Módulo

Sistemas de
Continuidad de
Negocio
Unidad 12
Plan de continuidad de
negocio
Módulo
Sistemas de
Continuidad de
Negocio
Unidad 12
Plan de continuidad de
negocio
12. PLAN DE CONTINUIDAD DE NEGOCIO ............................................................. 04
12.1. PLAN DE CONTINUIDAD DE NEGOCIO.......................................................... 04
12.2. PROCESO...................................................................................................... 05
12.3. PLANES DE ACCIÓN...................................................................................... 07
12.4. REQUISITOS DEL PLAN DE CONTINUIDAD DE NEGOCIO................................ 09
12.4.1. MANTENIMIENTO.................................................................................. 09
12.4.2. PRUEBA................................................................................................. 09
12.4.3. CAPACITACIÓN..................................................................................... 10
12.4.4. EQUIPO DE RECUPERACIÓN DE DESASTRES........................................... 10
12.4.5. RECURSOS NECESARIOS PARA LA RECUPERACIÓN................................ 11
12.4.6. AUTORIDAD PARA INVOCAR Y TERMINAR EL PLAN DE CONTINUIDAD
DE NEGOCIO..................................................................................................... 11
12.4.7. PREPARACIÓN ANTE EL DESASTRE: SE TENDRÁ EN CUENTA.................. 11
12.5. RESUMEN DEL TEMA..................................................................................... 12
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio
12. Plan de continuidad de negocio
“El Plan de Continuidad de Negocio agrupa la respuesta de toda la
organización frente a un incidente y facilita la recuperación de las
actividades.”
12.1. Plan de continuidad de negocio
Los componentes y contenidos de un Plan de Continuidad de Negocio varían según la or-
ganización y presentan diferentes grados de detalle basados en la cultura en continuidad
de negocio de la organización y de la complejidad técnica de las soluciones propuestas.
La redacción del Plan de Continuidad de Negocio (PCN) raramente será efectiva si no
se han instaurado previamente los elementos clave de la estrategia de recuperación de
actividades (o su planificación está muy avanzada)
El propósito de un PCN es ofrecer un marco de acción y procesos documentados para que
la organización pueda reiniciar todos sus procesos de negocio dentro de sus Objetivos de
Tiempos de Recuperación.
De forma similar a al enfoque del PGI, el PCN debe estar orientado a aspectos prácticos
relacionados con acciones y, en consecuencia, debe ser rápido de consultar y no debe in-
cluir documentación innecesaria en los momentos de gestión de un incidente.
El PCN debe contener y documentar los supuestos de gravedad máxima del incidente en
términos de amplitud, duración o impacto sobre el personal.
Si en algún momento se sobrepasaran estos supuestos dentro de estos parámetros se
debe transferir la responsabilidad al Equipo de Gestión de Incidentes, debido a que es
prácticamente inevitable que la solución no esté relacionada con una decisión estratégica
previa.
04
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio
12.2. Proceso
Entre los pasos clave para desarrollar un PCN se pueden identificar las siguientes consi-
deraciones:
• Asignación y nombramiento de un responsable del Plan de Continuidad de Nego-
cio (o de cada plan en varias ubicaciones)
• Establecer los objetivos y alcance del plan en referencia a la estrategia de la orga-
nización y la Política de GCN.
• Establecer un proceso de desarrollo y programa del PCN.
• Creación de un equipo de planificación para desarrollar el PCN.
• Decidir la estructura, formato, componentes y contenido del PCN.
• Determinar las estrategias que describirá el plan y qué es lo que se abordará en
otros planes.
• Determinar circunstancias que superan el alcance del PCN.
• Recopilar información para elaborar el PCN.
• Desarrollar y hacer circular un borrador del PCN para obtener mejoras y correccio-
nes en base a las consultas y las revisiones.
• Acordar y validar el PCN mediante un test más o menos práctico.
• Acordar un programa constante de ejercicios para el mantenimiento y actualiza-
ción del PCN.
Un Plan de Continuidad de Negocio debe diseñarse en módulos fácilmente distribuibles
en sus diversas secciones a los equipos y en base a la información que necesiten saber.
La impresión en papel y en distintos colores permite un acceso ágil, incluso la impresión
de copias adicionales según necesidad cuando se mantiene en un formato, por ejemplo,
anillado y no encuadernado.
05
CEUPE Módulo. Sistemas de Continuidad de Negocio CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio

El uso de apéndices para recoger aquella información más susceptible de cambiar regu-
larmente (p. ej. detalles de contacto) permite aplicar correcciones para su mantenimiento
de un modo más directa sin necesidad de revisar todo el contenido en cada ocasión.
Por esta razón es preferible que dentro del cuerpo principal del documento figuren las
funciones y no los nombres específicos de quienes las desempeñan, referenciando estas
asignaciones en la parte de los anexos precisamente.
Del mismo modo que en el caso de los PGI, existen muchos recursos de tipo informático
o modelos en formato de plantillas personalizables para desarrollar y mantener un Plan
de Continuidad de Negocio. Pueden servir de ayuda, pero no son esenciales utilizarlos y
hay que prestar atención a que los modelos de referencian se adaptan a las necesidades
localizadas de la organización y no a la inversa.
El uso de recursos ofimáticos habituales como procesadores de textos, hojas de cálculos,
entre otros, tienen la ventaja de no requerir una formación específica en comparación a
otras soluciones, aunque lógicamente podrían resultar insuficientes en alcances de apli-
cación amplios o muy dispersos geográficamente.
Especialmente, los sistemas de gestión de contenidos son una solución habitual por ser
accesibles a todo tipo de presupuestos y disponen de la posibilidad de adaptación a las
necesidades específicas para el mantenimiento e integridad del PCN, entre otras fun-
cionalidades adicionales (programas de prueba, reuniones, registros con documentación
relevantes, etc.)
En cualquier caso y forma de la solución definitiva adoptada, tiene que haber un proceso
de gestión de control y cambios para la producción, actualización y distribución del Plan
de Continuidad de Negocio y que debe contemplar formalmente al responsable designa-
do (persona o grupo) para su documentación y mantenimiento adecuado.
El PCN debe especificar las funciones del equipo y personas específicas designadas para
las actividades junto a los sustitutos identificados para cada una de las funciones.
Dentro de las cuestiones relevantes del PCN se tienen que especificar las circunstancias
en las que el equipo se debe activar, así como, determinar quiénes son las personas con
autoridad suficiente para la activación y prestando atención a la flexibilidad de acción se-
gún las circunstancias (p. ej. en situaciones de incomunicación total o parcial) animando
a la toma de decisiones en caso de dudas y siempre que exista el riesgo de que la inacción
provoque situaciones de descontrol difíciles de reconducir.
Se deben definir los canales de activación del equipo y de modo que la toma de decisio-
nes se realice en el menor tiempo posible y el equipo debe haber acordado previamente
varios posibles lugares de reunión con prioridad a los que contengan el mayor número de
recursos necesarios.
Nada más activado, el primer responsable informado deberá identificar el lugar más ade-
cuado para las reuniones y un lugar alternativo.
12.3. Planes de acción
Dentro de los procedimientos destinados al equipo de gestión del PCN se deben detallar
aspectos relacionados con el modo de:
• Responder a la invocación.
• Tomar de decisiones.
• Movilizar recursos.
• Iniciar la recuperación de actividad.
• Recibir información de otros equipos.
• Informar del estado al equipo Oro o EGI.
Algunos de los recursos necesarios que deben estar disponibles:

Entre las responsabilidades del equipo y actividades de las personas designadas en el • Personal.
PCN más habituales se encuentran:
• Instalaciones.
• Servir de enlace con los servicios de emergencia.
• Suministros.
• Recibir o buscar la información de los equipos de respuesta.
• Tecnología, comunicaciones y datos.
• Reportar la información al Equipo de Gestión de Incidentes.
• Seguridad.
• Activar a posibles proveedores de servicios de rescate o recuperación.
• Transporte y logística.
• Asignar los recursos disponibles a los equipos de recuperación.

06 07
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio
• Necesidades básicas.
• Dinero para pagos de emergencia.
• Necesidades de recursos para recuperación de cada actividad.
• Información de contacto para acceder a recursos.
• Información de clientes y detalles de contacto.
• Documentos legales (contratos y pólizas de seguro)
• Acuerdos de servicio.
• Formularios y anexos.
• Listas de verificación de ayuda a la recuperación y otras tareas.
Los resultados del proceso de planificación de Gestión de Continuidad de Negocio deben
estar ratificados por la dirección ejecutiva y ofrecer un marco en el que pueda operar cada
unidad de negocio aplicando revisiones de la información contenida en el Plan de Con-
tinuidad de Negocio, como por ejemplo los detalles de contacto, y en periodos regulares
establecidos según la rotación del personal y actividades consideradas.
En cualquier caso, la información contenida deberá revisarse al menos anuales y compro-
bada mediante un programa de pruebas, realizándose de manera anticipada en el caso
de que se produzcan otros posibles desencadenantes como cambios significativos en la
tecnología y/o telecomunicaciones, en los procesos, en el personal y/o en un proveedor
clave de soluciones de GCN, entre los más habituales.
Dato importante
Dentro del PCN se tienen que especificar las circunstancias en las que el equipo
se debe activar, así como, determinar quiénes son las personas con autoridad su-
ficiente para la activación y prestando atención a la flexibilidad de acción según
las circunstancias animando a la toma de decisiones en caso de dudas y si existe el
riesgo de que la inacción provoque situaciones de descontrol difíciles de reconducir.
08
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio
12.4. Requisitos del plan de continuidad de negocio
12.4.1. Mantenimiento
Con la finalidad de mantener la efectividad del Plan de Continuidad de Negocio se debe
garantizar que éste se encuentre actualizado en cuanto a la infraestructura que se invo-
lucra y en cuanto a los requerimientos actuales del negocio. Por tanto, procurando la
continuidad de las operaciones, el Plan de Continuidad de Negocio debe ser actualizado
en cualquiera de los casos siguientes:
• Cada vez que cambien los procesos de negocio.
• Cada vez que cambie el personal involucrado en los procesos de negocios.
• Cada vez que cambie el personal involucrado en los procesos de tecnología.
• Cada vez que cambie la infraestructura tecnológica que soporta los procesos de
negocio.
• Al menos una vez al año, como revisión de su vigencia.
12.4.2. Prueba
Los procedimientos descritos en el Plan de Continuidad de Negocio deben ser probados,
con una frecuencia que dependerá del tipo de procedimientos que se manejen. La reco-
mendación consiste en que los procedimientos deberán ser probados en los siguientes
casos:
• Cada vez que ocurra un cambio significativo en el plan y/o en los procedimientos.
• Al menos una vez al año, para asegurar su vigencia.
Las pruebas que se realicen deben llevarse a cabo de forma documentada y oficializada.
Los resultados de las pruebas que se realicen deben ser documentados y conservados de
forma segura. En base a los resultados de las pruebas, se deberá llevar a cabo un plan de
implementación de acciones correctivas al plan para mantener la vigencia del mismo.
09
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio
12.4.3. Capacitación
Es importante que se capacite a todos los involucrados en el Plan de Continuidad de
Negocio, en todo lo referente a los procedimientos que se deben llevar a cabo en caso de
que se presente una contingencia que cause un incidente mayor o un desastre. El personal
que debe ser capacitado es todo aquel que aparece como involucrado en el Plan de Conti-
nuidad de Negocio y en sus procedimientos, independientemente de si pertenece al área
de negocios o al área de tecnología. La capacitación sobre el plan debe llevarse a cabo en
cualquiera de los siguientes casos:
• Cada vez que exista un cambio en el personal involucrado.
• Cada vez que exista un cambio en el Plan de Continuidad de Negocio.
12.4.4. Equipo de Recuperación de Desastres
Para lograr una adecuada respuesta a un desastre, se establece un Equipo de Recupera-
ción de Desastres, integrado por personas relacionadas con la infraestructura, sistemas
de información y con los procesos de la organización.
Los objetivos de este equipo son los siguientes:
• Identificar la magnitud del impacto de un incidente en la infraestructura y siste-
mas de información.
• Definir y dirigir las acciones para responder a un incidente, desde el punto de vista
tecnológico y de infraestructura.
• Dirigir las acciones necesarias para contar y poner en marcha la infraestructura
necesaria para operar en un ambiente de emergencia en caso de así requerirse.
• Dirigir las acciones necesarias para restablecer las condiciones de infraestructura
y sistemas de información requeridos para volver a la operación normal después
de un incidente.
• Durante la fase de operación transitoria, dirigir las actividades necesarias para los
usuarios de los procesos, entre otras: movilización de usuarios a instalaciones al-
ternas, recuperación de información, coordinación con el personal de operación,
etc.
10
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio
• Coordinación con los responsables de comunicación de XXX, para que, en caso
de ser necesario, se dé a los medios de prensa, clientes, y otros la información re-
lacionada al evento que está sucediendo, magnitud del impacto, tiempo esperado
de recuperación, etc.
• Una vez que se recuperan las condiciones normales de la infraestructura, dirigir
las acciones de vuelta a la normalidad desde el punto de vista de los usuarios y
asegurarse de que los procesos operen correctamente, con la información crítica
actualizada.
12.4.5. Recursos necesarios para la recuperación
Como debe quedar reflejado en el Análisis de Impacto al Negocio (AIN), debe estable-
cerse un tiempo de recuperación objetivo (RTO, Recovery Time Objective) y un tiempo
máximo tolerable de interrupción o MTPoD (Maximum Tolerable Period of Disruption)
para cada uno de sus procesos críticos de la organización, así como los recursos necesa-
rios para que puedan desarrollar sus funciones y las estrategias para la recuperación de
dichos recursos.
12.4.6. Autoridad para invocar y terminar el Plan de Continuidad de
Negocio
La invocación y terminación de la vigencia del Plan de Continuidad de Negocio y de las
acciones y situación de emergencia, debe ser declarada por persona/s designadas a tal
efecto.
12.4.7. Preparación ante el desastre: Se tendrá en cuenta
• La seguridad de las personas es la que tiene mayor prioridad, por lo que todas
las acciones deberán estar supeditadas a mantener la integridad y salvaguarda de
cualquier persona que pueda verse afectada por un desastre mayor.
• Durante el transcurso del tiempo hasta llegar al RTO, el Equipo de Recuperación
de Desastres deberá establecer un Punto de Encuentro, dónde se establecerá el
Centro de Comando, para reunirse y evaluar los daños, así como establecer las
estrategias y acciones necesarias.
• Sitio alternativo para trabajar.
11
CEUPE Módulo. Sistemas de Continuidad de Negocio
Centro Europeo de Postgrado Unidad 12. Plan de continuidad de negocio

12.5. Resumen del tema

El Plan de Continuidad de Negocio agrupa la respuesta de toda la organización frente a
un incidente y facilita la recuperación de las actividades.

Aquellas personas que utilicen el plan deben ser capaces de analizar la información de los
equipos de respuesta acerca del impacto del incidente, elegir y desarrollar las estrategias
adecuadas de entre todas las disponibles en el plan, dirigir las unidades de negocio para
la recuperación según las prioridades acordadas y, por último, comunicar los avances al
Equipo de Gestión de Incidentes.

El propósito de un PCN es ofrecer un marco de acción y procesos documentados para que

la organización pueda reiniciar todos sus procesos de negocio dentro de sus Objetivos de
Tiempos de Recuperación.

Del mismo modo que en el caso de los PGI, existen muchos recursos de tipo informático
o modelos en formato de plantillas personalizables para desarrollar y mantener un Plan
de Continuidad de Negocio.

CEUPE
Centro Europeo de Postgrado

Web
www.ceupe.com

E-mail
info@ceupe.com

12