Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso 22313
Iso 22313
española
Enero 2015
Directrices
(ISO 22313:2012)
Sécurité sociétale. Systèmes de management de la continuité d'activité. Lignes directrices (ISO 22313:2012).
CORRESPONDENCIA Esta norma es la versión oficial, en español, de la Norma Europea EN ISO 22313:2014,
que a su vez adopta la Norma Internacional ISO 22313:2012.
ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 196 Protección y
seguridad de los ciudadanos cuya Secretaría desempeña AENOR.
Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 1859:2015
62 Páginas
ICS 03.100.01
Versión en español
Societal security. Business continuity Sécurité sociétale. Systèmes de Sicherheit und Schutz des Gemeinwesens.
management systems. Guidance. management de la continuité d'activité. Aufrechterhaltung der Betriebsfähigkeit.
(ISO 22313:2012) Lignes directrices. Leitlinie.
(ISO 22313:2012) (ISO 22313:2012)
Los miembros de CEN están sometidos al Reglamento Interior de CEN/CENELEC que define las condiciones dentro de
las cuales debe adoptarse, sin modificación, la norma europea como norma nacional. Las correspondientes listas
actualizadas y las referencias bibliográficas relativas a estas normas nacionales pueden obtenerse en el Centro de
Gestión de CEN, o a través de sus miembros.
Esta norma europea existe en tres versiones oficiales (alemán, francés e inglés). Una versión en otra lengua realizada
bajo la responsabilidad de un miembro de CEN en su idioma nacional, y notificada al Centro de Gestión, tiene el mismo
rango que aquéllas.
Los miembros de CEN son los organismos nacionales de normalización de los países siguientes: Alemania, Antigua
República Yugoslava de Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia,
España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta,
Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza y Turquía.
CEN
COMITÉ EUROPEO DE NORMALIZACIÓN
European Committee for Standardization
Comité Européen de Normalisation
Europäisches Komitee für Normung
CENTRO DE GESTIÓN: Avenue Marnix, 17-1000 Bruxelles
Prólogo
El texto de la Norma ISO 22313:2012 del Comité Técnico ISO/TC 223 Seguridad de los ciudadanos, de
la Organización Internacional de Normalización (ISO), ha sido adoptado como Norma
EN ISO 22313:2014 por el Comité Técnico CEN/TC 391 Protección y seguridad de los ciudadanos, cuya
Secretaría desempeña NEN.
Esta norma europea debe recibir el rango de norma nacional mediante la publicación de un texto idéntico
a ella o mediante ratificación antes de finales de mayo de 2015, y todas las normas nacionales
técnicamente divergentes deben anularse antes de finales de mayo de 2015.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento estén sujetos
a derechos de patente. CEN y/o CENELEC no es(son) responsable(s) de la identificación de dichos
derechos de patente.
De acuerdo con el Reglamento Interior de CEN/CENELEC, están obligados a adoptar esta norma europea
los organismos de normalización de los siguientes países: Alemania, Antigua República Yugoslava de
Macedonia, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España,
Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo,
Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumanía, Suecia, Suiza
y Turquía.
Declaración
El texto de la Norma ISO 22313:2012 ha sido aprobado por CEN como Norma EN ISO 22313:2014 sin
ninguna modificación.
Índice
Prólogo...................................................................................................................................................... 6
0 Introducción ............................................................................................................................ 7
3 Términos y definiciones........................................................................................................ 13
4 Contexto de la organización................................................................................................. 13
4.1 Entendimiento de la organización y su contexto ................................................................ 13
4.2 Entendimiento de las necesidades y expectativas de las partes interesadas .................... 14
4.3 Determinación del campo de aplicación del sistema de gestión ........................................ 16
4.4 Sistema de gestión de la continuidad del negocio ............................................................... 16
5 Liderazgo ............................................................................................................................... 17
5.1 Liderazgo y compromiso ...................................................................................................... 17
5.2 Compromiso de la dirección ................................................................................................ 17
5.3 Política ................................................................................................................................... 17
5.4 Funciones, responsabilidades y autoridad de las organizaciones ..................................... 18
6 Planificación .......................................................................................................................... 19
6.1 Acciones para cubrir riesgos y oportunidades ................................................................... 19
6.2 Objetivos de la continuidad del negocio y planes para conseguirlos ................................ 19
7 Apoyo ..................................................................................................................................... 20
7.1 Recursos ................................................................................................................................ 20
7.2 Competencia .......................................................................................................................... 21
7.3 Concienciación ...................................................................................................................... 23
7.4 Comunicación ....................................................................................................................... 24
7.5 Información documentada ................................................................................................... 25
8 Operación .............................................................................................................................. 27
8.1 Planificación y control operacional ..................................................................................... 27
8.2 Análisis de impacto en el negocio y valoración del riesgo ................................................. 31
8.3 Estrategia de continuidad del negocio ................................................................................ 34
8.4 Establecimiento e implantación de procedimientos de continuidad del negocio ............. 42
8.5 Pruebas y ensayos ................................................................................................................. 53
10 Mejora ................................................................................................................................... 60
10.1 No conformidad y acción correctora ................................................................................... 60
10.2 Mejora continua.................................................................................................................... 61
Bibliografía............................................................................................................................................. 62
Prólogo
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos
los derechos de patente.
La Norma ISO 22313 fue preparada por el Comité Técnico ISO/TC 223, Seguridad de los ciudadanos.
Con fines de investigación, invitamos a los usuarios de la Norma ISO 22313:2012 a compartir sus
impresiones y sus prioridades para los cambios en futuras ediciones del documento. A
continuación encontrará un enlace a la encuesta online:
http://www.surveymonkey.com/s/22313
0 Introducción
Generalidades
Esta norma internacional proporciona directrices, cuando sea adecuado, sobre los requisitos especificados en la Norma
ISO 22301:2012, así como recomendaciones ("debería") y autorizaciones ("puede") con respecto a tales directrices. Esta
norma internacional no tiene la intención de proporcionar directrices generales sobre todos los aspectos de la
continuidad del negocio.
Esta norma internacional incluye los mismos encabezamientos que la Norma ISO 22301, pero no repite los requisitos de
los sistemas de gestión de la continuidad del negocio y sus términos y definiciones asociados. Las organizaciones que
deseen estar informadas sobre tales requisitos deben consultar las Normas ISO 22301 e ISO 22300.
Para facilitar aclaraciones y explicaciones adicionales de los puntos clave, esta norma internacional incluye un deter-
minado número de figuras. Todas esas figuras únicamente tienen fines ilustrativos y el texto asociado tiene su pre-
cedente en el cuerpo de esta norma internacional.
– la implantación y la aplicación de controles y medidas para gestionar la capacidad global de la organización para
hacer frente a incidentes disruptivos;
Un SGCN, como cualquier otro sistema de gestión, tiene los siguientes componentes fundamentales:
a) una política;
Normalmente, la continuidad del negocio es un asunto específico de una organización, sin embargo, su implantación
puede tener implicaciones de gran alcance sobre la comunidad en su conjunto y sobre otras terceras partes. Es probable
que una organización tenga organizaciones externas de las que dependa y habrá otras organizaciones que dependan de
ella. Por ello, una continuidad del negocio efectiva contribuye a una sociedad más elástica.
Esta norma internacional aplica el ciclo "Planificar-Hacer-Verificar-Actuar" [conocido por sus siglas en inglés PDCA
(Plan-Do-Chech-Act)] para planificar, establecer, implantar, operar, monitorizar, revisar, mantener y mejorar
continuamente la eficacia del SGCN de una organización.
La figura 1 muestra cómo el SGCN toma los requisitos de las partes interesadas como entradas para la gestión de la
continuidad del negocio (GCN) y, a través de las acciones y los procesos necesarios, produce resultados para la
continuidad del negocio (es decir, continuidad del negocio gestionada) que cumplen esos requisitos.
Planificar Establecer la política de continuidad del negocio, los objetivos, los controles, los procesos y
(Establecer) los procedimientos necesarios para mejorar la continuidad del negocio con el fin de obtener
resultados acordes con las políticas y objetivos generales de la organización.
Hacer Implantar y operar la política, los controles, los procesos y los procedimientos de
(Implantar y operar) continuidad del negocio.
Verificar Supervisar y revisar el rendimiento según los objetivos y la política de continuidad del
(Supervisar y revisar) negocio, informar de los resultados a la dirección de la organización para su revisión, y
determinar y autorizar las medidas para su corrección y mejora.
Actuar Mantener y mejorar el SGCN mediante la aplicación de medidas correctoras, basadas en los
(Mantener y mejorar) resultados de la revisión por la dirección de la organización, y reevaluando el alcance del
SGCN y la política y los objetivos de continuidad del negocio.
Existe una relación directa entre el contenido de la figura 1 y los capítulos de esta norma internacional.
La continuidad del negocio es la capacidad de la organización para continuar suministrando productos o servicios a
niveles predefinidos aceptables después de un incidente disruptivo. La gestión de la continuidad del negocio (GCN) es
el proceso que permite la continuidad del negocio, que prepara una organización para tratar incidentes disruptivos que,
en caso contrario, podrían impedir la consecución de sus objetivos.
La colocación de la gestión de la continuidad del negocio (GCN) en el seno del marco y de las disciplinas de un sistema
de gestión crea un sistema de gestión de la continuidad del negocio (SGCN) que permite que la GCN será controlada,
evaluada y mejorada de forma continua.
En esta norma internacional, la palabra negocio se utiliza como un térmico muy amplio para las operaciones y servicios
realizados por una organización en busca de sus objetivos, metas o misiones. También es igualmente aplicable a
organizaciones grandes, medianas y pequeñas que operan en los sectores industriales, comerciales, públicos, y
altruistas.
Cualquier incidente, grande o pequeño, natural, accidental o provocado, tiene la posibilidad de causar interrupciones
importantes en las operaciones de la organización y en su capacidad de suministrar productos y servicios. Sin embargo,
la implantación de la continuidad del negocio antes de que se produzca un incidente disruptivo, permitirá a la
organización, en vez de esperar a que esto suceda, continuar las operaciones antes de que se alcancen niveles de
impacto inaceptables.
La GCN implica:
a) tener claro los productos y servicios esenciales de la organización y las actividades que los proporcionan;
b) conocer las prioridades por reanudación de las actividades y los recursos que requieren;
c) tener un conocimiento claro de las amenazas contra estas actividades, incluyendo sus dependencias, y sabiendo los
impactos de no reanudarlas;
d) tener disposiciones probadas y de confianza in situ para reanudar estas actividades después de un incidente
disruptivo; y
e) tener la seguridad de que estas disposiciones se revisan y actualizan de manera rutinaria para que sean eficaces en
todas las circunstancias.
La continuidad del negocio puede ser eficaz tratando tanto incidentes disruptivos (por ejemplo, explosiones) como
graduales (por ejemplo, pandemia gripal).
Las actividades se interrumpen a causa de una amplia variedad de incidentes, muchos de los cuales son difíciles de
predecir o de analizar. Centrándose en el impacto de la interrupción antes que en la causa, la continuidad del negocio
identifica aquellas actividades de las cuales depende la organización para su supervivencia, y que le permiten
determinar lo que requiere para continuar cumpliendo sus obligaciones. A través de la continuidad del negocio, una
organización puede reconocer lo que necesita hacer para proteger sus recursos (por ejemplo, personas, edificios,
tecnología e información), su cadena de abastecimiento, sus partes interesadas y su reputación, antes de que se produzca
un incidente disruptivo. Con este reconocimiento, la organización puede tener una visión realista sobre las respuestas
que probablemente se necesiten cuando se produzca una interrupción, para que se pueda tener la seguridad de gestionar
las consecuencias y de evitar impactos inaceptables.
Una organización con una continuidad del negocio apropiada también puede tener la ventaja de disponer de
oportunidades que, en caso contrario, se podría juzgar como un riesgo demasiado elevado.
La finalidad de los diagramas siguientes (figuras 2 y 3) es ilustrar conceptualmente cómo la continuidad del negocio
puede ser eficaz para mitigar impactos en determinadas situaciones. No se tienen en cuenta plazos de tiempo
particulares, debido a la distancia relativa entre las etapas representadas en ambos diagramas.
Esta norma internacional no pretende establecer una estructura uniforme para un SGCN, sino que una organización
diseñe un SGCN que sea apropiado a sus necesidades y que cumpla los requisitos de sus partes interesadas. Estas
necesidades se modelan de acuerdo con requisitos legales, reglamentarios, organizacionales e industriales, con los
productos y los servicios, con los procesos empleados, con el entorno ambiental en que opera, con el tamaño y la
estructura de la organización, y con los requisitos de sus partes interesadas.
Esta norma internacional es genérica y aplicable a todos los tamaños y tipos de organizaciones, incluidas organizaciones
grandes, medianas y pequeñas que operen en sectores industriales, comerciales, públicos y altruistas, que deseen:
c) hacer una autodeterminación y una autodeclaración de conformidad con esta norma internacional.
Esta norma internacional no se puede utilizar para evaluar la capacidad de una organización para cumplir sus propias
necesidades de continuidad del negocio, ni las necesidades legales o reglamentarias de cualquier cliente. Las
organizaciones que deseen hacer esto, pueden utilizar los requisitos de la Norma ISO 22301 para demostrar la
conformidad o buscar la certificación de su SGCN por un organismo acreditado de certificación por tercera parte.
ISO 22301, Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio.
Especificaciones.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas ISO 22300 e ISO 22301.
4 Contexto de la organización
La organización debería evaluar y entender los factores internos y externos que son relevantes para su finalidad y sus
operaciones. Esta información se debería tener en cuenta al establecer, implantar, mantener y mejorar el SGCN de la
organización, y al asignar prioridades.
La evaluación del contexto externo de la organización debería incluir, cuando corresponda, los siguientes factores:
– el entorno social y cultural, financiero, tecnológico, económico, natural y competitivo, si es de nivel internacional,
nacional, regional o local;
– la consideración de estudios internos sobre los riesgos, teniendo en cuenta otros sistemas de gestión de la informa-
ción aplicables, y más generalmente, cualquier información procedente del entendimiento de la gestión;
– impulsores y tendencias esenciales que tengan impacto sobre los objetivos y el funcionamiento de la organización; y
La evaluación del contexto interno de la organización debería incluir, cuando corresponda, los siguientes factores:
– productos y servicios, actividades, recursos, cadenas de abastecimiento y relaciones con las partes interesadas;
– las facilidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, proce-
sos, sistemas y tecnologías);
– sistemas de información, flujos de información, y procesos de toma de decisiones (tanto formales como informales);
La organización debería identificar todas las partes interesadas que son de importancia para su SGCN y, en base a sus
necesidades y expectativas, determinar sus requisitos. Es importante identificar no solo los requisitos obligatorios y
declarados, sino también cualquier otro requisito implicado.
NOTA La organización necesita estar enterada de todas aquellas partes que tienen un interés en la organización, tales como los medios de
comunicación, el público cercano, los competidores y demás.
Al planificar e implantar el SGCN, no solo es importante identificar las acciones que sean apropiadas con respecto a las
partes interesadas, sino también diferenciar entre categorías diferentes. Por ejemplo, aunque después de un incidente
disruptivo puede ser adecuado comunicar con todas las partes interesadas, puede no serlo comunicar con todas las
partes interesadas cuando se estable y gestiona una GCN (8.1.1).
La información relativa a estos requisitos se debería documentar y mantener actualizada. Los requisitos nuevos o las
variaciones a los requisitos legales, reglamentarios y de otros tipos se deberían comunicar a los empleados y a las demás
partes interesadas.
Al establecer, implantar y mantener el SGCN, la organización debería tener en cuenta y documentar los requisitos lega-
les aplicables, otros requisitos a los que esté suscrita, y las necesidades de las partes interesadas.
La organización debería garantizar que su SGCN opera dentro, y en apoyo, de sus obligaciones legales y de los
requisitos relevantes de las partes interesadas.
La organización debería revisar los requisitos legales y reglamentarios en vigor y los pendientes en sus localizaciones,
lo cual puede incluir:
a) respuesta a incidentes: incluyendo la gestión de emergencias y la legislación sobre salud, seguridad y bienestar;
b) continuidad: que puede especificar el campo de aplicación del programa o la amplitud o la velocidad de respuesta;
c) riesgo: requisitos que definen el campo de aplicación o los métodos de un programa de gestión de riesgos; y
d) peligros: requisitos de operación relativos a materiales peligrosos almacenados en una localización.
NOTA Las organizaciones que operan en múltiples localizaciones, con frecuencia tienen que satisfacer los requisitos de jurisdicciones diferentes.
El campo de aplicación determina los productos y servicios, las localizaciones, las funciones, los procesos y las
actividades a los que se aplica el SGCN. Persigue que todas las dependencias han de estar en el campo de aplicación,
aunque no estén explícitamente identificadas en la declaración del campo de aplicación. Por ejemplo, si la "remune-
ración de empleado" está especificada en el campo de aplicación, entonces, por defecto la disponibilidad de fondos, la
aprobación de la gestión y las instrucciones para la institución financiera para realizar los pagos también deberían estar
incluidas dentro del campo de aplicación.
La organización debería documentar con claridad el campo de aplicación y el contexto del SGCN.
b) establecer los requisitos del SGCN de la organización teniendo en cuenta su misión, metas, responsabilidades
legales y obligaciones internas y externas;
c) identificar los productos y servicios de la organización de una manera que permita que todas las actividades,
recursos y cadenas de abastecimiento estén identificadas; y
– incluir una indicación de la escala de incidentes que cubre el SGCN y la apetencia de riesgos de la organización; y
– identificar cómo el SGCN establece la estrategia general de gestión de riesgos de la organización (si existe).
Cuando una parte de una organización quede excluida del campo de aplicación de su SGCN, la organización debería
documentar y explicar la exclusión.
La finalidad de definir el campo de aplicación es asegurar la cobertura de todas las actividades, localizaciones y
proveedores principales (8.2.1, figura 6).
5 Liderazgo
La alta dirección debería proporcionar evidencias de su compromiso con el desarrollo e implantación del SGCN, y la
mejora continua de su efectividad, mediante:
a) el cumplimiento de los requisitos legales aplicables y de otros requisitos que la organización suscribe (4.2.2);
b) la integración de los procesos del SGCN en los procedimientos de mantenimiento y de revisión establecidos en la
organización;
c) el establecimiento de políticas y objetivos de continuidad del negocio en línea con los objetivos, obligaciones y
dirección estratégica de la organización (5.3);
d) la designación de una o varias personas con la autoridad y competencias apropiadas para ser responsables del SGCN
y responsables de su funcionamiento eficaz (5.4);
e) asegurando que se establecen las funciones, responsabilidades y competencias del SGCN (5.4);
f) asegurando la disponibilidad de recursos suficientes, incluyendo niveles apropiados de provisión de fondos (7.1);
g) la comunicación a la organización de la importancia de cumplir la política y los objetivos de continuidad del negocio (7.4);
– la inclusión de la continuidad del negocio en las reuniones de dirección como un asunto permanente.
5.3 Política
La alta dirección debería definir la política de continuidad del negocio en términos de objetivos de la organización y de
sus obligaciones, y asegurarse de que:
– es apropiada para la finalidad de la organización (en función de su tamaño, naturaleza, y complejidad y en orden a
reflejar su cultura, dependencias y entorno de funcionamiento);
– incluye compromisos claros con respecto a requisitos aplicables, incluidas las obligaciones legales y reglamentarias
y la mejora continua del SGCN;
Se deberían aplicar disposiciones adecuadas para aprobar la política, retener la información documentada sobre ésta, y
revisarla periódicamente (por ejemplo, anualmente), y cuando se produzcan cambios significativos en factores internos
o externos (por ejemplo, cambio en la alta dirección o introducción de nueva legislación). La idoneidad de tales
disposiciones dependerá del tamaño, complejidad, naturaleza y amplitud de la organización.
– proporcionar dirección sobre el campo de aplicación y los límites de la continuidad del negocio de la organización,
incluidas las limitaciones y exclusiones;
– identificar toda la autoridad y las delegaciones requeridas, incluyendo la persona o personas responsables del SGCN
de la organización;
– incluir referencias a normas, directrices, reglamentos o políticas que el SGCN debería considerar o satisfacer.
– términos esenciales;
La alta dirección de la organización debería designar a uno o varios representantes de dirección específicos que, con
independencia de otras responsabilidades, deberían tener funciones, responsabilidades y autoridad definidas para:
– asegurar que el SGCN se establece, implanta y mantiene de acuerdo con la política de continuidad del negocio;
– informar a la alta dirección del rendimiento del SGCN para su revisión y en base a la realización de mejoras;
– garantizar la efectividad de los procedimientos desarrollados para dar respuesta a los incidentes, pero no necesa-
riamente en su implantación durante un incidente.
– residir en muchas áreas de una organización dependiendo del tamaño, escala y complejidad de ésta.
Los representantes de cada función o localización de la organización pueden estar identificados para asistir a la implan-
tación del SGCN. Sus funciones, responsabilidades y autoridad se deberían integrar en las descripciones de puesto de
trabajo, que se pueden reforzar incluyéndolas en la política de valoración, gratificación y reconocimiento de la
organización.
La alta dirección puede designar otros organismos, por ejemplo, un comité de dirección, para inspeccionar la implan-
tación y la supervisión progresiva del SGCN.
Todas las funciones, responsabilidades y autoridad para el SGCN deberían estar definidas y documentadas, y se deben
someter a auditoría.
6 Planificación
– garantizar que la información documentada estará disponible para ser evaluada si las acciones han sido eficaces (7.5).
Este plan se debería someter a revisión, y puede ser necesario actualizarlo regularmente a medida que evoluciona el
SGCN.
A continuación se indican ejemplos de objetivos de la continuidad del negocio que, en determinadas circunstancias,
pueden cumplir los requisitos especificados en la Norma ISO 22301:
– "establecer un SGCN que sea coherente con la Norma ISO 22313, por fecha";
– "por fecha, tendremos la continuidad del negocio in situ que satisfaga nuestras obligaciones con los clientes
esenciales"; y
– "tener el GCN in situ que proteja a los productos y servicios esenciales por fecha".
7 Apoyo
7.1 Recursos
7.1.1 Generalidades
La organización debería determinar y proporcionar los recursos necesarios para el SGCN que:
c) permitirá la comunicación efectiva sobre asuntos del sistema de gestión de la continuidad del negocio, externa e
internamente; y
d) proporcionará el funcionamiento progresivo y la mejora continua del sistema de gestión de la continuidad del
negocio.
1) el tiempo necesario para cumplir las funciones y las responsabilidades del SGCN,
c) tecnología de la información y de las comunicaciones (ICT), incluidas las aplicaciones que soportan una gestión del
programa eficaz y eficiente;
Los recursos y su asignación se deberían revisar periódicamente con objeto de garantizar su idoneidad. Puede ser
apropiado que la alta dirección se implique en esta revisión.
El personal para respuesta a incidentes debería constituir un grupo que sea responsable de gestionar cualquier incidente
disruptivo que impacte o que tenga el potencial de impactar significativamente en la organización.
El personal se puede asignar a equipos de acuerdo con la competencia demostrada al tratar aspectos diferentes de
respuesta a incidentes, por ejemplo:
– comunicaciones (8.4.4.3.2);
Todo el personal que esté incluido en estos grupos debería tener sus responsabilidades y su autoridad claramente defi-
nidas, para ser aplicadas antes, durante y después de un incidente.
7.2 Competencia
La organización debería establecer un sistema adecuado y eficaz para gestionar la competencia de las personas que
contratan trabajos de SGCN bajo su control.
La dirección debería determinar las competencias que se requieren para todas las funciones del SGCN, así como las
responsabilidades y la concienciación, el conocimiento, el entendimiento, los perfiles y la experiencia que se necesitan
para satisfacerlas. Todas las personas con funciones asignadas dentro de la organización deberían demostrar la compe-
tencia requerida y que están dotados de formación, educación, desarrollo y otros apoyos para desempeñarlas. Esto
puede ser tratado con un programa de desarrollo de competencias, que puede incluir:
– creación de un programa de desarrollo personal que identifique la formación, la educación, el desarrollo y otros
apoyos necesarios para conseguir competencias;
– compartir conocimientos;
– compartir trabajos;
– evaluación de la formación recibida con respecto a las necesidades y requisitos de formación definida a fin de
verificar la conformidad con los requisitos de formación del SGCN; y
La organización debería disponer de un proceso para identificar y proporcionar los requisitos de formación continua del
negocio de todos los participantes y evaluar la eficacia de su suministro.
Los tipos de formación que pueden ser apropiados para funciones específicas son los siguientes:
4) perfiles de comunicaciones,
2) dirección de la evacuación y refugio in situ, incluyendo los procesos de presentación para recuento de em-
pleados,
Los niveles de respuesta y la competencia en toda la organización se deberían desarrollar mediante una formación
práctica, que incluya la participación activa en pruebas.
Los equipos de respuesta y recuperación deberían recibir educación y formación sobre sus responsabilidades y obliga-
ciones, que incluyan interacciones con los primeros en responder y con otras partes interesadas. Los equipos deberían
recibir formación a intervalos regulares (al menos anualmente), y se deberían formar nuevos miembros cuando reúnan
la estructura de respuesta. Estos equipos también deberían recibir formación sobre prevención de incidentes que puedan
llegar a convertirse en crisis.
Los cambios en el entorno y en las operaciones del negocio afectan al enfoque y a la manera en que las actividades de la
continuidad del negocio están planificadas, diseñadas e implantadas. La organización puede demostrar concienciación
de las tendencias de la GCN mediante, por ejemplo, participación activa en actividades de GCN en la industria, que
pueden incluir:
La demostración de la participación activa puede ser en una o más de las siguientes maneras:
– integración de los objetivos y logros del SGCN en el proceso de gratificación y reconocimiento de la organización;
– integración de los objetivos y logros del SGCN en el rendimiento de la organización y en el proceso de evaluación;
– integración de las funciones, responsabilidades y autoridad dentro de las descripciones de trabajo de la organización
y del conjunto de perfiles; y
– participación activa de los usuarios del negocio y de la alta dirección en los ejercicios de repetición, pruebas y
ensayos.
La organización debería establecer programas de formación y de concienciación para todos los empleados reales que se
pueden ver afectados por un incidente disruptivo, y requerir que los contratistas trabajen en su nombre para demostrar
que la(s) persona(s) que trabajan bajo su control tienen el requisito de competencia para el SGCN y las funciones de
respuesta que ellos realizarán.
7.3 Concienciación
Las personas que trabajan bajo el control de la organización deberían tener la apropiada concienciación del SGCN.
En tales personas se puede incluir el personal de dirección, los contratistas, y los proveedores. Ellos deberían conocer la
política de continuidad del negocio y:
– sus funciones y responsabilidad con respecto a la prevención, detección, mitigación, autoprotección, evacuación,
respuesta, continuidad y recuperación de incidentes;
– su contribución a la eficacia del SGCN, incluyendo los beneficios del rendimiento mejorado de la GCN; y
La organización debería crear, promocionar e implantar una cultura dentro de la organización que:
– hacer que las partes interesadas se enteren de la política de continuidad del negocio, y de sus funciones en procedi-
mientos asociados.
Una organización que tenga una cultura positiva de continuidad del negocio:
– infundirá confianza en sus partes interesadas (especialmente el personal y los clientes) en su capacidad para tratar
los incidentes disruptivos;
– aumentará su resiliencia en el tiempo asegurando que las implicaciones de la continuidad del negocio se tienen en
consideración en decisiones a todos los niveles; y
– la asignación de responsabilidades;
– el crecimiento de la concienciación;
– un proceso de consultas con el personal en toda la organización respecto al establecimiento y dirección de la GCN;
– la discusión de la continuidad del negocio en los boletines informativos, reuniones de trabajo, programas de
introducción o periódicos o revistas (incluida la orientación para nuevos empleados);
– la inclusión de la GCN como un tópico en las reuniones de trabajo del personal y del equipo de dirección;
– reuniones con proveedores y distribuidores principales sobre las disposiciones de continuidad del negocio de la
organización.
7.4 Comunicación
Cuando se establece y gestiona el SGCN, la organización debería disponer de procedimientos efectivos de consulta y
comunicación para el intercambio de información con las partes interesadas.
a) comunicación interna entre las partes interesadas, incluidos los empleados dentro de la organización;
b) comunicación externa con los clientes, los proveedores, la comunidad local, y otras partes interesadas;
c) recepción, documentación, y respuesta a las comunicaciones procedentes de todas las partes interesadas;
d) adaptación e integración de un sistema nacional o local de alerta de amenazas o equivalente en la planificación y uso
operacional, donde y cuando sea apropiado;
f) asegurar la capacidad de la organización para comunicar con las autoridades externas y cuando sea apropiado,
asegurar que otras organizaciones y personal pueden comunicarse entre sí; y
g) hacer funcionar y ensayar los medios de comunicación previstos para ser utilizados durante la interrupción de las
comunicaciones normales.
La organización puede invitar a otros recursos externos que pueden estar implicados en la respuesta, tales como
bomberos, policía, sanidad pública y vendedores por tercera parte, para revisar con las partes correspondientes de
dirección sus procedimientos de continuidad del negocio.
La organización puede incluir referencias a su SGCN y disposiciones de continuidad del negocio en los boletines
informativos y en las reuniones de trabajo de los clientes.
La organización debería proporcionar comunicaciones externas efectivas como parte de su programa de concienciación
(7.3) y después de un incidente (8.4).
El término "procedimiento" significa un método especificado para llevar a cabo una actividad o un proceso. Un
"procedimiento documentado" significa que el procedimiento se debería establecer y mantener por cualquier medio.
Un solo documento puede cubrir los requisitos de uno o más procedimientos documentados, y un requisito de un
procedimiento documentado puede estar cubierto por más de un documento.
Además, para garantizar la eficacia del SGCN se puede requerir la información documentada que cubra a la siguiente
información:
– programa de concienciación;
– comunicaciones del SGCN y del incidente con el personal de dirección y con las partes interesadas, tales como
boletines informativos, notas y avisos de reuniones;
– programación de pruebas;
– toda información documentada debería incluir su identificación y descripción (por ejemplo, título, nombre, fecha,
autor, número, referencia de revisión, etc.);
– se deberían especificar los formatos aceptables (por ejemplo, idioma, versión de software, gráficos), y el medio (por
ejemplo, papel, electrónico) para la captación y presentación de la información documentada debería estar
claramente estipulado;
La captación y presentación debería incluir el formato a utilizar (por ejemplo, idioma, versión de software, gráficos) y el
medio de soporte a utilizar (por ejemplo, papel, documento electrónico).
La amplitud de la información documentada para el SGCN puede variar entre organizaciones debido a los factores
siguientes:
La finalidad del control de la documentación es garantizar que las organizaciones crean, mantienen y protegen los
documentos de una manera que sea apropiada y suficiente para implantar y operar el SGCN. El enfoque principal
debería ser sobre esta finalidad más que sobre el establecimiento de un sistema complejo de control de documentos.
Como ejemplo de protección se incluye el impedir que los documentos puedan ser puestos en peligro, modificados sin
la correspondiente autorización y anulados accidentalmente.
Existen varios niveles y combinaciones de acceso que se pueden conceder, por ejemplo, solo ver, ver y cambiar, y ver
con restricciones.
Se debería establecer un procedimiento documentado para definir los controles que se necesitan para:
b) proporcionar acceso a información documentada (el acceso incluye, por ejemplo, los permisos y la autoridad para
ver o cambiar dicha información);
e) garantizar que se identifican los cambios y el estado real de revisión de los documentos;
f) garantizar que las versiones correspondientes de los documentos aplicables se encuentran disponibles en los puntos
de utilización;
h) garantizar que los documentos de origen externo considerados por la organización como necesarios para la
planificación y operación del SGCN se identifican y que se controla su distribución;
i) impedir el uso imprevisto de documentos obsoletos e identificarlos adecuadamente si se conservan para cualquier
finalidad;
Las organizaciones deben garantizar la integridad de la información documentada manteniéndola inviolable guardada
de manera segura, solo accesible a personas autorizadas, y protegida contra daños, deterioro o pérdida.
La organización debería cumplir en su totalidad la legislación y los reglamentos relativos a la retención de información
documentada, y establecer, implantar y mantener los procesos requeridos para conseguir la conformidad.
8 Operación
Estas acciones se pueden combinar para crear un programa que asegure que la continuidad del negocio de la organi-
zación se gestiona adecuadamente y que se mantiene su efectividad.
La organización debería establecer mecanismos de control dentro del programa que incluyan:
a) decidir la forma en que estas acciones se deberían determinar, planificar, implantar y controlar, por ejemplo,
estableciendo un plan de implantación y acordando una metodología adecuada para implantar la GCN;
b) la garantía de que los controles sobre estas acciones se implantan de acuerdo con las decisiones definidas, por
ejemplo, estableciendo hitos de progreso del proyecto y especificando los suministrables requeridos; y
c) el mantener la información documentada para demostrar que el proceso se ha realizado según lo planificado.
La organización debería garantizar que los cambios planificados se controlan, los cambios no intencionados se revisan,
y que se toman las acciones apropiadas.
Estos elementos y los apartados donde están cubiertos en esta norma internacional, son los siguientes:
El alcance del acuerdo y del entendimiento de las prioridades y requisitos para la continuidad del negocio se
consigue a través del análisis de impacto en el negocio (BIA) y la valoración del riesgo (RA). El BIA permite a la
organización priorizar para su reanudación, las actividades que apoyan a sus productos y servicios. La valoración del
riesgo promueve el entendimiento de los riesgos para las actividades prioritarias y sus dependencias, y las
consecuencias potenciales de un incidente disruptivo. Este entendimiento permite a la organización seleccionar
estrategias apropiadas de continuidad del negocio.
La identificación y evaluación de una gama de opciones de estrategia de continuidad del negocio permite a la
organización elegir métodos apropiados de prevenir la interrupción de sus actividades prioritarias y hacer frente a las
interrupciones que se produzcan. Las estrategias seleccionadas de continuidad del negocio facilitarán la reanudación
de las actividades a un nivel de operación aceptable y dentro de los tiempos acordados.
NOTA Las estrategias elegidas han de tener en cuenta cualquier tratamiento del riesgo que ya esté implantado en la organización (8.3.3).
La implantación de disposiciones de continuidad del negocio da como resultado la creación de una estructura de
respuesta a incidentes (8.4.2), los medios para detectar y responder a un incidente (8.4.3), planes de continuidad del
negocio (apartado 8.4.4) y procedimientos para volver al 'negocio normal' (8.4.5).
– asegurarse de que la continuidad del negocio y los procedimientos de continuidad del negocio son completos,
actuales y apropiados, y
a) asegurar la aplicabilidad continua del campo de aplicación, los funciones y las responsabilidades de la continuidad
del negocio;
b) promover e implantar la continuidad en toda la organización y en otras partes interesadas, cuando sea aplicable;
d) establecer y supervisar el régimen de gestión de cambios y el régimen de gestión de sucesión dentro del sistema de
gestión de continuidad del negocio;
Cada componente de las disposiciones de una organización, incluida la documentación, se debería revisar, probar y
actualizar con regularidad. Estas disposiciones también se deberían revisar y actualizar siempre que se produzca un
cambio significativo en el entorno operacional, la estructura, las localizaciones, el personal, los procesos o la tecnología
de la organización, o cuando una prueba o incidente resalte deficiencias.
La organización puede adoptar un método reconocido de gestión del proyecto para garantizar que el programa de GCN
se gestiona eficazmente.
c) coordinar la revisión y actualización regular de la continuidad del negocio, incluyendo la revisión o remodelación
del análisis del impacto en el negocio (BIA) y las valoraciones del riesgo; y
d) asegurar el mantenimiento de los procedimientos de continuidad del negocio apropiado a las necesidades de los
equipos de respuesta.
b) la supervisión y revisión de de las disposiciones de continuidad del negocio de las actividades de origen externo y
las capacidades de GCN de los proveedores.
Como ejemplos de las medidas que se pueden utilizar para medir la eficacia, se tiene que:
– las actividades y los recursos sean recuperables dentro de los objetivos de tiempo de recuperación especificados y
que la información tengan la vigencia requerida (objetivo de punto de recuperación);
– se hayan demostrado las competencias requeridas para reanudar las actividades prioritarias dentro del objetivo de
tiempo de recuperación especificado; y
8.1.5 Resultados
Los resultados indicativos de una GCN eficaz pueden incluir lo siguiente:
a) se habilita una capacidad de gestión de incidentes que proporciona una respuesta eficaz;
b) el entendimiento de la organización y su relación con otras organizaciones, con organismos reguladores o departa-
mentos gubernamentales, con autoridades locales y con los servicios de emergencia se desarrolla, documenta y
entiende adecuadamente;
c) las pruebas realizadas con regularidad aseguran que el personal esté capacitado para responder eficazmente a un
incidente o interrupción;
Una organización consigue su objetivo suministrando sus productos y servicios a los clientes. Por ello, es importante
entender con claridad el impacto adverso en el tiempo que la interrupción de estos productos y servicios (y de sus
actividades asociadas) tendría sobre los objetivos y el funcionamiento de la organización. También es importante
entender las interrelaciones y los requisitos de recursos de las actividades que apoyan a los productos y servicios, así
como las amenazas sobre estos.
A través del entendimiento, la organización puede asegurar que su continuidad del negocio se alinea con su objetivo,
deberes legales y obligaciones hacia sus partes interesadas. El entendimiento se consigue a través de los procesos de
análisis de impacto en el negocio y de valoración del riesgo. Estos procesos proporcionan la información que la
organización necesita para determinar y seleccionar estrategias de continuidad del negocio (8.3.1).
El contexto, los criterios de evaluación y el formato del resultado del BIA y de la valoración del riesgo se deberían
acordar con antelación. La información recopilada se debería revisar con regularidad, sobre todo en periodos de
cambios.
– obtener un conocimiento de los productos y servicios esenciales de la organización y de las actividades que propor-
cionan;
a) la identificación de las actividades que apoyan el suministro de los productos y servicios esenciales de la
organización ("esenciales" significa los incluidos en el campo de aplicación del SGCN);
b) evaluar los impactos potenciales en el tiempo de las interrupciones resultantes de sucesos no específicos y no
controlados sobre estas actividades. Cuando se evalúan los impactos, la organización debería cubrir los impactos
relativos a sus metas y objetivos de negocio y a sus partes interesadas. Estos pueden incluir:
3) daños en la reputación,
6) daño medioambiental.
NOTA 1 La interrupción de las actividades puede causar que el suministro de los productos y servicios se vea interrumpido indirectamente. Por
ejemplo, la pérdida de la capacidad para pagar a los proveedores puede dañar la reputación de la organización y hacer que los
proveedores rechacen suministrar mercancías, lo que impide la fabricación de los productos o la entrega de los servicios.
NOTA 2 Normalmente, las actividades tienen variaciones diariamente, y pueden ser cíclicas por naturaleza. Con frecuencia existen variaciones
estacionales y mayores niveles de actividad asociadas a fechas límites semanales, mensuales o anuales, o a fechas de suministro de
proyecto.
c) estimando la amplitud de los impactos asociados con la interrupción de las actividades de la organización para llegar
a ser inaceptables;
NOTA 3 El tiempo para que los impactos lleguen a ser inaceptables puede variar entre segundos y varios meses, dependiendo de la naturaleza
de la actividad. Las actividades que son sensibles al tiempo necesitarían estar especificadas con un mayor grado de precisión, por
ejemplo, hasta el minuto o hasta la hora. Para actividades menos sensibles al tiempo sería aceptable una precisión menor.
NOTA 4 El tiempo necesario para que el impacto llegue a ser inaceptable se puede citar como el 'periodo máximo tolerable de interrupción',
'periodo máximo tolerable' o 'indisponibilidad máxima aceptable'. El nivel mínimo de producto o servicio que es aceptable para la
organización se puede expresar como el objetivo de continuidad del negocio mínima (MBCO).
d) en base a la evaluación de los impactos potenciales y teniendo en cuenta otros factores relevantes, establecer perio-
dos de tiempo priorizados para reanudar estas actividades, a un nivel aceptable mínimo especificado;
f) identificar cada dependencia de actividad en cuanto a recursos de apoyo, incluidos proveedores y otras partes
interesadas importantes.
El periodo de tiempo priorizado para reanudar una actividad se puede citar como Objetivo de Tiempo de Recuperación
(OTR). El OTR puede tener en cuenta dependencias de actividades interrelacionadas y el tiempo dentro del cual los
impactos de no reanudación de la actividad serían inaceptables [consúltese el punto c) anterior].
NOTA 5 A partir de este punto, en esta norma internacional se utilizará el término 'objetivo de tiempo de recuperación' o su abreviatura "OTR" en
vez de "periodo de tiempo priorizado".
El resultado del análisis de impacto en el negocio se debería documentar, e incluir la información de:
– prioridades de recuperación;
– entrevistas;
– cuestionarios;
– reuniones de trabajo;
La valoración del riesgo proporciona un proceso estructurado para analizar los riesgos en términos de consecuencias y
de probabilidad de que ocurran, antes de decidir un tratamiento adicional que se puede requerir. Este proceso
estructurado trata de contestar a algunas cuestiones fundamentales:
d) ¿existe alguna cosa que pueda mitigar las consecuencias o de reducir la probabilidad?.
La organización debería comprender las amenazas a, y las vulnerabilidades de, los recursos requeridos por las
actividades de la organización, y en particular aquellas:
La organización debería seleccionar un método apropiado para identificar, analizar y evaluar los riesgos que pudiesen
provocar interrupciones. La Norma ISO 31000 estable los principios de la gestión de riesgos y las directrices asociadas.
Los elementos típicos que se deberían incluir en el contexto de esta norma internacional son los siguientes:
– identificación de riesgos: Identificar los riesgos de interrupción de las actividades prioritarias y de los procesos de
la organización, de los sistemas, la información, las personas, los bienes, los proveedores y otros recursos que las
apoyan. Estos riesgos pueden proceder de:
– amenazas específicas, que se pueden describir como sucesos o acciones que, en el mismo punto, podrían
interrumpir actividades y recursos (por ejemplo, amenazas tales como incendios, inundaciones, fallos de energía,
pérdidas de personal, absentismo laboral, virus informáticos y fallos del hardware), y
– incidentes disruptivos, que se pueden producir por vulnerabilidades dentro de los recursos (por ejemplo, puntos
únicos de fallo, inadecuaciones en la protección contra incendios, pérdida de resiliencia eléctrica, niveles de
formación inadecuados del personal, y poca seguridad en la tecnología de la información y en la resiliencia),
– evaluación de riesgos: Evaluar las interrupciones debidas a riesgos que requieren tratamiento. Esto se debería
centrar sobre los recursos requeridos por actividades con prioridad alta o con un margen de tiempo de sustitución
significativo; y
– identificación de tratamientos: Identificar los tratamientos que pueden proporcionar objetivos de continuidad del
negocio y que están de acuerdo con la apetencia de riesgo de la organización (4.1).
NOTA Si la organización u organismos externos han llevado a cabo cualquier otro análisis de riesgos, éste podría proporcionar información útil de
importancia para la valoración del riesgo.
Las necesidades sociales o las obligaciones reglamentarias pueden requerir que la organización comparta algunos
resultados de la valoración del riesgo con alguna parte interesada.
8.3.1.1 Generalidades
La determinación de la estrategia de continuidad del negocio trata de identificar las acciones necesarias para cubrir los
hallazgos procedentes del BIA y de la valoración del riesgo, y de una manera que cumpla los objetivos de continuidad
del negocio de la organización. Es probable que tal acción sea necesaria antes, durante y después de un incidente
disruptivo y, por ejemplo, puede incluir:
– reducción del impacto global de un incidente disruptivo a través de disposiciones de continuidad del negocio que
acorten el periodo de interrupción y reduzcan su intensidad hasta niveles aceptables.
La determinación y selección de la estrategia de continuidad del negocio se debería basar en los resultados del análisis
de impacto en el negocio y en la valoración del riesgo (8.2).
La organización debería disponer in situ de un mecanismo para revisar y aprobar las soluciones recomendadas.
Las opciones para proteger actividades prioritarias se deberían seleccionar de acuerdo con:
– (opcionalmente) la urgencia de la actividad, dado que habrá menos tiempo para resolver el asunto; y
Cuando la organización estima que una amenaza es 'extremadamente improbable' o que el coste de proteger una
actividad prioritaria es prohibitivamente costoso, se puede elegir aceptar el riesgo y volver a evaluarlo como parte de su
evaluación continua del rendimiento del SGCN (capítulo 10).
a) reubicación de la actividad: La transferencia de alguna o de todas las actividades, internamente a otra parte de la
organización, o externamente a una tercera parte, bien independientemente o bien a través de un acuerdo de ayuda
mutua o reciproca;
b) reubicación o redistribución de recursos: Los recursos, incluido el personal, se transfieren a otra ubicación o
actividad dentro de la organización, o externamente a una tercera parte;
c) procesos alternos y capacidad adicional: Establecer procesos alternos o crear capacidad de redundancia/adicional
en los procesos y/o en el inventario;
d) sustitución de recursos y perfiles: Mejora de las capacidades de personal, incluyendo personal multi-perfil o
esencial o mediante la creación de acceso a una capacidad de personal adicional a través de fuentes externas. Los
recursos de sustitución son proporcionados por una tercera parte o desde existencias mantenidas remotamente por la
organización o estableciendo acuerdos de ayuda mutua con organizaciones externas y partes interesadas esenciales
para proporcionar acceso temporal a capacidad adicional; y
e) soluciones alternativas temporales: Algunas actividades pueden adoptar una forma de trabajo diferente que
proporcione resultados aceptables para un tiempo limitado. Es probable que las alternativas temporales consuman
más tiempo y/o trabajo intensivo (por ejemplo, una operación manual en oposición a un sistema automatizado). Por
estas razones, las soluciones alternativas generalmente solo son adecuadas para periodos de tiempo cortos, o aplazan
un retorno al negocio normal;
f) cuando se consideren ubicaciones donde reanudar una actividad, las opciones de continuidad del negocio deberían
incluir el o los lugares dañados/afectados y lugares alternativos no dañados.
Para asegurar que las actividades se pueden reanudar dentro de sus objetivos de tiempo de recuperación, estos objetivos
también se pueden establecer para sus dependencias y recursos de apoyo. El establecimiento de estos objetivos de
tiempo de recuperación puede necesitar que se tenga en cuenta:
– la posibilidad de proporcionar un servicio mínimo durante un periodo temporal hasta el punto en que se requiera la
reanudación completa;
– soluciones alternativas (tal como procesos manuales) que pueden diferir la necesidad de reanudar la dependencia de
recursos de apoyo;
La organización debería evaluar todas las opciones de estrategia para determinar si estas medidas, por sí mismas,
introducen nuevos riesgos.
Con frecuencia, las opciones de estrategia de continuidad del negocio para la estabilización, continuación, reanudación
o recuperación de una actividad prioritaria pueden ser prohibitivamente costosas. Cuando la organización estime que
éste es el caso, debería seleccionar estrategias alternativas que sean aceptables y cumplan los objetivos de continuidad
del negocio, o tratar los productos y servicios afectados como exclusiones del campo de aplicación del SGCN, de
acuerdo con el apartado 4.3.2.
a) seguro: La contratación de un seguro puede proporcionar alguna recompensa financiera por algunas pérdidas, pero
no cubrirá todos los costes (por ejemplo, sucesos no asegurados, la marca comercial, reputación, valor de las partes
interesadas, distribución de mercado y consecuencias humanas). Un convenio financiero único no protegerá total-
mente las expectativas de la organización ni satisfará a las partes interesadas;
b) restauración de bienes: Contratación de servicios auxiliares de compañías que están especializadas en la limpieza y
o reparación de bienes después de sufrir daños; y
c) gestión de la reputación: Desarrollo de una capacidad eficaz de comunicación y de alarma (8.4.3) y estable-
cimiento de procedimientos eficaces de comunicaciones (8.4.4.3.2).
8.3.2.1 Generalidades
La organización debería determinar los requisitos de los recursos a implantar para seleccionar opciones de estrategia.
a) equipos de personas apropiados o, para organizaciones más pequeñas, individuos con autoridad suficiente para
vigilar la preparación, la respuesta y la recuperación ante incidentes;
b) las capacidades y procedimientos logísticos para localizar, adquirir, almacenar, distribuir, mantener, ensayar y
justificar servicios, personal, recursos, materiales, e instalaciones producidas o donadas para apoyar al SGCN;
c) procedimientos financieros, logísticos y administrativos para apoyar las disposiciones de continuidad del negocio
antes, durante y después de un incidente. Estos procedimientos deberían:
1) asegurar que se pueden controlar las decisiones fiscales, y
2) estar de acuerdo con niveles de autoridad, gobierno, y principios de contabilidad establecidos,
d) gestión de recursos: objetivos sobre tiempos de respuesta, personal, equipo, formación, instalaciones, provisión de
fondos, seguros, control de responsabilidad, conocimiento experto, materiales y márgenes de tiempo, y para cada
uno de estos objetivos será necesario disponer de recursos de la organización y de los proveedores; y
e) procedimientos para asistencia, comunicaciones, alianzas estratégicas, y ayuda mutua, a las partes interesadas.
8.3.2.2 Personas
La organización debería identificar las medidas apropiadas para mantener y ampliar la disponibilidad de perfiles y
conocimientos fundamentales del personal en el caso de que el incidente de lugar a la reducción de disponibilidad de
personal. Estas medidas deberían incluir a empleados, contratistas y a otras partes interesadas que posean una amplia
variedad de perfiles y conocimientos especializados. Las técnicas para proteger o mejorar estos perfiles pueden incluir:
– separación de perfiles esenciales para reducir el impacto de que un incidente obligue a la separación física de
personal con perfiles esenciales en más de una ubicación;
– planificación de sucesiones; y
Los procedimientos para la reubicación de personal después de un incidente, pueden necesitar tener en cuenta:
– acomodación,
– seguridad;
– logísticas de transporte; y
NOTA 1 Las Normas ISO/IEC 27031 e ISO/IEC 27002 contienen directrices adicionales para garantizar la vigencia de los datos electrónicos, y
proporcionan directrices para garantizar la confidencialidad, integridad y disponibilidad continua de los datos.
Cualquier información requerida para permitir la respuesta y recuperación por parte de la organización debería tener la
apropiada:
– disponibilidad: la información está disponible tan rápidamente como la actividad la requiera. La información
solicitada durante una respuesta se puede necesitar inmediatamente, mientras que otros datos pueden no ser
necesarios hasta algún tiempo después del incidente; y
– vigencia: la información, hasta la fecha en que es requerida, permite el funcionamiento de la actividad, aunque
puede ser necesario volver a crear los datos perdidos a causa del incidente.
En todos los casos, la información requerida por una actividad debería estar totalmente vigente. Esta vigencia puede
estar referida como objetivo del punto de recuperación (RPO). Cuando se copien datos, se pueden utilizar varios
métodos, incluidas copias de seguridad de soportes electrónicos o de cintas, microfichas, fotocopias y creación de
copias dobles en el momento de la generación.
Las estrategias de información se deberían documentar para la recuperación de información que aún no se ha copiado o
volcado a un lugar seguro.
NOTA 2 Si la información copiada se almacena muy cerca del original, el incidente disruptivo podría comprometer su integridad o impedir el
acceso a ella. Sin embargo, una distancia grande puede impedir que esté disponible cuando se necesite. Sería apropiado tener evidencia
escrita de cómo se han resuelto estos intereses conflictivos.
– información de contacto;
– otros documentos de servicios (por ejemplo, contratos y acuerdos del nivel de servicio).
La organización debería diseñar una estrategia para reducir el impacto de la no disponibilidad de sus centros de trabajo
habituales. Esto puede incluir una o más de las opciones siguientes:
b) locales alternativos proporcionados por otras organizaciones (con independencia de que existan o no acuerdos
recíprocos);
Los locales alternativos se deberían seleccionar cuidadosamente teniendo en cuenta una zona geográfica que pueda estar
afectada por el mismo incidente. Un incidente tal como un desastre natural puede causar daño en zonas muy amplias y
afectar a servicios esenciales tales como electricidad, gas, agua y comunicaciones. Si se estima que se puede presentar
un riesgo de este tipo, los locales alternativos deberían estar distantes de la zona que pueda verse afectada.
Si el personal se ha de trasladar a locales alternativos, estos locales han de estar suficientemente cerca para que el
personal sea complaciente y pueda desplazarse hasta allí, teniendo en cuenta las posibles dificultades causadas por el
incidente. Sin embargo, los locales alternativos no deben estar tan cerca como para que exista la probabilidad de verse
afectados por el mismo incidente.
La utilización de locales alternativos con fines de continuidad debe estar apoyada por una declaración clara de si los
recursos requeridos en los locales alternativos son de uso exclusivo de la organización. Si los locales alternativos se
comparten con otras organizaciones, se debe desarrollar y documentar un plan para mitigar la no disponibilidad de estos
locales.
En algunas situaciones (por ejemplo, una línea de fabricación o un centro de llamadas), puede ser adecuado trasladar la
carga de trabajo en vez de trasladar al personal. Esto puede requerir disponer de la capacidad de repuesto en el lugar
alternativo o de personal adicional (bien en horas extraordinarias o por contratación de personal) y de otros recursos.
Algunas instalaciones y máquinas pueden ser difíciles de adquirir, ser muy costosas (necesitan un largo periodo de
tiempo para la autorización) o tener un largo tiempo de entrega. Las soluciones para proporcionar tales recursos
necesitan tener en cuenta estas condiciones. Los cambios en las prácticas del negocio, tal como el control de existencias
o la gestión del edificio, pueden proporcionar soluciones.
Cuando las actividades dependan de suministros especializados, la organización debería identificar los suministros
esenciales y las fuentes únicas de suministro. Las estrategias para gestionar la continuidad del suministro pueden
incluir:
Cuando las actividades se cambien de lugar, se debería verificar que los proveedores pueden proporcionar sus productos
o servicios de manera efectiva en los lugares alternativos.
Las opciones tecnológicas dependerán de la naturaleza de la tecnología empleada y de sus relaciones con las activi-
dades, pero normalmente será una combinación de lo siguiente:
Las técnicas para proporcionar los sistemas de TIC requeridos por las actividades prioritarias pueden incluir:
– repartiéndolas geográficamente, por ejemplo, manteniendo la misma tecnología en lugares diferentes que no puedan
verse afectados por el mismo incidente;
Debido a la complejidad de las tecnologías que los soportan, los sistemas de TIC frecuentemente necesitan disposi-
ciones complejas para asegurar que se pueden recuperar de una manera oportuna. Por ello, se debería tener en conside-
ración lo siguiente:
– establecer objetivos de tiempo de recuperación (RTO) para los sistemas de TIC que permitan reanudar las
actividades prioritarias dentro de sus RTO;
– prestar particular atención a la ubicación de los lugares donde se sitúa la tecnología y a las distancias entre ellos;
– proporcionar instalaciones adecuadas para un número superior de usuarios con acceso remoto;
– establecer lugares sin plantilla de personal (oscuros) así como lugares con plantilla de personal;
– proporcionar una técnica de 'cambio en caso de fallo' automática en vez de necesitar intervención manual para
redireccionar la provisión de la TIC;
Si se adopta una técnica de 'cambio en caso de fallo' de un lugar a otro, puede ser necesario considerar la distancia de
recorrido de la red entre los dos lugares. Si la distancia entre los lugares es muy grande, esto podría retardar la respuesta
del sistema y dejar ineficaces a los sistemas de TIC.
Si una organización establece sus sistemas de TIC en más de un lugar, puede ser la oportunidad de implantar una
'estrategia de TIC mutua' con la cual cada lugar se dimensiona para acomodar la capacidad de TIC combinada de más
de un lugar.
Si una organización utiliza tecnologías especializadas o diseñadas de encargo con márgenes de tiempo amplios, puede
ser necesario tener en consideración el aumento de la protección de su TIC haciendo previsiones especiales de repuesto
o de renovación.
NOTA En las Normas ISO/IEC 27031, ISO/IEC 27002 e ISO/IEC 20000 (ambas partes) se pueden encontrar directrices adicionales sobre conti-
nuidad de sistemas de TIC.
8.3.2.7 Transporte
Después de un incidente, puede ser necesario proporcionar medios de transporte para:
– llevar al personal a casa si sus medios de transporte normales no están disponibles;
– situar al personal en lugares de trabajo alternativos; y
– recursos necesarios en lugares diferentes.
La organización debería determinar con antelación opciones para proporcionar los medios de transporte alternativos que
se pueden requerir después de un incidente disruptivo. Estas opciones pueden incluir:
– identificar los posibles escenarios de interrupciones logísticas que pueden ser causadas directamente por un
incidente o por situaciones inusuales;
– garantizar medios logísticos alternativos, así como rutas, teniendo en cuenta las condiciones del tráfico, los medios
de transporte, y otras redes logísticas; y
– establecer acuerdos con empresas de transporte.
8.3.2.8 Finanzas
La organización debería determinar opciones para garantizar que los fondos necesarios están disponibles durante y
después de un incidente disruptivo. Esto puede incluir:
– disposición de fondos para compras de emergencia, tales como, alimentos, acomodación, instalaciones, consumibles
y transporte;
– reembolso de gastos de personal;
– inversiones importantes en, por ejemplo, alquiler o adquisición de edificios y equipos.
Para la protección contra abusos o para facilitar reclamaciones de seguros, puede ser necesario demostrar que se reali-
zan controles financieros eficaces para, por ejemplo, proporcionar el registro formal de gastos durante y después de un
incidente disruptivo.
8.3.2.9 Proveedores
Si un producto, servicio o actividad ha sido objeto de contratación externa, la responsabilidad de este producto, servicio
o actividad sigue recayendo en la organización. En consecuencia, la organización se debería asegurar de que sus provee-
dores principales disponen de una continuidad efectiva. Un método de hacer esto es obtener pruebas de la viabilidad de
los planes de continuidad de los proveedores principales y de sus programas de pruebas y de mantenimiento. Véase el
apartado 8.3.1.5.
a) específico – con respecto a los pasos inmediatos que se han de llevar a cabo durante una interrupción;
b) flexible – de manera que se pueda utilizar para dar respuesta a escenarios de amenazas imprevistas y al cambio de
las condiciones internas y externas;
c) enfocado – deberían estar claramente relacionados con el impacto de sucesos que pudieran interrumpir operaciones,
y estar desarrollados en base a suposiciones y a un análisis de interdependencias; y
d) eficaz – en términos de minimización de las consecuencias de los incidentes mediante la implantación de estrategias
de mitigación adecuadas.
– identificar los umbrales de impacto que justifiquen el inicio de una respuesta formal;
– disponer de recursos para apoyar los procesos y procedimientos necesarios para gestionar un incidente disruptivo; y
– establecer comunicación con las partes interesadas, incluyendo en particular a autoridades y medios de comunicación.
La estructura de respuesta debería ser simple y capaz de ser activada rápidamente. Cuando se determine la estructura, se
debería tener en consideración lo siguiente:
– disponer de personal competente disponible para establecer las ramificaciones del incidente y evaluar el impacto o
potencial impacto del incidente y los plazos;
– la capacidad para movilizar equipos para controlar y contener el incidente, y para iniciar la respuesta adecuada; y
– la inclusión de recursos apropiados, que pueden incluir personal, contratistas, equipos y finanzas.
Organizaciones más grandes o complejas pueden utilizar un procedimiento escalonado para respuesta al incidente, y
pueden establecer equipos diferentes para focalizar una respuesta al incidente, gestionar incidentes, comunicaciones,
bienestar y la reanudación del negocio. En organizaciones más pequeñas, todos los aspectos de respuesta al incidente
pueden ser manejados por un equipo, pero la responsabilidad nunca debería ser de una sola persona.
Cada equipo debería tener procedimientos para dirigir sus acciones e incluir personal con la responsabilidad, autoridad
y competencia necesarias. La competencia individual y del equipo se puede demostrar a base de formación y pruebas.
8.4.3.1 Generalidades
La organización debería establecer, implantar y mantener procedimientos para avisos y comunicaciones. Estos proce-
dimientos deberían incluir:
f) la recepción, documentación y respuesta a cualquier sistema o medio equivalente nacional o regional de aviso de
incidentes;
g) el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o inminente;
k) registrar la información vital acerca del incidente, las acciones tomadas y las decisiones adoptadas; y
Una organización puede necesitar decidir si mantiene o no comunicación, y hasta qué punto, con las partes interesadas
externas en cuanto a sus procedimientos de aviso y de comunicación. Cuando se toma esta decisión, la primera
consideración debería ser la seguridad de la vida. La decisión y las razones acerca de la misma se deberían documentar.
Por ejemplo, una organización que realice actividades que pudiesen ser una amenaza para la seguridad del vecindario
cercano puede asegurarse de que se comunica a los vecinos los peligros potenciales. Esto puede significar que los
vecinos necesitan conocer cómo se comunican las alarmas y cómo deben responder.
La organización debería disponer de procedimientos y medios eficaces para comunicar con rapidez las alarmas, las
alertas y las comunicaciones externas. Para las partes interesadas con necesidades específicas se pueden requerir
disposiciones especiales, por ejemplo, para personas mayores y personas con discapacidades. El sistema de avisos y de
comunicaciones se debería probar regularmente. Para directrices sobre las pruebas, consúltese el apartado 8.5.
– la recepción, documentación y la respuesta a cualquier sistema o medio equivalente nacional o regional de aviso de
riesgos. Estos pueden reflejar amenazas que sean comunes al lugar, tal como avisos de tsunamis, terremotos o
huracanes; y
– el alertar a las partes interesadas potencialmente impactadas por un incidente disruptivo actual o inminente, cuando
la organización tiene la responsabilidad moral o legal de avisar.
Una vez que el incidente se produce, la organización debería desarrollar procedimientos que aseguren:
– que el incidente se supervisa continuamente, mediante observación local o supervisión remota, y que cualquier
evolución del mismo se comunica a los equipos de respuesta adecuados;
– la interoperabilidad de los múltiples servicios de emergencia y del personal cuando ésta sea la responsabilidad de la
organización;
– la comunicación regular con el personal y con otras personas a quienes existe la obligación de cuidar, tales como
visitantes y contratistas; esto puede ser necesario inicialmente en un punto de evacuación, en casa o en localiza-
ciones alternativas; y
– el registro de la información vital sobre el incidente, las acciones realizadas y las decisiones tomadas, por personas
encargados de hacerlo o por una persona designada en cada equipo.
También se necesitan procedimientos para facilitar la comunicación efectiva en los dos sentidos entre las partes
interesadas, tales como clientes y medios de comunicación.
La organización debería mantener comunicaciones con estas partes hasta el retorno a las operaciones normales del
negocio cuando una comunicación indique que el final del incidente puede ser apropiado.
El equipo de comunicaciones disponible debería reconocer que el incidente puede haber afectado al rendimiento de las
comunicaciones normales, para que se pueda disponer de una variedad de alternativas, tales como:
– teléfonos móviles; y
– radioteléfonos móviles.
8.4.4.1 Generalidades
La organización debería establecer procedimientos documentados que le permitan responder a un incidente y tratar
adecuadamente la recuperación y reanudación de sus actividades.
Estos procedimientos deberían cubrir todos los aspectos de la respuesta a un incidente con especial atención a los temas
de seguridad de la vida, y cubrir los requisitos de todos aquellos que utilizarán tales procedimientos. Para determinar los
requisitos, puede ser beneficioso:
– utilizar la información de los resultados procedentes de las pruebas, y las lecciones aprendidas de incidentes
disruptivos.
Los calendarios y los niveles de rendimiento se deberían basar en la información recopilada durante el análisis de
impacto en el negocio (8.2.2) y en la estrategia de continuidad del negocio seleccionada (8.3.1).
Cuando se trata un incidente disruptivo, puede ser necesario tener en consideración un determinado número de
acciones. Estas acciones se deberían incluir en procedimientos documentados (8.4.4.2 y 8.4.4.3), e incluyen:
2) ¿Qué partes de la organización y qué partes interesadas han sido o podían haber sido afectadas?
b) evaluar el análisis del incidente en función de los criterios de activación para cada uno de los procedimientos;
c) declarar un incidente y activar los procedimientos cuando se cumplan los criterios de activación;
h) activar o establecer lugares alternativos para la restauración de la Tecnología de la Información (TI) o de otra
capacidad de infraestructura y para la operación temporal de las actividades de la organización;
k) retirar los planes y volver a la gestión rutinaria a medida que se vuelve a establecer la capacidad viable;
m) asegurar un buen gobierno y cotejo así como la seguridad de la documentación generada durante la gestión y
recuperación del accidente.
Para conseguir la reanudación en tiempo del suministro de productos y servicios de la organización, los procedimientos
documentados la reanudación de cada actividad deberían:
Para garantizar que la operación de los procedimientos no se ve afectada por la misma interrupción, la organización
puede tomar precauciones, por ejemplo, separando el personal y la tecnología de la información y la comunicación
(TIC) en múltiples lugares. Sin embargo, no es posible la separación total para todas las escalas y tipos de incidentes, y
esta limitación se debería identificar y acordar con la alta dirección. Esta limitación se podría expresar en términos de
distancia, personal mínimo o severidad, y se puede determinar por la respuesta de las autoridades civiles a un incidente
severo y/o extenso.
La finalidad, el campo de aplicación y los objetivos de cada procedimiento documentado se deberían definir y dar a cono-
cer a todos aquellos que participan en el efecto. Cualquier relación con otros procedimientos documentados o documentos
requeridos y aplicables debería estar claramente referenciada, y descrito el método de obtener y acceder a los mismos.
Dentro de los planes de continuidad del negocio, los temas siguientes deberían estar claramente identificados (véase
también 8.4.4.3):
a) funciones y responsabilidades;
1) las funciones, las responsabilidades y la autoridad definidas de las personas y equipos que utilizarán el plan de
continuidad del negocio. Si este plan incluye más de un procedimiento documentado, se deberían identificar las
funciones, las responsabilidades y la autoridad para cada procedimiento,
2) las directrices y los criterios relativos a quien tiene la autoridad para activar los procedimiento y bajo qué
circunstancias - esto puede seguir etapas progresivas definidas,
b) activación y desactivación:
1) un proceso para activar la respuesta de la organización a un incidente disruptivo y dentro de cada procedimiento
documentado, sus criterios y procedimientos de activación. Puede ser importante considerar si esto está dentro o
fuera de las horas normales de trabajo,
2) un proceso para desactivar los equipos una vez que el incidente ha pasado, y
1) gestión de las consecuencias inmediatas de un incidente disruptivo dado en cuanto a resultados de asuntos de
bienestar de las personas afectadas (incluidos los miembros del equipo), las opciones para responder a la
interrupción (estas se pueden describir como opciones estratégicas, tácticas y operacionales) y la prevención o
pérdida adicional o indisponibilidad de actividades prioritarias,
e) comunicaciones (8.4.3):
1) detalles que cubran cómo y bajo qué circunstancias la organización establecerá comunicación con los empleados
y sus familiares, con las partes interesadas esenciales y con los contactos de emergencia,
2) detalles de la respuesta de los medios de comunicación de la organización después de un incidente, incluyendo
su estrategia de comunicación, su interfaz preferida con los medios, sus directrices o patrones para declaraciones
en medios de redacción, así como la identificación de los portavoces autorizados.
Los procedimientos deberían incluir las bases para gestionar todos los asuntos posibles de cara a la organización durante
un incidente, incluyendo los relativos a las partes interesadas.
La organización debería identificar una ubicación, un local o un espacio desde el cual se gestionen los incidentes. Una
vez establecida, esta ubicación debería ser el punto focal de la respuesta de la organización. Se debería designar un
punto de reunión alternativo en una ubicación diferente para el caso en que no sea posible el acceso a la ubicación
principal. Cada ubicación debería tener acceso a recursos apropiados mediante los cuales el equipo de gestión de
incidentes pueda iniciar sin demora y con eficacia las actividades de gestión de los incidentes.
La ubicación puede ser tan simple como una habitación de hotel, o la vivienda de un miembro del personal. También
puede ser tan compleja como un 'centro de mando' con ordenadores personales, sistemas de videoconferencia y
múltiples teléfonos. Inicialmente, podría ser necesario mantener una reunión virtual o fuera del lugar, por ejemplo, vía
telefónica, teleconferencia o videoconferencia, para que las decisiones esenciales se puedan tomar rápidamente.
La ubicación elegida debería ser adecuada para la finalidad en cuestión y puede incluir:
– espacio para el número de personas necesarias;
– medios principales y secundarios eficaces de comunicación; y
– medios para acceder a y compartir la información, incluyendo la supervisión de los medios nuevos.
Existe la necesidad de gestionar y coordinar activamente las muchas comunicaciones que se emitirán y recibirán
durante un incidente. Este procedimiento debería contener:
a) los detalles de cómo y bajo qué circunstancias la organización establecerá comunicación con los empleados y sus
familiares, con los contactos de emergencia y con otras partes interesadas;
b) los detalles de la respuesta de los medios de comunicación de la organización después de un incidente, incluyendo:
3) sus directrices o patrones para la redacción de las declaraciones a los medios de comunicación,
4) un número adecuado de portavoces competentes, formados y autorizados para dar información a los medios de
comunicación.
La información preparada puede ser especialmente útil en las primeras etapas de un incidente. Permite que una organi-
zación proporcione detalles acerca de la organización y de su negocio mientras aún se están estableciendo los detalles
del incidente.
– establecer una competencia adecuada para apoyar la unión con los medios de comunicación, o con otros grupos de
partes interesadas;
– establecer un número apropiado de personas formadas y competentes para responder a las consultas telefónicas de la
prensa;
– utilizar todos los canales de comunicación abiertos a la organización, incluidos los medios sociales; y
– preparar el material de referencia acerca de la organización y de sus operaciones (esta información de debería
acordar previamente a su divulgación).
También puede ser necesario tener en consideración a los grupos de presión o de acción comunitaria que colectivamente
tienen poder o influencia sobre la organización.
Se debería incluir un proceso para identificar y priorizar las comunicaciones con otras partes interesadas esenciales.
También puede ser necesario desarrollar un procedimiento independiente para la gestión de las partes interesadas, que
proporcione criterios para establecer prioridades y hacer provisiones para asignar personas a cada parte interesada o
grupo de partes interesadas.
– servicios de traslado;
– conexiones designadas e información de contacto para servicios de emergencia, agencias apropiadas, y primeros
organismos de emergencia;
La organización puede reservar medios para proporcionar servicios de entrevistas y asesoramiento al personal afectado
por el incidente, así como proporcionar apoyo a largo plazo. Estos servicios pueden estar externalizados o se pueden
facilitar como una ampliación de los programas existentes de salud ocupacional y de ayuda a los empleados.
La organización debería designar a personas con niveles de autoridad apropiados para servir de enlace con los servicios
de emergencia, cuando sea necesario. Los servicios de emergencia desempeñan una función primordial en la protección
de la vida y en el alivio al sufrimiento durante las emergencias. Por ello, la temprana conexión, la planificación previa y
la coordinación de incidentes en tiempo real entre la organización y sus servicios de primera respuesta y los servicios de
emergencia puede mejorar la eficacia de la respuesta ante un incidente.
Todos los recursos requeridos deberían estar identificados específicamente. Estos recursos deberían estar disponible de
forma inmediata, y tener la capacidad de realizar su función prevista. La restricción en el empleo de recursos se debería
tener en consideración, y la aplicación de un recurso no debería incurrir en una responsabilidad superior que pudiese
hacer fallar el empleo del recurso. El coste del recurso no debería pesar más que el beneficio que proporciona.
Los recursos que se pueden necesitar para dar respuesta al bienestar incluyen, aunque no se limitan a, lo siguiente:
– las ubicaciones, las cantidades, la accesibilidad, la operabilidad, y el mantenimiento de los equipos (por ejemplo, equipos
para servicios pesados, protección, transporte, supervisión, descontaminación, respuesta, y protección personal);
– suministros (por ejemplo, material médico, de higiene personal, consumibles, administrativo, hielo);
– sistemas de comunicaciones;
– alimentos y agua;
– información técnica;
– ropa y refugio;
– personal especializado (por ejemplo, médicos, religiosos, organizaciones de voluntarios, personal de gestión de
desastres/emergencias, trabajadores de servicios públicos, de servicios funerarios, y contratistas privados);
– grupos de voluntarios especializados (por ejemplo, radioaficionados, organizaciones de carácter religioso, agencias
caritativas);
– la seguridad de los edificios una vez ocupados por los servicios de emergencia;
Cada procedimiento debería detallar cuando corresponda, los recursos que se requieren en diferentes momentos de
tiempo para conseguir los objetivos. Esto puede incluir:
– números de recursos;
– equipo técnico;
– medios de telecomunicaciones; y
– disponibilidad de recursos contratados, acordada mediante ayuda mutua, o la probabilidad de que tales recursos
estén disponibles.
En el caso de que la pérdida de un servicio o recurso amenace a la reanudación de las actividades, se debería definir una
escala de acciones. Estas acciones pueden incluir:
– los procedimientos para implantar soluciones alternativas manuales, recuperación del sistema, procesos alternativos, etc.
– localizaciones alternativas;
– una relación del personal con la experiencia necesaria para las unidades operativas;
– el calendario de disponibilidad y los requisitos de capacidad establecidos en los procedimientos de continuidad del
negocio permiten actividades para cumplir sus objetivos de tiempo de recuperación.
8.4.5 Recuperación
La organización debería tener procedimientos documentados para regenerar y restituir operaciones de negocio a partir
de medidas temporales adoptadas para apoyar los requisitos normales del negocio después de un incidente. Estos
procedimientos deberían cubrir los requisitos de auditoría y los requisitos de gobierno corporativo aplicables.
La finalidad de la recuperación es restablecer las actividades del negocio para apoyar los requisitos normales del
negocio después de un incidente disruptivo. La vuelta a la normalidad se puede conseguir:
– emigrando las operaciones desde edificios temporales llevándolas de nuevo a la ubicación principal del negocio una
vez restaurada; o
Será necesario tomar la decisión de cómo mejor 'volver a la normalidad' en función de la severidad de los daños
causados por el incidente, y estimar cuanto tiempo se tardaría en establecer las instalaciones necesarias.
Los procedimientos documentados deberían proporcionar una evaluación detallada de la situación y su impacto, y la
determinación de de las tareas y pasos que se necesitan para la recuperación. Durante la recuperación, la organización
puede necesitar:
n) realizar las diligencias necesarias en cuanto a los requisitos de auditoría y de gobierno corporativo.
Los procedimientos documentados para la recuperación deberían incluir la provisión para la reanudación de todas las
actividades y no solo las identificadas como actividades prioritarias. Esto reconoce que las actividades con una
prioridad más baja se tienen que reanudar en el mismo punto en tiempo, y tener requisitos de recursos (8.3.2).
Un programa de pruebas debería ser coherente con el alcance de los procedimientos de continuidad del negocio, y darle
la debida consideración a toda la legislación y reglamentación aplicables.
El programa de pruebas se debería diseñar de manera que, en un periodo de tiempo determinado, demuestre la
confianza objetiva de que, cuando se requiera, las disposiciones y los procedimientos de continuidad del negocio
funcionarán como estaba previsto. El programa debería:
a) probar los sistemas técnicos, logísticos, administrativos, de procedimiento, y otros sistemas operativos de los proce-
dimientos;
c) probar las disposiciones y la infraestructura de continuidad del negocio (incluyendo, por ejemplo, las ubicaciones de
gestión de incidentes y las áreas de trabajo); y
La envergadura y complejidad de las pruebas deberían ser apropiadas a los objetivos de continuidad del negocio de la
organización.
Debería existir un programa planificado de pruebas, donde la frecuencia de éstas debería depender de las necesidades de
la organización, del entorno ambiental en que ésta funciona y de los requisitos de las partes interesadas. No obstante, la
puesta en práctica del programa debería ser flexible, teniendo en cuenta los cambios dentro de la organización y los
resultados de las pruebas anteriores. Un cambio importante en la organización puede disparar la programación de una
prueba para examinar las disposiciones revisadas.
El programa de pruebas debería considerar las funciones de todas las partes, incluidos los proveedores esenciales de
terceras partes, suministradores y otros agentes que podrían participar en actividades de recuperación. Una organización
puede incluir a tales partes en sus pruebas y puede participar en las pruebas que éstas organizan.
El alcance y el detalle de las pruebas se deberían afianzar a medida que lo hace el programa en base a la experiencia, los
recursos y las posibilidades de la organización. En las fases iniciales, las pruebas y los ensayos se pueden limitar al
empleo de listas de verificación, sondeos y pruebas de concienciación. A medida que el programa se vaya afianzando,
se puede ampliar para incluir ejercicios de la parte superior de la tabla y simulación en directo a escala natural.
Cada prueba y ensayo debería tener sus metas y objetivos claramente definidos, y estar basada en un escenario que sea
apropiado para cumplirlos.
Las pruebas deberían ser realistas, cuidadosamente planificadas y acordadas con las partes aplicables, de manera que
exista un riesgo mínimo de interrupción de los procesos de negocio y de que se produzca un incidente como
consecuencia de la prueba. Esto se puede conseguir realizando la prueba dentro de un entorno controlado y aislado a
condición de que no se ponga en peligro la integridad de los objetivos que se están ensayando.
La organización debería designar escenarios para las pruebas que satisfagan los objetivos de éstas, y se pueden utilizar
amenazas que estén identificadas en la evaluación del riesgo, u otros sucesos apropiados.
La eficacia de algunos aspectos de la continuidad del negocio requerirá que personas particulares o aquellos que ocupan
posiciones específicas, tengan conocimientos, perfiles profesionales y entendimientos particulares. Estas personas debe-
rían estar in situ antes de la prueba permitiendo a los participantes aplicarlos en escenarios y simulaciones aplicables.
Las pruebas se deberían diseñar y realizar de manera que proporcionen uno o varios de los resultados siguientes:
b) la confianza de que la información requerida por las actividades está adecuadamente actualizada (8.3.2.3);
c) un mejor entendimiento de la dependencia respecto a la continuidad del negocio de los proveedores, y de otras
partes interesadas;
e) un mejor entendimiento del contenido y de la utilización de los procedimientos de continuidad del negocio;
k) una oportunidad para identificar inexactitudes en los procedimientos escritos de continuidad del negocio y en la
implantación de estos;
l) la seguridad de que los procedimientos de continuidad del negocio se pueden implantar cuando se necesite;
m) una mayor confianza de las partes interesadas respecto al grado de preparación de la organización; y
Las pruebas pueden tener una variedad de formatos diferentes. La decisión sobre la idoneidad del tipo de prueba
dependerá del contexto de la GCN, de los objetivos de la prueba, de la disponibilidad presupuestaria y de participación,
y de la tolerancia de la organización a la interrupción operacional causada por el mantenimiento de la prueba.
Los tipos principales de pruebas se describen en la Norma ISO 22398 [Societal security – Guidelines for exercises and
testing (Protección y seguridad de los ciudadanos – Directrices para pruebas y ensayos)].
Como parte de la prueba, se debería programar una revisión con todos los participantes para discutir los temas y las
lecciones aprendidas. Esta información se debería documentar y actualizar a medida que los procedimientos lo
requieran.
Después de la prueba, la organización debería realizar un informe y un análisis donde se evalúe el logro de las metas y
objetivos de la prueba. También se debería redactar un informe posterior a la prueba que contenga las recomendaciones
y el calendario para su implantación.
Las enseñanzas obtenidas de las pruebas y de los incidentes reales experimentados, se deberían volver a examinar
durante pruebas futuras. Las pruebas que demuestren serias deficiencias o inseguridades en los procedimientos, se
deberían volver a realizar después de que se hayan terminado las acciones correctoras.
– aumento de la eficacia y reducciones de los tiempos necesarios para completar los procesos (por ejemplo, utilizando
enseñanzas repetidas para acortar los tiempos de respuesta;
a) establecimiento de métricas de rendimiento que incluyan mediciones cualitativas y cuantitativas que sean apropiadas
a las necesidades de la organización;
b) supervisión de la amplitud con que se cumplen la política y los objetivos de la continuidad del negocio;
d) evaluación del rendimiento de los procesos, procedimientos y funciones que protegen a las actividades prioritarias;
e) medidas proactivas del rendimiento que supervisen la conformidad con el SGCN con respecto a la legislación aplicable;
f) medidas reactivas del rendimiento para supervisar fallos, incidentes, no conformidades (incluyendo desaciertos
cercanos y alarmas falsas) y otras evidencias históricas de rendimiento deficiente del SGCN; y
g) registro de datos y resultados de la supervisión y medición, suficientes para facilitar un posterior análisis de las
acciones correctoras.
Los procedimientos deberían proporcionar mediante medición sistemática, la supervisión y evaluación de la continuidad
del negocio de la organización sobre una base regular. Se debería desarrollar un conjunto de indicadores de rendimiento
para medir tanto el sistema de gestión como sus resultados. Las mediciones pueden ser cuantitativas o cualitativas. Los
indicadores de rendimiento pueden ser indicadores de gestión, operacionales o económicos. Los indicadores deberías
proporcionar información útil para identificar sucesos y áreas que requieran corrección o mejora.
El SGCN debería proporcionar datos de supervisión y de medición para identificar patrones y obtener información
relativa a su rendimiento. Estos datos se deberían utilizar para asegurar que se consiguen la política y los objetivos de la
organización, así como para identificar acciones correctoras y áreas de mejora.
La organización debería poder demostrar que ha identificado, evaluado y cumplido los requisitos legales y cualquier
otro requisito al que se haya comprometido.
Los registros de todas las evaluaciones periódicas y sus resultados se deberían conservar.
La organización debería analizar y, a intervalos planificados, evaluar los resultados de las supervisiones y de las
mediciones.
Las evaluaciones deberían cubrir la posible necesidad de cambios en la política, los objetivos, las estrategias, y otros
elementos del SGCN, a la luz de hechos tales como resultados de las pruebas, revisiones posteriores a incidentes,
cambio de circunstancias y el compromiso de mejora continua.
Las evaluaciones pueden tener la forma de auditorías internas o externas, o de autoevaluaciones. La frecuencia y
duración de las revisiones pueden estar influenciadas por leyes y reglamentos, dependiendo del tamaño, la naturaleza y
el estado legal de la organización. También podrían estar influenciadas por los requisitos de partes interesadas.
Una evaluación de los procedimientos de continuidad del negocio de la organización debería verificar que:
a) todos los productos y servicios esenciales y sus actividades y recursos de apoyo se han identificado e incluido en la
estrategia de continuidad del negocio de la organización;
b) la política de continuidad del negocio de la organización, las estrategias, el marco de trabajo y los procedimientos de
continuidad del negocio reflejan con precisión sus prioridades y requisitos (los objetivos de la organización);
c) la competencia de las personas y la continuidad del negocio de la organización son eficaces y adecuados a los
objetivos, y permitirán la gestión, mando, control y coordinación de las respuestas de la organización a un incidente
disruptivo;
d) las soluciones de continuidad del negocio de la organización son eficaces, están actualizadas y adecuadas a los
objetivos y apropiadas al nivel de riesgo al que se enfrenta la organización;
e) los programas de mantenimiento y de pruebas de la continuidad del negocio de la organización se han implantado
eficazmente;
f) las estrategias y procedimientos de continuidad del negocio incorporan las mejoras identificadas durante los
incidentes y las pruebas y en el programa de mantenimiento;
g) la organización tiene un programa continuo para la formación sobre continuidad del negocio y para la concien-
ciación;
h) los procedimientos de continuidad del negocio se han comunicado eficazmente al personal, y que éste ha entendido
sus funciones y responsabilidades; y
Se debería establecer un programa de mantenimiento claramente definido y documentado. Este programa debería:
– garantizar que todos los cambios (internos o externos) que impacten en la organización se revisan con respecto a la
GCN;
– identificar cualquier nuevo producto o servicio y sus actividades dependientes que se tenga que incluir en el SGCN;
– garantizar que la continuidad del negocio de la organización continua siendo eficaz, adecuada a los objetivos y que
está actualizada; y
– permitir que los programas de pruebas existentes se puedan modificar cuando haya un cambio significativo en
cualquiera de las estrategias de continuidad del negocio o en los procesos asociados al negocio.
NOTA Para la organización, un método eficaz de evaluar el impacto de los cambios principales en el negocio consiste en revisar el análisis de
impacto en el negocio (8.2.2) en la primera oportunidad y, en base a los resultados, hacer cambios en otros elementos de la GCN.
– la verificación de que las personas esenciales que han de implantar la estrategia y los procedimientos de la
continuidad del negocio están formados profesionalmente y son competentes;
– la evidencia de que la organización ha evaluado la conformidad de sus procedimientos de continuidad del negocio; y
– la evidencia de que los cambios importantes en la estructura de la organización, en los productos y servicios, y en las
actividades, se han reflejado oportunamente en los procedimientos de continuidad del negocio de la organización.
En el caso de un incidente que interrumpa las actividades prioritarias de la organización o que requiera una respuesta al
mismo, se debería realizar una revisión posterior al incidente. Esta revisión puede incluir:
– la evaluación de la idoneidad de las disposiciones de continuidad del negocio en la preparación de sus empleados
para los incidentes;
– la comparación de los impactos reales con los considerados durante el análisis de impacto en el negocio (8.2.2);
– la obtención de información sobre resultados de las partes interesadas y de aquellos que han participado en la
respuesta.
En el contexto de la mejora continua, la organización puede adquirir conocimiento de nuevas prácticas y tecnologías
sobre la GCN, incluyendo nuevas herramientas y técnicas. Tales prácticas y tecnologías se deberían evaluar para
establecer sus potenciales beneficios para la organización.
La información documentada relativa a todas las evaluaciones periódicas y a sus resultados se debería conservar como
evidencia de las mismas.
Es esencial realizar auditorías internas del SGCN para garantizar que este sistema está consiguiendo sus objetivos de
acuerdo con sus disposiciones programadas, y que ha sido correctamente implantado y mantenido, y para identificar las
oportunidades de mejora. Las auditorías internas del SGCN se deberían realizar a intervalos de tiempo programados,
para determinar y proporcionar a la alta dirección información sobre la conveniencia y eficacia del SGCN, así como
para proporcionar una base para establecer objetivos para la mejora continua del rendimiento del SGCN.
La organización debería establecer un programa de auditorías (véase la Norma ISO 19011) para dirigir la planificación
y realización de auditorías, e identificar las auditorías necesarias para cumplir los objetivos del programa. Dicho
programa se debería basar en la naturaleza de las actividades de la organización, en términos de su gestión del riesgo y
del análisis de impactos, en los resultados de auditorías anteriores, y en otros factores relevantes.
Un programa de auditorías internas se debería basar en el alcance total del SGCN, sin embargo, no es necesario que
cada auditoría cubra al sistema completo de una vez. Las auditorías se pueden dividir en partes más pequeñas, de
manera que el programa de auditorías asegure que todas las unidades, funciones, actividades y elementos del sistema
organizacional y todo el campo de aplicación del SGCN se auditen dentro del periodo de tiempo establecido por la
organización.
Los resultados de una auditoría interna del SGCN se pueden proporcionar bajo la forma de un informe, y utilizar para
corregir o impedir no conformidades específicas, y constituyen la entrada para realizar la revisión de la gestión.
Las auditorías internas del SGCN pueden ser realizadas por personal de la propia organización o por personas externas
seleccionadas por la organización y que trabajen en nombre de ésta. En cualquiera de ambos casos, las personas que
realicen las auditorías deberían ser competentes y estar en una posición de imparcialidad y de objetividad. En
organizaciones pequeñas, el auditor puede ser una persona independiente que esté exenta de responsabilidad con la
actividad que esté auditando.
– el rendimiento del sistema de gestión, incluidas las tendencias aparentes de las no conformidades y las acciones
correctoras, los resultados de las supervisiones y de las mediciones, y las conclusiones de las auditorías;
– los cambios en la organización y en su contexto (4.1) que podrían impactar en el sistema de gestión; y
La revisión de la gestión proporciona a la alta dirección la oportunidad de evaluar si el sistema de gestión sigue siendo
conveniente, adecuado y eficaz. La revisión de la gestión debería cubrir el campo de aplicación del SGCN, aunque no
es necesario revisar todos los elementos de una vez, y el proceso de revisión puede tener lugar durante un periodo de
tiempo determinado.
La revisión de la implantación y de los resultados del SGCN por la alta dirección se debería programar y evaluar
regularmente. Aunque la revisión continua del sistema es aconsejable, la revisión formal se debería estructurar,
documentar adecuadamente y programar sobre una base adecuada. Las personas que estén implicadas en la
implantación del SGCN y en la asignación de sus recursos, se deberían implicar en la revisión de la gestión.
Además de las revisiones del sistema de gestión programadas regularmente, los factores siguientes pueden obligar a una
revisión, y aunque esto no ocurra, se deberían examinar una vez en una revisión de las programadas:
a) tendencias del sector/de la industria: Las iniciativas importantes del sector/de la industria deberían requerir una
revisión del SGCN. Las tendencias generales y las mejores prácticas en el sector/la industria y en las técnicas de pla-
nificación de la continuidad del negocio/operacional, se pueden utilizar para fines de comparación de rendimientos;
b) requisitos reguladores: Los requisitos reglamentarios nuevos pueden requerir una revisión del SGCN; y
c) experiencia en incidentes: Después de la respuesta a un incidente disruptivo se debería realizar una revisión, tanto
si se ha activado o no el procedimiento de respuesta. Si se ha activado, la revisión debería tener en cuenta el historial
de procedimientos de respuesta, cómo ha funcionado, por qué razón se ha activado, etc. Si el procedimiento de
respuesta no se activó, la revisión debería examinar por qué se hizo así y si la decisión fue o no apropiada.
Una revisión de la gestión debería dar como resultado mejoras en la eficacia y en el rendimiento del SGCN, y puede dar
lugar a los cambios siguientes:
– mejoras de su eficacia;
La organización debería conservar información documentada como evidencia de los resultados de las revisiones de la
gestión, y además debería:
10 Mejora
La organización debería establecer procedimientos eficaces para garantizar que la no cumplimentación de un requisito,
el método de planificación y las debilidades asociadas con el SGCN, se identifican y comunican oportunamente para
impedir una posterior ocurrencia de la situación, así como que se identifican y cubren las causas principales. Los
procedimientos deberían permitir la detección continua, el análisis y la eliminación de las causas reales y potenciales de
las no conformidades.
Las no conformidades se deberían identificar y tratar oportunamente y se deberían aplicar las acciones correctoras para
tratarlas. La acción correctora puede partir de una declaración de no conformidad bien definida que muestre claramente
el problema y su entendimiento.
Cuando se identifica cualquier no conformidad, se debería llevar a cabo una investigación sobre su causa principal y
desarrollar un plan de acción correctora para atajar inmediatamente el problema. El plan de acción se debería diseñar de
manera que se mitiguen las consecuencias y se identifiquen los cambios a realizar para corregir la situación, restablecer
las operaciones normales y eliminar las causas, a fin de impedir que el problema se repita. La naturaleza y duración de
las acciones deberían ser apropiadas al tamaño y a la naturaleza de la no conformidad y de sus potenciales conse-
cuencias.
Un problema potencial se puede identificar salvo que no exista una no conformidad real. Los problemas potenciales se
pueden extrapolar a partir de acciones correctoras de no conformidades reales, identificadas durante el proceso de
auditoría interna del SGCN o del análisis de tendencias y sucesos de la industria. La identificación de las no
conformidades potenciales también puede formar parte de las responsabilidades rutinarias de las personas enteradas de
la importancia de notificar y comunicar problemas reales o potenciales.
El establecer procedimientos para tratar las no conformidades reales y potenciales y para aplicar las acciones
correctoras sobre una base de continuidad ayuda a asegurar la fiabilidad y la eficacia del SGCN. Los procedimientos
deberían definir las responsabilidades, la autoridad y los pasos a dar para planificar y aplicar la acción correctora. La
alta dirección debería garantizar que se implantan las acciones correctoras y que se lleva a cabo un seguimiento
sistemático para evaluar la eficacia de las mismas.
La mejora continua funciona a todos los niveles dentro del ciclo PDCA y debería ser dirigida por la política y los
objetivos de continuidad del negocio, los resultados de las auditorías, los análisis de sucesos supervisados, las acciones
correctoras y la revisión de la gestión.
Los cambios resultantes de las acciones correctoras se deberían reflejar en la documentación del SGCN.
La mejora continua requiere un proceso que identifique correctamente los problemas y las no conformidades y que las
fije. Este proceso debería identificar la naturaleza del problema y el entorno dentro del cual se produce, e incluso los
cambios en el entorno para asegurar que el problema no vuelve a ocurrir. Cada paso se debería crear y mejorar sobre el
paso anterior, de manera que la mejora cubra más aspectos que los que presentaba el problema original identificado, y
tenga un efecto más amplio y más enérgico sobre la organización.
La implantación de acciones correctoras se debería validar como eficaz. Cada acción debería tener una fecha estimada
de terminación. Después de esa fecha, la organización debería asegurar que la acción prescrita se realizó y que fue
eficaz. Si la revisión revela que la acción no tuvo el éxito esperado, se debería establecer una nueva fecha para la
acción.
El proceso de mejora continua debería seguir el mismo proceso básico utilizado para las acciones correctoras, e incluir
lo siguiente:
Las acciones correctoras cubren las deficiencias en el SGCN y aseguran que éste funciona según lo previsto, a la vez
que las mejoras continuas aportan al SGCM un nivel superior de eficacia y efectividad.
Bibliografía
[2] ISO 20000 (todas las partes), Information technology. Service management.
[4] ISO/PAS 22399:2007, Societal security. Guideline for incident preparedness and operational continuity
management.
[5] ISO 27002:2005, Information technology. Security techniques. Code of practice for information security
management.
[6] ISO 27031:2011, Information technology. Security techniques. Guidelines for information and communication
technology readiness for business continuity.
[10] HB 221:2004, Business continuity management, Standards Australia/Standards New Zealand, ISBN 0-7337-6250-6.
[11] SI 24001:2007, Security and continuity management systems. Requirements and guidance for use, Standards
Institution of Israel.
[12] NFPA. 1600:2007, Standard on disaster/emergency management and business continuity programs, National
Fire Protection Association (USA).
[13] Business Continuity Plan Drafting Guideline. Ministry of Economy, Trade and Industry, Japan, 2005.
[14] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of Japan, 2005.
[15] ANSI/ASIS SPC.1:2009, Organizational Resilience: Security, Preparedness, and Continuity Managements
Systems. Requirements with Guidance for Use.
[16] ANSI/ASIS/BSI BCM.01:2010, Business Continuity Management Systems: Requirements with Guidance for
Use.
1) Pendiente de publicación.