Unidad 4

1 //Escenario
Escenario27
Lectura fundamental
Fundamental

Resiliencia
Etapas de un
organizacional
plan de comunicación
estratégica

Contenido
1 Resiliencia de las organizaciones

2 Continuidad de negocio

Palabras clave: gestión de continuidad de negocio, resiliencia, análisis de impacto al negocio, plan de continuidad de
negocio, disponibilidad.
1. Resiliencia de las organizaciones
Se da inicio a esta unidad hablando de resiliencia, la se entiende en física como la capacidad de un
cuerpo de volver a un estado inicial luego de ser sometido a un estímulo o fuerza.

Usualmente dicho concepto iba asociado a un resorte, pues bien, antes de hablar de continuidad de
negocio se debe abordar la resiliencia, pero con un enfoque más estricto hacia las organizaciones.
De acuerdo con el Disaster Recovery Institute International (DRI), resiliencia es la “capacidad de
una organización para mantener sus funciones y su estructura críticas ante cualquier cambio interno
o externo y regresar a un nivel aceptable de rendimiento en un periodo mínimo después de una
interrupción” (DRI, 2018). En otras palabras, lo anterior plantea qué tan preparada se encuentra una
organización para enfrentar eventos que afecten la continuidad de sus operaciones y su capacidad
para regresar a la normalidad luego de reestablecer un servicio. Aunque parezca una capacidad o
actividad simple, realmente no lo es, muestra de ello son las organizaciones como las que enfrentaron
pérdidas de personal, información y tecnología con los atentados de las torres gemelas en Nueva York
en el 20011 . Teniendo el primer y más importante concepto de continuidad de negocio, se puede
proceder a revisar elementos que hacen parte de la continuidad de negocio.

2. Continuidad de negocio
La continuidad de negocio aborda procesos y procedimientos que una organización pone en práctica
para asegurar las funciones esenciales que deben continuar durante y después de un desastre. La
continuidad de negocio previene la interrupción de servicios conocidos como de misión crítica.

Bajo las definiciones presentadas por el DRI, la continuidad de negocio es explicada como la
“Capacidad de una organización para continuar con la entrega de sus productos o servicios después
de una interrupción a un nivel predefinido aceptable.” Por su parte, la gestión de la continuidad de
negocio hace referencia a un proceso que identifica las amenazas potenciales a una organización y los
impactos a las operaciones del negocio que esas amenazas podrían causar si se llegaran a materializar.

Los planes de continuidad de negocio plantean un conjunto de documentos con procedimientos

e información desarrollada, compilada y mantenida a disposición con el fin de utilizarlo durante un
incidente en la capacitación la organización para continuar con la entrega de sus productos y servicios
críticos a un nivel aceptable predefinido.

1 Una lectura recomendada para ampliar la visión posterior al incidente del 11 de septiembre desde la perspectiva del gobierno de los Estados Unidos
está disponible en https://www.sec.gov/divisions/marketreg/lessonslearned.htm

POLITÉCNICO GRANCOLOMBIANO 2
Como aspectos claves de la continuidad de negocio, se tienen:

• Identificar los productos y servicios claves de la organización

• Identificar las actividades y recursos requeridos para entregar dichos productos y servicios

• Evaluar las amenazas de estas actividades y sus dependencias

• Colocar medidas en marcha para reanudar estas actividades después de un incidente

• Buscar que esas medidas puedan ser efectivas en todas las circunstancias

Para alcanzar los aspectos antes mencionados es necesario desarrollar unas fases o grupo de
actividades que se ilustran en el siguiente diagrama:

01 02
Identificación de necesidades Identificación de procesos
de partes interesadas y actividades del negocio

04 03 Ejecución de análisis BIA

Análisis de riesgos de • Determinar actividades
continuidad de negocio /procesos críticos
• Determinar RTO/RPO

05 Definición e implementación 06
de estrategias de continuidad Desarrollo de pruebas y
• En esta fase se realiza la simulacros al plan de continuidad
documentación del plan de
continuidad a partir de los
documentos propios de este
07
Mejoramiento continuo sobre
planes y estrategias definidas

Figura 1. Actividades o fases de la implementación de planes de continuidad de negocio

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 3
 2.1. Identificación de necesidades de partes interesadas

Es necesario, en primera instancia, identificar cuáles son las necesidades de la organización frente
a continuidad de negocio. Estas necesidades pueden surgir por temas regulatorios propios de un
sector, como por ejemplo el sector financiero o salud, así mismo puede originarse por legislación,
requerimientos contractuales, decisiones estratégicas o, incluso, por la búsqueda de una ventaja
competitiva frente a otros jugadores en el mismo mercado, como suele ocurrir con servicios
tecnológicos en la actualidad. Teniendo claridad respecto a necesidades, se puede proceder
a identificar diversos factores en la organización que aporten a alcanzar estas necesidades o
requerimientos y cumplir a las partes interesadas.

Como ejemplo de lo anterior, se puede tomar una organización que debe dar cumplimiento a una
regulación establecida por un ente de control que se exige que se cuente con planes de continuidad para
servicios críticos, debido al impacto que generan para clientes del servicio. La identificación previa de
dichos requerimientos es una necesidad de una parte interesada y aquí aplica lo que se mencionaba:
saber quién y qué requiere para poder dar cumplimiento o solventar ese requerimiento o necesidad.

Tecnolo
gía
ructura
t
Infraes

Continuidad
de negocio
os
Proces

Persona
s

Figura 2. Componentes vitales de la continuidad de negocio

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 4
 2.2. Identificación de procesos y actividades del negocio

Para comprender cómo es el funcionamiento de una organización, y antes de planificar cualquier

acción, es mandatorio basarse en documentación de procesos, procedimientos, manuales, entre
otros, con que cuente la organización respecto a su quehacer diario.

Estos insumos permitirán establecer una hoja de ruta para determinar de forma inicial una interacción
entre procesos, dependencia, entradas y salidas de estos, una primera identificación de cargos y
personas requeridas, tecnologías empleadas y espacios de trabajos o infraestructura física necesarios.

2.3. Ejecución de análisis BIA

A través de la ejecución del análisis de impacto al negocio (BIA, Business Impact Analysis), es
posible identificar cuáles procesos y actividades son las más críticas dentro de una organización,
ya sea por su efecto sobre los objetivos de la organización, por su trascendencia a nivel operativo o
por la interdependencia que genera con otros procesos. Así mismo, las actividades del BIA pueden
determinar los costos de no ser capaces de continuar las operaciones de la mano con la identificación
de los procesos y áreas críticas del negocio.

En el análisis BIA también se encuentran un conjunto de elementos que tienen trascendencia para la
continuidad de negocio:

• Recovery Time Objective (RTO): Tiempo objetivo fijado para la reanudación de la entrega de un
producto, servicio o actividad después de un incidente.

• Maximum Toleable Period of Disruption (MTPI): El Período Máximo Tolerable de

Interrupción hace referencia al tiempo máximo (viable) que soportaría la organización bajo un
esquema de interrupción del servicio, esto ya sea por existencia de acuerdos contractuales
del mercado, responsabilidades, entre otros. En otras palabras, el periodo máximo que puede
soportar sin operar, antes de tener consecuencias catastróficas (Norma Internacional ISO/
IEC 22301, 2012).

• Minimum Business Continuity Objective (MBCO): Nivel de servicio mínimo aceptado en la

organización para lograr los objetivos mínimos durante la interrupción. Por ejemplo, cuando
una organización que produce 100 prendas de vestir al día, acepta como MBCO la producción
diaria de 15 prendas, con lo cual se cumplen los niveles mínimos de operación durante una
interrupción del servicio (Norma Internacional ISO/IEC 22301, 2012).

POLITÉCNICO GRANCOLOMBIANO 5
 • Recovery Point Objective (RPO): El objetivo fijado para el estado y la disponibilidad de los
datos (electrónicos y en papel) al inicio de un proceso de recuperación. Por ejemplo, una
entidad puede perder máximo 6 horas de su información diaria para procesos críticos soportados
por el aplicativo CRM para gestión de clientes, por consiguiente el RPO es de seis horas.

2.4. Análisis de riesgos de continuidad de negocio

El proceso de análisis de riesgos está orientado a trabajar sobre aquellos procesos y actividades que se
identificaron como críticos o trascendentales en el análisis BIA. Por medio de una metodología de gestión
de riesgos orientados a continuidad, se plantea la identificación de amenazas y factores que pueden afectar
estos procesos críticos. En esta actividad también se busca identificar cuáles son los escenarios más
catastróficos o difíciles que pueden llegar a generar la interrupción del servicio en la organización.

Una vez determinados los riesgos, se procede a valorarlos, establecer mediciones y las bases de
tratamiento a estos con el fin de reducir el impacto o la probabilidad de ocurrencia. La integración de
todos estos planes de tratamiento será lo que se desarrolle en la siguiente fase, la de construcción de
estrategias de continuidad de negocio.

Algunas organizaciones emplean sus metodologías existentes de riesgos para seguridad de la

información, riesgo operativo u otros para la medición a nivel de continuidad. En este particular
la recomendación es considerar que la continuidad de negocio no solo se ve afectada por temas
económicos, sino también por temas legales (incumplimiento con la legislación, regulación o
contratos establecidos) y, por supuesto, por el factor humano, componente fundamental para la
continuidad de las organizaciones. También se puede afectar la reputación de la organización asociado
a los factores mencionados anteriormente. Basado en todo lo mencionado, una metodología común
es viable siempre y cuando se controlen todos los posibles impactos que puede sufrir la organización.

2.5. Definición e implementación de estrategias de continuidad

Las estrategias de recuperación definen planes en compañía del negocio con el fin de determinar
tratamientos a posibles materializaciones de los riesgos identificados. Dentro de estas estrategias
se tienen en cuenta los peores escenarios a los que se puede enfrentar la organización y para los
cuales se debe establecer planes. Es importante mencionar que esto hace referencia a estrategias
tecnológicas, de personal, de proveedores, etc.

POLITÉCNICO GRANCOLOMBIANO 6
Por otra parte, el desarrollo del plan de continuidad de negocio consiste en la generación de la
documentación de los planes y estrategias para mantener y establecer funciones críticas del negocio,
así como sus procesos. En esta fase es necesario incluir los procedimientos a ejecutar de acuerdo con
las prioridades establecidas en el análisis BIA.

2.6. Desarrollo de pruebas y simulacros al plan de continuidad

Los ejercicios y pruebas a los planes permiten validar la efectividad de los mismos, así como revisar
posibles errores. En este punto se puede hablar de simulaciones progresivas al plan de continuidad,
por medio de ejercicios parciales y simulacros completos.

Estos ejercicios y pruebas se oredenan como se expone en el siguiente gráfico:

Pruebas de escritorio
• Consiste en la lectura de los diferentes procedimientos,
incluidos en los diferentes planes.
• Se realiza un ejercicio en papel de un escenario de desastre el
cual se realizará en un salón de conferencia. Este tipo de prueba
no tiene un gran nivel de planeación ni de gastos.

Pruebas componentes
• Consiste en Ia ejecución en papel en un escenario parcial de
interrupción. Se debe identificar un escenario de interrupción que
involucre tanto la introducción, el gobierno y los procedimientos
específicos del plan de continuidad de negocio y sus componentes.

Pruebas integradas o simulacros

• Consiste en la ejecución de un escenario en vivo. Es importante
considerar que las primeras pruebas deben ser en ambientes
controlados.

Figura 3. Tipos de pruebas y ejercicios a plan de continuidad

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 7
Para el éxito de las pruebas, el entrenamiento es vital, en la medida que se preparen a los empleados
para conocer sus planes de continuidad, así como sus roles y responsabilidades dentro dichos planes.
Esto es crear una conciencia en continuidad del negocio.

2.7. Mejoramiento continuo sobre planes y estrategias definidas

Finalmente, el mantenimiento y mejoramiento engloban todas las acciones de corrección, adición,

adecuación de los planes y actividades definidas con el objetivo fundamental de mejorar y lograr así
que el plan de continuidad sea beneficioso para el negocio.

El mejoramiento continuo no solo proviene de realizar prueba a los planes y estrategias

documentadas, sino también a través de la revisión periódica de riesgos, se realizan chequeos y
auditorías que permitan actualizar el plan y la documentación asociada.

Para estructurar su gestión de la continuidad, algunas organizaciones deciden emplear la metodología

de ISO, basándose en el estándar para la implementación de continuidad de negocio ISO
22301:2012. Así se establecen los procesos, principios y terminologías de un sistema de gestión de
continuidad de negocio (SGCN).

Este estándar se fundamenta en la identificación de riesgos y el establecimiento de planes de

respuesta y recuperación. Como todo estándar ISO, emplea el ciclo PHVA para gestión de la
mejora continua.

Dentro de un sistema de gestión de continuidad de negocio deben incluirse los siguientes

componentes como requisitos fundamentales:

• Política o documento ejecutivo de continuidad de negocio.

• Definición de las partes interesadas y sus expectativas del sistema de gestión.

• Definición de responsabilidades para las personas dentro del sistema de gestión, así como sus
competencias y requerimientos de formación y educación.

• Definición de procesos de gestión para la continuidad de negocio.

• Procedimientos y documentación específica relacionada a actividades del sistema de gestión.

• Análisis de riesgos, análisis BIA y definición de estrategias de continuidad.

POLITÉCNICO GRANCOLOMBIANO 8
 • Asignación de recursos en términos de tiempo, recurso humano y dinero para la operación del
sistema de gestión y tratamiento de riesgos identificados.

• Revisión periódica de los resultados y progreso del sistema de gestión por parte de la dirección.

Es importante aclarar que la continuidad de negocio debe interactuar dentro de las organizaciones
con otros dos importantes grupos. El primero de ellos hace referencia a la gestión de emergencias,
visto como la primera respuesta ante un incidente o desastre que busca preservar vidas. El
segundo grupo es la gestión de crisis, generalmente liderada por la dirección en conjunto con áreas
responsables de comunicación. La adecuada interacción entre estos grupos permite enfrentar una
situación de desastre y proteger vidas como primera medida y posteriormente manejar los medios
y comunicaciones hacia el exterior para gestionar el posible riesgo reputacional o de imagen y
finalmente la continuidad para continuar adelante con las operaciones y procesos vitales del negocio.

Dentro de los componentes administrativos a tener dentro de la gestión de la continuidad de negocio

se puede hablar de dos grupos para la toma de decisiones respecto a estos temas: el comité de
continuidad de negocio y el comité de crisis o comunicaciones.

El primer comité se puede comprender como un grupo responsable de toma de decisiones

y conformado por personal de alto nivel en la organización, es decir, presidencia, gerentes,
coordinadores de áreas como operaciones, TI, servicio al cliente, talento humano, entre otros que
variarán de acuerdo con la organización y que tendrán entre sus responsabilidades:

• Activar el plan de continuidad de negocio (en cabeza del gerente, presidente o su suplente en la
ausencia del principal) en caso de acontecimientos de situaciones que afecten las operaciones y
actividades la organización.

• Analizar, seleccionar y aprobar las estrategias de continuidad de acuerdo a la inversión,

oportunidad y alcance de estas, para abordar escenarios de fallos y riesgos a los que se enfrente
el negocio.

• Realizar la revisión y aprobación del plan de pruebas para identificar la idoneidad de las
estrategias de continuidad seleccionadas y determinar el avance y funcionamiento de estas.

• Revisar de forma anual, o si es requerido antes, el análisis de impacto al negocio para evaluar si
han cambiado las prioridades o criticidad de procesos y actividades del negocio.

• Revisar de forma anual, o si es requerido antes, los riesgos de continuidad de negocio de la

organización determinando si se presentan nuevos o han cambiado los existentes.

POLITÉCNICO GRANCOLOMBIANO 9
 • Participar activamente en la ejecución de pruebas y simulacros de acuerdo con lo
establecido en el plan de pruebas y roles o actividades asociadas para los cargos con
responsabilidades en estos.

• Definir y realizar seguimiento de recursos (personas, dedicación y presupuesto) necesarios para

el plan de continuidad de negocio de la organización.

• Revisar reportes de continuidad de negocio de carácter interno o a remitir a partes

interesadas.

• Realizar seguimiento al cumplimiento de lo establecido en el plan de continuidad de negocio.

Por otra parte, el comité de crisis busca establecer un responsable de comunicación ante los medios,
partes interesadas y otros actores que se pueden llegar a ver afectados o les genera algún interés la
interrupción del servicio. La función fundamental es evitar desinformación y dar confianza en que la
situación está controlada. La gestión suele estar definida a través de un manual o procedimiento de
manejo de crisis y debe regirse a lo largo del tiempo mientras se regresa a la normalidad operativa.

Retomando el tema de guías y estándares, no sólo es posible trabajar con ISO 22301, existen otros
documentos tales como los enunciados a continuación:

Tabla 1. Guías estándar

Documento / Creador Objetivo

Estándar inglés que en su primera parte maneja
buenas prácticas; en la segunda, la especificación para
BS 25999
implementar un sistema de gestión de continuidad del
negocio.
Prácticas profesionales en Gestión de continuidad del
GPG
negocio del Business Continuity Institute (BCI).
Guía norteamericana para la recuperación de desastres de
NIST SP 800-34
TI.
Estándar norteamericano, para gestión de emergencias y
NFPA 1600
desastres.
Estándar internacional de especificaciones para
ISO 27031
implementar continuidad tecnológica.
Prácticas profesionales en Gestión de Continuidad del
Prácticas del DRII Negocio del Disaster Recovery Institute International
(DRI).

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 10
Como recomendación para desarrollo de competencias individuales en temas asociados con la
continuidad de negocio, se puede revisar la Guía de Buenas Prácticas, que es actualizado anualmente
por el DRI.

Una idea final en cuanto a continuidad, es recordar que lo que busca no es recuperar todo el negocio
y contar con contingencias para todo, sino contar con planes y estrategias que permitan mantener la
operación de la organización activa en sus procesos más críticos y vitales, sin los cuales corre el riesgo
de sufrir daños irreparables la organización.

POLITÉCNICO GRANCOLOMBIANO 11
Referencias
DRI (2018). Glosario Internacional para Resiliencia. Recuperado de https://drii.org/resources/
glossary?lang=SP.

Norma Internacional ISO/IEC 22301 (2012). Societal security - Business continuity management
systems - Requirements.

POLITÉCNICO GRANCOLOMBIANO 12
 INFORMACIÓN TÉCNICA

Módulo: Gestión de la Seguridad

Unidad 4: Continuidad de negocio y recuperación de
desastres
Escenario 7: Continuidad de negocio y resiliencia
organizacional

Autor: Jeffrey Steve Borbón Sanabria

Asesor Pedagógico: Juan Felipe Marciales Mejía

Diseñador Gráfico: Henderson Jhoan Colmenares López
Asistente: Laura Andrea Delgado Forero

Este material pertenece al Politécnico Grancolombiano.

Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 13