES SAS XM_COMPANIA DE EXPERTOS EN MERCADOS S.A. ESP. ICONTEC cuenta con un Centro de Informacion que pone a disposicién de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCION DE NORMALIZACIONGUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizaci6n) CONTENIDO Pagina INTRODUCCION.. 0.1 GENERALIDADES.... 0.2 BENEFICIOS DE UN SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO.. 0.3 CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA] 0.4 COMPONENTES DEL PHVA EN ESTE DOCUMENTO... 0.5 ESTRUCTURA DEL DOCUMENTO.. 0.6 CONTINUIDAD DE NEGOCIO... 4. OBJETO Y CAMPO DE APLICACION... 2. REFERENCIAS NORMATIVAS, 3. TERMINOS Y DEFINICIONES ... 4. CONTEXTO DE LA ORGANIZACION .. 4.1 COMPRENSION DE LA ORGANIZACION Y SU CONTEXTO... 4.2 COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADASG.... 4.3. DETERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO.... 4.4 SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO...GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizaci6n) Pagina 5. LIDERAZGO.. 5.1 LIDERAZGO Y COMPROMISO..... 5.2 POLITICA. 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES ... 6. PLANIFICACION. 61 ACCIONES PARA ABORDAR RIESGOS Y OPORTUNIDADES 62 OBJETIVOS PARA LA CONTINUIDAD DE NEGOCIO Y PLANIFICACION PARA LOGRARLOS.. 63 PLANIFICACION DE LOS CAMBIOS EN EL SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO 7. APOYO... 7.1. RECURSOS... 7.2 COMPETENCIAS 7.3 TOMA DE CONCIENCIA 7.4 COMUNICACION 7.5 INFORMACION DOCUMENTADA... 8 OPERACION.... 8.4 PLANIFICACION Y CONTROL OPERACIONAL... 8.2 ANALISIS DE IMPACTO EN EL NEGOCIO Y EVALUACION DE RIESGOS... 8.3. ESTRATEGIAS Y SOLUCIONES DE CONTINUIDAD DE NEGOCIO 8.4 PLANES Y PROCEDIMIENTOS DE CONTINUIDAD DE NEGOCIO..GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) 8.5 PROGRAMA DE EJERCICIOS 8.6 _ EVALUACION DE LA DOCUMENTACION Y LAS CAPACIDADES DE CONTINUIDAD DE NEGOCIO... 9. EVALUACION DEL DESEMPENO .. 9.1 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION 9.2 AUDITORIA INTERNA. 9.3 REVISION POR LA DIRECCION 10. | MEJORA.. 10.1 NO CONFORMIDAD Y ACCION CORRECTIVA 10.2 MEJORA CONTINUA... BIBLIOGRAFIA. DOCUMENTO DE REFERENCIA.. FIGURAS Figura 1. Ciclo PHVA aplicado a los procesos del BCMS. Figura 2. llustracion de la continuidad de negocio siendo efectiva para la interrupcién repentin: viii Figura 3. llustracién de la continuidad de negocio siendo efectiva para la interrupcién gradual (por ejemplo, la aproximacién a una pandemia).. viii Figura 4. Ejemplos de partes interesadas en los sectores publico y privado. Figura 5. Elementos de la gestion de continuidad de negocio...GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Pagina Figura 6. Cémo entender la organizacién TABLAS Tabla 1. Explicacién del ciclo PHVA. Tabla 2. La relacién entre el ciclo PHVA y los Numerales 4 al 10.. Tabla 3. Ejemplos de roles y responsabilidades del BCMS Tabla 4. Ejemplos del tipo de impacto. Tabla 5. Ejemplos de equipos y posibles roles y responsabilidades. Tabla 6. Ejemplos de descripciones de métodos de ejercicioGUIA TECNICA COLOMBIANA GTC-SO 22313 (Primera actualizacion) INTRODUCCION 0.1 GENERALIDADES Este documento proporciona orientacién, cuando procede, sobre los requisitos especificados en la norma NTC-ISO 22301. No es la intencién de este documento proporcionar una orientacién general sobre todos los aspectos de la continuidad de negocio. Este documento incluye los mismos encabezados de los numerales de la NTC-ISO 22301, pero no repite los requisitos y los términos y definiciones relacionados. La intencién de esta orientacién es explicar y aclarar el significado y el propésito de los requisitos de la NTC-ISO 22301 y ayudar a resolver cualquier problema de interpretacién. Otras normas y especificaciones técnicas que proporcionan orientacién adicional, y a las que se hace referencia en este documento, son la GTC-ISO/TS 22317, la GTC 296, la ISO 22322, la ISO/TS 22330, la ISO/TS 22331 y la GTC 278. El objeto y campo de aplicacién de estos documentos puede ir mas alld de los requisitos de la NTC-ISO 22301. Por lo tanto, las organizaciones deberian remitirse siempre a la NTC-ISO 22301 para verificar los requisitos a cumplir. Para proporcionar més aclaraciones y explicaciones sobre los puntos clave, este documento incluye varias figuras. Las figuras son de caracter ilustrativo y el texto correspondiente del cuerpo del presente documento tiene prioridad. Un sistema de gestién de continuidad de negocio (BCMS, por sus siglas en inglés) ENFATIZA la importancia de los siguientes aspectos: - _ Establecimiento de una politica y objetivos de continuidad de negocio que se ajusten a los objetivos de la organizacién; - jecucién y mantenimiento de procesos, capacidades y estructuras de respuesta para asegurar que la organizacién sobreviva a las interrupciones; = Seguimiento y revisién de! desempefo y la eficacia del BCMS; = Mejora continua basada en la medicién cualitativa y cuantitativa. Un BCMS, como cualquier otro sistema de gestién, incluye los siguientes componentes: a) _politicas; b) _ personas competentes con responsabilidades definidas;GUIA TECNICA COLOMBIANA GTC4SO 22313 (Primera actualizacién) ©) gestién de procesos relacionados con: 1) politicas; 2) planificacién; 3) _implementacién y operacién; 4) evaluacién del desempefio; 5) __revisién por la direcci6n; 6) __ mejora continua; d) _informacién documentada que apoye el control operacional y permita la evaluacién del desempefio. La continuidad de negocio es generalmente especifica de una organizacién. Sin embargo, su implementacién puede tener consecuencias de gran alcance para la comunidad en general y otros terceros. Es probable que una organizacién tenga organizaciones externas de las que dependa y habrd otras que dependan de ella. Por consiguiente, la continuidad de negocio eficaz contribuye a una sociedad mas resiliente. 0.2 BENEFICIOS DE UN SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO Un BCMS aumenta el nivel de preparacién de la organizacién para seguir operando durante las interrupciones. También contribuye a mejorar la comprensién de las relaciones intemas y externas de la organizacién, a mejorar la comunicacién con las partes interesadas y a crear un entorno de mejora continua. La implementacién de un BCMS de conformidad con las recomendaciones que figuran en el presente documento y con los requisitos de la NTC-ISO 22301 puede ofrecer muchas ventajas adicionales. - El seguimiento de las recomendaciones del numeral 4 ("contexto de la organizacion") implica que la organizacion: - revise sus objetivos estratégicos para asegurarse de que el BCMS los apoya; = reconsidere las necesidades, expectativas y requisitos de las partes interesadas; - sea consciente de las obligaciones legales, reglamentarias y de otro tipo aplicables. - Numeral 5 ("liderazgo") implica que la organizacién: = reconsidere los roles y responsabilidades de la gerencia; 2 promueva una cultura de mejora continua; = asigne la responsabilidad del seguimiento del desempefio y la presentacién de informes.GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Numeral 6 (“planificacién”) implica que la organizaci - __feexamine sus riesgos y oportunidades y determine las acciones para abordarlos y aprovecharlos; - _ establezca una gestién eficaz del cambio. - Numeral 7 ("apoyo") implica que la organizacién: - _ establezca una gestién eficaz de sus recursos del BCMS, incluida la gestién de la competencia; = mejore la toma de conciencia de los empleados sobre los asuntos que son importantes para la gestion; - _ disponga de mecanismos eficaces de comunicacién interna y externa; - gestion eficazmente su documentacién. - Numeral 8 (“operacién’) resultados de la organizacién: - las consecuencias imprevistas del cambio; 2 prioridades y requisitos de continuidad de negocios; - dependencias; - _vulnerabilidades desde la perspectiva de los impactos; = los riesgos de interrupcién y la determinacién de la mejor manera de abordarlos; a soluciones alternativas para dirigir el negocio con recursos limitados; = _ estructuras y procedimientos eficaces para hacer frente a las interrupciones; S responsabilidades para con la comunidad y otras partes interesadas. - Numeral 9 ("evaluacién de desempefio") implica que la organizacién: = tenga mecanismos eficaces para el monitoreo la medicién y la evaluacién del desemperio; - _ involucrar a la gerencia en el seguimiento del desempefio y en la contribucién a la eficacia de la SCBN. - Numeral 10 ("mejora") implica que la organizacién: - _ disponga de procedimientos para realizar el seguimiento del desempefio y mejorar la eficacia; - se beneficie de la mejora continua de sus sistemas de gestion. iiGUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) Como resultado, la aplicacién del BCMS puede: a) _proteger la vida, los bienes y el medio ambiente; b) _proteger y mejorar la reputacién y la credibilidad de la organizacién; ) _contribuir a la ventaja competitiva de la organizacién permitiéndole operar durante las interrupciones; d) _reducir los costos derivados de las interrupciones y mejorar la capacidad de la organizacién para seguir siendo eficaz durante ellas; ) _contribuir a la capacidad de resiliencia general de la organizacién; f) __contribuir a que las partes interesadas tengan mds confianza en el éxito de la organizacién; g) __reducir la exposicién legal y financiera de la organizacion; h) — demostrar la capacidad de la organizacién para gestionar el riesgo y hacer frente a las vulnerabilidades operacionales. 0.3 CICLO PLANIFICAR-HACER-VERIFICAR-ACTUAR (PHVA) Este documento aplica el ciclo Planificar-Hacer-Verificar-Actuar (PHVA) a la planificacién, establecimiento, implementacion, operacién, monitoreo, revision, mantenimiento y mejora continua de la efectividad del BCMS de una empresa. Una explicacién del ciclo del PHVA se presenta en la Tabla 1. La Figura 1 ilustra la forma en que el BCMS toma los requisitos de las partes interesadas como insumos para la gestion de continuidad de negocio y, mediante las acciones y procesos necesarios, produce resultados de continuidad de negocio (es decir, continuidad de negocio gestionadas) que cumplen esos requisitos. Tabla 1. Explicacién del ciclo PHVA Planificacién Establecer la politica, los objetivos, los controles, los procesos los procedimientos de (Implementar y operar) Ver (Monitorear y revisar) (Establecer) continuidad de negocio pertinentes para mejorar la continuidad de negocio a fin de obtener resultados que se ajusten a las politicas y los objetivos generales de la empresa. Hacer Implementar y poner en practica la politica, los controles, los procesos y los procedimientos de continuidad de los negocios. Monitorear y revisar el desempefio en relacién con la politica y los objetivos de continuidad de negocio, informar sobre los resultados a la gerencia para que los examine, y determinar y autorizar acciones de reparacién y mejora. Actuar (Mantener y mejorar) Mantener y mejorar el BCMS mediante a adopcién de acciones correctivas, basadas en los resultados de la revisién por la direcci6n y la reevaluacion del alcance del BCMS y Ia politica y los objetivos de continuidad de negocio.GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) Requisitos para la continuidad de neaocio Nejora continua del Sistema de Gestion de Continuidad de Negocio (BCMS) Partes Interesadas continuidad de negocio gestionada Figura 1. Ciclo PHVA aplicado a los procesos del BCMS. 0.4 COMPONENTES DEL PHVA EN ESTE DOCUMENTO La Tabla 2 muestra la documento. relacién directa entre el contenido de la Figura 1 y los numerales de este Tabla 2. La relacién entre el ciclo PHVA y los Numerales 4 al 10 ‘Componente PHVA ‘Numeral relativa al componente PHVA Planificacion Numeral 4 ("contexto de la organizacién’) establece lo que la organizacién deberia hacer (€stabiecer) para asegurarse de que el BCMS cumpla sus requisitos, tomando en consideracion todas las cuestiones externas e intemas pertinentes, entre ellos: = las necesidades y expectativas de las partes interesadas; = sus obligaciones legales y reglamentarias; = _elalcance de apiicacién requerido del BCMS. Numeral 5 ("iderazgo") establece el rol de la Gerencia en términos de demostrar el compromiso, definir la politica y establecer los roles, responsabilidades y autoridades. Numeral 6 "planificacién’) describe las acciones para establecer los objetivos estratégicos los principios rectores para la implementaciGn del BCMS. Numeral 7 (‘apoyo") identifica los elementos del BCMS que deberian estar en funcionamiento, como recursos, competencia, concienciacién, comunicacién e informacion documentada, Hacer Numeral 8 (‘operacién’) identifica los procesos para establecer y mantener la continuidad (Implementar y operar) _| #® negocio. Veriicar Numeral 9 (‘evaluacién del desempefi") proporciona la base para mejorar el BCMS a través (Monitoreary revisar) _ | 4@ la medicién y evaluacion de su desemperto. ‘Actuar Numeral 10 ("mejor") abarca las acciones correctivas para abordar las no conformidades (Mantener y mejorar) | identicadas mediante la evaluacion del desempetio,GUIA TECNICA COLOMBIANA _GTC-ISO 22313 (Primera actualizacién) 0.5 ESTRUCTURA DEL DOCUMENTO No es la intencién de este documento sugerir la uniformidad en la estructura de un BCMS, sino que una organizacién deberia disefiar un BCMS que sea apropiado para sus necesidades y que cumpla con los requisitos de sus partes interesadas, en particular los clientes y los empleados. Esas necesidades estén determinadas por los requisitos legales, reglamentarios, organizativos y de la industria, los productos y servicios, los procesos empleados, el entomo en el que opera, el tamafio y la estructura de la organizacién y los requisitos de las partes interesadas. El presente documento no tiene por objeto evaluar la capacidad de una organizacién para satisfacer sus propias necesidades de continuidad de negocio, ni las de sus clientes, ni las legales o reglamentarias. Las organizaciones que lo deseen pueden utilizar los requisitos de la NTC-ISO 22301 Los numerales 1 a la 3 del presente documento establecen el alcance, las referencias normativas y los términos y definiciones que se aplican a la utilizacién del presente documento. Los numerales 4 ala 10 contienen directrices sobre los requisitos que figuran en la NTC-ISO 22301. En este documento se utilizan las siguientes formas verbales: a) “deberia” que indica una recomendaci6n; b) "puede" que indica una autorizacién, una posibilidad o una capacidad para hacer algo. 0.6 CONTINUIDAD DE NEGOCIO La continuidad de negocio es la capacidad de la organizacién para seguir suministrando productos © servicios a capacidades predefinidas aceptables después de una interrupcién. La gestion de continuidad de negocio es el proceso de implementar y mantener la continuidad de negocio (véase el numeral 8.1.2 y la Figura 5) con el fin de prevenir pérdidas y prepararse para las interrupciones, mitigarias y gestionarlas. El establecimiento de un BCMS le permite a la organizacién controlar, evaluar y mejorar continuamente su continuidad de negocio. En el presente documento, la palabra " negocio " se utiliza como un término global para referirse a las operaciones y servicios realizados por una organizacién en la consecucidn de sus objetivos, metas 0 misién. Como tal, es igualmente aplicable a las grandes, medianas y pequefias organizaciones que operan en los sectores industrial, comercial, pubblico y sin fines de lucro. Las interrupciones tienen el potencial de paralizar todas las operaciones de la organizacién y su capacidad de ofrecer productos y servicios. Sin embargo, la aplicacién de un BCMS antes de que se produzca una interrupcién, en lugar de responder de manera imprevista después del incidente, le permitira a la organizacién reanudar las operaciones antes de que se produzcan niveles inaceptables de impacto.GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) La gestién de continuidad de negocio implica: a) la identificacién de los productos y servicios de la organizacién y las actividades que los ‘suministran; b) __elanélisis de los impactos de no reanudar las actividades y los recursos de los que dependen; ©) _comprensién del riesgo de interrupci6n; 4) determinar las prioridades, los plazos, las capacidades y las estrategias para reanudar la entrega de productos y servicios; e) __ tener soluciones y planes para reanudar las actividades dentro de los plazos requeridos después de una interrupcién; f) _cerciorarse de que esos arreglos se revisen y actualicen periédicamente para que sean eficaces en todas las circunstancias. El enfoque de la organizacién con respecto a la gestién de continuidad de negocio y la informacién documentada deberia ser adecuada a su contexto (por ejemplo, el entorno operativo, la complejidad, las necesidades, los recursos). La continuidad de negocio puede ser eficaz para hacer frente tanto a interrupciones repentinas (por ejemplo, explosiones) como a las graduales (por ejemplo, pandemias). Las actividades pueden verse interrumpidas por una amplia variedad de incidentes, muchos de los. cuales son 8 de predecir 0 analizar. Al centrarse en los impactos de la interrupci6n y no en la causa, la continuidad de negocio le permite a una organizacién identificar las actividades que son esenciales para poder cumplir con sus obligaciones. Mediante la continuidad de negocio, una organizacién puede reconocer lo que hay que hacer para proteger sus recursos (por ejemplo, las. rsonas, las instalaciones, la tecnologia, la informacion), la cadena de suministro, las partes interesadas y la reputaci6n antes de que se produzca una interrupcién. Con ese reconocimiento, la organizacién puede establecer una estructura de respuesta, de modo que pueda confiar en la gestin de los impactos de una interrupcién. Las Figura 2 y Figura 3 ilustran conceptualmente la forma en que la continuidad de negocio puede ser eficaz para mitigar los impactos en determinadas situaciones. No hay escalas de tiempo especificas implicitas en la distancia relativa entre las etapas representadas en ninguno de los dos diagramas. viiGUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacién) Capacity of operations Resumption of activities at Shortened. acceptable capacity within disruption acceptable timeframe WITH business continuity A WITHOUT business ‘continuity Mitigating, Minimum responding to acceptable and managing capacity impacts Incident Recovery Time at mime) time which impacts objective become unacceptable Figura 2. lustracién de la continuidad de negocio siendo efectiva para la interrupcién repentina Capacity of operations Resumption of activities at Shortened acceptable capacity within disruption. acceptable timeframe _L witout business (Controlled continuity response Mitigating, Minimum responding to acceptable and managing capacity impacts Time Recovery Time at Waring time which impacts Incident objective become unacceptable Figura 3. llustracién de la continui lad de negocio aproximaci indo efectiva para la interrupei a una pandemia), gradual (por ejemplo, la viiiGUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacién) SEGURIDAD Y RESILIENCIA. SISTEMAS DE GESTION DE CONTINUIDAD DE NEGOCIO. ORIENTACION SOBRE EL USO DE LA NTC-ISO 22301 1. OBJETO Y CAMPO DE APLICACION Este documento proporciona orientacién y recomendaciones para aplicar los requisitos del sistema de gestion de continuidad de negocio (BCMS) que figuran en la norma NTC-ISO 22301. La orientacién y las recomendaciones se basan en las buenas précticas internacionales. Este documento es aplicable a las organizaciones que: a) _ implementan, mantienen y mejoran un BCMS; b) _buscan asegurar la conformidad con la politica de continuidad de negocio declarada; ©) _necesitan poder seguir suministrando productos y servicios a una capacidad predefinida aceptable durante una interrupcion; d) _tratan de mejorar su capacidad de resiliencia mediante la aplicacién efectiva del BCMS. La orientacién y las recomendaciones se aplican a organizaciones de todos los tamafios y tipos, incluidas las grandes, medianas y pequefias organizaciones que operan en los sectores industrial, comercial, publico y sin fines de lucro. El enfoque adoptado depende del entorno operativo y la complejidad de la organizacién. 2. REFERENCIAS NORMATIVAS Se hace referencia a los siguientes documentos en el texto de manera que parte o la totalidad de su contenido constituye requisitos del presente documento. En el caso de las referencias fechadas, solo se aplica la edicién citada. Para las referencias sin fecha, se aplica la Ultima edicién del documento de referencia (incluida cualquier enmienda). NTC-ISO 22301, Seguridad y resiliencia. Sistemas de gestién de continuidad de negocio. Requisitos. ISO 22300, Security and Resilience. Vocabulary. 1de73GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) TERMINOS Y DEFINICIONES A los efectos del presente documento, se aplican los términos y definiciones que figuran en las normas ISO 22300, NTC-ISO 22301 y sucesivas. La ISO y IEC mantienen bases de datos terminolégicas para su uso en la normalizacién en las siguientes direcciones: - ISO Plataforma de navegacién en linea: disponible en https: /Mwww.iso.org/obp - IEC Electropedia: disponible en http: /Awww.electropedia.org/ 3.1 gestién de continuidad de negocio (business continuity management). Proceso de aplicacién y mantenimiento de la continuidad de negocio. 4. CONTEXTO DE LA ORGANIZACION 4.1. COMPRENSION DE LA ORGANIZACION Y SU CONTEXTO En este numeral se proporcionan recomendaciones para comprender el contexto de la organizacin en relacién con el BCMS. Las recomendaciones para establecer y mantener la continuidad de negocio se abordan en el numeral 8.1 La organizacién deberia evaluar y comprender las cuestiones externas e intemas (incluidos los factores 0 condiciones positives y negativos a considerarse) que son pertinentes para sus objetivos generales, sus productos y servicios y la cantidad y el tipo de riesgo que puede o no puede asumir. Esta informacién deberia tomarse en cuenta al aplicar y mantener el BCMS de la organizacién y al asignar prioridades. El contexto externo de la organizacién incluye, cuando sea pertinente, lo siguiente: - _ elentorno politico, legal y regulatorio, ya sea internacional, nacional, regional o local; - _aspectos sociales y culturales; - el entorno financiero, tecnolégico, econémico, natural y competitive, ya sea internacional, nacional, regional o local; - compromisos y relaciones de la cadena de suministro (véase también la GTC 296); - los impulsores (por ejemplo, el riesgo, la tecnologia) y las tendencias que repercuten en los objetivos y el funcionamiento de la organizacién; - las relaciones con las partes interesadas fuera de la organizacién y las percepciones y valores de éstas; - los canales de comunicacién, incluidos los medios sociales, utilizados para determinar y establecer esas relaciones.GUIA TECNICA COLOMBIANA _ GTC-ISO 22313 (Primera actualiza n) El contexto interno de la organizacién incluye, cuando sea pertinente, lo siguiente: - productos y servicios, actividades, recursos, cadenas de suministro y relaciones con las partes interesadas; - _capacidades en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos, sistemas, tecnologias); - sistemas de gestién existentes; - __ informacién y datos (almacenados en forma fisica 0 digital) y procesos de toma de decisiones (formales y de otro tipo); - las partes interesadas dentro de la organizacién, incluidos los proveedores internos [consideracién de los acuerdos de nivel de servicio (SLA), evaluacién de los acuerdos de resiliencia y recuperacién], véase la GTC 296; - las politicas y objetivos, y las estrategias de negocio que se establecieron para lograrlos; - _ oportunidades futuras y prioridades del negocio; - _ percepciones, valores y cultura; = normas y modelos de referencia adoptados por la organizacién; FI estructuras (por ejemplo, gobernanza, roles, responsabilidades); = canales de comunicacién interna utilizados para el intercambio de informacién dentro de la fuerza de trabajo (por ejemplo, medios de comunicacién social). 4.2 COMPRENSION DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS 4.2.1 Generalidades La organizacién tiene el deber de cuidar de una amplia gama de personas dentro y fuera de la organizacion (véase también la norma ISO/TS 22330). Al establecer su BCMS, la organizacion deberia asegurarse de que se tengan en cuenta las necesidades y los requisitos de todas las partes interesadas. La organizacién deberia identificar a todas las partes interesadas que sean pertinentes para su BCMS (véase la Figura 4) y, conforme a sus necesidades y expectativas, deberia determinar sus requisitos. Es importante identificar no solamente los requisitos obligatorios y declarados, sino también los que estén implicitos. Alplanificar y aplicar el BCMS, es importante determinar las acciones que son apropiadas en relacion con las partes interesadas, pero diferencidndolas entre si. Por ejemplo, si bien puede ser apropiado comunicarse con todas las partes interesadas después de una interrupci6n, tal vez no sea conveniente comunicarse con todas las partes interesadas al aplicar y mantener la gestion de continuidad de negocio (véase el numeral 8.1.2),GUIA TECNICA COLOMBIANA. GTC-ISO 22313 (Primera actualizacién) Interested parties Seppe cricgrpaabestion Competitor = ‘Topmanagement Management 1 =a ee : Trade grou = “Those who mana business coninlyprocedares = Incident response personnel Thor water tke ae — — ‘Other respunse agencies Regltors ‘Transporters Omer sat Contras Figura 4, Ejemplos de partes interesadas en los sectores publico y privado 4.2.2. Requisitos legales y reglamentarios La aplicacién del presente documento supone el conocimiento de los requisitos legales y reglamentarios aplicables. Los requisitos pueden ser implicitos, declarados u obligatorios. La informacién relativa a estos requisitos deberia documentarse y mantenerse actualizada. Los nuevos requisitos o los cambios en los requisitos existentes se deberian comunicar a los empleados afectados y a otras partes interesadas. La organizacién deberia demostrar que tiene acceso a los requisitos legales y reglamentarios vigentes y pendientes que sean pertinentes para sus operaciones y la forma en que se cumplen e505 requisitos. Los requisitos pueden incluir: a) b) °) d) e) respuesta a incidentes, que incluye la gestién de emergencias y otra legislacién pertinente; continuidad de negocio, que puede determinar el alcance de aplicacién del programa o el grado o la velocidad de recuperacién; riesgo, los requisitos que definen el alcance o los métodos de gestién del riesgo; peligros (por ejemplo, los requisitos de funcionamiento relativos a los materiales peligrosos almacenados en el lugar). las organizaciones que operan en miiltiples lugares pueden tener que satisfacer los requisitos de diferentes jurisdicciones. 4GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizaci6n) 4.3 DETERMINACION DEL ALCANCE DEL SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO 4.34 Generalidades El propésito de determinar la aplicacién del BCMS es determinar sus limites y su aplicabilidad para asegurar la cobertura de todos los productos y servicios, actividades, lugares, recursos, proveedores y otras dependencias pertinentes. Elalcance deberia abordar las cuestiones identificadas en el numeral 4.1, los requisitos de las partes interesadas determinados en el numeral 4.2, as{ como la misién, los objetivos y las obligaciones de la organizacién. La organizacién deberia preparar una declaracién que establezca el alcance del BCMS de manera y en términos adecuados al tamafio, naturaleza y complejidad de la organizacién. La declaracién deberia estar a disposicién de las partes interesadas. 4.3.2 Alcance del sistema de gestién de continuidad de negocio La organizacién deberi a) __establecer, por referencia a los productos y servicios, las partes de la organizacién que estén incluidas o excluidas del alcance del BCMS, por ejemplo: 1) solamente incluir la entrega de un producto especifico a un pais 0 regién; 2) _excluir un producto que ya no es viable 0 es de bajo valor para la empresa; 3) __incluir solo un subconjunto de productos y servicios; b) _identificar los productos y servicios de la organizacin de manera que se puedan identificar todas las actividades, recursos y cadenas de suministro conexas. El alcance puede: - incluir una indicacién de la escala o magnitud del incidente que abordara el BCMS; - _ identificar cémo encaja el BCMS en la estrategia de negocio de la organizacién y el enfoque de la gestién de riesgos. 4.3.3 Exclusiones del alcance Elalcance determina los lugares, productos y servicios, actividades y recursos a los que se aplica el BCMS. De ello se desprende que todas las dependencias estaran en el alcance, aunque no se hayan identificado explicitamente en la declaracién sobre este. Por ejemplo, si una organizacion manufacturera incluye un producto en su ambito de aplicacién del BCMS, entonces se incluird el ‘suministro de materias primas, el procesamiento, la entrega y cualquier funcién de apoyo (como el procesamiento de datos, las compras y los recursos humanos) en cualquier lugar que participe directa 0 indirectamente en su entrega al cliente.GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Las exclusiones no deberian afectar a la capacidad de la organizacién para cumplir los requisitos de continuidad de negocio, segtin lo determinado por el andlisis de impacto comercial (véase el numeral 8.2.2). En este sentido, no se pueden excluir las actividades, los recursos y las cadenas de ‘suministro necesarios para suministrar los productos y servicios incluidos en el alcance. Las exclusiones del objeto y campo de aplicacién de aplicacién del BCMS deberian documentarse y explicarse la justificacién de estas. Si el BCMS se esta integrando en un sistema de gestién existente, la organizacién deberia asegurarse de que se incluyan todos los elementos del BCMS. 4.4 SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO El propésito de esta subnumeral es destacar la necesidad de que la organizacién implemente y mantenga procesos que permitan al BCMS cumplir con los requisitos de la NTC-ISO 22301, incluidas las interacciones entre los procesos. ‘Al determinar los procesos y su aplicacién en toda la organizacién, la organizacién deberia a) determinar los insumos requeridos y los productos esperados de estos procesos; b) _determinar la secuencia e interaccién de estos procesos; c) determinar y aplicar los criterios y métodos (incluidos el monitoreo, las mediciones y los indicadores de desempefio conexos) necesarios para asegurar el funcionamiento y el control eficaces de esos procesos; d) determinar los recursos necesarios para estos procesos y asegurar su disponibilidad; e) _asignar las responsabilidades y las autoridades de estos procesos; f) _ abordar los riesgos y oportunidades que se determinan en el numeral 6.1; 9) __evaluar estos procesos y aplicar los cambios necesarios para asegurar que estos procesos logren los resultados previstos; h) mejorar los procesos y el BCMS. En la medida en que sea necesario, la organizacién debera: - mantener informacién documentada para apoyar el funcionamiento de sus procesos; = conservar la informacién documentada para tener la confianza de que los procesos se estan llevando a cabo segin lo previsto.GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacion) 5. LIDERAZGO 5.1. LIDERAZGO Y COMPROMISO 5.1.1 Generalidades Todos los niveles de gestién en toda la organizacién deberian demostrar su liderazgo y compromiso, ‘segtin corresponda a sus esferas de responsabilidad. 5.1.2 Alta direccién La alta direccién deberia demostrar liderazgo y compromiso mediante lo siguiente: a) _asignar roles y asegurandose de que se cumplan (véase el numeral 5.1.3); b) _establecer una politica de continuidad de negocio (véase el numeral 5.2); c) _ designar a una 0 mas personas con la autoridad y las competencias adecuadas para que se encarguen del BCMS y rindan cuentas de su funcionamiento efectivo (véase el numeral 5.3); d) — comunicar la importancia de la continuidad de negocio y cumpliendo con los requisitos del BCMS; @) _ poner a disposicién los recursos necesarios, incluidos los niveles adecuados de financiacién (véase el numeral 7.1); f) _promover la mejora continua (véase el numeral 10.2); 9) _asegurarse de que se logren los resultados previstos del BCMS; h) _proporcionar a otros niveles de gestién un apoyo que les permita demostrar el liderazgo y el compromiso aplicables a sus esferas de responsabilidad. 5.1.3. Otros roles directivos Otros niveles de gestién deberian demostrar su liderazgo y compromiso mediante: a) El establecimiento de objetivos de continuidad de negocio que sean compatibles con los objetivos estratégicos de la organizacién (véase el numeral 6.2); b) La integracién de los requisitos del BCMS en los procesos de negocio de la organizacién (véase el numeral 8.1); ) El despliegue de la toma de conciencia de los requisitos legales, reglamentarios y de otro tipo aplicables (véase el numeral 4.2.2); d) _Elestablecimiento de los roles, responsabilidades y competencias del BCMS (véanse los numerales 5.3 y 7.2); 2) _ El logro de los resultados previstos en el BCMS; 7GUIA TECNICA COLOMBIANA _GTC-ISO 22313 (Primera actu: f) 9) h) i) La participacién en el programa de ejercicios (véase el numeral 8.5); La realizacién de auditorias internas del BCMS (véase el numeral 9.2); La realizaci6n de revisiones por la direccién eficaces del BCMS (véase el numeral 9.3); La direcci6n y el apoyo a la mejora del BCMS (véase el numeral 10). El compromiso de la direccién también puede demostrarse mediante: 5.2 5.21 la participacién operacional a través de grupos de direccién; la inclusién de la continuidad de negocio como un tema permanente en las reuniones de gestién. POLITICA Establecimiento de la politica de continuidad de negocio La alta direccién deberia definir la politica de continuidad de negocio en términos de los objetivos de la organizacién y sus obligaciones, asi como asegurarse de que: a) b) °c) a) °) sea una declaracién concisa y de alto nivel de la intencién y direccién de la alta direccién para el BCMS; sea apropiado para el propésito de la organizacién (dado su tamafio, naturaleza y complejidad, asi como para reflejar su cultura, sus dependencias y su entorno operativo); proporcione un marco para el establecimiento de objetivos; incluya un claro compromiso de cumplir los requisitos aplicables, incluidas las obligaciones legales y reglamentarios; incluya el compromiso de mejorar continuamente el BCMS. La politica deberia: especificar el alcance y los limites de la continuidad de negocio de la organizacién, lo que incluye limitaciones y exclusiones (véase el numeral 4.3); identificar las autoridades y delegaciones necesarias, incluida la persona o personas responsables del BCMS de la organizacion (véase el numeral 5.3); incluyen referencias a normas, directrices, reglamentos 0 politicas que deberia considerar 0 cumplir el BCMS. La politica puede contener lo siguiente: un compromiso de financiacién;GUIA TECNICA COLOMBIANA —_GTC-ISO 22313 (Primera actualizacion) - referencias a otras politicas conexas; - um requisito para poner en practica la continuidad de negocio; = un compromiso de ejercer y mantener la continuidad de negocio. En el caso de las organizaciones con sistemas de gestién existentes, puede ser convenient integrar la politica de BCMS con las relativas a los demas sistemas de gestién. Se deberian adoptar disposiciones adecuadas para aprobar la politica, conservar la informacion documentada sobre ella y revisarla periédicamente (por ejemplo, anualmente) y siempre que se produzcan cambios significativos en los factores internos o externos (por ejemplo, un cambio en la alta direccién, la introduccién de nueva legisiacién). La idoneidad de esas disposiciones dependeré del tamajio, la complejidad, la naturaleza y el objeto y campo de aplicacién de la organizacién. 5.2.2 Comunicacién de la politica de continuidad de negocio de la organizacién La politica de continuidad de negocio deberi a) estar disponible y mantenerse como informacién documentada; b) _comunicarse, comprenderse y aplicarse dentro de la empresa; c) se pondran a disposicién de las partes interesadas con la aprobacién de la administracién. 5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES La alta direccién deberia asegurar la asignacién y comunicacién de responsabilidades y autoridades dentro de! BCMS. Un miembro de la alta direcci6n deberia ser responsable y rendir cuentas del BCMS. La alta direccién puede designar otros érganos (por ejemplo, un comité directivo) para supervisar la aplicacién y el seguimiento continuo del BCMS. Los representantes, independientemente de sus otras responsabilidades, deberian ser nombrados con roles, responsabilidades y autoridad definidas para: = asegurarse que el BCMS se ajusta a la politica de continuidad de negocio; - __informar sobre el desempefio del BCMS a la alta direcci6n para su revision y como base para la mejora (véanse los numerales 9 y 10); - __promover a tomad de conciencia de la continuidad de negocio en toda la organizacién (véase el numeral 7.3); - asegurar la eficacia de los procedimientos elaborados para responder a los incidentes (véase el numeral 8.4.4.2.2). Elrepresentante de la alta direccién puede: - recibir un titulo especifico (por ejemplo, "gerente de continuidad de negocios", “oficial de continuidad de negocios" o "gerente de resiliencia"); 9GUIA TECNICA COLOMBIANA GTC-+SO 22313 (Primera actualizacion) - tener otras responsabilidades dentro de la organizacién; - - __ serde cualquier area de la organizacién. ‘Se pueden identificar representantes de los roles o lugares de la organizacién para que ayuden en la aplicacién del BCMS (por ejemplo, los responsables de los asuntos relacionados con los riesgos). Sus funciones, responsabilidades y rendicién de cuentas deberian integrarse en las descripciones de los puestos, que pueden reforzarse con la inclusién de estos en la politica de evaluacién, recompensa y reconocimiento de la organizacién. En la Tabla 3 figuran ejemplos de las funciones y responsabilidades del BCMS que podrian ser apropiadas. NOTA _ Enel sitio web de la Organizacién de las Naciones Unidas para la Educacién, la Ciencia y la Cultura (UNESCO) ‘se ofrecen ejemplos de equipos y de posibles roles y responsabilidades que podrian ser apropiadas para responder a los incidentes y reanudar las actividades. Tabla 5 (véase el numeral 8.4.4) ‘Segiin el tamafio de la organizacién, los roles y responsabilidades que figuran en la Tabla 3 podrian establecerse de manera diferente. Lo importante es asegurarse de que todas las responsabilidades ‘sean parte de un rol y tengan un propietario. Todos los roles, responsabilidades y autoridades del BCMS deberian definirse y documentarse y estar sujetas a auditoria. Tabla 3. Ejemplos de roles y responsabilidades del BCMS Roles Responsabilidades Representante de la alta |- Rendir cuentas del GSCN. recon) = Representar la gestién de continuidad de negocio en las evaluaciones por la alta direcci6n Gerente de continuidad de |- Ser responsable del GSCN — - _ Establecer y demostrar el compromiso con la politica de continuidad de negocio - _Liderar todas las actividades del programa y coordinar con otros roles Nombrar a los miembros del equipo con la debida antigiiedad, autoridad y competencia + Faciltar la aprobacién de soluciones, procedimientos y programas de ejercicios + Presentar recomendaciones del equipo en las reuniones de revisién por la direccién. Equipo de gestién de |- Aplicar la gestion de continuidad de negocio en toda la empresa continuidad de negocio —|__Mantener la documentacion = Asegurarse de que se efectien revisiones del programa en forma oportuna Evaluar la adecuacién de la continuidad de negocio para las funciones individuales Organizar y coordinar programas de concienciacién sobre la continuidad de negocio Crear programas de ejercicios y solicitar la aprobacién de la autoridad competente = Llevar a cabo reuniones y sesiones informativas sobre los ejercicios = __Mantener a las partes interesadas informadas del programa Continia, 10GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Tabla 3. (Final) Roles Responsabilidades Equipo de gestion de |- Asegurarse de que el ejercicio se realice de conformidad con el programa de ccontinuidad de negocio ejercicios __Asegurarse que las aucitorias internas y la revisién por la direccién se realicen a tiempo Mantener las relaciones con las funciones y estar en contacto con ellas durante las interupciones Asegurarse de que los planes de accién correctiva se apliquen de manera oportuna = Faxilitar los esfuerzos de los representantesicoordinadores funcionales. Representantes = Mantener los procedimientos de continuidad de negocio pias - Informar al responsable de la continuidad de negocio sobre el estado de la preparacion = Realizar e informar sobre las actividades del programa segiin lo indicado Hay que confirmar que se prueban y mantienen los planes de continuidad de los Proveedores. ~ Coordinar la participacién det personal en los ejercicios - Mantener los registros de los ejercicios de continuidad de negocio Mantener al equipo informado de los cambios que podrian afectar ala continuidad de negocio - Seguimiento de las acciones correctivas de manera oportuna = Mantener al responsable de la continuidad de negocio informado de los progresos de las acciones correctivas PLANIFICACION 6.1 ACCIONES PARA ABORDAR RIESGOS Y OPORTUNIDADES NOTA _Laorientacion de este subnumeral se refiere ala eficacia del BCMS. La orientacion relativa alos riesgos de que se interrumpan las actividades priortarias se ofrece en el subnumeral 8.2.3. 6.1.1 Determinacién de los riesgos y las oportunidades La determinacién y el tratamiento de los riesgos y oportunidades le permiten a la organizacién: a) obtener la seguridad de que el BCMS puede lograr los resultados previstos; b) _prevenir, 0 reducir, los efectos no deseados; ©) _lograr la mejora continua; La organizacién deberia determinar las acciones para abordar las cuestiones identificadas en el numeral 4.1, las necesidades y expectativas de las partes interesadas identificadas en el numeral 4.2, y los requisitos legales y reglamentarios identificados en el numeral 4.2.2. Esta determinacién deberia incluir la consideracién de los riesgos y oportunidades y sus posibles impactos en la eficacia del BCMS. Los riesgos y oportunidades pueden surgir de: "GUIA TECNICA COLOMBIANA —_GTC-1SO 22313 (Primera actualizacién) una falta de liderazgo y compromiso de la alta direccién; - La insuficiente financiacién del BCMS, que conduce a una respuesta inadecuada; - __informacién poco documentada; - la falta de personas con competencia demostrada; - un proceso inadecuado de revisién de la gestién; - una incapacidad de irrumpir en nuevos mercados donde la continuidad de negocio es un requisito. 6.1.2 Abordar riesgos y oportunidades La organizacién deberia planificar las acciones necesarias para abordar estos riesgos y oportunidades de manera que: - evita los resultados no deseados; s aprovecha cualquier oportunidad para mejorar el BCMS; - ogra la integracién en el proceso del BCMS (véase el numeral 8.1); - _asegura de que se disponga de informacién documenteda para evaluar si las acciones han sido eficaces (véase el numeral 9.1). 6.2 OBJETIVOS PARA LA CONTINUIDAD DE NEGOCIO Y PLANIFICACION PARA LOGRARLOS 6.2.1 Establecer los de objetivos para la continuidad de negocio La organizacién deberia establecer objetivos para la implementacién y el mantenimiento de la gestién de continuidad de negocio (véase el numeral 8). Estos deberian estar alineados con los objetivos generales de la organizacién y deberian incluir la identificacién de responsabilidades y el establecimiento de objetivos apropiados y realistas para su realizacién. La planificacién deberia comunicarse a toda la organizacién. Los avances en su implementacién deberian ser monitoreados y documentados. A medida que evoluciona el BCMS, este plan deberia ser revisado regularmente y, cuando sea apropiado, actualizado. 6.2.2 Determinar los objetivos para la continuidad de negocio Al determinar sus objetivos de continuidad de negocio, la organizacién deberia asegurarse de que éstos se especifiquen claramente: a) lo que se har b) _los recursos que se necesitaran; 2GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) ©) quien seré responsable; d) fechas de finalizaci6n; e) _cémo se evaluarén los resultados. Los siguientes ejemplos de objetivos de continuidad de negocio pueden, en determinadas circunstancias, cumplir los requisitos especificados en la NTC-ISO 22301: - ‘La alta direccién asignaré los recursos necesarios para asegurar que se establezca un BCMS, coherente con la NTC-ISO 22301, en la fecha XX para todos los productos y servicios”; - EI Director A colaborara con XXX Consultores para lograr la certificacién segun la NTC-ISO 22301 antes de la fecha XX para los productos y servicios establecidos”; - ‘La alta direccién utilizaré los recursos existentes para asegurar que, para la fecha, tendremos implementado la gestién de continuidad de negocio conforme ala NTC-ISO 22301 para cumplir con nuestras obligaciones para con los clientes establecidos”, - El Director de TI trabajaré con nuestros proveedores para acortar el tiempo de recuperacién de las actividades de apoyo a los productos y servicios definidos en un 10%. Esto se logrard antes de la fecha XX’; - “Sin necesidad de recurrir a recursos adicionales, el gerente de produccién dispondra, para la fecha XX, de una gestion de continuidad de negocio que cumpla con los requisitos de la NTC-ISO 22301 y proteja los productos y servicios determinados.” 6.3 PLANIFICACION DE LOS CAMBIOS EN EL SISTEMA DE GESTION DE CONTINUIDAD DE NEGOCIO La gestién de! cambio es una consideracién importante para todos los procesos de gestién. Los cambios en el BCMS, incluidos los identificados en el numeral 10.1, deberian planificarse cuidadosamente para asegurar que se investigue y comprenda plenamente el propésito previsto. Esto deberia incluir la contemplacién de las consecuencias de los cambios propuestos, asegurando que se consideren tanto las conseouencias previstas como las no previstas y asegurando que se preserve la integridad del BCMS. La organizacién también deberia asegurarse de que se disponga de recursos apropiados y suficientes y de que se asignen o reasignen responsabilidades y autoridades en la medida de lo necesario. 13GUIA TECNICA COLOMBIANA GTC-SO 22313 (Primera actualizacién) 7. APOYO 7.4 RECURSOS 744 Generalidades La organizacién deberia determinar y asegurar la disponibilidad de los recursos necesarios para el BCMS que: a) —_cumpla con su politica y objetivos de continuidad de negocio; b) __satisfaga los requisitos cambiantes de la organizacién; ¢) _permita una comunicacién eficaz sobre los asuntos del BCMS, tanto interna como externamente; d) _facilita el funcionamiento y la mejora continua del BCMS. Los recursos deberian estar disponibles de manera oportuna y eficiente. 7.1.2 Recursos del BCMS Al determinar los recursos necesarios para el BCMS, la organizacién deberia prever los fondos necesarios: a) _ personas y recursos relacionados con dichas personas, entre ellos 1) _ eltiempo necesario para cumplir los roles y responsabilidades del BCMS; 2) formacién, educacién, concienciacién y ejercici 3) _la gestién del personal del BCMS; b) __instalaciones, entre ellas los lugares de trabajo y la infraestructura apropiados; ) sistemas de tecnologia de la informacién y las comunicaciones (TIC), incluidas las aplicaciones que apoyan la gestién eficaz y eficiente de los programas; d) _gestién y control de todas las formas de informacién documentada; ) —_comunicacién con las partes interesadas (véase Figura 4); f) _ finanzas y fondos. Los recursos y su asignacién deberian ser revisados periédicamente para asegurar su adecuacién. Puede ser apropiado involucrar a la alta direccion en esta revision. 4GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacion) 7.2. COMPETENCIAS La organizacién deberia establecer un sistema apropiado y eficaz para gestionar la competencia de las personas que realizan la labor del BCMS bajo su control. La direccién deberia_determinar las competencias requeridas para todas los roles y responsabilidades del BCMS, asi como la conciencia, los conocimientos, la comprensién, las habilidades y la experiencia necesarios para cumplirlas. Todas las personas a las que se asignen roles dentro de la organizacién deberian demostrar las competencias requeridas y recibir formacién, la educacién, el desarrollo y otros apoyos necesarios para ello. Esto puede denominarse "programa de desarrollo de competencias" y puede incluir: - una evaluacién de las competencias para los roles que se vayan a desempefiar - _ lacreacién de un programa de desarrollo personal que identifique la formacién, la educacién, el desarrollo y otros apoyos necesarios para alcanzar las competencias; - __elsuministro de formacién y tutoria, incluida la seleccién de métodos y materiales adecuados; - la evaluacién del desempefio; - _ elintercambio de conocimientos; - _ elintercambio de trabajo; - la contratacion de personas competentes; - la formacién de los grupos objetivo; - la documentacién y seguimiento de la formacién recibida; - la evaluacién de la formacién recibida en funcién de las necesidades y requisitos de formacién definidos, a fin de verificar la conformidad con los requisitos de formacién del BCMS; - el mejoramiento del programa de desarrollo en la medida en que sea necesario. La organizacién deberia contar con un proceso para identificar y proveer los requisitos de formacién en materia de continuidad de negocio de todos los participantes y evaluar la eficacia de su prestacién. Los tipos de formacién que pueden ser apropiados para establecer, gestionar y mantener el BCMS son los siguientes: - __ establecimiento y manejo de la gestion de continuidad de negocio; - __realizacién de un andlisis de impacto en el negocio; - _realizacién de una evaluacién de riesgos; 15GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) habilidades de comunicacién; gestion de proyectos; elaborar e implementar la documentacion sobre la continuidad de negocio; ejecucién de un programa de ejercicios. La competencia puede reforzarse con cualquiera de los siguientes elementos: integrar los logros del BCMS en el proceso de recompensa y reconocimiento de la organizacién; integrar los logros del BCMS en el proceso de desempefio y evaluacién; integracién de los roles, responsabilidades y autoridad del BCMS dentro de las descripciones de los puestos de trabajo y el conjunto de habilidades de la organizacién; la participaci6n de los usuarios empresariales y de la alta direccién en los ensayos, ejercicios y pruebas. La organizacién deberia exigir a los contratistas que trabajen en su nombre que demuestren que la(s) persona(s) que realiza(n) el trabajo bajo su control tiene(n) la competencia necesaria para el BCMS y los roles de respuesta que desempefiara(n). 73 TOMA DE CONCIENCIA La organizacién deberia asegurarse de que todas las personas que trabajan bajo su control (por ejemplo, el personal, los contratistas, los proveedores) tomen conciencia de la politica y los objetivos de continuidad de negocio de la empresa, y: cémo reducir la probabilidad de que se produzcan interrupciones y su funcién con respecto a la deteccién de incidentes, la mitigacién, la autoproteccién, la evacuacién, la respuesta, la continuidad y la recuperacién; la importancia de la conformidad con la politica y los procedimientos de continuidad de negocio; la dependencia de los proveedores y de los socios extemos y los riesgos asociados a los objetivos de negocio; las consecuencias de los cambios en el funcionamiento de la organizacion; su contribucién a la eficacia del BCMS, incluyendo los beneficios de la mejora de la continuidad de negocio; su funcién y responsabilidad en el logro de la conformidad con sus requisites. 16GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) La organizacién deberia construir, promover e incorporar la gestién de continuidad de negocio en la cultura de la organizacién, a fin de que: - se convierte en parte de los valores basicos y de la gestién de la organizacién; - las partes interesadas toman conciencia de la politica de continuidad de negocio y de su papel en los procedimientos asociados. Una organizacién con la gestién de continuidad de negocio integrada en su cultura realizaré lo siguiente: - desarrollar la continuidad de negocio de manera mas eficiente; - _infundir confianza a sus partes interesadas (especialmente al personal y a los clientes) en su capacidad para manejar las interrupciones; = aumentar su resiliencia a lo largo del tiempo al asegurar que las implicaciones para la continuidad de negocio se consideren en las decisiones a todos los niveles; - minimizar la probabilidad y el impacto de las interrupciones. - La incorporacién de la gestion de continuidad de negocio en Ia cultura de la organizacién se apoya en: - la participacién de todo el personal en la empresa; - _unliderazgo disperso en toda la empresa; - _ laasignacién de responsabilidades; = medicién basada en indicadores de desempefio; - _ laintegracién de la continuidad de negocio en las précticas normales de gesti - aumento de la toma de conciencia; - _ entrenamiento de habilidades; - la ejecucién de los planes de continuidad de negocio. Un programa de toma de conciencia puede incluir: - un proceso de consulta con el personal de toda la organizacién en relacién con el establecimiento y la administracién de la gestién de continuidad de negocio; - una discusién sobre la continuidad de negocio en los boletines, sesiones informativas, programa de induccién o revistas de la organizacién (incluida la orientacién para nuevos empleados); - _ inclusién de la continuidad de negocio en las paginas web pertinentes; 17GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacion) = inclusién de la gestién de continuidad de negocio como tema en las reuniones del personal y del equipo directivo; - _ publicacién selectiva de los informes posteriores a los incidentes; - _reuniones informativas para la alta direccién;, - visitas a un lugar alternative designado (por ejemplo, un sitio de recuperacién); - comunicaciones regulares con los proveedores para asegurarse de que entienden los requisitos de continuidad de la organizacién y pueden demostrar su capacidad para cumplir con las capacidades de continuidad acordadas. Los cambios en el entorno y las operaciones de negocio afectan al enfoque y la forma en que se planifican, disefian y ejecutan las actividades de continuidad de negocio. La organizacién puede demostrar que es consciente de las tendencias de la gestion de continuidad de negocio, por ejemplo, con su participacién en actividades relacionadas con la continuidad de negocio en la industria, que pueden incluir: - ser miembro de un grupo de interés de la industria; - ser miembro de un comité organizador de congresos; - realizar presentaciones en conferencias y seminarios; - _asistir a conferencias locales o mundiales sobre la continuidad de negocio. 7.4 COMUNICACION La organizacién deberia determinar las comunicaciones pertinentes para el BCMS. Las comunicaciones pertinentes para el BCMS le permiten a la organizacién responder a las necesidades y expectativas de las partes interesadas (véase el numeral 4.2). Para que la comunicacién sea eficaz, la organizacién deberia determinar y, cuando corresponda, establecer criterios para determinar lo siguiente. a) Sobre lo que va a comunicar: La comunicacién relativa al BCMS puede ser necesaria dependiendo de la naturaleza de la organizacién y de la situacién. Algunas organizaciones, por ejemplo, tienen la obligacién legal o reglamentaria de comunicar. b) Cuando la comunicacién deberia tener lugar: Puede haber umbrales mds alla de los cuales se hace imperativo que la organizaci6n se comunique y el contexto de la organizacién puede determinar la frecuencia con la que deberia efectuarse la comunicacién. ) Con quien se comunicara: Todas las partes interesadas necesitaran comunicarse de vez en cuando, por lo que es importante determinar para cada una de ellas las circunstancias en que se necesitara la comunicacién y las prioridades de comunicacién. 18GUIA TECNICA COLOMBIANA. GTC-ISO 22313 (Primera actualizacién) d) Los medios de comunicacién: Determinar con antelacién los métodos, instrumentos y canales de comunicacién, incluidas las alternativas, le permitira a la organizacién comunicarse de manera eficaz. e) __Las personas que ejecuten la comunicacién: La organizacién deberia identificar portavoces que la representen y designar a personas concretas como puntos de contacto para la comunicacién. La organizacién puede incluir referencias a su BCMS y a los acuerdos de continuidad de negocio en los boletines y las reuniones informativas para proveedores y clientes. La organizacién deberia proporcionar una comunicacién externa eficaz como parte de su programa de toma de conciencia (véase el numeral 7.3) y cuando responda a un incidente (véase el numeral 8.4.4). 7.5 INFORMACION DOCUMENTADA 7.5.1 Generalidades La informacién documentada requerida por la NTC-ISO 22301 proporciona evidencia de la conformidad con los requisitos y el funcionamiento eficaz del sistema de gestion. Por "procedimiento" se entiende una forma especifica de llevar a cabo una actividad o un proceso. Un "procedimiento documentado” significa que el procedimiento deberia establecerse y mantenerse en un medio adecuado. Un solo documento puede abordar los requisites de uno 0 més procedimientos documentados. E1 Fequisito de un procedimiento documentado puede estar cubierto por mas de un documento. La informacién documentada incluye: = Comprensién de la organizacién y su contexto (véase el numeral 4.1); 2 requisitos legales y reglamentarios (véase el numeral 4.2.2); - _alcance de! BCMS y sus exclusiones (véase el numeral 4.3); - politica (véase el numeral 5.2); = objetivos de continuidad de negocio y planificacién para alcanzarlos (véase el numeral 6.2); = competencias (véase el numeral 7.2); = andlisis de impacto en el negocio y evaluacién de riesgos (véase el numeral 8.2); = estrategias y soluciones de continuidad de negocio (véase el numeral 8.3); - Planes y procedimientos para la continuidad de negocio (véase el numeral 8.4); - programa de ejercicios (ver el numeral 8.5); 19GUIA TECNICA COLOMBIANA GTC4SO 22313 (Primera actualizacion) monitoreo, medicién, andlisis y evaluacién (véase el numeral 9.1); - auditoria interna (véase el numeral 9.2} - revision por la direccidn (véase el numeral 9.3); - no conformidad y acciones correctivas (véase el numeral 10.1). Asimismo, puede requerirse informacion documentada que abarque la siguiente informacion para asegurar la eficacia del BCMS: S contratos con los clientes y niveles de servicio; - resultados de los andlisis de impacto de negocio; - resultados de las evaluaciones de riesgos; - determinacién y seleccién de soluciones de continuidad de negocio; - resumen de la respuesta al incidente; - programa de toma de conciencia; - el BCMS y las comunicaciones de incidentes con el personal y las partes interesadas, como boletines, notas de reuniones y alertas; - programas de formacién para la organizacién y los individuos; E programa de ejercicios; E contratos y acuerdos de nivel de servicios con los proveedores; - politica y planes de continuidad de negocio de los contratistas y proveedores, incluidas evidencia del monitoreo de los riesgos de sus proveedores, asi como evidencias de que los planes de continuidad de sus proveedores se mantienen y se ejercen; - __ procedimientos de notificacién y respuesta de contratistas y proveedores; - evidencia de inspeccién, mantenimiento y calibracion; - __informes posteriores a los incidentes y cuasi-incidentes; = actas de la reunion de revision del BCMS. 7.5.2 Creacion y actualizacion Cumplir con los requisitos para crear y actualizar la informacién documentada: - toda la informacién documentada deberia ser claramente identificable (por ejemplo, nombre, numero de referencia, descripcién, fecha, autor, versién); 20GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) - la organizacién deberia especificar los formatos que son aceptables (por ejemplo, el idioma, la versién de software, los gréficos) y los medios que pueden utilizarse para el almacenamiento de la informacién documentada (por ejemplo, papel, digital); - _ elformato y los medios de comunicacién utilizados deberian revisarse y aprobarse en cuanto su idoneidad y adecuacién. EI alcance de la informacion documentada para el BCMS puede diferir entre las organizaciones debido a los siguientes factores: - el tamafio de la organizacién, sus productos y servicios, y el tipo de actividades que realiza; - la complejidad de las actividades y sus interacciones; - la. competencia de las personas. 7.5.3, Control de la informacién documentada 7.5.3.1 Acceso a la informacion documentada Se deberia controlar toda la informacién documentada requerida. El propésito de controlar la documentacién es asegurar que las organizaciones creen, mantengan y protejan los documentos de manera apropiada y suficiente para implementar y operar el BCMS. El objetivo principal deberia ser este propésito en lugar de establecer un complejo sistema de control de documentos. Entre los ejemplos de proteccién se incluye la prevencién de que los documentos se vean comprometidos 0 se modifiquen sin la debida autorizacién y de que se eliminen accidentalmente. Hay varios niveles y combinaciones de acceso que pueden concederse (por ejemplo, ver solamente, ver y cambiar, vista restringida). También puede ser apropiado que la organizacién clasifique su informacién documentada segtin su sensibilidad (por ejemplo, restringida, confidencial, protegida). Esa clasificacién puede ser necesaria, por ejemplo, para las soluciones de continuidad de negocio relacionadas con la interrupcién laboral interna, o cuando los planes y procedimientos de continuidad de negocio contienen informacién sensible sobre la competencia. 7.5.3.2 Tipos de control ‘Se deberia establecer un procedimiento documentado para definir los controles necesarios para: - distribuir la informacién documentada; = proporcionar acceso a ella (el acceso incluye, por ejemplo, los permisos y la autoridad para ver 0 modificar la informacin documentada); = aprobar los documentos para su adecuacién antes de su emisién; - __revisar y actualizar segtin sea necesario y volver a aprobar los documentos; 2GUIA TECNICA COLOMBIANA GTC4SO 22313 (Primera actualizac in) - asegurarse que se identifiquen los cambios y el estado actual de revision de los documentos; = asegurarse que las versiones pertinentes de todos los documentos aplicables estén disponibles en los puntos de uso; - _asegurarse que los documentos permanezcan legibles y facilmente identificables; = asegurarse que se identifiquen los documentos de origen externo que la organizacién determine como necesarios para la planificacién y el funcionamiento del BCMS y que se controle su distribucién; - __ impedir el uso no intencional de documentos obsoletos y aplicarles una identificacién adecuada si se retienen para cualquier motivo; - establecer pardmetros de retencién y archivo de documentos; asegurar la proteccién y la no divulgacién de la informacién confidencial Las organizaciones deberian asegurar la integridad de la informacion documentada haciéndola a prueba de manipulaciones, con copias de seguridad, accesible tinicamente al personal autorizado y protegida contra dafios, deterioro y pérdida. La organizacién deberia demostrar que conoce toda la legislacién y reglamentacién pertinentes relativos a la conservacién de la informacién documentada y deberia conservar evidencias de su cumplimiento. 8. OPERACION 8.1 PLANIFICACION Y CONTROL OPERACIONAL 8.1.1 Generalidades La organizacién deberia determinar, planificar, implementar y controlar los procesos necesarios para establecer y mantener una gestién de continuidad de negocio que cumpla con los requisitos aplicables (véase el numeral 4) e implementar las acciones determinadas en el numeral 6.1. Estos procesos deberian integrarse en los procesos de negocio de la organizacién para asegurar que se gestionen adecuadamente y se mantenga su eficacia. La organizacién deberia establecer mecanismos de control que incluyan: a) decidir cémo deberian determinarse, planificarse, implementarse y controlarse esos procesos (por ejemplo, mediante el establecimiento de un plan de implementacién y el acuerdo de una metodologia adecuada para implementar y mantener la gestién de continuidad de negocio); b) —_asegurarse que los controles de estos procesos se implementen de conformidad con las decisiones adoptadas, por ejemplo, mediante el establecimiento de hitos en los proyectos y la especificacién de los productos necesarios; 22GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) °) mantener la informacién documentada para demostrar que los procesos se han llevado a cabo segiin lo previsto. La organizacién deberia asegurarse de que se controlen los cambios planificados, se revisen los cambios no previstos y se adopten las acciones apropiadas. La organizacién deberia asegurarse de que los procesos contratados de forma externa y la cadena de suministro estén controlados (véase el numeral 8.3.4.9). 8.1.2 Gestién de continuidad de negocio Los elementos de la gestion de continuidad de negocio, como se muestra en la figura 5, son los siguientes. a) b) d) e) Planificacién y control operacional (véase el numeral 8.1): La planificacién y el control operacionales eficaces son el nticleo de la gestién de continuidad de negocio. Deberia ser liderado por una persona responsable nombrada por la alta direccién. Analisis de impacto en el negocio y evaluacién de riesgos (véase el numeral 8.2): El andlisis de impacto en el negocio le permite a la organizacién evaluar los impactos que la interrupcién de las actividades tendria en la entrega de sus productos y servicios. Esto le permite a la organizacién dar prioridad a la reanudacién de sus actividades. La comprensién de los riesgos de interrupcidn de estas actividades priorizadas le permite a la organizacién gestionarlas. El resultado del analisis de impacto en el negocio y la evaluacién de riesgos le permite a la organizacin determinar los parametros adecuados para sus estrategias y soluciones de continuidad de negocio. Estrategias y soluciones de continuidad de negocio (véase el numeral 8.3): La identificacién y evaluacién de una serie de estrategias de continuidad de negocio le permite a la organizaci6n identificar soluciones para reducir el riesgo y mitigar el impacto de la interrupoién de sus actividades priorizadas y hacer frente a cualquier interrupcién que se produzca. Las soluciones de continuidad de negocio seleccionadas permitiran reanudar las entregas de productos y servicios a una capacidad aceptable (nivel de produccién o de servicio) y dentro de los plazos acordados. Planes y procedimientos de continuidad de negocio (véase el numeral 8.4): Los planes y procedimientos de continuidad de negocio le permiten a la organizacién gestionar una interrupcién y continuar las actividades sobre la base de sus requisitos de continuidad de negocio. Deberia haber una estructura de respuesta definida que identifique los equipos responsables de responder a las interrupciones (véase el numeral 8.4.2). La organizacién deberia establecer e implementar planes y procedimientos de alerta y comunicacién (véase el numeral 8.4.3), de respuesta a incidentes (véase el numeral 8.4.4.2.2) y de recuperacién (vuelta a la normalidad) (véase el numeral 8.4.5). Programa de ejercicios (véase el numeral 8.5): Un programa de ejercicios le permite a la organizacién validar la eficacia de las soluciones, planes y procedimientos que se han puesto 23GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizaci6n) ) en marcha. Un programa de ejercicios también ofrece oportunidades para que la organizacién: 1) promueva la toma de conciencia del personal y el desarrollo de competencias; 2) — asegure de que sus planes y procedimientos de continuidad de negocio sean completos, actuales y apropiados; 3) mejore su continuidad de negocio. Evaluacién de la documentacién y las capacidades de continuidad de negocio (véase el numeral 8.6): La organizacién deberia evaluar su gestion de continuidad de negocio para asegurarse de que es eficaz y le permite alcanzar sus objetivos de continuidad de negocio. Business continuity management Business impact analysis and Fisk assessment (82) Sperational planning Business Exercise and control continuity programme (8.1) strategies and (@5) solutions 3) Business continuity plans ‘and procedures (84) Figura 5. Elementos de la gestién de continuidad de negocio 8.1.3 Mantenimiento de la continuidad de negocio EI mantenimiento efectivo de la continuidad de negocio incluye: asegurar la continua pertinencia del alcance, los roles y las responsabilidades para la continuidad de negocio; promover e incorporar la gestién de continuidad de negocio en la organizacién y en otras partes interesadas, segun sea apropiado gestionar los costos asociados a la continuidad de negocio; establecer y hacer seguimiento a la gestién del cambio y de gestién de la sucesién en el marco del BCMS; 24GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) = organizar o proporcionar al personal la formacién y la toma de conciencia adecuadas; - mantener la documentacién de! programa apropiada al tamafio y complejidad de la organizacién. Cada componente de los arreglos de continuidad de negocio de una organizacién, incluida la documentacién, deberia revisarse, ponerse en practica y actualizarse periddicamente. Estos arreglos también deberian revisarse y actualizarse siempre que haya un cambio significativo en el entoro operacional, la estructura, los lugares, el personal, los procesos o la tecnologia de la organizacién, o cuando un ejercicio 0 incidente ponga de manifiesto deficiencias. La organizacién puede adoptar un método reconocido de gestién de proyectos para asegurar la gestién eficaz de la continuidad de negocio. Las técnicas para asegurar que la continuidad de negocio se mantenga efectiva, incluyen: - la implementacién de buenas précticas; - la administracién del programa de ejercicios; 5 la coordinacién de la revisién y actualizacién periédica de la continuidad de negocio, lo que incluye la revisién o reelaboracién del analisis de impacto en el negocio y las evaluaciones de riesgo; - El aseguramiento de que los procedimientos de continuidad de negocio sigan siendo apropiados para las necesidades de los equipos de respuesta. 8.2 ANALISIS DE IMPACTO EN EL NEGOCIO Y EVALUACION DE RIESGOS 8.2.1 Generalidades Una organizacién logra su propésito mediante la entrega de sus productos y servicios a los clientes. Por consiguiente, es importante crear una comprensién de los impactos adversos que, a lo largo del tiempo, tendria la interrupcién de la entrega de esos productos y servicios (y de las actividades que los respaldan) en la organizacién y en las partes interesadas. También es importante comprender las interrelaciones y las necesidades de recursos de las actividades de apoyo a los productos y servicios y las amenazas a éstas. La organizacién deberia implementar y mantener procesos que analicen sistemédticamente los impactos en el negocio (véase el numeral 8.2.2) y evallien los riesgos de interrupcién (véase el numeral 8.2.3), cuyos resultados le permitan identificar estrategias y soluciones de continuidad de negocio (véase el numeral 8.3). El analisis de impacto en el negocio y la evaluacién de riesgos deberian revisarse a intervalos planificados y cuando se produzcan cambios significativos en la organizacién o en el contexto en el que opera. Depende de la organizacién determinar el orden en que se realizan el andlisis de impacto en el negocio y la evaluacién del riesgo, siempre que se evalien los riesgos para sus actividades priorizadas (véase el numeral 8.2.3). 25GUIA TECNICA COLOMBIANA GTC-+4SO 22313 (Primera actualizacion) 82.2 Anilisis de impacto e en el negocio (BIA, por sus siglas en inglés) Elandlisis de impacto en el negocio le permite a la organizacién establecer prioridades para reanudar las actividades que se han interrumpido. Su principal objetivo es permitir que la organizacién identifique y clasifique como "priorizada" toda actividad que pueda necesitar una accidn urgente cuando se haya visto interrumpida porque si no se reanuda rapidamente podria dar lugar a niveles inaceptables de impacto adverso. Es posible que haya que dar prioridad a otras actividades distintas de las que deberian recuperarse rapidamente. Por ejemplo, habria que dar prioridad a una actividad que no es necesario reanudar durante seis meses, pero que tardaria un minimo de ocho meses en reanudarse. Por consiguiente, las actividades priorizadas también se pueden considerar como actividades que pueden requerir la aplicacién de soluciones de continuidad de negocio antes de que se interrumpan (véase el numeral 8.3.5). En el presente documento se utiliza la expresién “actividad priorizada", pero las organizaciones pueden utilizar sus propios términos, periodos de tiempo u érdenes de prioridad. Algunos ejemplos de términos son “critico", "esencial", "vital" y "clave". Los ejemplos de periodos de tiempo incluyen "0-2 horas", "0-1 dia" y "1-3 dias". Ejemplos de prioridades son “alta”, "media" y "baja", 0 "1, "2" y oem Cada organizacién describe cémo funciona a su manera. Por ejemplo, una organizacién puede describir las actividades como tareas o conjuntos de tareas que la organizacién realiza para producir © entregar sus productos y servicios (véase la Figura 6). Otras organizaciones tal vez deseen describir los productos y servicios como creados por procesos constituidos por actividades. EI analisis deberia abarcar todas las actividades comprendidas en el alcance del BCMS. Es aceptable realizar el andlisis de grupos de actividades, por ejemplo, en relacién con productos y servicios especificos (véase la Figura 6). Al realizar el andlisis de impacto en el negocio, la terminologfa utilizada deberia reflejar la forma en que la organizacién describe sus propias operaciones. Organization Internal External Suppliers context context and ‘outsource. Purpose of the organization partners Product/service Product/service —— Product/service st Hz # # # # Activity |) Activity Activity Activity Activity | | Activity eo x Dependencies and a MET supporting activites ee Assets and resources Figura 6. Cémo entender la organi 26GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) La norma GTC-ISO/TS 22317 contiene mas orientaciones sobre la realizacién de un anélisis de impacto en el negocio. Se trata de una especificacién técnica que presenta un enfoque por fases como forma de cumplir con los requisitos de la NTC-ISO 22301. El analisis de impacto en el negocio le permite a la organizacién determinar los impactos adversos que las interrupciones tendrian en sus operaciones y preparar, como resultado, una declaracién y Una justificacién de los requisitos de continuidad de negocio. Asimismo, el andlisis le permite a la organizacion - obtener una comprensién de sus productos y servicios y de las actividades que los suministran; - _ determinar las prioridades y los plazos para reanudar la entrega de productos y servicios; 2 identificar los recursos que podrian requerirse para la continuidad y la recuperacién; - _identificar las dependencias (tanto internas como externas). EI proceso de anilisis de impacto en el negocio deberia utilizarse para determinar las prioridades y los requisitos de continuidad de negocio. El proceso deberia incluir la definicién de criterios de evaluacién para el andlisis de impacto en el negocio, incluidos los tipos de impacto y los plazos que se deberian considerar. Ambos deberian basarse en el contexto, los objetivos de negocio y las metas de la organizacién y deberian tener en cuenta las necesidades de las partes interesadas. Los criterios de evaluacién deberian revisarse periédicamente y con mayor frecuencia durante los periodos de cambio. Los tipos de impacto (que pueden denominarse "categorias de impacto") pueden incluir, por ejemplo, los que se muestran en la Tabla 4. ‘Tabla 4. Ejemplos del tipo de impacto Tipo Descri Financiero PPérdidas por muitas, penalizaciones, pérdida de benefcios o disminucién de la participacion de mercado Reputacional | Opinién negativa o dato de la marca Operacional | Extension y duracién de la interrupcién del fiujo de las operaciones de negocio legal y reglamentario | Responsabilidad por itigios y revocacién de la licencia de comercio Contractual Incumplimiento de contratos u obligaciones entre organizaciones Objetivos de negocio _| fracaso en lograr los objetivos 0 tomar ventaja de las oportunidades El tiempo necesario para que los impactos se transformen en inaceptables puede variar entre segundos y varios meses. Los plazos dependerdn de la sensibilidad temporal de los productos y servicios de la organizacién. Por ejemplo, para dar cabida a productos que son muy sensibles al tiempo, los plazos pueden ser de minutos u horas. Los plazos mas largos serfan apropiados para las organizaciones con productos y servicios menos sensibles al tiempo. 7GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) La interrupcién de las actividades puede hacer que la entrega de productos y servicios se vea afectada indirectamente. Por ejemplo, la pérdida de la capacidad de pagar a los proveedores puede dafiar la reputacién de la organizacién y dar lugar a que los proveedores se nieguen a suministrar los bienes, lo que a su vez impide que se fabriquen los productos o se presten los servicios. Los productos y servicios también tienen variaciones diarias en la demanda y pueden ser de naturaleza iclica. Con frecuencia hay variaciones estacionales y niveles mas altos de actividad asociados a los plazos de entrega semanales, mensuales o anuales 0 a las fechas de entrega de los proyectos. El hecho de tener en cuenta las consecuencias indirectas y de suponer que la interrupcién se produce en el peor momento asegura que se evallien los maximos impactos posibles. Corresponde a la alta direccién de la organizacién determinar los umbrales de impacto que son inaceptables para la empresa. El tiempo que se tardaria en que los impactos se convirtieran en inaceptables puede denominarse "periodo maximo tolerable de interrupcién (MTTI)", "periodo maximo tolerable" o "interrupcién maxima aceptable". El nivel minimo de producto o servicio que es aceptable para la organizacién puede expresarse como el “objetivo minimo de continuidad de la actividad (OMCA)* El andlisis de impacto en el negocio deberia incluir también la identificacién de las dependencias de las actividades priorizadas, lo que le permitiré a la organizacién asegurarse de que se incluyan en la evaluacién del riesgo (véase el numeral 8.2.3) y estén disponibles para la determinacién de la estrategia y las soluciones de continuidad de negocio (véase el numeral 8.3). La organizacién deberia ser cautelosa a la hora de determinar las necesidades de recursos de las actividades priorizadas (véase el numeral 8.3.4) antes de seleccionar las soluciones de continuidad (véase el numeral 8.3.3) porque las dependencias de las actividades priorizadas pueden no ser pertinentes para las soluciones de continuidad que se seleccionen. El proceso de analisis de impacto en el s negocio deberia incluir: a) __ la definicién de los criterios de evaluacién pertinentes al contexto de la organizacién, entre ellos: 1) tipo de impacto; 2) marcos de tiempo; b) _identificar las actividades que apoyan la entrega de los productos y servicios de la organizacién c) utilizar los criterios de evaluacién para valorar los impactos previstos a lo largo del tiempo ‘como consecuencia de la interrupcion de esas actividades; 4) _calcular el tiempo en el que los impactos de no reanudar las actividades serian inaceptables; e) __establecer plazos dentro del tiempo indicado en el literal d) anterior para la reanudacién de las actividades a las capacidades minimas aceptables especificadas (véanse Figuras 2 y 3); f) \dentificar las actividades priorizadas; 28GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) 9) _ [a identificacién de las dependencias de las actividades priorizadas, incluidas las personas (véase el numeral 8.3.4.2), la informacién y los datos (véase el numeral 8.3.4.3), los edificios, los lugares de trabajo y los servicios publicos conexos (véase el numeral 8.3.4.4), el equipo y los bienes de consumo (véase el numeral 8.3.4.5), los sistemas de tecnologia de la informacién y las comunicaciones (véase el numeral 8.3.4.6), el transporte y la logistica (véase el numeral 8.3.4.7), las finanzas (véase el numeral 8.3.4.8), y los asociados y la cadena de suministro (véase el numeral 8.3.4.9); h) —identificar las interdependencias de las actividades priorizadas (por ejemplo, las adquisiciones dependen de la financiacién para liberar fondos). En el presente documento, el plazo para reanudar una actividad [véase (e) anterior] se denomina “objetivo de tiempo de recuperacion (RTO por sus sigias en inglés)" de la actividad. Al establecer el RTO de una actividad también hay que tener en cuenta: - _ dependencias de actividades conexas; - la complejidad del proceso de recuperacién. Puede ser conveniente que las organizaciones con procesos de recuperacién complejos establezcan miltiples RTO para una gama de capacidades aceptables. Al considerar la dependencia de las actividades de la informacion y los datos, la organizacion deberia asegurarse de que la informacién y los datos requeridos para la reanudacién de una actividad estén debidamente actualizados. La organizacién puede utilizar la expresién “objetivo de punto de Fecuperacion (RPO por sus sigias en inglés)" para lograrlo. El RPO es el punto hasta el cual se restaura la informacién y los datos utilizados por una actividad para que ésta pueda funcionar al reanudarse. El RPO también puede utilizarse para determinar la frecuencia de la copia de seguridad necesaria para evitar la pérdida inaceptable de datos e informacién, y otros trabajos en curso que podrian impedir la reanudacién de una actividad. La GTC-ISO/IEC 27031 proporciona més orientacién con respecto a la garantia de la vigencia de los datos mantenidos electrénicamente. La norma ISO/IEC 27002 proporciona orientacién para asegurar la confidencialidad, integridad y disponibilidad permanentes de los datos. El analisis de impacto en el al negocio deberia documentarse, incluyendo: - la identificacién de los requisitos (obligaciones) legales, reglamentarios y contractuales y su efecto en los requisitos de continuidad de negocio (véase el numeral 4.2.2); - la aprobacién 0 modificacién del alcance de! BCMS de la organizacién (véase el numeral 4.3); - la evaluacién de los impactos en la organizacién a lo largo del tiempo como justificacién de los requisitos de continuidad de negocio (tiempo y capacidad); - __ laidentificacién de las relaciones entre productos y servicios, actividades y recursos; - la identificacién de los recursos de apoyo de los que dependen las actividades priorizadas; 29GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) - la identificaci6n de las dependencias de otras actividades, cadenas de suministro, socios y otras partes interesadas. La informacién puede provenir de: = entrevistas; = cuestionarios; = talleres; - otras fuentes interas y externas. 8.2.3 Evaluacién del riesgo NOTA La orientacién de este numeral se refiere a los riesgos de que se interrumpan las actividades priorizadas. o La orientacién relativa a la eficacia del BCMS se presenta en el numeral 6.1, El propésito de la evaluacién de riesgos es permitir que la organizacién evalde los riesgos de que se interrumpan las actividades priorizadas, de modo que pueda tomar las acciones adecuadas para abordar esos riesgos. La organizacién deberia implementar y mantener un proceso formal de evaluacién del riesgo que identifique, analice y evalie sistematicamente el riesgo de interrumpir las actividades priorizadas de la organizacion y los procesos, sistemas, informacion, personas, activos, proveedores y otros recursos que las respaldan. La evaluacién del riesgo es un proceso estructurado para analizar el riesgo en términos de probabilidad y consecuencias antes de decidir sobre el tratamiento posterior que podria requerirse. Este proceso estructurado trata de responder a algunas preguntas fundamentales, como las siguientes. {Qué podria suceder? £Cuél es la probabilidad de que esto o aquello ocurra? Cudles podrian ser las consecuencias? tHay algo que pueda mitigar las consecuencias o reducir la probabilidad? El proceso deberia considerar el contexto de la organizacién y las necesidades y expectativas de las partes interesadas (véanse los numerales 4.1 y 4.2). La organizacién deberia comprender las amenazas y vulnerabilidades pertinentes a los recursos que requieren sus actividades, en particular las siguientes: - recursos necesarios para las actividades identificadas como de alta prioridad; - cuando el plazo de sustitucién del recurso es mayor que el objetivo de tiempo de recuperacién de la actividad. 30GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) La organizacién deberia seleccionar un método apropiado para identificar, analizar y evaluar los riesgos que podrian dar lugar a una interrupcién. La NTC-ISO 31000 establece los principios de la gestién de riesgos y las directrices correspondientes. Los elementos caracteristicos que deberian incluirse en el contexto del presente documento son los siguientes. a) b) °) Identificacién de los riesgos: Fuentes potenciales de riesgo para las actividades priorizadas de la organizacién y los procesos, sistemas, datos, personas, activos, proveedores y otros recursos que las sustentan. Estos pueden provenir de: 1) amenazas especfficas que podrian en algtin momento interrumpir las actividades y los recursos (por ejemplo, incendios, inundaciones, cortes de electricidad, pérdidas de personal, ausentismo del personal, virus informaticos, fallas de hardware); 2) _interrupciones, que podrian surgir de vulnerabilidades dentro de los recursos (por ‘ejemplo, puntos tnicos de falla, insuficiencias en la proteccién contra incendios, falta de capacidad eléctrica, niveles inadecuados de personal, escasa seguridad y resiliencia de la tecnologia de la informacién). Analisis de riesgos: Una comprensién del riesgo para que se pueda evaluar y determinar el tratamiento mds apropiado. Esto deberfa implic: 1) la consideracién de las causas y fuentes de riesgo, la probabilidad de consecuencias tanto positivas como negativas, y el efecto que otros factores podrian tener en la probabilidad; 2) determinar los riesgos, sobre la base, principalmente, de su probabilidad y ‘consecuencias anticipadas, pero también teniendo en cuenta la eficacia y la eficiencia de los controles existentes. Un pardmetro clave del andlisis es la probabilidad, por lo que la confianza en su validez (basada en la divergencia de opiniones entre los expertos, la incertidumbre, la disponibilidad, la calidad, la cantidad y la pertinencia continua de la informacién, o las limitaciones en la elaboracién de modelos) deberia considerarse y llevarse a la consideracién de los encargados de la toma de decisiones y otras partes interesadas. El andlisis puede ser cualitativo, semicuantitativo 0 cuantitativo. Evaluacién de riesgos: Una evaluacién de cudles son los riesgos relacionados con la interrupcién que requieren tratamiento. Esto deberia centrarse en los recursos necesarios para las actividades de alta prioridad 0 con un plazo de sustitucién considerable. La organizacién deberia estar al tanto de cualquier obligacién financiera, reglamentaria /legislativa © gubernamental que requiera la comunicacién de estos hallazgos. Ademés, ciertas necesidades de la sociedad también pueden justificar que se comparta esta informacién con un nivel de detalle apropiado. 3GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) 8.3 ESTRATEGIAS Y SOLUCIONES DE CONTINUIDAD DE NEGOCIO 8.3.1 Generalidades Las estrategias de continuidad de negocio son posibles formas de que la organizacién cumpla con sus requisitos de continuidad de negocio. - Las estrategias de continuidad de negocio deberian comprender al menos una solucién de continuidad de negocio, pero pueden requerir mas de una solucién para cumplir con los requisitos de continuidad de negocio. - Las soluciones de continuidad de negocio incluyen enfoques, disposiciones, métodos, procedimientos, tratamientos y acciones que pueden ponerse en practica para implementar las estrategias de negocio. Las soluciones se pueden utilizar para mas de una estrategia Las estrategias y soluciones de continuidad de negocio’ a) _le permiten a la organizacién reanudar las operaciones de negocio en los plazos requeridos yccon una capacidad aceptable; b) _identificar las capacidades que la organizacién puede implementar y mejorar con el tiempo para mitigar los riesgos relacionados con la interrupcién. La identificacién de las estrategias de continuidad de negocio y la seleccién de las soluciones de continuidad de negocio deberian basarse en el andlisis de impacto en el negocio (véase el numeral 8.2.2) y en la evaluacién del riesgo (véase el numeral 8.2.3), teniendo en cuenta los costos asociados. La organizacién deberia contar con procedimientos para identificar y seleccionar estrategias y soluciones de continuidad de negocio, incluida la revisién y aprobacién de las soluciones recomendadas. La organizacién deberia considerar las opciones que pueden implementarse antes, durante y después de una interrupcién. 8.3.2 Identificacién de estrategias y soluciones 8.3.2.1 Generalidades La mayoria de las estrategias requieren una o més soluciones, pero, en el caso de algunas de las actividades de la organizaci6n, no hacer nada o aplazar su reanudacién pueden ser estrategias aceptables. Por ejemplo, una estrategia de reubicacién para reanudar las actividades puede consistir en varias soluciones, entre ellas el "transporte de emergencia’, la "redireccién de la red" y la "dotacién alternativa de personal". Estas soluciones también pueden formar parte de la estrategia de "ampliacion de la jomada laboral”. En forma similar, una estrategia de produccién para proteger las actividades priorizadas puede consistir, por ejemplo, en una serie de soluciones, como la de " desplazar la fabricacién del 30% del producto A de la ubicacién A a la ubicacién B" o " dividir la fabricacién del producto A entre la ubicacién C y la ubicacién D". 32GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Para asegurar que el funcionamiento de los planes de continuidad de negocio (véase el numeral 8.4.4) no se vea afectado negativamente por la interrupcién, la organizacién puede necesitar tomar precauciones, por ejemplo, separar los equipos y los sistemas de las TIC recuperados en varios lugares. La separacién total para todas las escalas y tipos de interrupcién no siempre es posible y puede ser necesario identificar las limitaciones y acordarias con la alta direcci6n. Las limitaciones pueden expresarse en términos de distancia, personal minimo o gravedad, y pueden verse condicionadas por la respuesta de los organismos piiblicos a interrupciones graves o generalizadas. La organizacién deberia identificar estrategias y soluciones adecuadas para: - la proteccién de las actividades priorizadas; = estabilizar, continuar, reanudar y recuperar las actividades priorizadas; - _ mitigar, responder y gestionar los impactos. La organizacién deberia disponer de un mecanismo para determinar y seleccionar estrategias y soluciones de continuidad de negocio, en particular la aprobacién e implementacién de las soluciones recomendadas (véase el numeral 8.3). La norma ISO/TS 22331 proporciona mas orientacién sobre la determinacién y seleccién de estrategias y soluciones de continuidad de negocio. 8.3.2.2 Proteccion de las actividades priorizadas La proteccién de las actividades priorizadas puede lograrse mediante: - la reduccién del riesgo de que las actividades se vean impactadas por una interrupci6n; - la transferencia de actividades a un tercero (aunque la responsabilidad sigue siendo de la organizacién). Por otra parte, puede ser posible cambiar la forma en cémo se realizan las actividades si se dispone de alternativas viables. Al determinar las estrategias y soluciones para proteger las actividades priorizadas, la organizacién deberia considerar: - la vulnerabilidad percibida de la actividad y los impactos que se producirian sila actividad se detuviera; - el costo de las medidas en comparacién con los beneficios previstos; - la urgencia de la actividad, ya que habré menos tiempo para resolver el problema; - su viabilidad e idoneidad general. 33GUIA TECNICA COLOMBIANA —_GTC-ISO 22313 (Primera actualizacion) 8.3.2.3 Estabiliza Prioritarias n, continuacién, reanudacién y recuperacién de las actividades El establecimiento de RTOs para reanudar las actividades priorizadas a la capacidad acordada le permite a la organizacién identificar estrategias para acortar el perfodo de interrupcién, reducir los impactos y permit la recuperacién oportuna de las actividades priorizadas, Para asegurar que las actividades priorizadas puedan reanudarse en el marco de sus RTOs, también deberian establecerse RTOs compatibles para las dependencias y los recursos de apoyo. Las organizaciones también deberian determinar las capacidades a las que las dependencias y los recursos de apoyo se necesitan reanudar. Al establecer estos RTOs, la organizacién puede tener que considerar: - la posibilidad de proporcionar un servicio diferente hasta el punto en que se requiera la reanudacién completa; - asegurarse de que las personas se movilicen de manera efectiva; = proporcionar aliento y apoyo a las personas que regresan al trabajo en momentos de necesidad; = soluciones provisionales (como los procesos manuales) que postergan la necesidad de reanudar la dependencia de los recursos de apoyo; - los retrasos y el tiempo requerido para recuperar la informacion perdida; - la complejidad y la escala de los requisitos de recuperacién o la necesidad de equipo especializado con un largo plazo de entrega. Las estrategias de continuidad de negocio pueden incluir lo siguiente. a) Reubicacién de actividades: La transferencia de algunas o todas las actividades, bien sea interamente a otra parte de la organizacién o externamente a un tercero, ya sea de manera independiente o mediante un acuerdo reciproco 0 de cooperacién mutua. Al determinar los lugares en los que se puede reanudar una actividad, se deberian tener en cuenta los lugares dafiados/afectados y los lugares alternativos no dafiados. b) _ Reubicaci6n o reasignacién de recursos: Los recursos, incluido el personal, se transfieren a otro lugar o actividad dentro de la organizacién, o externamente a un tercero. c) __Procesos alternativos y capacidad de reserva: Establecimiento de procesos alternativos o creacién de redundancia/capacidad de reserva en los procesos y/o el inventario. d) _Solucién provisional: Algunas actividades pueden adoptar una forma de trabajo diferente que proporcione resultados aceptables durante un tiempo limitado. Es probable que la solucién provisional consuma més tiempo 0 intensidad laboral (por ejemplo, una operacin manual en lugar de un sistema automatizado). Por estas razones, las soluciones provisionales suelen ser adecuadas tinicamente para periodos cortos de tiempo o para aplazar el regreso a la normalidad,GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Entre los ejemplos de estrategias se incluyen: = proporcionar una capacidad de fabricacién de reserva en un lugar altemativo; - __proporcionar capacidades de trabajo remoto para el personal clave. A Mitigacién, respuesta y gestién de los impactos Las estrategias para mitigar, responder y gestionar los impactos de una interrupcién pueden incluir lo siguiente. a) Seguro: La compra de un seguro puede proporcionar cierta recompensa financiera por algunas pérdidas, pero no cubrird todos los costos (por ejemplo, los riesgos no asegurados, la marca, la reputacién, el valor de las partes interesadas, la participacién de mercado, las conseouencias humanas). Un acuerdo financiero por si solo no protegera plenamente a la organizacién y no satisfard las expectativas de las partes interesadas. Es mas probable que la cobertura del seguro se utilice combinada con otras soluciones. b) _Restauracién de activos: Contratar los servicios de organizaciones especializadas en la limpieza o reparacion de bienes después de su averia. c) _ Gestién de la reputacién: El desarrollo de una capacidad efectiva de alerta y comunicacién (véase el numeral 8.4.3) y el establecimiento de procedimientos eficaces de comunicacién de incidentes (véase el numeral 8.4.4.5). En el caso de los riesgos identificados que requieren tratamiento y de conformidad con su actitud general ante el riesgo, la organizacién deberia considerar formas de reducir la probabilidad, acortar el perfodo y limitar los impactos de una interrupcién. Si existe un peligro especifico sobre el que la organizacién no tiene control y que podria causar una interrupcién significativa de la organizacién (por ejemplo, un terremoto o una inundacién), la organizacién deberd, cuando proceda: - identificar estrategias e implementar soluciones para limitar su impacto potencial, - identificar el organismo externo responsable de la monitorizaci6n del peligro; = comunicarse con el organismo externo para entender sus protocolos de notificacién; - _analizar los protocolos de notificacién para determinar si se ajustan a las necesidades de la organizacion. 8.3.3 Seleccién de estrategias y soluciones La seleccién de las estrategias de continuidad de negocio deberia basarse en la medida en que: a) _permitan reanudar las actividades priorizadas a la capacidad acordada en los plazos identificados durante el andlisis de impacto en el negocio (véase el numeral 8.2.2); b) _ estan en linea con la cantidad y el tipo de riesgo que la organizacién puede o no puede tomar; 35GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) ©) ofrecer beneficios a un costo manejable y razonable. La organizacién deberia reexaminar todas las soluciones cuando se hagan cambios en su funcionamiento. Las soluciones de continuidad de negocio para estabilizar, continuar, reanudar 0 recuperar una actividad priorizada pueden ser a menudo prohibitivamente costosas. Cuando la organizacién estime que este es el caso, deberia seleccionar soluciones alternativas que sean aceptables y cumplan sus objetivos de continuidad de negocio o tratar los productos y servicios afectados como exclusiones del alcance del CMS de conformidad con el numeral 4.3.3. Cuando la organizacién estime que una amenaza es extremadamente improbable 0 que el costo de proteger una actividad prioritaria es prohibitive, podra optar por aceptar el riesgo y reevaluarlo como parte de su evaluacién continua del desempefio del BCMS (véase el numeral 9). Aceptar el riesgo también puede requerir que los productos o servicios afectados se retiren del alcance del BCMS. 8.3.4 Requisitos de recursos 8.3.4.1 Generalidades La organizacién deberia determinar los requisitos de recursos para implementar las soluciones seleccionadas. La organizacién deberia establecer: = equipos idéneos o, en el caso de organizaciones mas pequefias, personas con la autoridad apropiada para supervisar la preparacién, respuesta y recuperacion en caso de incidentes; - _capacidades y procedimientos logisticos para localizar, adquirir, almacenar, distribuir, mantener, probar y contabilizar los servicios, el personal, los recursos, los materiales y las instalaciones producidos o donados; - _procedimientos financieros, logisticos y administrativos para apoyar las disposiciones de continuidad de negocio antes, durante y después de un incidente; estos procedimientos deberian: = asegurarse de que las decisiones financieras se puedan agilizar; = estar en consonancia con los niveles de autoridad y los principios de gobemanza y rendicion de cuentas establecidos; - objetivos de gestién de recursos en cuanto a tiempos de respuesta, personal, equipo, formacién, instalaciones, financiacién, seguros, control de la responsabilidad civil, conocimientos especializados, materiales y los plazos en que se necesitard cada uno de los recursos de la organizacién y de cualquier proveedor, - __ procedimientos de asistencia a las partes interesadas, comunicaciones, alianzas estratégicas y ayuda reciproca o mutua. 36GUIA TECNICA COLOMBIANA. GTC-SO 22313 (Primera actualizacién) 8.3.4.2 Personas 8.3.4.2.1 Generalidades La organizacién deberia contar con personas con la competencia para responder y gestionar los incidentes, asf como participar en la reanudacién de las actividades priorizadas. 8.3.4.2.2 Respuesta al incidente La organizacin deberia nombrar un personal de respuesta a incidentes con la responsabilidad, la autoridad y la competencia necesarias para gestionar un incidente. EI personal de respuesta a incidentes deberia formar un grupo que se encargue de gestionar cualquier interrupcién que impacte o tenga el potencial de impactar significativamente a la organizacién. El personal puede ser asignado a los equipos en funcién de su competencia demostrada en, por ejemplo: = gestién de incidentes/estrategia (véase el numeral 8.4.4.4); = comunicaciones (véase el numeral 8.4.4.5); - seguridad y bienestar (véase el numeral 8.4.4.6); - __rescate y seguridad (véase el numeral 8.4.4.7); - _reanudar las actividades (véase el numeral 8.4.4.8); - _recuperacién de los sistemas de TIC (véase el numeral 8.4.4.9). Todo el personal que forme parte de estos grupos deberia tener responsabilidades y autoridades claramente definidas que se apliquen antes, durante y después de una interrupcion. La formacion apropiada para el personal de respuesta a incidentes y de recuperacién del negocio incluye: - evaluacién de incidentes; - la gestién de la evacuacién y el refugio en el lugar, segin sea aplicable para el alcance; = arreglos en lugares de trabajo alternativos; - _ técnicas para manejar eficazmente las comunicaciones intemas y extemas; - _ eltrato de los aspectos relacionados con las personas (véase la norma ISO/TS 22330). Las habilidades y competencia de respuesta en toda la organizacién deberlan desarrollarse mediante una formacién practica, que incluya la participacion en los ejercicios. 37GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Los equipos de respuesta y recuperacién deberian recibir educacién y formacién sobre sus responsabilidades y obligaciones, incluyendo la interaccién con los primeros respondientes y otras partes interesadas. Los equipos deberian recibir formacién a intervalos regulares y los nuevos miembros deberian ser formados cuando se incorporen a la estructura de respuesta. Estos equipos también deberian recibir formacién sobre la prevencién de incidentes que podrian escalar a crisis. 8.3.4.2.3 Reanudacién de las actividades La organizacién deberia identificar las medidas apropiadas para mantener y ampliar la disponibilidad de las habilidades y conocimientos basicos que permitan reanudar las actividades con una disponibilidad de personal reducida. Es posible que las personas no respondan como se espera durante un incidente y que necesiten estimulo, consuelo y apoyo. Se deberia incluir a los empleados, contratistas y otras partes interesadas que posean amplias habilidades y conocimientos especializados. Las técnicas para proteger o mejorar estas habilidades pueden incluir: - una lista de especialistas calificados de respaldo y un plan de llamadas; - formacién de multiples habilidades del personal y los contratistas; - ‘separacién de las habilidades basicas para reducir el impacto de un incidente, incluyendo la separacién fisica del personal con habilidades bésicas en mas de un lugar; - uso de terceros; - __ planificacién de la sucesién; - __procesos de documentacién y otras formas de retencion y gestion de conocimientos. Los procedimientos que dependen de la reubicacién del personal después de un incidente pueden necesitar considerar: = transporte del personal a otro lugar; - necesidades de personal en el sitio alternativo, como: E alojamiento; - __ instalaciones de catering; s compromisos personales y familiares; - _ formacién en diferentes equipos; - _ desafios planteados por el teletrabajo. Los roles de los especialistas pueden incluir: - seguridad; - __logistica de transporte; 38GUIA TECNICA COLOMBIANA GTC-SO 22313 (Primera actualizacion) - __ bienestar y emergencia. Para motivar y restaurar la confianza de las personas que tendrén que responder a una interrupcién, la organizacién deberia proporcionar, por ejemplo, asesoramiento practico, formacién para la toma de conciencia sobre los riesgos, soluciones de transporte y apoyo a las familias. La norma ISO/TS 22330 proporciona més informacién sobre los aspectos de la continuidad de negocio relacionados con las personas. 8.3.4.3 Informacién y datos Las palabras "informacion" y "datos" se utilizan indistintamente en el uso cotidiano. En el presente documento se utiliza el término “informacién" para referirse a los datos que han sido procesados, organizados y correlacionados para producir un significado. Por lo tanto, la informacién se crea a partir de datos, que incluyen, por ejemplo, hechos, estadisticas y nimeros mantenidos manualmente y en forma digital que pueden almacenarse y utilizarse en una computadora. Es posible rectear la informacion a partir de los datos durante una interrupcién, pero el tiempo de procesamiento para hacerlo puede ser muy prolongado y es posible que tampoco se disponga de los medios para hacerlo. Por consiguiente, las organizaciones deberian considerar los requisitos de informacién y datos de las actividades. Si se pierde irremediablemente la informacién o los datos que requiere una actividad (no solamente una actividad priorizada), podria ser imposible que se reanude la actividad. La informacion y los datos vitales para el funcionamiento de la organizacion deberian protegerse y recuperarse de acuerdo con los plazos identificados durante el andlisis de impacto en el negocio. Al determinar las disposiciones para el almacenamiento y la recuperacién de los datos, la organizacion deberia ser consciente de los requisitos legales aplicables, Toda la informacién o los datos necesarios para permitir la respuesta y la recuperacién de la organizacién deberian tener una adecuada = confidencialidad (por ejemplo, si la actividad se trasiada a otro lugar); - __integridad: que la informacién y los datos sean fiables y se pueda confiar en ellos; = disponibilidad: que la informacién y los datos estén disponibles tan pronto como la actividad lo requiera (es decir, dentro del RTO de la actividad); la informacién y los datos requeridos durante la respuesta pueden ser requeridos inmediatamente mientras que otra informacion y datos pueden no ser requeridos hasta después del incidente; - moneda: tan actualizada como se requiera para que la actividad funcione (véase 8.2.2), aunque tal vez sea necesario volver a crear la informacién perdida a causa del incidente y restaurar los datos. Cuando se copian la informacién y los datos, pueden utilizarse diversos métodos, entre ellos los formatos virtuales (digitales) (por ejemplo, disco, nube, cinta) y fisicos (en papel) (por ejemplo, microfichas, fotocopias, creacién de copias dobles en el momento de la produccién). 39GUIA TECNICA COLOMBIANA. GTC-ISO 22313 (Primera actualizacion) Se deberian documentar las soluciones de informacién y datos para la recuperacién de la informacién y los datos que atin no se han copiado o respaldado en un lugar seguro. Sila informacién o los datos copiados se almacenan demasiado cerca del original, la interrupci6n podria comprometer la integridad o impedir el acceso a ellos. Sin embargo, una larga distancia puede impedir que la informacién/datos estén disponibles cuando se necesiten. Seria conveniente tener evidencias escritas de cémo se han resuelto estas consideraciones conflictivas. La informacién y los datos a que se hace referencia en este numeral pueden incluir: - __informacién de contacto; - _ proveedor, partes interesadas y detalles de las partes interesadas; - documentos legales (por ejemplo, contratos, pélizas de seguro, titulos de propiedad); = otos documentos de servicios (por ejemplo, contratos, acuerdos sobre el nivel de servicio); = metadatos (es decir, informacién para describir el contenido audiovisual y la esencia de los datos en un formato definido); - mensajes de notificacién y alerta difundidos como medida de respuesta a incidentes; - directrices y criterios sobre quién tiene autoridad para invocar los procedimientos. 8.3.4.4 Edificios, lugares de trabajo y servicios asociados Las soluciones para el lugar de trabajo pueden variar significativamente y se puede disponer de una gama de opciones. Los diferentes tipos de incidentes o amenazas podrian requerir la implementacién de opciones distintas 0 multiples en el lugar de trabajo. Las tacticas apropiadas se determinarén en parte por el tamafio de la empresa, el sector y la distribucién de las actividades, por las partes interesadas y por la base geografica. Por ejemplo, las autoridades tendran que mantener una prestacién de servicios de primera linea en sus comunidades, mientras que algunas organizaciones podrian funcionar desde un pais 0 continente diferente. La organizacién deberia idear una solucién que reduzca el impacto de la falta de disponibilidad de su(s) lugar(es) de trabajo normal(es). Esto puede incluir uno o més de los siguientes aspectos: - locales (ubicaciones) alternativos dentro de la empresa, incluyendo el desplazamiento de otras actividades; - locales alternativos proporcionados por otras organizaciones (ya sea que se trate de acuerdos reciprocos 0 no); = centros de mando; - locales alternativos proporcionados por terceros especializados; - trabajar desde casa 0 en sitios remotos; 40GUIA TECNICA COLOMBIANA GTC-+SO 22313 (Primera actualizacion) - otros locales idéneos acordados; - el uso de una fuerza de trabajo alternativa en un sitio establecido. Los locales altemativos deberian seleccionarse cuidadosamente tomando en consideracién una zona geogréfica que pueda verse afectada por el mismo incidente. Un incidente como un desastre natural puede causar dafios en amplias zonas y afectar a servicios esenciales como la electricidad, el gas, el agua y las comunicaciones. Si se prevé ese riesgo, los locales alternativos deberian estar alejados de esa posible zona afectada. Si se va a trasladar al personal a otros locales, se deberia prestar la debida atencién: = Asegurarse de que los locales no estén tan cerca como para que puedan verse afectados or el mismo incidente; = asegurarse de que los locales estén lo suficientemente cerca como para que el personal esté dispuesto a viajar alli y pueda hacerlo; - las posibles dificultades que podria causar el incidente. La utilizacién de los locales alternativos con fines de continuidad deberia estar respaldada por una declaracién clara en cuanto a si los recursos requeridos en los locales alternativos son para uso exclusivo de la organizacién. Si los locales altemnativos se comparten con otras organizaciones, se deberia elaborar y documentar un plan para mitigar la falta de disponibilidad de estos locales. En algunas situaciones (por ejemplo, en una linea de fabricacion, un centro de llamadas o si el RTO es corto), puede ser apropiado trasiadar la carga de trabajo en lugar del personal. Para ello puede ser necesario disponer de capacidad extra en el lugar alternative o de personal adicional (ya sea mediante horas extraordinarias 0 contratacién) y otros recursos. 8.3.4.5 Equipo y consumibles La organizacién deberia identificar y mantener un inventario de los suministros basicos que respaldan sus actividades priorizadas. Algunas instalaciones y maquinaria pueden ser dificiles de adquirir, ser muy caras (requieren un largo tiempo para su autorizacién) o tener largos plazos de entrega. Es posible que las soluciones para proporcionar esos recursos deban tener en cuenta esas consideraciones. El cambio de las prdcticas de negocio, como el control de las existencias o la gestién de edificios, puede aportar soluciones. Las técnicas para proporcionarlas pueden inclui = almacenamiento de suministros adicionales en otro lugar; - acuerdos con terceros para la entrega de las existencias a corto plazo; - _ desviacién de entregas justo a tiempo a otros lugare - _ laretencién de materiales en almacenes o lugares de envio; aGUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) - _ transferencia de las operaciones de subensamblaje a un lugar alternative que cuente con suministros; - identificacién de suministros alternativos/sustitutivos; - la identificaci6n de las instalaciones y el equipo y la planificacién de opciones multiples por fases. Cuando las actividades dependen de suministros especializados, la organizacién deberia identificar a los proveedores de los que dependen las actividades priorizadas, especialmente cuando hay una sola fuente de suministro. Las soluciones para gestionar la continuidad del suministro pueden incluir: = aumentar el ntimero de proveedores; - __ animar 0 exigir a los proveedores a que tengan una continuidad comercial; - _ acuerdos contractuales y/o de nivel de servicios con los proveedores; - la identificacién de proveedores alternativos y capaces. En los casos en que se reubiquen las actividades, deberia verificarse que los proveedores puedan suministrar sus productos o servicios eficazmente en el lugar alternativo. 8.3.4.6 Sistemas de las TIC En muchas organizaciones, las actividades no pueden realizarse sin sistemas de TIC y es necesario restablecerlas antes de que se puedan reanudar las actividades. Cuando sea posible y practico, la organizacién puede tener que implementar soluciones manuales mientras se restablecen sus sistemas de TIC. Las opciones tecnol6gicas dependeran de la naturaleza de la tecnologia empleada y de su relacién con las actividades, pero normalmente serén una combinacién de lo siguiente: = disposicién adoptada dentro de la organizacion; - servicios prestados a la organizacién por un tercero; - servicios externos a los que se suscribe la empresa. Las técnicas para proporcionar los sistemas de TIC requeridos por las actividades prioritarias pueden incluir: - difundirlos geogréficamente (por ejemplo, al mantener la misma tecnologia en diferentes lugares que no se veran afectados por la misma interrupcién); = mantenimiento del equipo més antiguo como reemplazo de emergencia o repuest - suministro de equipo o servicios de recuperacién contratados. 42GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) Debido a la complejidad de las tecnologias que las sustentan, los sistemas de TIC a menudo necesitan disposiciones complejas para asegurarse de que se puedan recuperar de manera oportuna. Por lo tanto, deberia prestarse atencién a: = la.ubicacién de los sitios de tecnologia y la distancia entre ellos; = distribuci6n de la tecnologia en sitios separados; - proporcionar instalaciones adecuadas para un mayor numero de usuarios con acceso remoto; - __ establecer sitios sin personal (oscuros) asi como sitios con personal; - mejorar la conectividad de las telecomunicaciones y aumentar los niveles de enrutamiento redundante; - proporcionando una "conmutacién” automatica en lugar de requerir una intervencin manual para restablecer los sistemas de TIC; - _ adaptarse a la obsolescencia de los sistemas de TIC. Si una organizacién alberga sus sistemas de TIC en més de un sitio, podria existir una oportunidad de implementar una solucién en la que cada sitio tenga el tamafio para dar cabida a la capacidad combinada de los sistemas de TIC de més de un sitio, Si una organizacién utiliza tecnologias muy especializadas 0 hechas a la medida con largos plazos de entrega, puede que tenga que considerar la posibilidad de aumentar la proteccién de sus sistemas de TIC adoptando disposiciones especiales para su sustitucién o restauracién. La GTC-ISO/IEC 27031 ofrece mas orientacién sobre la preparacién de TIC para la continuidad de negocio. 8.3.4.7 Transporte y logistica Puede ser necesario proporcionar transporte después de un incidente para: - enviar al personal a casa si su medio de transporte normal no esta disponible; - _ Trasladar el personal a un lugar de trabajo alternativo; - recursos necesarios en un lugar diferente. La organizacién deberia determinar de antemano las opciones para proporcionar los medios de transporte alternativos que podrian requerirse tras una interrupcién. Estos pueden incluir: - __ laidentificacién de posibles escenarios de interrupciones logisticas, entre ellas las causadas directamente por un incidente o una situacién inusual; - asegurar medios de transporte y rutas altemnativos para hacer frente a condiciones de trafico inusuales; 43GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacion) - acuerdos con proveedores de transporte alternativos. 8 Finanzas La organizacién deberia determinar las opciones para asegurar que se disponga de la financiacién necesaria durante y después de una interrupcién. Esto puede incluir: = proporcionar fondos para compras de emergencia, como comida, alojamiento, instalaciones, consumibles y transporte; = reembolso de los gastos de personal; - gastos importantes en, por ejemplo, el alquiler o la compra de edificios y equipo; Para protegerse contra el abuso o facilitar las reclamaciones de seguros, puede ser necesario demostrar la eficacia de los controles financieros, por ejemplo, disponiendo el registro formal de los gastos durante y después de una interrupcién. 9 Socios y cadena de suministro Las redes de negocio y las cadenas de suministro suelen ser amplias, complejas e interdependientes, con muitiples niveles. Es esencial comprender la cadena de suministro y los riesgos que plantea a la organizacién. Al analizar los impactos en el negocio (véase 8.2.2), la organizacién deberia realizar, junto con los proveedores pertinentes, un andlisis de las cadenas de suministro de las que dependen las actividades priorizadas. A su vez, se deberia exigir a los proveedores que hagan el andlisis en cascada a sus proveedores. El andlisis de la cadena de suministro deberia basarse en un conjunto de criterios desarrollados por la organizacién, que ofrezcan un enfoque organizativo comtin para evaluar el nivel de dependencia de la cadena de suministro y de los proveedores especificos dentro de ella y para comprender los plazos de busqueda de acuerdos alternativos. Las técnicas para obtener garantias y evaluar la continuidad de negocio de los proveedores y socios pueden incluir: - __ especificar los requisitos de continuidad de negocio en las licitaciones y contratos; - _ auditoria periédica de los planes de los proveedores; - __revisar los programas de ejercicio y mantenimiento; - __participar en ejercicios conjuntos de continuidad de negocio. Si se ha subcontratado un producto, servicio o actividad, la responsabilidad de ese producto, servicio © actividad sigue siendo de la empresa. Cuando las actividades priorizadas o las soluciones de continuidad de negocio se basen en los productos y servicios de un proveedor, la organizacién deberia evaluar la continuidad de negocio de los proveedores para obtener garantias de que el proveedor cuenta con acuerdos eficaces de 44GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) continuidad de negocio para esos productos y servicios, por ejemplo, examinando los resultados de los ejercicios La organizaci6n tal vez desee concentrar sus esfuerzos en los proveedores cuyo incumplimiento de la entrega de productos y servicios interrumpiria con mayor rapidez las actividades priorizadas. 8.3.5 Implementacién de soluciones Las soluciones seleccionadas deberian implementarse y mantenerse a lo largo del tiempo. Una vez seleccionadas las soluciones para la continuidad de negocio, la direcci6n deberia participar en la seleccién de los recursos para tal fin (por ejemplo, el espacio de trabajo, las personas, el equipo, los suministros). Se deberia tener cuidado para asegurar que estos recursos estén disponibles en el momento del incidente. Para asegurar que las estrategias de reanudacién y mitigacién sean factibles, la organizacion deberia definir e implementar todas las soluciones que deberian estar en funcionamiento antes de una interrupcién. Si el plazo de activacién de una solucién excede los requisitos de continuidad de negocio, la organizacién deberia aplicar la solucién seleccionada antes de la interrupcién. 8.4 PLANES Y PROCEDIMIENTOS DE CONTINUIDAD DE NEGOCIO 8.4.1 Generalidades La organizacién deberia contar con una estructura de respuesta apoyada por planes y procedimientos de continuidad de negocio para’ - controlar la respuesta a la interrupcién; - _ comunicarse efectivamente con las partes interesadas; - utilizando soluciones de continuidad de negocio para reanudar las actividades dentro de sus RTOs. Un plan comprende uno o mas procedimientos. Colectivamente, los planes y procedimientos deberian: = identificar los pasos inmediatos que deberian tomarse y ayudar a la toma de decisiones ‘oportuna; - ser lo suficientemente flexible para adaptarse a amenazas imprevistas y situaciones cambiantes; - Centrarse en los impactos previstos de las interrupciones; = se alinean con las soluciones de continuidad de negocio seleccionadas por la organizacién para minimizar los impactos; - _ identificar claramente los roles y asignar responsabilidades para todas las tareas a realizar. 45GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacion) 8.4.2 Estructura de la respuesta 8.4.2.1 Propésito Una estructura de respuesta eficaz les permite a las organizaciones detectar los eventos, identificar los incidentes y determinar si es probable que den lugar a una interrupcién. La organizacién deberia desarrollar una estructura de respuesta a incidentes que proporcione una respuesta eficaz a las interrupciones, independientemente de su causa. Si no existe una estructura acordada y documentada, es probable que la organizacién sea incapaz de responder eficazmente a la interrupcién y no pueda reanudar las actividades interrumpidas en los plazos necesarios. 8.4.2.2 Disefio La estructura de respuesta a incidentes deberia identificar claramente: - los equipos encargados de responder a lo: incidentes y reanudar las actividades; - _ lajerarquia del equipo; - los roles y responsabilidades de los equipos. La estructura de respuesta deberia ser simple y capaz de formarse rapidamente. También deberia proporcionar mecanismos que aseguren la comunicacién oportuna de informacién y decisiones. No existe una estructura unica de respuesta a incidentes que sea adecuada para todas las organizaciones. Cada organizacién deberia disefiar su propia estructura, considerando lo siguiente: - la estructura de gestién existente; - la naturaleza, la cultura, la escala, la complejidad y Ia infraestructura de procesos de la organizacién; - las soluciones de continuidad de negocio seleccionadas; - los requisitos de continuidad de negocio de la organizacién; - cualquier amenaza percibida por la organizacién. Es posible que las organizaciones mas grandes o complejas necesiten establecer equipos separados para centrarse en diferentes aspectos del incidente. En las organizaciones mas pequefias, puede ser factible que un equipo se encargue de un incidente, pero nunca deberia ser responsabilidad de un solo individuo. 8.4.2.3 Capacidades del equipo Colectivamente, los equipos deberian ser capaces de: - evaluar la naturaleza y la extensi6n de la interrupci6n y su posible impacto; 46GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) - medi los posibles impactos del incidente en relacién con umbrales de impacto predefinidos, a fin de determinar si se justifica 0 no una respuesta formal; 2 iniciar una respuesta apropiada a una interrupcin, activar planes, movilizar equipos de respuesta y asegurar la disponibilidad de los recursos necesarios; < planificar todas las acciones que se llevaran a cabo; - establecer prioridades para todas las acciones, dando prioridad a la seguridad de la vid - Monitorear cémo se desarrolla el incidente y la eficacia de la respuesta de la organizacion para hacer frente a los impactos y las consecuencias; - activar soluciones de continuidad de negocio adecuadas; - __proporcionar un comando y control efectivo de la respuesta de la organizacién al incidente y responder a los cambios a medida que la situaci6n evoluciona; = comunicarse con las partes interesadas, en particular con los trabajadores, los familiares afectados, los visitantes, las autoridades y los medios de comunicacién, 4 Composicién y orientacién del equipo Cada equipo deberia tener: a) Miembros y suplentes de! equipo identificados, con la responsabilidad, la autoridad y la competencia para que el equipo pueda cumplir su funcién y sus responsabilidades; b) _procedimientos documentados para orientar las acciones del equipo (véase el numeral 8.4.4). 3 Advertencia y comunicacién 8.4.3.1 Generalidades El manejo eficaz de las comunicaciones iniciales desde el principio de una interrupcion puede marcar una gran diferencia en la eficacia de la respuesta de la organizacién. Solo se puede lograr una comunicacién eficaz si la organizacién tiene claro qué, cuando, con quién y cmo comunicarse. Por consiguiente, la organizacién deberia establecer procedimientos documentados para las siguientes advertencias y las acciones relacionadas con la comunicacién e identificar quién seré responsable de llevarlas a cabo: = comunicacién interna entre los diferentes niveles y funciones dentro de la organizacién, incluso dentro de la estructura de respuesta; - _alertar a las partes interesadas y recibir, documentar y responder a las comunicaciones de éstas (esto puede incluir los contactos de emergencia de los empleados); - asegurarse de que el equipo y las instalaciones de comunicacién estén disponibles; - facilitar la comunicacién estructurada con los equipos de respuesta a emergencias; 47GUIA TECNICA COLOMBIANA —_GTC-ISO 22313 (Primera actualizacién) - _gestionar la respuesta de la organizacién alos medios de comunicacién y asegurarse de que se ajusta a la estrategia de comunicaciones de la empresa; = tegistrar informacién vital sobre el incidente, las acciones realizadas y las decisiones tomadas. La organizaci6n deberia asegurarse de que existan procedimientos e instalaciones eficaces para recibir, documentar y responder a las advertencias, alertas y comunicaciones externas de los sistemas nacionales 0 regionales de asesoramiento sobre riesgos o equivalentes. Es posible que algunas organizaciones necesiten establecer instalaciones dedicadas 0 ad hoc situadas lo suficientemente lejos del lugar afectado para que su funcionamiento no se vea obstaculizado por el incidente. Pueden requerirse arreglos especiales para quienes tienen necesidades especificas (por ejemplo, los adultos mayores y las personas con necesidades especiales). Para obtener orientacién sobre la difusién de advertencias, incluido el contenido de la informacién y los canales de comunicacién, véase la norma ISO 22322. EI equipo de comunicaciones puede verse afectado por las intertupciones, por lo que tal vez sea necesario disponer de diversas alternativas, por ejemplo: = megafonos; - sistemas de altavoces; - _ teléfonos méviles de repuesto; - __ teléfonos satelitales; - radios transmisores. 8.4.3.2 Alertar a las partes interesadas En algunas circunstancias, las partes interesadas pueden verse afectadas por una interrupci6n ya iniciada o inminente. Por ejemplo, las interrupciones en una organizacién que lleva a cabo operaciones peligrosas 0 almacena productos t6xicos podrian hacer que los vecinos de la organizacién corrieran peligro. Esas organizaciones deberian considerar: - __ establecer procedimientos que permitan monitorear los peligros; - _ determinar de antemano la informacién de alerta publica que pueden tener que proporcionar durante una interrupeién; - __ identificar las zonas geogréficas a las que puede ser necesario enviar informacion de alerta publica; - __evaluar cientificamente los niveles potenciales de gravedad de los peligros; = definir criterios con base cientifica para emitir advertencias y asegurar que existan procedimientos para transferir la informacién de advertencia a las organizaciones con responsabilidades en materia de advertencia publica; 48GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacién) = establecer relaciones con organismos externos responsables de las zonas potencialmente afectadas. También puede ser necesario que tales organizaciones hagan lo siguiente: = establecer una relacién con una organizacién externa con responsabilidades en materia de advertencia publica; = se aseguren de que sus vecinos entiendan cémo se emiten las alarmas y cémo responder. Los procedimientos de advertencia y comunicacién deberian ejercerse como parte del programa de ejercicios de la organizacién (véase el numeral 8.5).. 8.4.4 Planes de continuidad de negocio 8.4.4.1 Generalidades Los planes de continuidad de negocio establecen la forma en que los equipos responderén a las interrupciones y reanudarén las actividades dentro del alcance del BCMS. Dado que la terminologia difiere de una organizacién a otra y que, en muchos casos, los términos espectficos se utilizan indistintamente, es esencial que los roies y responsabilidades de los equipos se establezcan claramente y que los procedimientos documentados que los respaldan indiquen claramente su propésito, alcance y objetivos (véase la Tabla 5). Tabla 5. Ejemplos de equipos y posibles roles y responsabilidades Equipo Responsal Respuesta de emergencia del sitio Gestion de las instalaciones ‘Seguridad Respuesta de emergencia ‘Seguridad de la vida limitacién de datos Evaluacién de los dafios Evaluacién de los datios, Evaluacién de los darios Gestion de incidentes Gestién y control de incidentes Gestién de incidentes Infraestructura de TIC Gestion de crisis ‘Toma de decisiones estratégicas —_| Gestién estratégica Alta Direccién Comunicacion durante el incidente | Gestion de crisis ‘Comunicaciones Relaciones piblicas ‘Comunicaciones Comunicacion durante el incidente | Comunicaciones Relaciones publicas Recuperacién de TIC Recuperacién de los sistemas y la | Recuperacién de desastres de TIC NOTA En la norma GTC-ISO/EC 27031 se puede encontrar orientacién sobre los procedimientos de TIC. 49 Continga,GUIA TECNICA COLOMBIANA GTC-SO 22313 (Primera actualizacion) Tabla 5. (Final) Equipo Rol Responsabilidades Finanzas ‘Administracién general y financiera | Finanzas y administracién ‘Administrative Recursos humanos Bienestar y necesidades especiales | Recursos humanos Salud ocupacional Bienestar de los interesados Seguridad y bienestar ‘Salvamento Salvamento__de _instalaciones, | Salvamento y seguridad ‘Seguridad fisica sistemas de TIC y datos Instalaciones Seguridad Tc Continuidad de negocio Reanudar las actividades | Reanudacién de las comunicaciones. interrumpidas Administrar los recursos 8.4.4.2 Cobertura 8.4.4.2.1 Generalidades Colectivamente, los planes de continuidad de negocio deberian abordar todos los aspectos de la respuesta a un incidente y deberian ser especificos para los equipos que los utilizarén. Por lo tanto, puede ser beneficioso para: = involuerar a una amplia gama de personal, incluyendo equipos de especialistas, en el desarrollo de planes de continuidad de negocios; - utilizar la retroalimentacién de los ejercicios y aprovechar las lecciones aprendidas de las interrupciones. Los plazos y los niveles de desempefio deberfan basarse en la informacién reunida durante el andlisis de impacto en el negocio (véase el numeral 8.2.2) y la seleccién de estrategias y soluciones de continuidad de negocio (véase el numeral 8.3.3) 8.4.4.2.2 Responder a los incidentes Cuando se trata de un incidente, hay una serie de acciones que pueden tener que ser consideradas. Estos deberian incluirse en los procedimientos documentados e incluyen: a) responder y evaluar el incidente, incluyendo: 1) determinar lo que pasé y cémo ocurrié; 2) _identificar cudles son las partes de la organizaciin y las partes interesadas que han sido 0 podrian haber sido afectadas; 3) __tratar de anticipar la duracién del incidente y los probables impactos; 4) _evaluar si el incidente se gestionaré mediante acuerdos de gestién rutinarios; 50GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) b) c) d) e) g) h) i %) m) n) 5) _juzgando por referencia a umbrales predefinidos si el incidente pudiese dar lugar a una interrupcién; gestionar las consecuencias inmediatas del incidente, teniendo debidamente en cuenta las cuestiones de bienestar de las personas afectadas (incluidos los miembros del equipo) y los impactos en el ambiente, considerar las opciones para responder al incidente y prevenir nuevas pérdidas o dai evaluar la evaluacién del incidente en funcién de los criterios de activacién de cada uno de los procedimientos; declarar un incidente y activar los procedimientos cuando se han cumplido los criterios de activacién; la movilizaci6n del personal de respuesta a incidentes en equipos para las actividades de estabilizacién, continuidad y recuperacién; estableciendo una ubicacién central para el equipo que gestiona y controla el incidente (centro de mando); priorizar las cuestiones y las actividades que deberian llevarse a cabo en la gestién del incidente y sus impactos; controlar y coordinar todos los procedimientos activados; activar 0 establecer sitios altermativos para el restablecimiento de la capacidad de la tecnologia de la informacién u otra infraestructura y para el funcionamiento temporal de las actividades de la empresa; monitorear el incidente a medida que progresa; revisar y adaptar los planes en respuesta a las circunstancias cambiantes; desescalar, retirar y retornar a las operaciones rutinarias a medida que se reestablezca la capacidad sostenible; realizar un informe e identificar las oportunidades de aprendizaje; asegurar la buena gobernanza y la recoleccién y la seguridad de la documentacién generada durante la gestién y la recuperacién del incidente. Para lograr la reanudacién oportuna de la entrega de productos y servicios por parte de la organizacion, los procedimientos documentados para la reanudacion de cada actividad deberian: cumplir con el RTO de la actividad que apoya ese producto o servicio; ser suficientemente confiable. 51GUIA TECNICA COLOMBIANA GTC-+SO 22313 (Primera actualizacion) Esto puede lograrse mediante: - la propiedad 0 el control de los medios y recursos para promulgar el procedimiento; - _contratos, acuerdos o niveles de servicio con terceros. 8.4.4.3 Contenido y uso 8.4.4.3.1 Generalidades Cada plan de continuidad de negocio deberia identificar su propésito, alcance y objetivos de forma que quede claro para los equipos que lo utilicen. Deberian indicarse claramente los vinculos con otros procedimientos o documentos pertinentes 0 requeridos y describirse el método de obtencién y acceso a los mismos. El plan de continuidad de negocio también deberia incluir: - _ atiterios y procedimientos de activaci6n; = procedimientos de implementacién; = requisitos y procedimientos de comunicacién; - las interdependencias ¢ interacciones internas y externas; - _ necesidades de recursos; = requisitos de presentacién de informes; = elflujo de informacién y los procesos de documentacién. 8.4.4,3.2 Guia e informacién de apoyo a) roles, responsabilidades y autoridades: 1) definir los roles, responsabilidades y autoridades de las personas y equipos que utilizaran el plan; 2) directrices y criterios referentes a quién tiene autoridad para invocar el plan y en qué circunstancias (esto puede incluir etapas de escalada definidas); b) __ctiterios de activacién: 1) _un proceso para activar la respuesta de la organizaci6n a una interrupcion y, dentro de cada procedimiento documentado, sus criterios y procedimientos de activacién (puede ser pertinente considerar si esto esté dentro o fuera del horario normal de trabajo); 2) lugares de encuentro con alternativas adecuadas; 52GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) c) __pardmetros de operacién: 1) la identificacién de las acciones y tareas a realizar, en particular en relacién con la forma en que la organizacién continuaré 0 recuperara sus actividades priorizadas en plazos predeterminados; 2) _lasnecesidades de recursos pertinentes (véase el numeral 8.3.4); 3) los medios para registrar la informacién sobre el incidente, las acciones tomadas y las decisiones adoptadas; d) __informacién de apoyo para la coordinacién y la comunicacién: 1) datos de contacto de los miembros del equipo y otras personas con roles y responsabilidades; la organizacién deberia conocer los requisitos legales aplicables en relacién con la proteccién de la informacién y deberia conservar evidencias de su ‘cumplimiento; 2) detalles de contacto y movilizacién de agencias, organizaciones y recursos pertinentes que pudieran ser necesarios; ) _citerios de retirada: 1) los mecanismos para retirarse una vez que el incidente haya pasado; 2) __ instrucciones por seguir. 8.4.4.3.3 Usabilidad Como ocurre con cualquier forma de informacién documentada (véase el numeral 7.5.3), la organizacién deberia asegurarse de que los planes de continuidad de negocio sean utiizables y estén disponibles en el momento y lugar en que se necesiten. Para asegurar que el funcionamiento de los planes de continuidad de negocio no se vea afectado negativamente por la interrupcién, es posible que la organizacion tenga que tomar precauciones (por ejemplo, separar los equipos y los sistemas de las TIC recuperados en varios lugares). La separacién total para todas las escalas y tipos de interrupcién no siempre es posible y puede ser necesario identificar las limitaciones y acordarlas con la alta direccién. Las limitaciones pueden expresarse en términos de distancia, personal minimo 0 gravedad y pueden verse influidas por la respuesta de los organismos publicos ainterrupciones graves 0 generalizadas. 8.4.4.4 Gestion de incidentes/estratégica El objetivo de la gestién de incidentes es asegurar que la respuesta de la organizacién a una interrupcién sea eficaz a nivel estratégico Los procedimientos deberian incluir la base para gestionar todas las posibles cuestiones a las que se enfrente la organizacién durante un incidente, incluidas las relacionadas con las partes interesadas, y deberian abordar todas las facilidades que el equipo que gestiona el incidente y otros equipos de respuesta puedan necesitar. 53GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacion) 5 Comunicaciones Los procedimientos de comunicacién pueden incluirse en la gestion de incidentes o en los procedimientos de respuesta de otros equipos. Si hay varios equipos, deberian trabajar en estrecha cooperacién. Las comunicaciones que se entreguen y reciban durante el incidente deberfan ser gestionadas y coordinadas. Los procedimientos deberian contener: a) detalles sobre cémo y bajo qué circunstancias la organizacién se comunicaré con los empleados y sus familiares, otras partes interesadas y contactos de emergencia; b) detalles sobre la respuesta de los medios de comunicacién después de un incidente, que puede incluir: 1) laestrategia de comunicaciones del inciden 2) _interfaz preferida con los medios de comunicacién; 3) _una guia o plantilla para redactar una declaracién para los medios de comunicacién; 4) _un-ntimero apropiado de portavoces formados y competentes autorizados para dar informacion a los medios de comunicacién. Es importante que el momento y el contenido de las comunicaciones intemas y externas sean coherentes. Para crear confianza, seguridad y motivacién, la comunicacién interna es una prioridad. La informacién preparada de antemano puede ser especialmente util en las primeras etapas de un incidente. Permitiré al equipo proporcionar detalles sobre la organizacion y sus actividades de negocio mientras se establecen los detalles del incidente. Puede ser apropiado: = establecer un lugar adecuado para el enlace con los medios de comunicacién u otros grupos de partes interesadas; - establecer un ntimero apropiado de personas competentes y formadas para responder a las. consultas telefénicas de los medios de comunicacién; - utilizar todos los canales de comunicacién abiertos a la organizacién, incluidos los medios de comunicacién social; - _ preparar material de antecedentes sobre la organizacién y sus operaciones (esta informacion deberia ser acordada previamente para su difusién). También puede ser necesario considerar la posibilidad de crear grupos de presién o de accién comunitaria que colectivamente tengan poder o influencia sobre la empresa. Deberia incluirse un proceso para identificar y priorizar las comunicaciones con otras partes interesadas clave. Tal vez sea necesario elaborar un procedimiento separado para la gestion de las 54GUIA TECNICA COLOMBIANA GTC-+SO 22313 (Primera actualizacion) partes interesadas, proporcionar criterios para el establecimiento de prioridades y adoptar disposiciones para la asignacién de personas a cada interesado o grupo de interesados. 8.4.4.6 Seguridad y bienestar Las organizaciones tienen el deber de cuidar a los empleados, contratistas, visitantes y clientes cuando un incidente plantea un riesgo directo para la vida, el sustento y el bienestar. Habré que prestar especial atencién a los grupos con discapacidades fisicas y de aprendizaje u otras necesidades especificas (por ejemplo, embarazo, discapacidad temporal debida a una lesién). Planificar de antemano para cumplir estos requisitos puede reducir el riesgo y tranquilizar a los afectados. No se pueden subestimar los impactos a largo plazo de los incidentes. La organizacion deberia elaborar soluciones apropiadas, incluida la consideracién de las cuestiones sociales y culturales pertinentes, para promover la recuperacién fisica y psicolégica dentro de la organizacién. Se deberian incluir los siguientes elementos de respuesta de bienestar: = evacuacién del sitio (incluyendo actividades internas de refugio en el sitio) y puntos de reunion; - la movilizacién de equipos de seguridad, primeros auxilios de ayuda a la evacuaci6n; = localizar y contar a los que estaban en el lugar o en las inmediaciones. También se puede incluir lo siguiente: - servicios de traducci6n; - asistencia para el transporte, incluidas las instrucciones, segtin sea necesario; - enlaces designados e informacién de contacto para los servicios de emergencia, los organismos apropiados y los primeros respondedores; - _localizar la mano de obra desplazada o los contratistas; - _ gestionar las lineas de ayuda telefénica; - _rehabilitacién fisica y apoyo psicolégico. Los recursos necesarios deberian identificarse especificamente. Un recurso deberia estar disponible de manera oportuna y deberia tener la capacidad de cumplir su funcién prevista. 8.4.4.7 Salvamento y seguridad La organizacién puede preparar procedimientos documentados que aborden el salvamento y la seguridad e incluyan orientacién sobre: - prioridades de salvamento para las instalaciones, el equipo (incluidos los sistemas de tecnologia de la informacién y las comunicaciones) y la informacién documentada (teniendo en cuenta los requisitos de seguridad y privacidad de la informacién); 55GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) - la seguridad de los locales una vez entregados por los servicios de emergencia. La organizacién podra designar contratistas especializados en salvamento con antelacién al incidente. El salvamento eficaz de las instalaciones, el equipo y la informacion documentada puede limitar los impactos y permitir un retorno mas rapido a la normalidad. 8.4.4.8 Reanudacién de las actividades priorizadas Deberia haber procedimientos que especifiquen: - las actividades priorizadas que se reanuden; - las escalas de tiempo dentro de las cuales deberian ser reanudadas; - _ capacidades en las que se deberian reanudar las actividades priorizadas; - las situaciones en las que se puede utilizar el procedimiento. Cada procedimiento deberia detallar, segiin sea apropiado, los recursos requeridos en distintos momentos para lograr los objetivos. Esto puede incluir: - ndmeros de recursos; = habilidades y cualificaciones; e ‘equipo técnico; + instalaciones de telecomunicaciones; - __ladisponibilidad de los recursos contratados, acordados por medio de ayuda mutua o que es probable que estén disponibles. 8.4.4.9 Sistemas TIC Los procedimientos para reanudar las actividades deberian identificar los sistemas de TIC en los que se basa su reanudacién y deberian hacer referencia a los procedimientos de continuidad de TIC que existan. Los procedimientos de continuidad de TIC, si los hay, deberfan abordar, como minimo: - la invocacién de la respuesta necesaria de TIC y el despliegue de personal de TIC; = acceder a los datos de respaldo y adquirir la prestacién de servicios alternativos; - __restauracién de datos, servicios de informacién, comunicaciones y apoyo; - _ elcalendario de disponibilidad y los requisitos de capacidad que permiten a las actividades cumplir sus RTOs. La GTC-ISO/IEC 27031 proporciona mas orientacién.GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) 8.4.5 Recuperacion La organizacién deberia determinar previamente cémo volvera a funcionar normalmente tras una interrupcién y deberia contar con procedimientos documentados para restablecer y retornar a las operaciones de negocio a partir de las medidas temporales adoptadas durante un incidente. Estas deberian abordar los requisitos pertinentes de auditoria y gobernanza corporativa, El propésito de la recuperacién es restablecer las actividades de negocio para apoyar el trabajo normal después de una interrupcidn. El retorno a la normalidad puede lograrse mediante: - la reparaci6n de los dafios resultantes del incidente; - la migracién de las operaciones de los locales temporales de vuelta al lugar de negocio principal restaurado; - el traslado hacia una nueva ubicacién. La mejor manera de volver a la normalidad de negocio dependeré de la gravedad de los dafios causados por el incidente y de las estimaciones de cuanto tiempo podria llevar el establecimiento de las instalaciones necesarias. Los procedimientos documentados deberian prever una evaluacién detallada de la situacién y sus impactos, la determinacién de las tareas y los pasos de recuperacién. Durante la recuperacién, es posible que la organizacién necesite hacer lo siguiente: - __establecer recursos e infraestructura de recuperacién; - _ operar en instalaciones de recuperacién; - restaurar las instalaciones dafiadas; = asegurar las adquisiciones y la financiacién de emergencia; - __suministrar equipos de salvamento en instalaciones dafiadas; - hacer reclamaciones contra las pdlizas de seguro existentes; - obtener personas adicionales para apoyar el esfuerzo de recuperacién; = seleccionar las opciones para restaurar y volver a la normalidad de negocio; - __ migrar las operaciones a instalaciones de recuperacién; = recuperar la informacién documentada perdida; = comunicarse con las partes interesadas pertinentes con las frecuencias apropiadas; - _ normalizar las operaciones en las instalaciones restauradas; - llevar a cabo un examen posterior a la recuperacion; 57GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) - realizar la debida diligencia en relacién con los requisitos de auditoria y gobernanza corporativa. Los procedimientos documentados para la recuperacién deberian incluir disposiciones para la reanudacin de todas las actividades y no solo las identificadas como actividades priorizadas. Con ello se reconoce que las actividades de menor prioridad deberian reanudarse en algun momento y tienen necesidades de recursos que deberian satisfacerse (véase el numeral 8.3.4). 85 PROGRAMA DE EJERCICIOS 8.5.1 Generalidades Los procedimientos y disposiciones de continuidad de negocio de una organizacién no pueden considerarse fiables hasta que se ejerciten y a menos que se mantenga su vigencia. Los ejercicios desarrollan el trabajo en equipo, la competencia, la confianza y el conocimiento, y deberia incluir a quienes podrian ser requeridos para utilizar los procedimientos. 8.5.2. Disefio del programa de Los ejercicios robustos y realistas identifican éreas de mejora incluso en procedimientos bien disefiados. La organizacién deberia disefiar un programa de ejercicios que valide a lo largo del tiempo la eficacia de sus estrategias y soluciones de continuidad de negocio, planes y procedimientos. El establecimiento de un programa de ejercicios permite un enfoque coordinado para construir, evolucionar y madurar las capacidades de la organizacién. El programa deberia abarcar los planes individuales, las personas (incluidas las de organizaciones extemas), las capacidades y los recursos que contribuyen a los objetivos estratégicos de la organizacién. La alta direccién deberia asegurarse de que se establezcan los objetivos del programa de ejercicios y se asigne una persona competente para gestionar el programa de ejercicios. El alcance de un Programa de ejercicios deberia basarse en el tamafio y la naturaleza de la organizacin que emprenda el ejercicio, asi como en el alcance, la funcionalidad, la complejidad y el nivel de madurez de los planes y capacidades que se ejerciten. En las primeras etapas de la madurez, el ejercicio y los ensayos pueden limitarse al uso de listas de comprobacién, simulacros y ejercicios de concienciacién. A medida que el programa madure, podré ampliarse para incluir ejercicios de mesa y simulaciones en vivo a escala real. El programa de ejercicios deberia ser flexible, teniendo en cuenta los cambios dentro de la organizacién y el resultado de los ejercicios anteriores. Un cambio significativo en la organizacién puede dar lugar a la programacién de un ejercicio para examinar las disposiciones revisadas. El programa de ejercicios deberia tener en cuenta los roles de todas las partes, incluidos los terceros proveedores, suministradores y otros que se esperarfa que participaran en las actividades de Fecuperacién. Una organizacién puede incluir a esas partes en sus ejercicios y puede participar en los ejercicios que ellas organicen. Para asegurar que los ejercicios se realicen de manera eficaz y eficiente dentro de los plazos especificados, el programa de ejercicios deberia incluir lo siguiente: 58GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) = anélisis de necesidades; - el respaldo de la alta direcci6n; 2 objetivos claros; - _laextensién, el ntimero, los tipos, la duracién, los lugares y los cronogramas de los ejercicios; - personal apropiado para apoyar el programa; 2 los recursos y el presupuesto necesarios; = procesos para manejar la confidencialidad, la seguridad de la informacién, la salud y la seguridad, y otros asuntos similares. El programa de ejercicios deberia ofrecer garantias a lo largo del tiempo de que la respuesta general de la organizacién seré eficaz. El programa, cuando se implemente, deberia: - __ejercitar los aspectos técnicos, logisticos, administrativos, de procedimiento y otros aspectos operativos de los procedimientos; - __ ejercitar a todas las personas con responsabilidades dentro de los procedimientos, incluidas las de organizaciones externas; - _ejercitar las disposiciones de continuidad de negocio y la infraestructura (incluidos, por ejemplo, los centros de mando y las zonas de trabajo); - validar la recuperaci6n de la tecnologia y las telecomunicaciones, incluida la disponibilidad y la reubicaci6n del personal; - ejercitar los equipos de respuesta en la gestion de los impactos derivados de la interrupcién de la cadena de suministro. La organizacién deberla monitorear y medir la implementacién del programa de ejercicios para asegurarse de que se logren sus objetivos. El programa de ejercicios deberia revisarse para determinar las mejoras. 8.5.3 Ejecutar los planes de continuidad de negocio Los ejercicios, incluidas las pruebas, son actividades destinadas a examinar la capacidad de la organizacién para responder, recuperar y seguir desempefiando eficazmente las funciones de negocio asignadas cuando se enfrentan a escenarios de interrupcién especfficas. La organizacién deberia utilizar los ejercicios y los resultados documentados de los mismos para asegurar la eficacia y la preparacién de sus planes de continuidad de negocio. Cada ejercicio y prueba deberia tener metas y objetivos claramente definidos y basarse en un escenario apropiado para cumplitlos. 59GUIA TECNICA COLOMBIANA. GTC-SO 22313 (Primera actualizacién) Los ejercicios pueden: - __anticipar un resultado predeterminado (por ejemplo, se planifica y se determina su alcance de antemano); - permiten a la organizacién desarrollar soluciones innovadoras. Los ejercicios deberian ser realistas, cuidadosamente planificados y acordados con las partes pertinentes, de modo que haya un riesgo minimo de que las actividades se interrumpan y de que ocurra un incidente como resultado directo del ejercicio. Esto puede lograrse realizando el ejercicio en un entorno controlado y aislado, siempre que ello no ponga en peligro la integridad de los objetivos que se estan ensayando. La organizacién deberia disefiar escenarios de ejercicio que satisfagan los objetivos del ejercicio y puede utilizar las amenazas identificadas en la evaluacién de riesgos 0 la informacién obtenida de interrupciones anteriores. La eficacia de algunos aspectos de la continuidad de negocio requerira que determinadas personas © quienes ocupen determinados puestos tengan conocimientos, aptitudes y comprensién particulares. Estos deberian estar en su sitio antes del ejercicio, lo que permite a los participantes aplicarlos a los escenarios y simulaciones pertinentes. Los ejercicios deberian disefiarse y realizarse de manera que proporcionen uno o més de los siguientes elementos: - _verificacién que los RTOs de las actividades (véase el numeral 8.2.2) y los RTOs de las dependencias y los recursos de apoyo de las actividades priorizadas (véase el numeral 8.3.2.3) son factibles; = confianza en que la informacin y los datos requeridos por las actividades estan debidamente actualizados (véase el numeral 8.3.4.3); - una mejor comprensién de las dependencias de la continuidad de negocio de los proveedores y otras partes interesadas; - una mayor conciencia del contexto y las prioridades de la organizacién; - una mejor comprensién del contenido y el uso de los procedimientos de continuidad de negocio; = mejoramiento de la confianza en la respuesta a los incidentes; - una oportunidad para mejorar las capacidades; - una evaluacién de la utilidad y aplicabilidad de las soluciones de continuidad de negocio; - una evaluacién de la idoneidad de las capacidades desarrolladas y las asignaciones de recursos;GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actu: izacién) = una identificacién de los requisitos y practicas previamente indocumentados empleados en el manejo de las interrupciones; - una oportunidad para identificar cualquier otra insuficiencia en los procedimientos escritos de Continuidad de negocio y su implementacién; - garantia de que los procedimientos de continuidad de negocio se pueden implementar cuando sea necesario; - mejoramiento de la confianza de las partes interesadas en cuanto a la preparacién de la organizacién; - un medio de cumplir con los requisitos reglamentarios, contractuales 0 de gobernanza organizacional. Los ejercicios pueden tener una variedad de formatos diferentes. La decision sobre la idoneidad del tipo de ejercicio dependerd de varios factores, entre ellos: - _ elcontexto de la organizacién; - los objetivos del ejercicio; - _ lamadurez del programa de ejercicios; E la experiencia de los participantes; - Ppresupuesto; - disponibilidad de los participantes; - la tolerancia de la organizacién a la interrupcién operacional causada por la realizacion del ejercicio. La organizacién deberia actuar sobre los resultados de su ejercicio para implementar los cambios y mejoras aprobados. Se dan muchos nombres diferentes a los distintos tipos de ejercicios que se pueden realizar, pero por lo general se clasifican en las siguientes categorias. - Discusién: Los ejercicios basados en el debate tienen por objeto familiarizar a los Participantes con los planes y procedimientos de continuidad de negocio en un entorno de bajo estrés. - _ Simulacién: Los ejercicios basados en operaciones estén disefiados para ser més realistas y desafiantes. Pueden llevarse a cabo en el entorno operativo normal, en locales alternativos 0 en centros de mando. Se proporcionan ejemplos en ta Tabla 6. 61GUIA TECNICA COLOMBIANA GTC-SO 22313 (Primera actualizacién) Tabla 6. Ejemplos de descripciones de métodos de ejercicio Categoria Método Descripcién Discusién ‘Simulacién Revisién del plan Las revisiones de planes son revisiones informales de planes y pprocedimientos que se utlizan para familiarizar a los partcipantes con ontenidos nuevos o actualizados. Son utiles como punto de partida ‘cuando se elaboran por primera vez los planes y procedimientos 0 cuando sse revisan de manera signifcativa. Una revisién del plan puede realizarse tipicamente en tha 2h. ‘Simulacién (in situ) Los ejercicios de simulacién en el stio utlizan escenarios simples para familarizar a los participantes con los planes y procedimientos en un ambiente de bajo estrés. También pueden utlizarse para revisar las estratagias y soluciones de continuidad de negocio y para su validacion y ‘mejora. Un ejercicio de simulacién in stu suele ser el primer tipo de ejercicio formal realizado por una organizacién y normalmente puede realizarse en 2ha3h. simulacién (fuera del sitio) Los ejercicios de simulacién fuera de las instalaciones suelen realizarse en Instalaciones alternativas 0 en un centro de mando con el fin de revisar los planes y procedimientos de continuidad de negocio. Elejercicio tipicamente sa un escenario simple. La diferencia clave con respecto a una simulacion in situ es que la revision tiene lugar fuera del entorno operativo normal. Un ejercicio de simulacién fuera del sitio puede realizarse tipicamente en 2 h 3h sin contar el tiempo de transporte. Taller (planes individuales ° rmiitiples) Taller (uno 0 varios lugares) Los talleres basados en planes suelen realizarse fuera del lugar en locales altemativos utiizando escenarios razonablemente complejos. Los paartcjpantes en el ejercio pueden representar un unico plan 0 varios planes, segun el alcance del ejercicio. EI proposito es que los equipos practiquen el trabajo conjunto y la toma de decisiones en plazos mas, estresantes. Un ejercicio de taller que abarque miitiples planes puede lievarse a cabo tipicamente en 3 h a5 h, dependiendo de la complejidad de los planes y del escenario. Los talleres basados en la ubicacién suelen realizarse fuera del lugar en locales alternativos utiizando escenarios que impactan en uno o més lugares. El propésito del ejercicio es que los equipos de diferentes lugares practiquen el trabajo conjunto y la toma de decisiones conjuntas. Un elercicio de taller que abarque multiples lugares puede realzarse tipicamente en 3 a 5 h, dependiendo del niimero de lugares involucrados y la complejidad del escenario. Taller para toda la organizacién (a escala real) Los ejercicios a gran escala estén disefiados para preparar a los paricipantes para las interrupciones que afectan a toda la organizacion y {que requieren la activacién del plan de continuidad de negocio. Se trata de elercicios complejos y de alto estrés que se planifican y controlan ‘uidadosamente para asegurar que alcancen sus objetivos y no causen tuna interrupcién. Un ejercicio a gran escala puede llevar entre medio dia y luna semana dependiendo de su complejidad y del nimero de personas, Involucradas. Como parte del ejercicio, se deberia programar una revisién con todos los participantes para discutir las cuestiones y las lecciones aprendidas. Esta informacién deberia ser documentada y se deberian hacer actualizaciones de los procedimientos segin se requiera, 62GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) La organizacion deberia realizar una reunion informativa y un andlisis después del ejercicio en el que se considere el logro de las metas y objetivos del ejercicio. Se deberia elaborar un informe posterior al ejercicio que contenga recomendaciones y un calendario para su implementacién. Las lecciones de los ejercicios y los incidentes reales experimentados deberian volver a examinarse durante los ejercicios futuros. Los ejercicios que muestren graves deficiencias 0 inexactitudes en los procedimientos deberian repetirse una vez que se hayan completado las acciones correctivas. Los beneficios de realizar los ejercicio y pruebas incluyen: - __validacién de las suposiciones, las soluciones de continuidad de negocio y los alcances de los planes de continuidad de negocio; = garantia del correcto funcionamiento de las instalaciones y recursos técnicos; = asegurar la capacidad de las instalaciones alternas; = el aumento de la eficiencia y reduccién del tiempo necesario para completar los procesos (por ejemplo, utilizando ejercicios repetidos para acortar los tiempos de respuesta); - la mejora de la conciencia de las partes interesadas; - el desarrollo de la competencia y la conciencia de los participantes. La GTC 278 proporciona mas orientacién sobre los tipos de ejercicio, asi como orientacién sobre la planificacion, la realizacién y la mejora de los programas de ejercicio. 8.6 EVALUACION DE LA DOCUMENTACION Y LAS CAPACIDADES DE CONTINUIDAD DE NEGOCIO 8.6.1 Generalidades La organizacién deberia realizar evaluaciones de su andlisis de impacto en el negocio, evaluacién de riesgos, estrategias y soluciones, planes y procedimientos de continuidad de negocio, a fin de asegurar su continua idoneidad, adecuacién y eficacia. Las evaluaciones deberian abordar la posible necesidad de introducir cambios en la politica, los objetivos y otros elementos del BCMS sobre la base, por ejemplo, de los resultados de los ejercicios, las revisiones posteriores a los incidentes y los cambios en las circunstancias de la organizacién. Las evaluaciones pueden adoptar la forma de auditorias internas o externas, o de autoevaluaciones. La frecuencia y el tiempo de la revisién pueden verse influidos por leyes y reglamentos, segtin el tamafio, la naturaleza y la condicién juridica de la organizacién. También pueden verse influidos por los requisitos de las partes interesadas. Las evaluaciones deberian verificar que: = todos los productos y servicios y sus actividades y recursos de apoyo se han identificado e incluido en las soluciones de continuidad de negocio de la organizacién; 63GUIA TECNICA COLOMBIANA GTC-SO 22313 (Primera actualizacion) - la politica, tas soluciones y los procedimientos de continuidad de negocio de la organizacién reflejan con precisién sus prioridades y requisitos de negocio; - la competencia de las personas y la continuidad de negocio de la organizacién son efectivas y adecuadas para el propésito y permitiran la gestién, el mando, el control y la coordinacién de la respuesta de la organizacién a una interrupci6n; - las soluciones de continuidad de negocio de la organizacién son eficaces, actualizadas y adecuadas para su propési - los programas de ejercicio y mantenimiento de la organizacién se han aplicado eficazmente; 2 las soluciones y procedimientos de continuidad de negocio incorporan las mejoras identificadas durante los incidentes y ejercicios y en el programa de mantenimiento; - la organizacién tiene un programa continuo de formacién y toma de conciencia sobre la continuidad de negocio; - los procedimientos de continuidad de negocio se han comunicado eficazmente al personal pertinente, y que éste personal comprenda sus roles y responsabilidades; - Las disposiciones de continuidad de negocio que tienen los proveedores y socios para las dependencias de las actividades priorizadas son apropiados y adecuados; - la organizacién cumple suficientemente los requisitos legales y reglamentarios aplicables y las mejores practicas de la industria, y se ajusta a la politica y los objetivos de continuidad de negocio; - los procesos de control de cambios estén en marcha y funcionan eficazmente. 8.6.2 Medici6n de la eficacia La medicién de la eficacia de los planes, procedimientos y capacidades de continuidad de negocio deberia incluir los acuerdos de continuidad de negocio para las actividades subcontratadas y la continuidad de negocio de los proveedores y asociados de los que dependen las actividades Priorizadas. Entre los ejemplos de métricas que pueden utilizarse para medir la eficacia figuran los siguientes: - los datos de respaldo estan suficientemente actualizados para reanudar las actividades y los recursos dentro de los RTOs especificados; - el alojamiento y el equipo necesarios estén disponibles en otro(s) lugar(es) para permitir la recuperacion y la reanudacién de las actividades; - se han demostrado las competencias requeridas para reanudar las actividades priorizadas dentro de los RTOs especificados; - se han demostrado las competencias requeridas para responder y gestionar los incidentes. 64GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacién) Cuando la organizacién experimenta una interrupcidn, se deberia realizar una revision. Esto puede incluir: identificar la naturaleza y la causa de la interrupcién; evaluar la idoneidad de la respuesta de la direccién; evaluar la efectividad de la organizacién en el cumplimiento de sus RTOs; evaluar la adecuacién de los acuerdos de continuidad de negocio en la preparacién de los empleados para un incidente; identificar las mejoras que deberian hacerse en los acuerdos de continuidad de negocio; comparar los impactos reales con los considerados durante el analisis de impacto en el negocio (véase el numeral 8.2.2); obtener retroalimentacién de las partes interesadas y de los que han participado en la respuesta, 8.6.3 Resultados Entre los resultados indicativos de la eficacia de los planes, procedimientos y capacidades de continuidad de negocio pueden figurar los siguientes: se habilita una capacidad de gestién de incidentes que proporciona una respuesta eficaz; la comprensién que la organizacién tiene de s{ misma y de sus relaciones con otras organizaciones, con los organismos reguladores o departamentos gubernamentales pertinentes, con las autoridades locales y con los servicios de emergencia esta debidamente desarrollada, documentada y comprendida; el ejercicio regular asegura que el personal esté formado para responder eficazmente a una interrupcién; los requisitos de las partes interesadas son entendidos y pueden ser cumplidos; el personal recibe apoyo y comunicaciones adecuadas durante una interrupcién; la reputacién de la organizacién esta protegida; una demostracién de cumplimiento legal y reglamentario; os controles financieros se mantienen durante un incidente; a organizacién puede demostrar un mayor nivel de resiliencia a sus clientes y otras partes interesadas. La informacién documentada relativa a todas las evaluaciones y sus resultados deberia mantenerse como evidencia. 65GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) 9, EVALUACION DEL DESEMPENO 9.1 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION 9.1.1 Generalidades Los procedimientos para el seguimiento, la medici6n, el andlisis y la evaluacién del desempefio y la eficacia del BCMS deberian incluir: a) determinar los métodos para el seguimiento, el andlisis de las mediciones y la evaluacién, incluyendo: 1) especificar a lo que se deberia hacer seguimiento y medicién; 2) _identificar como, cuando y quién deberia realizar el seguimiento y la medicion; 3) _establecer métricas de desempefio, entre ellas medidas cualitativas y cuantitativas que sean apropiadas para la organizacién y asegurar resultados validos; 4) registrar los datos y resultados para facilitar el posterior anélisis de las acciones correct b) _examinar las pruebas histéricas; c) Hacer seguimiento a el grado de cumpli negocio de la empresa; iento de la politica y los objetivos de continuidad de d) medi el cumplimiento del BCMS con los requisitos legales y reglamentarios aplicables; e) _ hacer seguimiento a la no conformidad y otras evidencias de un desempefio deficiente del SGC. 9.1.2 Retencién de evidencia La organizacién deberia conservar la informacién documentada apropiada de todas las evalua periddicas y sus resultados. 9.1.3 Evaluacién del desempefio La organizaci6n deberia utilizar indicadores de desempefio para evaluar el desempefio y la eficacia del BCMS y sus resultados, a fin de determinar los éxitos y las éreas que requieren correccién o mejora. Los datos obtenidos pueden utlizarse para identificar patrones y permitir a la organizaci6n ‘obtener informacion con el desempefio del BCMS 9.2 AUDITORIA INTERNA 9.2.4 Generalidades La organizacién deberia realizar auditorias internas a intervalos planificados para evaluar el desempefio del BCMS. 66GUIA TECNICA COLOMBIANA GTC-ISO 22313 (Primera actualizacion) Las auditorias internas del BCMS proporcionan un mecanismo para medir el grado en que el BCMS esta logrando sus objetivos, es conforme con las disposiciones previstas y se ha implementado y mantenido adecuadamente, y para identificar las oportunidades de mejora. Deberian realizarse auditorias internas del BCMS a intervalos planificados para determinar y proporcionar informacién al personal de la alta direccién sobre la idoneidad y eficacia del BCMS, asi como para proporcionar las bases para establecer objetivos de mejora continua del desemperio del BCMS. 9.2.2 Programa(s) de au La organizacién deberia establecer un programa de auditoria (véase la norma ISO 19011) para dirigir la planificacién y realizaci6n de las auditorias, e identificar las auditorias necesarias para cumplir los objetivos del programa. El programa deberia basarse en la naturaleza de las actividades de la organizacién, en lo que respectaa la evaluacién de los riesgos y el analisis de impacto, los resultados de las auditorias anteriores y otros factores pertinentes. Los programas de auditoria intema deberian basarse en todo el alcance del BCMS, sin embargo, no es necesario que cada auditoria abarque todo el sistema de una sola vez. Las auditorias pueden dividirse en partes mas pequefias, siempre que el programa de auditoria asegure que todas las unidades organizativas, funciones, actividades, elementos del sistema y todo el alcance del BCMS sean auditados en el programa de auditoria dentro del periodo de auditoria designado por la organizacién. Los resultados de una auditoria interna del BCMS pueden proporcionarse en forma de informe y utilizarse para corregir o prevenir determinadas no conformidades y para proporcionar insumos a la realizaci6n de la revisién por la direccién. Las auditorias internas del BCMS pueden ser realizadas por personal de la organizacién 0 por personas extemas seleccionadas por la organizacién, que trabajen en su nombre. En cualquier caso, las personas que realicen la auditoria deberian ser competentes y capaces de hacerlo de manera imparcial y objetiva. En las organizaciones mas pequefias, la independencia de los auditores puede demostrarse mediante la liberacién de la responsabilidad de la actividad que se esta auditando. 9.3 REVISION POR LA DIRECCION 9.3.1 Generalidades La alta direccién deberia revisar el BCMS de la organizacién, a intervalos planificados, para asegurar su continua idoneidad, adecuacién y eficacia, incluido el desempefio eficaz de sus procedimientos y capacidades de continuidad. 9.3.2. Entradas de la Revision por la direccion La revision por la direccién deberfa incluir la evaluacién de: - el estado de las acciones de revisiones anteriores; - el desempefio del sistema de gestién, incluidas las tendencias que se desprenden de las no conformidades y las acciones correctivas, los resultados del seguimiento y la medicién, y los hallazgos de las auditorias; 67GUIA TECNICA COLOMBIANA GTC-4SO 22313 (Primera actualizacién) - los cambios en la cadena de suministro y la eficacia de los acuerdos de continuidad de la cadena de suministro; - otros cambios en la organizacién y su contexto (véase el numeral 4.1) y la retroalimentacion de las partes interesadas (véase el numeral 4.2) que podrian impactar al sistema de gestién; - oportunidades de mejora continua. La revisién por la direccién ofrece a la alta direccién la oportunidad de evaluar la idoneidad, la adecuacién y la eficacia permanentes del sistema de gestién. La revision por la direccién debe cubrir el alcance del BCMS y cualquier exclusion (véase el numeral 4.3), aunque no es necesario revisar todos los elementos a la vez y el proceso de revisién puede tener lugar a lo largo de un periodo de tiempo. La revision de la implementacién y los resultados del BCMS por parte de la alta direcci6n deberia programarse y evaluarse periédicamente. Si bien es aconsejable revisién continua del sistema, la revisién formal deberia estructurarse y documentarse adecuadamente y programarse sobre una base apropiada. Las personas las involucradas en la implementacién del BCMS y en la asignacién de sus recursos deberian participar en la revisién por la direccién. Ademés de las revisiones programadas del sistema de gestidn, los siguientes factores pueden desencadenar una revisi6n y, por lo tanto, deberian examinarse una vez que se haya programado la revision: a) Tendencias del sectorfindustria: Las principales iniciativas de los sectores/industrias

También podría gustarte

• ISO-22301 - 2019lista Auditoria

  

  Documento10 páginas

  ISO-22301 - 2019lista Auditoria

  Marco Antonio Gonzalez Castaño

  100% (2)
• GH-P-04 Procedimiento Pruebas de Alcoholimetría

  

  Documento10 páginas

  GH-P-04 Procedimiento Pruebas de Alcoholimetría

  Marco Antonio Gonzalez Castaño

  100% (1)
• ISO27001 Lista de Verificacion

  

  Documento14 páginas

  ISO27001 Lista de Verificacion

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• • Revistas
  • Podcasts
  • Partituras
• Procedimieto de Manejo de PCB Durante El Mantenimiento de Equipos

  

  Documento50 páginas

  Procedimieto de Manejo de PCB Durante El Mantenimiento de Equipos

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• Problema Etico en El Ambito Organizacional

  

  Documento6 páginas

  Problema Etico en El Ambito Organizacional

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• Plan de Continuidad de Negocio

  

  Documento6 páginas

  Plan de Continuidad de Negocio

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• Instructivo Simulador

  

  Documento4 páginas

  Instructivo Simulador

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• Catalogo Biodigestor Coltanker

  

  Documento19 páginas

  Catalogo Biodigestor Coltanker

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• Diagnostico 27001 21

  

  Documento8 páginas

  Diagnostico 27001 21

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• Insp Extintores

  

  Documento1 página

  Insp Extintores

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• ADO - Actividad 2 PDF

  

  Documento5 páginas

  ADO - Actividad 2 PDF

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones
• Recursos Gestion Riesgos

  

  Documento3 páginas

  Recursos Gestion Riesgos

  Marco Antonio Gonzalez Castaño

  Aún no hay calificaciones