Componente Complementario-Continuidad Del Negocio

COMPONENTE
COMPLEMENTARIO
Continuidad del negocio

Objetivo General
Conocer información complementaria en relación
con la elaboración de los planes de emergencia,
y acciones durante y después de ocurrida la
emergencia.
Objetivos Específicos
Identificar la normativa específica.
Conocer acciones complementarias en el

desarrollo y ejecución del plan de emergencia.
Identificar los aspectos fundamentales de las

normas para la preparación ante posibles
incidentes que puedan poner en riesgo la
continuidad del negocio en una organización
www.aerocivil.gov.co
Metodologia
Esta temática será estudiada con
acompañamiento directo del docente,
utilizando Microsoft Teams y también clases
asincrónicas por el aula virtual.
Se recomienda descarga la presentación antes

de iniciar, en caso de que se tengan
inconvenientes de conexión.
Contenido
Generalidades
Gestión de la continuidad del negocio
Norma NFPA 1600
ISO 22310
Criterios generales
Evaluación
La evaluación de la temática se realiza en dos
momentos:
Permanente: participación, que implica
contestar las preguntas realizadas por el
docente o realizar cuestionamientos en
relación con la temática expuestas. Además,
desarrollar la presentación de los temas
asignados por grupos en el desarrollo de la
clase.
Examen final al terminar la asignatura.
Bibliografía
▪ OACI, Anexo 14 Vol. 1
▪ OACI, Doc. 9137 Parte 7
▪ NFPA 1600
▪ ISO 22301
Generalidades
Las compañías con un incidente grave:

• 43%nunca vuelve a abrir
• 51% cierra 2 años después del incidente
• 6% sobrevive a largo plazo
El 81% de las organizaciones que activaron sus

mecanismos de continuidad de negocio
verificaron que fue efectivo en la reducción de
las interrupciones.
Estas estadísticas sugieren la necesidad de la Es mejor estar preparados para algo

Continuidad de Negocio. que no va a suceder, que suceda
algo para lo que no estamos
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.bancomundial.org
preparados.
Generalidades
Gestion de riesgos de desastres.
Ley 1523 de 2012, la Gestión del riesgo de

desastres es un proceso social orientado a la
formulación, ejecución, seguimiento y
evaluación de políticas, estrategias, planes,
programas, regulaciones, instrumentos,
medidas y acciones permanentes para el
conocimiento y la reducción del riesgo y para
el manejo de desastres, con el propósito
explícito de contribuir a la seguridad, el
bienestar, la calidad de vida de las personas
y al desarrollo sostenible.
Es mejor estar preparados para algo
que no va a suceder, que suceda
preparados.
Generalidades
Gestion de riesgos de desastres.
Es mejor estar preparados para algo

que no va a suceder, que suceda
preparados.
GESTIÓN DE RIESGO
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.bancomundial.org
Generalidades
Planes de emergencia.
Generalidades
Planes de emergencia.
Generalidades
Concepto de causalidad.
Generalidades
Estrategia de gestión del riesgo. Identificación de peligros
REACTIVA PROACTIVA
Involucra el análisis de resultados o sucesos Involucra el acopio de datos de seguridad de
pasados. Los peligros se identifican mediante sucesos de consecuencias más leves o de
la investigación de sucesos de seguridad rendimiento de procesos y el análisis de la
operacional. Los incidentes y accidentes son información de seguridad operacional o de la
indicadores de deficiencias del sistema y, por frecuencia de los sucesos para determinar si
lo tanto, pueden usarse para determinar los un peligro podría conducir a un accidente o
peligros que contribuyeron al suceso. incidente. La información sobre seguridad
operacional para la identificación proactiva de
peligros procede principalmente de programas
de análisis de datos de vuelo (FDA), sistemas
de notificación de seguridad operacional y de
la función de aseguramiento de la seguridad
operacional.
Generalidades
Estrategia de gestión del riesgo. Desviación de la práctica
Gestion de la continuidad del negocio
“Capacidad estratégica y táctica para

planificar y responder a incidentes e
interrupciones del negocio con el fin de
continuar con las operaciones críticas del
negocio dentro de un nivel de servicio
aceptable y asumible.
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.trabajaytriunfa.com
Las organizaciones disponen de diferentes

sistemas de gestión, de acuerdo a sus
necesidades y desafíos que enfrente.
El tema de continuidad de negocios no es

la excepción, y actualmente cuenta con su
propio sistema de gestión normalizado y
certificable.
http://www.itsm-tlapa.edu.mx/master/index.php?option=com_content&view=article&id=75&Itemid=492
Bajo procesos conforme al ciclo PHVA (Planear

– Hacer – Verificar – Actuar), permite a las
organizaciones estar preparadas ante posibles
incidentes tecnológicos, naturales, o de
cualquier otra naturaleza; ya que identifica y
gestiona fácilmente los riesgos,
disminuyendo así los tiempos de inactividad,
la probabilidad de ocurrencia y costos.
https://asesoresjuridicosprofesionales.com/2020/08/05/como-aplicar-el-ciclo-phva-para-el-
mejoramiento-continuo-de-su-organizacion/
Muchas empresas se verán en algún

momento ante la necesidad de responder a
un incidente que puede alterar o amenazar
las operaciones cotidianas de su negocio.
La integración del estándar ISO 22301 con

otras normas, tales como ISO 9001, ISO
14001 y ISO 45001, se realiza de forma
sencilla gracias a su estructura modular.
https://asesoresjuridicosprofesionales.com/2020/08/05/como-aplicar-el-ciclo-phva-para-el-
mejoramiento-continuo-de-su-organizacion/
Certificación
En materia de continuidad en el negocio en el

año 1995 surge NFPA 1600, a partir de esta
aparecen distintos lineamientos, buenas
prácticas y otros estándares.
Hasta que en el año 2012 se publica la
norma ISO22301. Esta norma que abarca los
aspectos implicados en la gestión de la
continuidad de negocio.
Certificación
Seguridad social - Sistemas de gestión de la continuidad

del negocio – Requisitos
Comenzó como el estándar británico BS 25999 en 2006/2007,

y en 2012 se convirtió en un estándar aceptado
internacionalmente y publicado como ISO.
A diferencia de NFPA 1600, que es un estándar local de EE.

UU., la ISO 22301 se reconoce como el principal estándar
o marco de continuidad comercial.
https://www.ceupe.com/blog/normativa-iso-22301.html
Certificación
Seguridad social - Sistemas de gestión de la

continuidad del negocio – Requisitos
La certificación según ISO 22301 mejorará el modo en

que cualquier negocio gestiona esta eventualidad.
Garantiza la disponibilidad de un sistema de gestión

eficaz y planificada de la continuidad del negocio (BCM
BUSINESS CONTINUITY MANAGEMENT)
Permitiéndole responder eficazmente ante cualquier

contratiempo.
https://www.ceupe.com/blog/normativa-iso-22301.html
Certificación
Norma sobre Administración de Emergencias/Desastres

y Programas para la Continuidad del
Negocio/Continuidad de Operaciones
Publicada inicialmente por la Asociación Nacional de

Protección contra Incendios en 1995.
Fue respaldado por la Comisión del 11 de septiembre.
Fue adoptado por el Departamento de Seguridad Nacional

de los EE. UU. como una mejor práctica y recibió la
designación y certificación como tecnología antiterrorista https://www.facebook.com/SisoSeguridadIndustrialYSaludOcupacional/photos/a.9
41405492551593/3234616883230431/?type=3
según la Ley de SEGURIDAD.
Norma NPFA 1600
¿Qué tiene la NFPA 1600 que no tenga la ISO 22301?
• 4.3 Comité de programa: no existe en ISO 22301.
• 4.6 Finanzas y administración: En ISO 22301 no son tan

específicos.
• 5.2 Evaluación de riesgos: Más precisos que en ISO

22301 - definen peligros (amenazas), vulnerabilidades
e impactos con mayor detalle.
• 5.4.2 Evaluación de las necesidades de recursos: la

especificación, es más detallada que en ISO 22301.
Norma NPFA 1600
• 6.7.1.1 Centros de operaciones de emergencia (EOC):

eso no existe en ISO 22301.
• 6.7.7 y 6.7.8 La gestión de recursos en incidentes es
mucho más detallada que en ISO 22301.
• 6.10 Asistencia y apoyo a los empleados: aquí es
mucho más detallado que en ISO 22301.
• 8.3 Diseño de ejercicios y pruebas - nuevamente,

mucho más detallado que en ISO 22301.
Norma NPFA 1600
• Anexo A: aunque no es obligatorio para la

implementación, proporciona pautas útiles (al igual que
ISO 22313 para ISO 22301).
• La NFPA 1600 es mucho más detallada y probablemente

sea más fácil implementar la continuidad del negocio sin
utilizar literatura adicional; probablemente sea más
adecuado para organizaciones medianas y grandes,
dado que muchos requisitos son más completos que en
la norma ISO 22301.
Norma ISO 22301
¿Qué tiene ISO 22301 que no tenga NFPA 1600?
• 4.2.1 Partes interesadas y sus requisitos: los

requisitos son más precisos que en NFPA 1600.
• 4.3.2 Alcance: los requisitos son mucho más precisos en
ISO 22301.
• 7.5 Información documentada: nuevamente, requisitos
mucho más precisos que en NFPA 1600.
• 8.2.2 Análisis de impacto comercial: NFPA 1600

no reconoce la interrupción máxima aceptable
(MAO) como un paso antes del objetivo de tiempo
de recuperación (RTO).
Norma ISO 22301
• 8.3 Estrategia de continuidad del negocio: La NFPA

plantea una estrategia, pero no se especifica
detalladamente. En ISO 22301, la estrategia tiene una
importancia mucho mayor.
• 9.1 Seguimiento, medición, análisis y evaluación:

ISO 22301 es mucho más exigente aquí.
• 9.2 Auditoría interna - básicamente, NFPA 1600
no tiene tal requisito (aunque hay algunas pautas
en el Anexo A).
Norma ISO 22301
• 9.3 Revisión de la dirección: no hay requisitos

detallados en NFPA 1600, ni la participación de la
dirección de alto nivel.
• 10.1 Acciones correctivas: la NFPA no tiene
requisitos tan detallados.
• La ISO 22301 es más flexible, más fácil de

implementar en organizaciones de todos los
tamaños; hace énfasis en los problemas de gestión,
esto facilita la comunicación con la alta dirección.
Norma ISO 22301
El Estándar 22313, para alcanzar los

requerimientos establecidos por el estándar ISO
22301.
Por ejemplo:
• Estrategias de recuperación
• Métodos de ejercicio y prueba
• Catálogos de peligros
• Preguntas para incluir en el análisis de impacto
empresarial
Norma ISO 22301
¿Cuál implementar?
• Estándar Internacional de ISO • Estándar local de EE.UU de la NFPA

• Su Implementación es muy costosa • Su implementación es gratis
• Clara definición de las responsabilidades • Define comité de programa
• Mejor planificación de recursos para • La evaluación de riesgos es mucho más
garantizar la continuidad del negocio
precisa
• Mas flexible para organizaciones de todo
• Mas adecuada para organizaciones
tamaño
medianas y grandes
• Mas corta 32 paginas
• Mas larga 66 paginas
Norma ISO 22301
¿Cuál implementar?
• Estos estándares son similares en al menos el 90% de los requisitos; y se complementan

muy bien entre sí.
• Para una empresa estadounidense, es probable que su cliente o regulador le pida la NFPA
1600; pero para un mercado internacional, tarde o temprano la norma ISO 22301 se
convertirá en una necesidad.
Lo más recomendado seria comenzar la implementación con ISO 22301 y agregar un par de cosas
de NFPA 1600 que faltan en ISO.
Criterios generales
Norma sobre Administración de Emergencias/Desastres y Programas para la Continuidad del

Objetivo
Esta norma establece, frente a «todos los peligros», un

conjunto de criterios para la administración de
emergencias/desastres y programas de continuidad
de los negocios, conjunto al que de aquí en adelante
se hará referencia como «el programa».
Criterios generales

Proposito
Está norma proporciona los criterios fundamentales

para desarrollar, implementar, evaluar y mantener el
programa para prevención, mitigación, preparación,
respuesta, continuidad y recuperación.
https://www.google.com/url?sa=i&url=https%3A%2F%2Ftnews.com.
Criterios generales

Administración de emergencias/desastres
Un proceso permanente para prevenir, mitigar,

prepararse para, responder ante, mantener la
continuidad durante, y recuperarse frente a, la
ocurrencia de un incidente que amenace la vida, la
propiedad, las operaciones o el medio ambiente.
Criterios generales

Continuidad del negocio/Continuidad de la

operación
Un proceso permanente dirigido a asegurar que se

den los pasos necesarios para identificar el
impacto de pérdidas potenciales y mantener
estrategias viables de recuperación, planes de
recuperación y la continuidad de las operaciones.
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.incibe.es
Criterios generales

Administración del Programa
Las directivas deben demostrar el

compromiso con el programa para:
✓ Prevenir
✓ Mitigar las consecuencias de
✓ Prepararse para
✓ Responder ante
✓ Mantener la continuidad durante
✓ Recuperarse de los incidentes.
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.awnewscenter.com
Criterios generales

Comité del programa y coordinador del programa

Autorizado para desarrollar, implementar, administrar, evaluar y mantener el
programa.
El compromiso de los directivos

Apoyo al desarrollo, implementación y mantenimiento, Proveer los recursos y
Administración asegurar la revisión y evaluación.
del Programa
Planeación y diseño
Planeación de estrategias, planes y capacidades para ejecutar el programa,
debe definir la visión, misión y metas y una evaluación del riesgo y un análisis
del impacto para preparar estrategias de prevención y mitigación.
Criterios generales

Evaluación del riesgo
La organización debe realizar una evaluación del

riesgo para desarrollar las estrategias y planes
requeridos.
Además, debe identificar peligros y monitorear esos

peligros y su probabilidad de ocurrencia.
Criterios generales

Evaluación del riesgo

3. Biológico
1. Geológico
(a) Enfermedades transmitidas por alimentos
(a)Terremoto
(b)Enfermedades infecciosas, comunicables o
(b)Alud/deslizamiento de lodo/hundimiento
pandémicas
(c)Tsunami
(d)Volcán
4. Tecnológico
2. Meteorológico
(a)Interrupción, disrupción o falla de conectividad
en redes
(a)Sequia
(b)Interrupción, disrupción o falla de herramientas.
(b)Temperaturas extremas (frio, Calor)
(c)Rayos
(d)Incendios forestales
Criterios generales

Evaluación del riesgo 6. Causados intencionalmente por

humanos
5. Causados accidentalmente por
humanos (a)Incendios
(b)Amenaza de bomba
(a)Colapso de estructuras/construcciones (c)Secuestro/rehén
(b)Aprisionamiento (d)Actos de guerra
(c)Explosión/fuego (e)Huelga o disputa laboral
(d)Recorte de combustible/recursos (f)Paquete sospechoso
(e)Derrame o liberación de sustancias (g)Terrorismo
peligrosas (h)Vandalismo/sabotaje
Criterios generales

Recursos Prevención Mitigación
Recursos humanos, equipo, La estrategia de prevención debe La estrategia de

capacitación, instalaciones, estar basada en los resultados prevención debe estar
financiación, conocimiento de identificación de peligros y basada en los
experto, materiales, evaluación de riesgo, un análisis resultados de
tecnología, información, de los impactos, de las identificación de
inteligencia y los periodos de limitaciones del programa, peligro y evaluación
tiempo necesarios, Cantidad, experiencia operacional y del riesgo, un análisis
tiempo de respuesta, análisis de costo-beneficio. del impacto,
capacidad, limitaciones, costo y limitaciones del
responsabilidades programa, experiencia
operacional y análisis
costo-beneficio.
Criterios generales

Procedimientos operativos
• Control de accesos al área

afectada por el incidente.
• Identificación y Registro del personal
ocupado en actividades del incidente
• Movilización y desmovilización de
• recursos.
https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.elterritorio.com.ar
Criterios generales

Administración del Incidente
Centros de operaciones de emergencia (COEs).

• La entidad debe establecer COE’s primarios y alternos
capaces de manejar las operaciones de respuesta,
continuidad, y recuperación.
• Se debe permitir que los COE’s sean físicos o virtuales.

• Al activar un COE deben establecerse comunicaciones y
coordinación entre el comando del incidente y el COE.
• El sistema de manejo de incidentes debe describir los roles,

cargos y responsabilidades organizacionales específicos,
https://www.google.com/url?sa=i&url=http%3A%2F%2Fwww.aena.es
para cada función de manejo de incidente.
Criterios generales

Capacitación y educación
• La capacitación debe crear concientización y

mejorar el conocimiento, las destrezas y
capacidades requeridas para implementar,
soportar y mantener el programa.
• El personal debe ser capacitado en el

sistema de manejo de Incidentes de la
entidad (SMI) y otros componentes del
programa al nivel de su participación.
https://safetya.co/ejemplo-de-programa-de-capacitacion-en-sst/
Criterios generales

Ejercicios y pruebas
• La organización debe evaluar los planes,

procedimientos, capacitación y capacidades del
programa y promover el mejoramiento continuo a
través de ejercicios periódicos y pruebas.
• La entidad debe evaluar el programa basado en

el análisis de hechos post-incidente, lecciones
aprendidas y desempeño operativo
Criterios generales
Beneficios de la implementación de la Continuidad de negocio
• Resiliencia proactiva
• Ventaja competitiva
• Ahorro económico
• Cumplimiento
• Mejora continua de los procesos
• Aumento de la motivación de los empleados
https://www.globalsuitesolutions.com/es/la-continuidad-de-negocio-no-es-un-plan-de-continuidad-de-
negocio/
Conclusiones
• Desafío global
• Gestionar el negocio de forma diferente
• Mejora continua: implementación, formación y concienciación
• Políticas y estrategias ajustadas a las necesidades de las empresas.
• Marco de referencia adecuado y sólido
• Hay que conocer el riesgo para poder gestionarlo
• Ante una emergencia, no hay tiempo para experimentar

Componente Complementario-Continuidad Del Negocio

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Componente Complementario-Continuidad Del Negocio

Cargado por

Copyright:

Formatos disponibles

COMPONENTE

Continuidad del negocio

Conocer acciones complementarias en el

Identificar los aspectos fundamentales de las

Se recomienda descarga la presentación antes

Gestión de la continuidad del negocio

Norma NFPA 1600

Las compañías con un incidente grave:

El 81% de las organizaciones que activaron sus

Estas estadísticas sugieren la necesidad de la Es mejor estar preparados para algo

Gestion de riesgos de desastres.

Ley 1523 de 2012, la Gestión del riesgo de

Gestion de riesgos de desastres.

Es mejor estar preparados para algo

Estrategia de gestión del riesgo. Identificación de peligros

Estrategia de gestión del riesgo. Desviación de la práctica

“Capacidad estratégica y táctica para

Las organizaciones disponen de diferentes

El tema de continuidad de negocios no es

Bajo procesos conforme al ciclo PHVA (Planear

Muchas empresas se verán en algún

La integración del estándar ISO 22301 con

En materia de continuidad en el negocio en el

Seguridad social - Sistemas de gestión de la continuidad

Comenzó como el estándar británico BS 25999 en 2006/2007,

A diferencia de NFPA 1600, que es un estándar local de EE.

Seguridad social - Sistemas de gestión de la

La certificación según ISO 22301 mejorará el modo en

Garantiza la disponibilidad de un sistema de gestión

Permitiéndole responder eficazmente ante cualquier

Norma sobre Administración de Emergencias/Desastres

Publicada inicialmente por la Asociación Nacional de

Fue adoptado por el Departamento de Seguridad Nacional

¿Qué tiene la NFPA 1600 que no tenga la ISO 22301?

• 4.3 Comité de programa: no existe en ISO 22301.

• 4.6 Finanzas y administración: En ISO 22301 no son tan

• 5.2 Evaluación de riesgos: Más precisos que en ISO

• 5.4.2 Evaluación de las necesidades de recursos: la

¿Qué tiene la NFPA 1600 que no tenga la ISO 22301?

• 6.7.1.1 Centros de operaciones de emergencia (EOC):

• 8.3 Diseño de ejercicios y pruebas - nuevamente,

¿Qué tiene la NFPA 1600 que no tenga la ISO 22301?

• Anexo A: aunque no es obligatorio para la

• La NFPA 1600 es mucho más detallada y probablemente

¿Qué tiene ISO 22301 que no tenga NFPA 1600?

• 4.2.1 Partes interesadas y sus requisitos: los

• 8.2.2 Análisis de impacto comercial: NFPA 1600

¿Qué tiene la NFPA 1600 que no tenga la ISO 22301?

• 8.3 Estrategia de continuidad del negocio: La NFPA

• 9.1 Seguimiento, medición, análisis y evaluación:

¿Qué tiene la NFPA 1600 que no tenga la ISO 22301?

• 9.3 Revisión de la dirección: no hay requisitos

• La ISO 22301 es más flexible, más fácil de

¿Qué tiene la NFPA 1600 que no tenga la ISO 22301?

El Estándar 22313, para alcanzar los

• Estándar Internacional de ISO • Estándar local de EE.UU de la NFPA

• Estos estándares son similares en al menos el 90% de los requisitos; y se complementan

Norma sobre Administración de Emergencias/Desastres y Programas para la Continuidad del

Esta norma establece, frente a «todos los peligros», un

Norma sobre Administración de Emergencias/Desastres y Programas para la Continuidad del

Está norma proporciona los criterios fundamentales

Norma sobre Administración de Emergencias/Desastres y Programas para la Continuidad del