Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 //Escenario
Escenario27
Lectura fundamental
Fundamental
Resiliencia
Etapas de un
organizacional
plan de comunicación
estratégica
Contenido
1 Resiliencia de las organizaciones
2 Continuidad de negocio
Palabras clave: gestión de continuidad de negocio, resiliencia, análisis de impacto al negocio, plan de continuidad de
negocio, disponibilidad.
1. Resiliencia de las organizaciones
Se da inicio a esta unidad hablando de resiliencia, la se entiende en física como la capacidad de un
cuerpo de volver a un estado inicial luego de ser sometido a un estímulo o fuerza.
Usualmente dicho concepto iba asociado a un resorte, pues bien, antes de hablar de continuidad de
negocio se debe abordar la resiliencia, pero con un enfoque más estricto hacia las organizaciones.
De acuerdo con el Disaster Recovery Institute International (DRI), resiliencia es la “capacidad de
una organización para mantener sus funciones y su estructura críticas ante cualquier cambio interno
o externo y regresar a un nivel aceptable de rendimiento en un periodo mínimo después de una
interrupción” (DRI, 2018). En otras palabras, lo anterior plantea qué tan preparada se encuentra una
organización para enfrentar eventos que afecten la continuidad de sus operaciones y su capacidad
para regresar a la normalidad luego de reestablecer un servicio. Aunque parezca una capacidad o
actividad simple, realmente no lo es, muestra de ello son las organizaciones como las que enfrentaron
pérdidas de personal, información y tecnología con los atentados de las torres gemelas en Nueva York
en el 20011 . Teniendo el primer y más importante concepto de continuidad de negocio, se puede
proceder a revisar elementos que hacen parte de la continuidad de negocio.
2. Continuidad de negocio
La continuidad de negocio aborda procesos y procedimientos que una organización pone en práctica
para asegurar las funciones esenciales que deben continuar durante y después de un desastre. La
continuidad de negocio previene la interrupción de servicios conocidos como de misión crítica.
Bajo las definiciones presentadas por el DRI, la continuidad de negocio es explicada como la
“Capacidad de una organización para continuar con la entrega de sus productos o servicios después
de una interrupción a un nivel predefinido aceptable.” Por su parte, la gestión de la continuidad de
negocio hace referencia a un proceso que identifica las amenazas potenciales a una organización y los
impactos a las operaciones del negocio que esas amenazas podrían causar si se llegaran a materializar.
1 Una lectura recomendada para ampliar la visión posterior al incidente del 11 de septiembre desde la perspectiva del gobierno de los Estados Unidos
está disponible en https://www.sec.gov/divisions/marketreg/lessonslearned.htm
POLITÉCNICO GRANCOLOMBIANO 2
Como aspectos claves de la continuidad de negocio, se tienen:
• Identificar las actividades y recursos requeridos para entregar dichos productos y servicios
• Buscar que esas medidas puedan ser efectivas en todas las circunstancias
Para alcanzar los aspectos antes mencionados es necesario desarrollar unas fases o grupo de
actividades que se ilustran en el siguiente diagrama:
01 02
Identificación de necesidades Identificación de procesos
de partes interesadas y actividades del negocio
05 Definición e implementación 06
de estrategias de continuidad Desarrollo de pruebas y
• En esta fase se realiza la simulacros al plan de continuidad
documentación del plan de
continuidad a partir de los
documentos propios de este
07
Mejoramiento continuo sobre
planes y estrategias definidas
POLITÉCNICO GRANCOLOMBIANO 3
2.1. Identificación de necesidades de partes interesadas
Es necesario, en primera instancia, identificar cuáles son las necesidades de la organización frente
a continuidad de negocio. Estas necesidades pueden surgir por temas regulatorios propios de un
sector, como por ejemplo el sector financiero o salud, así mismo puede originarse por legislación,
requerimientos contractuales, decisiones estratégicas o, incluso, por la búsqueda de una ventaja
competitiva frente a otros jugadores en el mismo mercado, como suele ocurrir con servicios
tecnológicos en la actualidad. Teniendo claridad respecto a necesidades, se puede proceder
a identificar diversos factores en la organización que aporten a alcanzar estas necesidades o
requerimientos y cumplir a las partes interesadas.
Como ejemplo de lo anterior, se puede tomar una organización que debe dar cumplimiento a una
regulación establecida por un ente de control que se exige que se cuente con planes de continuidad para
servicios críticos, debido al impacto que generan para clientes del servicio. La identificación previa de
dichos requerimientos es una necesidad de una parte interesada y aquí aplica lo que se mencionaba:
saber quién y qué requiere para poder dar cumplimiento o solventar ese requerimiento o necesidad.
Tecnolo
gía
ructura
t
Infraes
Continuidad
de negocio
os
Proces
Persona
s
POLITÉCNICO GRANCOLOMBIANO 4
2.2. Identificación de procesos y actividades del negocio
Estos insumos permitirán establecer una hoja de ruta para determinar de forma inicial una interacción
entre procesos, dependencia, entradas y salidas de estos, una primera identificación de cargos y
personas requeridas, tecnologías empleadas y espacios de trabajos o infraestructura física necesarios.
A través de la ejecución del análisis de impacto al negocio (BIA, Business Impact Analysis), es
posible identificar cuáles procesos y actividades son las más críticas dentro de una organización,
ya sea por su efecto sobre los objetivos de la organización, por su trascendencia a nivel operativo o
por la interdependencia que genera con otros procesos. Así mismo, las actividades del BIA pueden
determinar los costos de no ser capaces de continuar las operaciones de la mano con la identificación
de los procesos y áreas críticas del negocio.
En el análisis BIA también se encuentran un conjunto de elementos que tienen trascendencia para la
continuidad de negocio:
• Recovery Time Objective (RTO): Tiempo objetivo fijado para la reanudación de la entrega de un
producto, servicio o actividad después de un incidente.
POLITÉCNICO GRANCOLOMBIANO 5
• Recovery Point Objective (RPO): El objetivo fijado para el estado y la disponibilidad de los
datos (electrónicos y en papel) al inicio de un proceso de recuperación. Por ejemplo, una
entidad puede perder máximo 6 horas de su información diaria para procesos críticos soportados
por el aplicativo CRM para gestión de clientes, por consiguiente el RPO es de seis horas.
El proceso de análisis de riesgos está orientado a trabajar sobre aquellos procesos y actividades que se
identificaron como críticos o trascendentales en el análisis BIA. Por medio de una metodología de gestión
de riesgos orientados a continuidad, se plantea la identificación de amenazas y factores que pueden afectar
estos procesos críticos. En esta actividad también se busca identificar cuáles son los escenarios más
catastróficos o difíciles que pueden llegar a generar la interrupción del servicio en la organización.
Una vez determinados los riesgos, se procede a valorarlos, establecer mediciones y las bases de
tratamiento a estos con el fin de reducir el impacto o la probabilidad de ocurrencia. La integración de
todos estos planes de tratamiento será lo que se desarrolle en la siguiente fase, la de construcción de
estrategias de continuidad de negocio.
Las estrategias de recuperación definen planes en compañía del negocio con el fin de determinar
tratamientos a posibles materializaciones de los riesgos identificados. Dentro de estas estrategias
se tienen en cuenta los peores escenarios a los que se puede enfrentar la organización y para los
cuales se debe establecer planes. Es importante mencionar que esto hace referencia a estrategias
tecnológicas, de personal, de proveedores, etc.
POLITÉCNICO GRANCOLOMBIANO 6
Por otra parte, el desarrollo del plan de continuidad de negocio consiste en la generación de la
documentación de los planes y estrategias para mantener y establecer funciones críticas del negocio,
así como sus procesos. En esta fase es necesario incluir los procedimientos a ejecutar de acuerdo con
las prioridades establecidas en el análisis BIA.
Los ejercicios y pruebas a los planes permiten validar la efectividad de los mismos, así como revisar
posibles errores. En este punto se puede hablar de simulaciones progresivas al plan de continuidad,
por medio de ejercicios parciales y simulacros completos.
Pruebas de escritorio
• Consiste en la lectura de los diferentes procedimientos,
incluidos en los diferentes planes.
• Se realiza un ejercicio en papel de un escenario de desastre el
cual se realizará en un salón de conferencia. Este tipo de prueba
no tiene un gran nivel de planeación ni de gastos.
Pruebas componentes
• Consiste en Ia ejecución en papel en un escenario parcial de
interrupción. Se debe identificar un escenario de interrupción que
involucre tanto la introducción, el gobierno y los procedimientos
específicos del plan de continuidad de negocio y sus componentes.
POLITÉCNICO GRANCOLOMBIANO 7
Para el éxito de las pruebas, el entrenamiento es vital, en la medida que se preparen a los empleados
para conocer sus planes de continuidad, así como sus roles y responsabilidades dentro dichos planes.
Esto es crear una conciencia en continuidad del negocio.
• Definición de responsabilidades para las personas dentro del sistema de gestión, así como sus
competencias y requerimientos de formación y educación.
POLITÉCNICO GRANCOLOMBIANO 8
• Asignación de recursos en términos de tiempo, recurso humano y dinero para la operación del
sistema de gestión y tratamiento de riesgos identificados.
• Revisión periódica de los resultados y progreso del sistema de gestión por parte de la dirección.
Es importante aclarar que la continuidad de negocio debe interactuar dentro de las organizaciones
con otros dos importantes grupos. El primero de ellos hace referencia a la gestión de emergencias,
visto como la primera respuesta ante un incidente o desastre que busca preservar vidas. El
segundo grupo es la gestión de crisis, generalmente liderada por la dirección en conjunto con áreas
responsables de comunicación. La adecuada interacción entre estos grupos permite enfrentar una
situación de desastre y proteger vidas como primera medida y posteriormente manejar los medios
y comunicaciones hacia el exterior para gestionar el posible riesgo reputacional o de imagen y
finalmente la continuidad para continuar adelante con las operaciones y procesos vitales del negocio.
• Activar el plan de continuidad de negocio (en cabeza del gerente, presidente o su suplente en la
ausencia del principal) en caso de acontecimientos de situaciones que afecten las operaciones y
actividades la organización.
• Realizar la revisión y aprobación del plan de pruebas para identificar la idoneidad de las
estrategias de continuidad seleccionadas y determinar el avance y funcionamiento de estas.
• Revisar de forma anual, o si es requerido antes, el análisis de impacto al negocio para evaluar si
han cambiado las prioridades o criticidad de procesos y actividades del negocio.
POLITÉCNICO GRANCOLOMBIANO 9
• Participar activamente en la ejecución de pruebas y simulacros de acuerdo con lo
establecido en el plan de pruebas y roles o actividades asociadas para los cargos con
responsabilidades en estos.
Por otra parte, el comité de crisis busca establecer un responsable de comunicación ante los medios,
partes interesadas y otros actores que se pueden llegar a ver afectados o les genera algún interés la
interrupción del servicio. La función fundamental es evitar desinformación y dar confianza en que la
situación está controlada. La gestión suele estar definida a través de un manual o procedimiento de
manejo de crisis y debe regirse a lo largo del tiempo mientras se regresa a la normalidad operativa.
Retomando el tema de guías y estándares, no sólo es posible trabajar con ISO 22301, existen otros
documentos tales como los enunciados a continuación:
POLITÉCNICO GRANCOLOMBIANO 10
Como recomendación para desarrollo de competencias individuales en temas asociados con la
continuidad de negocio, se puede revisar la Guía de Buenas Prácticas, que es actualizado anualmente
por el DRI.
Una idea final en cuanto a continuidad, es recordar que lo que busca no es recuperar todo el negocio
y contar con contingencias para todo, sino contar con planes y estrategias que permitan mantener la
operación de la organización activa en sus procesos más críticos y vitales, sin los cuales corre el riesgo
de sufrir daños irreparables la organización.
POLITÉCNICO GRANCOLOMBIANO 11
Referencias
DRI (2018). Glosario Internacional para Resiliencia. Recuperado de https://drii.org/resources/
glossary?lang=SP.
Norma Internacional ISO/IEC 22301 (2012). Societal security - Business continuity management
systems - Requirements.
POLITÉCNICO GRANCOLOMBIANO 12
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 13