ISO 22301:2012

SEGURIDAD DE LA SOCIEDAD – REQUISITOS PARA EL SISTEMA DE ADMINISTRACION DE

CONTINUIDAD DE NEGOCIOS

0. INTRODUCCION
1. ALCANCE
2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4. CONTEXTO DE LA COMPAÑÍA
4.1. ENTENDIMIENTO DE LA COMPAÑÍA Y SU CONTEXTO
4.2. ENTENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS.
4.3. DETERMINACIÓN DEL ALCANCE DEL SGCN
4.4. SGCN.
5. LIDERAZGO.
5.1. GENERAL.
5.2. COMPROMISO DE LA DIRECCIÓN.
5.3. POLÍTICA DEL SGCN
5.4. ROLES, RESPONSABILIDADES Y AUTORIDAD ORGANIZACIONAL
6. PLANEACIÓN
6.1. ASPECTOS PARA DIRECCIONAR LOS RIESGOS Y OPORTUNIDADES.
6.2. OBJETIVOS DE CONTINUIDAD DE NEGOCIOS Y PLANES PARA LOGRARLOS.
7. RECURSOS
7.1. GENERAL.
7.2. COMPETENCIA
7.3. CONCIENTIZACIÓN
7.4. COMUNICACIÓN
7.5. DOCUMENTACIÓN DE LA INFORMACIÓN
8. OPERACIÓN
8.1. PLANIFICACIÓN Y CONTROL.
8.2. ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) Y VALORACIÓN DE RIESGOS
8.3. ESTRATEGIA DE CONTINUIDAD DE NEGOCIOS
8.4. ESTABLECER E IMPLEMENTAR LOS PROCEDIMIENTOS DE CONTINUIDAD DE NEGOCIOS.
9. EVALUACIÓN DE DESEMPEÑO
9.1. MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
9.2. AUDITORÍA INTERNA
9.3. REVISIÓN GERENCIAL
10. MEJORAMIENTO
10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS
10.2. MEJORAMIENTO CONTINUO

Área de Formación
V-OCT 2012 1
0. INTRODUCCION

0.1. GENERAL:
El estándar menciona los requisitos para la creación y gestión de un SGCN (Sistema de Gestión de
Continuidad de Negocio):

El SGCN hace énfasis en:

- Entender las necesidades de la Compañía y la necesidad de establecer la política y objetivos
del SGCN.
- Implementar y operar controles y medidas para gestionar la capacidad general de una
compañía en responder a incidentes operacionales.
- Monitorear y revisar los resultados del SGCN y
- Mejora Continua basada en mediciones y revisiones objetivas.

Componentes del SGCN:

a) Política;
b) Personal con responsabilidades definidas;
c) Administración de procesos relacionados con:
1) Política,
2) Planeación,
3) Implementación y Operación,
4) Evaluación de desempeño,
5) Análisis de administración y
6) Mejoramiento
d) Documentación que provee evidencia auditable y
e) Cualquier proceso de administración de continuidad de negocios relevante para la
Compañía.

La Continuidad del Negocio aporta una sociedad con mayor resiliencia. La comunidad y el
impacto del ambiente organizacional en la compañía y en otras compañías, podrían estar
involucrados en el proceso de recuperación.

0.2. Modelo PHVA

Este estándar aplica el PHVA para planear, establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la efectividad de un SGCN en la Compañía.

Área de Formación
V-OCT 2012 2
 FIGURA 1 – PHVA del SGCN

Planear Establecer política de continuidad de negocios, objetivos, controles,

procesos y procedimientos relevantes para proveer continuidad de
negocios en orden para entregar resultados que estén alineados con los
objetivos de la Compañía.

Hacer Implementar y operar la política de continuidad de negocios, controles,

procesos y procedimientos.

Verificar Monitorear y revisar el desempeño de la política y objetivos, reporte de

los resultados de la revisión de la gerencia, y determinar y autorizar
acciones para la remediación y mejora.

Actuar Mantener y mejorar el SGCN tomando las acciones correctivas

correspondientes, basado en los resultados de la revisión realizada y
revisión del alcance del SGCN, políticas y objetivos de continuidad de
negocios.

0.3. Componentes del PHVA en el estándar.

Desde las cláusulas 4 hasta la 10 se cubre todo el PHVA de la siguiente manera:
 Cláusula 4 es el componente para el planear. Introduce los requerimientos necesarios
para establecer el contexto del SGCN como su aplicación a la Compañía, sus necesidades,
requerimientos y alcance.
 Cláusula 5 es un componente para el planear. Esto resume los requerimientos específicos
para el rol de la dirección en el SGCN, y como se articula el liderazgo con las expectativas
de la Compañía a través del establecimiento de la política.
 Cláusula 6 es también un componente para el planear. Describe los requerimientos así
como incluye el establecimiento de los objetivos y guías del SGCN como un todo para la
Compañía. El contenido de la cláusula 6 difiere de establecer tratamientos de riesgo
derivado de la evaluación de riesgos, así como los objetivos de recuperación derivados del
BIA.
 Cláusula 7, componente del planear, soporta la operación del SGCN y allí se establecen las
competencias y comunicación con las partes interesadas, control, mantenimiento y
conservación de la documentación requerida en el SGCN.

Área de Formación
V-OCT 2012 3
 Nota: los requisitos para el análisis de impacto al negocio y el proceso de valoración de
riesgo son detallados en el numeral 8.
 Cláusula 8, es un componente del Hacer. Define los requerimientos de continuidad del
negocio, determina como se direccionan y desarrollan los procedimientos para manejar
un incidente que interrumpa la operación.
 Cláusula 9, es el componente del Revisar. Resume los requerimientos necesarios para
medir la administración de la continuidad de negocios, desempeño, cumplimiento del
SGCN con el estándar internacional y las expectativas de la gerencia, así como la
retroalimentación de las expectativas a la dirección.
 Cláusula 10 es el componente del Actuar, consiste en identificar y actuar sobre el SGCN a
través de los planes de acción correctiva derivados de las no conformidades.

SEGURIDAD DE LA SOCIEDAD – REQUISITOS PARA EL SISTEMA DE ADMINISTRACION DE

CONTINUIDAD DE NEGOCIO.

1. Alcance
Este estándar especifica los requerimientos para planear, establecer, implementar, operar, monitorear,
revisar, mantener y mejorar el SGCN, orientado a la protección y reducción de la probabilidad de
ocurrencia, preparación, respuesta y recuperación en caso de una interrupción que pueda afectar la
Compañía

El SGCN es aplicable a organizaciones de cualquier tipo o de cualquier tamaño

2. Referencias Normativas
No hay Referencias Normativas a este estándar

3. Términos y Definiciones
Los siguientes son términos y definiciones aplicables a este estándar:
3.1 Actividad: Acción o conjunto de acciones emprendido por la Compañía que desarrollan o
soportan uno o más productos y servicios.
3.2 Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de la
auditoria y evaluarlas de manera objetiva con el fin de determinar la extensión en que se
cumplen los criterios de auditoria.
3.3 Continuidad de Negocios: capacidad de la Compañía para continuar desarrollando los
productos o servicios en un nivel aceptable predefinidos, posterior a un incidente.
3.4 Administración de la continuidad de negocios. Proceso holístico gerencial que identifica las
amenazas potenciales en la Compañía y el impacto de dichas amenazas en las operaciones si se
llegasen a dar. Persigue mejorar la resiliencia para establecer la capacidad de la empresa para
construir la capacidad de una respuesta efectiva a la salvaguarda de los intereses de las partes
involucradas, reputación, marca y actividades para crear valor.
3.5 SGCN: Parte de la gestión general para el establecimiento, implementación, operación,
monitoreo, revisión, mantenimiento y mejora de la continuidad de negocios.
3.6 Plan de continuidad de negocios: Procedimiento documentado que guía a la Compañía para
responder, recuperar y restaurar a un nivel predefinido los niveles de la operación de la
compañía tras una interrupción de la operación.
3.7 Programa de continuidad de negocios: Gestión continua y procesos de gobierno corporativo
soportados por la dirección y utilizando recursos de forma apropiada para implementar y
mantener la gestión de la continuidad de negocios.
3.8 Análisis de Impacto en el Negocio (BIA): Proceso de análisis de actividades y efecto que en un
negocio podría tener sobre ellas la interrupción de procesos.
3.9 Competencia: Habilidad para aplicar conocimiento y las habilidades para lograr resultados.
3.10 Conformidad : Cumplimiento de un requerimiento
3.11 Mejora Continua: Actividades recurrentes para desarrollar la mejora.
Área de Formación
V-OCT 2012 4
 3.12 Corrección: Acción para eliminar una no conformidad detectada.
3.13 Acción Correctiva: Acción para eliminar la causa de una no conformidad y prevenir la
recurrencia.
3.14 Documento: Información y su medio de soporte.
3.15 Información Documentada: Información requerida para ser controlada y mantenerla por una
Compañía y el medio el cual la contiene.
3.16 Eficacia: Extender cuales de las actividades planeadas son realizadas y que resultados se
logran.
3.17 Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
3.18 Ejercicio: Procesos de entrenamiento para evaluar, practicar e implementar mejoras en una
Compañía.
3.19 Incidente: Situación que puede ser o podría dar lugar a una interrupción, pérdidas,
emergencias o crisis.
3.20 Infraestructura: Sistemas, equipos y servicios necesarios para la operación de una Compañía.
3.21 Partes Interesadas: Personas u organizaciones que pueden resultar afectadas o afectar a ellos
mismos o a un tercero por alguna decisión respecto a una actividad.
3.22 Auditoría Interna: Auditoría conducida por o en nombre de la misma Compañía para revisar la
administración del SGCN la cual debe formar parte de la Compañía y auto declaración de
conformidad.
3.23 Invocación: Acto de declaración para que en la continuidad de negocios de la Compañía sea
necesario poner en práctica un desarrollo continuo de productos y/o servicios claves para la
misma Compañía.
3.24 Sistema de Administración: Conjunto de elementos interrelacionados que interactúan para el
establecimiento de políticas y objetivos, y que los procesos cumplan o logren dichos objetivos.
3.25 Máximo corte aceptable (MAO): Tiempo que podría tomar para que los efectos adversos que
se puedan dar como resultado de no proveer un producto/servicio o desarrollar una actividad,
pueda llegar a ser inaceptable.
3.26 Máximo período de interrupción tolerable (MTPD): Ver MAO
3.27 Medición: Proceso para determinar un valor
3.28 Mínimo objetivo de continuidad de negocios (MBCO): Nivel mínimo de servicios y/o productos
que es aceptable a que la Compañía logre los objetivos del negocio durante la interrupción.
3.29 Monitoreo: Determinación del estado de un sistema, un proceso o una actividad.
3.30 Acuerdos de ayuda mutua: Entendimiento entre dos o más entidades para hacer o brindar
asistencia a los demás.
3.31 No conformidad: No cumplir con un requerimiento.
3.32 Objetivo: Resultado por lograr.
3.33 Compañía: Persona o grupo de personas que tiene funciones propias con responsabilidades,
autoridad, y relacionamiento para el cumplimiento de los objetivos.
3.34 Tercerizar: Forma de establecer que una entidad externa desarrolle parte de las funciones,
procesos u operación de una Compañía.
3.35 Desempeño: Resultado de la medida.
3.36 Evaluación de desempeño: Proceso para determinar los resultados de la medición.
3.37 Personal: gente trabajando para y bajo el control de una Compañía.
3.38 Política: Intenciones y dirección de una Compañía expresada formalmente por la dirección.
3.39 Procedimiento: Vía específica para llevar una actividad o un proceso.
3.40 Proceso: Conjunto de actividades interrelacionadas en las que se transforman entradas en
salidas.
3.41 Productos y Servicios: Beneficio que provee una Compañía para sus clientes, proveedores y
partes interesadas.
3.42 Actividades priorizadas: Actividades que deben ser priorizadas siguiente a un incidente con el
fin de mitigar los impactos.
3.43 Registro: Conjunto de resultados logrados o evidencia de actividades desarrolladas.

Área de Formación
V-OCT 2012 5
 3.44 RPO (Punto objetivo de recuperación): Punto en el cual la información utilizada por una
actividad debe ser restaurada para colocar en funcionamiento o habilitar dicha actividad.
3.45 RTO (Recovery Time Objetive): Periodo de tiempo que sigue al incidente y en el cual:
i. El producto o servicio debe ser restaurado, o
ii. La actividad debe ser restaurada, o
iii. Los recursos deben estar recuperados.
3.46 Requerimiento: necesidad o expectativa que es fijada, generalmente implica obligatoriedad.
3.47 Recursos: Todos los activos, personas, habilidades, información, tecnología, premisas,
proveedores, que una Compañía ha tenido disponible para su uso, cuando lo necesitó,
alineado con la operación y el cumplimiento de los objetivos.
3.48 Riesgo: Efecto de un evento sobre los objetivos.
3.49 Apetito de Riesgo: Monto de riesgo que una Compañía acepta o retiene.
3.50 Evaluación de Riesgo: Cubrimiento de los procesos de identificación, análisis y evaluación de
riesgos.
3.51 Administración de Riesgos: Actividades coordinadas para direccionar y controlar una
Compañía con relación a los riesgos.
3.52 Pruebas: Procedimiento para evaluar el SGCN
3.53 Dirección: Persona o grupo de personas quienes dirigen y controlan una Compañía desde su
alto nivel.
3.54 Verificación: Confirmación a través de la provisión de evidencia.
3.55 Ambiente de Trabajo: Conjunto de condiciones bajo las que se desarrolla una labor.

4. CONTEXTO DE LA COMPAÑÍA

4.1. ENTENDIMIENTO DE LA COMPAÑÍA Y SU CONTEXTO

La Compañía DEBE determinar los elementos internos y externos que puedan ser relevantes en el
propósito y que afecten su posibilidad de cumplir con los resultados de su SGCN. Estos elementos
son tenidos en cuenta cuando se establezca, implemente y mantenga el SGCN.

La Compañía DEBE documentar e identificar los siguientes aspectos:

a) Los procesos, funciones, servicios, productos, sociedades, cadena de valor, relacionamiento
con partes interesadas y el impacto potencial en caso de un incidente.
b) Relación entre la política del SGCN y los objetivos de la Compañía, otras políticas, incluyendo
la estrategia de administración de riesgos.
c) El apetito de riesgo de la Compañía.

Establecimiento el contexto, la Compañía DEBE:

1) Articular sus objetivos, incluyendo lo concerniente a continuidad.
2) Definir los factores externos e internos que crea la incertidumbre que da la exposición al
riesgo.
3) Definir los criterios de riesgo teniendo en cuenta el apetito del riesgo.
4) Definir el propósito del SGCN.

4.2. ENTENDER LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS.

4.2.1. General
Cuando se establezca el SGCN la Compañía DEBE determinar:
a) Las partes interesadas que son relevantes en el SGCN
b) Los requerimientos de las parte interesadas.

4.2.2. Requerimientos Legales y Regulatorios

La Compañía DEBE establecer, implementar y mantener un procedimiento para identificar,
tener acceso y evaluar los requerimientos de ley y reglamentarios cuando sean aplicables y
Área de Formación
V-OCT 2012 6
 estén relacionados con la continuidad de la operación, los productos y servicios y tenga
interés relevante de las partes interesadas.

La Compañía DEBE asegurarse que todos los requerimientos aplicables de ley, regulatorios o
de la Compañía sean tenidos en cuenta en el establecer, implementar y mantener el SGCN.

La Compañía DEBE documentar esta información, actualizarla cada vez que haya cambios.
Estos cambios deben ser notificados a los empleados afectados y demás partes interesadas.

4.3. DETERMINACIÓN DEL ALCANCE DEL SGCN

4.3.1. General
La Compañía DEBE determinar la aplicabilidad del SGCN y establecer el alcance. Cuando
determine el alcance la Compañía DEBE considerar
 Los elementos internos y externos del punto 4.1 y
 Los requerimientos del 4.2.

El alcance DEBE estar disponible como parte de la información documentada

4.3.2. Determinación del alcance del SGCN

La Compañía DEBE:
a) Establecer las partes de la Compañía que serán incluidas en el SGCN.
b) Establecer los requerimientos del SGCN, considerando la misión de la compañía, objetivos,
obligaciones internas y externas (Incluidas las partes interesadas) y las responsabilidades
de ley y regulatorias.
c) Identificar los productos y servicios y todos los aspectos relacionados en el alcance del
SGCN.
d) Tomar en cuenta los intereses y necesidades de las partes interesadas tales como clientes,
proveedores, inversionistas, la comunidad y el público en general que manifiesta las
necesidades e intereses.
e) Definir el alcance del SGCN en términos del tamaño, naturaleza y complejidad de la
compañía.

Cuando se establezca el alcance, la compañía debe documentar y explicar las exclusiones,

cualquiera de estas no debe afectar la capacidad de la compañía y sus responsabilidades de
garantizar la continuidad del negocio y los requisitos del SGCN, según los resultados del Análisis
de Impacto al Negocio, valoración del riesgo y los requisitos de ley y normativos aplicables.

4.4. SGCN.

La Compañía DEBE establecer, implementar, operar, monitorear, mantener y continuamente

mejorar el SGCN incluyendo los procesos necesarios en sus interacciones, en concordancia con los
requerimientos de este estándar.

5. LIDERAZGO.

5.1. GENERAL.
Las personas de la dirección y en general los roles relevantes en la Compañía DEBEN demostrar
liderazgo con respecto al SGCN.

5.2. COMPROMISO DE LA DIRECCIÓN.

La dirección DEBE demostrar liderazgo y compromiso con respecto al SGCN para:

Área de Formación
V-OCT 2012 7
  Asegurar que las políticas y objetivos se establecen para el SGCN y son compatibles con la
estrategia de la Compañía.
 Asegurar la integración del SGCN y sus requerimientos con los procesos de negocio.
 Asegurar la disponibilidad de los recursos necesarios para del SGCN.
 Comunicar la importancia de la administración por resultados del SGCN y conformidad con sus
requerimientos.
 Asegurar que el SGCN logra los resultados previstos.
 Dirigir y soportar las personas que contribuyen a los resultados del SGCN.
 Promover la mejora continua.
 Soportar otros roles de dirección para demostrar su liderazgo y compromiso así como aplicarlo
a todas las áreas de la Compañía.

La dirección DEBE proveer evidencia de su compromiso para establecer, implementar, operar,

monitorear, revisar, mantener y mejorar el SGCN para:
 Establecer una política de continuidad.
 Asegurar que los objetivos del SGCN y de los planes están establecidos.
 Establecer roles, responsabilidades y competencias para el SGCN
 Empoderar a una o más personas que sean responsables del SGCN con autoridad y
competencias para implementar y mantener el SGCN.
Nota: Las personas empoderadas no tiene una función exclusiva en el SGCN.

La dirección DEBE asegurar que las responsabilidades y autoridad para los roles ha sido asignada y
comunicada en la Compañía para:
 Definir el criterio para aceptar los riesgos y definir el nivel aceptable del riesgo.
 Participar en las pruebas y ejercicios del plan.
 Asegurar que se realicen las auditorías internas del SGCN.
 Conducir las revisiones de la dirección para el SGCN.
 Demostrar su compromiso con la mejora continua.

5.3. POLÍTICA DEL SGCN

La dirección DEBE establecer una política de continuidad de negocios que se comunique y que:
a) Esté alineada al propósito de la Compañía.
b) Provea un marco de referencia para la definición de los objetivos del SGCN.
c) Incluya el compromiso para satisfacer los requerimientos aplicables.
d) Incluya el compromiso para la mejora continua del SGCN

La política del SGCN DEBE:

• Estar disponible como documento del SGCN.
• Ser comunicado a la Compañía.
• Estar disponible para las partes interesadas de forma apropiada.
• Ser revisada de manera continua, con idoneidad a intervalos definidos y cuando haya cambios
significativos

5.4. ROLES, RESPONSABILIDADES Y AUTORIDAD ORGANIZACIONAL

La dirección DEBE asegurar que las responsabilidades y autoridad para los roles ha sido asignada y
comunicada en la Compañía.

La dirección DEBE asignar las responsabilidades para:

 Asegurar que el SGCN es conforme con este estándar.
 Reportar el desempeño del SGCN a la dirección.

Área de Formación
V-OCT 2012 8
6. PLANEACIÓN

6.1. ASPECTOS PARA DIRECCIONAR LOS RIESGOS Y OPORTUNIDADES.

Cuando se planee el SGCN, la compañía DEBE considerar los elementos del numeral 4.1. y los
requerimientos del 4.2. y determinar los riesgos y oportunidades que son necesarios para
direccionar hacia:
a) Asegurar que el SGCN puede lograr los objetivos trazados.
b) Prevenir o reducir efectos indeseados.
c) Lograr la mejora continua.

La Compañía DEBE planear

a) Acciones para direccionar estos riesgos y oportunidades.

b) Como:
 Integrar e implementar las acciones en el proceso del SGCN.(ver 8.1)
 Evaluar los resultados de esas acciones.

6.2. OBJETIVOS DE CONTINUIDAD DE NEGOCIOS Y PLANES PARA LOGRARLOS.

La dirección DEBE asegurar que los objetivos de la continuidad de negocio están establecidos y
comunicados por funciones relevantes y niveles en la Compañía. Los objetivos de la continuidad de
negocios DEBEN:
a) Ser consistente con la política de continuidad
b) Tomar en cuenta el nivel mínimo de productos y servicios que son aceptables en la Compañía
para cumplir los objetivos.
c) Ser medible.
d) Tener en cuenta los requerimientos aplicables
e) Ser monitoreado y actualizado de forma apropiada.

La administración DEBE conservar documentos sobre los objetivos de la continuidad.

Para lograr los objetivos, DEBE determinar:
 Quién será responsable.
 Qué se Hará.
 Qué recursos serán requeridos.
 Cuando será completado.
 Como se evaluará el resultado.

7. RECURSOS

7.1. GENERAL.

La Compañía DEBE determinar y proveer los recursos necesarios para el establecimiento,

implementación, mantenimiento y mejora continua del SGCN

7.2. COMPETENCIA

La Compañía DEBE:
a) Determinar la necesidad de la competencia de las personas que trabajarían para controlar los
aspectos que afecten su desempeño.

Área de Formación
V-OCT 2012 9
 b) Asegurar que esas personas son competentes basados en la educación apropiada,
entrenamiento y experiencia.
c) Donde sea aplicable, tomar las acciones para adquirir las competencias necesarias y evaluar
los resultados de las acciones tomadas.
d) Retener la documentación apropiada como evidencia de la competencia.

7.3. CONCIENTIZACIÓN

El personal que tome acciones de la compañía DEBE ser consiente de:

a) La política de continuidad de negocio.
b) Su contribución a los resultados del SGCN, incluyendo los beneficios de mejorar el desempeño
del SGCN.
c) Las implicaciones de las no conformidades con los requerimientos del SGCN.
d) Su propio rol durante los incidentes o interrupciones.

7.4. COMUNICACIÓN

La compañía DEBE determinar la necesidad para comunicar a nivel interno y externo lo relevante
para el SGCN. Incluye:
a) Qué se comunicará
b) Cuando se comunicará
c) Con quién se comunicará

La dirección DEBE establecer, implementar y mantener procedimientos para:

 La comunicación entre las partes interesadas y los empleados.
 La comunicación con los clientes socios, proveedores, comunidad y otras partes interesadas
que incluyen a los medios de comunicación.
 Recibir, documentar y responder a las partes interesadas.
 Adaptar e integrar un sistema de consulta de amenazas nacionales o regionales.
 Asegurar la disponibilidad de los medios de comunicaciones durante un incidente.
 Facilitar la estructura de comunicación con las autoridades pertinentes y asegurar la
interoperabilidad de las respuestas a la Compañía y del personal.
 Operar y probar la capacidad de comunicar durante la interrupción.

Nota: Otros requisitos para comunicación los encuentra en el 8.4.3

7.5. DOCUMENTACIÓN DE LA INFORMACIÓN

7.5.1. General
La Compañía DEBE incluir en el SGCN:
a) Información documentada requerida por el estándar
b) Información documentada determinada por la Compañía cuan sea necesario para los
resultados del SGCN.
7.5.2. Crear y actualizar
La Compañía DEBE asegurar apropiadamente que:
• Se identifiquen y describan (Títulos, fechas, autor o número de referencia)
• Los formatos (lenguajes, versiones de software, graficas, etc.) y los medios (Papel,
formato electrónico, etc.) sean revisados y aprobados de forma adecuada e idónea.
7.5.3. Control de Documentos
La Compañía DEBE controlar y asegurar que la documentación requerida por el SGCN, y
cumpla con:

Área de Formación
V-OCT 2012 10
 a) Está disponible y de forma adecuada para su utilización, donde y cuando sea
necesario.
b) Está protegida de forma adecuada.

Para el control de documentos la Compañía DEBE direccionar las siguientes actividades

cuando sea aplicable:
 Distribución, acceso y recuperación para su uso.
 Almacenar y preservar.
 Control de cambios.
 Retención y disposición final.
 Prevención de uso de los documentos obsoletos.

La información de origen externo necesaria para la planificación y operación del SGCN se

DEBE identificar y según sea adecuado controlarla.

Al determinar el control de los documentos, la compañía DEBE asegurar la protección

adecuada.

8. OPERACIÓN

8.1. PLANIFICACIÓN Y CONTROL.

La compañía DEBE planear, implementar y controlar los procesos necesarios para satisfacer los
requerimientos, implementar las acciones determinadas en 6.1 para:
a) Establecer el criterio para los procesos.
b) Implementar controles para los procesos en concordancia con los criterios
c) Mantener la documentación para evidenciar que los procesos se han hecho según lo
establecido.

La Compañía DEBE controlar los cambios y revisar las consecuencias de cambios no previstos,
tomando las acciones que mitigan los efectos adversos, cuando sea necesario.

La Compañía DEBE asegurar que los procesos tercerizados están controlados.

8.2. ANÁLISIS DE IMPACTO EN EL NEGOCIO (BIA) Y VALORACIÓN DE RIESGOS

8.2.1. General
La compañía DEBE establecer, implementar y mantener documentado de manera formal un
proceso para el BIA y el análisis de riesgos que:
a) Establezca el contexto de la evaluación, definición de criterios y evaluación de los
impactos potenciales de incidentes.
b) Tenga en cuenta aspectos legales y otros requerimientos a los cuales la Compañía
debe suscribirse.
c) Incluya análisis sistemáticos, priorización de tratamientos y sus costos asociados.
d) Defina las salidas requeridas del BIA y la evaluación de riesgos.
e) Especifique los requerimientos de la información para mantenerse vigente y preserve
la confidencialidad.

8.2.2. BIA
La compañía DEBE establecer, implementar y mantener documentado de manera formal un
proceso para determinar la prioridad en la continuidad, recuperación, objetivos y metas. .
El BIA debe incluir:

Área de Formación
V-OCT 2012 11
 a) Identificación de actividades que soportan la provisión de productos y servicios.
b) Evaluar los impactos sobre el tiempo de no contar con estas actividades.
c) Determinar los tiempos y prioridades para reanudar las actividades en un nivel
mínimo aceptable tomando en consideración que los impacto de no reanudarlos
podría llegar a ser no aceptables.
d) Identificar las dependencias y los recursos que soportan estas actividades,
incluyendo los proveedores, socios, terceros y otras partes interesadas.

8.2.3. Valoración de Riesgos:

La Compañía DEBE establecer, implementar y mantener un documento formal de los
procesos de evaluación de riesgos que identifica sistemáticamente, analiza y evalúa los
riesgos de la interrupción por incidentes en la Compañía.

La Compañía DEBE:
a) Identificar los riesgos de interrupción de actividades prioritarias de la compañía y
procesos, sistemas, información, gente, activos, terceros y otros recursos que lo
soporten.
b) Análisis de riesgos sistemáticos.
c) Evaluar los riesgos que generarían la interrupción y que necesitan tratamiento.
d) Identificar tratamientos alineado con los objetivos de la continuidad de negocio y en
concordancia con el apetito del riesgo en la compañía.

8.3. ESTRATEGIA DE CONTINUIDAD DE NEGOCIOS

8.3.1. Determinación y Selección

Determinación y selección de la estrategia DEBE estar basado en las salidas del BIA y del RA.

La Compañía DEBE determinar una estrategia de continuidad para:

a) Proteger las actividades prioritarias.
b) Establecer, continuar, recuperar las actividades prioritarias y sus recursos y sus
dependencias.
c) Mitigar y responder a los impactos.

La determinación de la estrategia DEBE incluir priorización aprobada para la recuperación de

las actividades en los marcos de tiempo definidos.

La Compañía DEBE conducir evaluaciones de la capacidad de los terceros para la Continuidad

de Negocios.

8.3.2. Establecer los recursos requeridos

La compañía debe determinar los recursos requeridos para implementar las estrategias
seleccionadas. Los tipos de recursos consideran pero no se limita a:
a) Gente
b) Datos e información.
c) Edificios, ambiente de trabajo y servicios asociados
d) Facilidades, equipos y consumibles.
e) Sistemas de Información y TI
f) Transporte
g) Finanzas.
h) Socios y proveedores.

8.3.3. Protección y Mitigación

Área de Formación
V-OCT 2012 12
 Para identificar el tratamiento de los riesgos, la Compañía DEBE considerar medidas
proactivas que:
a) Reduzcan la probabilidad de la interrupción
b) Disminuya los períodos de interrupción
c) Limite el impacto de la interrupción sobre los productos y servicios claves.

La Compañía DEBE seleccionar e implementar el tratamiento de riesgo apropiado en

concordancia con el apetito del riesgo.

8.4. ESTABLECER E IMPLEMENTAR LOS PROCEDIMIENTOS DE CONTINUIDAD DE NEGOCIOS.

8.4.1. General
La Compañía DEBE establecer, implementar y mantener los procedimientos de continuidad de
negocio para gestionar un incidente y continuar las actividades basadas en los objetivos de
recuperación identificados en el BIA

La Compañía DEBE documentar los procedimientos para asegurar la continuidad de actividades

y gestión de los incidentes.

Los procedimientos DEBEN

a) Establecer un protocolo interno y externo apropiado.
b) Ser específico para establecer los pasos inmediatos que son tenidos en cuenta durante la
interrupción.
c) Ser flexible para responder o anticipar las amenazas y cambios en las condiciones internas
y externas.
d) Focalizarlo en el impacto de los eventos que podría interrumpir las operaciones.
e) Estar desarrollado basados sobre supuestos establecidos y un análisis de
interdependencias
f) Dar resultados en minimizar las consecuencias a través de la implementación de
estrategias de mitigación adecuadas.

8.4.2. Estructura de Respuesta a Incidentes

La Compañía DEBE establecer, documentar e implementar procedimientos y administrar la
estructura de respuesta a incidentes utilizando personal con la responsabilidad, autoridad y
competencia para manejar un incidente.

Esta estructura DEBE:

a) Identificar los umbrales del impacto que justifican la iniciación de respuestas formales.
b) Evaluar la naturaleza y extensión de un incidente y su potencial impacto.
c) Activar una respuesta apropiada para responder a la continuidad de negocios.
d) Tener procedimientos y procesos para activación, operación coordinación y
comunicación de las respuestas.
e) Tener recursos disponibles para soportar los procesos y procedimientos para manejar un
incidente para minimizar el impacto.
f) Comunicar con las partes interesadas incluidas las autoridades y medios de
comunicación.

La compañía DEBE decidir, conservando la vida humana como prioridad y en consulta con las
partes interesadas, si se comunica externamente la información de sus riesgos e impactos y
documentar su decisión. Si se decide comunicar la compañía DEBE definir e implementar
procedimientos para la comunicación externa, alertas y aviso, que incluyan los medios de
comunicación según sea adecuado.
Área de Formación
V-OCT 2012 13
 8.4.3. Advertencias y comunicación
La Compañía DEBE establecer, implementar y mantener procedimientos para:
a) Detectar un incidente
b) Monitorear regularmente los incidentes
c) Comunicación interna entre la Compañía y recibir, documentar y responder a las partes
interesadas.
d) Recibir, documentar y responder a cualquier sistema de riesgo nacional o regional.
e) Asegurando disponibilidad de los medios de comunicación en el momento de un
incidente.
f) Facilitar la estructura de comunicación con el sistema de emergencias.
g) Registrar la información vital sobre los incidentes, acciones y decisiones y se DEBE
considerar e implementar donde aplica:
 Alertar a las partes interesadas potencialmente impactadas por un incidente
real o potencial.
 Asegurar la interoperabilidad de múltiples compañías y al personal.
 Facilitar las operaciones de comunicación.

Los procedimientos de comunicación DEBEN ser probados regularmente.

8.4.4. Planes de Continuidad de Negocios

La Compañía DEBE establecer procedimientos documentados para responder a una
interrupción y como se continuará o recuperará las actividades en un tiempo determinado.
Cada procedimiento DEBE direccionar los requerimientos de quienes los utilizan.

El plan de continuidad DEBE contener en conjunto:

a) Roles y responsabilidades definidos durante y después de un incidente.
b) Proceso para activar la respuesta.
c) Detalles para establecer las consecuencias de la interrupción, teniendo en cuenta:
1) El bienestar de la gente
2) Las opciones estratégicas tácticas y operativas de la respuesta, y
3) Prevención de pérdida o indisponibilidad de actividades priorizadas
d) Detalles sobre cómo y bajo qué circunstancias la Compañía se comunicará a los
empleados, familia y las partes interesadas y los contactos de emergencia.
e) Como la Compañía continuará o recuperará sus actividades prioritarias en los tiempos
definidos.
f) Detalles de la respuesta de la Compañía de los medios de comunicación a causa de los
incidentes, siguiendo:
1) Una estrategia de comunicación.
2) Canal preferente con los medios de comunicación.
3) Guion para dar declaraciones de la situación a los medios.
4) Vocero adecuado
g) Un proceso para retirarse cuando el incidente termine.

Cada plan DEBE establecer:

- Propósito y alcance
- Objetivo
- Criterios y actividades de activación
- Procedimientos de instalación
- Roles, responsabilidades y autoridades
- Requerimientos de comunicación
- Interdependencias e interacciones
- Recursos
Área de Formación
V-OCT 2012 14
 - Flujo de información y gestión de documentación

8.4.5. Recuperación
La Compañía DEBE tener procedimientos documentados para restaurar y retornar las
actividades del negocio desde las medidas temporales adoptadas hasta los requerimientos
normales después del incidente.

8.4.6. Ejercicios y Pruebas

La Compañía DEBE realizar ejercicios y pruebas de sus procedimientos de continuidad de
negocio para asegurar que los planes son consistentes con los objetivos del negocio. La
Compañía DEBE conducir las pruebas que:
a) Sean consistentes con el alcance y objetivos del SGCN
b) Estén basados en escenarios apropiados que son bien planeados con claridad definida y
objetivos definidos.
c) Tengan en cuenta la validación del tiempo y el conjunto de preparativos para el plan de
continuidad involucrando a las partes interesadas.
d) Minimicen la interrupción de las operaciones.
e) Produzcan reportes o informes formales después de cada ejercicio, que incluya
recomendaciones y acciones para mejorar el plan.
f) Sean revisados con el propósito de propender a la mejora continua.
g) Se realicen en intervalos planeados y cuando haya cambios significativos en la Compañía
o el ambiente en el cual opera.

9. EVALUACIÓN DE DESEMPEÑO

9.1. MONITOREO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

9.1.1. General
La Compañía DEBE determinar
a) Que se monitorea y mide.
b) Los métodos para monitorear, medir, analizar y evaluar para el aseguramiento de los
resultados.
c) Cuándo el monitoreo y la medición requieren ser desarrollados
d) Cuándo los resultados del monitoreo y medición DEBEN ser analizados y evaluados.

La compañía DEBE mantener documentos que soporten los resultados.

La compañía DEBE evaluar el desempeño del SGCN y sus resultados.

Adicionalmente la Compañía debe:

 Tomar las acciones que considere en caso que ocurra una no conformidad o tendencia
a esta, y
 Retener la evidencia documentada de los resultados del monitoreo.

Los procedimientos para monitorear el desempeño DEBEN proveer:

 Implementación de métricas adecuadas a la Compañía
 Monitoreo del cumplimiento de los objetivos, de la política y metas de continuidad
 Desempeño de los procesos, procedimientos y funciones que priorizan las actividades
de protección.
 Monitoreo del cumplimiento con este estándar y los objetivos de continuidad.
 Monitoreo de las deficiencias históricas del desarrollo del SGCN
 Registro de datos y resultados del monitoreo para facilitar las acciones correctivas.

Área de Formación
V-OCT 2012 15
 9.1.2. Evaluación de los procedimientos de continuidad.
a) La Compañía DEBE conducir evaluación de sus procedimientos de continuidad de
negocios, procedimientos y capacidad para asegurar su sostenibilidad y resultados.
b) Esas evaluaciones DEBEN ser realizadas de forma periódica, después de incidentes o
cualquier evaluación. Los cambios significativos deben ser reflejados en los
procedimientos manejados en el SGCN.
c) La Compañía DEBE evaluar el cumplimiento de los aspectos legales y requerimientos
regulatorios, mejores prácticas de la industria.
d) La Compañía DEBE realizar evaluación a intervalos planificados cuando un cambio
importante ocurre.

Cuando un incidente ocurre y se activa el plan, se debe realizar una revisión posterior al
incidente y registrar los resultados correspondientes.

9.2. AUDITORÍA INTERNA

La Compañía DEBE conducir auditorías a intervalos planificados para proveer información si el

SGCN:
a) Es conforme a
1) Los propios requerimientos de la Compañía hacia el SGCN
2) Los requerimientos del estándar.
b) Está efectivamente implementado y mantenido.

La Compañía DEBE:
 Planear, establecer, implementar y mantener programas de auditoría que incluyan la
frecuencia, métodos, responsabilidades, requerimientos de planeación y reportes. El
programa de auditoría DEBE tomar en consideración la importancia de los procesos
concernientes a auditorías previas.
 Definir los criterios y alcance de auditoría.
 Seleccionar los auditores para asegurar la objetividad e imparcialidad del proceso de auditoría.
 Asegurar que los resultados de las auditorías serán reportados a la dirección.
 Guardar documentación que brinde evidencia de los resultados de los programas de auditoría.

El programa de auditoría, DEBE fundamentarse en los resultados de la valoración de riesgos y de

auditorías anteriores. Los procedimientos de auditoría DEBEN incluir el alcance, frecuencia,
metodologías y competencias, así como las responsabilidades y requisitos para ejecución de
auditorías y reporte de resultados

La dirección del área auditada DEBE asegurar que cualquier corrección necesaria derivada de la
auditoría genere la acción correctiva o detectiva a que haya lugar sin demoras injustificadas,
eliminando las causas que la generaron. Las actividades de monitoreo DEBEN incluir las validación
de acciones y el informe de resultados de verificación.

9.3. REVISIÓN GERENCIAL.

La dirección DEBE revisar el SGCN de la Compañía a intervalos planificados para asegurar la

sostenibilidad y resultados.

La revisión DEBE incluir consideraciones de:

a) El estado de las acciones de revisiones previas.

Área de Formación
V-OCT 2012 16
 b) Cambios de elementos internos o externos de la Compañía que sean relevantes para el
SGCN.
c) Información del desempeño del SGCN, incluidas tendencias en:
 No conformidades y acciones correctivas
 Monitoreo y resultado de evaluaciones de los las métricas y
 Resultados de la auditoría
d) Oportunidades para el mejoramiento continuo.

Las revisiones por la dirección DEBE considerar el desempeño de la Compañía incluyendo

 Seguimiento a las revisiones gerenciales previas.
 Necesidad de cambios del SGCN.
 Oportunidades de Mejora
 Resultados de las auditorías del SGCN
 Técnicas, productos o procedimientos que se usen en la Compañía para desarrollar
efectivamente el SGCN
 Estatus de las acciones correctivas.
 Resultado de las pruebas
 Riesgos o hallazgos no direccionados de manera adecuada en análisis de riesgos previos
 Cualquier cambio que pueda afectar el SGCN
 Política adecuada
 Recomendaciones para mejorar
 Lecciones aprendidas en gestión de incidentes.
 Buenas prácticas y guía de emergencias.
Las salidas de la revisión de la Dirección DEBE incluir decisiones relativas a la mejora continua y de
las posibles necesidades para cambiar el SGCN que incluye:
a) Cambios del alcance del SGCN
b) Mejora de los resultados del SGCN
c) Actualización del análisis de riesgo, BIA, planes de continuidad y en general cualquier
procedimiento relacionado.
d) Modificación de procedimientos y controles para responder a eventos que pueden impactar el
SGCN, incluyendo cambios en:
1) Requerimientos de negocio y operaciones.
2) Reducción de los riesgos y requerimientos de seguridad.
3) Condiciones operacionales y procesos.
4) Requerimientos legales y regulatorias.
5) Obligaciones contractuales.
6) Niveles de riesgo y criterios de aceptación de riesgos.
7) Recursos necesarios.
8) Requerimientos presupuestales.
e) Como se mide los resultados de los controles.

La Compañía DEBE retener documentación como evidencia del resultado de las revisiones y DEBE:
 Comunicar los resultados de la revisión de la dirección a las partes interesadas y
 Tomar acciones apropiadas con lo relacionado a estos resultados.

10. MEJORAMIENTO

10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS

Cuando una no conformidad ocurre, la Compañía DEBE:

a) Identificar la no conformidad.
b) Reaccionar a la no conformidad y cuando sea aplicable

Área de Formación
V-OCT 2012 17
 1) Tomar la acción, control o corrección respectiva
2) Hacer frente a las consecuencias.
c) Evaluar la necesidad de eliminar las causas de la no conformidad, en orden a que no se
vuelva recurrente.
1) Revisando la no conformidad
2) Determinando las causas de la no conformidad
3) Determinando si una no conformidad similar existe, o potencialmente puede
ocurrir.
4) Evaluando la necesidad de la acción correctiva para asegurar que la no
conformidad no vuelve a ocurrir
5) Determinando e implementando la acción correctiva necesaria.
6) Revisando los resultados de cualquier acción correctiva tomada
7) Haciendo cambios al SGCN si llegase a ser necesario.
d) Implementando cualquier acción necesaria
e) Revisando los resultados de cualquier acción tomada.
f) Haciendo cambios al SGCN, si es necesario.

Las acciones correctivas DEBEN ser apropiadas a los efectos de las no conformidades
encontradas.

La Compañía DEBE retener la documentación como evidencia de:

 La naturaleza de la no conformidad y cualquier evento subsecuente
 Los resultados de cualquier acción correctiva

10.2. MEJORAMIENTO CONTINUO

La Compañía DEBE continuamente mejorar la sostenibilidad, la adecuación y resultados del SGCN.

Área de Formación
V-OCT 2012 18