Iso22301

NORMAS
ISO/IEC 22301
2016
Docente: Ing. Manuel Castillo Fernández
1
Agenda de la Semana
Introducción aa la
Introducción la norma
norma ISO
ISO 22301
22301 yy el
el inicio
inicio
Día
Día 11 De un
De un SGCN
SGCN
Planificar la
Planificar la implementación
implementación del
del SGCN
SGCN
Día
Día 22 Despliegue del
Despliegue del SGCN
SGCN
Monitoreo del
Monitoreo del SGCN,
SGCN, mejora
mejora continúa
continúa yy
Preparación para
Preparación para la
la auditoría
auditoría de
de certificación
certificación
Día 33
Día
Examen final
Examen final
Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 2
Estándar y marco normativo
a. ¿Qué es la ISO?
b. Principios fundamentales de la ISO
c. Normas de sistemas de gestión
d. Sistema de gestión integrado
e. Normas de Continuidad del
Negocio
f. ISO 22301 e ISO 27001
g. Ventajas de la ISO 22301
¿Qué es ISO?
• ISO es una red de organismos nacionales de estandarización de más

de 160 países
• Los resultados finales de los trabajos realizados por ISO son

publicados como normas internacionales
• Se han publicado más de 19000 normas desde 1947

Principios Básicos – Normas ISO
1. 1. Representación igualitaria: 1 voto por país
2. Adhesión voluntaria: ISO no tiene la autoridad

para forzar la adopción de sus normas
PRINCIPIOS
Básicos de 3. Orientación al negocio: ISO sólo desarrolla normas para
las Normas existe demanda del mercado
ISO
a 4. Enfoque de consenso: busca un amplio consenso entre las
distintas partes interesadas
5. Cooperación internacional: más de 160 países además de

organismos de enlace
Los Ocho Principios de Gestión de la ISO
Enfoque en el
cliente
Liderazgo
Participación de
Enfoque del Las personas
Sistema para la Enfoque en los
gestión procesos
Mejora continua
Enfoque basado
en hechos para la
Toma de decisiones Relaciones
Mutuamente
Beneficiosas con
el proveedor
Normas de Sistemas de Gestión
Normas primarias en las que una organización puede estar

certificada
OHSAS 18001
ISO 9001 ISO 20000
ISO 14001 Salud y
Calidad Medioambiente Seguridad en Servicios
el trabajo de TI
ISO 22000 ISO 22301 ISO 27001 ISO 28000

Seguridad de
Sanidad Continuidad Seguridad de la
la Cadena de
Alimentaria del Negocio Información
Suministro
Sistema de Gestión Integrado
Estructura típica de las normas ISO
ISO ISO ISO ISO ISO

Requisitos 9001:2008 14001:2004 20000:2011 22301:2012 27001:2005
Objetivos del sistema de

5.4.1 4.3.3 4.5.2 6.2 4.2.1
gestión
Política del sistema

5.3 4.2 4.1.2 5.3 4.2.1
de gestión
Compromiso de la
5.1 4.4.1 4.1 5.2 5
Dirección
Requisitos de
4.2 4.4 4.3 7.5 4.3
Documentación
Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6
Mejora continua 8.5.1 4.5.3 4.5.5 10 8
Revisión por la
5.6 4.6 4.5.4.3 9.3 7
Dirección
ISO 22301
• Especifica los requisitos ISO

INTERNATIONAL
de gestión de un SGCN 22301

STANDARD
• Los requisitos (cláusulas)

son escritos utilizando el

verbo “deberán” en

imperativo
• Integrar el modelo PDCA

_______________________________________________
Societal security- Business continuity
Management Systems –Requirements
(PLAN, DO, CHECK Y Act)
• Auditable

• La organización puede ser
certificada en esta norma _________________________________________________
ISO 22301
Contenido
Sección 1 Ámbito de aplicación
Sección 2 Referencias normativas
Sección 3 Términos y definiciones
Sección 4 Contexto de la organización
Sección 5 Liderazgo
Sección 6 Planificación
Sección 7 Apoyo
Sección 8 Funcionamiento
Sección 9 Evaluación del desempeño
Sección 10 Mejora
ISO 22313
• Guía para el código de

INTERNATIONAL
ISO
buenas prácticas para STANDARD
22313
implementar, mejorar un

Sistema de Gestión de la
Continuidad de los Negocios

(Documento de referencia).

• Cláusula escrita utilizando el _______________________________________________
verbo “debería” a fin de Societal security-Business continuit

Management Systems –Gidance
proporcionar orientación en
materia de aplicación.

• La organización no puede

ser certificada en esta norma

_________________________________________________
Historia de la norma ISO 22301
1988 – 2013
2013
2012
2007 ISO publica la

primera versión
de la norma ISO
2006 ISO publicó 22313
la primera
versión de
la norma
2003 Publicac
ISO 22301
ión de la
norma
2002 Publicación BS
de la 25999-2
norma BS
1984 25999-1
Publicación de
PAS 56
BCI publica
Guías de
1988 Buenas
Creación del Prácticas de la
Business GCN
Continuity
Institute
Creación del DRI (BCI) en el
Internacional conocido Reino Unido
originalmente como
Disaster Recovery
Institute (Instituto de
Recuperación ante
Desastres)en los EEUU
Otras Normas sobre Continuidad del Negocio
Ejemplos
ISO 24762
ISO 27031
NIST 800-34 Norma NFPA

1600
El Contenido y la Relación entre ISO
22301 e ISO 27001
ISO 27001, A. 14: Gestión de Continuidad del Negocio

ISO 22301
A.141 Aspectos de la seguridad de la información dela gestión de la continuidad del negocio Requisitos
Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los
procesos comerciales críticos de los efectos de fallas o desastres importantes o desastres en
los sistemas de información y asegurar su reanudación oportuna Continuidad del negocio
Control 4.4 sistema de gestión
Incluir seguridad de l
A.14.1.1 Se debe desarrollar y mantener un proceso gerencial para
Información en el
la continuidad del negocio a través de toda la organización
proceso de
para tratar los requerimientos de seguridad de la
Gestión de la información necesarios para la continuidad comercial de la
continuidad organización.
del negocio 8.2 AIN y la Evaluación de
los riesgo
Control
A.14.1.2 Continuidad del
negocio y Se deben identificar los eventos que causan interrupciones en los
procesos de negocios, junto con la probabilidad de impacto de
evaluación del riesgo
dichas interrupciones y sus consecuencias para la seguridad de la
información. 8.4 Procedimientos de la
Control continuidad del negocio
A.14.1.3 Desarrollo e
implementar Se deben desarrollar e implementar planes para mantener o
restaurar las operaciones y asegurar la disponibilidad de la
Planes de continuidad
información en el nivel requerido y en las escalas de tiempo
Incluyendo seguridad requeridas después de la interrupción o falta en los procesos de
de la
información
negocios críticos.
6 Planificación del SGCN
Control
A.14.1.4 Marco referencial para
la Se debe mantener un solo marco referencial del plan de continuidad
de negocio para asegurar que todos los planes sean consistentes y
Planeación de la
para tratar consistentemente los requerimientos de la seguridad de
continuidad la información e identificar las prioridades de pruebas y 8.5 Ejercicio y pruebas
Del negocio mantenimiento.
Control
A.14.4.5 Prueba mantenimiento
Los planes de continuidad de negocio se deben probar y actualizar
Ejercicio 1
Mitos y Realidades – Continuidad del Negocio

Continuidad del Negocio
Ventajas
Previsible y Mantenimiento de Mejor

Protección de las actividades
eficaz respuesta esenciales de la
comprensión de
las personas
a las crisis organización la organización
Respeto de las Protección dela

Reducción de Confianza de
partes reputación y la
costos: los clientes
interesadas marca
El cumplimiento Cumplimiento
Ventaja Cumplimiento
de los requisitos de los
competitiva de normativas
legales contratos
Capacitación del Implementador Líder
Certificado en la norma ISO 22301
Sección 3
Sistema de Gestión de la Continuidad del Negocio (SGCN)
a. Definición de un SGCN
b. Enfoque en los procesos
c. Visión general – Cláusulas 4 a 10
d. Los componentes claves de un SGCN
¿Qué es la Continuidad del Negocio?
Proceso impulsado por el negocio que establece un marco

Estratégico y táctico de ajuste a los objetivos que:
Mejora la organización pro activa de resistencia contra la interrupción de su

1 capacidad de lograr sus objetivos clave
Proporciona un método ensayado para restaurar la capacidad de una

2 organización para garantizar el suministro de sus productos y servicios clave
después de una interrupción
Proporciona una capacidad demostrada para gestionar una interrupción del

3 negocio y proteger la reputación de la organización y de la marca
Gestión de Continuidad del Negocio
ISO 22301, cláusula 3.4:
Proceso de gestión holístico que identifica amenazas potenciales para la

organización así como el impacto en las operaciones del negocio que
dichas amenazas, en caso de materializarse, puedan causar, y que
proporciona un marco para aumentar la capacidad de resistencia o
resilencia de la organización para dar respuesta eficaz que salvaguarde
los intereses de sus principales partes interesadas, la reputación, la
marca y las actividades de creación de valor
Nota:
Nota: El
El sistema
sistema de
de gestión
gestión incluye
incluye la
la estructura,
estructura, las
las políticas,
políticas, las
las
actividades de planificación, las responsabilidades,
actividades de planificación, las responsabilidades,
Las
Las prácticas,
prácticas, los
los procedimientos,
procedimientos,
Los
Los procesos
procesos yy los
los recursos
recursos dede la
la organización
organización
Los componentes claves de un SGCN
ISO 22301, Introducción
Un SGCN, a igual que cualquier otro sistema de gestión,

tiene los siguientes Componentes fundamentales :
1. Una política
2. Personas con responsabilidades definidas;
3. Procesos de gestión asociados con:
- Política
- Planificación
- Implementación y operación
- Evaluación del rendimiento
- Revisión por la Dirección
- Mejora
4. Documentación que provea pruebas
auditables
5. Cualquier proceso de gestión de la
continuidad del negocio pertinente a la
organización
El ciclo Planificar – Hacer – Verificar – Actuar (PHVA)
ISO 22301, Introducción
Planificar Partes
Partes
Interesadas
Interesadas Establecer un
SGCN
Actuar Hacer
Mantener y Implementar
Mejorar el SGCN El SGCN
Requerimientos
expectativas
Supervisar y
de la Continuidad del
Revisar el SGCN
Negocio Gestionada
Verificar
Requisitos generales
ISO 22301
En resumen
La organización deberá establecer, implementar, mantener y mejorar u SGCN en
conformidad con las necesidades y los requisitos de las partes interesadas
1.Conocimiento
2. Determinar
de la 3. Implementar y
las
organización Administrar un
necesidades y
y su entorno SGCN
requisitos
Contexto de la organización
ISO 22301, cláusula 4
•Las actividades de la organización, las funciones, los servicios, productos, asociaciones,

Conocimiento de la cadenas de suministro, las relaciones con las partes interesadas.
Organización y su •Los vínculos entre la política de continuidad del negocio y los objetivos de la
entorno organización y otras políticas
•El apetito de la organización por el riesgo
Comprensión de las •Las necesidades de las partes interesadas que son pertinentes para el SGCN
Necesidades y •Los requisitos de estas partes interesadas
Expectativas de las •Requisitos jurídicos y normativos
Partes interesadas
•La organización determinará los limites y la aplicabilidad del SGCN para establecer su
alcance
Determinar el
Alcance del SGCN
•A la hora de determinas el alcance , la organización tendrá en cuenta las cuestiones
internas y externas y los requisitos
Liderazgo y Compromiso de la Dirección
ISO 22301, cláusula 5.1 y 5.2

Orientación estratégica
• Asegurarse de que el SGCN es compatible con la

orientación estratégica de la organización
• Integrar los requisitos del SGCN en los procesos de
negocio de una organización
Hacer que los recursos estén

disponibles
• La Dirección deberá determinar y proporcionar los

Recursos necesarios para el SGCN
Comunicación
• Dirección deberá comunicar la importancia de una

buena Gestión de la Continuidad del Negocio y el
cumplimiento de los procesos del SGCN
Política de Continuidad del Negocio
•La alta dirección debe establecer una política de continuidad del

negocio que:
- Sea apropiada para los fines de la organización

- Proporcione un marco para establecer objetivos de continuidad del negocio
- Incluya un compromiso de cumplir los requisitos aplicables
- Incluya un compromiso de mejora continua del SGCN
• La política del SGCN deberá:

- Estar disponible como información documentada
- Ser comunicada dentro de todas las partes interesadas, según corresponda
- Ser revisada para su adecuación continuada a intervalos definidos y cuando se
reduzcan cambios significativos
Funciones, Responsabilidades y Autoridades
•La alta dirección deberá asegurarse de que las responsabilidades y

autoridades para funciones pertinentes sean asignadas y comunicadas
dentro de la organización.
• La alta gerencia deberá asignar la responsabilidad y autoridad para:
-Garantizar que el sistema de gestión

se ejecuta en conformidad con los
los requisitos de la norma ISO 22301.
-Informar sobre la eficacia de la
gestión a la alta dirección.
Los Objetivos y los Planes para Alcanzarlos
• La alta dirección deberá asegurarse de que los objetivos de

continuidad del negocio son establecidos y comunicados para las
funciones y los niveles pertinentes dentro de la organización
• Los objetivos deberán:
a) Ser coherentes con la política de continuidad del negocio
b) Tomar cuenta del nivel mínimo de los productos y servicios que sea
aceptable para la organización para alcanzar sus objetivos
c) Ser mensurables
d) Tener en cuenta los requisitos aplicables
e) Ser monitoreados y actualizados según proceda
Apoyo
ISO 22301, cláusula 7:
La organización Las personas que realizan El SGCN de la

deberá determinar y Trabajo en el marco del Organización deberá
proporcionar los Control de a organización Incluir información
recurso necesarios Deberán ser conscientes Documentada requerida
para el SGCN De la política de la CN, Por la ISO 22301 y
Sus funciones en el SGCN Registros para
Y los requisitos para la demostrar
organización La eficacia del SGCN
Recursos Competencia Sensibilización Comunicación Documentación
La organización
Deberá asegurar
Tener personas La organización deberá
Competentes Establecer, implementar
para realizar las y mantener mecanismos
tareas De comunicación con
relacionadas con las partes interesadas
el SGCN internas y externas
Información documentada
• ISO 22301, cláusula 7.5:
9. Disposición 1. Creación
8. Archivado 2.
Identificación
7. Uso 3. Clasificación
adecuado y seguridad
6. 4.
Distribución Modificación
5. Aprobación
Se debe establecer un procedimiento para gestionar el ciclo de vida de los documentos

Análisis del impacto en el Negocio y Evaluación de los Riesgos
Proceso de
análisis de las
funciones del
negocio y del Proceso general
efecto que una Análisis de
Evaluación de identificación,
interrupción del Impacto en el
de riesgo Análisis y
negocio podría Negocio
Evaluación de
tener sobre riesgos
dichas funciones
Estrategia de Continuidad del Negocio
ISO 22301, cláusula 8.3
La organización deberá determinar las opciones apropiadas de continuidad

para:
A) Proteger las actividades

prioritarias
B) Estabilizar, continuar,
C) Mitigar, responder a los
reanudar y recuperar
impactos y gestionarlos
actividades prioritarias
Establecer y Aplicar Procedimientos de Continuidad del Negocio
ISO 22301, CLÁUSULA 8.4.1
La organización deberá documentar los procedimientos (incluyendo arreglos

necesarios) para garantizar la continuidad de las actividades y la gestión de un
incidente perjudicial
os de
s p u e sta en Cas Generalidades
Generalidades
La re n de
e n c ia y la Gestió
Emerg ••La
Crisis La organización
organización deberá
deberá
establecer,
establecer, implementar yy
implementar
Contingencia mantener
mantener procedimientos
procedimientos de de
continuidad
continuidad deldel negocio
negocio para
para
Recuperación y gestionar un incidente
gestionar un incidente
Restauración perjudicial
perjudicial yy continuar
continuar sus
sus
actividades
actividades sobre la base de
sobre la base de
Protección y objetivos
objetivos de
de recuperación
recuperación
mitigación
identificados
identificados enen el
el análisis
análisis
Ca del impacto en el negocio
del impacto en el negocio
y C pacit
on ació
cie
n ci n
aci
ó n
Ejercicios y Pruebas
La organización
deberá ejercitar y
Probar sus
Procedimientos de
Continuidad del negocio
para garantizar que son
Coherentes con sus
Objetivos de
Continuidad del
negocio
Evaluación del desempeño
1. Revisión del ejercicio y la

2. Revisión periódica de la eficacia
prueba de los procedimientos
del SGCN teniendo en cuenta las
de continuidad, después de los
proposiciones y sugerencias de los
informes sobre incidentes.
interesados.
6. Revisión de la gestión
y actualización de los
Monitoreo
planes de continuidad del
Negocio y de los
y revisión 3. Medición de la eficacia
del SGCN
de los procedimientos
Procedimientos.
5. Realización de las auditorias 4. Revisión de las evaluaciones

internas.
De riesgo y del AIN.
Nota: Cada una de estas acciones debe ser documentada y registrada.

Mejora
• La organización deberá mejorar continuamente la conveniencia, adecuada

y eficacia del SGCN.
• La organización puede utilizar los procesos de SGCN como el liderazgo, la

planificación y la evaluación del desempeño, para lograr la mejora.
Capacitación Implementador Líder Certificado en la norma ISO 22 301
Sección 4
Principios fundamentales de la continuidad del negocio
a. Continuidad de negocio y recuperación de desastres
b. Evento: de un incidente a una emergencia
c. Organización y actividades prioritarias
d. Procesos y recursos
e. Probabilidad, consecuencia e Impacto
f. Interesados (partes interesadas)
g. Resiliencia
Continuidad del Negocio y Recuperación ante Desastres
Diferencias
Recuperación ante
Continuidad del Negocio desastres
Recuperar la “tecnología”
Asegurar que el negocio
Lo más rápidamente
Pueda continuar durante
posible.
Una emergencia
Se incluyen:
Los Objetivos son: • Los Datos, el hardware y el
software necesarios para
•En primer lugar, el capital reanudar las operaciones
Humano de la empresa Críticas de la empresa
•Un plan de recuperación

•Entrega de productos o ante desastres (DRP) también
prestación de servicios a los incluye la elaboración de
clientes de la empresa planes para hacer frente a la
inesperada o repentina pérdida
•Funciones críticas de personal clave
del negocio en la empresa •En un PCN, es uno de los
aspectos del plan
GESTIÓN DE RIESGO
GESTIÓN ANTE
UNA EMERGENCIA
RECUPERACIÓN DE TI
ANTE DESASTRE
ADMINISTRACIÓN DE
LAS INSTALACIONES
GESTIÓN DE LA CADENA DE
SUMINISTRO
GESTIÓN DE CALIDAD
GESTIÓN DEL MEDIO

AMBIENTE
Está en relación con:
SALUD Y SEGURIDAD
GESTIÓN DE CRISIS
La Gestión de Continuidad del Negocio
Participación de todos los elementos de la organización
RECURSOS HUMANOS
SEGURIDAD
COMUNICACIONES &
RRPP
Evento: de incidente a una Emergencia
Definiciones de las normas ISO 22300, ISO 22301 e ISO 22399

Evento
• Ocurrencia de un conjunto particular de circunstancias.
(ISO 22301, 3.17)
Interrupción • Evento que pudiera constituir o pudiera redundar en una interrupción

(ISO 22399. 3.4 del negocio, en una pérdida, emergencia o crisis.
• Incidente, ya sea previsto (p. ej., un huracán) o imprevisto (por

Incidente
naturales, que requieren de atención urgente y de medidas para
(ISO 22301, 3.19)
proteger la vida, los bienes o el medio ambiente.
• Cualquier incidente(s), causado por los humanos o causas naturales,

Crisis
que requieren de atención urgente y de medidas para proteger la vida,
(ISO 22399, 3.3)
los bienes o el medio ambiente.
•Situación en la que se han producido amplias pérdidas humanas,

Desastre materiales, económicas o ambientales que superaron la capacidad de la
(ISO 22300, 2. organización, la comunidad y la sociedad afectadas para responder y
recuperarse utilizando sus propios recursos.
Emergencia (ISO • Suceso o evento repentino, urgente, generalmente inesperado que

22399, 3.6) requiere acción inmediata.
Organización y Actividades
ISO 22301, CLÁUSULA 3.1,3.33 y 3.42
Organización (3.33)
Organización (3.33)
Persona
Persona oo grupo
grupo de
de personas
personas que que tiene
tiene sus
sus
propias
propias funciones
funciones concon responsabilidades,
responsabilidades,
autoridades
autoridadesyy relaciones
relaciones para
para lograr
lograr sus
susobjetivos.
objetivos.
Actividad (3.1)
Actividad (3.1)
Proceso
Proceso oo conjunto
conjunto dede procesos
procesos acometidos
acometidos por por
una
una organización
organización (o
(o en
en su
su nombre)
nombre) que
que producen
producen
oo dan
danapoyo
apoyo aauno
uno oomás
más productos
productos yyservicios.
servicios.
Actividades Prioritarias
Actividades Prioritarias (3.42)
(3.42)
Las
Las actividades
actividades aa las
las que
que deben
deben darse
darse prioridad
prioridad
tras
trasun
unincidente
incidente con
con el
el fin
fin de
de mitigar
mitigarlos
los impactos.
impactos.
Proceso
Conjunto de actividades mutuamente relacionadas o que interactúan, que

transforman elementos de entrada en resultados.
Entrada Actividades Salida

Recurso
ISO 22301, CLÁUSULA 3.47
Recursos
Las Personas
••Todos
Todos loslos archivos,
archivos, personal,
personal,
habilidades,
habilidades, información,
información,
tecnología
tecnología (incluyendo
(incluyendo maqui-
maqui-
naria y equipos), locales,
naria y equipos), locales, yy
suministros
suministros ee información
información (ya(ya
sea electrónica o no) que
sea electrónica o no) que una una Activos Información
Información
organización
organización debe
debe tener
tener dispo-
dispo-
nibles
nibles para uso, cuando sea
para uso, cuando sea
necesario, para
necesario, para operaroperar yy
cumplir
cumplir sus
sus objetivos.
objetivos.
Locales Tecnologías Suministros
Locales Tecnologías Suministros
Riesgo
ISO 22301
Riesgo
Riesgo (3.48)
(3.48)
Efecto
Efecto de
de incertidumbre
incertidumbre sobre
sobre los
losobjetivos
objetivos
Apetito por
Apetito por el
el riesgo
riesgo (3,49)
(3,49) R
Cantidad
Cantidad de
de riesgo
riesgoque
queuna
una organización
organización está
está
Dispuesta
Dispuesta aaconseguir
Evaluación de
Evaluación
conseguiroo conservar
de Riesgo
Riesgo (3.50)
(3.50)
conservar
I
Proceso
Proceso general
generalde
de identificación,
Evaluación
identificación,análisis
Evaluación de
Gestión del
Gestión
de riesgos.
del riesgo
riesgos.
riesgo (3.51)
(3.51)
análisisyy
S
Actividades
Actividades coordinadas
Una
coordinadas para
Una organización
organización con
para dirigir
dirigiryy controlar
conrespecto
respecto al
controlar
alriesgo
riesgo K
K
Probabilidad, Consecuencia e Impacto
ISO 22399
Probabilidad
Probabilidad (3.28)
(3.28)
Grado
Grado al
al que
que es
es probable
probable que
que se
se produzca
produzca
un
un evento
evento
Consecuencia
Consecuencia (3.2)
(3.2)
Resultado
Resultado de
de un
un evento
evento
Impacto
Impacto (3.10)
(3.10)
Consecuencia
Consecuencia evaluada
evaluada dede un
un resultado
resultado en
en
particular
particular
Parte interesada (interesados)
ISO 22301, CLÁUSULA 3.21:
Persona u organización que puede afectar, pueden verse afectados por,

o se consideran afectados por una decisión o actividad
Instituciones Proveedores Clientes Grupos

financieras Interesados
Consejo de Equipo de
Administración Gestión
Organización
Empleados Sindicatos
Regulador Medios Público Accionistas

Resilencia
ISO 22300, cláusula 2.1.17
Resilencia
Capacidad de adaptación
de una organización en un
ambiente complejo y
cambiante
Capacitación Implementador Líder Certificado en la norma ISO
22301
Sección 5
Iniciando la implementación del SGCN
a. Enfoque para la implementación del SGCN
b. Metodología de implementación del SGCN
c. Alimentación con las mejores prácticas

Requisitos
5.4 Funciones organizativas, responsabilidades y autoridades
La alta gerencia deberá asigna la responsabilidad y autoridad para :
Garantizar que el sistema de gestión se establece y ejecuta en

conformidad con los requisitos de esta Norma Internacional
1.1. Iniciando la Implementación del SGCN
Lista de actividades
Intención de 1.1.1 Definición 1.1.2. Selección de 1.1.3. Alineación

Implementar del enfoque para un marco Con las mejores
Intención
un SGCNde 1.1.1 Definición
la implementación 1.1.2. Selección de
metodológico Prácticas
Implementar del enfoque para un marco
un SGCN la implementación metodológico
1.2. Comprensión
De la organización
1.2. Comprensión
De la organización
1.1.1. Definición del Enfoque de Aplicación del SGCN
Posibles Enfoques
2. Nivel de madurez de
los Procesos en uso
3. Expectativas
y alcance
1. Velocidad de
implementación
Enfoque Propuesto
Directrices
1. Enfoque del negocio
Se integra en el contexto de
las actividades comerciales
a través de la organización 2. Enfoque de sistemas
La aplicación general del

proceso de SGCN, no
5. Método iterativo mediante al aislamiento de
los procesos
La rápida
Implementación del Directrices
SGCN respetando lo
Requisitos mínimos y
Cambiar a mejora
Continua a partir de
entonces
3. Enfoque Sistemático
Aplicar las mejores

4. Enfoque Integrado prácticas en gestión de
proyectos
Integración del SGCN o armonizarlo
con los demás requisitos de la
organización
Las Directrices de Aplicación
Recomendaciones
1. Evitar la integración de nuevas tecnologías

2. Integrar el DGCN en los procesos existentes
3. Aplicar los principios de mejora continua
4. Involucrar a los participantes en la organización
5. Obtener el apoyo de la Dirección
6. Identificar y formalmente nombrar a un Director del proyecto del
SGCN
1.1.2. Elegir un Marco Metodológico para Gestionar el Proyecto de
Implementación del SGCN
1. Planificar
2. Hacer 3. Verificar 4. Actuar
1.1. Inicio del
SGCN
2.1 Análisis del
1.2 Comprensión Impacto al Negocio
de la organización (AIN) 3.1 Seguimiento,
4.1 No conformidades
medición, análisis y
1.3 Analizar el 2.2 Evaluación y acción correctiva
evaluación
sistema existente del negocio
2.3 Estrategia de
1.4 Alcance
Continuidad del
Negocio 3.2 Auditoría interna
1.5 Liderazgo y
planificación 2.4 Medidas de
Presentación &
1.6 Política de CN Mitigación
3.3 Revisión
2.5 plan y 4.2 Mejora continua
por la Dirección
1.7 Estructura procedimientos de la
de la organización continuidad del negocio
1.8 Información
2.6 Comunicación
documentada
1.9 Competencia & 2.7 Ejercicio y

sensibilización pruebas
Metodología de Implementación Integrada para los Sistemas de
Gestión y las Normas (IMS)
Metodología de PECB para la aplicación del SGCN

4 FASES 21 Pasos 101 actividades Tareas sin definir
Planificar
Proyecto Hacer
Del
SGCN
Verificar
Actuar
Enfoque y Metodología
Basado en las mejores prácticas
ISO 10006 PMBOK 22313

Directrices para la gestión de Conjunto de Conocimientos Orientación para la
calidad en proyectos de la gestión de Proyectos Implementación del
(PMBOK en idioma inglés sistema
de gestión de
1.1.3. Alineación con las Mejores Prácticas
Uso de las normas ISO
01
ISO 22301 ISO 223
ISO 27031 ISO 22313
ISO 27001 ISO XXXXX

ISO 24762
Ejercicio 2
Las ventajas, los impulsores, las limitaciones de un proyecto de

SGCN
Capacitación Implementador Líder Certificado en la norma ISO 22301
Sección 6
Comprensión de la organización
a. Comprensión de la organización
b. Identificación y análisis de las partes interesadas
c. Identificación y análisis de los requisitos y expectativas
d. Definición preliminar del alcance
1.2. Comprensión de la organización
1. Planificar 2. Hacer 3. Verificar 4. Actuar

1.1. Inicio del
SGCN
2.1 Análisis del
1.2 Comprensión Impacto al Negocio
de la organización (AIN) 3.1 Seguimiento, 4.1 No
medición, análisis y conformidades
1.3 Analizar el 2.2 Evaluación
evaluación y acción correctiva
2.3 Estrategia de
1.4 Alcance
Continuidad del 3.2 Auditoría
Negocio interna
1.5 Liderazgo y
Presentación &
3.3 Revisión 4.2 Mejora
2.5 plan y por la Dirección continua
1.8 Información
2.6 Comunicación
documentada

Requisitos
Comprensión de la organización y su entorno

La organización deberá determinar las cuestiones internas y externas que son pertinentes a su propósito y que
afectan su capacidad de alcanzar los resultados esperados de su SGCN.
Estos temas se tomarán en cuenta al establecer, implementar y mantener la organización del SGCN.
La organización deberá identificar y documentar lo siguiente:
a) Las actividades de la organización, las funciones, los servicios, productos, asociaciones, cadenas de
suministro, las relaciones con las partes interesadas, y el impacto potencial de un incidente perjudicial;
b) Los vínculos entre la política de continuidad del negocio y los objetivos de la organización y otras políticas
incluyendo su estrategia global de gestión de riesgos.
c) El apetito por el riesgo de la organización.
Para establecer el contexto, la organización deberá:

1) Articular sus objetivos, incluidos los que se ocupan de la continuidad del negocio,
2) Definir los factores internos y externos que crean la incertidumbre que da lugar al riesgo.
3) Establecer criterios de riesgo teniendo en cuenta el apetito por el riesgo, y
4) Definir el objetivo del SGCN.
1.2. Comprensión de la organización
1.2 Comprensión de la
organización
1.1
1.1 Iniciar
Iniciar el
el 1.2.1
1.2.1 Misión
Misión 1.2.2
1.2.2 Entorno
Entorno 1.2.3
1.2.3 Entorno
Entorno
SGCN
SGCN objetivos,
objetivos, valores
valores externo
externo interno
interno
estrategias
estrategias
1.2.4
1.2.4 proceso
proceso yy 1.2.5
1.2.5 1.2.6
1.2.6 Partes
Partes 1.2.7
1.2.7 Requisitos
Requisitos
actividades
actividades Infraestructura
Infraestructura interesadas
interesadas del negocio
del negocio
1.2.8
1.2.8 Apetito
Apetito por
por 1.2.9
1.2.9 Alcance
Alcance 1.3
1.3 Análisis
Análisis
el riesgo
el riesgo yy 1.4
1.4 Alcance
Alcance
Preliminar
Preliminar de brechas
de brechas
criterios
criterios de
de riesgo
riesgo
1.2.1. Comprensión de la Misión, Objetivos, Valores y Estrategias
Misión
Misión
Los
Los
Valores
Valores objetivos
objetivos
Estrategias
De
De
Alineamiento Estratégico
Continuidad
Continuidad
del
del Negocio
Negocio
Objetivos
Políticas de Continuidad
Políticas Corporativas
del Negocio
1.2.2. Análisis del Ambiente Externo
Consejos
Consejos Prácticos
Prácticos
Fortalezas Debilidades
••La
La ISO
ISO 22301
22301 nono ofrece
ofrece
enfoques
enfoques prácticos
prácticos para
para
analizar
analizar el
el contexto
contexto de
de una
una
organización
organización
••Existen
Existen varias
varias metodologías
metodologías
para
para entender
entender cómo
cómo
funciona
funciona unauna organización
organización
••Lo
Lo importante
importante es es identificar
identificar
Oportunidades Amenazas las
las características
características de de los los
factores
factores ambientales
ambientales internos
internos
yy externos
externos que
que influyen
influyen en en la
la
gestión
gestión de de la
la continuidad
continuidad deldel
negocio:
negocio: misión,
misión, actividades
actividades
principales,
principales, organización
organización
interna,
interna, partes
partesinteresadas,
interesadas, ttc.
ttc.
1.2.3. Análisis del Entorno Interno
Estructura organizativa y actores claves
Comprender
Comprender la la estructura
estructura yy los
los
principales actores
principales actores de de la
la
organización
organización relacionados
relacionados concon
el
el ámbito
ámbito de
de aplicación
aplicación en
en los
los
planos:
planos:

 Estratégico
Estratégico (¿Quién
(¿Quién
establece
establece las
las orientaciones
orientaciones
estratégicas?)
estratégicas?)

 Gobierno
Gobierno (¿Quién
(¿Quién
coordina
coordina yy gestiona
gestiona las
las
operaciones?)
operaciones?)

 Operacional
Operacional (¿Quién
(¿Quién
participa
participa en
en las
las actividades
actividades de
de
producción
producción yy apoyo?)
apoyo?)
1.2.4. identificación de los Principales Procesos y Actividades
1. Oferta de Productos
y servicios
3. Activos de ¿Cuáles son los bienes y

Información Claves Servicios producidos por
la organización?
¿Cuáles son los
Activos de
información
Claves de la 2. Procesos de
Organización? Negocios
¿Cuáles so los
Procesos claves que
Permiten a la
Organización cumplir
Con su misión?
Nota: En esta etapa, no hay necesidad de esquematizar completamente los procesos

ni
un inventario detallado de activos, sino sólo establecer una lista general
1.2.5. Identificación de la Infraestructura

Infraestructura: Sistema de instalaciones, equipos y servicios
Necesarios para el funcionamiento de una organización
Categoría Ejemplos
(Ejemplo)
Sitios Oficinas, centro de datos, residenciad e los empleados, áreas seguras,

Sitio de fabricación, etc.
Utilidades Electricidad, gas, aire acondicionado, control de humedad, etc.
Equipo industrial Almacenamiento y manejo de equipos, cintas transportadoras, robots

industriales,
Servicio Contabilidad, recursos humanos, compras, logística, etc.
Transporte Camiones, automóviles, barcazas, ferrocarriles, transporte público, etc.
telecomunicaciones Teléfonos, PBX, enrutadores, cables de red, llaves, puentes, etc.
Tecnología de la Servidor, ordenador portátil, red, sistema operativo, software de

información contabilidad, etc.
1.2.6. Identificación y Análisis de las Partes Interesadas
Análisis de sus necesidades y expectativas
1. Identificar las 2. Validar las 3. Identificar roles

Necesidades y necesidades y y
expectativas expectativa responsabilidades
••Analizar
Analizar las
las necesidades
necesidades de
de •• Definir
Definir lo
lo que
que se
se espera
espera de
de las
las
•• Identificar
Identificar las
las necesidades
necesidades seguridad
seguridad yy confirmar
confirmar si
si diferentes
diferentes partes
partes interesadas
interesadas
yy expectativas
expectativas de de todas
todas las
las responde
responde a a las
las en
en el proyecto: las ff unciones,
el proyecto: las unciones,
partes
partes interesadas
interesadas preocupaciones
preocupaciones de
de la
la las
las responsabilidades
responsabilidades yy los los
•• Las
Las necesidades
necesidades yy organización en este momento niveles
organización en este momento niveles de participación que se
de participación que se
expectativas
expectativas puedes
puedes ser
ser necesita
necesita
implícitas
implícitas oo explícitas
explícitas •• Se
Se puede
puede hacer
hacer mediante
mediante elel
•• Ejemplo:
Ejemplo: lala tasa
tasa de
de envío de un cuestionario, •• Establecer
envío de un cuestionario, Establecer unun consenso
consenso con
con
disponibilidad
disponibilidad del
del servicio
servicio realizando
realizando entrevistas
entrevistas oo ellos
ellos durante
durante lala etapa
etapa de
de
del 99,5%
del 99,5% facilitar
facilitar planificación
planificación de
de su
su
grupos
grupos de de enfoque
enfoque participación
participación
Partes Interesadas
Influencia positiva y negativa
Partes
Partes interesadas
interesadas negativas
negativas Partes
Partes interesadas
interesadas negativas
negativas
••Por
Por estas,
estas, el
el SGCN
SGCN podría
podría tener
tener un
un impacto
impacto •• Los
Los que
que se
se beneficiarían
beneficiarían del
del SGCN
SGCN
•• negativo
negativo
•• Ejemplo:
Ejemplo: los
los clientes
clientes de
de una
una empresa
empresa de
de
••Ejemplo:
Ejemplo: unun departamento
departamento de de recursos
recursos humanos
humanos servicios
servicios de
de TI
TI
involucrado
involucrado en
en la
la implementación
implementación del del SGCN
SGCN
sufrirá una pesada carga con la documentación
sufrirá una pesada carga con la documentación
de
de los
los expedientes
expedientes de de los
los empleados
empleados
Nota importante: Las partes interesadas negativas a menudo ponen su interés en primer lugar al momento
de evaluar el riesgo que pudieran experimentar debido a la aplicación del SGCN
1.2.7. Identificación y Análisis de los Requisitos del Negocio
Legal y Estándares
Externos
Regulatorio Las normas internacionales
Y códigos de prácticas
Todas las leyes y relacionados con el sector,
reglamentos con los que son voluntariamente
debe cumplir la Implementados por la
organización organización
Obligatorios Voluntarios
Mercado Políticas Internas

Internos
Todas las obligaciones Todos los requisitos

contractuales que la dentro de la organización:
organización ha firmado las políticas internas, el
con sus partes código de ética, normas de
trabajo, etc.
interesadas
Cumplimiento de los Requisitos Legales
• La organización debe cumplir con

las leyes y reglamentos aplicables
• En la mayoría de los países, la

aplicación de una norma ISO es una
decisión voluntaria de la organización, I S O 22301 a
La d
s er utiliza
no una condición jurídica e
Pued umplir con
Para c leyes y
Varias aciones
• Las organizaciones que operan en riz
regula
varios lugares a menudo tienen que
satisfacer las necesidades de las
diferentes jurisdicciones
• En todos los casos, las leyes tienen

precedencia sobre las normas
Leyes y Reglamentos
Los cuatro sectores de la industria más afectados
 Requiere
Requiere plan
plan de
de copia
copia de
de  Requiere
Requiere plan
plan de de copia
copia de de
seguridad
seguridad de
de datos,
datos, plan
plan de
de seguridad
seguridad dede datos,
datos, plan
plan de
de
Asistencia
Gobierno
recuperación
recuperación ante desastres yy un
ante desastres recuperación ante desastres y un
sanitaria
un recuperación ante desastres y un

plan
plan de
de operación
operación en
en el
el modo
modo de
de plan
plan de
de operación
operación en
en el
el modo
modo de
de
emergencia
emergencia emergencia
emergencia
 Requisitos
Requisitos para
para los
los registros
registros  Requisitos
Requisitos para
para los
los registros
registros
electrónicos
electrónicos electrónicos
electrónicos
 Requiere
Requiere un
un PCN
PCN para
para garantizar
garantizar
 Requiere
Requiere queque los
los bancos
bancos tengan
tengan que la continúa
que la continúa misión
misión de
de la
la
planes de CN y RD para garantizar
planes de CN y RD para garantizar
Utilidades
agencia durante una crisis
agencia durante una crisis
Finanzas
Finanzas
el
el funcionamiento
funcionamiento continuo
continuo yy con
con el
el
fin de limitar las pérdidas
fin de limitar las pérdidas  Se
Se requieren
requieren planes
planes de
de
restauración
restauración
 Requiere
Requiere que
que los
los planes
planes de
de de
de emergencia
emergencia como
como condición
condición
Continuidad
Continuidad del Negocio (PCN) se
del Negocio (PCN) se para servicios continuados
para servicios continuados
actualicen y prueben para
actualicen y prueben para
incorporar
incorporar los
los riesgos
riesgos detectados
detectados
1.2.8. Determinación del Apetito por el Riesgo y los Criterios
de Riesgo
ISO 22301, cláusula 3.49 y 4.1 5. Hambriento

80
70
Apetito
Apetito por
por el
el Riesgo
Riesgo 4. Abierto
60
 Definición:
Definición: Cantidad
Cantidad yy tipo
tipo de
de
que una organización está
50
que una organización está
3. Prudente
dispuesta
dispuesta aa conseguir
conseguir oo conservar
conservar 40
 Es
Es elel nivel
nivel de
de riesgo
riesgo que
que una
una 30
organización
organización está dispuesta aa
está dispuesta 2. Mínimo
aceptar,
aceptar, antes
antes de
de que
que la
la acción
acción es
es 20
considerada
considerada necesaria
necesaria para
para
reducirlo
reducirlo 10
1. Aversión
 Representa
Representa un un equilibrio
equilibrio entre
entre los
los 0
beneficios
beneficios potenciales
potenciales de
de la
la
innovación
innovación yy las
las amenazas
amenazas queque elel
cambio inevitablemente trae consigo
cambio inevitablemente trae consigo
Ejemplo de escala de apetito

por el riesgo
Criterios de Riesgo
ISO 22301, cláusula 4.1 y la norma ISO 31000, cláusula 5.3.5

1 Evaluación de riesgo
Criterios
2 Impactos
3 Aceptación del riesgo
Nota: Este paso sólo consiste en definir los criterios básicos para la gestión del riesgo. Los criterios detallados
se definirán durante la evaluación del riesgo.
1.2.9. Definición Preliminar del Alcance
El alcance preliminar del SGCN debería incluir:
 Las principales características dela organización
 Procesos de negocio que podrían estar dentro del ámbito
 Lista de los productos y servicios y todas las actividades relacionadas dentro del ámbito
del aplicación propuesto
 Lista de ubicaciones geográficas en las que se aplicaría el SGCN
 Una descripción de cómo el/las área(s) en el ámbito de aplicación interactúan con otros
sistemas de gestión (e. g. ISO 9001, ISO 27001, ISO 28000)
Ejercicio 3
Comprensión de la organización
Sección 7
Análisis del sistema de gestión existente
a. Recopilación de la Información
b. Realización de una Entrevista
c. Análisis de Brechas
1.3. Análisis del Sistema de Gestión Existente

1.1. Inicio del
SGCN
2.1 Análisis del
1.2 Comprensión Impacto al Negocio 3.1 Seguimiento,
de la organización 4.1 No
(AIN) medición, análisis y
conformidades
evaluación
2.3 Estrategia de
1.4 Alcance
Continuidad del 3.2 Auditoría
Negocio interna
1.5 Liderazgo y
Presentación &
4.2 Mejora
2.5 plan y 3.3 Revisión continua
1.7 Estructura procedimientos de la por la Dirección
1.8 Información
documentada
Hacer
Hacer
2.6 Comunicación

Lista de las actividades
Análisis del sistema de gestión existente
1.3.3.
1.3.3. Objetivos
Objetivos ee
1.2
1.2 Comprensión
Comprensión 1.3.1
1.3.1 Recolección
Recolección 1.3.2
1.3.2 Análisis
Análisis informe
informe del
del análisis
análisis
de
de la organización
la organización de información
de información de brechas
de brechas de brechas
de brechas
1.4 Liderazgo y
planificación
1.4 Liderazgo y
planificación
1.3.1. Recopilación de la Información
Técnicas
Cuestionarios
Cuestionarios El envío de cuestionarios a una muestra de personas que representan
Encuestas
Encuestas a las partes interesadas
Las entrevistas con personas la claves en diferentes niveles jerárquicos

Entrevistas
Entrevistas dentro de la organización
Revisión de la Lectura y análisis de la documentación pertinente, las políticas internas,

documentación procedimientos, informes de auditorías previas, dictámenes jurídicos,
Revisión de la contratos, etc.
documentación
Entrevista Individual y Grupal
Las entrevistas individuales sueles

Proporcionar información más
precisa y detallada y permiten tener
una evaluación del riesgo más
correcta
Entrevista
Individual Entrevista Grupal
Individual Grupal
Las entrevistas grupales son efectivas

para comprender rápidamente las
operaciones de un proceso desde
perspectiva global
Realización de una Entrevista
Utilice
Utilice preguntas
preguntas abiertas
abiertas yy evite
evite las
las preguntas
preguntas cerradas
cerradas oo guiadas
guiadas
AAsegúrese
segúrese de
de cubrir
cubrir todos
todos los
los temas,
temas, mientras
mientras controla
controla el
el tiempo
tiempo
Tome
Tome notas
notas durante
durante la
la entrevista
entrevista
Realice
Realice preguntas
preguntas para
para clarificar
clarificar una
una respuesta
respuesta oo situación
situación
1.3.2. Análisis de Brechas
Análisis de Brechas
Técnica
Técnica para
para determinar
determinar los
los pasos
pasos para
para
pasar
pasar de
de la
la situación
situación actual
actual aa un
un estado
estado
futuro
futuro deseado.
deseado.
1.
1. Comparación
Comparación del del rendimiento
rendimiento actual
actual
del
del sistema
sistema de de continuidad
continuidad del del
negocio
negocio con
con los
los requisitos
requisitos de
de la
la ISO
ISO
22301
22301
2.
2. Identificación de
Identificación de las
las necesidades
necesidades de de
mejora
mejora
3.
3. Bases
Bases para
para la
la elaboración
elaboración del
del plan
plan
del
del proyecto
proyecto del
del SGCN
SGCN
Determinar el Estado Actual
El análisis de brechas y el nivel de madurez
Las preguntas típicas:
1. ¿El proceso está presente en la organización? ¿Está estandarizado?

2. ¿Es el proceso seguido por los usuarios relevantes?
3. ¿Está el proceso documentado? ¿Cómo?
4. ¿hay un responsable designado para la eficacia del proceso? ¿Están
determinadas las funciones y responsabilidades?
5. ¿Se ha comunicado a todas las personas en cuestión? ¿Por quién? ¿Hay
capacitación disponible?
6. ¿El proceso está controlado¿ ¿Cómo lo está? ¿Medido?
7. ¿El proceso está automatizado? ¿Se utilizan herramientas?
8. ¿Existe un proceso para actualizar el proceso?
9. ¿El rendimiento del proceso se compara con las prácticas de la industria?
1.3.3. Establecimiento de Objetivos y la Publicación de un Informe de
Análisis de Brechas
0 1 2 3 4 5
No existe Inicial Gestionado Definido Gestionado Optimizado
1 4
cuantitativamente
Inicial Gestionado
cuantitativamente
Situación actual Objetivo

Establecimiento de Objetivos
El análisis de brechas y el nivel de madurez
Usted puede fijar las metas para los procesos

Procesos
según el nivel de madurez optimizados
Procesos
monitoreados y
medidos
Los procesos están

documentados
y comunicados
No hay procesos
estándar
vigentes
Hay implementación
de proceso caso
por caso sin ningún
Ausencia total de
método
Procesos
identificables
0. 1. 2. 3. 4. 5.
Inexistentes Iníciales Gestionadas Definidos Cuantitativa Optimizados
Mente
gestionados
Sección 8
Alcance del SGCN
a. Límites de la organización
b. Los límites de las líneas de negocio
c. Límites Físicos
d. Ámbito de aplicación
1.4. Alcance del SGCN
1.1. Inicio del

SGCN
1.2 Comprensión 2.1 Análisis del Impacto

de la organización en el Negocio (AIN) 3.1 Seguimiento,
4.1 No
conformidades
1.3 Analizar el 2.2 Evaluación evaluación
y acción correctiva
nn1.4 Alcance 2.3 Estrategia de

Continuidad del
Negocio
1.5 Liderazgo y 3.2 Auditoría
planificación 2.4 Medidas de interna
Presentación &
Mitigación 4.2 Mejora
1.6 Política de CN continua
2.5 plan y
3.3 Revisión
1.8 Información por la Dirección
2.6 Comunicación
documentada

Requisitos

Alcance del SGCN
La organización deberá:
a) Establecer las partes de la organización que se incluirán en el SGCN

b) Establecer requisitos del SGCN, considerando la misión de la organización, los objetivos, las
obligaciones internas y externas (incluidas las relativas a las partes interesadas), y las
responsabilidades legales y reglamentarias.
c) Identificar los productos y servicios y todas las actividades relacionadas en el ámbito de
aplicación del SGCN.
d) Tener en cuenta las necesidades de las partes interesadas y los intereses, por ejemplo, con
clientes, inversores, accionistas, la cadena de suministro, el público y/o comunidad y sus
necesidades, expectativas e intereses (según corresponda), y
e) Definir el alcance del SGCN en términos de y adecuado al tamaño, la naturaleza y el grado
de complejidad de la organización.
En la definición del alcance, la organización deberá documentar y explicar las exclusiones: tales
exclusiones
no afectarán a ala capacidad y la responsabilidad de la organización para ofrecer la continuidad de la
empresa y las operaciones que cumplen los requisitos del SGCN, según determinado por el análisis de
impacto en el negocio o la evaluación del riesgo y los requisitos legales o los reglamentos
aplicables.
Ámbito de la aplicación
Importancia
Una clara definición del alcance, centrándose en actividades clave de la

organización, es un factor de éxito importante para la implementación del SGCN.
Esto hará que sea más fácil:
1. Conseguir el apoyo de la dirección

2. Movilizar a los interesados por el proyecto
3. Justificar un valor agregado a las partes interesadas
Nota
Nota importante:
importante: la
la extensión
extensión del
del ámbito
ámbito dede aplicación
aplicación
es
es el
el primer
primer factor
factor que
que determina
determina lala cantidad
cantidad
de
de esfuerzo
esfuerzo requerido
requerido por
por el
el proyecto.
proyecto.
1.4. Ámbito de Aplicación del SGCN
1.2
1.2 Comprensión
Comprensión 1.3
1.3 Analiza
Analiza el
el 1.4.1
1.4.1 Límites
Límites 1.4.2
1.4.2 Límites
Límites de
de las
las
de
de la organización
la organización Sistema existente
Sistema existente Organizacionales
Organizacionales Líneas de negocio
Líneas de negocio
1.4.3 Los límites 1.4.4 Ámbito 1.5 Liderazgo & 1.6 Política
físicos de aplicación planificación de CN
1.4.3 Los límites 1.4.4 Ámbito 1.5 Liderazgo & 1.6 Política
físicos de aplicación planificación de CN
Límites del SGCN
Las 3 dimensiones a considerar
Or
ga
s
niz
ca
ac
i
fís
i on
as
al
íne
sl
La
del negocio
1.4.1 Definiendo los Límites Organizacionales del Alcance
Un proceso clave
Un departamento
La organización
como un todo
La organización y sus
partes interesadas
Nota: Donde una parte de una

organización, queda excluida del ámbito
de aplicación de su SGCN, la
organización debería documentar y
explicar la exclusión
1.4.2. Definir los Límites de las Líneas de Negocio del Ámbito de
Aplicación
• La organización debe identificar los productos y servicios en el ámbito
• Ejemplo:
 Un hospital podría incluir sólo los servicios de emergencia en el
ámbito de aplicación
 La oficina de correos podría incluir todos los servicios en el
ámbito de aplicación con la exclusión de la entrega de paquetes/
encomiendas
 Una fábrica podría mantener sólo la producción de un producto.
 Etc.
1.4.3. Definir las Fronteras Físicas del Ámbito de Aplicación
• Deberían tomarse en cuenta todos lo lugares físicos, tanto internos como

externos incluidos en el SGCN
• Los sitios incluyen todos los lugares dentro del alcance o dentro de parte del
alcance y los medios físicos necesarios para que funcionen
• En el caso de los sitios físicos subcontratados, tienen que ser consideradas las
interfaces con el SGCN y los acuerdos de servicios aplicables
1.4.4. Definir el Ámbito de Aplicación del SGCN
El documento de definición del ámbito de aplicación debería incluir:
1. Las principales características de la organización
2. Los procesos de negocios cubiertos por el SGCN
3. La lista de productos y servicios y todas las actividades relacionadas en el

ámbito de aplicación del SGCN
4. La lista de los principales recursos (sistemas de Información, instalaciones, etc.)
5. La lista de ubicaciones geográficas
6. Los detalles y motivos para las exclusiones

Declaración del Ámbito de Aplicación
Ejemplo
• La declaración del alcance es pública y, en general, está disponible en el

sitio web del organismo de certificación que haya expedido el certificado
• Esta declaración resumida estará escrita en el certificado. Deberá ser:

1. Tan simple como sea posible
2. Comprensible para alguien externo a la organización
3. Lo suficientemente precisa para expresar lo que está cubierto
por
la certificación
Ejemplo:
Ejemplo: Este
Este sistema
sistema dede gestión
gestión dede la
la continuidad
continuidad del
del negocio
negocio
Se
Se aplica
aplica al
al centro
centro de
de distribución
distribución global
global proveyendo
proveyendo
Servicios
Servicios de
de tercerización
tercerización yy contacto
contacto con
con el
el cliente
cliente
Y
Y externalización
externalización dede ABC
ABC S.A.
S.A.
Cambios en el Ámbito de Aplicación
Cualquier cambio en el
alcance debe ser evaluado,
aprobado y documentado
Extensión del Ámbito de Aplicación
• Varias empresas auditadas prefieren definir un alcance reducido para una

certificación inicial y complementar una solicitud de extensión en los años
siguientes
• La auditoría de extensión se puede realizar durante una auditoría de control
• Si no se concede la certificación de extensión, la organización no pierde su

certificado actual
Ejercicio 4
Definición del ámbito de aplicación

Día 2
Implementador Líder
Certificado en la ISO 22031

Capacitación Implementador Líder ISO 22301
Sección 9
Liderazgo y planificación
a. Caso de negocios del SGCN

b. Equipo del proyecto
c. Objetivos del SGCN
d. Plan del proyecto
e. Plan de comunicación para el proyecto SGCN
f. Aprobación de la Dirección
1.5. Liderazgo y Planificación
1.
1. Planificar
Planificar 2. Hacer 3. Verificar 4. Actuar
1.1. Iniciar el SGCN

2.1 Análisis del Impacto 3.1 Supervisión,
1.2 Comprensión en el Negocio (AIN)
de la organización medición, análisis y 4.1 No
evaluación conformidades
sistema existente del riesgo
2.3 Estrategia de la
1.4 Alcance
Negocio
Negocio
Continuidad del
Negocio
1.5 Liderazgo y 3.2 Auditoría
Protección &
1.7 Estructura 2.5 Plan y 4.2 Mejora

organizativa procedimientos de la continua
continuidad del negocio 3.3 Revisión
por la Dirección
1.8 Información
documentada 2.6 Comunicación
1.9 Competencia y
2.7 Ejercicio y
sensibilización
pruebas
Requisitos
Norma ISO 22301, cláusula 5.1. 7.1 y 8.3.2
5.1 Liderazgo y compromiso

Las personas en los niveles superiores de la administración y otras en funciones de gestión en toda
la organización beberán demostrar liderazgo con respecto al SGCN.
5.2 Compromiso de la Dirección
La alta dirección deberá demostrar su liderazgo y compromiso con respecto al SGCN a través de :
- Asegurar que sean establecidos políticas y objetivos, para el sistema de gestión de la
- continuidad del negocio y que sean compatibles con la dirección estratégica de la organización.
- Asegurar que estén disponibles los recursos necesarios para la continuidad del negocio
- Comunicar la importancia de una buena gestión de la continuidad del negocio y de
conformidad con los requisitos del SGCN
- Asegurar que el SGCN logre el resultado (s) esperados(s)
- Dirigir y apoyar a las personas a contribuir a la eficacia del SGCN
- Promover la mejora continua: y
- Apoyar a otras funciones de gestión pertinentes para demostrar su liderazgo y compromiso
en lo que aplica sus áreas de responsabilidad
7.1 Recursos
La organización deberá determinar y proporcionar los recursos necesarios para el SGCN
1.5. Liderazgo y Planificación
1.4 Alcance
(ámbito de aplicación)
del SGCN
1.5.3
1.5.3
1.5.1
1.5.1 Caso
Caso de
de 1.5.2
1.5.2 equipo
equipo de
de 1.5.4
1.5.4 Requisitos
Requisitos
Determinación
Determinación
negocio
negocio proyecto
proyecto del
del SGCN
SGCN de
de los
los recursos
recursos
de
de los
los objetivos
objetivos
1.5.5 Plan del 1.5.6 Plan de 1.5.7 Aprobación 1.6 Política de CN

proyecto del SGCN comunicación Por la Dirección
1.5.5 Plan del 1.5.6 Plan de 1.5.7 Aprobación 1.6 Política de CN
proyecto del SGCN comunicación Por la Dirección
1.5.1. Crear y Presentar un Caso de Negocio
Un caso de negocio es:
1. Una herramienta de apoyo de

apoyo de la Dirección para la 2. Un documento que se utiliza
toma de decisiones para promover el proyecto
del SGCN
3. Una primera estructuración

del proyecto
Contenido del Caso de Negocios
PMBOK
1. 2. Finalidad y 3. Resumen 4. Beneficios

Medioambiente objetivos Del proyecto esperados
5. Alcance 6. Factores 8. Plazos e

7. Anteproyecto
preliminar Críticos de éxito hitos
9. Funciones y
10. Recursos
Responsabili- 11. Presupuesto 12. Restricciones
necesarios
dades
Nota: El contenido sobre gestión de proyectos en esta sección se basa en PMBOK

pero otros marcos como el Prince 2 son equivalentes
1.5.2. Establecer el Equipo del Proyecto del SGCN
Defensor
Del
Proyecto
Del SGCN
Gerente
del SGCN
Director
del proyecto
Equipo de Gestión del

Proyecto
Equipo del Proyecto
Partes Interesadas
Director del Proyecto SGCN
Competencias requeridas
El director del proyecto SGCN debe tener los conocimientos y habilidades en las
siguientes áreas:
1. Conocimiento y habilidades en Gestión de Proyectos

2. Conocimiento de la organización y su entorno
3. Conocimiento de gestión de la continuidad del negocio
4. Habilidades interpersonales (comunicación efectiva,
negación, resolución de problemas,
habilidades de liderazgo, etc..)
Comité Directivo
Durante el proyecto SGCN
Objetivo Asegurar la planificación y el seguimiento del SGCN
1. Planificar la implementación del SGCN

2. Definir el proyecto de SGCN en consonancia con los objetivos establecidos
por la Dirección
3. Definir las funciones y responsabilidades para el proyecto SGCN
Misiones 4. Definir las funciones y responsabilidades relacionadas con las operaciones
y el mantenimiento del SGCN (después de la aplicación)
5. Seleccionar el método de análisis de riesgo y el AIN
6. Gestionar los recursos
7. Realizar revisiones de los proyectos de la aplicación del SGCN
Director del Proyecto SGCN, responsables de los servicios claves que

Miembros participan en los siguientes dominios de aplicación (TI, auditoría, legales,
finanzas, recursos humanos, seguridad física etc.)
Frecuencia de las
Mensuales
reuniones
1.5.3. Determinación de los objetivos del SGCN
Determinar los objetivos
1 3
Una mayor flexibilidad 2 Ventaja del negocio

(resilencia) de la • ¿L a implementación de
Empresa un SGCN puede
• ¿Puede el SGCN mejorar proporcionar ventajas
Gestión de continuidad
la resilencia de la competitivas
del negocio eficiente
organización en caso de
• ¿Puede el SGCN
un incidente perjudicial?
mejorar la eficacia de la
gestión de continuidad
del negocio?
Determinar los Objetivos
Ejemplos
Los objetivos relacionados con la aplicación del SGCN pueden ser:
 Velar por el cumplimiento de las obligaciones legales, reglamentarias y

contractuales de la organización
 Demostrar la debida diligencia y el cuidado debido de la gestión
 Inspirar confianza de las partes interesadas de la organización
 Proteger la disponibilidad de las actividades fundamentales de la organización
 Asegurar la gestión eficaz de continuidad del negocio de acuerdo a las mejores
prácticas
 Mejorar el tiempo de respuesta a incidentes y desastres
 Velar por el cumplimiento de la Continuidad del Negocio para un proyecto, la
entrega de un servicio o producto, etc.
1.5.4. Determinación de los Requisitos de Recursos para el
Proyecto SGCN
• Los recursos son los medios que se utilizan para alcanzar los objetivos
del proyecto
• El recurso principal es evidentemente, las personas con habilidades y
competencias aplicables
• El resto de las principales agrupaciones de recursos que se necesitan
son el capital, las instalaciones, los equipos, los materiales y la
información
• Generalmente hay un desfase entre el tope de la inversión de un proyecto
y las demandas del proyecto…
1.5.5. Elaboración del Plan del Proyecto SGCN
PMBOK
Un método iterativo
Recursos Costos
Contenido
Del Plan del
Proyecto proyecto
Retrasos Riesgos
Contenido del plan del proyecto SGCN
PMBOK
Un plan de proyecto incluye lo siguiente:

1. Carta del Proyecto
2. Descripción del enfoque o estrategia de gestión de proyectos
3. Formulación del contenido del proyecto, con resultados y objetivos del
proyecto
4. Estructura Detallada de Trabajo del proyecto (estructura “WBS”)
5. Costos estimados, fecha de inicio prevista, y la asignación de
responsabilidad
6. Referencias; medición de costos y el tiempo de funcionamiento
7. Hitos principales con su fecha provisional
8. Personal clave o necesario
9. Riesgos claves, con las limitaciones y supuestos, y las respuestas
propuestas
10. Problemas corrientes y decisiones pendientes
Revisión y Presentación del Plan del Proyecto SGCN
PMBOK
Revisión
Revisión de
de los
los objetivos
objetivos del
del proyecto
proyecto yy los
los factores
factores de
de éxito
éxito
Revisar
Revisar el
el método
método propuesto
propuesto
Destacar
Destacar los
los riesgos
riesgos ee incertidumbres
incertidumbres inherentes
inherentes en
en el
el proyecto
proyecto
Estimación
Estimación de
de los
los recursos
recursos internos
internos necesarios
necesarios
Definición
Definición de
de la
la planificación
planificación yy sucesivas
sucesivas fases
fases de
de ejecución
ejecución
Revisión
Revisión de
de las
las presentaciones
presentaciones que
que deben
deben proveerse
proveerse
Revisión
Revisión de
de las
las funciones
funciones
Revisión
Revisión de
de los
los documentos
documentos del
del proyecto
proyecto
Definición
Definición de
de la
la frecuencia
frecuencia yy el
el contenido
contenido de
de las
las reuniones
reuniones de
de progreso
progreso
1.5.6. Plan de Comunicación para el Proyecto SGCN
Norma ISO 22301, cláusula 7.4
• Cuando se establece el SGCN, la organización necesita tener comunicación

efectiva y procedimientos de consulta para el intercambio de información con
las partes interesadas
• La organización debería disponer de una comunicación eficaz como parte de

su programa de sensibilización
• El plan de comunicación será detallado en el Día 3

1.5.7. Aprobación por la Dirección del Proyecto SGCN
Beneficios
Beneficios Claves
Claves del
del
Compromiso
Compromiso dede la
la Dirección
Dirección
••Mayor
Mayor conocimiento
•• óptima
•• Procesos
del
conocimiento de
del negocio
asignación
y plan
de
de las
las leyes
recursos
óptima asignación de recursos
•• Identificación
Identificación de
de los
los activos
negocio controlados
de
leyes
activos críticos
la
críticos
continuidad
Procesos y plan de la continuidad
controlados yy medidos
medidos
SGCN
ió r
cc po
n
re n
Di ció
La oba
r
Ap
Funciones de la Dirección
Durante el proyecto SGCN
Objetivo Alinear el SGCN con los objetivos y estrategia de negocio
1. Asegurarse de que el SGCN es compatible con la dirección estratégica de la

organización
2. Garantizar el cumplimiento de las leyes, reglamentos y requisitos contractuales
3. Validar las funciones y responsabilidades de las principales partes interesadas en el
proyecto
4. Aprobar la continuidad de las actividades el AIN y el resultado de la evaluación del
Misiones riesgo
5. Comunicar la importancia de una buena gestión de la continuidad del negocio y en
conformidad con los requisitos SGCN
6. Proveer de recursos suficientes para la implementación del SGCN
7. Asegurar que se llevan a cabo auditorias internas
8. Hacer revisión del SGCN por la dirección
9. Prestar apoyo al mejoramiento del SGCN
Miembros Alta Dirección (CEO, CIO, CFO…)
Frecuencia de Algunas de las reuniones de los hitos de este proyecto: reunión de lanzamiento, análisis
las reuniones de riesgo e informe del AIN, revisión por la dirección, etc.
Ejercicio 5
Roles y responsabilidades de las partes interesadas

Sección 10
Política de la continuidad del negocio
a. Crear modelos de política
b. Proceso de redacción de política
c. Aprobación por la Dirección
d. Publicación
e. Capacitación, comunicación y sensibilización
f. Control, evaluación y revisión

1.6. Política de la Continuidad del Negocio
1.
1. Planificar
Planificar 2. Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

de la organización en el Negocio (AIN) 3.1 Supervisión,
4.1 No
1.3 Analizar el conformidades
2.2 Evaluación evaluación
sistema existente y acción correctiva
del riesgo
1.4 Alcance 2.3 Estrategia de la

Continuidad del
Negocio
1.5 Liderazgo y
3.2 Auditoría
Protección &
2.5 Plan y 4.2 Mejora

1.7 Estructura procedimientos de la continua
organizativa continuidad del negocio
3.3 Revisión
1.8 Información por la Dirección
1.9 Competencia y
sensibilización 2.7 Ejercicio y pruebas
Requisitos
Política
La alta dirección deberá establecer una política de continuidad del negocio que:
a) Sea apropiada para los fines de la organización
b) Proporciones un marco para establecer objetivos de continuidad del negocio
c) Incluya un compromiso de cumplir los requisitos aplicables
d) Incluya un compromiso de mejora continua del SGCN
La política del SGCN deberá:

- Estar disponible como información documentada
- Ser comunicada dentro de la organización
- Estar a disposición de todas las partes interesadas, según corresponda
- Ser revisada para su adecuación continuada a intervalos definidos y cuando se
produzcan cambios significativos
La organización deberá retener información documentada sobre la política

De continuidad del negocio.
Definición de Política de la Continuidad del Negocio
Las intenciones generales y la dirección de la organización, relacionadas con su

preparación ante incidencias y continuidad operacional, tal y como ha sido
expresado por la alta dirección
1.6. Política de la Continuidad del Negocio
1.6 Política de C. N.
1.6.1
1.6.1 Proceso
Proceso dede
1.5 Liderazgo & 1.6.2
1.6.2 Redacción
Redacción de
de 1.6.3
1.6.3 Aprobación
Aprobación
redacción
redacción de
de la
la
planificación la
la Política
Política por
por la
la Dirección
Dirección
Política
Política
1.6.5 Capacitación, 1.6.6 Control, 1.7 Estructura

1.6.4 Publicación comunicación y evaluación y organizativa
1.6.5 Capacitación,
sensibilización 1.6.6 Control,
revisión 1.7 Estructura
1.6.4 Publicación comunicación y evaluación y organizativa
sensibilización revisión
1.6.1. Definición del Proceso de Redacción de la Política
Proceso General
1. 2. 3. 4. 5.
Designar una Definir los Redactar Validación Aprobación
1. 2. 3. 4. 5.
Persona componentes las de los por las
Designar una Definir los Redactar Validación Aprobación
Responsable de la política Secciones contenidos y Partes
Persona componentes las de los por las
el formato Interesadas
Responsable de la política Secciones contenidos y Partes
el formato Interesadas
Es importante asegurar el apoyo a y la comprensión de una política antes de su publicación

1.6.2. Redacción de la Política de Continuidad del Negocio
Temas que suelen incluirse en la política
1. Un marco que permite definir objetivos y establecer una dirección y directrices

de política para la gestión de Continuidad del Negocio
2. Una consideración de las obligaciones legales y reglamentarias impuestas a la

organización, así como otros compromisos
3. La alineación de la gestión de continuidad del negocio con los objetivos

estratégicos de la organización
4. Atribución de las funciones y responsabilidades
5. Aprobación oficial de los anteriores por la Dirección

1.6.3. Aprobación por la Dirección
La política del SGCN debe:
Demostrar el compromiso de la dirección
Ser aprobada por la Dirección
La política debe ser firmada por una persona (a menudo el director general),
pero el proceso de aprobación puede pertenecer a un comité:
Junto de Directores
Consejo de Administración
1.6.4. Publicación de la Política de Continuidad del Negocio
Principales modos de comunicación
Reunión
Intranet
Distribución de Sesión de orientación

Copias en papel de nuevos empleados
1.6.5. Capacitación, Comunicación y Sensibilización
Plan
Plan de
de comunicación
comunicación
Público
Público de
de destino
destino
Difusión
Difusión (reuniones,
(reuniones, intranet,
intranet,
extranet, documentos…)
extranet, documentos…)
Comunicación
Proceso
recurrente Sensibilización Capacitación
No ¿Objetivo
alcanzado?
Si Nota: Esta temática se
discutirá durante el
Día 3
Control, evaluación y revisión
1.6.6. Control, Evaluación y Revisión
• Mantener • Asegurar
Revisión
Controlconformidad
Evaluación
• Medir el grado de
conformidad
Capacitación Implementador Líder en la ISO 22301
Sección 11
Estructura Organizativa
a. Estructura de gestión
b. Estructura Orgánica para la gestión de la continuidad del

negocio
c. Designación de un coordinación de la continuidad del negocio
d. Roles y responsabilidades de las partes interesadas
e. Roles y responsabilidades de los comités clave
f. Equipos de la continuidad del negocio
g. Proceso de decisión y de control

1.7. Estructura Organizativa
1.
1. Planificar
Planificar 2.
2. Hace
Hace 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.2 Comprensión 2.1 Análisis del Impacto 3.1 Supervisión,

de la organización en el Negocio (AIN)
medición, análisis y 4.1 No
1.3 Analizar el 2.2 Evaluación
y acción correctiva
1.4 Alcance
Continuidad del
Negocio 3.2 Auditoría
1.5 Liderazgo y interna
Protección &
Mitigación
1.6 Política de CN
organizativa
continuidad del negocio 3.3 Revisión
por la Dirección
1.8 Información 2.6 Comunicación
documentada
2.7 Ejercicio y
1.9 Competencia y
pruebas
sensibilización
Requisitos
Funciones, responsabilidades y autoridades organizativas
La alta dirección deberá asegurarse de que las responsabilidades y autoridades

para funciones pertinentes sean asignadas y comunicadas dentro de la
organización.
La alta gerencia deberá asignar la responsabilidad y autoridad para :
a) Garantizar que el sistema de gestión se establece y ejecuta en conformidad

con los requisitos de esta Norma Internacional; e
b) Informar sobre la eficacia de la gestión del SGCN a la alta dirección

Estructura organizativa
Principios
• Para ser eficaz, un programa de continuidad empresarial debería ser un

proceso integrado de gestión impulsado desde las altas esferas de la
organización, apoyado y promovido por los principales directores y
ejecutivos
• Debería ser administrado en los niveles operativos y de la organización
• Puede requerirse una serie de profesionales y personal de otras disciplinas

relacionadas con la gestión y los servicios necesarios para apoyar y gestionar
el programa
• La continuidad de recursos necesarios, dependerá del tamaño y la diversidad

de la organización
1.7. Estructura Organizativa
1.7 Estructura organizativa

1.7.3
1.7.3 Roles
Roles yy
1.6 Política de 1.7.1
1.7.1 Estructura
Estructura 1.7.2
1.7.2 Coordinador
Coordinador Responsabilidades
Responsabilidades
continuidad de
de gobierno
gobierno yy de
de la
la continuidad
continuidad de
de las
las partes
partes
del negocio organización
organización del
del negocio
negocio interesadas
interesadas
1.7.4 Roles y
1.7.5 Equipos de la
Responsabilidades 1.7.6 Proceso de 1.8 Información
1.7.4 continuidad
de los Roles y
comités 1.7.5del
Equipos decisión y control documentada
Responsabilidades negociode la 1.7.6 Proceso de
principales continuidad 1.8 Información
de los comités decisión y control documentada
del negocio
principales
1.7.1. Definición de la Gestión de Gobierno y de la Estructura
Orgánica para la Gestión de Continuidad del Negocio
Estructura de gobierno
Junta de
Directores Comité de Crisis
Comité de
CEO Continuidad del
negocio
Tecnología de
Recursos Auditoría Servicios Ventas & Continuidad
Operaciones la información
humanos Interna Administrativos Marketing del Negocio
(TI) de
Tecnología
Recursos Auditoría Servicios Ventas & Continuidad
Operaciones la información
humanos Interna Administrativos Marketing del Negocio
(TI)
Partes Involucradas
Actores Principales
Medios de
Alta Dirección Comité de Crisis
Medios de comunicación
Director de la Continuidad del Organismos Externos

Negocio Seguridad pública
Plan de
Continuidad
Comité de Continuidad del del Negocio Autoridades del Gobierno
Negocio
CERT
Unidad de negocio 1 Gestión de TI Gestión de

Unidad de negocio 2 Instalaciones
Director del Sitio Director del Sitio Director del Sitio Gerente de las
Instalaciones
Coordinador de gestión Coordinador de gestión Coordinador de Coordinador de la
de CN del Sitio De CN del Sitio Recuperación de TI Respuesta de
Emergencia
Plan de Los Plan de Planes de Planes de Los Planes de Procedimientos

Continuidad del Procedimientos Continuidad del Recuperación y Recuperación y Procedimientos Respuesta de De emergencia
Negocio adaptado locales Negocio adaptado Restauración de TI Restauración de de TI Emergencia
Para la unidad para la unidad TI
Procesos de Negocios Procesos de Soporte

1.7.2. Designación de un Coordinador de la Continuidad del Negocio
Funciones y responsabilidades
• El Coordinador de la continuidad del negocio tiene la responsabilidad general de

la concepción, el desarrollo, la coordinación, ejecución, administración,
capacitación, programas de sensibilización, y el mantenimiento del Plan de
continuidad de Negocios y el SGCN
• El CCN debería estar en una función de nivel de dirección
• Es responsable de la cooperación y colaboración en la Continuidad del Negocio

de los gerentes, usuarios, administradores de sistemas, auditores, personal de
seguridad, y habilidades de especialistas en áreas como los seguros, las
cuestiones jurídicas, de recursos humanos, TI o la gestión de riesgos
1.7.3. Definir las Funciones y Responsabilidades de las Partes
Interesadas
Consejo legal Identificar el cumplimiento y análisis de los requisitos (legales, regulatorios y contractuales)
Encargado de TI Implementar y administrar soluciones y medidas técnicas en el manejo de las operaciones
Encargado de
Seguridad de la Coordinar las actividades relativas a la gestión de seguridad de la información
Información
Encargado de RRHH Implementar y gestionar el plan de capacitación y de sensibilización, responsable de contratación
Encargado de Implementar y administrar los controles de seguridad física (control de acceso a edificios, protección
Patrimonio contra incendios, mantenimiento eléctrico, etc.)
Encargado del centro
Implementar y administrar los servicios a las usuarios, y los procesos relacionados (control de acceso,
De servicios / ”Help
Desk” gestión de incidencias, etc.)
Validación del impacto sobre la reputación de la organización, las comunicaciones con las partes
Oficial de RRPP
interesadas externas
Auditor interno Validación del Cumplimiento del SGCN
Garantizar en todas las etapas del ciclo de vida de los documentos, que estos tengan las cualidades
Responsable de la
Gestión de documentos
necesarias para una buena gestión del patrimonio de conocimientos e información, para la preservación
de las pruebas
1.7.4. Definición de la Funciones y Responsabilidades de los
Comités Claves
1. Comité Ejecutivo y Comité de Crisis
2. Comité de Continuidad del Negocio
3. Comités Operativos y
Comité Local de CN
1.7.5. Creación de los Equipos Necesarios de Continuidad del
Negocio
Ejemplo
Líder del Equipo
de Gestión de
Crisis (Director
Ejecutivo)
Gerente de Coordinar de Representantes de TI/RR.HH./

Evaluación de la Continuidad La unidad de Legales/
Riesgo del Negocio Negocio Finanzas
Equipo de
Equipo de Equipo de Equipo de Equipo de
Equipo de Equipo de Obtención de
Respuesta de Evaluación de Relaciones Telecomuni-
Recuperación Restauración Recursos y
Emergencia Daños Públicas caciones
Logística
Nota importante: La creación de equipos y comités no es un requisito. Aplicarlo, si es necesario

1.7.6. Definir un Proceso de Decisión y Control
Modelo de la estructura de comando y control
Nivel 1
Estratégico
de
da
lC
la
on
Nivel 2
ca
Táctico
tro
Es
l
Nivel 3
Operativo
Sección 12
Información documentada
a. Requisitos de la información documentada

b. Valor de la documentación
c. Creación de plantillas
d. Gestión de la documentación
e. Implementación de un sistema de gestión de
documentos
f. Redacción de la información documentada de
l SGCN
g. Control de los registros
1.8. Información documentada
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
2.1 Análisis del
1.2 Comprensión Impacto 3.1 Supervisión,
de la organización en el Negocio (AIN) medición, análisis y 4.1 No

Continuidad del
Protección &

1.7 Estructura procedimientos de la 3.3 Revisión continua
por la Dirección
1.8 Información
2.6 Comunicación
documentada
1.9 Competencia y 2.7 Ejercicio y

Requisitos
7.5 Información documentada

7.5.1 Generalidades
El SGCN de la organización incluirá:

- La información documentada requerida por esta norma internacional
- Información documentada determinada por la organización como necesaria para la
eficacia del SGCN
7.5.2 Creación y actualización
Al crear y actualizar la información documentada, la organización deberá garantizar la

adecuada:
a) Identificación y descripción (por ejemplo, un título, fecha, autor o número de referencia),
b) Formato (por ejemplo, el idioma, la versión del software, gráficos) y los medios (por
ejemplo, papel, electrónico), y la revisión y aprobación de idoneidad y suficiencia.
Requisitos

7.5.3 Control de la información documentada
La información documentada requerida por el SGCN y por esta Norma Internacional deberá ser controlada para
asegurar que:
a) Está disponible y apta para su uso, cuándo y dónde sea necesario,
b) Está protegida adecuadamente (por ejemplo, de pérdida de la confidencialidad, uso indebido, o la pérdida
de integridad).
Para el control de la información documentada, la organización deberá abordar las siguientes
actividades, según corresponda:
- Distribución, acceso, recuperación y uso,
- Almacenamiento y conservación, incluida la conservación de la legibilidad,
- Control de los cambios (p. ej., control de versiones).
- Retención y disposición
- Recuperación y uso,
- Preservación de la legibilidad (es decir lo suficientemente claro para leer), y
- Prevención del uso no intencionado de información obsoleta.
La información documentada de origen externo determinada por la organización como necesaria
para la planificación y el funcionamiento del SGCN deberá ser identificada, según corresponda, y
controlada.
Cuando se establece el control de la información documentada, la organización deberá asegurarse de que
exista
una protección adecuada dé la información documentada (por ejemplo, la protección ante cualquier peligro, la
modificación no autorizada o la eliminación).
Requisitos de Información Documentada
Resumen
Contenido Formato Ciclo de Vida

del Documento
Documentación del Sistema de Gestión
Tipos de información documentada
Nivel 1 Descripciones Políticas, el alcance, revisión por la dirección,

Del y otros documentos estratégicos
Marco de Gestión
Describe los procesos,

Nivel 2 Procedimientos y controles Descripción del proceso, actividades,
(quién, qué, cuándo, cómo, controles y procedimientos
Dónde y por qué)
Nivel 3 Describe en detalle cómo se llevan a Hojas de cálculo, formularios

Cabo las tareas y actividades listas de control, etc.
Nivel 4 Proporciona la evidencia objetiva del

Cumplimiento de los requisitos de la norma Registros
Valor de la Documentación
Notas importantes
• En muchas organizaciones, la creación de la

documentación está desproporcionada
• La preparación de los documentos no debería

ser un objetivo en sí mismo. Esta debe ser
actividad de valor añadido, soporte del SGCN
• La documentación que es demasiado es difícil

de manejar, a menudo no es comprendida por
los usuarios, por lo tanto, no se utiliza…
• Cada organización determina la extensión de

la documentación necesaria y los medios de
comunicación a utilizar
1.8.3
1.8.3
1.7 Estructura 1.8.1
1.8.1 Creación
Creación de
de 1.8.2
1.8.2 Control
Control de
de Sistema
Sistema de
de gestión
gestión
organizativa plantillas
plantillas los documentos
los documentos de documentos
de documentos
1.8.4 Establecer la 1.9 Competencia y

1.8.5 Control de
Documentación sensibilización
1.8.4del
Establecer
SGCN la los registros 1.9 Competencia y
1.8.5 Control de
Documentación sensibilización
del SGCN los registros
1.8.1. Creación de Plantillas
Tipo de documentos
Tipo Objetivos
Política Intenciones y directrices generales de una organización formalmente expresadas por la Dirección
Las instrucciones especificas que explican con claridad los pasos para determinar la forma en que la política, las
Procedimiento
directrices y las normas de apoyo se aplicarán realmente en un entorno operativo
Declaración general para alcanzar los objetivos de la política al proporcionar orientación sobre buenas
Directrices
prácticas a seguir
Amplio conjunto de medidas preparadas (incluidas las listas de control y auxiliares del trabajo) diseñadas para facilitar
Plan de
la actividad de la continuidad del negocio o la ordenada y rápida recuperación de los procesos críticos (de negocio) en
el caso de una crisis
Descripción de los acuerdos en vigor entre la organización y un grupo de actores como usuarios
Carta
empleados, proveedores o prestadores de servicios
Esquema de proceso Esquema que ilustra el trabajo de un proceso
Normativa de proceso Explicación detallada de funcionamiento de un proceso como una descripción
Formulario de papel o en formato electrónico que está diseñado para proporcionarlo o registrar la información sobre
Formulario
una operación (solicitud de cambio, solicitud de autorización, notificación de incidentes, etc.)
Guía Documento práctico con instrucciones detalladas sobre el uso y/o instalación mantenimiento operación
Hoja de datos Documento que resume la información técnica (especificaciones) necesaria para instar, usar, mantener, etc.
1.8.2. Gestión de la documentación
El desarrollo de un proceso de gestión de la documentación y

redacción de un procedimiento
b) Identificación
a) Creación
c) Clasificación, indexado y
seguridad
i) Eliminación
d) Modificación
h) Conservación y
archivado
g) Uso adecuado e) Aprobación
f) Distribución
1.8.3. Implementación de un Sistema de Gestión de Documentos
• Facilitar el almacenamiento, acceso, consulta, difusión de documentos y su

información
• Custodiar el ciclo de visa complement0 de los documentos
• Garantizar la trazabilidad
• Garantizar el acceso a los documentos
Optimizar búsqueda
y actualización
1.8.4. Redacción de la Información Documentada Requerida del
SGCN
Como mínimo, el SGCN debería contener la siguiente documentación:
1. El contexto de la organización
2. Requisitos legales, reglamentarios y otros y pruebas de su cumplimiento (4.2.2)
3. El ámbito de aplicación del SGCN y cualquier exclusión (4.3.2)
4. Política de la continuidad del negocio (5.3)
5. Objetivos de continuidad del negocio (6.2)
6. Competencia (7.2)
7. Análisis del impacto en el negocio y proceso de evaluación de riesgos (8.2)
8. Estrategia de continuidad del negocio (8.3) incluidas las opciones de estrategia
consideradas
9. Procedimientos de continuidad , gestión de incidentes y de recuperación (8.4)
10. Informes pos-ejercicio (8.5)
11. Monitoreo del SGCN (9.1)
12. Auditorías Internas (9.2)
13. Revisión por la dirección (9.3)
14. No Conformidades y acciones correctivas (10.1)
Información Documentada que puede ser Requerida
Además puede ser requerida la información documentada que abarca la siguiente

información necesaria para asegurar la eficacia del SGCN:
No
v
ma an e
1. Los contratos con clientes y los niveles de servicio nu n e
al l
2. Resultados de los análisis de impacto en el negocio
3. Resultados de las evaluaciones de riesgo
4. Determinación y selección de las estrategias de continuidad del negocio
5. Resumen de respuesta ante incidentes
6. Programa de sensibilización
7. Comunicaciones del SGCN e incidente con el personal y las partes interesadas
8. Programas de capacitación para la organización y los individuos.
9. Calendario de ejercicios
10. Contratos y acuerdos de nivel de servicio con los proveedores
11. Notificaciones a los contratistas y proveedores y procedimientos de respuesta
12. Las pruebas de inspección, mantenimiento y calibración
13. Después de los incidentes los informes de incidentes y casi incidentes
14. Acta de la reunión de la revisión del SGCN
Crear una Lista Maestra de Documentos
Buenas prácticas
Es una buena práctica crear una lista única de todos los documentos relacionados
con el SGCN con información básica tal como:
 El identificador único
 Título
 El tipo de documento
 Los nombres, funciones y servicios de los autores (y / o los propietarios)
 El nombre del responsable y la fecha de la aprobación
 Fecha de emisión
 Fecha de la versión y de la revisión
 Numeración de páginas
 Nivel de clasificación
1.8.5. Control de los Registros
o Los controles para garantizar la identificación, almacenamiento, protección,
disponibilidad, tiempo de conservación y eliminación de registros deben estar
documentados e implementados
o Los registros deben ser protegidos, permanecen legibles, fácilmente

identificables y accesibles
o Ejemplos de registros:
 Las actas de reunión

 Certificados de capacitación
 Enviar cartas a las partes interesadas
 Los informes de auditoría
 Informe de resultados de pruebas
Lista Maestra de Documentos
Ejemplo
Duración de la
Identificación Almacenamiento Responsabilidad Clasificación
conservación
Registro de Departamento de Director de

3 años Uso interno
capacitación Recursos Humanos Recursos Humanos
Hoja de informe Centro de Servicios

Centro de Servicios 2 años Confidencial
De incidentes Director
Ejercicios y
Registros de las Departamento de Director de CN
5 años Muy confidencial
Pruebas del Gestión de Riesgos
SGCN
Revisión por la Secretario del

Comité Ejecutivo 7 años Muy confidencial
Dirección Comité Ejecutivo
Gestión de la documentación
Problemas más comunes

Problema Causa potencial
Dificultad para encontrar o gestionar un Cantidad demasiado grande de documentos

documento mal clasificados y no catalogados
Incapacidad para extraer rápidamente Documento voluminoso, demasiado literario, a

información útil de un documento menudo con varios anexos
Los procesos de gestión de documentos no están

Actualizaciones de carácter tedioso
establecidos o poco explotados
Los empleados relacionados con las operaciones

Diferencia entre los registros y procesos de
no han participado en la redacción de
negocio reales
documentos
No hay validación con los usuarios, la falta de

Textos o gráficos ambiguos / incomprensibles
formación y sensibilización, editor incompetente
Ningún sistema de gestión de documentos en

Proliferación de versiones de los documentos
uso
Ejercicio 6
Lista maestra de documentos

Capacitación Implementador Líder en la ISO 22301
Sección 13
Competencia y sensibilización
a. Diferencia entre capacitación, sensibilización y comunicación

b. Definición de un programa de desarrollo de competencias
c. Evaluación de las competencias requeridas
d. Definición de un programa de capacitación
e. Definición de un programa de sensibilización
f. Evaluación y mejora continua del programa de
desarrollo de competencias
1.9. Competencia y Sensibilización
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

2.1 Análisis del Impacto
1.2 Comprensión en el Negocio (AIN) 3.1 Supervisión,
de la organización 4.1 No
conformidades
2.2 Evaluación evaluación
1.3 Analizar el y acción correctiva
del riesgo
sistema existente
1.4 Alcance Continuidad del
Negocio
3.2 Auditoría
1.5 Liderazgo y 2.4 Medidas de interna
planificación Protección &
Mitigación
1.6 Política de CN
2.5 Plan y
procedimientos de la 4.2 Mejora
1.7 Estructura continuidad del negocio 3.3 Revisión continua
organizativa por la Dirección

documentada
1.9 Competencia y
2.7 Ejercicio y pruebas
sensibilización
Requisitos
7.2 Competencia
a) Determinar la competencia necesaria de la(s) que realizan un trabajo bajo su control que afecta su
rendimiento.
b) Asegurarse de que estas personas son competentes sobre la base de una apropiada, capacitación y
experiencia.
c) Cuando corresponda, tomar medidas para adquirir la competencia necesaria y evaluar la eficacia de las
medidas adoptadas, y
d) Mantener adecuada información documentada como evidencia de su competencia.
e) NOTA acciones aplicables pueden incluir, por ejemplo: el suministro de formación para la tutoría de , o la re-
asignación de los empleados; o la contratación o subcontratación de personas competentes.
7.3 Conciencia
Las personas que realizan trabajos en el control de la organización deberán tener en cuenta:
f) La política de continuidad del negocio,
g) Su contribución a la eficacia del SGCN, incluyendo los beneficios de una mejor gestión de la continuidad
del negocio,
h) Las consecuencias de no conformidad con los requisitos del SGCN
i) Su papel durante los incidentes disruptivos.
Competencia y Capacitación
Norma ISO 9000, cláusula 3.1.6 e ISO 10015, cláusula 3.2
Contexto
Competencia
 Capacidad
Capacidad demostrada
demostrada
Conocimientos
para
para aplicar
aplicar
de
conocimientos
conocimientos yy Habilidades Conocimiento
habilidades
habilidades de
conducta Competente
De
se
a nte m
pe
tic ño
Capacitación Prac
xto
Co
 Proceso
Proceso para
para nt e
nt
Co
ex
proporcionar
proporcionar yy desarrollar
desarrollar los
los
Habilidades
to
conocimientos,
conocimientos, las las habilidades
habilidades
yy las
las conducta
conducta para
para cumplir
cumplir
con
con los
los requisitos
requisitos
Capacitación, Sensibilización y Comunicación
Diferencias
Capacitación Sensibilización Comunicación
Adquisición de
Cambio de hábitos Estar informado
habilidades
Dirigida principalmente a
Dirigida al intelecto las emociones y el Dirigida al intelecto
comportamiento
¿Qué comportamiento
¿Qué habilidades ¿Qué mensajes
queremos reforzar o
Tienen que adquirir? enviamos?
cambiar?
1.9. Competencia y Sensibilización
1.9.1
1.9.1 Definir
Definir un
un 1.8.2
1.8.2 Evaluación
Evaluación
1.7 Estructura 1.8 Información programa
programa dede de
de las
las
organizativa documentada desarrollo
desarrollo de
de competencias
competencias
competencias
competencias necesarias
necesarias
1.9.3
1.9.3 Definir
Definir un
un 1.9.4
1.9.4 Definir
Definir un
un 1.9.5
1.9.5 Evaluación
Evaluación
programa
programa de
de programa
programa dede 2.1 AIN
yy mejora
mejora continua
continua
capacitación
capacitación sensibilización
sensibilización
1.9.1. Definición de un Programa de Desarrollo de Competencias
ISO 22301 e ISO 22313 cláusula 7.2
La organización debería desarrollar un programa de desarrollo de competencias

que incluya:
 La evaluación de competencias para las función (es) que se llevarán a
cabo
 Creación de un programa de desarrollo personal que identifica
capacitación, supervisión, etc.
 Servicios de capacitación y tutoría incluyendo la selección de métodos
y materiales adecuados
 Intercambio de Conocimientos
 Trabajo compartido
 Contratación de una persona o personas competentes
 Evaluación y mejora continua del programa
1.9.2. Evaluación de las Competencias Requeridas
Ejemplo
Funciones Políticas Crisis AIN Auditorias Legales
Función A A A
Función B C B B R
Función C C A
Función D C B
Función E A B A
B Experiencia A Conocimiento C Nivel de Sensibilización

1.9.3. Definición de un Programa de Capacitación
Tipos de programa y sus objetivos
Sesión de Iniciación
Obtener información sobre temas
específicos
Mantenimiento de las habilidades y

adquisición de habilidades especificas Educación continua
Adquisición de habilidades generales Educación Básica (Universidad)

Principales Métodos de Capacitación
Curso
en el sitio o  Cuando se selecciona una
fuera del solución de capacitación para
sitio
cerrar las brechas de
competencia, deberían ser
especificadas y documentadas
Taller Aprendizaje las necesidades de
capacitación
 Deberían enumerarse los

Métodos de
capacitación posibles métodos de
capacitación a fin de satisfacer
las necesidades de formación.
La forma adecuada de
Instrucción capacitación dependerá de los
en el puesto
Aprendizaje recursos enumerados, las
a distancia de trabajo
limitaciones y objetivos
Auto
capacitación
1.9.4. Definición de un Programa de Sensibilización
Temas principales
Las personas que realizan trabajos en el control de la organización deberán tener
en cuenta:
La
La política
política de
de continuidad
continuidad del
del negocio,
negocio,
Su
Su contribución
contribución al
al SGCN
SGCN prevista
prevista
Los
Los beneficios
beneficios de
de la
la continuidad
continuidad del
del negocio
negocio
Su
Su papel
papel durante
durante los
los incidentes
incidentes
Nota: Un plan de sensibilización sobre la Gestión de la Continuidad del Negocio

de la organización es un Proceso en curso
1.9.5. Evaluación y Mejora Continua del Programa de Desarrollo de
Competencias
El objetivo de la evaluación es confirmar que se han cumplido

los objetivos de ambas competencias de la organización y las
individuales, es decir, el programa de desarrollo ha sido
efectivo
Capacitación Implementador Líder Certificado en la ISO 22301
Sección 14
Análisis de Impacto en el Negocio (AIN)
a. Propósito de un AIN
b. Planificación de un AIN
c. La recopilación de datos
d. Análisis de los datos
e. Validación de los datos
f. Presentación del informe del AIN

2.1. Análisis del Impacto en el Negocio (AIN)
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
2.1 Análisis del Impacto 3.1 Supervisión,
1.2 Comprensión en el Negocio (AIN) 4.1 No
de la organización medición, análisis y
conformidades
evaluación
2.2 Evaluación y acción correctiva
1.3 Analizar el
del riesgo
sistema existente
1.4 Alcance Continuidad del
2.4 Medidas de
planificación Protección &
Mitigación
1.6 Política de CN 4.2 Mejora
2.5 Plan y
procedimientos de la continua
1.7 Estructura continuidad del negocio 3.3 Revisión por
organizativa la Dirección

documentada
1.9 Competencia y
sensibilización
Requisitos

Análisis del impacto en el negocio
La organización deberá establecer, implementar y mantener un proceso de evaluación formal y

documentado para determinar las prioridades, objetivos y metas de continuidad y
recuperación. Este proceso deberá incluir la evaluación del impacto de interrumpir las
actividades que apoyan las actividades de productos y servicios de la organización.
El análisis del impacto en el negocio deberá incluir lo siguiente:

a) Identificación de las actividades que favorezcan la presentación de los productos y
servicios;
b) Evaluar el impacto en el tiempo de no realizar estas actividades;
c) Priorizar los plazos para reanudar estas actividades en un determinado nivel mínimo
aceptable, teniendo en cuenta el tiempo en el que los afectos de no volver a reanudarlas
serían inaceptables; e
d) Identificar las dependencias y recursos de soporte para estas actividades,
e) Incluyendo a proveedores, socios externos y otras partes interesadas.
Actividades y Recursos Prioritarios
Propósito de un AIN
Obtener una comprensión de los productos y servicios clave de la
organización y la actividades que los ofrecen
Determinar las prioridades y los plazos para reanudar actividades
Identificar los principales recursos que puedan ser necesarios para la

continuidad y recuperación
Identificar las dependencias (tanto internas como externas)

2.1. Análisis del Impacto en el Negocio (AIN)
1.9 Competencia y 2.1.1

2.1.1 Planificación
Planificación 2.1.2
2.1.2 Recolección
Recolección 2.1.3
2.1.3 Análisis
Análisis de
de
capacitación del
del AIN
AIN de
de los datos
los datos los datos
los datos
2.1.4 Validación 2.1.5 Presentación 2.2 Evaluación del

de los datos del Informe del AIN Riesgo
2.1.4 Validación 2.1.5 Presentación 2.2 Evaluación del
de los datos del Informe del AIN Riesgo
2.1.1. Planificación de un AIN
Actividades
1 Determinación del enfoque y el método de recolección de datos
Identificación de las actividades que soportan los productos y servicios

2 clave
3 Selección de los impactos que se van a analizar
4 Preparación de las herramientas del AIN

1. Determinación del Enfoque y el Método de Recolección de
Datos
Determinación
Determinación del
del enfoque
enfoque
El
El enfoque
enfoque puede
puede serser cuantitativo
cuantitativo (con
(con cálculo
cálculo de
de consecuencias
consecuencias financieras)
financieras) y/o
y/o
cualitativo (evaluación de impactos no financieros como la reputación, el servicio
cualitativo (evaluación de impactos no financieros como la reputación, el servicio
de
de atención
atención al
al cliente,
cliente, etc.)
etc.)
Determinación
Determinación del
del método
método
La
La recopilación
recopilación dede datos
datos del
del AIN
AIN puede
puede hacerse
hacerse con
con una
una combinación
combinación de
de métodos
métodos
como
como taller,
taller, entrevistas
entrevistas yy cuestionario
cuestionario
Identificación de los participantes
Crear
Crear unun equipo
equipo de
de AIN
AIN ee identificar
identificar aa quienes
quienes van
van aa responder
responder las
las entrevistas
entrevistas
(de
(de las
las funciones
funciones de
de negocio
negocio yy las
las funciones
funciones de
de apoyo)
apoyo)
II. Identificar la Actividades que dan Apoyo a sus Productos y
Servicios Principales
NADA
Las
Las actividades
actividades aa considerar
considerar
•• Las
Las que
que apoyan
apoyan la
la misión
misión de
de la
la
organización
organización yy que
que son
son vitales
vitales para
para
sus logros
sus logros
•• Relacionadas
Relacionadas con
con obligaciones
obligaciones
legales
legales y/o
y/o contractuales
contractuales
Principales Actividades de Negocio
Ejemplo basado en la cadena de valor de Porter
Gestión
Gestión de
de Infraestructuras
Infraestructuras
Gestión
Gestión de
de Recursos
Recursos Humanos
Humanos
Finanzas
Finanzas yy contabilidad
contabilidad
I+D Marketing Diseño Producción Distribución Atención al

cliente
Ventas
Suministros
Embalaje
Investigación
Y Desarrollo Transformación Servicios
Exportación Pos venta
Fabricación
Marketing Diseño
Control de
calidad
III. Selección de los Impactos a Analizar
PÉRDIDA DE INGRESOS SANCIONES DAÑOS A LA

• Pérdida Directa • Contractuales REPUTACIÓN
• Pagos Compensatorios • Regulatorias • Clientes, Proveedores,
• Ingresos Futuros Perdidos • Legales Socios, Bancos
• Pérdida de Inversión Mercados
Financieros
• Calificaciones de
Crédito
Las interrupciones
GASTOS ADICIONALES
• Costo de la Recuperación
• Gastos Extras IMPACTOS RECAUDACIONES
• Mayor Riesgo de Fraude RETRASADAS
• Una Mayor Tasa de Error • Las Pérdidas de
• Los Gastos de Viaje Facturación
• Los Empleados Temporales • Descuentos Perdidos
IMPACTO AMBIENTALES
• Contaminación del suelo
IMPACTOS EN • Contaminación del aire
PÉRDIDA DE PRODUCTIVEDAD • Contaminación del agua
• Número de Empleados afectados SEGURIDAD • Devastación de la flora y la
• Número de horas perdidas • La pérdida de vida o
fauna
• % de Capacidad perdida lesiones
• Irritación de las vías
respiratorias
• Enfermedad
IV. Preparación de las Herramientas del AIN
Principales herramientas
o “Peor de los casos”
o Cuestionario
o Guía para al responder a los cuestionarios
o Guía para facilitadores y entrevistadores de talleres
o El Programa y la presentación de un taller
o Presentación de lanzamiento
o El software del AIN

2.1.2. La Recopilación de Datos
Durante el análisis del impacto en el negocio, es recomendable recoger datos

a través de cuestionarios, entrevistas, o talleres
o Puede obtenerse datos adicionales usando lo documentos e investigaciones, pero

estos datos se deberían recopilar sólo para respaldar o complementar los datos a
través del contacto directo con expertos en la materia
o Durante la fase de recolección de datos, la siguiente información debería ser

recopilada:
 Evaluación de los impactos

 Identificación de los objetivos de continuidad del negocio, como RTO, RTP y
MBCO
 Documentación de actividades prioritarias
I. Evaluación de los Impactos
Ejemplo
Umbrales de Impacto
1 2 3 4
Limitado Importante Grave Critico
Riesgo Riesgo Riesgo Riesgo Riesgo

Financiero Financiero Financiero Financiero Financiero
Impacto a la Sin más retraso Sin más retraso Sin más retraso Sin más retraso
Funcionalidad después de 1 después de 2 después de 1 después de 3
semana semanas mes meses
Impacto en la Limitada Significativo Importante Cambio

Imagen Pública Divulgación de Cambio de Cambio de Permanente de la
Incidentes Imagen Pública Imagen Pública Imagen Pública
Destitución del
Compromiso de Quejas de los Cuestionamiento Cancelación de
Director General
Responsabilidad Clientes de los Contratos los Contratos
/o miembros de la
Actuales Actuales Dirección
Impacto
Pérdida Pérdidas Deudas Quiebra
Económico,
Financiera Financieras Financieras
Humano y Social
Limitada Importantes
Riesgo Financiero
II. Identificación de los Principales Recursos y Dependencias
Vinculados a los Procesos Críticos
Ejemplo con un proceso de producción
III. Identificación de los Objetivos de Continuidad del Negocio
RPO y RTO
Objetivo de punto de recuperación Objetivo de tiempo de

(RPO, por sus siglas en inglés) Recuperación (RTO)
• Punto en que la información • Periodo de tiempo después de un

utilizada por una de las actividades incidente en el que: el producto o
debe ser restaurada para que la servicio deben reanudarse; o la
actividad pueda funcionar tras la actividad debe reanudarse; o los
reanudación. recursos deben ser recuperados.
RPO y RTO
Ejemplo
Objetivo de punto de Objetivo de Tiempo de

Recuperación (RPO) Recuperación (TTO)
(Máxima pérdida de datos aceptable El tiempo máximo aceptable
Desastre
Desastre
Tiempo
0:00 Muy
Copia de Copia de Sistema Crítico Importante Importante
seguridad seguridad de espejos (1 H) (12 h) (72 H)
en cintas de la red (1 Minuto)
(7 Días) (24 H)
Identificación de los Objetivos de Continuidad del Negocio
OMCN (MBCO)
Objetivo
Objetivo Mínimo
Mínimo de
de Continuidad
Continuidad
del
del Negocio
Negocio OMCN
OMCN (MBCO)
(MBCO)
•• Nivel
Nivel mínimo
mínimo de
de los
los servicios
servicios y/o
y/o
productos que es aceptable
productos que es aceptable parapara
la
la organización
organización para
para alcanzar
alcanzar sus
sus
objetivos
objetivos de
de negocio
negocio durante
durante una
una
interrupción
interrupción
100 % Nivel de servicio normal
40 %
Objetivo Mínimo de Continuidad del Negocio (MBCO)
0%
IV. Documentación de las Actividades Prioritarias
Resumen basado en las mejores prácticas
1 Descripción de la Función Empresarial
2 Las Actividades críticas
3 Las Dependencias
4 Impacto del Flujo de Trabajo
5 Consecuencias de No Procesar
2.1.3. Análisis de los Datos
Transcribir en minutas de entrevistas o síntesis de documentos
Comprobar que todas las preguntas que aplican se han complementado
Comprobar que los objetivos de continuidad de la empresa se justifican

por los impactos operativos y/o financieros
Identificar los elementos que se deben aclarar

? ?
? ?
Identificar incoherencias
? ?
? ?
2.1.4. Validación de Datos
Validación
Validación dede datos
datos
 Validar con:
 Validar
o con:
Gerente de la función de negocio
o o Gerente de del
Director la función de negocio
Departamento
o Director del Departamento
 Cualquier cambio en los datos
 Cualquier cambio en los datos
recopilados
recopilados
debe estar documentado y aprobado
debe estar documentado y aprobado
 En la parte final de esta fase, asegúrese
 En de
la parte
que final
toda dela esta fase, asegúrese
información recopilada
de está
que toda la información
completada, recopilada
es precisa y
está
está completada, es precisa y
está acordada por las personas implicadas
acordada por las personas implicadas
2.1.5. Presentación del Informe del AIN
El
El informe
informe del
del AIN
AIN
 No hay formato normalizado para
un informe del AIN y al igual
que con muchos otros
procesos, documento es probable
que siga el formato estándar de la
organización
 Como mínimo, el informe del

AIN debe incluir:
La lista de actividades que
Apoyan a los principales
productos y servicios.
Las evaluaciones de impacto
El RTO y las prioridades de la
empresa para la recuperación
Importantes dependencias y
recursos de soporte
Resumen de Objetivos de Recuperación
Objetivo de Punto de Objetivo de Corte máximo aceptable

Recuperación (RPO, por Tiempo de (MAO)
sus siglas en inglés Recuperación
(RTO)
Plan de protección y de
Medidas de mitigación
Plan de capacitación y
sensibilización
Desastre
Nivel de
servicio
100%
normal
40%
Objetivo Mínimo de Continuidad
del Negocio (MBCO) Horas Día Semana Mes Tiempo
0%
Última copia de seguridad Llegar al punto de los Volver a

Servicios mínimos a Normal
recuperar
Análisis de Impacto en el Negocio (AIN)
Resumen con un ejemplo
Objetivo de
Proceso de Impactos Máximo de Componentes del Tiempo
Negocio Potenciales Inactividad Tolerable Sistema de Recuperación
Servidor de 36
Procesar Operaciones más de 1.000 72
Aplicaciones Horas
Factura
Procesar Empleados afectados Horas
Factura
24
Reputación –medios de Servidor Web
Elaborar 30 Horas
Comunicación anuncian
factura
Elaborar Horas
preocupaciones
APORTACIONES
factura
DE LAS PARTES
APORTACIONES Servidor de Base de 12
INTERESADAS Reputación –visión del 36 datos
DE LAS PARTES Procesar Horas
INTERESADAS Factura congreso Horas
Procesar
Factura
Los ordenadores de 30
Servicio de atención al Cliente
Procesar 36 escritorio Horas
-más de 500 quejas de los
Factura
Procesar Horas
clientes
Factura
Interdependencias
Ejercicio 7
Análisis del Impacto en el Negocio (AIN)

Sección 15
Evaluación de riesgos
a. Identificación de riesgos
b. Análisis de riesgos
c. Estimación de riesgos
2.2. Evaluación de Riesgos
1.
1. Planificar
Planificar 1.
1. Planificar
Planificar 1.
1. Planificar
Planificar 1.
1. Planificar
Planificar

de la organización 3.1 Supervisión,
en el Negocio (AIN) 4.1 No
conformidades y
1.3 Analizar el evaluación
2.2 Evaluación del acción correctiva
sistema existente
Riesgo

Continuidad del
Negocio
1.5 Liderazgo y
3.2 Auditoría
Protección &

1.8 Información 3.3 Revisión por

la Dirección
1.9 Competencia y
sensibilización 2.7 Ejercicio y pruebas
Proceso de Gestión de Riesgo (ISO 31000)
Evaluación de
riesgos
a. Crear valor
b. Parte integral de los
procesos de la Establecer
Mandato y compromiso (4.2) Establecer el
el
organización contexto
contexto (5.3)
(5.3)
c. Parte de la toma de
decisiones
d. Aborda explícitamente
la incertidumbre
e. Sistemática, Diseño del marco
estructurada y de trabajo de la
Comunicación y consulta (5.2)

oportuna Gestión de riesgos (4.3) Identificación de
Seguimiento y revisión (5.6)

f. Sobre la base de la Riesgos (5.4.2)
mejor información
disponible
g. Adaptada Análisis de
h. Toma en cuenta los Mejora continua Implementación Riesgos (5.4.3)
factores humanos y Del marco De la gestión
culturales De trabajo (4.6) De riesgos (4.4)
i. Transparente e
Evaluación
inclusiva de Riesgos (5.4..4)
j. Dinámica, interactiva y
sensible a los cambios
k. Facilita la mejora Seguimiento y
continua y la Revisión del marco
De trabajo (4.5) Tratamiento
Tratamiento del
optimización de la del
Riesgo
Riesgo (cláusula
(cláusula 5.5):
5.5):
organización de la
organización
Principios (cláusula 3) Marco (cláusula 4) Proceso (cláusula 5)
Herramientas y Métodos para la Evaluación de Riesgos Presentados
en la Norma ISO 31010
Mantenimiento
Mantenimiento centrado
centrado en
en
Tormenta
Tormenta de
de ideas
ideas Análisis
Análisis de
de la
la causa
causa raíz
raíz la
la fiabilidad
fiabilidad
Entrevistas
Entrevistas estructuradas
estructuradas oo Modo
Modo dede Falla
Falla Análisis
Análisis furtivo
furtivo de
de circuitos
circuitos
semi-estructuradas
semi-estructuradas Análisis
Análisis de los
de los efectos
efectos
Análisis
Análisis de
de árbol
árbol de
de fallos
fallos Delphi
Delphi Análisis
Análisis Markov
Markov
Análisis
Análisis de
de árboles
árboles de
de
Lista
Lista de
de verificación
verificación Simulación
Simulación de
de Monte
Monte Carlo
Carlo
sucesos
sucesos
Análisis
Análisis de
de causas
causas yy Estadísticas
Estadísticas Bayesianas
Bayesianas yy
Análisis
Análisis de
de riesgo
riesgo primario
primario consecuencia
consecuencia Bayes
Bayes
Estudios
Estudios de
de peligros
peligros yy Análisis
Análisis de
de causa
causa yy efecto
efecto Curvas
Curvas FN
FN
Operabilidad
Operabilidad (HAZOP)
(HAZOP)
Análisis
Análisis de
de Peligros
Peligros yy Puntos
Puntos Análisis
Análisis de
de protección
protección de
de Índices
Índices de
de Riesgo
Riesgo
de
de Control Críticos ((APPCC)
Control Críticos ((APPCC) la
la capa (LOPA)
capa (LOPA)
Evaluación
Evaluación de
de riesgos
riesgos Matrices
Matrices de
de probabilidad
probabilidad //
Árbol
Árbol de
de decisión
decisión
medioambientales
medioambientales consecuencia
consecuencia
Estructura
Estructura “¿Y si?” >>
“¿Y si?” Análisis
Análisis de
de fiabilidad
fiabilidad Análisis
Análisis de
de la
la relación
relación
(SWIFT)
(SWIFT) humana
humana coste/beneficio
coste/beneficio
Análisis
Análisis de
de decisión
decisión por
por
Análisis
Análisis de
de escenarios
escenarios Análisis
Análisis de
de lazo
lazo multi-criterios
multi-criterios (MCDA)
(MCDA)
Análisis
Análisis del
del impacto
impacto en
en el
el
negocio
negocio
2.2. Evaluación de Riesgos
2.2 Evaluación de Riesgos
2.1 AIN 2.2.1

2.2.1 Identificación
Identificación 2.2.2
2.2.2 Análisis
Análisis del
del 2.2.3
2.2.3 Evaluación
Evaluación
del
del riesgo
riesgo riesgo
riesgo del
del riesgo
riesgo
2.3 Política de CN
2.3 Política de CN
2.2.1. Identificación de Riesgos
Las organizaciones deberían:
 Identificar las fuentes de riesgo, las áreas de los efectos, los acontecimientos y sus
causas
 Incluir los riesgos (internos y externos) y examinar sus causas y consecuencias
 La organización debería aplicar herramientas y técnicas de identificación del riesgo
que se adapten a sus objetivos y aptitudes, así como a los que está expuesta
Enfoque y Métodos de Identificación de Riesgos
o Los métodos de identificación de riesgo pueden incluir:

 Métodos basados en la evidencia, ejemplos de los cuales son las listas de
verificación
y los comentarios de datos
 Enfoques sistemáticos de equipo donde un equipo de expertos sigue un proceso

sistemático para identificar los riesgos por medio de un conjunto estructurado de
mensajes o preguntas
 Técnicas de razonamiento inductivo como HAZOP
o Se pueden utilizar diversas técnicas de apoyo para mejorar la exactitud y la exhaustividad

en la identificación de riesgos, incluyendo tormenta de ideas y metodología Delphi
1 HAZOP = estudios de Peligros y Operabilidad

Identificación de Riesgos
Principales elementos incluidos en los Métodos de Evaluación de Riesgos
1. Determinación de los criterios de aceptación de riesgos y la determinación de los

niveles de riesgo aceptables
2. Identificación de los activos
3. Identificación de las amenazas a las que se enfrentan los activos
4. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas
5. Identificación de los impactos
6. Análisis y evaluación del impacto
7. Análisis y evaluación de la probabilidad
8. Evaluación de los niveles de riesgo
9. Determinación de umbrales aceptables sobre la base de riesgos establecidos
10. Identificación y evaluación de opciones de tratamiento del riesgo
11. Selección de las medidas y controles para tratar los riesgos
2.2.2. Análisis de Riesgos

El Análisis de riesgos se define como el análisis de un entorno de riesgos
Cada riesgo se evalúa de acuerdo con:
 Las pérdidas que pueden ocasionar

 La probabilidad de ocurrencia
 El costo de las contra medidas para mitigar el riesgo y
 La pérdida probable si esas contra medidas fueron aplicadas
Enfoque y Métodos de Análisis del Riesgo
Análisis Cualitativo:
Define la consecuencia, la probabilidad y el niel de riesgo por niveles de
significación, como “alta”, “medio” y “bajo”, puede combinar la
consecuencia y la probabilidad, y evalúa el nivel de riesgo resultante de
los criterios cualitativos
Análisis Cuantitativo:
Estima los valores estimados para las consecuencias prácticas y sus
probabilidades, y produce los valores del nivel de riesgo en las unidades
especificas definidas en el desarrollo del contexto. Un completo análisis
cuantitativo puede no ser siempre posible o deseable debido a
información insuficiente
Análisis de Escenarios de Riesgo
Las categorías habituales
1 Escenarios
Escenarios con
con edificios
edificios
2 Escenarios
Escenarios de
de utilidades
utilidades
3 Escenarios
Escenarios en
en los
los sistemas
sistemas de
de comunicación
comunicación
44 Escenarios
Escenarios de
de sistemas
sistemas informáticos
informáticos
5 Escenarios
Escenarios de
de consumibles
consumibles
6 Escenarios
Escenarios que
que involucran
involucran personas
personas
7 Escenarios
Escenarios de
de información
información oo datos
datos
Ejemplo
Posibles Causas
Escenario 1 Consecuencias Impacto
/Amenazas
 Se ha detenido la
 Fuego
producción
3
No disponibilidad del edificio
 Inundación
 Incapacidad para Probabilidad
garantizar la logística de
 Amenaza de bomba
entrega
 Huelga
 Incapacidad de facturar
2
bienes entregados
 Manifestación
Nivel de
 Fuga de gas Riesgo
 Huracán
 Terremoto 6
Comentarios:
Comentarios: En En los
los últimos
últimos 10
10 años,
años, la
la organización
organización haha perdido
perdido 99 días
días debido
debido aa la
la no
no disponibilidad
disponibilidad del
del edificio
edificio
(una
(una huelga
huelga de
de 77 días,
días, 11 día
día por
por una
una alerta,
alerta, 11 por
por un
un fuga
fuga de
de gas)
gas)
Cálculo de la Determinación de Riesgo
Ejemplo de un cálculo del riesgo
Posibilidad de ocurrencia - Amenaza
Valor de Baja Mediana Alta

los
activos
Nivel de Vulnerabilidad
B M A B M A B M A
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
2.2.3. Evaluación de Riesgos
o La evaluación de los riesgos es la comparación de los niveles de riesgo

estimados con los criterios de evaluación y los criterios de aceptación de riesgos
y priorizarlos
o La estimación de riesgos es necesaria antes de tomar una decisión sobre las

posibles opciones para el tratamiento de riesgos incluyendo:
 Si se tomarán medidas correctivas para reducir el nivel de riesgos calculado
 A cuáles riesgos se les dará prioridad

Decisión como resultado de la evaluación de Riesgos
Las decisiones pueden incluir:
 Si un riesgo necesita tratamiento
 Prioridades de tratamiento
 Si una actividad debe llevarse a cabo
 Cuál, de una cantidad de caminos debería seguirse
Nota:
Nota: LaLa decisión
decisión sobre
sobre laslas medidas
medidas aa tomar
tomar después
después
de
de la
la evaluación
evaluación del
del riesgo
riesgo sese verá
verá influida
influida por
por el
el nivel
nivel
de
de apetito
apetito por
por el
el riesgo
riesgo de
de la
la organización
organización
Ejemplo de una Matriz de Evaluación de Riesgos
Valor de Probabilidad Orden de

Nivel de
Amenaza consecuencia de ocurrencia prioridad de
riesgo
(activo) de la amenaza la amenaza
Escenario A 5 2 10 22
Escenario B 2 4 8 33
Escenario C 3 5 15 11
Escenario D 1 3 3 55
Escenario E 4 1 4 44
Escenario
Escenario F
F 2
2 4
4 8
8 3
33
Evaluación de Riesgos
Selección de medidas de protección y mitigación
o Los resultados de la evaluación de riesgos ayudarán a guiar y determinar las

medidas de gestión apropiadas y las prioridades de gestión de los riesgos y
para aplicar las medidas de protección y mitigación para proteger contra estos
riesgos
o Las medidas pueden ser seleccionadas a partir de varias normas o pueden

diseñarse nuevos controles para satisfacer las necesidades especificas de la
organización
o La selección de medidas de protección y mitigación se detallan en el Día 3

Día 3
Sección 16
Estrategia de continuidad del negocio
a. Análisis de las opciones de la estrategia de CN
b. Selección de la estrategia de protección de actividades

prioritarias
c. Selección dela estrategia para estabilizar, continuar

reanudar y recuperar actividades prioritarias
d. Selección de la estrategia para la mitigación,

respuesta y manejo de los impactos
e. Evaluación de las capacidades de continuidad del

negocio de los proveedores
2.3. Estrategia de Continuidad del Negocio
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.1. Iniciar el SGCN 2.1 Análisis del Impacto 3.1 Supervisión,

conformidades y
1.2 Comprensión evaluación
acción correctiva
de la organización 2.2 Evaluación del
Riesgo
1.3 Analizar el
sistema existente 2.3 Estrategia de la
Continuidad del
1.4 Alcance Negocio
2.4 Medidas de 3.2 Auditoría

1.5 Liderazgo y Protección & interna
planificación Mitigación 4.2 Mejora
continua
1.6 Política de CN 2.5 Plan y
procedimientos de la
continuidad del negocio
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
8.3 Estrategia de continuidad del negocio

8.3.1 Determinación y selección
La determinación y selección de la estrategia deberá basarse en los resultados de los análisis
de impacto en el negocio y la evaluación de los riesgos.
La organización deberá determinar una adecuada estrategia de continuidad del negocio para:
a) Proteger las actividades prioritarias,

b) Estabilizar, continuar, reanudar y recuperar las actividades prioritarias y sus
dependencias y recursos de soporte, y
c) Mitigar, responder al impacto y gestionarlo.
La determinación de la estrategia deberá incluir la aprobación de plazos priorizados para la

Reanudación de las actividades.
La organización deberá llevar a cabo evaluaciones de las capacidades de continuidad del

Negocio de los proveedores
Estrategia de Continuidad del Negocio
o El objeto de la Selección de la Estrategia es colaborar en la definición de las

necesarias para proteger a la organización y para seleccionar las soluciones
para la recuperación más adecuada para las funciones críticas de la empresa
y los recursos de soporte
o La estrategia debe encarar los resultados del AIN y la evaluación del riesgo
o La estrategia de continuidad del negocio es la base

para los Planes de Continuidad del Negocio
AT EGY
STR
2.3. Estrategia de Continuidad del Negocio
Lista de las actividades
2.3 Estrategia de C.N.

2.3.2
2.3.2 Estrategia
Estrategia
2.2 Análisis 2.3.1
2.3.1 Análisis
Análisis &&
2.1 AIN para
para proteger
proteger
de riesgos Selección
Selección de
de las
las actividades
actividades
Una
Una estrategia
estrategia prioritaria
prioritaria
2.3.4 Estrategia
2.3.3 Estrategia para 2.3.5 Evaluación de 2.4 Medidas de
para mitigar,
Estabilizar, continuar, 2.3.4 Estrategia las capacidades de Protección &
responder ay 2.3.5
2.3.3 Estrategia
Reanudar para
y recuperar para mitigar, los Evaluación
proveedoresde 2.4 mitigación
Medidas de
Estabilizar, continuar, gestionar impactos las capacidades de
responder a y Protección &
Reanudar y recuperar los proveedores mitigación
gestionar impactos
2.3.1 Análisis de las Opciones de la Estrategia de CN
La organización debería determinar las opciones de estrategia para:
Proteger
Proteger actividades
prioritarias
Estabilizar,
Estabilizar, continuar,
continuar, reanudar
reanudar yy recuperar
recuperar actividades
prioritarias
Mitigar,
Mitigar, responder
responder al
al impacto
impacto yy gestionarlo
gestionarlo
2.3.2 Selección de la Estrategia para la Protección de Actividades
Prioritarias
La protección de actividades
Prioritarias puede ser dirigida a:
1 3
• Reducir el riesgo de la • transferir la actividad a un • Cesar o modifica la

actividad tercero (aunque la actividad si existen
responsabilidad sigue alternativas viables
siendo de la organización
2.3.3 Selección de la Estrategia para estabilizar, continuar, reanudar
y recuperar actividades prioritarias
La organización debería determinar las opciones apropiadas de

terminar las opciones apropiadas de estrategia para:
1 Traslado
Traslado de
de la
la actividad
actividad
2 Re-
Re- ubicación
ubicación oo re-
re- asignación
asignación de
de recursos
recursos
3 Procesos
Procesos alternativos
alternativos yy capacidad
capacidad de
de reserva
reserva
44 Sustitución
Sustitución de
de habilidades
habilidades yy recursos
recursos
5 Solución
Solución temporal
temporal
2.3.4 Selección de la Estrategia para la Mitigación, Respuesta y
Manejo de los Impactos
La organización debería determinar las opciones apropiadas de

estrategia para:
B)
Re
s
un
tau
La compra de seguros puede
de
rac
Ofrecer cierta compensación
La contratación de los
ió n
ión
Financiera en caso de pérdidas,
servicios de las compañías
t ac
Pero no cubrirá todos los costes
de
que se especializan en la
tr a
limpieza o reparación de
a cti
gu on
bienes después de los daños
vo
se La c
ro
s
A)
C) Gestión de la reputación
Desarrollo de una efectiva capacidad de comunicación y de

Alerta y establecer procedimientos de comunicación eficaces
Ejemplo de Opciones de la Estrategia de CN
Las estrategias de CN disponibles y el RTO que cumplen
C IX Sitio
O cliente
S E
T S VIII,
O T Traslado a
R otros centros
A del grupo
D T
E VII,
E Trabajo a
G
distancia
I
L A VI, Sitio
A tibio
V, Acuerdo
reciproco
IV, Sitio III, Sitio II,
Reconstrucción
Ninguna
móvil frio Estrategia
y restauración
TIEMPO DE RECUPERACIÓN
I. Ninguna Estrategia
 Ninguna estrategia definida

Características
 No hay documentación de recuperación y continuidad del negocio

 No se envían datos fuera del sitio, y no hay ningún otro sitio identificado
 Estrategia utilizada por las organizaciones con un evaluado apetito por el
riesgo o de un sitio con baja criticidad; también puede ser cuando un
producto tiene una vida útil limitada
Ventajas Desventajas
 La estrategia menos costosa para  La estrategia más cara después de

aplicar un desastre…
II. Reconstrucción y Restauración
Características
 La estrategia se enfoca principalmente en los seguros

 Documentación de los bienes materiales e instalaciones
 No se envían datos fuera del sitio, y no hay ningún otro sitio identificado
 Estrategia de las organizaciones con apetito por el riesgo moderado o de
un sitio con poca criticidad
 Estrategia de bajo costo y fácil de  Estrategia que generalmente no

implementar toma en cuenta los procesos de
 Protección contra las pérdidas negocio y los activos inmateriales
financieras de los activos físicos  Estrategia que no incluye un plan
para asegurar la continuidad de las
operaciones en caso de desastres
III. Sitio frío
Características
 Instalación con energía eléctrica. Calefacción, Ventilación y Aire Acondicionado (HVAC

en inglés)
 Listo para recibir el equipo pero no hay hardware de computación en el sitio
 Los enlaces de comunicación pueden o no estar preparados
 Estrategia de las organizaciones con apetito por el riesgo moderado o de un sitio poca
criticidad
 Bajo coste
 Falsa sensación de seguridad
 El tiempo de recuperación puede ser
 Rápido de implementar
largo dependiendo de la complejidad de
 Fácil de mantener la tecnología y el equipo utilizado por la
organización
 El proveedor d e servicios puede sobre
valorar las capacidades de procesamiento
IV. Sitio móvil
Características
 Tráiler que puede transportarse rápidamente a un sitio alternativo
 Puede ser pre configurado con servidores, equipos de escritorio, equipos de

comunicaciones, microondas y enlaces para la transmisión de datos por satélite
Alternativa útil cuando no hay instalaciones de recuperación en el área geográfica
 Bajo coste  La capacidad de los equipos puede ser

 Rápido de implementar insuficiente para la necesidad
 Fácil de mantener
 Flexibilidad
V. Acuerdo Recíproco
 Acuerdo con otra empresa con hardware o configuraciones de software similares

Características
 Acuerdo por ambas partes, se supone capacidad suficiente en tiempo de necesidad

(Gran Suposición)
Sólo se debería tener en cuenta si no hay otras opciones, o es un compañero perfecto

con un entorno de tecnología compatible
 Bajo o ningún costo  Muy poco probable la existencia de la

capacidad
 Si los requisitos de procesamiento son
similares puede ser variable  Limita severamente la capacidad de
respuesta y apoyo
VI. Sitio Tibio
Características
 Instalación de energía eléctrica, calefacción, ventilación y aire acondicionado (HVAC) y

enlace de comunicación
 Las estaciones de trabajo y las impresoras están disponibles pero el software puede no
estar instalado
Estrategia de las organizaciones con bajo o moderado o apetito por el riesgo para un
sitio con baja o media criticidad
 Costo – mucho menos que el del sitio  El proveedor de servicios puede sobre
Caliente valorar capacidades de procesamiento
 Ubicación: Ya que se requiere menos

control, los sitios pueden ser más
flexibles
VII. Trabajo a Distancia
 Incluye el concepto de “trabajar desde casa” y a partir de otros lugares fuera de la

Características
empresa, por ejemplo hoteles
Estrategia utilizada por pequeñas organizaciones o para algunas unidades de negocio
 Bajo costo y fácil de implementar para  Debido a cuestiones de seguridad y

una organización pequeña confidencialidad esta opción no siempre
es adecuada
 Solución Flexible  Difícil de coordinar para grandes
flexibles organizaciones
VIII. Traslado a Otros Centros del Grupo
 En el caso de un incidente perjudicial de una división de la organización, el traslado se

Características
hará a otro centro de la misma organización
Estrategia utilizada por grandes organizaciones con varias instalaciones
 Costo puede ser bajo a medio
 Fácil de implementar  No tiene una garantía de la existencia de
 En la mayoría de los la capacidad cuando sea necesario
casos,
compatibilidad de tecnología  Contención de recursos durante los
 Respuesta rápida de activar desastres
IX. Sitio Caliente
 Las aplicaciones se instalan en los servidores y las estaciones de trabajo

Características
 Las estaciones de trabajo y servidores están actualizados
Estrategia utilizada por grandes organizaciones con muy bajo apetito por el riesgo o
para un sitio con alta criticidad
 Disponibilidad 24/7, exclusividad de uso  Costoso

 Requiere de un constante mantenimiento
 Disponible de inmediato de hardware, software, datos
y
 Admite interrupciones de corto y largo aplicaciones
 Seguridad del sitio caliente, la seguridad
plazo
del sitio primario se debe duplicar
2.3.5 Evaluación de las Capacidades de Continuidad del Negocio
de los Proveedores
o La organización debería evaluar los riesgos relevantes y, a continuación,

adoptar las medidas adecuadas para garantizar que equipos críticos y los
servicios de los proveedores pueden ser garantizados en caso de un incidente
de interrupción que los afecta
o Debería hacerse una evaluación periódica de la capacidad del CN para las
actividades críticas tercerizadas o que dependen de un proveedor, Que puede
ser por:
 Pedir que los proveedores estén certificados en la ISO 22301
 Auditoría de los proveedores
 La comprobación auditada de la viabilidad de los planes de continuidad

de los proveedores clave
Firma de un Acuerdo
Cuando la estrategia depende de un sitio alternativo
1. Durante del acuerdo o contrato

2. Estructura del costo/ tarifa (uso diario), incrementos del costo natural/tarifas
3. Prioridad de acceso al lugar/instalación y/o uso, garantía y disponibilidad de sitios
4. Cambio, modificación o proceso de terminación y condiciones en el acuerdo o contrato
5. Necesidades en materia de sistemas de información (incluidos los datos y requisitos de
telecomunicaciones ) para el hardware, el software y las necesidades especiales del
sistema (hardware y software)
6. Requisitos de seguridad, incluidas las necesidades especiales de seguridad
7. El personal, servicios de las instalaciones, suministros y soporte provisto/no provisto
8. Las pruebas, incluida la programación, disponibilidad, duración del tiempo de prueba
9. Gestión de los registros (in situ o de forma remota), inclusive los medios de comunicación
electrónicos e impresos
10. Gestión del nivel de servicios (medidas de ejecución y la gestión de la calidad de los
servicios del sistema de información prestados), el proceso de negociar la ampliación del
servicio
11. Espacio de trabajo (por ejemplo, sillas, escritorios, teléfonos, computadoras personales)
12. Otras cuestiones contractuales, según corresponda
Ejercicio 8
Selección de una estrategia de continuidad del negocio

Sección 17
Las medidas de mitigación y protección
a. Medida de mitigación y protección
b. Medida preventiva
c. Medida de detección
d. Medida correctiva
2.4. Las Medidas de Mitigación y Protección
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
Protección y mitigación
Para identificar los riesgos que requieren tratamiento, la organización deberá

estudiar medidas pro activas que:
a) Reduzca la posibilidad de una interrupción;
b) Acorde el periodo de interrupción; y
c) Limiten el impacto de una interrupción en la provisión de los productos y la
presentación de los servicios principales de la organización.
La organización deberá elegir e implementar un tratamiento de riesgo apropiado

según su nivel de aceptación del riesgo
2.4. Las Medidas de Mitigación y Protección
2.3 Estrategia de la 2.4.1

2.2 Evaluación del 2.4.1 Medidas
Medidas
2.1 AIN Continuidad preventivas
riesgo preventivas
del Negocio
2.5 Plan de la
2.4.2 Medidas de 2.4.3 Medidas Continuidad 2.6 Comunicación
detección correctivas 2.5
delPlan de la
Negocio
2.4.2 Medidas de 2.4.3 Medidas Continuidad 2.6 Comunicación
detección correctivas del Negocio
Aplicación de las Medidas de Mitigación y Protección
Medidas
Medidas Medidas
Medidas de
de Medidas
Medidas
Preventivas
Preventivas Detección
Detección Correctivas
Correctivas
Desastre
Escenarios de Riesgo y la Selección de las Medidas de Mitigación y
Protección
Ejemplo
Escenario Probabilidad Impacto Evaluación Medidas de Protección y Mitigación

• Redundancia en la protección de equipos de aire
Fracaso de acondicionado
los • de salas técnicas
Posible (3) Grave (3) Alto • Contrato de Intervención Rápida
servicios
públicos • Redundancia de las tareas de mantenimiento
• Documento de las tareas de mantenimiento
Acceso al • Hacer valer el respeto de la política de seguridad física

Importante
sitio no Regular (4) Alto • Hacer valer el respeto de la política de acceso físico para
(2) las dependencias y los recursos
autorizado
Vandalismo
• Redundancia del sistema
internacion Posible(3) Grave (3) Alto • Las pruebas periódicas de los equipos de emergencia
al externo
• Pruebas periódicas de generadores de electricidad

• Estar conectados a dos estaciones de
transformadores eléctricos
Fallo Importante
Raro (2) Significativo • UPS y parada segura de la maquinaria
eléctrico (2)
• Utilización de equipos con doble fuente de
alimentación
• Contratos de Intervención Rápida
2.4.1. Aplicación de Medidas Preventivas
Reducir la probabilidad y el posible impacto
Protección
Protección Gestión
Gestión del
del Mantenimiento
Mantenimiento
Gestión
Gestión de
de física
física Cambio
Cambio yy de
de la
la del
del
riesgos
riesgos configuración equipamiento
yy lógica
lógica configuración equipamiento
Medidas preventivas:
- Trabajar de manera pro activa
- Asegurarse de que su preparación es adecuada
- Desalentar o prevenir la aparición de problemas
- Debe estar basada sobre la mejora continua
2.4.2. Aplicación de Medidas de Detección
Reducir el impacto
Gestión
Gestión de
de
Seguimiento
Seguimiento Alertas
Alertas incidentes
incidentes
Medidas de detección:
- Detectar e identificar anomalías
- Dar indicaciones rápida
- No son discriminativas
- Deben ir seguidas de un procedimiento de escalada
2.4.3. Aplicación de Medidas Correctivas
Mitigación de las consecuencias
Planes
Planes de
de CN
CN yy Seguimiento
Seguimiento
RD Copia
Copia de
de
RD (Recuperación
(Recuperación Comunicación
Comunicación de
de No-
No-
seguridad
seguridad
ante Desastres))
ante Desastres conformidades
conformidades
Medidas correctivas:
- Trabajar a corto y largo plazo
- Deben seguir la gestión del cambio
- Muy probablemente necesitan la participación humana
- Debe incorporarse en la mejora continua
Ejercicio 9
Medidas de mitigación
Sección 18
Planes y procedimientos de continuidad del negocio
a. Desarrollo del plan de continuidad del negocio
b. Estructura y formato del plan
c. Contenido del plan de continuidad del negocio
d. Tipos de planes de continuidad del negocio
e. Activación de los diferentes planes

2.5. Planes y Procedimientos de la Continuidad del Negocio
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
Establecer y aplicar procedimientos de continuidad del negocio

La organización deberá establecer, implementar y mantener procedimientos de
continuidad del negocio para gestionar un evento perturbador y continuar sus
actividades sobre la base de objetivos de recuperación identificados en el análisis
del impacto en el negocio .
La organización deberá documentar los procedimientos (incluyendo arreglos

necesarios) para garantizar la continuidad de las actividades y la gestión de un
incidente perjudicial.
Requisitos
Planes de continuidad del negocio

La organización deberá establecer procedimientos documentados para responder a
un incidente disruptivo y cómo continuará o recuperará sus actividades dentro de un
tiempo predeterminado. Dichos procedimientos deberán atender a las necesidades
de las personas que van a utilizarlos.
Cada plan deberá definir:

- Finalidad y alcance;
- objetivos;
- criterios y procedimientos de activación
- procedimientos de aplicación;
- funciones, responsabilidades y autoridades;
- requisitos y procedimientos de comunicación;
- Las interdependencias y las interacciones internas y externas.
- necesidades de recursos; y
- flujo de información y procesos de documentación
Plan de Continuidad del Negocio (PCN)
Objetivos
o El tiempo necesario para ejecutar el plan debe estar dentro o ser igual a RTO
o Abordar la disrupción del negocio, interrupción o pérdida desde la respuesta

inicial al punto en el que se reanudan las operaciones comerciales normales
o Se basa en las Estrategias de Continuidad del Negocio acordadas y procesos

para la continuidad del negocio y los equipos de recuperación de recursos
En particular, el plan asigna roles y su rendición de cuentas, responsabilidad

y autoridad
El plan debe detallar las interfaces y los principios para hacer frente a una serie
de cuestiones clave como, por ejemplo las comunicaciones internas/externas
principales proveedores, entidades externas, servicios de emergencia y los
medios
2.3 Estrategia de la 2.4 Medidas de 2.5.1

2.5.1 Proceso
Proceso del
del
2.2 Análisis desarrollo
Continuidad Protección desarrollo del
del
de Riesgos plan
del Negocio y mitigación plan
2.5.2 Formato 2.5.3 Redactar 2.5.4 Redactar

Y estructura el/los plan (es) los procedimientos 2.6 Comunicación
Del Plan de CN de CN
2.7 Ejercicio y
pruebas
2.7 Ejercicio y
pruebas
2.5.1. Proceso de Desarrollo del Plan de Continuidad del Negocio
4. Recopilar
información
1. Nombrar 3. Estructura,
2. Enfoque y 5.
un Formato, 7. Publicar
estrategia Redacción
responsable componentes
6-9 Revisión
8. Uso
2.5.2. Definir un Formato y Estructura del Plan
Recomendaciones
o La estructura del PCN debe ser personalizada para satisfacer las necesidades
específicas de la organización
o Aunque el seguimiento de una estructura de PCN no es obligatorio, se

recomienda un formato estándar de PCN que permita la aplicación coherente en
toda la organización
o La buena prácticas identifican que un PCN debería ser de diseño modular con
diferentes secciones numeradas / nombradas consecutivamente
Las distintas secciones del PCN proporcionan la oportunidad de formar

documentos separados (denominados: módulos, secciones o “sub planes”) que
pueden ser suministrados a las personas y/o equipos sobre la base de saber lo
necesario
Contenido mínimo requerido por la ISO 22301

11 Finalidad
Finalidad yy alcance
alcance
22 Objetivos
Objetivos
33 Criterios
Criterios yy procedimientos
procedimientos de
de activación
activación
44 Procedimientos
Procedimientos de
de aplicación
aplicación
55 Las
Las funciones,
funciones, responsabilidades
responsabilidades yy autoridades
autoridades
66 Requisitos
Requisitos yy procedimientos
procedimientos de
de comunicación
comunicación
77 Las
Las interdependencias
interdependencias yy las
las interacciones
interacciones internas
internas yy externas
externas
88 Recursos
Recursos necesarios
necesarios
99 Flujo
Flujo de
de información
información yy procesos
procesos de
de documentación
documentación
Contenido a excluir del Plan de CN
Los siguientes datos no son esenciales para la invocación y el funcionamiento del

plan de continuidad del negocio y deberían ser excluidos y mantenidos en
documentos separados:
X Evaluación de Riesgos
X Análisis del Impacto en el Negocio (AIN)
X Informes de Ejercicios, Ensayos o Pruebas
X Proceso de Mantenimiento
X Informe de Auditoría
X Otra información y registros no esenciales

Contenido del Plan de Continuidad del Negocio (parte 1)
Ejemplo
Descripción de la Sección
1. Descripción Introducción, propósito (objetivo) del plan, su alcance, objetivos, hipótesis, propiedad del plan,
general del Plan registro de evento o decisión
2. La rendición de
cuentas, Coordinador de la Gestión de la Continuidad del Negocio del Sitio, Jefe de Unidades de Negocio,
Responsabilidades y Equipo de GCN de la Unidad de Negocio
autoridades
3. Notificación, Procesos de notificación y/o diagramas de flujo, procesos de invocación y/o diagrama de flujo, procesos
invocación y de escalada y/o diagrama de flujo, procesos de listas de llamadas (árboles de llamadas) (incluyendo una
escalada cascada inversa) y/o diagrama de flujo
Composición del equipo de GCN, detalles de ubicación y contacto de centro de comando(s) de GCN,
4. Equipo de GCN
Mapa de ubicación del centro(s) de comando de GCN, ubicaciones del centro de comando
5. contactos Personal interno, contactos externos incluyendo expertos en la materia
6. Lista de tareas y
Las tareas obligatorias, tareas discrecionales, proceso de seguimiento de finalización de tareas
ayuda memorias
Del personal, lesiones y fatalidades, el bienestar del personal y el asesoramiento, medios y de las relaciones
7. Información de públicas, la salud y la seguridad, el enlace con servicios de emergencia, finanzas, asesoramiento jurídico,
soporte proveedores (dentro de la organización y los proveedores externos), seguros, la invocación de servicios
especializados, comunicaciones
Contenido del Plan de Continuidad del Negocio (parte 2)
Descripción de
de la
la Sección
Sección
Calendario
Calendariode de las
lasActividades
ActividadesCriticas
Criticasde
delalaEmpresa
Empresaoodedeactividades
actividadesde
deapoyo,
apoyo,
recuperación
recuperaciónde delas
lasActividades
ActividadesCriticas
Criticasde
delalaEmpresa
Empresaoode deactividades
actividadesCriticas
Criticas
8. Las Actividades Criticas de la
de
delalaEmpresa
Empresaoode deactividades
actividadesdedeapoyo
apoyo(objetivos
(objetivosdel
delRTO
RTOyyRPO)
RPO)
Empresa
Plan
Plan de de acción,
acción, perfil
perfil de
de recuperación
recuperación de de recursos
recursos de
de lala GCN,
GCN, perfil
perfil de
de
recuperación
recuperaciónde delalaGCN
GCN
Proceso
Proceso de de invocación
invocación y/o
y/o diagrama
diagrama dede flujo,
flujo, diseñado
diseñado del
del plan
plan del
del piso
piso
9. Ubicación del sitio de recuperación
del
del sitio
sitio de
de recuperación
recuperación (área
(área de
de trabajo),
trabajo), mapa
mapa de de ubicación
ubicación del
del sitio
sitio
(dentro de la organización o proveedor
de
de recuperación,
recuperación, re re ubicación
ubicación dede personal
personal (incluido
(incluido el
el transporte
transporte yy
externo)
alojamiento),
alojamiento),seguridad,
seguridad,correo.
correo.
Estaciones
Estaciones de de trabajo
trabajo estándares
estándares decirdecir escritorio,
escritorio, silla,
silla, teléfono
teléfono yy
ordenador,
ordenador, elel equipo
equipo dede computación,
computación, las las aplicaciones
aplicaciones de de software,
software,
conectividad
conectividad de
de las
las tecnologías,
tecnologías, las
las telecomunicaciones,
telecomunicaciones, los los datos
datos copia
copia
10. Perfil de los recursos de
de
deseguridad,
seguridad,documentos/registros
documentos/registrosde devital
vitalimportancia/únicos
importancia/únicos,,equipos
equipos
recuperación
de
de oficina,
oficina, equipo
equipo dede especialistas,
especialistas, suministros
suministros de de oficina,
oficina, por
por ejemplo
ejemplo
requisitos
requisitos dede acceso
acceso para
para personas
personas discapacitadas
discapacitadas al al sitio
sitio de
de
recuperación
recuperación
Orden
Orden deldel Día
Día de
de las
las reuniones,
reuniones, información
información interna,
interna, registro
registro de
de
11. Las plantillas de formulario decisiones
decisiones yy acciones,
acciones, informe
informe de
de estado
estado de
de lala lista
lista de
de tareas,
tareas, mensajes
mensajes
telefónicos,
telefónicos,hoja
hojade
decálculo
cálculodedeacciones
accionesootereas.
tereas.
Apéndices Contratos
ContratosyyAcuerdos
Acuerdosde
deNivel
Nivelde
deServicio,
Servicio,volver
volveraacasa
casa
Tipos de Planes
Descripción de la Sección
Procedimientos documentados que orientan a las organizaciones a responder,

Plan de continuidad del negocio recuperar, reanudar, y restaurar a un nivel definido de funcionamiento tras
interrupciones
Procedimientos documentados que orientan a las organizaciones para responder a un

Plan de respuesta a incidentes incidente que pueden ser utilizados para apoyar y mejorar la mitigación la respuesta y
recuperación de los trastornos, los efectos de los desastres, o situaciones de emergencia
Coordinación de los procedimientos para minimizar la pérdida de vidas o lesiones y proteger a

Plan de respuesta de emergencia
la propiedad contra daños en respuesta a una amenaza física
Coordinación de los procedimientos para manejar situaciones complejas que representan una
Plan de gestión de crisis
amenaza a los objetivos estratégicos, la reputación o la existencia de una organización
Coordinación de los procedimientos para recuperar y mantener las operaciones criticas de la

Plan de Recuperación empresa, posiblemente en una ubicación alternativa, en caso de emergencia, fallos del
sistema, o desastres a tiempo para restaurar el funcionamiento normal en el sitio primario
Coordinación de los procedimientos para recuperar y restaurar las operaciones de la empresa

Plan de restauración después de un desastre, volver a sus actividades normales. Esto puede incluir la limpieza o
reconstrucción de las instalaciones, redes o capacidad operativa
Plan de comunicación Proporciona procedimientos par a difundir informes de situación al personal y al público
Plan de capacitación y Para garantizar procedimientos para difundir informes de situación al personal y al
sensibilización público
Plan de pruebas y ejercicios Para garantizar la eficacia de los planes y procedimientos de continuidad del negocio
Activación de los Diferentes Planes
Cronología de la respuesta de incidentes

Desastre Tiempo
Protección y plan
de mitigación Plan de respuesta a incidentes
Plan de respuesta
de emergencia
Plan de recuperación
Plan de restauración
Plan de comunicación
Plan de capacitación y
sensibilización
Plan de ejercicio y
pruebas
2.5.4. Redacción de los procedimientos Relacionados con la CN
Procedimiento
 Definición: Forma especificada para llevar a
cabo una actividad o un proceso
 La estructura y el formato de los procedimientos

documentados (copia impresa o por medios
eléctricos) deberían ser definidos por la
organización en las siguientes formas: texto,
gráficos, tablas, una combinación de los
anteriores, o cualquier otro método apropiado de
la organización
Descripción de las Actividades en el Marco de un Procedimiento
Las 6 palabras (W: W/H en inglés)
1. Quién
2. Qué
3. Cómo
4. Cuándo
5. Dónde
6. Por qué
Ejemplo:
El administrador de la red (quién) se asegura de que las copias de seguridad
(qué)se completan mediante la revisión de lo registros de copia de seguridad
(cómo) todas las mañanas (cuándo). Tras la revisión, llena y firma una lista de
Verificaciones (dónde) que se mantiene para futuras consultas (por qué)
Sección 19
Plan de respuesta a incidentes
a. Supervisión de eventos
b. Detección de incidentes
c. Valoración y evaluación de los incidentes
d. Activación de la respuesta a incidentes
e. Comunicación de respuesta a incidentes
estructurada
f. Escalada de los incidentes
g. Documentación acerca de un incidente

Requisitos
Estructura de respuesta a Incidentes

La organización deberá establecer, documentar procedimientos y una estructura de gestión para responder a un
incidente disruptivo utilizando personal con la necesaria responsabilidad, autoridad y competencia para
administrar un incidente.
La estructura de respuesta deberá:

a) Identificar los umbrales de impacto que justifiquen la iniciación de una respuesta formal,
b) Evaluar la naturaleza y el alcance de un incidente perjudicial y de sus posibles consecuencias,
c) poner en marcha una respuesta de continuidad del negocio apropiada;
d) disponer de procesos y procedimientos para la activación, operación, coordinación y comunicación
de la respuesta;
e) Tener recursos disponibles para prestar soporte a los procesos y procedimientos para administrar
un
incidente perjudicial para minimizar el impacto, y
La organización deberá decidir, con la seguridad de la vida como primera prioridad y en consulta con las partes
interesadas, si comunica o no extremamente información acerca de sus riesgos e impactos significativos y
deberá documentar su decisión. Si la decisión es comunicarlo, a continuación, la organización deberá
establecer y aplicar procedimientos para establecer esta comunicación externa, las alertas y las advertencias,
incluyendo los medios de comunicación.
Requisitos
Alerta y comunicación
La organización deberá establecer, implementar y mantener procedimientos para:
a) la detección de un incidente,
b) el seguimiento regular de un incidente,
c) la comunicación interna en el seno de la organización y recibir, documentar y responder a la
comunicación de las partes interesadas,
d) recibir, documentar y responder a cualquier sistema de asesoramiento sobre riesgos nacional
e) velar por la disponibilidad de los medios de comunicación durante un incidente disruptivo,
f) Facilitar la comunicación estructurada con los equipos de emergencia,
g) Registrar la información de vital importancia sobre el incidente y las medidas adoptadas y las
decisiones que se toman, y lo siguiente también deberá ser considerado y aplicando en su caso:
- Alerta a partes interesadas potencialmente afectadas por un real o inminente incidente perjudicial;
- Asegurar la inter operabilidad de múltiples organizaciones que responden y el personal;
- Funcionamiento de un servicio de comunicaciones.
La comunicación y los procedimientos de alerta deberán ser ejercidos regularmente.
Plan de Respuesta a Incidentes
Objetivos y contenido común
El plan de respuesta a incidentes debería integrar procesos y

procedimientos para:
I. El seguimiento de los eventos que pueden provocar incidentes

II. Detectar un incidente
III. Analizar y evaluar un incidente
IV. Declarar una respuesta a incidentes
V . Facilitar la comunicación estructurada
VI. Escalar un incidente
VII. Documentar y registrar información vital acerca de la
incidencia
VIII. Revisión de un incidente
¿ Qué es un Incidente?
o Definición: Situación que pudiera constituir o pudiera redundar en una

interrupción, una pérdida, emergencia o crisis
o Importante no confundir con el uso del término “incidente” en el campo

de la seguridad de la información y tecnologías de la información:
 Una interrupción no planificada de un servicio (ITIL en inglés)
 Un único o serie de eventos de seguridad de la información no deseados o

inesperados que tiene una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la información
(ISO 27000)
I. Supervisión de eventos
o La organización debe hacer un seguimiento de los eventos que podrían dar

lugar a un incidente
o El seguimiento debería estar en consonancia con los escenario

documentados en la evaluación del riesgo y el AIN
 El uso de herramientas de detección y el análisis de tendencias
 Compartir e intercambiar con expertos
 Advertencias tempranas y los avisos recibidos de
las autoridades, los servicios de emergencia, los
clientes, los medios de comunicación, etc.
Informe de eventos
o Un corte o interrupción puede ocurrir con o sin previo aviso
o Los eventos pronosticados debería ser comunicados a las partes

interesadas pertinentes
o Ejemplos:
 Un aviso de antemano del Servicio Nacional de Meteorología de que está

previsto un huracán que afectará una determinada zona
 Los avisos y advertencias sobre una posible nueva gripe aviar enviados
por la Organización Mundial de la salud
 Una alerta del CERT (Computer Emergency Response Team) de que un

virus informático se espera en una fecha determinada
II. Detección de incidentes
o La organización necesita implementar las medidas para detectar

incidentes y recoger la información asociada a ellos
o Las medidas de detección deben estar en línea con hipótesis

documentadas en la evaluación del riesgo y el AIN
Alertas en el sistema de TI Sistema de Alarma Detector de

Bombas y metal
III. Evaluación y Valoración de la Incidencia
Ejemplo de un proceso
Usuario/Fuente
Grupo de Apoyo a Equipo de Respuesta
Equipo de
las Operaciones a incidentes
Notificación de Gestión de Crisis
Detección
de un Evento Notificación de
Recopilación de Evaluación de
Decisión
Primera Evaluación
No Si
¿Relevante? Segunda evaluación
No
Relevante
Si
Falso Positivo
No
Respuesta
Análisis forense
Comunicaciones
Respuest No
Tiempo
a ¿Incidente
inmediata bajo control? ¿Crisis?
Si Si
Respuesta Actividades de
positiva crisis
Revisión de la
Mejora continua
IV. Invocación de una Respuesta a incidentes
Criterios y procedimientos
o El plan de CN debería se activado si se cumplen uno o más de los criterios de

activación
o Si se cumple un criterio de activación, la autoridad designada debería activar

el plan
o Los criterios para la activación de interrupciones o las disrupciones en el

sistema son único para cada o organización u deberían definirse
o Los criterios pueden basarse en:
 Magnitud de los daños al sistema (por ejemplo, físicos, operativos o

costos)
 Criticidad del sistema ala misión de la organización (p. ej. Activo de
protección de infraestructuras críticas)
 Duración prevista de la interrupción más larga que el RTO
V. Comunicación de respuesta a Incidentes
Comunicación de respuesta a
incidentes
 Para ponerse en contacto con el
personal de emergencia
 Para alertar a todas las

partes
interesadas potencialmente
afectadas
por un real o inminente perjudicial
 Asegurar la inter operabilidad

de
múltiples organizaciones y personal
de respuesta:
Métodos de notificación
o Las notificaciones se pueden realizar a través de una variedad de

métodos, ya sean automático o manual, entre los que se incluyen:
 Teléfono
 Correo electrónico:
 Teléfono móvil
 Visitar en persona el hogar, etc.
o Los sistemas de notificación automática siguen protocolos y criterios

establecidos y pueden incluir una rápida aceptación y autenticación
y mensajería segura
o Los sistemas de notificación automática requieren una inversión inicial y una

curva de aprendizaje, pero pueden ser una manera eficaz para algunas
organizaciones para garantizar la rapidez y precisión en la entrega
VI. Escalada de un Incidente
Ejemplo de una escalada de incidentes
Modo
Incidente
Es
to
ca
en
Ev
la
da
OK
Modo Modo
Estándar Crisis
l ada
ca
OK
Es
Modo de
desastres
VII. Documentación de un Incidente
Toda la información pertinente relacionada con el incidente debería ser registrada,

Incluyendo:
1. Descripción del evento

2. Categoría y prioridad
3. Fecha/hora del registro, escalada, decisión
4. Los activos y procesos afectados
5. Grupos o personas afectados por el incidente
6. Actividades realizadas para resolver el incidente y sus resultados
7. Las Decisiones tomadas
VIII. Revisión Pos-incidente
En el caso de un incidente que perturba las actividades prioritarias de la

organización o que requiere una respuesta a incidentes, debería llevarse a cabo
una revisión pos-incidente. Esto puede incluir:
1. Identificar la naturaleza y la causa del incidente

2. Evaluar la suficiencia de la respuesta de dirección
3. Evaluar la eficacia de la organización en el cumplimiento de su objetivo de
tiempo de recuperación
4. Evaluar la suficiencia de las disposiciones de continuidad del negocio a la
hora de preparar a los empleados en la previsión del incidente
5. Identificar las mejoras que se pueden introducir
6. Compara los impactos reales con los que se consideran en el análisis del
impacto en el negocio
7. Obtener retro alimentación de las partes interesadas y de los que han
participado en la respuesta
Sección 20
Plan de respuesta de emergencia
a. ¿Qué es una emergencia?
b. Objetivos de un plan de respuesta de emergencia
c. Funciones y responsabilidades
d. Procedimiento de evacuación
e. Procedimiento de presentación de informes de

emergencia
f. Controles para limitar los impactos durante una emergencia
g. Controles de detección y prevención
h. Sensibilización, simulacro y capacitación

Requisitos
Los procedimientos de respuesta deberán contener colectivamente:
c) Detalles para gestionar las consecuencias inmediatas de una interrupción

De una interrupción del negocio, teniendo en especial consideración:
1) el bienestar de las personas

2) las opciones estratégicas y operativas para responder a la interrupción; y
3) la prevención de pérdidas adicionales o indisponibilidad de las actividades
priorizadas
¿Qué es una Emergencia?
o Definición: repentino, urgente, generalmente inesperado suceso o evento que requiere

acción inmediata
o Evidentemente, numerosos eventos pueden ser “emergencias”, entre los que incluyen:
 Fuego
 Incidente de materiales peligrosos
 Inundaciones o riadas
 Huracán
 Tornado
 Tormenta de invierno
 Terremoto
 Fallo de las comunicaciones
 Accidente radiológico
 Disturbios Civiles
 Pérdida de proveedores o clientes principales
 Explosión, etc.
Objetivos de un Plan de Respuesta de Emergencia
1ª PRIORIDAD: PROTEGER LA VIDA
o La protección de la salud y la seguridad de todos en las instalaciones es la

primera prioridad durante una emergencia
o Las otras prioridades pueden ser:
 Proteger el medio ambiente
 Limitar la pérdida financiera
 Proteger la salud y la seguridad de los animales
 Proteger registros,
 Restaurar las operaciones, etc.

Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse
I. Funciones y responsabilidades
II. Procedimiento de evacuación
III. Procedimiento de presentación de informes de emergencia
IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia
V . Procedimiento de apagado de instalaciones y sistemas
VI. Medidas de detección y prevención
VII. Sensibilización, simulacro y capacitación

Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de

las instalaciones
o Él está al mando y en control de todos los aspectos de la situación de

emergencia
 Redacción de los procedimientos de respuesta de emergencia
 Aplicar controles preventivos físicos
 Ordenar la evacuación o el cierre de las instalaciones
 Organizar simulacros y ejercicios de evacuación

II. Procedimiento de Evacuación
Mejores prácticas
1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes
de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del
personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una
evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la
operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
Elementos esenciales con procedimiento de evacuación
1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas

claramente y bien iluminadas. Carteles
2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:
 Lo suficientemente amplias como para que pueda evacuar el personal

 Libres y sin obstáculos en todo memento
 Sean poco probables de exponer al personal evacuado a peligros adicionales
III. Procedimiento de Presentación de Informes de Emergencia
Listas de Llamadas de Emergencia
o Las listas (del tamaño de una billetera si es posible) de todas las personas en y
fuera de la planta que intervendrían para responder a una emergencia, sus
responsabilidades y sus números de teléfono disponibles las 24 horas
o Determinar requisitos locales y estatales para la presentación de informes

sobre las emergencias y a incorporarlos en sus procedimientos
 Policía
 Cuartel de Bomberos
 Compañía de Gas
 Los proveedores de telecomunicaciones, etc.

IV. Medidas Inmediatas para Limitar los Impactos
Elementos a tener en cuenta durante una emergencia
o En la medida de lo posible, quien la descubra deberá tratar de asegurar el lugar y el

control del acceso, pero nadie debería colocarse en peligro físico para realizar estas
funciones
o Las medidas de seguridad básicas incluyen:

 Cierre las puertas o las ventanas
 Establecer barreras provisorias con muebles después de que las personas han
evacuado de forma segura
 Colocar materiales de contención (almohadillas absorbentes, etc.) en la ruta de
materiales con fugas
 Cerrar los armarios de archivo o los cajones de escritorios
o Sólo personal capacitado debería poder realizar medidas de seguridad avanzada
o El acceso a la planta debería estar limitado a las personas directamente implicadas en la

respuesta
V. Cierre de Instalaciones y Sistemas
Establecer los procedimientos de apagado/cierre
o El cierre de las instalaciones es generalmente un último recurso, pero siempre es una

posibilidad. El apagado incorrecto o desorganizado puede dar lugar a confusión, lesiones y
daños a la propiedad
o Algunas instalaciones requieren sólo acciones simples, como apagar el equipo, bloqueo
de puertas y activación de las alarmas. Otros requieren complejos procedimientos de cierre
o Trabajar con los jefes de departamento para establecer los procedimientos

apagado/cierre. Incluir información sobre cuándo y cómo apagar las utilidades. Identificar:
 Las condiciones que podrían exigir el cierre/apagado?
 ¿Quién puede ordenar un cierre/apagado
 Quién va a llevar a cabo los procedimientos de cierre/apagado
 Cómo afectaría un cierre parcial a otras operaciones de las instalaciones
 El tiempo necesario para apagar y reiniciar

VI. Controles de Prevención y Detección
Algunos ejemplos de las medidas que se pueden aplicar ante una

emergencia
o Sistema de protección contra incendios
o Sistemas de protección contra rayos
o Sistemas de vigilancia del nivel de agua
o Dispositivos de detección de desbordamiento
o Desconexión Automática
o Sistemas de generación de energía

eléctrica de emergencia
VII. Sensibilización, Simulacro y Capacitación
1. Orientación y sesiones de formación: Estas son sesiones de discusión programadas regularmente para
proporcionar información, responder a sus preguntas y determinar las necesidades y las preocupaciones
2. Ejercicio de Mesa: Los miembros del grupo de gestión de situaciones de emergencia se reúnen en una
sala de conferencias para hablar de sus y ala manera en que reaccionarían ante situaciones de
emergencia. Esta es una forma eficiente y costo-efectiva para identificar las áreas de superposición y
confusión antes de llevar a cabo las actividades de capacitación más exigentes
3. Paseo por el simulacro: El grupo de gestión de situaciones de emergencia y los equipos de respuesta
realmente ponen en práctica sus funciones de respuesta de emergencia. Esta actividad implica, por lo
general más gente y es más profunda que la de un ejercicio de mesa
4. Ejercicios funcionales: Estos ejercicios prueban las funciones especificas, tales como respuesta médica,
las notificaciones de emergencia y procedimientos y equipo de alerta y de comunicaciones, aunque no
necesariamente al mismo tiempo. Al personal se les pide que evalúen los sistemas e identifiquen las áreas
problemáticas
5. Simulacro de Evacuación: El personal camina la ruta de evacuación a un área designada donde se

realizan procedimientos de recuento de todo el personal. Se solicita a los participantes tomar notas s lo
largo de lo que podría convertirse en un peligro durante una emergencia, por ejemplo, las escaleras llenas
de escombros, humo en los pasillos. Los planes se modifican en consecuencia
6. Ejercicio a escala completa: Se simula una situación de emergencia de la vida real lo más
estrechamente posible. Este ejercicio involucra personal de respuesta a emergencias, empleados, la
dirección de la empresa y organizaciones de respuesta de la comunidad
Ejercicio 10
Preparación de las pruebas de auditoría para el plan de respuesta

ante emergencias
Sección 21
a. ¿Qué es una crisis?
b. Desarrollo del Plan Gestión de Crisis
c. Contenidos del Plan Gestión de Crisis

Requisitos
o Ningún requisito formal de la norma ISO 22301 (Todos los temas incluidos en un
plan de crisis pueden ser incluidos en los planes)
o El plan de crisis suele incorporar el plan de respuesta a incidentes, el plan de

respuesta ante emergencias y el plan de comunicación en un único plan
Importante:
Importante: El
El plan
plan yy los
los procedimientos
procedimientos desarrollados
desarrollados
deberían
deberían permitir
permitir responder
responder al al mismo
mismo tiempo
tiempo de
de una
una
forma
forma coherente,
coherente, integrada
integrada yy complementaria
complementaria
¿Qué es una crisis?
Situación con un alto nivel de incertidumbre que afecta las actividades básicas y/o la
credibilidad de la organización y requiere medidas urgentes
Características de una Crisis
o La crisis no siempre implican interrupciones de la actividad empresarial o

amenazas a la vida, a la propiedad, los activos
o Sin embargo, casi siempre son reto a la reputación de una organización y su

marca, incluso si es sólo a través de la necesidad de demostrar fortaleza y
liderazgo efectivo
o Las crisis pueden llegar a ser altamente politizadas y estar sujetas a un intenso
escrutinio del público y de los medios
Plan de Gestión de Crisis
Objetivos y elementos comunes incluidos
El plan de gestión de crisis debería integrar procesos y procedimientos para:
I. Las funciones, la rendición de cuentas, la responsabilidad y la autoridad
II. Procedimiento de Emergencia
III. Notificación, invocación y escalada
IV. Comité de Crisis y equipos de gestión de crisis
V . Plan de comunicación de crisis

Gestión de Crisis
Una responsabilidad de la alta dirección
o Las funciones de la gestión estratégica se amplifican durante una crisis
o Es posible que incluyan intervención directa y liderazgo estratégico decisivo a lo

largo de líneas que no se pueden prever
o Incluso pueden incluir reposicionamiento estratégico de la organización en su

conjunto, y por ese motivo la gestión de crisis es el dominio de la alta dirección
o Esencialmente, los altos directivos, apoyan y respaldan la GCN, pero tienden a

aplicar, conducir y dirigir la gestión de crisis
La Gestión de Crisis lidia con la Complejidad
o Una gran cantidad de incidentes que pudieran causar trastornos (tornado,

terremoto, etc.) son predecibles y se pueden desarrollar respuestas pre-
preparadas
o Las crisis, por otra parte, se producen a menudo por riesgos que no
habían sido identificados, o por lo menos no se identificaron con la escala y la
intensidad que han presentado
o Una crisis también puede ser producto de una combinación imprevista de

riesgos ínter dependientes. Se desarrollan de maneras impredecibles, y la
respuesta por lo general requiere soluciones realmente creativas, en
contraposición a las pre-preparadas,
o La gestión de crisis debe ser capaz de hacer frente a problemas que no se

pueden administrar por los procedimientos de GCN, sin importar qué tan bien
desarrollados pueden estar
La Gestión de Crisis lidia con Dilemas
o Las crisis están asociadas con problemas muy complejos, las consecuencias y la
naturaleza de los cuales no ser clara en el momento. Cada solución posible
puede tener graves consecuencias de una forma u otra
o Los administradores pueden tener para elegir la solución “menos mala” y puede
que tengan que resolver (o al menos reconocer y aceptar) dilemas estratégicos
fundamentales. Estos pueden significar que cada elección viene con una pena
de algún tipo y que no existe una solución ideal
Comunicación
Un factor clave de éxito
o Aun cuando la organización se considera que está mal, o censurable, la

manifestación dela virtud, la integridad y la compasión pueden compensar, en
cierta medida, el daño a su reputación y prestigio
o La buena gestión de crisis puede demostrar las cualidades positivas de la

organización y mejorar su reputación general
Ejercicio 11
Plan de pandemia
Sección 22
Plan de recuperación de TI
a. Objetivos del plan de recuperación de TI
b. Activación del sitio de recuperación
c. Traslado al centro de recuperación y logística
d. Suministro de equipos
e. Procedimiento financieros y administrativos
f. Recuperación de telecomunicaciones
g. Recuperación de datos y procedimientos de backup
h. Recuperación de los servicios y sistemas por prioridad
i. Procedimiento de recuperación para cada sistema

Requisitos
La organización deberá establecer procedimientos documentados para

responder a un incidente disruptivo y cómo continuará o reparará sus
actividades dentro de un tiempo predeterminado. Dichos
procedimientos deberán entender a las necesidades de las personas que
van a utilizarlos
El Plan de Respuesta de TI
El plan de recuperación de TI debería integrar los procesos y

procedimientos para:
I. La activación del sitio de recuperación

II. El traslado al centro de recuperación y logística
III. El suministro de equipos
IV. Los procedimientos financieros y administrativos
V . Recuperación de telecomunicaciones
VI. Recuperación de datos y procedimientos de backup.
VII. Recuperación de los servicios y sistemas por prioridad
VIII. Procedimiento de recuperación para cada sistema
Plan de Respuesta ante Emergencias
Elementos comunes que han de incluirse
II. Procedimiento de evacuación
III. Procedimiento de presentación de informes de emergencia
IV. Medidas inmediatas para limitar los impactos durante una situación de
emergencia
V . Procedimiento de apagado de instalaciones y sistemas
VI. Medidas de detección y prevención
VII. Sensibilización, simulacro y capacitación

Coordinador de la Respuesta de Emergencia
o Por lo general, el coordinador de la respuesta de emergencia es el gerente de

las instalaciones
o Él está al mando y en control de todos los aspectos de la situación de

emergencia
 Redacción de los procedimientos de respuesta de emergencia
 Aplicar controles preventivos físicos
 Ordenar la evacuación o el cierre de las instalaciones
 Organizar simulacros y ejercicios de evacuación

II. Procedimiento de Evacuación
Mejores prácticas
1. Determinar las condiciones bajo las cuales sería necesaria una evacuación
2. Identificar al personal con la autoridad para ordenar la evacuación. Designar “guardianes
de evacuación” para ayudar a otros en una operación de evacuación y dar cuenta del
personal
3. Establecer procedimientos de evacuación específicos. Establecer un sistema de recuento
del personal. Considerar las necesidades de transporte de los empleados para
evacuaciones en la comunidad
4. Establecer procedimientos para ayudar a las personas con discapacidad y las personas
que no hablan el idioma local
5. Redactar procedimientos de pos evacuación
6. Designar personal para continuar o cerrar operaciones críticas mientras que una
evacuación está en curso. Deben ser capaces de reconocer cuándo abandonar la
operación y evacuarse ellos mismos
7. Coordinar planes con la oficina local de gestión de emergencias
Las Vías y Salidas de Evacuación
Elementos esenciales con procedimiento de evacuación
1. Designar las vías y salidas de evacuación primarias y secundarias. Tenerlas marcadas

claramente y bien iluminadas. Carteles
2. Instalar luces de emergencia en caso de que haya un corte de luz durante la evacuación
3. Asegurarse de que las rutas de evacuación y salidas de emergencia son:
 Lo suficientemente amplias como para que pueda evacuar el personal

 Libres y sin obstáculos en todo memento
 Sean poco probables de exponer al personal evacuado a peligros adicionales
I. La Activación del Sitio de Recuperación
o El equipo de recuperación debería llegar en primer lugar al sitio alternativo para

hacer una evaluación rápida con el fin de preparar el traslado de los empleados
o Con el uso de una lista de comprobación, se debería verificar y confirmar el

estado de los recursos en uso:
 HVAC
 Equipo y redes de TI
 Telecomunicaciones
 Copia de seguridad
 Espacio de oficina
II. Traslado al Centro de Recuperación y Logística
Logística
o Transporte de personal y materiales
o Apoyo y bienestar del personal
o Lista de los proveedores y contratos
o Entorno de los trabajadores remotos

III. Suministro de Equipos
Existen tres estrategias básicas para garantizar una rápida

situación de los equipos
Suministro de
Equipos
Acuerdos Equipos
con los Compatibles
proveedores Existentes
Inventario
de Equipos
IV. Compatibilidad y Administración
o La organización debería desarrollar los procedimientos financieros y

administrativos para apoyar las necesidades de la empresa antes,
durante y después de un incidente
o Deberían establecerse procedimientos para garantizar que las decisiones

financieras se puedan acelerar y deberían estar en conformidad con os niveles
de autoridad y los principios de contabilidad
o Los procedimientos deberían incluir, pero no limitarse a, lo siguiente:
 Autoridad de finanzas, incluyendo sus relaciones de subordinación al

coordinador del programa(s)
 Acceso a fondos de emergencia
 Procedimientos de contratación de programas
 Nóminas
 Sistemas de contabilidad para llevar un seguimiento y documentar los
costos
V. Recuperación de Telecomunicaciones
Métodos Descripción
Consiste en proporcionar capacidad adicional con un plan para utilizar el

Redundancia exceso de capacidad si no se encuentra disponible la capacidad de
transmisión principal normal
Información de enrutamiento a través de un medio alternativo como cables

Ruta alternativa
de cobre o fibra óptica
Enrutamiento Enrutamiento del tráfico mediante instalaciones de cable partido o de cable

diverso duplicado
Diversidad de
Muchos proveedores de instalaciones de recuperación han proporcionado
Red larga
diversas redes de larga distancia disponibles
distancia
Sistemas de
Con el fin de comunicarse entre los miembros del equipo, debería elegirse
Comunicaciones
un sistema de comunicaciones de emergencia y otras alternativas
de Emergencia
VI. Recuperación de Datos y Procedimientos de Backup
Los componentes clave para restaurar la disponibilidad de la

información
o Los procedimientos de copia de seguridad es el componente clave para restaurar la

disponibilidad de la información
o Una organización debería asegurarse de que la integridad y la confidencialidad de
los datos de la empresa se mantienen mientras se transfieren (ya se electrónica o
físicamente) a y desde los centros de recuperación, sujeto a las obligaciones
contractuales con organizaciones
o Para garantizar la recuperación de datos, una política, una estrategia y procedimientos de
copias de seguridad, necesitan abordar las propiedades señaladas en el AIN. Entre los
temas que una política y procedimientos de copias de seguridad deberían resolver están:
 A qué datos hay que hacerles copia de seguridad
 Cómo se caratula
 durante cuánto tiempo se mantiene
 Cómo se prueban las copias
 Con qué frecuencia se realizan backups
 Dónde se almacenan los medios
 Que tan rápidamente pueden ser recuperados los medios
 Quién está autorizado a recuperar los medios
 Cómo se restablecen
Copia de seguridad
Principales soluciones
1.
1. Red
Red de
de Área
Área de
de Almacenamiento
Almacenamiento 2.
2. Duplicación
Duplicación
••Gracias
Gracias aa la
la virtualización
virtualización del
del almacenamiento,
almacenamiento, •• Con
Con la
la duplicación
duplicación de
de los
los discos
discos oo las
las imágenes
imágenes
se
se combinan
combinan varios
varios dispositivos
dispositivos de
de de
de recuperación, se ha optimizado la
recuperación, se ha optimizado la
almacenamiento
almacenamiento en en unun solo,
solo, lógico,
lógico, sistema
sistema de
de recuperación.
recuperación. Los Los datos
datos se se escriben
escriben en en dos
dos
almacenamiento
almacenamiento virtual
virtual discos
discos yy proporciona
proporciona una
una alta
alta disponibilidad
disponibilidad
3.
3. Procesamiento
Procesamiento distribuido
distribuido 4.
4. Almacenamiento
Almacenamiento electrónico
electrónico
••Los
Los servicios,
servicios, que
que se se encuentra
encuentra enen la
la misma
misma oo ••Con
Con elel almacenamiento
almacenamiento electrónico,
electrónico, se
se realiza
realiza
en
en múltiples
múltiples ubicaciones,
ubicaciones, se se configuran
configuran con
con una
una copia
copia dede seguridad
seguridad de
de los
los datos
datos aa las
las
equilibrio de carga y agrupamiento para procesar
equilibrio de carga y agrupamiento para procesar unidades remotas que se encuentran fuera de
unidades remotas que se encuentran fuera de las las
las
las solicitudes
solicitudes yy los
los datos
datos de
de intercambio
intercambio instalaciones
instalaciones mediante
mediante enlaces
enlaces dede comunicación
comunicación
de alta calidad
de alta calidad
5.
5. Diario
Diario Remoto
Remoto 6.
6. Archivos
Archivos de
de medios
medios
••Las
Las publicaciones
publicaciones remotas,
remotas, las
las transacciones
transacciones oo ••Otro
Otro eses grabar
grabar archivos
archivos aa medios
medios de
de copia
copia de
de
archivos
archivos de
de diarios
diarios son
son transmitidos
transmitidos seguridad y transportarlos, a una ubicación fuera
seguridad y transportarlos, a una ubicación fuera
periódicamente
periódicamente a las unidades remotas que
a las unidades remotas que se
se del
del sitio
sitio
encuentran
encuentran fuera
fuera del
del sitio
sitio
Alineación de la Estrategia de Copia de Seguridad
Con RPO y RTO
Propiedad Descripción
Propiedad baja – algún tipo de interrupción • Copia de seguridad: Copia de seguridad en
con poco impacto, daño o perturbación de cinta
la organización • Estrategia: Reubicar o sitio frío
Propiedad importante o moderada –

• Copia de seguridad: Duplicidad de
cualquier sistema que, si perturbado,
seguridad óptica de WAN/VLAN
podría causar un problema moderado a la
organización y posiblemente a otras redes
• Estrategia. Sitio Frío o Tibio
o sistemas
De importancia fundamental o prioridad

alta- el daño o perturbación a estos • Copia de seguridad: Sistemas reflejados y
sistemas puede provocar el mayor impacto duplicación de discos
sobre la organización, misión y otras redes • Estrategia: Sitio Caliente
y sistemas
Copia de seguridad
Ubicación y almacenamiento
Copia de seguridad
• Puede ser almacenada en
varios lugares, cada uno
cumpliendo un propósito
diferente
• Cuando son transportados,

los medios deberían ser
garantizados
VII. Recuperación de los Servicios y Sistemas por Prioridad
Sobre la base de las prioridades de las operaciones predeterminadas en el análisis

de impacto, una organización debería priorizar los servicios y los sistemas a
restaurar por prioridad, ampliamente teniendo en cuenta la extensión de los daños
en el equipo, la disponibilidad real de personal y los posibles avances de la
recuperación
i o rity
Pr
! j naad
jhu hd
na
Ckdejh cterísticas
ca ra
VIII. Procedimiento de recuperación para cada Sistema
o En el plan de recuperación, debería estar disponible un procedimiento de

recuperación para restaurar cada sistema en el ámbito del SGCN con:
 Una lista de la secuencia de operaciones a restaurar
 Requisitos del sistema para restaurar
 Tiempo estimado para cada operación
o Se describen los procedimientos de recuperación por equipo se deberían

realizar en la secuencia que se presenta para mantener un eficiente esfuerzo
de recuperación
Sección 23
Plan de restauración
a. Los objetivos del plan de restauración
b. Asegurar los sitios
c. Evaluación de daños y seguros
d. Plan de restauración y asignación de recursos
e. Limpiar el sitio y restaurar la infraestructura
f. Sistemas y recuperación de datos TI
g. Pruebas y validación
h. Traslado al sitio principal
i. Recompensa y reconocimiento del personal

Requisitos
No hay ningún requisito formal de la norma ISO 22301

Para establecer un plan de restauración
Plan de Respuesta ante

El Plan de restauración debería integrar los procesos y procedimientos para:
I. Asegurar los sitios
II. Evaluación de daños y de seguros
III. Plan de restauración y asignación de recursos
IV. Limpiar el sitio y restaurar la infraestructura
V . Sistema y recuperación de datos de TI
VI. Pruebas de validación
VII. Traslado al sitio principal
VIII. Recompensa y reconocimiento del personal

I. Asegurar los Sitios
Primer paso
o En caso de un desastre, el sitio primario puede ser vulnerable a los fraudes,

saqueos, vandalismo, etc.
o Las obras de restauración deben ser protegidas para evitar acceso físico no
autorizado
o La planificación debería considerar cómo asignar o contratar guardias de

seguridad
II. Evaluación de Daños y de Seguros
Evaluación de daños Contacto con el seguro

III. Plan de Restauración y la Asignación de Recursos
Después de revisar la información sobre la magnitud de los daños y sus

repercusiones en el funcionamiento, recolectados por los equipos de respuesta de
emergencia y de continuidad, la alta dirección debería seleccionar las medidas que
han de adoptarse y especificar los hitos de restauración, y el nivel de asignación de
recursos
IV. Limpiar el Sitio y Restaurar la Infraestructura
Limpiar el sitio Reconstruir la instalación y

Restaurar la infraestructura
V. Recuperación de los Sistemas de TI y de Datos
Restauración de la Restauración de datos

Infraestructura de TI
VI. Pruebas y Validación
Prueba y validación de datos
Las pruebas y la validación de datos es el proceso de prueba y validación de

datos para asegurarse de que los archivos de datos o bases de datos se han
recuperado completamente en la ubicación permanente
Pruebas y validación de la funcionalidad
Pruebas de validación de la funcionalidad es el proceso de verificar que la

funcionalidad ha sido probada, y el sistema está listo para volver a la normalidad
de las operaciones. Proporcionar prueba de funcionalidad del sistema y/o los
procedimientos de validación para asegurar que el sistema esté en
funcionamiento
VII. Traslado al Sitio Principal
Restaurar
Restaurar el
el funcionamiento
funcionamiento normal
normal
Declaración
Declaración de
de fin
fin del
del incidente
incidente oo crisis
crisis
Cierre
Cierre del
del sitio
sitio de
de recuperación
recuperación
Informes
Informes de
de comentarios
comentarios yy de
de pos-recuperación
pos-recuperación
VIII. Recompensa y Reconocimiento del Personal
o Cuando termina un incidente, es importante que el personal que participó en la

respuesta a incidentes reciba cierto grado de recompensa o reconocimiento
o Todo el personal afectado por el incidente tiene que saber que va a haber
cambios como resultado del incidente, que ha habido aprendizaje
para
asegurarse de que no se repita
o Las personas que han trabajado más allá de sus horas de trabajo y que han
tomado tareas adicionales deberían ver sus esfuerzos reconocidos de
alguna manera
o Esto puede hacerse de manera informal o formal. Por lo general es muy

positiva la participación de los gerentes y directores en un proceso formal de
reconocimiento
Sección 24
Plan de comunicación
a. Principios de una eficaz estrategia de comunicación
b. Proceso de Comunicación de CN
c. Establecer objetivos de comunicación
d. Identificar las partes interesadas
e. Planificar las actividades de comunicación
f. Planificar de la comunicación de una crisis
g. Realizar una actividad de comunicación
h. Evaluar la comunicación
2.6. Plan de Comunicación
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
ISO 22301, cláusula 7.4 y 8.4.3
7.4 Comunicación
La organización deberá determinar la necesidad de comunicación interna y externa respecto del SGCN
incluyendo:
a) Contenido de la comunicación.
b) Cuando comunicar, y
c) A quién se va a comunicar.
La organización deberá establecer, implementar y mantener procedimiento(s) para :

- Comunicación interna entre las partes, interesadas y empleados dentro del a organización,
- Comunicación externa con los clientes, las entidades asociadas, la comunidad local, y otras
partes interesadas, incluidos los medios de comunicación,
- Recibir, documentar y responder a la comunicación de las partes interesadas.
- Adaptar e integrar a nivel nacional o regional un sistema de asesoramiento ante amenazas, o
equivalente
a los efectos de la planificación y el uso operacional, cuando corresponda.
- Garantizar la disponibilidad de los medios de comunicación durante un incidente disruptivo.
- Facilitar una comunicación estructurada con las autoridades competentes y asegurar la inter
operabilidad de múltiples organizaciones y personal, cuando corresponda, y
- Operar y probar las capacidades de las comunicaciones para su uso durante las interrupciones
de las comunicaciones normales.
5. Plan y
procedimiento de la 2.6.1
2.6.1 Establecer
Establecer 2.6.2
2.6.2 Identifica
Identifica 2.6.3 Planificar
Continuidad objetivos
objetivos de
de las Partes
las Partes las actividades de
del Negocio Comunicación
Comunicación Interesadas
Interesadas comunicación
2.6.4 Realizar una 2.7 Capacitación y

2.6.5 Evaluar
actividad de sensibilización
la comunicación
comunicación
Principios de una Eficaz Estrategia de Comunicación
Transparencia
Transparencia
1 Hacer
Hacer que
que todos
todos los
los procesos,
procesos, procedimientos,
procedimientos, métodos,
métodos, fuentes
fuentes de
de datos
datos yy supuestos
supuestos utilizados
utilizados en
en
la comunicación estén disponibles para todas las partes interesadas, teniendo
la comunicación estén disponibles para todas las partes interesadas, teniendo en cuenta laen cuenta la
confidencialidad
confidencialidad de
de la
la información
información según
según se
se requiera
requiera
Idoneidad
Idoneidad
Hacer
Hacer que
que la la información
información proporcionada
proporcionada en
en las
las partes
partes interesadas
interesadas sea
sea pertinente,
pertinente, utilizando
utilizando
2 formatos,
formatos, el
el idioma
idioma yy los
los medios
medios que
que cumplan
cumplan con
con sus
sus intereses
intereses yy necesidades,
necesidades, para
para que
que puedan
puedan
participar plenamente
participar plenamente
Credibilidad
Credibilidad
Comunicar
Comunicar con
con una
una conducta
conducta honesta
honesta yy justa,
justa, yy proporcionar
proporcionar información
información que
que sea
sea veraz,
veraz, exacta
exacta yy
3 sustantiva.
sustantiva. Desarrollar
Desarrollar la
la información
información yy datos
datos concon métodos
métodos ee indicadores
indicadores reconocidos
reconocidos yy
reproducibles
reproducibles
Respuesta
Respuesta
55 Responder
Responder aa las
las preguntas
preguntas yy preocupaciones
preocupaciones dede las
las partes
partes interesadas
interesadas de
de forma
forma plena
plena yy oportuna.
oportuna.
Hacer
Hacer conscientes
conscientes aa las
las partes
partes interesadas
interesadas de
de cómo
cómo sese han
han abordado
abordado sus
sus preguntas
preguntas ee inquietudes
inquietudes
Claridad
Claridad
4 Asegurar
Asegurar que
que los
los métodos
métodos de de comunicación
comunicación yy el
el lenguaje
lenguaje son
son comprensibles
comprensibles para
para las
las partes
partes
interesadas para minimizar la ambigüedad
interesadas para minimizar la ambigüedad
Proceso de Comunicación de la CN
ORGANIZACIÓN
Otros principios
Política de continuidad
Corporativos,
del negocio
Políticas y estrategias
Partes
Interesadas
Principios de la comunicación
Política de comunicación de la continuidad del negocio
Estrategia de comunicación de la Continuidad del Negocio
Identificar Tener en cuenta las

Establecer
las partes Cuestiones
objetivos interesadas relativas
a los recursos
Las actividades de comunicación de la continuidad del negocio

Evaluar
Grupos
objetivo Planificar
Realizar
2.6.1. Establecer Objetivos de Comunicación
Ejemplos
o Mejorar la credibilidad y la reputación de la organización
o Establecer diálogo constante sobre cuestiones de la continuidad del negocio

con las partes interesadas
o Cumplir con los requisitos legales aplicables y otros requisitos que la

organización suscriba
o Influir en la política pública sobre problemas de continuidad del negocio
o Proporcionar información y fomentar la comprensión de las partes interesadas

acerca de las actividades de la continuidad del negocio
o Cumplir con las expectativas de las partes interesadas sobre información de la

2.6.2. Identificar las Partes Interesadas
Para adaptar el plan de comunicación
Medios de
comunicación Proveedores
Inversores
Empleados
Clientes
Comunidades
2.6.3. Planificar las Actividades de Comunicación
Claves para el éxito
o Una organización debería decidir qué es lo que pretende conseguir con

una actividad de comunicación de la continuidad del negocio
o Se deberían establecer objetivos compatibles con los objetivos de

comunicación de la continuidad del negocio y que sean específicos,
mensurables, alcanzables, realistas y con plazos
o Esto permitirá que la organización evalúe la actividad de comunicación

de la continuidad del negocio y determine si el objetivo se ha cumplido,
o no
o La organización debería prever problemas de continuidad de negocio de

interés para las partes interesadas
Planificar la Comunicación de una Crisis
o Aunque la comunicación de la continuidad del negocio es importante en todo

momento, es particularmente importante durante las crisis y las emergencias
de continuidad del negocio
o La organización debería identificar las posibles crisis y emergencias, y

planificar la adecuada comunicación de la continuidad del negocio
o La planificación debería abordar información
pertinentemente para dar respuesta a las situaciones

potenciales y reales de emergencia y crisis
2.6.4. Realizar una Actividad de Comunicación
Métodos y herramientas de comunicación
Visitas guiadas a la
Sitio Web Artículos de prensa
organización
Comunicados de Talleres
Informes
prensa Y Conferencias
Folletos & Entrevistas con los

Anuncios
Boletines Medios
Presentación a los
Carteles Reuniones Públicas
grupos
Grupos de enfoque Medios sociales

Correos electrónicos
y encuestas
Ejemplo de Actividades de Comunicación
Invitación a visitas y medios de comunicación durante un ejercicio
o Los visitantes pueden tomar una función más o menos formal de “observador”
o Se invita ocasionalmente a los medios de comunicación a informar sobre

ejercicios (pero su presencia también puede ser peligrosa…)
2.6.5. Evaluar la comunicación
o Una organización debería permitir tiempo suficiente para que la comunicación de

la continuidad del negocio sea eficaz
o El tiempo necesario depende de la naturaleza de la comunicación, el número de

partes interesadas y sus preocupaciones, y el tipo de soporte utilizando
o La organización debería revisar y evaluar la eficacia de su comunicación de la

Comunicación y Reportes
Ejemplo de un formulario
Nombre del Número de
proyecto proyecto
Responsable Nombre Fecha 01.02.2015
Comunicación Nombre del interesado 1 Nombre del interesado 2 Nombre del interesado 3
Enfoque de la
comunicación
Interés y temas principales
Estado Actual (Partidario/

Natural/Oponente
Apoyo deseado
(Alto/Medio/Bajo)
Funciones prevista en el
Proyecto
(si existe)
Medidas previstas
Avisos Necesarios
Acciones y otros canales de

comunicación
Ejercicio 12
Comunicación de una crisis

Día 3

Curso de Capacitación para Implementador Líder Certificado en la
ISO 22301
Sección 25
Pruebas y ejercicios
a. Definición
b. Definición de la estrategia de ejercicios y pruebas
c. Creación de un plan de ejercicios y pruebas
d. Creación de escenarios de ejercicios y pruebas
e. Programa de ejercicios y pruebas
f. Determinar los objetivos de los ejercicios/pruebas
g. Realizar una actividad de ejercicios y pruebas
h. Evaluación de una actividad de ejercicios y de pruebas
i. Informe de Ejercicios/Pruebas
2.7. Pruebas y ejercicios
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organización deberá llevar a cabo ejercicios y pruebas que:

a) Están en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que están bien planificados con metas y
objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de
continuidad de su negocio, que involucren a las partes interesadas,
d) Reducen al mínimo el riesgo de interrupción de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promoción de la mejora continua y
g) Se llevan a cabo a intervalos planificados y además cuando hay cambios
significativos dentro de la organización o para el medio ambiente en el que opera.
Ejercicio Prueba
• Proceso para capacitar, evaluar, • Único y particular tipo de
practicar, y mejorar el ejercicio, que incorpora un
rendimiento de una organización elemento de expectativa de
aprobar dentro del objetivo o los
objetivos del ejercicio que está
previsto
Nota: Los ejercicios pueden ser utilizados para: validar las políticas, planes,
procedimientos, capacitación, equipamiento y acuerdos inter-organizacionales;
aclarando y capacitando al personal en funciones y responsabilidades; mejorar la
coordinación inter institucional, y las comunicaciones; identificar las deficiencias en
materia de recursos; mejorar el desempeño individual; e identificar las oportunidades
de mejora
¿Por qué Evaluar Planes de Continuidad del Negocio?
Objetivos de los ejercicios y pruebas
Capacitación
Capacitación del
del personal
personal en
en la
la utilización
utilización de
de planes
planes de
de CN
CN
Ganar
Ganar adeptos
adeptos en
en todas
todas las
las áreas
áreas de
de negocio
negocio
Probar
Probar la
la adecuación,
adecuación, exactitud
exactitud yy veracidad
veracidad de
de los
los actuales
actuales planes
planes de
de
recuperación
recuperación
Probar
Probar los
los componentes
componentes de
de elementos
elementos técnicos
técnicos
Mejorar
Mejorar procedimientos
procedimientos de
de recuperación
recuperación del
del negocio
negocio
Capacitación
Capacitación del
del personal
personal en
en la
la utilización
utilización de
de planes
planes de
de CN
CN
Asegurar
Asegurar que
que todos
todos los
los aspectos
aspectos del
del negocio
negocio están
están cubiertod
cubiertod
2.7.2
2.7.2 Plan
Plan dede
2.7.1
2.7.1 Definición
Definición 2.7.3.
2.7.3. Creación
Creación de
de
2.6 Comunicación ejercicios
ejercicios &&
de
de la estrategia
la estrategia escenarios
escenarios
pruebas
pruebas
2.7.4 Programa de 2.7.5 Selección 27.6 Realizar una 2.7.7

2.7.7 Evaluación
Evaluación
ejercicios y De objetivos actividad de de
de una actividad
una actividad
pruebas De ejercicio/prueba ejercicio/prueba de
de ejercicio/prueba
ejercicio/prueba
2.7.8 3.1 Supervisión, 3.3 Revisión

2.7.8 Informe
Informe de
de 3.2 Auditoria
Ejercicio/Prueba Medición, análisis y por la Dirección
Ejercicio/Prueba 3.1evaluación
Supervisión, interna
Medición, análisis y
evaluación
2.7.1. Definición de la Estrategia de Ejercicios y Pruebas
Proceso
Proceso de
de Simulación de recuperación Operacional
Operacional
revisión
revisión
Servicio
En operaciones
Integrado
Integrado
Componente
Componente
Familiarización
Familiarización
Comprobación
Comprobación yy tutorial
tutorial Pruebas
Pruebas // ejercicios
ejercicios Servicios
Servicios integrales
integrales dede
Pruebas
Pruebas // ejercicios
ejercicios
del
del proceso
proceso de
de cada
cada proceso
proceso conmutación
conmutación entre
entre elel
de
de recuperación
recuperación del
del
de
de invocación
invocación yy OO competen
competen dede la
la Sitio
Sitio principal
principal yy el
el
Servicio
Servicio integral
integral
recuperación
recuperación infraestructura
infraestructura secundario
secundario
Aumentar la confianza y la capacidad de

recuperación
2.7.2. Creación de un Plan de Ejercicios y Pruebas
El plan de ejercicios y pruebas debería estar documentado a fin de proporcionar la

base para una auditoría, incluyendo:
1. Funciones y responsabilidades
2. Frecuencia de los ejercicios y pruebas
3. Ámbito de aplicación del plan, incluyendo localidades, áreas de negocio,
etc.
4. Los riesgos generales que se deben administrar
5. Los recursos necesarios para ser eficaz
6. La competencias delas personas que ejercen la actividad
7. Los informes sobre las actividades
8. La firma de la alta dirección
2.7.3. Creación de Escenarios de ejercicios y Pruebas
Tipo
Tipo de
de ejercicio
ejercicio ¿Qué
¿Qué es?
es? Beneficio
Beneficio Desventajas
Desventajas
Distribuye
Distribuye planes
planes para
para su
su Asegura
Asegura que
que el
el plan
plan aborda
aborda No
No aborda
aborda la
la
Lista
Lista de
de control
control revisión
revisión todas las actividades
todas las actividades eficacia
eficacia
Asegurar
Asegurar que
que las
las actividades
actividades Bajo
Bajo valor
valor para
para
Tutorial
Tutorial Examina
Examina detenidamente
detenidamente Previstas
Previstas se describen con
se describen con demostrar capacidad
demostrar capacidad
estructurado
estructurado Cada
Cada paso
paso del
del PCN
PCN exactitud
exactitud en
en el
el PCN
PCN de
de respuesta
respuesta
Escenario
Escenario para
para representar
representar Cuando
Cuando los
los
Simulación
Simulación Procedimientos
Procedimientos de
de Sesión
Sesión de
de práctica
práctica subconjuntos
subconjuntos son
son
recuperación
recuperación muy
muy diferentes
diferentes
Prueba
Prueba completa,
completa, pero
pero las
las Garantizar
Garantizar un
un alto
alto nivel
nivel de
de Caro,
Caro, ya
ya que
que todo
todo el
el
Paralelo
Paralelo Operaciones
Operaciones no se
no se Fiabilidad
Fiabilidad sin interrumpir las
sin interrumpir las personal está
personal está
detienen
detienen Operaciones
Operaciones normales
normales involucrado
involucrado
El
El desastre
desastre se
se replica
replica al
al punto
punto
Interrupción
Interrupción de que cesen las
de que cesen las Prueba
Prueba más
más fiable
fiable del
del PCN
PCN Arriesgada
Arriesgada
total
total Operaciones
Operaciones normales
normales
Tipo de Escenarios de Prueba para el Sistema de TI
Objetivo
•• Valida
Valida que
que los
los equipos
equipos yy
sistemas
sistemas sese ajustan
ajustan aa las
las
especificaciones y
especificaciones y que que
operan
operan en
en los
los entornos
entornos Prueba
requeridos,
Prueba
requeridos, y que los
y que los
procedimientos
procedimientos yy los los
procesos
procesos son
son viables.
viables.
Prueba Prueba
Estática Funcional
Prueba
Dinámica
2.7.4. Programa de Ejercicios y Exámenes
Lista de Ejercicio
Prueba control Tutorial Interrupción
Departamento/Proceso/Sistema Simulación Paralelo
total
Recursos humanos Estática
Finanzas
Adquisiciones
Ventas
CRM Dinámica
Sistema de correo Funcional

electrónico
2.7.5. Determinar los Objetivos de los Ejercicios/Pruebas
Recomendaciones
o Para asegurar que un ejercicio no provoca incidentes o debilita la capacidad de

prestación de servicios, el ejercicio debería ser cuidadosamente planeado para
reducir al mínimo el riesgo de que ocurra un incidente como consecuencia
directo del ejercicio
o Los ejercicios deberían ser realistas y cuidadosamente planificados y

acordados con las partes interesadas, de modo de que exista un mínimo riesgo
de interrupción de los procesos empresariales
o La escala y la complejidad de los ejercicios deberían ser adecuadas a los

objetivos de recuperación de la organización
2.7.6. Realizar una Actividad de Ejercicio/Prueba
El ejercicio debería realizarse en el momento oportuno que mejor responde a los

objetivos del evento, y:
 Causa el nivel mínimo de perturbación a la organización y a las

partes interesadas
 Cuando el número apropiado de participantes requeridos para

apoyar el ejercicio está disponible
 Cuando los lugares físicos, activos, equipos o instalaciones están

disponibles para su uso en el ejercicio
Detener o Suspender el Ejercicio
Detener o Suspender
• Hay ejercicios que se pueden detener o

suspender, antes de la hora programada por
una serie de razones, incluso cuando se
plantea un incidente real
• Esta decisión de detener o suspender el

ejercicio debería ser adoptada por el
coordinador del ejercicio, que debería estar
en posesión del estado de las actividades
desarrolladas en el ejercicio y poder decidir
el momento más seguro para detener las
actividades
• Algunas organizaciones utilizan

palabras clave para lograr esto
Documentación de Ejercicios/Pruebas
Lista estándar
1. Escenarios de Prueba
2. Razones par ala prueba
3. Objetivos de la prueba
4. Tipos de pruebas
5. Cronograma de pruebas
6. Duración de la prueba
7. Pasos específicos de la prueba
8. Quiénes serán los participantes
9. Las asignaciones de las tareas de la prueba
10. Los recursos y servicios necesarios
11. Medición del éxito o el fracaso de las pruebas
2.7.7. Evaluación de una Actividad de Ejercicio/ Prueba
Los informes pos ejercicios deberían cubrir:
Tiempo real de ejecución de las tareas previamente determinadas vs. El

Tiempo
tiempo planificado
Suma Suma del trabajo realizado vs. El trabajo planificado
Cantidad de transacciones y registros realizados con éxito vs. La cantidad

Número
planificada
Precisión de la entrada de datos en la instalación de reserva comparada

Recomendaciones
con la precisión normal vs. La planificad
Precisión Identificación de errores y comisiones
Lecciones
Lo que hay que aplicar para mejorar el PCN
aprendidas
2.7.8. Informe de Ejercicios/ Pruebas
Ejemplo
Dificultades / Problemas Razones/Causas Cogniciones (Lecciones
Durante el ejercicio/prueba Aprendidas)
<Texto> … …
<Texto> … …
<Texto> … …
<Texto> … …
…
¿Qué ha funcionado
Durante la prueba?
¿Qué no funcionó
Durante la prueba?
Curso de Capacitación para Implementador Líder Certificado en la
ISO 22301
Sección 26
Supervisión, medición, análisis y evaluación
a. Proceso de supervisión, medición, análisis y evaluación
b. Determinar los objetivos de la medición
c. Objetivo de la supervisión y de la medición
d. Determinación de la frecuencia y del método
e. Presentación de los resultados
f. Tablero del SGCN

3.1. Supervisión, Medición, Análisis y Evaluación del SGCN
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
9.1 Supervisión, medición, análisis y evaluación

9.1.1 Generalidades
La organización deberá determinar:

a) Lo que debe ser medio controlado
b) Los métodos de vigilancia, medición, análisis y evaluación, en su caso, para
asegurar resultados válidos;
c) Cuándo el seguimiento y la medición deberán ser llevados a cabo;
d) Cuándo deberán llevarse a cabo el análisis y la evaluación del monitoreo y los
resultados de las mediciones.
La organización deberá conservar la información apropiada documentada como evidencia de los
resultados.
La organización deberá evaluar el rendimiento del SGCN y la eficacia del SGCN.
Además la organización deberá:
- Tomar medidas cuando sea necesario abordar las tendencias adversas o los
resultados antes de que se produzcan una no conformidad
- Conservar la información apropiada documentada como evidencia de los
resultados
-
Definiciones
según la ISO 22301
Supervisión (3.29)
•Determinar el estado de un sistema,

un proceso o actividad
Medida (3.27)
•Proceso para determinar un valor
Evaluación del Rendimiento (3.36)
•Proceso de determinar resultados

mensurables
Proceso de Supervisión, Medición, Análisis y Evaluación
El objetivo principal es la mejora del SGCN
Objetivo A
Objetivo B REVISIÓN Y
Objetivo C MEJORA
OBJETIVO DE MEDICIÓN TABLERO
Atributo A Indicador de rendimiento A
Atributo B Indicador de rendimiento B
Atributo C Indicador de rendimiento C

3.1. Supervisión, Medición, Análisis y Evaluación del SGCN
Lista de Actividades
2. Implementación 3.1.2
3.1.2 Objetivos
Objetivos de
de
3.1.1
3.1.1 Objetivos
Objetivos 3.1.3
3.1.3 Creación
Creación
del SGCN Supervisión
Supervisión yy
de medición
de medición de indicadores
de indicadores
(Hacer) Medición
Medición
3.1.4 Creación de 3.2 Auditoria 3.3 Revisión

paneles Interna por la Dirección
3.1.4 Creación de 3.2 Auditoria 3.3 Revisión
paneles Interna por la Dirección
3.1.1. Determinación de los Objetivos de medición
Objetivos de la Medición
 La norma no indica lo que debe ser objetivo de

supervisión o medición
 Corresponde a la empresa determinar qué es lo

que necesita ser2. Función
controlado de Asesoramiento
y medido dentro de la
• organización
Es una mejor práctica para la mejora continua
centrarse en la vigilancia
y medición de las actividades que están
vinculadas a los procesos críticos que permiten
a la organización alcanzar sus metas y objetivos
de continuidad
• Demasiadas medidas pueden distorsionar el

enfoque de una organización y desenfocar lo
que es verdaderamente importante
3.1.2. Objetivo de la Supervisión y Medición
¿Qué mínimamente necesita ser supervisado y medido?
1. La medida en que 2. Los procesos,

se cumplen la continuidad procedimientos y funciones
del negocio, política, objetivos que protegen sus
y metas de la organización actividades prioritarias
5. Los datos y los

resultados de la 3. Evidencia histórica
supervisión y medición de los resultados
suficientes para facilitar deficientes del SGCN,
el posterior análisis de por ejemplo, no
las acciones correctivas conformidad, conatos,
y preventivas falsas alarmas
4. El cumplimiento de las exigencias legales y

nominativas, las mejores prácticas del sector y de la
conformidad con su propia gestión de la política y
objetivos de la continuidad del negocio
Indicadores de Rendimiento
Ejemplos
• % del personal que ha •

• % de planes • % de no conformidades
• % de falsas alarmas recibido no cerradas en la
con detección de capacitación y probados
demora fijada
eventos calificaciones de CN • Número de ejercicios
• Número de días en
• Costo promedio de • Número de horas de realizados en el
un incidente capacitación de los
promedio para cerrar
último año una no conformidad
empleados
Incidentes Capacitación Ejercicios No conformidades

3.1.3. Determinación de la Frecuencia y el Método de Supervisión y
Medición
¿Cómo y cuándo se debe controlar y medir?
Objetivos de la Medición
COM
O  La norma no indica, ni cómo ni la frecuencia con
que debe realizarse o evaluarse la supervisión
o la medición
 Es ala organización quien determina cómo

controlar, medir y con qué frecuencia
• Es la mejor práctica utilizar tableros para

registrar y notificar las actividades de medición y
supervisión con indicadores de rendimiento
• Los tableros deberían indicar los resultados

obtenidos frente a los objetivos de rendimiento
3.1.4. Presentación de los resultados
Ejemplo de Tablero
Ejecución – Operativo
Presenta a los actores de la continuidad operacional la realidad de los
controles implementados
Gestión – Táctico
Mide el progreso hacia el logro delos objetivos tácticos
Alta Dirección – Estratégico

Hace posible el progreso de la estrategia de
continuidad
I. Tablero Operativo
Ejemplo
II. Tablero Táctico
Ejemplo
Evaluación de los procedimientos

Notas a la debilidad Nivel de cumplimiento
Procedimiento evaluado
Nro. Y la fuerza 1 2 3 4 5 6 7 8
1 Procedimiento de control de documentos
2 Procedimiento de control de registros
Procedimiento de competencia,
3 sensibilización y capacitación
4 Procedimiento de auditorias interna
5 Procedimiento de acciones correctivas
6 Procedimiento de acciones correctivas
Procedimiento de revisión por la
7 dirección
8 Procedimiento de supervisión y medición
9 Procedimiento de gestión de recursos
10 Procedimiento de compra
Evaluación global
III. Tablero Estratégico
Ejemplo
Indicador 1 Indicador 2 Indicador 3 Indicador 4
Serie 1 Serie 2
80 71
70 65
61
60
49 48
50
39 50
40
28 41
30 36
20 27 29
10 18 19
0
2004 2005 2006 2007 2008 2009 2010
Descripción A Descripción B Descripción C
Descripción D Descripción E
Ejercicio 13
Supervisión, medición, análisis y evaluación

Capacitación para Implementador Líder Certificado en la ISO 22301
Sección 27
Auditoria Interna
a. Las diferencias entre las Auditorías Internas y Externas
b. Rol de la Función de la Auditoria Interna
c. Independencia, objetividad e imparcialidad
d. Planificación de las actividades de auditoria
e. La gestión y la asignación de recursos
f. Crear un procedimiento de auditoría
g. Actividades de seguimiento de no conformidades

3.2. Auditoría Interna
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
9.2 Auditoría interna

9.1.1 Generalidades
La organización deberá llevar a cabo auditorías internas a intervalos planificados para

proporcionar información a fin de prestar asistencia en la determinación de si el SGCN:
a) cumple:
1) Las necesidades propias de la organización para su SGCN,
2) Los requisitos de esta norma Internacional.
b) se aplica y es manteniendo de forma afectiva.
- Planificar, establecer, implementar y mantener un programa de auditorias(s), incluyendo la frecuencia,
métodos,
- responsabilidades, requisitos de la planificación y presentación de informes. El programa de auditorías
(s) deberá tener en cuenta la importancia de los procesos y de los resultados de auditorias anteriores,
- Definir los criterios de auditoria y el ámbito de aplicación de cada auditoria,
- La selección de los auditores y la realización de las auditorias para asegurar la objetividad e imparcialidad
del proceso de auditoría.
- Asegurar de que los resultaos se presentan a miembros pertinentes de la gestión, y los resultados de la
auditoría.
¿Qué es una Auditoría?
Proceso sistemático, independiente y

documentado para obtener evidencia de auditoría
y evaluarla para determinar en qué medida cumple
los criterios de auditoría
En resumen:
Auditoría significa preguntar al auditado
Lo que hace, y comprobar si lo hace
Tipos de Auditorías
Externa
Auditoría de Segunda Auditoria de Segunda
Parte Interna Parte
Nuestro cliente audita Nuestra organización
nuestra organización
Auditoría de primera audita a nuestro
Parte proveedor
Nuestra organización audita sus
propios sistemas
Cliente Proveedor
Auditoría de Organización
Tercera parte
La organización es
auditada por una
organización
independiente
Las Diferencias entre las Auditorías Internas y Externas
Principales características
Auditoría Interna Auditoría Externa
1. Totalmente independiente de la organización

1. Es independiente de las actividades auditadas
auditada y sus actividades
(no de la organización)
2. Sólo considera la eficacia del sistema de
2. Considera la eficacia y la eficiencia del
gestión
sistema de gestión
3. No tiene función de asesoramiento a la
3. Función de Asesoramiento dentro de la
organización (sólo recomendaciones
organización para la mejora continua
generales)
4. Puede llevarse a cabo en el curso de las
4. La actividad de la auditoría siempre e
operaciones
planifica de manera oportuna
Principales Servicios y Actividades de la Auditoría Interna
1. Evaluación de los objetivos

8. Coordinación entre las del sistema de gestión
auditorias internas y
externas 2. Evaluación general del
Funcionamiento del sistema
de gestión
7. Evaluación de la mejora
Objetivos
continua
principal
es
3. Evaluación de la gestión
de riesgos en curso
6. Evaluación de la medición
y la revisión del sistema de
gestión
4. Evaluación de la eficacia y
la eficiencia de los procesos y
5. 4 Evaluación de la eficacia y la
medidas
eficiencia de la gestión del ciclo de
vida del mismo sistema de gestión
ISO 19011
Guía de auditoría para los sistemas de gestión
INTERNATIONAL
ISO
o Las definiciones de los conceptos de STANDARD
19011
auditoría de sistemas de gestión

o Descripción de las características y

principios básicos de la auditoría y la

profesión de auditor

______________________________________
o Descripción de todos los elementos Societal security- Business continuity
clave del proceso de auditoría Management Systems –Requirements

o Descripción de los aspectos

fundamentales de un programa de
auditoría
o Directrices sobre las calificaciones de ______________________________________
los auditores
3.2.3
3.2.3 Establecer
Establecer
3.1 Supervisión, 3.2.1
3.2.1 Crear
Crear el
el 3.2.2
3.2.2 Designar
Designar Independencia,
Independencia,
medición, programa
programa de de una
una Persona
Persona objetividad
objetividad ee
análisis y evaluación auditoría
auditoría interna
interna Responsable
Responsable Imparcialidad
Imparcialidad
3.2.4 Planificar 3.2.5 Asignar y 3.2.6 Crear 3.2.7

3.2.7 Realizar
Realizar
actividades de administrar los procedimiento de actividades
actividades dede
auditoria recursos auditoría auditoría
auditoría
3.2.8
3.2.8 Seguimiento
Seguimiento
de 3.3 Revisión por la
de No
No
conformidades Dirección
conformidades 3.3 Revisión por la
Dirección
3.2.1. Crear el Programa de Auditoria Interna
Planificar
Establecer el programa de auditoría (5.2)
- Objetivos y alcance – Roles y responsabilidades

- Competencia - riesgo del programad e auditoría
- Procedimientos - Recursos
Aplicación del programa de auditoría (5.3) Competencia y

evaluaciones
-Definir cada objetivo, alcance y criterios de la de los
Hacer
Actuar
Revisar y mejorar
auditoría auditores
programa de
-Determinar el método (s) de auditoría (cláusula 7)
auditoría (5.5)
-Asignar responsabilidades a los auditores
-Gestionar y mantener registros del programa Actividades de
de auditoria Auditoria
(cláusula 6)
Supervisión del programa de auditoria (5.4)
Verificar
-Revisar y aprobar los informes de auditoría
-Determinar la necesidad de una auditoria de
seguimiento
-Evaluar el desempeño delos miembros del
equipo de auditoria y retro alimentación por
parte de todos los interesados
3.2.2. Designar una Persona Responsable
Funciones y responsabilidades
1. Desarrollar un programa de auditoría interna (funciones y

responsabilidades, procedimientos, documentos de trabajo, formación de
auditores, etc.)
2. Planificar las actividades de auditoría
3. Administrar los recursos
4. Desarrollar criterios de rendimiento y asegurar que la auditoría cumple con
estos criterios
5. Escribir informes de auditoría
6. Asegurar que se siguen las mejores prácticas y que se aplican los
procedimientos de auditoría durante la realización de la auditoría.
7. Implementar un programa de evaluación continua de los auditores
8. Realizar el seguimiento de las no conformidades y las recomendaciones
de auditorías anteriores
Principales Servicios y Actividades de la Auditoría Interna
Preparar, conducir y cerrar

una auditoria, comunicación
oral y escrita de las
conclusiones
Principios
de auditoría Operación de un sistema de
Sistema gestión e interacción
Evaluación y gestión de los de gestión entre sistemas
riesgos de auditoría y aquellos
relacionados a la operación de
Riesgos
un sistema de gestión de auditoría
Aspectos Principales leyes y
legales
reglamentos, cláusulas
Principales procesos presentes en de contrato
Proceso
todas las organizaciones (RRHH, organizacional
Finanzas, Producción, etc.)
3.2.3.Establecer la Independencia, Objetividad e Imparcialidad
Carta de auditoría
Definición normal del propósito y actividades de la auditoría interna
Definición formal del alcance y la extensión de la auditoría interna
Estructura del estatuto Definición de las responsabilidades y los servicios que serán
(carta) de auditoría proporcionados por la auditoría interna
Definición formal de la autorización de acceso de Auditores internos
El establecimiento de la independencia de la auditoría interna

El Acceso y la Independencia
El acceso a los recursos y la colaboración
• Los auditores deberían tener acceso sin restricciones a los ejecutivos, empleados,
1 oficinas, información, explicaciones y la documentación necesaria para el buen
desarrollo de la auditoría para el buen desarrollo de la auditoría
• Esta necesidad de acceso debe estar documentada (por lo general en el estatuto de
auditoría
Independiente
• Los auditores internos deben ser independientes de los procesos auditados, y esto
2 generalmente se garantiza si el auditor informa a la Comisión de cuentas de la
organización en lugar de directamente a la alta dirección
• Esta necesidad de independencia debería reflejarse en el organigrama

3.2.4. Planificación de las Actividades
Planificación a corto y largo plazo
Una planificación de auditoría d

alto nivel para tres años
• Esta planificación debe tener en

cuenta que el sistema general de
gestión debería ser auditado cada
tres años
Una planificación anual más

detallada
• Esta planificación debe tener en

cuenta que no hay ningún requisito
para que el auditor audite todos los
procesos y controles del sistema de
gestión durante ese año
3.2.5. Asignar y Administrar los Recursos del Programa de Auditoría
Recursos financieros Recursos humanos Herramientas
Políticas y procedimientos de auditoría Logística

3.2.6. Crear Procedimientos de Auditoría

Los procedimientos de auditoría deberían incluir información sobre cómo:
1. Planificar y programar las 4. Seleccionar equipos de

7. Informar de los resultados
auditorias teniendo en auditoria apropiados y asignar
del programa de auditoría
cuenta los riesgos de sus roles y
al cliente de auditoría
auditoría responsabilidades
2. Administrar la seguridad de
5. Realizar auditorias incluyendo
la información y la 8. Mantener registros del
el uso de métodos de
confidencialidad y gestionar programa de auditoría
muestreo apropiados
los riesgos de auditoría
3. Garantizar la competencia 9. Monitorear la operación, los

6. Realizar el seguimiento de la
de los auditores y los lideres riesgos y eficacia del
auditoría, si procede
de los equipos programa de auditoría
Para las organizaciones pequeñas, las actividades mencionadas arriba

pueden ser cubiertas por un solo procedimiento
3.2.7. Realizar Actividades de Auditoría
Fuente de información
Uso de
Procedimientos de auditoría
Incluyendo el muestreo
Evidencia de la auditoría
Evaluación frente a los

Criterios de auditoria
Hallazgo de la auditoría
Revisión
Conclusiones de la
auditoría
No conformidad
Definición
o De acuerdo con la definición de la norma ISO 9000: 2005, una no conformidad

es el “no cumplimiento de un requisito”
o Hay dos tipos de no conformidades
 No conformidad menor
 No conformidad mayor
3.2.8. Seguimiento de no conformidades
Directrices
o El auditor interno debería seguir los planes de acción presentados en
respuesta a las no conformidades (como resultado de las autoridades internas y
externas)
o La persona a cargo del SGCN debe informar al auditor interno de la marcha de

las acciones correctivas
o El papel del auditor interno se limita a validar los planes de acción y las
acciones correctivas
o No todas las medidas correctivas tiene que ponerse en práctica

inmediatamente
Basado
Basado en
en su
su experiencia
experiencia yy conocimiento,
conocimiento, el el auditor
auditor interno
interno debería
debería
ejercer
ejercer buen
buen criterio
criterio yy evaluar
evaluar si
si los
los planes
planes de
de acción
acción
apropiados
apropiados yy pueden
pueden abordar
abordar las
las causas
causas intrínsecas
intrínsecas dede las
las conformidades
conformidades
Sección 29
Tratamiento de problemas y no conformidades
a. Proceso de análisis de la causa raíz
b. Herramienta de análisis de la causa raíz
c. Procedimiento de acciones correctivas
d. Procedimiento de acciones preventivas

3.3. Revisión por la Dirección
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
Revisión por la Dirección
La alta dirección debe revisar el SGCN de la organización, a intervalos planificados, para

asegurarse de su conveniencia, adecuación y eficacia
La revisión por la dirección deberá incluir la consideración de :

a) El estatus de las acciones de las revisiones anteriores llevadas a cabo por la dirección;
b) Los cambios en las cuestiones internas y externas que son relevantes para el sistema
de gestión de la continuidad del negocio;
c) Información sobre el desempeño de la continuidad del negocio, incluyendo las
tendencias en :
1) No conformidades y acciones correctivas.
2) Los resultados de la evaluación del seguimiento y la medición;
3) Resultados de la auditoría; y
d) Oportunidades para la mejora continua.
Revisión por la Dirección
Definición
Una revisión periódica de la eficacia del Sistema de Gestión realizada por

la alta dirección para analizar su conveniencia, adecuación y eficacia
continuas
Término Concepto
Idoneidad Los resultados se logran de la mejor manera posible
Adecuación Las salidas cumplen con los criterios establecidos
Eficacia El sistema cumple con las necesidades de la organización

3.3. Revisión por la Dirección
1.2 Implementación 3.1 Supervisión 3.3.1

3.3.1 Preparar
Preparar
3.2 Auditoría la Revisión
del SGCN Medición, análisis y la Revisión
Interna por
evaluación por la
la Dirección
Dirección
3.3.2 Realizar 3.3.3 Cierre de 3.3.4 Seguimiento 4. Mejora

la Revisión la Revisión de la Revisión Continua
por la Realizar
3.3.2 Dirección por la Cierre
3.3.3 de
Dirección 3.3.4
por laSeguimiento
Dirección 4. Mejora
la Revisión la Revisión de la Revisión Continua
por la Dirección por la Dirección por la Dirección
3.3.1. Preparación de la Revisión por la Dirección
o La s revisiones por la Dirección deben llevarse a cabo a intervalos planificados

(por lo menos una vez al año)
o La revisión por la Dirección se puede incluir en una reunión de Dirección y ser

uno de los temas del orden del día
o Es una buena práctica enviar al comité de gestión toda la documentación

relacionada (informe de auditoría, resultados de las revisiones, planes de
acción…) antes de la revisión
Requisitos
La organización deberá ejercitar y probar sus procedimientos de continuidad del negocio para
garantizar que son coherentes con sus objetivos de continuidad del negocio.
La organización deberá llevar a cabo ejercicios y pruebas que:

a) Están en consonancia con el alcance y los objetivos del SGCN,
b) Se basan en escenarios adecuados que están bien planificados con metas y
objetivos claramente definidos,
c) Tomados en conjunto en el tiempo validen la totalidad de los planes de
continuidad de su negocio, que involucren a las partes interesadas,
d) Reducen al mínimo el riesgo de interrupción de las operaciones,
e) Producen informes pos-ejercicio formalizados que contengan los resultados,
recomendaciones y acciones para implementar las mejoras,
f) Son revisados en el contexto de la promoción de la mejora continua y.
3.3.2. Realizar una Revisión por la Dirección
Temas que figuraran en el programa
La entrada de una revisión por la Dirección debería incluir información sobre:
1. Los resultados de auditorías del SGCN y sus revisiones

2. Las técnicas, productos o procedimientos, que podrían utilizarse en la organización
para mejorar el rendimiento y la eficacia del SGCN
3. Estado de las acciones preventivas y correctivas
4. Los resultados de ejercicios y pruebas
5. Las vulnerabilidades o amenazas adecuadamente en la evaluación de riesgo
anterior
6. Los resultados de las mediciones de la eficiencia
7. Las acciones de seguimiento de revisiones por la Dirección anteriores
8. Los cambios que podrían efectuar al SGCN, ya sean internos o externos
9. Adecuación de la política
10. Recomendaciones para la mejora
11. Las enseñanzas derivadas de incidentes
12. Buenas prácticas y guías emergentes
3.3.3. Resultados de la Revisión
Decisiones y resoluciones
El resultado de la revisión de la Dirección deberá incluir todas las decisiones y acciones

relacionadas con lo siguiente:
1. Variaciones al alcance del SGCN;
2. Mejora de la efectividad del SGCN;
3. Actualizaciones de la evaluación de riesgos, análisis de impacto y preparación ante
incidentes y procedimientos de respuesta;
4. Modificación de los procedimientos y controles que afectan los riesgos, incluidos los
cambios en:
 Requisitos empresariales y de funcionamiento
 Reducción de riesgos y requisitos de seguridad
 Procesos de las conducciones de funcionamiento del negocio que inciden en
los requisitos operativos existentes;
 Los requisitos reglamentarios o legales
 Las obligaciones contractuales
 Los niveles de riesgo y/o criterios para la aceptación de riesgos;
 Necesidades de recursos
 Los requisitos económicos y presupuestarios
 Mejoramiento a la forma de cómo se está midiendo la eficacia de los controles
3.3.4. Seguimiento de la revisión por la Dirección
o Las revisiones por la Dirección deben ser documentadas
o La organización debería presentar informes sobre la revisión por la Dirección a

todos los que forman parte de ella
o El coordinador del SGCN y el quipo de auditoría interna tiene la

responsabilidad de garantizar que los planes de acción de seguimiento sean
aprobados
Dirección
U p!
Follow
4.1. Tratamiento de Problemas y No Conformidades
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar

conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
10 Mejora
10.1 No conformidad y acción correctiva
a) Identificar no conformidad(es);
b) Reaccionar a la falta de conformidad y, en su caso
1) Adoptar medidas para controlar, contener y corregirla,
2) Hacer frente a las consecuencias.
c) Evaluar la necesidad de adoptar medidas para eliminar las causas de la no
conformidad, con el fin de que no se repita o se de en cualquier otra parte
d) Implementar las medidas necesarias
e) Examen de la eficacia de las medidas correctivas adoptadas,
f) Realizar cambios en el sistema de la gestión de la continuidad del negocio, si
es necesario. Las acciones correctivas que se tomen deberán ser apropiadas a
los efectos de las no conformidades encontradas
Definiciones
ISO 9000
Actividad recurrente para aumentar la capacidad de cumplir con los

Mejora continua
requisitos (ISO 9000, 3.2.13)
Corrección Medidas para eliminar un a no conformidad detectada (ISO 9000. 3.6.6)
Acción Acción para eliminar la causa de una no conformidad detectada u otra

Correctiva situación indeseada (ISO 9000,3.6.5)
Acción Medidas para eliminar la causa de una no conformidad potencial u otra

Preventiva situación potencialmente indeseable (ISO 9000, 3.6.4)
4.1. Tratamiento de Problemas y No Conformidades
4.1.1
4.1.1 Proceso
Proceso
2 Implementación 3.1 Medición del 3.2 Auditoría de resolver
de resolver
del SGCN SGCN Interna problemas
problemas yy no
no
conformidades
conformidades
4.1.2. 4.1.3. 4.2. Mejora

Procedimiento d Procedimiento de 4.1.4. Planes Continua
4.1.2.
acciones 4.1.3.
acciones de acción 4.2. Mejora
Procedimiento
correctivas d Procedimiento
correctivas de 4.1.4. Planes Continua
acciones acciones de acción
correctivas correctivas
4.1.1. Definir un Proceso para Resolver Problemas y No Conformidades
Ejemplo de Método de las Ocho Disciplinas para Solucionar Problemas
Elegir/ Comprobar las

Inicio
Definir y Verificar Acciones Correctivas 5
4 Causa(s) Permanentes (ACP)
Face de Planificación
0 Identificar el Problema Seleccionar las causas Validar y Aplicar las ACP 6

Probables
Establecer el Equipo/
¿Es la
Prevenir la recurrencia 7
1 Utilizar un enfoque de
No
Equipo Causa
Una
Causa
Raíz?
Facilitar a su Equipo 8
2 Describir el Problema
Si
Desarrollar
Soluciones posibles(s)
Desarrollar Finalizar
3 Plan Provisional de
Contención
Herramienta de Análisis de la Causa Raíz
Diagramas de causa y efecto
Evaluaciones Recursos Recursos
No se siguen adecuadamente los

procedimientos de actualización de la
página web
El personal de TI no mide Proveedor externo inadecuado
el rendimiento del El personal de TI no está
prestador del servicio del Equipos Obsoleto apropiadamente capacitado
sitio de la red. para gestionar el sitio de la red.
El Sitio de
la Red no
funciona
con
No hay un procedimiento frecuencia
Para gestionarlo No hay capacitación de gestión
del sitio de red para sus
No hay formación en la sensibilización empleados
Ningún proceso establecido Insuficiencia de recursos

para tratar con sitio de la red para gestionar el sitio de
Cuando se descompone la Red
Causas Prioritarias
Gestión de Procedimientos
Haciendo las preguntas correctas
Necesarias para el análisis de cualquier problema
Situación
Situación actual
actual Interrogatorio
Interrogatorio Seguimiento
Seguimiento de
de la
la solución
solución Opción
Opción (es)
(es)
¿Qué
¿Qué otra
otra cosa
cosa podríamos
podríamos
¿Qué
¿Qué se
se ha
ha hecho?
hecho? ¿Por
¿Por qué
qué es
es necesario?
necesario? ¿Qué
¿Qué se
se hará?
hará?
hacer?
hacer?
¿Por
¿Por qué
qué se
se hace
hace de
de esta
esta ¿Cómo
¿Cómo hacerlo
hacerlo de
de manera
manera ¿Cómo
¿Cómo se
se hará
hará
¿Cómo
¿Cómo se
se hace?
hace? manera?
manera? diferente?
diferente? esto?
esto?
¿Quién
¿Quién lo
lo hizo?
hizo? ¿Por
¿Por qué
qué esta
esta persona?
persona? ¿Quién
¿Quién más
más podría
podría hacerlo?
hacerlo? ¿¿ Quién
Quién lo
lo hará?
hará?
¿Por
¿Por qué
qué se
se hace
hace en
en este
este ¿Dónde
¿Dónde más
más podríamos
podríamos ¿Cómo
¿Cómo se
se hará
hará
¿Dónde
¿Dónde se
se hace?
hace? lugar?
lugar? hacerlo?
hacerlo? esto?
esto?
¿Por
¿Por qué
qué se
se hace
hace en
en este
este ¿Podríamos
¿Podríamos hacerlo
hacerlo en
en otro
otro ¿Cuándo
¿Cuándo se
se va
va aa
¿Cuándo
¿Cuándo se
se hace?
hace? momento?
momento? momento?
momento? hacer?
hacer?
4.1.2. Procedimiento de Acciones Correctivas
Revisión y seguimiento de acciones

Mejora Continua
tomadas
Implementación de soluciones y registros

Acción correctiva de las medidas tomadas
Análisis de las Evaluación de las Selección de

Análisis situacional causas raíz opciones soluciones
Identificación y documentación de la no conformidad

Identificación de la no
conformidad
4.1.3. Procedimiento de Acciones Preventivas
La organización deberá determinar las acciones para eliminar las

causas potenciales de no conformidad, de conformidad con los
requisito del SGCN
Costos
Eficacia
Acciones preventivas Acciones

correctiva
4.1.1. Elaboración de Planes de Acción
Se
Se puede
puede escribir
escribir en
en forma
forma resumida
resumida
Deben
Deben permitir
permitir que
que sea
sea corregida
corregida la
la no
no conformidad
conformidad
Deberían
Deberían basarse
basarse en
en un
un enfoque
enfoque preventivo
preventivo yy correctivo
correctivo
Deben
Deben incluir
incluir un
un plazo
plazo de
de ejecución
ejecución
Deben
Deben permitir
permitir la
la obtención
obtención de
de resultados
resultados verificados
verificados
Presentación de los Planes de Acción tras una Auditoría
o Se deberá presentar un plan de acción global por cada no conformidad, no un

plan de acción para todas las no conformidades
o Los planes de acción deben ser aprobados por la dirección
o El auditor analizará las causas y evaluará si la corrección especifica y las

medidas correctivas adoptadas o previstas, permitirán eliminar no
conformidades detectadas, dentro de un tiempo definido
Planes de Acción
Ejemplo
1 Almacenar datos archivados y correos electrónicos en un servidor de

archivos más fiable (2º trimestre 2008)
2 Una nueva versión de la política de CN debe ser publicada para incluir un

marco para establecer objetivos (en el plazo de 2 meses)
Los nombres de las personas de contacto en caso de desastre deben ser

explícitamente mencionados en el plan de continuidad del negocio
3 (inmediatamente) y los procedimientos para contactar a estas personas
deben ser documentados y comunicados (Tema incluido en el plan de
concientización del 2009)
Ejercicio 14
Planes de acciones correctivas

Sección 30
Mejora continua
a. Proceso de seguimiento continuo de factores de cambio
b. Mantenimiento y mejora del SGCN
c. Actualización continua de la documentación y registros
d. Documentar las mejoras

4.2. Mejora Continua
1.
1. Planificar
Planificar 2.
2. Hacer
Hacer 3.
3. Verificar
Verificar 4.
4. Actuar
Actuar
1.1. Planificar el 2.1 Análisis del Impacto 3.1 Supervisión,

SGCN en el Negocio (AIN) 4.1 No
conformidades y
acción correctiva
Riesgo
1.3 Analizar el
Continuidad del
1.4 Alcance Negocio

continua
1.7 Estructura
organizativa
3.3 Revisión por
la Dirección
documentada
1.9 Competencia y
sensibilización
Requisitos
10 Mejora
10.2 Mejora Continua
La organización deberá mejorar continuamente la conveniencia, adecuación y eficacia del

SGCN
NOTA La organización puede utilizar los procesos del SGCN tales como liderazgo, planificación
y evaluación del desempeño, para lograr mejoras.
Mejora Continua
La mejora continua es un proceso de aumento de la eficacia y la

eficiencia de la organización para cumplir con sus políticas y objetivos.
En pequeños pero certeros

pasos
4.2. Mejora Continua
2. Implementación 4.1. Tratamiento 4.2.1.

4.2.1. Supervisión
Supervisión
del SGCN (Hacer) 3. Verificar De problemas y de
de factores de
factores de
no conformidades cambio
cambio
4.2.2. 4.2.3. Actualización Auditoría de

4.2.4. Documentar Certificación
Mantenimiento y de la
4.2.2. 4.2.3. Actualización las mejoras Auditoría de
mejoras documentación 4.2.4. Documentar
Mantenimiento y de la Certificación
las mejoras
mejoras documentación
4.2.1. Proceso de Seguimiento continuo de los Factores de
Cambio
Los cambios en la organización

• Misión
• Objetivos de la empresa
• Presupuesto y recursos
• Cambios en el personal
Cambios por el SGNC Cambios en

• Política de continuidad del
las tecnologías
negocio
• Nuevos escenarios de • Hardware
riesgo • Software
• Los cambios de los • Los procedimientos de TI
procedimientos • Los procesos de TI
• Resultado de las pruebas
y ejercicios
• Resultado de la auditoría
Los Cambios externos
• Leyes y reglamentos:
• Necesidades y preocupaciones
de los clientes y proveedores
• Proveedores de SLA
• Los cambios en el entorno por
ej.: los competidores
4.2.2. Mantenimiento y mejora del SGNC
• El SGNC debe ser mantenido

y actualizado periódicamente.
Mejora
Mantenimiento • Las mejoras acordadas en el

proceso y las acciones
necesarias para mejorar el
Implementación proceso deberían ser
notificadas a los directores
más apropiados para asegurar
que ningún riesgo es pasado
por alto ni subestimado antes
de la aplicación de los
cambios.
4.2.3. Actualización Continua de la Documentación y Registros
Cambio continuo
Documentación del SGCN Ejercicio
• Evolución organizacional
• Política del SGCN
• Nuevas reglas
• Análisis de riesgos
• Cambios en el alcance del negocio
• Estrategia
• Incidentes
• Continuidad del Negocio y planes de
• Funcionamiento defectuoso
reanudación
• Fallos
• Programa de sensibilización
• Informes de la Gestión de Riesgos
• Programas de Educación
• Resultados de las pruebas
• Planificación de las actividades y los
• Auditorías Internas
resultados.
• Auditorías Externas
• Los niveles de servicio acordados
Revisar y adaptar
4.2.4. Documentar las Mejoras
Por lo general, mediante el procedimiento de gestión del cambio
Record of Changes
Page # Change Comment Date of Signature

Change
Capacitación para Implementador Líder
Sección 31
Preparación para la auditoría de certificación
a. Selección de la entidad de certificación
b. Preparación para la auditoría de certificación
c. Etapa 1 de la auditoría
d. Etapa 2 de la auditoría
e. Auditoría de seguimiento
f. Decisión sobre la certificación
g. Auditoría de vigilancia
Requisitos

Sistema de gestión de continuidad del negocio
La organización deberá establecer, implementar, mantener y mejorar continuamente un

SGNC, incluyendo los procesos necesarios y sus interacciones, de conformidad con
los requisitos de esta Norma Internacional.
Organismo de Certificación
ISO 17021
Organismo de Certificación: Terceros que realizan la evaluación de la

conformidad de los sistemas de gestión.
Certificación: Procedimiento en el cual un tercero garantiza por escrito

que un producto, proceso o servicio es conforme a las condiciones
indicadas.
Proceso de Certificación
la
1. Seleccionar un
de la
Informe de auditoría
Auditoría
Auditoría
Implementación del Organismo de

Antes de
interna Revisión por la

SGCN 1. Certificación:
Seleccionar un
Dirección
Antes
Organismo de
Certificación:
Inicial
Auditoría Inicial
2. Preparación de 3. Etapa 1 de la 4. Etapa 2 de la

la auditoría auditoría auditoría (auditoría
Auditoría
in situ)
Seguimiento de de
Auditoría
5. Auditoría de
la Auditoría
Mejora Continua y
Seguimiento
6. Decisión de
seguimiento (si es Auditoría de Vigilancia
Certificación
necesario)
la
Antes de la Auditoría
o Antes de ser auditado, un SGNC debe estar en funcionamiento durante un

tiempo determinado
o Por lo general, se requiere un plazo mínimo de tres meses.
o Como mínimo, se debe haber realizado por lo menos una auditoría interna, así
como una revisión por la dirección.
1. Selección de un Organismo de Certificación
Principales criterios
1 Notoriedad y credibilidad
2 Presencia geográfica
3 Las referencias en su sector
4 Posibilidad de una auditoría combinada
5 Habilidades y experiencia del equipo auditor
6 Precio
El Rechazo de un Auditor
o Es posible solicitar la
sustitución de los miembros
del equipo de auditoría por jem p l o de razones
E
razones válidas. válidas:
en
u d ito r s e encuentra
• El a e
o El equipo de auditoría podría a c ió n de conflicto d
una sit u ial)
retirarse si considera que las terés ( re al o potenc
in
razones mencionadas no son o
a u d ito r h a mostrad
válidas. • El no
rio r m e n t e conducta
ante
l
profesiona
no tiene la
• El auditor u erida por la
ión re q
habilitac
ditada.
entidad au
2. Preparándonos para la Auditoría de Certificación
Recomendaciones
Preparación para la
auditoría
1. La Auto 3. Auditoría de
evaluación práctica.
1. La Auto 3. Auditoría de
evaluación práctica.
2.Preparar
al personal
2.Preparar
al personal
3. Etapa de la auditoría
• Evaluación de la ubicación del cliente y las condiciones

específicas del lugar.
1. Visita al sitio • Reunión/contacto con el personal auditado.
• Observación general de las operaciones del SGCN
• Validación del alcance, así de cómo las limitaciones legales,

2.2. Entrevistas con reglamentarias y contractuales aplicables
• Validación de que se han realizado las auditorías internas y las
actores claves revisiones por la Dirección.
• Preparación de la etapa 2 de la auditoría.
• Comprensión general del funcionamiento del sistema de

gestión.
3. Revisión de documentos • Evaluación del diseño del sistema de gestión, así como de los
procesos y controles relacionados.
Nota: La revisión de documentos es la actividad principal de la etapa 1 de la auditoría.

4. Etapa 2 de la auditoría
Auditoría in situ
OBJETIVOS DE LA ETAPA 2 DE LA AUDITORÍA
Asegurar que el SGCN:
- Cumple con todos los requisitos de la norma ISO 22301

- Está eficazmente aplicado
- Permite que la organización logre sus objetivos de continuidad del
negocio
Recomendación de Certificación
Al concluir la auditoría, el auditor debe emitir una de las cuatro recomendaciones

siguientes relativas a la certificación:
1. Recomendación para la certificación.
2. Recomendación para la certificación con la condición de la presentación de

planes de acciones correctivas sin visita previa.
3. Recomendación para la certificación con la condición de la presentación de

planes de acciones correctivas con visita previa.
4. Recomendación desfavorable.
5. Realización de una Auditoría de Seguimiento
ISO 17021, cláusula 9.1.12-13
• Basado en las conclusiones de la auditoría, el auditor puede tener que llevar

a cabo una auditoría de seguimiento antes de que la organización sea
recomendada para la certificación.
• La verificación de los planes de acción y las medidas correctivas relacionadas

con las no conformidades identificadas en el informe de auditoría.
Una no conformidad mayor debería generalmente implicar

una auditoría de seguimiento.
6. Decisión sobre la Certificación
ISO 17021, cláusula 7.5.2 y 9.2.5.1
El organismo de certificación debe tomar la decisión de certificación basado

en:
 Una evaluación de los resultados y conclusiones de la auditoría.
 Cualquier otra información pertinente (por ejemplo, la información

pública, los comentarios del cliente en el informe de auditoría)
Los auditores que hayan tomado parte en la auditoría nunca

toman parte en la decisión de certificación.
6. Decisión sobre la Certificación
ISO 17021, cláusula 7.5.2 y 9.2.5.1
El organismo de certificación debe tomar la decisión de certificación basado

en:
 Una evaluación de los resultados y conclusiones de la auditoría.
 Cualquier otra información pertinente (por ejemplo, la información

pública, los comentarios del cliente en el informe de auditoría)
Los auditores que hayan tomado parte en la auditoría nunca

toman parte en la decisión de certificación.
Elementos a Auditar durante una Auditoría de Vigilancia
La auditoría de vigilancia tiene por

Gestión del Auditoría objeto garantizar que el SGCN sigue
Cambio Interna siendo implementado y está
mejorando.
Revisión Reclamos Utilización

Planes de Mejora
por la Y de marcas
Acción Continua
Dirección Sugerencias registradas
La auditoría se centra principalmente

Control de las Efectividad y
en la mejora continua, y en el
seguimiento de los planes de acción. Operaciones métricas
Auditoría de Re Certificación
• Una auditoría de re certificación deberá ser planificada y realizada

para evaluar el cumplimiento continuo de todos los requisitos cada tres
años.
• La auditoría de re certificación tendrá en cuenta el rendimiento del

sistema de gestión durante el periodo de certificación, y deberá incluir
la revisión de los anteriores informes de auditoría de vigilancia.
• La duración de una auditoría de re certificación debería ser de 2/3 del

tiempo dedicado a la auditoría inicial
Uso de los Órganos de Certificación y las Marcas Registradas ISO
ISO 17021, cláusula 8.4.1.
• Una organización certificada está autorizada para exhibir públicamente

su certificación y para su uso con fines de comercialización
• La certificación no se puede mostrar directamente en un producto o de

una manera que conduzca a creer que el producto está certificado.
• El organismo de control proporcionará a la entidad auditada un logotipo

que se puede utilizar para la comercialización.
Capacitación para Implementador Líder
Sección 32
Competencia y evaluación de un Implementador Líder
a. Las competencias de un implantador
b. Esquema de certificación de PECB
c. Solicitud de auditoría
d. Mejora continua de las competencias

Definiciones de Competencia
Contexto
Competencia
 Capacidad
Capacidad demostrada
demostrada
Conocimientos
para
para aplicar
aplicar
de
conocimientos
conocimientos yy Habilidades Conocimiento
habilidades
habilidades de
conducta Competente
De
se
a nte m
pe
tic ño
rac
P
xto
Co
nt e
nt
Co
ex
Habilidades
to
Habilidades de Conducta
1. Integridad 5. Perceptivo 10. Responsable
2. Mente abierta 6. Versátil 11. Abierto a la mejora
Describe en detalle cómo se llevan a

3. Diplomático 7. Tenaz
Cabo las tarea y actividades
12. Culturalmente sensible
4. Observador 8. Decisivo 13. Colaborador
9. Auto
Proporciona suficienteobjetiva del
la evidencia
Cumplimiento de los requisitos de la norma
Esquema de Certificación de PECB para la ISO 22301
Resumen de requisitos
Experiencia Experiencia
Experiencia
Examen Credencial Profesional auditoría de Proyecto de
Profesional
SGCN SGCN
ISO 22301 ISO 22301
--------------- ------------- -------------
Fundamentos Fundamentos
ISO 22301
-------------- ------------ -------------
Auditor Provisional
ISO 22301
ISO 22301 2 Años (1 en ------------
Auditor 200 horas
Auditor Líder continuidad del negocio)
ISO 22301 5 Años (2 en

300 horas ------------
Auditor Líder continuidad del negocio)
Implementador
------------ ------------ ------------
Provisional ISO 22301
ISO 22301
ISO 22301 2 Años (1 en
Implementador
Implementador continuidad del negocio)
------------ 200 horas
Líder
ISO 22301 5 Años (2 en 300 horas
------------
Implementador Líder continuidad del negocio)
AL ISO 22301 + 10 años (6 en
ISO 22301 Master 500 horas 500 horas
IL ISO 22301 continuidad del negocio)
Proceso de la Certificación de PCEB
3. Resultados del 4.
4. Solicitud
Solicitud de
de
1. Examen PECB 2. Certificado CPD
examen certificación
certificación
3. Resultados del
1. Examen PECB 2. Certificado CPD
examen
5. Evaluación de 7. Mantenimiento
6. Certificación
su solicitud de la certificación
5. Evaluación de 7. Mantenimiento
6. Certificación
su solicitud de la certificación
GRACIAS
Docente: Ing. Manuel Castillo Fernández

453

Iso22301

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso22301

Cargado por

Copyright:

Formatos disponibles

NORMAS

• ISO es una red de organismos nacionales de estandarización de más

• Los resultados finales de los trabajos realizados por ISO son

• Se han publicado más de 19000 normas desde 1947

1. 1. Representación igualitaria: 1 voto por país

2. Adhesión voluntaria: ISO no tiene la autoridad

5. Cooperación internacional: más de 160 países además de

Normas primarias en las que una organización puede estar

ISO 22000 ISO 22301 ISO 27001 ISO 28000

Estructura típica de las normas ISO

ISO ISO ISO ISO ISO

Objetivos del sistema de

Política del sistema

Auditoria interna 8.2.2 4.5.5 4.5.4.2 9.2 6

Mejora continua 8.5.1 4.5.3 4.5.5 10 8

• Especifica los requisitos ISO

de gestión de un SGCN 22301

• Los requisitos (cláusulas)

• Integrar el modelo PDCA

Sección 1 Ámbito de aplicación

Sección 2 Referencias normativas

Sección 3 Términos y definiciones

Sección 4 Contexto de la organización

Sección 9 Evaluación del desempeño

• Guía para el código de

Continuidad de los Negocios

verbo “debería” a fin de Societal security-Business continuit

2007 ISO publica la

NIST 800-34 Norma NFPA

ISO 27001, A. 14: Gestión de Continuidad del Negocio

Mitos y Realidades – Continuidad del Negocio

Previsible y Mantenimiento de Mejor

Respeto de las Protección dela

Proceso impulsado por el negocio que establece un marco

Mejora la organización pro activa de resistencia contra la interrupción de su

Proporciona un método ensayado para restaurar la capacidad de una

Proporciona una capacidad demostrada para gestionar una interrupción del

ISO 22301, cláusula 3.4:

Proceso de gestión holístico que identifica amenazas potenciales para la

ISO 22301, Introducción

Un SGCN, a igual que cualquier otro sistema de gestión,

ISO 22301, Introducción

ISO 22301, cláusula 4

•Las actividades de la organización, las funciones, los servicios, productos, asociaciones,

ISO 22301, cláusula 5.1 y 5.2

• Asegurarse de que el SGCN es compatible con la

Hacer que los recursos estén

• La Dirección deberá determinar y proporcionar los

• Dirección deberá comunicar la importancia de una

ISO 22301, cláusula 5.3:

•La alta dirección debe establecer una política de continuidad del

- Sea apropiada para los fines de la organización

• La política del SGCN deberá:

ISO 22301, cláusula 5.4:

•La alta dirección deberá asegurarse de que las responsabilidades y

• La alta gerencia deberá asignar la responsabilidad y autoridad para:

-Garantizar que el sistema de gestión

ISO 22301, cláusula 6.2:

• La alta dirección deberá asegurarse de que los objetivos de

ISO 22301, cláusula 7:

La organización Las personas que realizan El SGCN de la

Recursos Competencia Sensibilización Comunicación Documentación

• ISO 22301, cláusula 7.5: