Módulo

Sistemas de
Continuidad de
Negocio
Unidad 13
Plan de respuesta por
actividad e indicadores
Módulo
Sistemas de
Continuidad de
Negocio
Unidad 13
Plan de respuesta por
actividad e
indicadores
13. PLAN DE RESPUESTA POR ACTIVIDAD E INDICADORES ................................. 04
13.1. PLANES DE RESPUESTA POR ACTIVIDAD........................................................ 04
13.2. PROCESO...................................................................................................... 05
13.3. INDICADORES CLAVE.................................................................................... 07
13.4. RESUMEN DEL TEMA..................................................................................... 11
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores
13. Plan de respuesta por actividad e
indicadores
“Los planes de respuesta y recuperación de cada actividad debe-
rían ser incluidas en un documento separado del PCN y que pasa
a ser asignado a los responsables de la actividad con la que esté
relacionada.”
13.1. Planes de respuesta por actividad
Los planes de respuesta por cada actividad y a nivel operativo, especifican la respuesta al
incidente desde cada departamento o unidad de negocio según sea relevante como:
• Procedimientos para ayudar a un equipo de respuesta a incidentes.
• Una respuesta de recursos humanos a problemas de necesidades básicas.
• Un plan para reiniciar actividades en un plazo predeterminado dentro de un de-
partamento.
• Una respuesta logística del departamento de TI a la pérdida y subsiguiente recu-
peración de los servicios de TI para el negocio.
En base a los procesos de negocio y necesidades particulares se pueden determinar si los
planes operativos solo se ocupan de una actividad concreta o varias actividades dentro de
un área más amplia de un departamento.
Según el grado de complejidad de la organización, los planes de respuesta operativos
pueden ser respaldados por planes más detallados para respuestas, ubicaciones o equipos
específicos.
Los planes de actividad deberían ser desarrollados una vez se disponga por parte de la
organización de un Plan de Continuidad de Negocio redactado o totalmente perfilado,
debido a la relación establecida entre el Plan de Continuidad de Negocio y los planes de
respuesta operativos.
Hay que considerar que el propósito de los planes operáticos de respuesta es estructurar
la respuesta de cada departamento a una interrupción dentro del Plan de Continuidad de
Negocio general y en base a una orientación práctica que evite incluir documentación
que no sea necesaria durante un incidente.
04
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores
13.2. Proceso
Los pasos clave para la planificación y desarrollo del plan de recuperación para la unidad
de negocio son:
• Designar a un responsable para el desarrollo general de los planes.
• Designar a un representante dentro de cada unidad para desarrollar su propio plan.
• Definir el objetivo y alcance de los planes.
• Determinar las estrategias generales de GCN en las que se basa el plan.
• Decidir la estructura, formato, componentes y contenido de los planes.
• Desarrollar un esquema general a modo de plantillas de los planes y que facilite la
estandarización de la documentación, aunque debe permitir posibles variaciones
según necesidad.
• Asegurar la nominación de responsables de las funciones del plan en las unidades
de negocio.
• Gestionar y supervisar el desarrollo de planes en las unidades de negocio.
• Desarrollar y hacer circular borradores para consulta, revisión y mejora, tanto den-
tro como fuera del departamento si fuera necesario.
• Validar el plan a través de un test en la unidad de negocio.
• Consolidar los planes para las unidades de negocio y revisarlos para comprobar
su coherencia.
• Documentar las conexiones con el Plan de Continuidad de Negocio y entre los
planes para las unidades.
• Llevar a cabo un análisis de las necesidades de recursos de todos los planes para
determinar las necesidades de recursos que apoyarán las funciones.
En relación a posibles herramientas y técnicas para desarrollar los planes operativos de
respuesta más habituales se pueden contemplar, entre otros:
• Entrevistas (estructuradas y no estructuradas)
• Un Análisis del Impacto en el Negocio y de necesidades de recursos para esta acti-
vidad y que sirva para afinar los resultados del AIN inicial y de mayor nivel.
05
CEUPE Módulo. Sistemas de Continuidad de Negocio CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores

• Listas de verificación y formularios. • Plan de reinicio de actividades para cada proceso.

• Talleres. • Número de empleados necesario.

De manera más específica y en consideración a: • Contactos clave.

• Instalaciones: • Procedimiento para el reinicio de la actividad de negocio.

• Planes para la evacuación. • Forma de iniciar el reinicio de la actividad de negocio.

• Planes de realojo de edificios. • Prioridades en las actividades.

• Respuesta a amenazas de bomba o similares. • Procedimientos especiales.

• Puntos de evacuación. • Problemas durante la puesta en práctica.

• Enlace con los servicios de emergencia. • Número de empleados necesario.

• Dispersión del personal y visitantes. • Recursos necesarios.

• Rescate de recursos y asistencia contratada. Como resultado se deben obtener planes operativos de respuesta documentados para
cada actividad o departamento junto a los criterios para que las unidades de negocio de-
• Circunstancias agravantes. riven asuntos relevantes al Equipo de Continuidad de Negocio mediante una definición
clara de las funciones de GCN dentro del departamento.
• Recursos humanos:

• Necesidades básicas.
13.3. Indicadores clave
Se indican a continuación los elementos clave que debe desarrollar una organización con
• Responsabilidades legales (salud y seguridad)
una GCN implantada y en correcto funcionamiento:
• Procedimiento para contabilizar personas.
• La organización es la responsable de al menos un Plan de gestión de incidentes y
• Procedimiento para contactar al personal. un Plan de Continuidad de Negocio y que la habilita para gestionar cualquier po-
sible incidente o crisis que afecte a la continuidad en cualquier parte del negocio e
• Recursos para terapias psicológicas y/o rehabilitación. independientemente de la causa.

• Recuperación de la unidad de negocio: • La organización opera bajo la organización de uno o varios equipos como respon-
sables de gestionar todos los posibles incidentes que afectan a la continuidad.
• Criterios de escalado para poner en marcha la Respuesta de Continuidad de Ne-
gocio. • Cada equipo incluye a Responsable de Procesos que son responsables y que po-
seen la autoridad y conocimiento para responder de forma efectiva a cualquier
• Procedimiento de escalado para transferir la responsabilidad al Equipo de Con- incidente.
tinuidad de Negocio.
• Cada miembro del equipo tiene al menos un sustituto con similar nivel de autori-
• Contacto inicial al Equipo de Continuidad de Negocio. dad y formación.
• Contacto con los miembros del equipo.

06 07
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores
• Cada equipo dispone de autoridad y recursos para ser siempre movilizado a tiem-
po y proporcionar una respuesta puntual adecuada.
• Cada equipo sabe operar todas las herramientas e información necesarias para
gestionar un incidente.
• Todos los integrantes del equipo han recibido formación adecuada para operar en
una situación de crisis o parecidas.
• Cada plan define un proceso de invocación y escalado que permite su activación
rápida o inmediata.
• Cada plan contiene instrucciones inequívocas para la invocación independiente-
mente del tipo de incidentes y condiciones.
• Cada plan identifica con claridad aquellas personas que tienen autoridad para in-
vocarlo.
• Cada plan contiene tareas y listas para obstaculizar las consecuencias inmediatas
por un trastorno en el negocio.
• Cada plan contiene una declaración clara e inequívoca de su propósito y alcance.
• Cada plan explica los protocolos y mecanismos para comunicaciones de emergen-
cia y avisos.
• Cada plan exige que la información de contacto de familiares y de emergencia de
todo el personal esté actualizada y disponible para su rápida utilización.
• Cada plan identifica las personas que después de un accidente se encargarán de
responsabilidades relacionadas con la salud y bienestar del personal y de forma
efectiva.
• Cada plan define y comunica las funciones, responsabilidades y grados de autori-
dad de todos los participantes.
• Cada plan contiene y establece un marco de acción claro para el control aceptable
de cualquier incidente.
• Cada plan describe con claridad cómo elegir, adaptar y poner en marcha las estra-
tegias para optimizar la recuperación después de un incidente.
• Cada plan contiene explicaciones claras de prioridades que reflejen variaciones
estacionales, periódicas y diarias.
08
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores
• Cada plan identifica con claridad los niveles de recuperación que deben lograrse y
en relación a los Objetivos de Tiempos de Recuperación.
• Cada plan describe con claridad los medios para coordinar todos los equipos y
entidades involucradas en la recuperación.
• Cada plan contiene tareas, procedimientos y listas de verificación que inician y
cumplen de forma aceptable con las estrategias.
• Cada plan contiene un inventario actualizado de los recursos necesarios en el tiem-
po para desarrollar las estrategias.
• Cada plan contiene registros o formularios para reseñar la información del inci-
dente.
• Cada plan contiene tareas y listas de verificación para la restauración de las opera-
ciones después de un incidente.
• Cada plan contiene tareas que permiten un análisis efectivo de la situación y una
evaluación de los daños.
• Cada plan contiene tareas que aseguran la continuidad de cada acuerdo de sub-
contratación.
• Cada plan ofrece indicaciones fiables acerca del tiempo para completar cada paso
bajo condiciones de trastorno.
• Cada plan incluye el contacto y los detalles para movilizar a todos los proveedores
y clientes clave.
• Los planes de la organización prevén de forma específica la gestión rápida de la
comunicación con todos los proveedores y clientes clave antes, durante y después
de un incidente.
• Cada plan identifica al personal con el grado de autoridad adecuado para servir de
enlace con los servicios de emergencia.
• Cada plan ofrece la base para un sistema efectivo de gestión de la información en
momentos de crisis.
• Cada plan especifica los medios y la frecuencia con la que se debe ofrecer la infor-
mación en comunicados de prensa, correo electrónico, Internet, entre otros posi-
bles.
09
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores
• Cada plan identifica a los portavoces formados que están autorizados a enviar in-
formación a los medios de comunicación.
• Cada plan identifica un lugar preferido de enlace con los medios de comunicación
u otras partes interesadas.
• Cada plan identifica cómo hacer seguimiento de la respuesta de los medios de
comunicación.
• Los planes contienen un comunicado tipo para enviar a los medios de comunica-
ción.
• Los planes contienen directrices para crear conciencia a través de los medios de
comunicación.
• Cada plan identifica una ubicación preferida desde la que se gestionará el inciden-
te.
• Cada plan identifica una ubicación alternativa en caso de que no se pueda acceder
a la ubicación preferida para la gestión de incidente.
• Cada ubicación de gestión de incidentes dispone de el acceso a los recursos nece-
sarios para poner en marcha el plan de incidentes.
• Cada ubicación de gestión de incidentes dispone de medios de comunicación efec-
tivos, tanto principales como alternativos
• Cada ubicación de gestión de incidentes dispone de instalaciones para acceder y
compartir información, incluido el seguimiento de los medios de comunicación.
• Cada plan es conciso y asimilado por todos sus usuarios.
• Cada plan es práctico, está orientado a la acción y excluye toda la información que
no será exigida durante un incidente.
• Cada plan es rápidamente accesible para todos sus posibles usuarios.
• Cada plan se considera completo desde el punto de recuperación hasta el reinicio
de las operaciones normales.
• Cada plan se considera completo y documenta todos los componentes requeridos
para poner en marcha de forma fiable cada una de las estrategias.
• Cada plan identifica su principal responsable.
10
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores
• Cada plan cuenta con el apoyo de la alta dirección e incluye un responsable con-
creto directo.
• Cada plan identifica a aquellos responsables de su revisión, mantenimiento y di-
fusión autorizada.
• Cada plan cuenta con un presupuesto adecuado para su desarrollo y mantenimien-
to.
• Cada plan cumple con todas las obligaciones legales y estatutarias.
• Cada plan describe con claridad su relación con todos los demás planes o docu-
mentos relevantes.
• Cada plan y su documentación asociada están actualizados y reflejan las necesida-
des de la organización.
• Cada plan está sujeto a un control sistemático de su versión y distribución.
• Cada plan está ratificado por la alta dirección.
13.4. Resumen del tema
Planes de respuesta por actividad e indicadores:
Los planes de respuesta por cada actividad y a nivel operativo, especifican la respuesta al
incidente desde cada departamento o unidad de negocio según sea relevante como:
• Procedimientos para ayudar a un equipo de respuesta a incidentes.
• Una respuesta de recursos humanos a problemas de necesidades básicas.
• Un plan para reiniciar actividades en un plazo predeterminado dentro de un de-
partamento.
• Una respuesta logística del departamento de TI a la pérdida y subsiguiente recu-
peración de los servicios de TI para el negocio.
En base a los procesos de negocio y necesidades particulares se pueden determinar si los
planes operativos solo se ocupan de una actividad concreta o varias actividades dentro de
un área más amplia de un departamento.
Se deben obtener planes operativos de respuesta documentados para cada actividad o
departamento junto a los criterios para que las unidades de negocio deriven asuntos rele-
vantes al Equipo de Continuidad de Negocio mediante una definición clara de las funcio-
nes de GCN dentro del departamento.
11
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 13. Plan de respuesta por actividad e indicadores

Indicadores clave de los planes:

• Designar a un responsable para el desarrollo general de los planes.

• Designar a un representante dentro de cada unidad para desarrollar su propio plan.

• Definir el objetivo y alcance de los planes.

• Determinar las estrategias generales de GCN en las que se basa el plan.

• Decidir la estructura, formato, componentes y contenido de los planes.

• Desarrollar un esquema general a modo de plantillas de los planes y que facilite la

estandarización de la documentación, aunque debe permitir posibles variaciones
según necesidad.

• Asegurar la nominación de responsables de las funciones del plan en las unidades

de negocio.

• Gestionar y supervisar el desarrollo de planes en las unidades de negocio.

• Desarrollar y hacer circular borradores para consulta, revisión y mejora, tanto den-
tro como fuera del departamento si fuera necesario.

• Validar el plan a través de un test en la unidad de negocio.

• Consolidar los planes para las unidades de negocio y revisarlos para comprobar
su coherencia.
CEUPE
Centro Europeo de Postgrado
• Documentar las conexiones con el Plan de Continuidad de Negocio y entre los
planes para las unidades. Web
www.ceupe.com
• Llevar a cabo un análisis de las necesidades de recursos de todos los planes para
E-mail
determinar las necesidades de recursos que apoyarán las funciones. info@ceupe.com

Dato importante

Los planes de respuesta por cada actividad y a nivel operativo, especifican la res-
puesta al incidente desde cada departamento o unidad de negocio según sea rele-
vante .

12