GPG Guias de Buenas Prácticas - 2013 Spanish Version PDF

BUSINESS CONTINUITY INSTITUTEGOOD PRACTICE
GUIDELINES 2013 GUÍA DE BUENAS PRÁCTICAS 2013EDICIÓN

GLOBALESPAÑOLGuía para implementar buenas prácticas
globales en la Continuidad del Negocio
Created by Jorge Mario Gómez J, MBCI
August 2013
BUSINESS CONTINUITY INSTITUTEGOOD PRACTICE GUIDELINES 2013 GUÍA DE
BUENAS PRÁCTICAS 2013EDICIÓN GLOBALESPAÑOLGuía para implementar buenas
prácticas globales en la Continuidad del Negocio
Las traducciones de las Guías de buenas prácticas, exámenes y material de capacitación de BCI son
preparadas por traductores voluntarios miembros del Instituto. Pese a que se hacen esfuerzos
razonables por brindar traducciones precisas, el BCI no garantiza la precisión o totalidad de la
información contenida en este documento. El Business Continuidad Institute (BCI) no asume
responsabilidad alguna por errores, omisiones o ambigüedades en las traducciones de esta
publicación. Cualquier persona natural o jurídica que dependa del contenido traducido debe hacerlo
a su propio riesgo. El BCI no deberá ser responsable por pérdidas causadas por depender en la
precisión, confiabilidad u oportunidad de esta información traducida. Comuníquese con el BCI si
desea reportar un error o imprecisión en la traducción.
Traducción: Gloria Mejia R. y Jorge M Gómez y MBCI Presidente Asociación Latinoamérica de Continuidad - ALCONT
2
CONTENIDO
Reconocimientos..................................................................................................................................... 4
INTRODUCCIÓN A LAS GUÍAS DE BUENAS PRÁCTICAS - EDICIÓN 2013.................................................. 5
¿POR QUÉ TENEMOS UNAS GUÍAS DE BUENAS PRÁCTICAS? ................................................................. 6
¿QUÉ HA CAMBIADO DESDE LA VERSIÓN 2010? .................................................................................... 7
¿QUIÉN DEBE LEER ESTA GUÍA? .............................................................................................................. 8
ORIGEN DE LA CONTINUIDAD DEL NEGOCIO Y EL BCI ............................................................................ 9
PREGUNTAS FRECUENTES ..................................................................................................................... 11
EL CICLO DE VIDA DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO (GCN) .................................... 17
PRÁCTICAS PROFESIONALES DE BCI – ................................................................................................... 19
PRÁCTICAS DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO .............................................................. 20
- PP1 POLÍTICA Y GESTIÓN DEL PROGRAMA .................................................................................. 20
- PP2 INCORPORACIÓN DE LA CONTINUIDAD DEL NEGOCIO ........................................................ 49
PRÁCTICAS TÉCNICAS DE LA CONTINUIDAD DEL NEGOCIO .................................................................. 62
– PP3 ANÁLISIS ................................................................................................................................ 62
– PP4 DISEÑO .................................................................................................................................. 80
– PP5 IMPLEMENTACIÓN ................................................................................................................ 96
– PP6 VALIDACIÓN ........................................................................................................................ 119
GLOSARIO DE TÉRMINOS .................................................................................................................... 140
3
Reconocimientos
Esta Guía de Buenas Prácticas (GPG, por sus siglas en inglés) se fundamenta en la amplia
experiencia académica, técnica y práctica de los miembros del Business Continuity Institute (BCI).
La finalidad de esta guía es que sea usada por profesionales, consultores, auditores y reguladores
con un conocimiento práctico de la razón de ser de la Continuidad del Negocio (CN) y sus
principios fundamentales. No pretenden ser una guía para principiantes aunque sí ofrecen un
material excelente para aquellos que son nuevos en el tema. Se recomienda a los principiantes
trabajar con un profesional experimentado o asistir a programas de capacitación apropiados. El
trabajo del GPG 2013 comenzó en enero de 2012. Los borradores iniciales se publicaron en junio
de 2012, y las revisiones de los colegas, consultorías y evaluaciones adicionales se llevaron a cabo
hasta finales de septiembre de 2012. Las versiones consolidadas finales fueron acordadas por el
Jefe de Redacción en octubre de 2012, y luego fueron revisadas y aprobadas por el Concejo de
Membresía Global de BCI. La labor de las traducciones, revisiones y modificaciones de los
programas de capacitación se llevaron a cabo entre noviembre de 2012 y febrero de 2013.
El equipo responsable del GPG 2013 es:
Jefe de Redacción: Lyndon Bird FBCI
Editor Asistente: Deborah Higgins MBCI
Autores: Lyndon Bird FBCI, Ian Charters FBCI; Mel Gosling MBCI; Tim Janes MBCI; James McAlister
MBCI; Charlie MacLean-Bristol MBCI
Administrador: Jan Gilbert
Colaboradores: Malcolm Brooke MBCI; Jim Burtles Hon FBCI; Steven Cvetkovic SBCI; Gianna Detoni
MBCI; Stacey Farrow MBCI; Debbie Featherstone MBCI; Lesley Grimes MBCI; Gayle Hedgecock MBCI;
Simon Kearney MBCI; David Lightfoot MBCI; Margaret Millett MBCI; Norman Powell MBCI; Keith
Prabhu MBCI; Clifford Seow MBCI; Brigitte Theuma MBCI; Pauline Wilson MBCI; John Worthington
MBCI; Anton Wroblewski MBCI.
La BCI reconoce el tiempo y la experiencia aportada voluntariamente por todos aquellos

mencionados anteriormente al desarrollo de esta guía con el fin de beneficiar al BCI y a la
comunidad global de la Continuidad del Negocio. La entidad también reconoce que esta guía no
sería posible sin los esfuerzos de muchos miembros de BCI en las ediciones previas, de manera que
la BCI además desea agradecer a todos aquellos que han contribuido en el pasado. Los
colaboradores a estas guías han acordado no reclamar ningún derecho de autor o propiedad
intelectual respecto al material, y que éste último es de propiedad exclusiva de BCI TM.
Lyndon Bird FBCI

Jefe de Redacción
Director de Desarrollo Técnico: The Business Continuity Institute
4
INTRODUCCIÓN A LAS GUÍAS DE BUENAS PRÁCTICAS - EDICIÓN 2013
La Continuidad del Negocio (CN) ha cambiado significativamente desde que se fundó el Business
Continuity Institute (BCI) en 1994, y se desarrollará aún más a medida que su valor sea reconocido
por un público más numeroso.
La CN es un tema particularmente relevante hoy en día. El mundo no se ha recuperado del todo de

la crisis económica de la última década. Estamos llegando a un acuerdo con un nuevo orden
económico y político y a la vez tratamos de hacer frente a las crecientes amenazas globales que van
desde seguridad energética hasta migración masiva, delitos cibernéticos y cambio climático. Con
este escenario, anima saber que la disciplina de CN continúa destacándose ante estos grandes
cambios empresariales y sociales.
Aquellas personas que deseen convertirse en miembros de BCI con derecho a voto deben demostrar
competencias en las seis Prácticas Profesionales. El examen de Certificación de BCI pone a prueba el
conocimiento de las GPC 2013 en todas las seis secciones de Prácticas Profesionales. Los candidatos
seleccionados serán premiados con una aprobación o una aprobación con mérito. Es importante
entender muy bien el contenido de esta guía antes de tomar el examen de Certificación de BCI.
Aquellas personas que deseen alcanzar un mayor nivel de membresía (AMBCI, SBCI, MBCI, y FBCI)
también deben demostrar su experiencia. Los detalles de la experiencia necesaria para cada nivel se
encuentran en: www.thebci.org
Los términos de la norma ISO 22301:2012 son relevantes a lo largo de estas Guías de Buenas
Prácticas (GPG 2013).
CN Continuidad del la capacidad de una organización para seguir ofreciendo productos o

Negocio servicios a unos niveles redefinidos aceptables, después de un
incidente disruptivo.
GCN Gestión de la un proceso de gestión holístico que identifica las amenazas
Continuidad del potenciales contra una organización y los impactos en las
Negocio operaciones del negocio si se presentaran esas amenazas, y ofrece
un marco de trabajo para construir la resiliencia organizacional con
capacidad de dar una respuesta efectiva que salvaguarde los
intereses de sus grupos de interés clave, reputación, marca, y
actividades que crean valor.
SGCN Sistema de Gestión parte del sistema general de gestión que establece, implementa,
de la Continuidad del opera, monitorea, revisa, mantiene y mejora la CN.
Negocio
Una lista completa de todos los términos utilizados en estos en estas Guías de Buenas Prácticas se
encuentra en el Glosario de Términos.
5
¿POR QUÉ TENEMOS UNAS GUÍAS DE BUENAS PRÁCTICAS?

Las Guías de Buenas Prácticas (GPG) han cambiado ante las normas norteamericanas e
internacionales que hay disponibles. Pese a que el GPG ya no es el único proveedor de
contenidos serios sobre el tema, aún es la visión actual más integral e independiente sobre este
tema. El verdadero valor del GPG para los profesionales de la Continuidad del Negocio yace en
que aborda no solo el “qué hacer” (cuáles normas estudiar) sino también el “por qué”, el “cómo”
y el “cuándo” de las prácticas redactadas por expertos del mundo real. Es decir, el GPG no es una
especificación o norma de requerimientos, sino una actividad que tiene como fin fortalecer y
complementar las normas que surgen en los campos afines con la Gestión de Crisis, Gestión de
Incidentes, Planeación de Emergencias, Resiliencia Organizacional, y Gobierno, Riesgo y
Cumplimiento (GRC).
Esta edición ha sido redactada principalmente por profesionales de CN. Es el cuerpo actual de
conocimientos de la profesión en términos de cómo practicar la disciplina. A diferencia de las
normas para un sistema de gestión, el GPG puede tener la flexibilidad de identificar tendencias
futuras, retos y problemas que los usuarios aún debaten. En consecuencia, brinda un punto de
referencia aceptado que permite examinar el conocimiento de los profesionales y que crea las
bases de la capacitación académica en el tema.
6
¿QUÉ HA CAMBIADO DESDE LA VERSIÓN 2010?

Los principios del GPG no necesitan cambios de fondo, porque los componentes principales
permanecen iguales, pero se ha presentado algún refinamiento del lenguaje. Esta edición 2013
abarca las mismas seis etapas del Ciclo de Vida del Modelo de CN (GCN) y las vincula a lo que se
conoce como las Prácticas Profesionales (PP). Las seis Prácticas Profesionales se subdividen a su
vez en dos Prácticas de Gestión y cuatro Prácticas Técnicas. Se ha decidido que el nombre de cada
PP se debe simplificar y por consiguiente se usan los siguientes encabezados por sección:
Prácticas de Gestión
 PP1 – Política y Gestión de Programas
 PP2 – Incorporación de CN
Prácticas Técnicas
 PP3 - Análisis
 PP4 - Diseño
 PP5 - Implementación
 PP6 - Validación
7
¿QUIÉN DEBE LEER ESTA GUÍA?

El GPG no es solo para aquellos que buscan obtener una certificación profesional. Como un cuerpo
de conocimientos, el GPG se usa a manera de fuente de información para los programas de
capacitación y las campañas de concientización de CN para los colegas que necesitan comprender
mejor el tema. Estos colegas pueden variar desde profesionales de las comunicaciones
corporativas y manejo de riesgos hasta expertos en cadenas de suministros y especialistas en
recursos humanos.
La CN no se limita a un sector industrial en particular. De hecho, al aplicar los códigos estándares

de la clasificación industrial en las organizaciones representadas por los miembros de BCI se
revela la presencia de todo tipo de categorías. El uso del término “negocio” no significa que la
CN solo abarque organizaciones comerciales sino que el sector público también se beneficia de
adoptar estas prácticas al igual que un tercer sector, el cual incluye organizaciones voluntarias y
sin ánimo de lucro. De hecho, muchas organizaciones voluntarias son socios fundamentales y
prestadores de servicios a las agencias del sector público.
Pese a que la CN puede demostrar que se adapta con éxito a las organizaciones de tamaño medio
y grande, se reconoce la existencia de una “brecha” en la adaptación a empresas más pequeñas.
Aunque no hay nada inherentemente “corporativo” en la CN, el BCI reconoce que algunos
propietarios de empresas pequeñas no pueden seguir el GPG completamente y que algunos
materiales alternativos más sencillos, fundamentados en el GPG, les ayudarán. Estos materiales
incluyen la guía publicada para este fin por agencias oficiales, otros grupos profesionales y grupos
de apoyo de negocios al igual que de BCI.
8
ORIGEN DE LA CONTINUIDAD DEL NEGOCIO Y EL BCI
El origen exacto de la Continuidad del Negocio (CN) es debatible aunque existen algunos aspectos
de su historia que son concretos. Los sitios de Recuperación de Desastres se originaron en los
Estados Unidos a finales de los 70 y crearon, inevitablemente, la demanda por asesorías de
terceros. Tales asesorías inicialmente tenían el propósito de procesar datos o sistemas de gestión
de información (MIS por sus siglas en inglés), conocidos generalmente en ese entonces como las
TIC (Tecnologías de la Información y Comunicaciones), de carácter técnico.
El tema se popularizó luego como la Planeación de Recuperación de Desastres (PRD). Uno de los
primeros problemas que enfrentaron los pioneros fue justificar ante la Alta Gerencia la
necesidad de hacer una inversión significativa en algo que probablemente no sucedería. Lo
anterior condujo a crear una metodología para analizar el negocio y el impacto que tendrían las
alteraciones en la disponibilidad del sistema.
La metodología original se creó en los Estados Unidos a mediados de los 80 y fue incorporada con
rapidez por Europa (principalmente el Reino Unido) y Australia. Por ello es cierto que el modelo
de Análisis de Impacto de Negocios (BIA) precede a la primera aplicación de una CN más amplia.
También es cierto que los primeros asesores que desarrollaron exitosamente una metodología
comercial para el DRP eran estadounidenses pero este enfoque pronto se estableció y fortaleció
en Europa.
En este aspecto radican las diferentes opiniones del modo como la CN gradualmente surgió del
PRD. La BCI se basa en el conocimiento, experiencia y memoria de muchos profesionales de vieja
data. Es un punto de vista que no necesariamente cuenta toda la historia, pero sí es una síntesis
precisa que debe beneficiar a los profesionales potenciales de CN y a los nuevos prospectos.
La organización británica “Survive” se fundó en 1988 para apoyar la creciente necesidad de tener
un foro donde el personal de Recuperación de Desastres pudiera compartir sus experiencias y
conocimiento. Esta organización posteriormente se convirtió en un proveedor comercial de
cursos de capacitación, eventos y publicaciones, pero su visión inicial como un grupo de
intercambio y participación probó ser muy exitosa. “Survive” creó grupos similares
principalmente en un buen número de países angloparlantes. En 1991, la organización decidió
cambiar su razón social a “Grupo de Usuarios de CN”. El término Continuidad del Negocio había
comenzado a ser usado por varios asesores, aunque el cambio de nombre tuvo un gran impacto
en el cambio de la percepción externa acerca del tema.
A la vez, las dos empresas estadounidenses más grandes de Recuperación de Desastres también
cambiaron de opinión, considerando que el término “Continuidad” era más optimista que
“Recuperación”. Se puede discutir que Continuidad del Negocio era solo otro nombre del PRD y
posiblemente afectó negativamente su crecimiento como una disciplina nueva, especialmente en
América del Norte.
Otro desarrollo clave fue el lanzamiento de la norma británica para la Seguridad de la

Información, la cual se convirtió rápidamente en la norma ISO 17799. Los principios básicos de
esta norma resaltaban la necesidad de la Continuidad del Negocio, término definido en cuanto a
la disponibilidad de datos. Lo anterior confundió aún más el panorama y muchos colaboradores
de TICs declararon que la CN era simplemente un sub-conjunto de la Seguridad de la Información.
9
Este punto de vista fue apoyado por aquellos países donde CN no se había establecido en esa
etapa, especialmente Asia y Europa Central.
En 1993 “Survive” creó un equipo para estudiar la capacitación y certificación del profesional de
CN. Existía la necesidad de distinguir entre el experto profesional de CN y el asesor general,
normalmente perteneciente a un fondo TIC. Debates similares surgieron antes en los Estados
Unidos, los cuales significaron la creación del Instituto de Recuperación de Desastres en el año de
1998, fundado básicamente con el fin de proporcionar capacitación y certificación, y que surgió
del popular periódico industrial “The Disaster Recovery Journal”.
El BCI se fundó en 1994 como resultado directo de las recomendaciones del equipo de “Survive”.
Durante el desarrollo y lanzamiento de BCI, se tuvieron que definir las habilidades necesarias
para medir y juzgar la capacidad de aquellos que buscaban reconocimiento o calificación.
Inicialmente se propuso que deberían ser 13 o 14 habilidades, pero con el tiempo se redujeron a
10 estándares de competencia. Estos estándares de competencia profesional se desarrollaron y
acordaron con el US Disaster Recovery Institute (hoy, DRII).
Hacia finales del siglo 20 surgió la idea de tener un enfoque holístico e integral. Era obvio que
existía la necesidad de ofrecer protección y resiliencia a lo largo de toda la operación de un
negocio. Pese a la “excesiva promoción” del Y2K, el trabajo serio hecho en todo el mundo por las
grandes empresas demostró que existía un alto nivel de dependencia en pocos proveedores y
otros puntos de falla. Este pensamiento ya se había encapsulado en el concepto que la CN
propuso por primera vez hacía muchos años, pero demoró más de una década en ganar adeptos
a gran escala. Lo anterior hizo que iniciativas tales como la norma BS 25999 y otras SGCN
estadounidenses fueran más factibles, ya que podrían basarse en un marco de trabajo
conceptual sólido.
En el siglo 21 se determinó codificar la CN y clasificarla como parte de una familia de normas de

sistemas de gestión, siguiendo el mismo trayecto forjado por la Calidad, Seguridad de la
Información y Servicios Ambientales. Lo anterior comenzó con una gama de normas guía, tales
como la BS 25999-1 del Reino Unido, la NFPA 1600 de los Estados Unidos y varios manuales de
Australia y Asia. Los órganos reguladores, tales como el Financial Services Authority (Reino
Unido), APRA (Australia), y Federal Reserve (Estados Unidos) también participaron activamente
en este campo, particularmente después de la destrucción del World Trade Center de Nueva
York. Hoy en día existen normas nacionales formales en varios países, y desde el año 2012 hay
una norma de requerimientos de la ISO (ISO 22301) y una norma de guía independiente (ISO
22313).
10
PREGUNTAS FRECUENTES
Al BCI le solicitan con frecuencia su posición sobre un buen número de temas afines a la CN y a
disciplinas complementarias. Como muchos de esos temas aún son debatidos por la comunidad
de CN, los siguientes puntos se deben tomar como un aporte al debate, en vez de ser
considerados como una opinión fija y definitiva. Las preguntas más frecuentes aparecen a
continuación:
¿Para qué se usa la Continuidad del Negocio (CN)?

Existe la percepción generalizada de que la CN solo aborda eventos de gran impacto y poca
probabilidad. Sin embargo, ya es generalmente conocido que la CN puede mejorar la resiliencia
organizacional como parte del desarrollo normal de la actividad. Los conceptos también se pueden
aplicar para afrontar eventos que no son físicos, tales como fallas de proveedores y crisis que surgen
de una atención mediática adversa.
La aplicación exitosa de CN incrementa la capacidad de recuperación de una organización y a la vez,

contribuye a un mejor desempeño corporativo. La resiliencia se define ampliamente como la
capacidad que tiene una organización para absorber, responder a y recuperarse de las alteraciones.
La CN únicamente proporciona el marco para entender cómo se crea y se mantiene el valor dentro
de una organización, y establece una relación directa con las dependencias y vulnerabilidades
inherentes a la entrega de ese valor.
En primer lugar, la resiliencia no se fundamenta en la detención o prevención de una alteración.

Depender solamente de medidas de prevención para ofrecer una protección integral
inevitablemente generará una confianza equivocada, ya que la mayoría de los incidentes que altera
son por naturaleza bastante impredecibles.
¿Están capacitados los profesionales de CN para realizar una auditoría

SGCN?
Los profesionales de CN deben ser competentes en las seis Prácticas Profesionales, pero lo anterior
no los califica como auditores SGCN ya que se trata de una disciplina profesional por derecho propio,
con sus propios institutos y órganos de certificación. Todos los profesionales de CN deben ser
expertos para ejercer, mantener y revisar los programas GCN y como tal puede ser necesario
realizar periódicamente auditorías internas (auto-evaluación) y externas (realizada por los colegas).
Sin embargo, se requieren habilidades y calificaciones adicionales para realizar una auditoria
externa formalmente reconocida de un tercero bajo un programa de GCN. Una prueba de
competencia de una persona para realizar una auditoria externa reconocida sería tener un título de
Auditor aprobado por el IRCA (Registro Internacional para Auditores Certificados, por sus siglas en
inglés) o un órgano auditor profesional similar.
Una Auditoría SGCN no solo debe buscar la capacidad de recuperación técnica del negocio sino la
idoneidad de esa capacidad con los objetivos declarados de la organización. Generalmente estos
objetivos se pueden dividir en: Reputación, Cadena de Suministros, Información y Comunicaciones,
11
Sitios e Instalaciones, Personas, Finanzas y Clientes. El uso de este modelo sencillo demostrará a la
Alta Gerencia el valor y la naturaleza integrada del enfoque inter-funcional en toda la empresa.
¿Son Continuidad de Negocios y Resiliencia Organizacional la misma cosa?

La CN es una disciplina administrativa que permite que una organización sea más resiliente ante
incidentes que podrían alterar sus operaciones o amenazar su existencia. La resiliencia
organizacional, de otra parte, es la capacidad de anticipar eventos clave de tendencias emergentes,
de adaptarse constantemente al cambio y de recuperarse de incidentes dañinos y disruptivos.
Como tal, la resiliencia organizacional es más amplia que la CN y abarca un buen número de
disciplinas administrativas.
Los programas GCN ofrecen un marco de trabajo para que una organización construya resiliencia y
brinda la capacidad de tener una respuesta efectiva ante eventos amenazantes. En consecuencia,
la CN es una de las disciplinas clave de la resiliencia organizacional. El elemento central de esta
disciplina es el proceso de prepararse para situaciones que quizás nunca sucedan. Estas actividades
tienen como fin asegurar la reanudación oportuna de la entrega de productos y servicios después
de un incidente, pero no garantizan la resiliencia.
Las organizaciones resilientes miran hacia el futuro y son capaces de adaptarse a las
circunstancias cambiantes que pueden tener efectos dañinos en la capacidad de sobrevivir de la
organización. Estos efectos incluyen aspectos tales como cambios en el mercado en el cual opera
la organización, competidores, leyes, tecnología, etc., como también incidentes que pueden
alterar la capacidad de una organización de brindar sus productos y servicios.
¿Se necesita una disciplina de Gestión de Crisis independiente?

La gestión de crisis es el proceso mediante el cual una organización maneja un evento mayor que
amenaza con afectar a la organización, a los interesados o al público en general. Esto incluye
eventos que no necesariamente resultan en la alteración de las operaciones de la organización,
tales como una noticia adversa en los medios que podría dañar la reputación de una
organización.
La pregunta de si existe o no la necesidad de tener una disciplina de gestión de crisis

independiente podría reformularse como ¿existe una gestión de crisis aplicada a amenazas no
operativas que sea diferente de aquella aplicada a amenazas operativas? Si existe una diferencia
entre ambas amenazas, claramente se necesitan elementos adicionales de la disciplina que no
están presentes en la CN pero, aún si no existe ninguna diferencia, la gestión de crisis dentro de CN
requiere conocimientos y habilidades especializados al igual que otros elementos especializados
del programa de GCN.
La gestión de crisis es sin duda una de las actividades que deben ser abordadas por una
organización que implemente la CN. No debe ser independiente de CN ya que es una parte integral
de cualquier respuesta exitosa a un incidente, aunque quizás existan aspectos adicionales de la
disciplina cuando se aplica a incidentes que surgen de amenazas no operativas. La gestión de crisis
no debe verse como una disciplina independiente de CN. Se trata de un conjunto de habilidades
que son necesarias para la CN. No todos los profesionales de CN son necesariamente
experimentados en todos los aspectos de la gestión de crisis, particularmente en el manejo de
medios y de comunicaciones externas con los grupos de interés.
12
¿Qué tanto se sobrepone la CN y la Gestión de Riesgos?

Sin importar la metodología usada, la mayor parte de los profesionales de CN aceptan la necesidad
de conocer los principios básicos de la Gestión de Riesgos. Todas las organizaciones enfrentan
amenazas potencialmente catastróficas que están fuera de su control, particularmente los
desastres naturales, tales como inundaciones, tsunamis, terremotos, etc. Pueden existir algunas
medidas físicas que se pueden implementar para reducir la posibilidad de que estos eventos
causen una pérdida mayor, tales como la instalación de barreras contra inundaciones, pero la única
manera fundamental de tratar estos riesgos es tomando medidas que reduzcan el impacto en la
organización si la amenaza ocurre. El procedimiento clásico es tomar un seguro, pero para que sea
eficaz éste debe ser aumentado por un programa de GCN. Un programa de Gestión de Riesgos
debe identificar las amenazas catastróficas que no pueden ser controladas por la organización y un
programa de GCN es una manera de reducir el impacto de estos eventos.
Cuando una organización implementa un programa de GCN, lleva a cabo un Análisis de Impacto
de Negocio (BIA por sus siglas en inglés) y un resultado BIA es la comprensión de las actividades
más urgentes realizadas por la organización. Se trata de las actividades que generarían un mayor
impacto en la organización si llegan a ser alteradas. El programa de GCN identifica e implementa
estrategias para recuperar estas actividades antes de que el impacto de la alteración sea
intolerable, y también identifica las medidas que se pueden implementar para reducir la
posibilidad de que las actividades urgentes sean alteradas, como también cuantificar el impacto
resultante en la organización.
Las evaluaciones de riesgo llevadas a cabo como parte de un programa de GCN generalmente son a
un nivel operativo ya que se refieren a la alteración de las actividades. Pueden complementar las
evaluaciones de riesgos llevadas a cabo como parte de un programa de Gestión de Riesgos, las
cuales a menudo se realizan a un nivel empresarial. La superposición entre CN y Gestión de Riesgos
brinda a una organización la oportunidad de fortalecer su resiliencia, pero solo sucede si ambas
disciplinas se manejan coordinadamente.
¿Puede CN encajar en un marco de trabajo formal basado en riesgos?

La Gestión del Riesgo ha existido por muchos años, y la entidad formal más ampliamente aceptada
es COSO (Comité de Organizaciones Patrocinadoras de la Comisión Treadway, por sus siglas en
inglés) cuyo modelo se popularizó con el nombre de Gestión de Riesgos Empresariales (ERM, por
sus siglas en inglés).
Pese a que el modelo COSO es popular en el campo de la Auditoría, ha probado ser difícil de
implementar para muchas organizaciones, a tal punto que la norma ISO 31000: 2009 se considera
como la mejor alternativa. COSO es un modelo orientado al control y se puede describir como un
enfoque basado en el riesgo para administrar una empresa, integrando los conceptos de control
interno y planeación estratégica. El modelo intenta abordar las necesidades de diversas partes
interesadas que desean entender el panorama general de los riesgos que enfrentan las
organizaciones complejas para asegurar que son bien manejadas. Los reguladores y agencias
calificadoras de deuda han incrementado su control acerca de los procesos de gestión de riesgos
que tienen las empresas desde el 2008 usando técnicas basadas en este concepto.
La norma ISO 31000:2009 es más operativo y define el proceso de Gestión de Riesgos de la siguiente
manera:
13
 Establecimiento del contexto del riesgo;
 Identificación de riesgo;
 Análisis de riego;
 Evaluación de riesgo; y
 Tratamiento de riesgo.
Ambos modelos definen los métodos y procesos usados para la gestión de riesgos. Es más,
brindan marcos de trabajo para la Gestión del Riesgo aunque no necesariamente técnicas
detalladas. Las guías de implementación de apoyo brindan más detalles para manejar ciertos
eventos o circunstancias particulares relacionados con los objetivos de la organización (riesgos y
oportunidades), evaluándolos en términos de la probabilidad y magnitud del impacto,
determinando una estrategia de respuesta, y monitoreando el progreso. Al identificar y abordar
los riesgos y oportunidades proactivamente, se percibe que la empresa protege y crea valor para
los grupos de interés, incluyendo dueños, empleados, clientes, reguladores y la sociedad en
general. Este objetivo final es muy similar a aquella expresada como la razón principal para CN, de
manera que ambas disciplinas claramente deben compartir un buen número de características. El
riesgo generalmente se considera como un tema con mayor alcance que la CN, lo que significa que
en algunas organizaciones grandes (particularmente en el sector financiero) la CN debe encajar
con el marco global del riesgo. Esto es perfectamente posible de lograr, pero se necesita un mejor
intercambio de terminología entre el riesgo y las disciplinas CN.
La GCN ha evolucionado a partir de las TIC y de la recuperación de desastres, mientras que el ERM
tiene sus raíces en los seguros, el control de siniestros y el cumplimiento. Los conceptos originales
de BC se desarrollaron en una época cuando los gerentes de riesgos se concentraban
principalmente en los seguros, de manera que era necesario incorporar una evaluación de riesgos
limitada en el programa de GCN. Es importante observar que la CN se centra en identificar las
vulnerabilidades dentro de las organizaciones vinculadas al valor subyacente que ellas apoyan, y
en comprender los efectos de su no disponibilidad en la organización. La CN no se refiere
primordialmente a la identificación, evaluación y notificación de todos los riesgos imaginables
para una organización, sus mercados, clientes y el mundo en donde opera, ni trata de asignar
probabilidades de ocurrencia a los eventos.
Los gerentes de riesgo a menudo consideran que la CN es simplemente un tratamiento de riesgo

de tipos de incidentes operativos muy específicos – generalmente de naturaleza física y
normalmente caracterizados por alteraciones de actividades operativas causadas por daños a los
locales, las instalaciones y la tecnología, o escasez de recursos humanos. Sin embargo, lo anterior
es demasiado limitado ya que define GCN según “lo que ha sucedido”, en vez de por “las
consecuencias comerciales que se deben afrontar”
¿Cómo puede contribuir la CN al Gobierno Corporativo?

En la Junta Directiva, la CN contribuye significativamente a un gobierno corporativo efectivo. La CN
ayuda a las partes interesadas a formular algunas preguntas de fondo en torno a:
 La resiliencia del negocio y el modelo de operación de la empresa;

 El valor clave para crear productos y servicios;
 Las dependencias clave – activos y procesos prioritarios;
 Cómo respondería la empresa ante un siniestro o una amenaza a alguno de los anteriores;
 Las amenazas principales de hoy y del futuro; y
 Evidencia de que los planes de continuidad funcionan en la práctica.
14
¿Cuál es la diferencia entre la CN y la Gestión de Emergencias?

La CN y la gestión de emergencias funcionan juntos en muchas organizaciones en forma eficiente
pero se requiere compromiso, planeación y revisiones periódicas. La gestión de emergencias a
menudo se considera como parte del plan de gestión de incidentes de un programa de GCN.
Tradicionalmente, la gestión de incidentes se ha asociado con la activación de y vinculación a los
Servicios de Emergencia, y en consecuencia, la gestión de emergencias en sí se considera como el
campo de las “organizaciones que primero responden”, tales como policía, bomberos,
ambulancias, agencias oficiales y autoridades locales. Aunque no es una verdad universal, existe la
percepción de que gran parte de la gestión de emergencias recae en el sector público, aunque los
grandes negocios de riesgos físicos, tales como petróleo y gas, químicos y energía nuclear, tienen
muchos profesionales altamente capacitados dentro de sus propias organizaciones.
¿Cambian las normas internacionales nuestra percepción de CN?

Las normas de los sistemas de gestión, tales como la ISO 22301, proporcionan un procedimiento
aprobado, un conjunto de principios y una terminología para un campo o disciplina específico.
Además, las normas ofrecen especificaciones técnicas probadas por un órgano de normalización
reconocido por la aplicación continua o repetida de un proceso contra el cual se puede medir una
organización. Sin embargo, las normas no explican lo que debe aprender un individuo para
convertirse en un profesional de la disciplina, el modo de aplicar sus habilidades y conocimientos, o
el modo como una organización podría implementar la CN.
Las normas han sido creadas para un gran número de disciplinas, desde la Ingeniería, pasando por
la Seguridad Alimentaria hasta la Gestión Ambiental, pero en ninguna de estas disciplinas existe
una norma que haya eliminado la necesidad de que los individuos aprendan la teoría, la práctica y
adquieran las habilidades de su disciplina elegida, con el fin de convertirse en profesionales
competentes, calificados y con habilidades. En este caso, la CN no es diferente.
Las normas del sistema de gestión se diseñaron para ser usadas por las organizaciones y
proporcionar una especificación contra la cual se pueda evaluar la organización. Las normas no
sustituyen la necesidad de que la disciplina de CN disponga de un cúmulo de conocimientos contra
los cuales evaluar a los profesionales, ni ofrece instrucciones para implementar la CN en una
organización.
La norma internacional ISO 22301 ofrece un proceso aprobado, un conjunto de principios y

terminología para un SGCN, que son generalmente aceptados por la BCI. Las normas nacionales
son diferentes ya que reflejan las necesidades y requerimientos particulares de cada país, y como
tal, la terminología y el proceso pueden diferir de la norma internacional y el GPG.
En consecuencia, las normas no reducen o cambian la necesidad del GPG, sino que deben verse
como un complemento que aborda diferentes públicos con diferentes propósitos y objetivos.
¿Cómo se superponen las normas SGCN con otras normas?

Los sistemas de gestión brindan un método formal para verificar que el programa de la
organización sea efectivo y está en consonancia con su cultura y requerimientos. La
certificación de un programa de GCN comparado con la norma ISO 22301 o similar requiere la
operación de un sistema de gestión que debe ser demostrado.
El enfoque de los sistemas de gestión se usa para otras disciplinas, tales como la Seguridad
Informática (ISO 27001) y la Calidad (ISO 9), de manera que un Sistema de Gestión de
15
Continuidad del Negocio (SGCN) (ISO 22301) puede ser agregado con facilidad ya que existe una
convergencia de estos sistemas en torno a un texto común.
¿Cuál es el perfil típico de un profesional de CN?

Aunque los grandes conocedores del tema pueden tener experiencia en las TIC, las fuerzas
armadas o los servicios de emergencia y los principiantes proceden de consultorías en
administración, aseguramiento de información, riesgo y seguros, cumplimiento y calidad.
Además, ya que la CN se está convirtiendo en un nuevo tema académico, se comienzan a ver el
ingreso de profesionales con postrado, una tendencia que se espera que incremente en el futuro.
El profesional de CN debe demostrar una sólida capacidad de análisis, habilidades para la gestión
de proyectos, sólidos fundamentos en programación, comunicación efectiva y capacidad de
influencia, y entendimiento de las técnicas de valoración de inversiones. Además de un
entendimiento amplio y funcional de las organizaciones, es esencial que el profesional de CN
comprenda el lenguaje, el modelo operativo y el procedimiento de la organización en donde se
va a aplicar la CN.
La CN es multifuncional por naturaleza propia. El profesional de CN básicamente ejerce un papel

de facilitador y gestor del programa – los planes para asegurar la continuidad del negocio son
propiedad de las áreas de la organización que necesitan proteger los procesos clave de creación
de valor o activos claves. El costo para desarrollar y mantener el nivel de preparación requerido
debe ser asumido por estos grupos.
Aquellos implicados en el programa de GCN diferirán por lo tanto de organización a

organización, reflejando su negocio y modelo operativo.
¿Es esencial que un profesional comprometido en la CN maneje el programa

de GCN?
En las organizaciones más pequeñas, la CN a menudo se considera como algo adicional a una
multitud de otras disciplinas, incluyendo Salud, Seguridad y las TIC. Sin embargo, se debe
reconocer que este enfoque podría vincular CN a un evento específico o tipo de incidente, y no
sugiere que la CN abarque toda la empresa. Asimismo, es difícil tener a un profesional de CN con
una sola función. Para ser efectivo, la CN debe ser reconocida desde el principio por la Alta
Gerencia como una disciplina de negocios de propiedad de la empresa pero coordinada y facilitada
centralmente.
Durante las primeras fases de implementación de CN en una organización, se necesitará a un

especialista en CN que maneje los proyectos, coordine el desarrollo de los planes, organice
ejercicios y pruebas, y valide el programa de GCN.
En una organización más madura en donde estas técnicas están incorporadas en un nivel
funcional, el papel del profesional de CN consistirá principalmente en fijar políticas,
gobernabilidad y aseguramiento de la calidad.
16
EL CICLO DE VIDA DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

(GCN)
Este ciclo de vida GCN presenta las etapas de las actividades que una organización experimenta y
se repite con el objetivo generalizado de mejorar la resiliencia organizacional.
 Política y Gestión del Programa (PP1) es el punto de partida del ciclo de vida de la
continuidad (GCN). Es la Práctica Profesional que define la política de la organización en
relación con la Continuidad del Negocio (CN) y el modo de implementar, controlar y validar
esa política mediante un programa de GCN.
 Incorporación de CN (PP2) se refiere la a Práctica Profesional que busca constantemente

integrar la BC en las actividades cotidianas y la cultura organizacional.
 Análisis (PP3) es la Práctica Profesional del ciclo de vida de GCN que revisa y evalúa una
organización en términos de sus objetivos, funcionamientos y restricciones ambientales
en donde opera.
 La etapa de Diseño (PP4) es la Práctica Profesional del ciclo de vida de GCN que identifica
y selecciona las estrategias y tácticas adecuadas para determinar cómo se logra la
continuidad y recuperación de una alteración.
 Implementación (PP5) es la Práctica Profesional del ciclo de vida de la Gestión de CN que

ejecuta las estrategias y tácticas acordadas a mediante proceso de desarrollo del Plan de
CN (PCN).
 Validación (PP6) es la Práctica Profesional dentro del ciclo de vida de GCN que confirma
que el Programa de GCN cumple los objetivos fijados en la Política de CN, y que la PCN de
la organización es apta para ese fin.
17
18
PRÁCTICAS PROFESIONALES DE BCI –

PP1 - POLÍTICA Y GESTIÓN DEL PROGRAMA
19
PRÁCTICAS DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
- PP1 POLÍTICA Y GESTIÓN DEL PROGRAMA
GENERALIDADES
La “Política y Gestión del Programa” es el punto de partida del ciclo de vida de la Gestión de
Continuidad del Negocio (GCN) y se refiere a la Práctica Profesional que define la política
organizacional en relación con la Continuidad del Negocio (CN), y el modo cómo se deberá
implementar, controlar y validar mediante un programa de GCN.
El Business Continuity Institute considera que el Programa de GCN se debe ejecutar a tres niveles
diferentes:
 Estratégico – se toman decisiones y se determina la política;
 Táctico – se coordinan y administran las operaciones; y
 Operativo – se llevan a cabo las actividades.
El BCI reconoce que otras organizaciones, tales como la militar y algunos servicios de emergencias
podrían interpretar estos términos de manera diferente, revirtiendo a veces los niveles operativo y
táctico. Por consiguiente, se debe comprender con exactitud lo que significa en cada nivel de estas
Guias de Buenas Prácticas.
La terminología de la norma ISO 22301:2012 es relevante a lo largo de estas Guías de Buenas

Prácticas (GPG 2013):
Consulte en la sección del Glosario de Términos la lista completa de toda la terminología usada en
PCN Plan de Procedimientos documentados que guían a las organizaciones a responder, recuperar,
Continuidad reanudar y restaurar un nivel de operación predefinido, posterior a una alteración.
del Negocio
Programa de Proceso de administración y gobierno apoyado por la Alta Gerencia y financiado
Continuidad del adecuadamente para implementar y mantener la gestión de Continuidad del Negocio
BIA Negocio
Análisis de Proceso de análisis de actividades y el efecto que una alteración del negocio podría
Impacto del ejercer en ellas.
Documento
Negocio Información y su medio de apoyo.
Incidente Situación que podría ser o conducir a una alteración, siniestro, emergencia o crisis.
Productos y Resultados beneficiosos que brinda una organización a sus clientes, beneficiarios y
servicios partes interesadas.
Organización Persona o grupo de personas que tiene(n) su(s) propia(s) función(es) con
responsabilidades, autoridades y relaciones para lograr sus objetivos.
Tercerizar Celebrar un acuerdo donde una organización externa realiza parte de la función o
proceso de una organización.
Alta gerencia Persona o grupo de personas que dirige(n) y controla(n) una organización al nivel
jerárquico más alto.
estas Guías de Buenas Prácticas.
20
FIJACIÓN DE LA POLÍTICA DE CONTINUIDAD DEL NEGOCIO

Introducción
La política de la Continuidad del Negocio (CN) es el documento clave que establece el ámbito de
aplicación y la gobernabilidad del programa de GCN, y refleja los motivos para implementarlo.
Proporciona el contexto para implementar las capacidades requeridas e identifica los principios a los
que aspira una organización y con los cuales se puede auditar el desempeño.
Principios generales
La política de CN de una organización proporciona el marco en torno al cual se diseña y construye el
programa de GCN. La organización y la gobernabilidad son prerrequisitos esenciales para desarrollar
un programa exitoso, y se establecen el documento de políticas de CN, que es propiedad de la Alta
Gerencia y demuestra su compromiso con ella.
El propósito de publicar una declaración de política es comunicar a las partes interesadas los
principios a los cuales aspira la organización. Ya que su propósito básico es la comunicación, la
declaración debe ser corta, clara, precisa y concisa. Una declaración de la política de CN extensa y
complicada se convierte en una barrera para la comunicación.
En muchas organizaciones, el proceso de planeación implica realizar una evaluación a fondo de las
amenazas existentes comparadas con los objetivos estratégicos. El resultado de lo anterior puede
brindar ideas útiles para fijar la política general del programa de GCN. En algunos ambientes
regulados, es obligatorio realizar una evaluación formal de los riesgos aunque los métodos usados
no sean obligatorios.
Una vez acordada la política de CN, se debe iniciar un proyecto o serie de proyectos para que la
organización pueda llevar a cabo las actividades que se deben implementar mediante un programa
de GCN.
Proceso
El proceso para desarrollar una política de Continuidad del Negocio (CN) es descrito a continuación:
 Acordar una definición de CN;

 Acordar el ámbito de aplicación de CN;
 Identificar y documentar los componentes de la política de CN;
 Identificar las normas relevantes, leyes y reglamentos que se deben incluir en la política de
CN;
 Identificar cualesquier guía de buenas prácticas o políticas de CN de otras organizaciones
que pudieran servir como medio de realizar comparaciones;
 Revisar y realizar un análisis de carencias de la política actual de la de la organización CN (si
existe) contra la política externa o los nuevos requerimientos de la política de CN;
 Preparar un borrador de la política de CN nueva o enmendada;
 Revisar que el borrador de la política de CN cumpla con las normas o políticas de la
organización sobre temas similares y afines, tales como calidad y seguridad;
 Hacer circular un proyecto revisado para consulta;
21
 Enmendar el borrador de la política, si es del caso, con base en la retroalimentación de la

consulta;
 Facilitar el cierre de sesión de la política de CN por parte de la Alta Gerencia de la
organización; y
 Controlar la distribución de la política de CN usando un sistema de control de versión
adecuado.
Resultados y revisión
La política de la Continuidad del Negocio (CN) debe incluir:
• La definición de CN de la organización;
• Una definición del ámbito de aplicación del programa de GCN;
• Los roles y responsabilidades de CN;
• Un marco de trabajo operativo para administrar el programa de GCN de la organización;
• Un conjunto de principios, guías y normas mínimas; y
• El presupuesto, auditoría y responsabilidades de gobierno bien definidos.
Pese a que todas las políticas organizacionales deben ser revisadas frecuentemente como parte del
manejo del programa de GCN, cualquier cambio interno o externo significativo de la operación del
negocio también podría provocar una revisión formal de la política de Continuidad del Negocio.
La revisión y auditoria de una política de CN debe demostrar lo siguiente:
• La Alta Gerencia ha comunicado la política ampliamente en toda la organización;

• La política es pertinente y adecuada para el propósito de la organización;
• La política establece claramente lo que debe lograr el programa de GCN;
• Existe un compromiso claro para cumplir con todos los requerimientos internos y
externos; y
• Existe un compromiso claro para realizar actividades en curso y mejoramiento continuo.
22
DETERMINACIÓN DEL ÁMBITO DE APLICACIÓN DEL PROGRAMA

Introducción
La política de la Continuidad del Negocio debe incluir el ámbito de aplicación (o alcance) del
programa de GCN en términos de lo que debe proteger al igual que el máximo ámbito de aplicación
del daño, siniestro o interrupción que la organización puede soportar para sobrevivir con realismo.
El propósito de establecer el ámbito de aplicación es garantizar con claridad cuáles áreas de la
organización se incluyen en el programa de GCN, lo cual se logra identificando los productos y
servicios que hacen parte de él. Se centra en los criterios clave de éxito para la mayor parte de las
organizaciones – la entrega de productos o servicios. Se debe comprender la estrategia, objetivos y
cultura de la organización antes de determinar plenamente el ámbito de aplicación del programa de
GCN y de confirmar las opciones.
El Programa de GCN es un proceso en constante desarrollo lo que permite a una organización

implementarlo inicialmente en algunas áreas en forma parcial, mientras anticipa que se extenderá
posteriormente a toda la organización. Este enfoque gradual resuelve los problemas de complejidad,
costo y escala que hacen parte de la implementación del programa de GCN en las grandes
organizaciones.
Esta sección describe las opciones que tiene la organización para proteger la entrega de sus
productos y servicios, e identifica cómo y por qué puede elegir varios productos y servicios para su
implementación inicial. Estas opciones definen el ámbito del programa de GCN.
Conceptos y supuestos
En la práctica normal, el ámbito de aplicación del programa de GCN se decide antes de las demás
etapas del Ciclo de Vida de GCN. Si la organización decide implementar el programa inicialmente con
base en una lista obvia de prioridades de recuperación de un producto o servicio específico, aún
deberá confirmar cuáles actividades se incluyen en el ámbito de aplicación inicial (con base en el
impacto que ejerce la falta de entrega de ese producto o servicio).
El ámbito de aplicación está idealmente limitado por productos y servicios. Sin embargo, la ubicación
también se puede usar para limitar el ámbito de aplicación, permitiendo así que el programa de GCN
incluya o excluya ciertos lugares y sitios. No sería aceptable o lógico excluir un sitio que juega un
papel en la entrega de un producto o servicio que está dentro del ámbito de aplicación. Esto se
extiende para apoyar las tecnologías que no tienen fronteras definidas.
La limitación del ámbito de aplicación debe verse como una táctica para implementar el programa
de GCN en una organización. Si un producto o servicio se identifica dentro del ámbito de aplicación
de una organización, las actividades que apoya su entrega deben ser incluidas.
La documentación del ámbito de aplicación de cada producto y servicio tiene como fin explicar cómo
la organización pretende proteger la entrega a su cliente. Esta decisión normalmente debe estar
disponible para escrutinio externo – por ejemplo los clientes, auditores o reguladores.
23
Las organizaciones tradicionalmente han recomendado hacer planes para el “peor de los casos”.
Aunque se trata de un objetivo deseable, es cada vez más claro que para los desastres a gran escala,
naturales en particular, hay una escala y un ámbito de aplicación más allá de los cuales no es posible
lograr la recuperación. Superado ese nivel de interrupción, la organización deberá implementar un
plan de negocios más estratégico para decidir la factibilidad y deseabilidad de continuar con el
negocio.
Por ejemplo, para una empresa pequeña con un solo lugar de operación que abastece el mercado
local no sería realista hacer planes directos de recuperación después de la destrucción total sus dos
locales comerciales y el sitio donde opera. Sin embargo, es muy probable que la firma esté
amparada con un seguro, y posiblemente los demás recursos no afectados le permitirían comenzar
de nuevo en otro lugar, si decide hacerlo.
Por el contrario, una empresa global debería tener una operación mucho más resiliente, con
disponibilidad de recursos financieros y operativos suficientes para enfrentar y recuperarse de
incidentes mayores. Sin embargo, si se percibe incompetencia para manejar efectivamente una gran
crisis, incluso la más grande de las organizaciones podría verse en riesgo de un colapso.
El ámbito de aplicación debe ser aprobado formalmente por la Alta Gerencia.
Proceso
El proceso puede requerir la creación de un comité de dirección que brinde recomendaciones a la
Alta Gerencia.
Este grupo deberá examinar los productos y servicios de la organización para compararlos contra su
estrategia, objetivos, cultura, política ética, requerimientos legales y reglamentarios de la
organización con el fin de considerar las opciones de cada producto y servicio. Si anteriormente se
ha realizado un Análisis de Impacto de Negocio (BIA, por sus siglas en ingles) para determinar los
efectos de la pérdida de los productos y servicios, el grupo deberá incluir los resultados de ese
análisis en su revisión.
Los motivos para excluir un producto o servicio del programa de GCN y la respuesta alternativa ante
la pérdida de ese producto o servicio deben ser documentados y acordados por la Alta Gerencia.
Los productos y servicios deben ser identificados a un nivel de detalle adecuado.
Ejemplos de productos y servicios incluyen:
• Un producto o línea de productos fabricados;

• Recolección de desperdicios (para un municipio); o
• Apoyo telefónico (para una organización de software).
Las decisiones acerca de los productos y servicios que se deben incluir en el ámbito de aplicación
pueden depender de uno o más de los siguientes factores:
• El requerimiento de un cliente;
• Un requerimiento legal u obligatorio;
24
• Un lugar de alto riesgo percibido debido a su cercanía con otras instalaciones
industriales o amenazas físicas, tales como inundación; o
• Un producto que genera gran parte de los ingresos de la organización.
• Motivos para excluir un producto o servicio del ámbito de aplicación:
• El producto/servicio se acerca al fin de su vida útil (y se terminaría si el suministro se
llegara a interrumpir); o
• El producto/servicio tiene márgenes bajos (de manera que se puede terminar o
tercerizar con facilidad).
Cuando se evalúa la exclusión del ámbito de aplicación se deben tener en cuenta los siguientes
factores clave, además de los impactos financieros del siniestro:
• Los puntos de vista de todas las partes clave interesadas;
Cualquier daño a la reputación pueda resultar de la interrupción o terminación del suministro de un

producto;
• La relevancia de alguna evaluación de riesgo; y

• El impacto en las actividades reguladas.
Si se incluye un producto o servicio en particular en el programa de GCN, se deben implementar

medidas para garantizar que las diferentes actividades que apoyan su entrega puedan ser
continuadas o recuperadas dentro de los tiempos requeridos.
En cuanto a aquellos productos y servicios excluidos del ámbito de aplicación, el programa de GCN
no mitiga el riesgo de su siniestro o su falta de disponibilidad y en consecuencia deben ser
controlados por medios alternativos. Las opciones que tiene la Alta Gerencia son:
• Aceptar que existe un riesgo de alteración;

• Transferir el riesgo de la alteración a un tercero; o
• Cambiar, suspender o dar por terminado el producto o servicio.
La Alta Gerencia debe comprender muy bien las implicaciones de estas opciones, documentar sus
decisiones, y aprobar formalmente las decisiones como parte del proceso de gobernabilidad.
Métodos y Técnicas
Toda organización que implementa un programa de GCN debe elegir el método que va a usar para
determinar el ámbito de aplicación. Estos se pueden determinar internamente, con referencia a una
variedad de fuentes guía, tales como ISO 22301, normas nacionales, guías reguladoras o leyes
relevantes y estas Guías de Buenas Prácticas. Investigaciones del BCI han demostrado que la mayor
parte de las organizaciones desarrollan su propio método.
La selección o desarrollo de un método para elegir el ámbito de aplicación es un factor esencial para
planear la implementación de un programa de GCN.
Las herramientas que podrían formar parte de la elección del método de la organización incluyen:
25
• Análisis costo-beneficio (incluidas la parte interesada, la evaluación legislativa y
normativa);
• Análisis FODA (fortalezas/oportunidades/debilidades/amenazas);
• Planeación financiera y de gestión;
• Comparación con normas nacionales e internacionales correspondientes;
• Análisis PESTELO (político, económico, social, tecnológico, ambiental, legal,
organizacional); y
• Técnicas de análisis de mercado.
Ninguna de estas técnicas son habilidades fundamentales que un profesional de la Continuidad del
Negocio deba tener. Si es del caso, se debe buscar un especialista que ayude a usar estos
procedimientos de análisis técnico.
Resultados y revisión El resultado es:
• El ámbito de aplicación del programa de GCN que se documentará en la política de la

Continuidad del Negocio.
La revisión se debe realizar al menos una vez cada 12 meses. Sin embargo, hay ciertos eventos que
pueden provocar un nuevo examen del ámbito de aplicación:
Una revisión BIA que identifique cambios substantivos en los procesos y prioridades; o
 Un cambio significativo en uno o más de los siguientes:

 La actitud de la organización ante el riesgo (provocada quizás por un evento);
 Las condiciones del mercado;
 Una adquisición, fusión o enajenación;
 Productos o servicios; y
 Requerimientos legales o reglamentarios.
26
DEFINICIÓN DE GOBERNABILIDAD
Introducción
El programa de GCN debe contar con los recursos y la financiación adecuados. La Alta Gerencia debe
proporcionar el apoyo financiero necesario para la implementación, gestión continua y validación
del programa de GCN. La operación exitosa del programa depende de tener un personal adecuado.
Lo anterior a menudo es más fácil de lograr en las industrias reguladas, tales como servicios
financieros, ya que muchas autoridades reguladoras consideran que CN es el costo de hacer
negocios y que debe ser obligatorio.
La Alta Gerencia también debe decidir si, o en qué medida, desea adoptar normas formales para su
programa de GCN. Lo anterior requiere una financiación directa adicional para obtener la
certificación y el aumento de la asignación presupuestal futura, para mantenerla. Para aquellas
organizaciones que están familiarizadas con sistemas similares, tales como Gestión de Calidad o
Seguridad de la Información, la decisión y el proceso que se debe seguir son más fáciles.
Los sistemas de gestión ofrecen un método formal para verificar que el programa de GCN se
implemente y se maneje de acuerdo con una norma reconocida. En esta guía, cuando se ha
implementado un Sistema formal de Gestión, se hace referencia al Sistema de Gestión de
Continuidad del Negocio (GCNS, por sus siglas en inglés). La certificación de un programa de GCN de
acuerdo con la norma ISO 22301, o cualquier otra norma nacional, requerirá demostrar la
operación de un sistema de gestión.
Conceptos y suposiciones
El ámbito de aplicación de los sistemas de gestión se usa en otras disciplinas, tales como los Sistemas
de Gestión Ambiental (ISO 14001) y de Calidad (ISO 9001). El GCNS (ISO 22301) se puede agregar con
facilidad ya que estos sistemas convergen en torno a un texto estándar común.
Un sistema de gestión para CN se puede definir como aquella parte del sistema de gestión general
(de la organización) que establece, implementa, opera, monitorea, revisa, mantiene y mejora CN).
Esto implica que El GCNS tiene:
• Una política;
• Personas con responsabilidades definidas en torno a CN;
• Procesos de gestión para apoyar la política;
• Un conjunto de documentos que evidencian el proceso de Auditoría;
• Proyectos específicos que apoyan al programa de GCN; y
• Recursos, incluidos presupuesto, tiempo e instalaciones.
Proceso
Todos los sistemas de gestión ISO, incluido El GCNS, usan el ciclo PDCA (Planear-Hacer-Verificar-
Actuar). Consulte en siguiente tabla la explicación del modelo PDCA aplicado a los procesos de
GCNS:
27
Planear (establecer) Establecer la política de la Continuidad del Negocio al igual

que los objetivos, metas, controles, procesos y
procedimientos relevantes para mejorar CN, para brindar
resultados acordes con las políticas y los objetivos generales
de la organización.
Hacer (implementar y operar) Implementar y operar la política de Continuidad del Negocio
mediante controles, procesos y procedimientos.
Verificar (monitorear y revisar) Monitorear y revisar el desempeño comparado con la política y
objetivos de la Continuidad del Negocio, informe los resultados
a la gerencia para su revisión, y determinar y autorice acciones
para remediar y mejorar.
Actuar (mantener y mejorar) Mantenga y mejore el GCNS tomando acciones correctivas con
base en los resultados de la revisión de la Gerencia, y revalúe el
ámbito de aplicación de GCNS como también la política y
objetivos de la Continuidad del Negocio.
FUENTE: ISO 22301:2012
Aunque se pretende que la norma ISO sea aplicable en todas las organizaciones, existe la intención
clara de no dar a entender que un GCNS debe tener un diseño uniforme. Es decir, cada organización
debe diseñar un GCNS conforme a sus necesidades, que cumpla con las necesidades y
requerimientos de la parte interesada.
El sistema de gestión debe incluir lo siguiente:
• Un marco de trabajo documentado que establezca la política, objetivos y ámbito de

aplicación de GCNS y que identifique los resultados esperados de GCNS en términos que
se puedan medir. Este marco de trabajo también deberá definir responsabilidades al
implementar el programa de GCN;
• Una revisión formal del desempeño de SGCN que compare los resultados acordados y la
evaluación de factores internos y externos que puedan requerir cambios en El GCNS; y
• La implementación de los resultados de la revisión, incluidas las acciones correctivas
para eliminar la no-conformidad y las medidas para mejorar la efectividad o eficiencia
de SGCN.
Métodos y técnicas
La efectividad del sistema de gestión se puede demostrar mediante:
• El compromiso y liderazgo de la Alta Gerencia;

• Un proceso formal para medir el desempeño;
• El aseguramiento de la calidad y la precisión de la documentación;
• El aseguramiento de procesos y procedimientos obligatorios;
• La participación de un amplio grupo de personas de todo nivel en el SGCN;
28
• Una capacitación adecuada de aquellos que participan en el desarrollo y respuesta del
programa; y
• Mayor efectividad del SGCN.
La certificación de una organización según una norma formal no garantiza que ésta podrá manejar
todas las alteraciones exitosamente, sino que ha cumplido con todos los aspectos del proceso de
SGNC que se pueden auditar objetivamente. Sin embargo, el proceso riguroso para lograr la
certificación no somete a una organización a una gran exposición y puede crear una conciencia CN
en todos los niveles de la organización.
La organización debe procurar que la Alta Gerencia demuestre un liderazgo positivo con respecto a
CN. Sin embargo, también es esencial que otros niveles administrativos apoyen la política de CN
promoviendo su importancia y relevancia entre el personal.
Esto se puede lograr:
• Al reconocer y comunicar las necesidades y expectativas:

• Verificar que el programa de GCN es compatible con la dirección estratégica de
la organización;
• Verificar que el programa de GCN logra los resultados y requerimientos
esperados;
• Comunicar la importancia de una gestión efectiva de Continuidad del Negocios y
el cumplimiento de su política;
• Requerir informes sobre los hitos del programa y retroalimentación sobre
cualquier fecha perdida;
 Al movilizar el apoyo:
• Motivar y empoderar a las personas para que contribuyan con la efectividad del
programa de GCN;
• Proporcionar los recursos para establecer, implementar, operar, monitorear,
revisar y mejorar el programa de GCN;
• Dirigir y apoyar el mejoramiento continuo del programa de GCN; y
 Al brindar dirección y guías:

 Integrar los requerimientos del programa de GCN dentro de los procesos de
gestión de la organización.
Las organizaciones que desean ser certificadas según una norma o que necesitan que su programa
de GCN sea auditado independientemente por auditores externos calificados, tales como
29
reguladores y Top Management, deberán suministrar evidencias de su compromiso con CN. Los
métodos que demuestran tales evidencias incluyen:
 Establecer un Programa de GCN formal en la organización que abarque su implementación,

operación, revisión, mantenimiento y mejoramiento continuo;
 Establecer y comunicar una política de CN;
 Revisar personalmente que la Política de CN y el Plan de Continuidad del Negocio (PCN) esté
validado;
 Establecer funciones, responsabilidades y competencias individuales para CN;
 Designar una o más personas responsables de CN, con la autoridad adecuada para la
implementación y mantenimiento del programa;
 Verificar que las responsabilidades y autoridades de las funciones relevantes sean
entendidas y comunicadas a toda la organización;
 Definir las bases para un nivel aceptable de asunción de riesgos;
 Involucrar activamente a los altos ejecutivos en el ejercicio del PCN; y
 Realizar auditorías internas del programa de GCN y actuar de acuerdo con las
recomendaciones para lograr el mejoramiento continuo.
Una organización requiere tener controles formales para mantener un programa de GCN efectivo.
Un método clave para establecer los controles es desarrollar un programa de auditoría que se debe
discutir con detalle en la etapa de Validación. Para lograr lo anterior, las directivas de la organización
deberán acordar:
• Qué se debe medir y monitorear;

• Cómo se logra esta medición y monitoreo;
• Los métodos usados para el monitoreo, medición, análisis y evaluación;
• Cuándo se realizarán el monitoreo y medición; y
• Cuándo se realizarán el análisis y evaluación de los resultados del monitoreo y medición.
Es fundamental que la Alta Gerencia esté plenamente involucrada con periódicamente actualizada
acerca del desempeño y la efectividad del programa de GCN. Asimismo es vital que la Alta Gerencia
aborde oportunamente las lecciones aprendidas y las debilidades identificadas. Esto requiere :
• Actuar para hacer frente a las tendencias de desempeño adveras frente a los objetivos
del programa;
• Monitorear la efectividad del programa para reducir la posibilidad de que ocurran
resultados adversos; y
• Guardar información documentada relevante como evidencia de los resultados.
30
IMPLEMENTACIÓN DE UN PROGRAMA DE GCN

Introducción
El Programa de Gestión de Continuidad del Negocio (GCN, por sus siglas en inglés) es un proceso
continuo que se debe manejar activamente. Pese a que el objetivo inicial de esta etapa es completar
exitosamente la implementación de CN, el objetivo a largo plazo del programa de GCN es mejorar la
resiliencia organizacional.
La pronta implementación de CN se beneficiará de un enfoque de gestión de proyectos, pero a
medida que madura dentro de una organización las habilidades de gestión del programa están
obligadas a garantizar un estado actualizado de preparación.
El propósito de lo anterior es garantizar que la organización implementa un programa de GCN

sostenible, es decir, que tiene el compromiso de la organización con estructuras y procedimientos
establecidos a fin de asegurar que la buena disposición se mantendrá y mejorará en el futuro
previsible.
Un factor de éxito importante es el nombramiento de personas competentes que supervisen y

administren el programa de GCN. La iniciación del programa de GCN puede contar con la ayuda de
consultores externos altamente calificados y de gran experiencia. Esto puede ser costo-efectivo para
ahorrar tiempo de desarrollo y capacitación externa. La transferencia de conocimientos al personal
de la empresa debe ser un objetivo primordial durante este período.
Proceso
La elección de cuáles actividades se deben incluir en un programa de GCN, y en qué orden, depende
de la cultura de la organización. La única regla definitiva es que las decisiones importantes sobre las
opciones de continuidad y la estrategia de recuperación solo deben adoptarse después de realizar
un BIA integral cuyos resultados sean acordados y aprobados formalmente por la Alta Gerencia.
El proceso de implementación de un programa de GCN en una organización consta de:
• Un proceso de iniciación;
• La planeación, coordinación e implementación de proyectos para el inicio del programa
de GCN;
• Mantener los niveles de concientización; y
• Administrar el programa de GCN.
El proceso de iniciación debe ser construido con base en las actividades descritas en otras secciones
de esta Guía, y puede incluir:
• Una tarea de escritorio con la alta gerencia para demostrar lo que p suceder ante la
ausencia de procedimientos y de una estructura de respuesta a incidentes.
• Presentaciones sobre el impacto de incidentes locales recientes;
• Cuestionarios o entrevistas para determinar el estado actual de buena disposición
dentro de la organización;
31
• Redactar un borrador sobre el ámbito de aplicación del programa de GCN;
• Desarrollar un borrador sobre la política de CN;
• Recolectar datos y seleccionar opciones de continuidad;
Medidas para mitigar amenazas específicas percibidas; y
• Creación de procedimientos para el manejo de incidentes.
La implementación de un programa de GCN implica el manejo de un número de proyectos afines y la
coordinación de una variedad de actividades.
Esto solo puede tener éxito si tiene los recursos adecuados, incluidos individuos capacitados a
quienes se les asignan funciones y responsabilidades para llevar a cabo las tareas requeridas con el
fin de implementar y mantener el programa de GCN. Durante la iniciación del programa se debe
permitir suficiente tiempo para ayudar a cada actividad con la concientización y capacitación técnica
adecuadas.
Las técnicas de gestión son útiles para la planeación, coordinación e implementación de proyectos.
El progreso se debe monitorear y se deben tomar acciones correctivas que garanticen el
mejoramiento continuo.
Al finalizar la implementación inicial de un programa de GCN, la organización debe tener:
• Un nivel de resiliencia mejorado – que se pueda demostrar mediante una tarea de

escritorio de los procedimientos de gestión de incidentes; y
• Procedimientos, estructuras y habilidades para mantener y desarrollar el programa de
GCN.
Es fundamental que el programa de GCN sea revisado y reportado con periodicidad a la Alta
Gerencia.
32
ASIGNACIÓN DE FUNCIONES Y RESPONSABILIDADES

Introducción
El éxito de un programa de GCN depende de la identificación temprana de funciones claramente
definidas y de sus responsabilidades afines, comportamientos y autoridades para gestionar el
programa y el proceso dentro de toda la organización. Lo anterior debe ser establecido en la política
de CN.
El propósito de asignar funciones y responsabilidades es garantizar que las tareas necesarias para
implementar y mantener el programa de GCN sean asignadas a individuos específicos y
competentes, cuyo desempeño pueda ser monitoreado.
La Alta Gerencia deberá asignar las responsabilidades y autoridades para garantizar la adopción de
procedimientos adecuados y bien implementados de acuerdo con los requerimiento de la política de
CN. Además, la Alta Gerencia deberá verificar que estas responsabilidades y autoridades de roles
relevantes sean comunicadas a toda la organización.
Adicionalmente, la Alta Gerencia deberá capacitar a los individuos para que cumplan con sus
responsabilidad de acuerdo con las políticas de la organización. Si a los individuos se les asigna este
rol, además de sus actividades normales, se deben agregar estas responsabilidades adicionales a la
descripción de su cargo. Estas responsabilidades deben darse a conocer a todas las partes
interesadas, según proceda. Es esencial que los informes de desempeño del programa de GCN se
presenten con regularidad ante la Alta Gerencia.
Conceptos y suposiciones
En esta etapa se define la estructura de respuesta que adopta una organización. A menudo se
supone que aquellos que han desarrollado los planes son los mejores individuos en responder a un
incidente, pero las características de personalidad requeridas de los planeadores y líderes son a
menudo contradictorias. Cualquier dificultad debe ser expuesta dentro de un plan realista de
ejercicios.
No obstante, aquellos que han estado involucrados en la implementación del programa de GCN
deben brindar su apoyo durante la respuesta a un incidente. Los profesionales de CN deben estar
preparados para ayudar a los gerentes de incidentes, si son llamados a poner los planes en acción.
Estos profesionales tienen un conocimiento detallado de todas las estrategias y acciones que se
deben invocar de inmediato y pueden ser necesarios para apoyar la jerarquía administrativa con
actividades de evaluación e invocación.
Proceso
Un miembro de la alta gerencia de la organización debería tener la responsabilidad general de la
resilencia organizacional. Lo anterior aseguraría un adecuado nivel para el programa de GCN dentro
de la organización y una mayor probabilidad de implementarlo efectivamente.
Se debería nombrar un individuo para administrar el programa de GCN. Dependiendo del tamaño de
la organización, esto podría ser un rol de tiempo completo o de medio tiempo.
33
Las habilidades específicas necesarias para administrar el programa de GCN incluyen:
• Buen nivel de educación en un tema en relevante;

• Habilidad para identificar y analizar problemas, y desarrollar soluciones viables;
• Comunicación efectiva y habilidades interpersonales para trabajar a todos los niveles de
la organización;
• Gestión del Programa – incluidas habilidades para la Gestión de Proyectos y de
Presupuestos.
Habilidades analíticas para llevar a cabo un BIA – recolección de datos, diseño y técnicas de
entrevista;
• Habilidades para desarrollar e implementar los planes;

• Habilidades de facilitación para administrar y ejecutar un programa de ejercicios;
• Habilidades de capacitación para impartir conocimientos a los representantes de los
departamentos de CN; y
• Habilidades para negociar e influir y lograr el compromiso de la Alta Gerencia.
En las organizaciones de gran tamaño, se puede nombrar personal adicional que apoye al
profesional de CN para:
• Actuar como un representante del departamento de CN en su propia área;

• Recolectar información para el BIA;
• Desarrollar, implementar y mantener planes;
• Realizar ejercicios;
• Revisar documentos;
• Ayudar en las actividades de capacitación y concientización de CN; y
• Ayudar en la gestión de incidentes.
Asimismo se pueden crear grupos adicionales para ayudar a desarrollar el programa de GCN. Estos
incluyen:
• Una junta o comité de dirección del programa de GCN – un grupo administrador para
proporcionar asesoría, guías y supervisión administrativa;
• Equipos a nivel estratégico, táctico y operativo que podrían responder ante un incidente
y que deberían contribuir significativamente a los planes;
El personal asignado al programa de GCN debe recibir la capacitación adecuada para su actividad.
Esta se puede ofrecer mediante cursos de formación internos o externos y/o trabajando con
profesionales externos contratados por CN para ayudar en las primeras etapas de la
implementación.
Aquellos que manejan el programa de GCN en las organizaciones más grandes deben buscar un nivel
de certificación expedido por una entidad profesional tal como el Business Continuity Institute (BCI).
34
La certificación profesional de CN para individuos proporciona aseguramiento del conocimiento,
credibilidad y experiencia.
Para garantizar que las tareas afines a CN son efectivas y habida cuenta del tiempo y el esfuerzo
necesarios, los roles y responsabilidades deben ser incluidos en las descripciones de puestos de
trabajo y en el proceso de evaluación.
Las funciones y responsabilidades dentro del programa de GCN se han asignado a las personas que
han recibido una capacitación adecuada. Estas funciones y responsabilidades son incluidas en las
especificaciones de sus cargos y objetivos de desempeño, y son entendidas por los individuos y la
organización.
El nivel y competencia del personal asignado a las funciones afines a CN deben ser revisados
anualmente como parte del proceso presupuestario normal y puede ser un tema para su evaluación
anual y el tema de una auditoría.
35
GESTIÓN DE PROYECTOS
Introducción
Al realizar la implementación inicial de un programa de GCN en una organización se pueden adoptar
técnicas de gestión de proyectos. El método elegido de gestión debe coincidir con la naturaleza,
escala y complejidad de la organización y la implementación de CN.
Esto prepara el terreno para la gestión del programa una vez los elementos clave sean
implementados. Sin embargo, sigue siendo una disciplina útil para los elementos de un programa de
GCN que tiene resultados claros (por ejemplo, el lanzamiento de campaña de concientización en
toda la organización).
Aunque un resultado claro se puede identificar por ciertas tareas, muchas otras son menos tangibles
y dificultan la implementación de disciplinas estrictas de gestión de proyectos. Por ejemplo, a
menudo existe un elemento de ‘descubrimiento’ dentro de un BIA que dificulta la cuantificación del
tiempo requerido para finalizarlo.
Proceso
Si se adoptan las técnicas de gestión de proyectos se deben definir y documentar al comenzar el
programa de GCN.
Estas guías se pueden usar para identificar los proyectos necesarios para completar la
implementación inicial del programa de GCN. Cada proyecto se debe planear y monitorear de
acuerdo con el método de gestión elegido y se debe definir en términos de:
• Objetivos;
• Ámbito de aplicación;
• Tareas;
• Cronogramas;
• Personas implicadas;
• Recursos;
• Productos; e
• Hitos.
Los estimativos de trabajo de algunas etapas del proyecto a menudo dependen de los resultados de
las etapas anteriores. Las disciplinas de gestión de los proyectos frecuentemente pueden aplicarse a
otros asuntos con un resultado claro dentro del programa de GCN, tales como:
• Desarrollar y gestionar un programa de ejercicios;

• Desarrollar y brindar un programa de capacitación para el personal; y
• Elegir a un proveedor.
36
El resultado del método de gestión de proyectos usado es la entrega exitosa del Programa de GCN,
dentro de los cronogramas y presupuestos acordados.
El método adoptado debe incluir una revisión periódica del progreso en la entrega de productos
comparado con las fechas predefinidas para los hitos, los estimativos de trabajo y los costos.
37
GESTIÓN DEL PROGRAMA

Introducción
Una vez implementado, el programa de GCN se debe gestionar en un ciclo de mejoramiento
continuo para ser efectivo. Lo anterior implica la participación de varias disciplinas de gestión,
operativas, administrativas y técnicas que se deben coordinar según lo descrito en estas guías.
El programa se debe gestionar dentro del marco de trabajo y de acuerdo con los principios
estipulados en el documento de la política de CN de la organización.
El número de profesionales de CN y el personal requerido de otras disciplinas de gestión para apoyar

y gestionar el programa dependerá de la naturaleza, escala, complejidad y ubicación geográfica de la
organización.
En las organizaciones más pequeñas, la gestión del programa de GCN puede ser asignado a un
individuo junto con otras funciones. En una organización de mayor tamaño, puede haber un grupo
de personas con responsabilidades de CN de tiempo completo o tiempo parcial. En este último caso
se pueden requerir habilidades de administración de personal por parte de los que lideran el
programa de GCN.
Proceso
El profesional o equipo nombrado para CN (en consulta con la Alta Gerencia) debe:
• Desarrollar y aprobar un programa de GCN;

• Determinar los ámbitos clave para cada etapa del Ciclo de Vida de GCN;
• Realizar o gestionar las actividades dentro de la organización;
• Promover CN dentro de la organización y externamente cuando resulte necesario;
• Gestionar el presupuesto del programa de GCN;
• Mantener la documentación del programa de GCN;
• Determinar el nivel de resiliencia requerido por la legislación y la regulación dentro del
sector relevante; y
• Informar periódicamente a la Alta Gerencia, resaltando los problemas identificados.
El profesional o equipo nombrado para CN puede (de acuerdo con la Alta Gerencia) identificar y
capacitar individuos para:
• Actuar como representantes de su respectivo departamento para cualquier tema

relacionado con CN que afecte al departamento o el lugar;
• Ayudar al departamento a identificar y comunicar las implicaciones del cambio del
proceso; y
• Ayudar o dirigir la recuperación del departamento o del lugar en el caso de presentarse
una alteración.
38
Los métodos, herramientas y técnicas para administrar el programa de GCN de una organización
pueden incluir:
Estas Guías de Buenas Prácticas;
• Asistencia de un profesional externo de CN;

• Auto-evaluación comparada con una norma, legislación o regulación;
• Medición anual del desempeño personal;
• Gestión de la relación entre el proveedor de externalización y el proveedor;
• Gestión de la relación con proveedores de servicios, recursos y especialistas de CN ;
• Gestión financiera;
• Asesoría legal y reglamentaria;
• Estudios comparativos del sector de la industria;
• Normas internacionales o nacionales;
• Auditorías internas y/o independientes; y
• Revisión y desafío.
El resultado es un mejoramiento continuo del nivel de la resiliencia.
La revisión debe incluir la necesidad de contar con lo siguiente:
• Un programa de GCN claramente definido y documentado, acordado por la Alta

Gerencia de la organización;
• Informes a una frecuencia predeterminada;
• Una estrategia de CN claramente definida y documentada;
• Un proceso de gestión que sea una parte integral del programa de GCN de la
organización;
• El presupuesto anual del programa de GCN;
• El informe de auditoría del programa de GCN;
• Suministro y mantenimiento de la competencia efectiva y capacidad; y
• Incorporación de las lecciones aprendidas a partir de incidentes o ejercicios reales.
El programa de GCN de una organización debe ser revisado periódicamente mediante auditorías
interna o externa.
39
ADMINISTRACIÓN DE ACTIVIDADES TERCERIZADAS

Introducción
Cuando la organización usa métodos tales como la extraterritorialidad (prestación de servicios tales
como Call Centers en regiones del mundo que se encuentran alejadas de las bases de clientes
primarios de una organización) o procesos comerciales de tercerización de la sección administrativa
para desarrollar actividades operativas significativas, es importante que la política de CN se encargue
de estas actividades.
Aunque es similar al tema de la continuidad de la cadena de suministro, aquellos que ofrecen
servicios tercerizados a menudo juegan un papel fundamental en las operaciones cotidianas de una
organización. El incumplimiento de un tercero, proveedor de bienes o servicios, bien sea para la
organización o directamente para un cliente de la organización, no debe alterar la entrega de
productos y servicios de la organización. Si parte o toda la entrega de productos o servicios es hecha
por terceros, la responsabilidad de su continuidad es asumida por la organización. Las partes
interesadas esperan que la organización haya tomado una decisión bien informada acerca de sus
socios y que haya tomado las medidas adecuadas para asegurar la entrega. Los requerimientos
legales y reglamentarios a menudo enfatizan en que la responsabilidad final de los servicios
externalizados recae en la organización.
Aunque todas las organizaciones subcontratan algunas de sus operaciones (por ejemplo, el
suministro de servicios públicos), es fundamental lograr un equilibrio razonable entre la necesidad
de reducir costos y la necesidad de que estos ahorros no sean eliminados por una alteración,
especialmente en el contexto de un daño a la reputación a largo plazo.
Proceso
Los procesos para revisar el programa de GCN de una empresa que ofrece servicios o productos
tercerizados son similares a los que se usan para revisar los procesos propios de la organización.
Es importante tener acceso a la información relevante para evaluar:
• Las licitaciones de empresas tercertizadoras prospectivas; y

• La actualización contínua de los contratos con las compañías de tercerización
existentes.
La confiabilidad de los contratos de tercerización se puede mejorar mediante:
• Precalificación de candidatos a empresas tercerizadoras

• Especificación de requisitos de documentación de la licitación y términos del contrato;
• Contrato para asegurar un determinado nivel de servicio realista que se pueda usar
durante
incidentes en cualquier organización; y
• Capacitación, concientización y ejercicios de las empresas subcontratistas.
40
La documentación para apoyar la externalización incluye:
• Parámetros obligatorios para la sección de empresas tercerizadoras;

• Cláusulas contractuales, incluido el derecho de la organización de auditar a la empresa
tercerizadora;
• Contrato del nivel de servicios.; y
• Documentación de los resultados de los ejercicios.
Resultados y Revisión
El resultado debe ser una prestación de servicios resiliente que pueda administrar las alteraciones
sin afectar gravemente la entrega de los productos y servicios al cliente.
La revisión de un socio potencial del programa de GCN debe ser una parte significativa de la
evaluación de las licitaciones cuando se adjudican o renuevan los contratos. Se recomienda realizar
una revisión anual del desempeño de la empresa tercerizadora comparado con los requerimientos.
41
GESTIÓN DE CONTINUIDAD DE LA CADENA DE SUMINISTRO

Introducción
Pese a que la continuidad de la cadena de suministro se superpone con la tercerización, aquí se
refiere al gran número de proveedores de bienes y servicios de los cuales depende la organización,
pero que no tienen el mismo alto perfil y escrutinio rigoroso que se llevaría a cabo antes de otorgar
un contrato importante de tercerización.
Estos suministros incluyen:
• Servicios públicos – energía, gas, petróleo, telecomunicaciones;

• Materias primas – para la fabricación;
• Suministros de oficina – papelería estándar y especial;
• Servicios – seguridad, transporte, mantenimiento.
Al igual que con la externalización, la responsabilidad de la Continuidad del Negocio recae en la
organización porque como partes interesadas esperan que el proveedor pase por un escrutinio
antes de que se adjudique el contrato. El impacto de una alteración a un proveedor por consiguiente
puede causar daños tanto financieros como de reputación a la organización. Una alteración del
suministro a menudo se origina por debajo del nivel del proveedor inmediato de primera línea lo
que proporciona un requisito para asegurar que cada proveedor de la organización también ha
considerado la continuidad de la cadena de suministro en su propio programa de GCN.
Las organizaciones deben tener presente las consecuencias de una falla en la cadena de suministro
dentro de su propio programa de GCN, y pueden mencionarlas en la política de CN.
Las dependencias de actividades en los suministros deben ser identificadas durante el proceso de
BIA. Aquellos suministros comúnmente usados en muchas actividades, tales como la energía y las
telecomunicaciones, son generalmente abordados a un nivel táctico mientras que muchos otros
suministros se gestionan a un nivel de actividad por el departamento responsable.
Los profesionales de cadenas de suministro se han concentrado tradicionalmente en los aspectos

financieros del suministro, tales como el nivel de gasto con un proveedor en particular. CN tiende a
centrarse en el cronograma de los impactos causados por una interrupción ya que hasta un
proveedor pequeño (en términos financieros) puede tener un efecto rápido y desproporcionado en
todas las operaciones.
Proceso
• Identificar a los proveedores de cada actividad (excepto aquellos comunes a todas/la
mayor parte de las actividades);
• Hacer coincidir a aquellos con el tiempo de recuperación requerido para una actividad
correspondiente;
• Seleccionar una estrategia adecuada que permita la recuperación dentro de este plazo; y
42
• Examinar el PCN de los proveedores para los suministros más urgentes o aquellos con un
tiempo de entrega mayor.
El conjunto de prioridades de los proveedores y cadenas de suministro pueden tomar en
consideración lo siguiente:
• El impacto financiero en el tiempo por la interrupción del suministro;

• El impacto sobre la reputación en el tiempo por la interrupción del suministro; y
El incumplimiento de las regulaciones causado por la interrupción.
Las estrategias de mitigación disponibles incluyen:
• Doble o múltiple abastecimiento (garantizando al menos que los proveedores de

segundo nivel son diferentes);
• Evaluación del programa de GCN del proveedor;
• Sanciones contractuales (aunque pueden ineficaces);
• Almacenamiento;
• Uso de suministros substitutos; e
• Identificación y autorización de proveedores alternativos.
Las estrategias seleccionadas para proteger la cadena de suministro pueden depender de:
• Disponibilidad de proveedores alternativos;

• Tiempo de entrega del proveedor alternativo;
• Ubicación de los proveedores;
• Naturaleza del producto/ servicio suministrado;
• Interdependencias con otros proveedores; y
• Costos de las estrategias alternativas.
Para evaluar el programa de GCN de un proveedor se debe obtener lo siguiente de él:
• Procedimientos para monitorear su propio programa de GCN;

• Resultados adecuados de acuerdo con las necesidades del cliente (usted) y no del
proveedor (ellos);
• Información de cómo deben cumplirse los objetivos, las metas y la política de CN;
• Información de cómo han definido sus prioridades entre los productos y servicios, y
otros clientes;
• Evidencia del cumplimiento de acuerdo con una norma reconocida; y
• Evidencia histórica de problemas o éxitos en el manejo de incidentes.
Para tener una mayor confianza en un proveedor, se podría realizar lo siguiente:
• Participación directa con pruebas y ejercicios;
43
• Reuniones administrativas conjuntas para analizar los problemas y preocupaciones;
• Evaluaciones formales de desempeño;
• Contrato de servicios flexible luego de que ocurran desastres a gran escala; y
• Acceso legal a los registros e informes sobre incidentes previos.
La gestión de la cadena de suministro debe proporcionar una cadena que pueda manejar cualquier
alteración de los suministros sin causar alteraciones en la entrega de los productos y servicios de la
organización.
Los contratos de gestión de la cadena de suministro deben ser revisados cuando se presentan
grandes cambios en la organización, en la licitación, en los aspectos contractuales y en las etapas de
renovación de los contratos prioritarios.
44
GESTIÓN DE LA DOCUMENTACIÓN
Introducción
Una parte importante del Programa de GCN es la gestión o administración de la documentación. La
documentación debe ser consistente, fácil de entender y de uso práctico. El nivel y tipo de
documentación deben ir de la mano con el tipo y el tamaño de la organización.
Aunque la documentación del Programa de GCN siempre es importante, cobra una mayor relevancia
para las organizaciones que desean ser certificadas con las normas BMCS promulgadas por varias
autoridades nacionales o internacionales.
Las organizaciones que ya han sido certificadas con sistemas de gestión ISO bien establecidos
deberán revisar qué tan bien se ajustan sus documentos a los requerimientos de esas normas.
Las organizaciones que pretenden ser certificadas según GCNS deberán revisar la forma como su
documentación interna se ajusta a los requerimientos de la norma elegida.
Los documentos del programa de GCN tienen tres objetivos:
• Facilitar una respuesta oportuna y efectiva a un incidente;
• Ayudar a administrar el programa de GCN efectivamente, y
• Demostrar la efectividad del programa (por ejemplo, durante una auditoría).
Aunque es importante mantener la documentación del programa de GCN, su presencia por sí sola no
prueba la capacidad para responder a un incidente.
El personal debe ser capacitado adecuadamente para operar cualquier software patentado u otras
herramientas de documentación usadas en el programa. Los responsables de mantener los planes
deben ser capaces de actualizar sus documentos para promover su propiedad y reduce los gastos
generales de oficina de la administración central.
Las herramientas de documentación del programa de GCN incluyen el procesamiento de palabras,
hojas de cálculo, herramientas para crear gráficas de flujos, software de gestión de proyectos y
bases de datos, o el uso de software especializado patentado. También se puede usar para asegurar
que las diferentes áreas de la organización tengan copias actualizadas de los documentos
disponibles. El software especializado puede ofrecer algunas ventajas, tales como ayudar al
mantenimiento del programa de GCN, pero puede representar costos adicionales y constantes de
licencia, mantenimiento y capacitación.
Se debe establecer un sistema de control de documentos para manejar y facilitar:
• Capacidad de uso y acceso;

• Aprobación;
45
• Actualización y revisión;
• Control de versión;
• Control de distribución; y
• El archivo o destrucción de documentos obsoletos.
La documentación actualizada del programa de GCN puede incluir:
• Política de CN;
• Funciones, responsabilidades, autoridades y recursos;
• Definiciones de los proyectos afines a CN;
• Informes sobre avances de los proyectos afines a CN;
• Registros de capacitación y competencias;
• Resultados de los BIA;
• Evaluaciones de amenazas;
• Documentos físicos que soportan las estrategias adoptadas elegidas;
• Estructura de respuesta a incidentes;
• Planes de gestión de incidentes;
• Planes a nivel estratégico, táctico y operativo;
• Programa de ejercicios;
• Informes de ejercicios;
• Programa de concientización y capacitación;
• Contratos de servicio suscritos con clientes y proveedores;
• Contratos de servicios de recuperación de terceros, tales como condiciones de entorno y
salvamento; y
• Programa de mantenimiento y revisión (Auditoría), informes y acciones correctivas.
El ciclo de revisión de cada documento debe ser identificado en las secciones donde aparece su
fecha de creación y uso.
La documentación y los controles deben ser revisados mediante una auditoria interna o externa de
acuerdo con el cronograma que se defina como parte del programa de auditoría.
46
CONSIDERACIONES PRÁCTICAS PARA LA IMPLEMENTACIÓN

Introducción
La gestión de la política y el programa, por su misma definición, se encarga de los problemas
estratégicos y tácticos para implementar la Continuidad del Negocio. Las actividades operativas que
se deben llevar a cabo para implementar la CN se identificarán mediante la gestión del proyecto en
su fase inicial y después mediante la gestión del programa de GCN, los cuales son detallados en
otras secciones del GPG. Sin embargo, antes de llevar a cabo estas actividades, existen algunos
problemas operativos que se deben abordar.
Cada organización debe decidir acerca de la forma como pretende realizar las actividades requeridas
para implementar CN. Estas pueden variar entre un conjunto de guías básicas y una metodología
formal, dependiendo de las normas identificadas en la política de CN.
Método y técnicas
La implementación del programa de GCN puede requerir lo siguiente:
• Registrar los datos captados;

• Elaborar la documentación;
• Gestionar la documentación;
• Elaborar informes; y
• Gestionar el trabajo.
• Las herramientas para apoyar la implementación del programa de GCN pueden incluir:
• Office (software para procesamiento de palabras, hojas de cálculo y bases de datos
sencillas);
• Soluciones de software a la medida
• Software de CN comercialmente disponible;
• Sistemas de gestión de documentos;
• Software para realizar llamadas automáticas; y
• Software de gestión de incidentes.
47
PRÁCTICAS PROFESIONALES DEL BCI
PP2 - INCORPORACIÓN DE LA CONTINUIDAD DEL NEGOCIO
48
- PP2 INCORPORACIÓN DE LA CONTINUIDAD DEL NEGOCIO
GENERALIDADES
La Incorporación de la Continuidad del Negocio es una de las actividades que surge de la etapa de
gestión de la Política y Programa del ciclo de vida del GCN. Esta Práctica Profesional constantemente
busca incorporar la Continuidad del Negocio a las actividades cotidianas y a la cultura
organizacional. Se debe tener presente que esta actividad no es exclusiva de CN ya que hay otras
disciplinas que se deben incorporar a la organización de una manera similar. Disciplinas tales como
la Calidad, Salud y Seguridad, Servicios Ambientales, Seguridad y Gestión de Riesgos tienen retos
similares, de manera que la oportunidad de compartir experiencias y oportunidades de aprendizaje
a lo largo de varias disciplinas afines cobra importancia.
La visión de la cultura organizacional a menudo se expresa como una combinación de supuestos,
creencias, valores y patrones de comportamiento que comparten los miembros de una organización.
Con frecuencia no se entienden independientemente, pero al unirlos, crean el modo como una
organización se ve a sí misma, su posición en el mercado y el ambiente en el cual opera.
La medición de estas actitudes subyacentes no es sencilla ya que es supremamente difícil

observarlas con un grado de precisión Sin embargo, se puede decir que “la manera como se hacen
las cosas aquí” es una idea que predomina en las organizaciones formales e informales.
49
CULTURA ORGANIZACIONAL
Introducción
Incorporar la Continuidad del Negocio exitosamente depende del modo como ésta se integra a la
gestión estratégica y cotidiana de la organización y de cómo se alinea con las prioridades del negocio
y la cultura organizacional.
La implementación exitosa de un programa de GCN sostenible y la efectividad de la respuesta a un
incidente pueden depender de un cambio en la cultura de la organización. Pese a que las actitudes
son aparentemente fáciles de cambiar, las personas bajo presión pueden recurrir a
comportamientos basados en sus creencias, aún si entran en conflicto con las actitudes que la
organización les ha enseñado. Estos comportamientos modelan actitudes y se convierten a su vez en
creencias con el paso del tiempo.
Para obtener el máximo beneficio del programa de GCN se debe asegurar que la Continuidad del
Negocio sea vista como una parte integral de la manera como se hacen las cosas normalmente y no
como una actividad independiente. Asimismo, es importante asegurar que los individuos acepten la
CN como parte de sus responsabilidades y no simplemente como algo hecho solo por los
profesionales de la CN.
Proceso
Al desarrollar una cultura de concientización de la CN se deben abordar los siguientes factores:
• Actitudes como “esto nunca sucederá aquí” o “podemos afrontarlo” son barreras para
incorporar la CN;
• El deseo de los individuos de llevar a cabo tareas relacionadas con la CN, tales como
planes de mantenimiento, además de sus funciones normales;
• La evaluación de actividades afines a la CN hecha por las partes interesadas, incluso los
clientes;
• La inclusión de conceptos relacionados con la CN en la planeación y toma de decisiones;
• El comportamiento del personal y la gerencia durante un incidente; y
• El deseo del personal de asumir responsabilidades para mitigar los riesgos y responder a
los incidentes.
Transmitir el conocimiento de la Continuidad del Negocio es una tarea sencilla siempre y cuando se
comunique efectivamente y muestre beneficios para el negocio o, mejor aún, para el individuo. Sin
embargo, el conocimiento no siempre es suficiente para convencer a los individuos del valor de la
CN ya que se requiere un enfoque más intenso para influenciar sus actitudes y comportamientos.
Por ejemplo, un ejercicio de Continuidad del Negocio puede cambiar las actitudes de los individuos
de tal manera que las creencias del grupo cambian. La manera más eficaz de cambiar actitudes y
comportamientos es observar las consecuencias de la acción (o ausencia de esta), convirtiéndola en
algo relevante para los objetivos a corto plazo de una persona.
50
Las iniciativas para cambiar comportamientos generalmente no logran atraer compromisos
duraderos a menos que también logren involucrar las actitudes y comportamientos. Sin embargo,
existe un límite hasta dónde una iniciativa puede influir y modificar la cultura de una organización, la
cual será principalmente determinada por la Alta Gerencia. Muchas organizaciones tienen aspectos
tácticos y operativos de la CN implementados, pero no necesariamente incorporados en su marco de
trabajo cultural. En esos casos, es importante concentrarse en el modo como el personal y la
gerencia ven la Continuidad del Negocio para tratar de encontrar mejores formas de canalizar su
crecimiento e importancia.
El profesional de la Continuidad del Negocio dispone de un buen número de métodos para
desarrollar una conciencia cultural de la CN dentro de una organización. Estos son:
• Apoyar y animar a la Alta Gerencia;

• Incorporar el programa de GCN a la operación cotidiana de la organización; y
• Desarrollar competencias mediante capacitación, educación y concientización.
Los siguientes elementos deben ser parte del programa de GCN ya que el nivel de competencia y
concientización de la organización cambia a medida que:
• Las responsabilidades de cada gerente cambian;

• Los procesos del negocio se modifican;
• Se presentan cambios de empleados; y
• Se presentan eventos externos e internos inesperados.
Los factores de éxito para el desarrollo de las actitudes y los comportamientos requeridos son:
• Un liderazgo manifiesto y constante de la Alta Gerencia. Esto debe incluir un

presupuesto adecuado que apoye al programa de GCN. También es importante un
mayor compromiso de los mandos medios y del personal operativo que debe
implementar el programa de GCN;
• Consultar a todas las personas involucradas en el desarrollo del programa de GCN y
servir de foco para el esfuerzo de concientización. La consulta en si misma ayuda a
mejorar la toma de conciencia y puede ayudar a preparar el camino para
comprometerse con las nuevas prácticas laborales; y
• Concentrarse en las prioridades de la organización abordando los problemas y
preocupaciones corporativas o individuales.
Para que un programa de GCN tenga éxito el liderazgo de la Alta Gerencia es esencial, lo cual se
puede demostrar:
• Asegurando que el programa de GCN coincide con la dirección estratégica y los objetivos
de la organización;
51
• Dirigiendo la integración de CN en los procesos del negocio;
• Asignando los recursos requeridos para desarrollar y mantener el programa de GCN;
• Manteniendo una supervisión periódica de la efectividad del programa de GCN; y
• Comunicando la importancia de CN al personal y a otras partes interesadas.
• La evidencia de este liderazgo deberá recaer en:
• Política de CN – suscrita por un miembro de la Alta Gerencia;
• Análisis estratégico del Impacto de Negocio (BIA por sus siglas en Inglés) – acordado por
la Alta Gerencia;
• Convenio de funciones, responsabilidades y competencias para el programa de GCN;
• Nombramientos del personal idóneo para esas funciones, y aceptación de un programa
de capacitación para desarrollar y mantener esas competencias;
• Participación activa de la Alta Gerencia en las actividades del programa de GCN, tales
como revisiones, capacitaciones y ejercicios; e
• Informes de auditorías y revisiones del programa de GCN.
• El profesional de CN debe reconocer que, sin ayuda, la Alta Gerencia puede carecer del
tiempo o los conocimientos necesarios para llevar a cabo esta función de liderazgo. En
consecuencia, debe brindarle su apoyo:
• Preparando materiales e informes para la Alta Gerencia;
• Redactando documentos clave, tales como la política de CN, la BIA estratégica, y
comunicaciones relevantes para la aprobación de la Alta Gerencia;
• Coordinando actividades del programa en torno a la disponibilidad de la Alta Gerencia; y
• Desarrollando especificaciones de competencias y recomendando al personal idóneo.
Diferentes organizaciones tienen diferentes niveles de resiliencia bien sea porque así lo eligen o a
veces por la naturaleza misma de su modelo de negocios. Las investigaciones han demostrado que
las organizaciones objetivamente conocidas como “organizaciones de alta confiabilidad”
generalmente comparten las siguientes características:
• Preocupación por evitar fallas;

• Gran sensibilidad hacia las actividades operativas;
• Compromiso generalizado hacia la resiliencia en todas las áreas; y
• Respeto por la experiencia en vez de la autoridad impuesta.
Los profesionales de CN deben intentar animar a las organizaciones a centrarse en estas

características. Si ya están incorporadas, la CN se convierte en “la manera como se hacen las cosas
aquí”. Para las organizaciones menos maduras en su compromiso con la resiliencia hay formas
efectivas de integrar la CN con otras actividades normales de oficina. Por ejemplo:
• Incorporar la CN en la agenda de la Alta Gerencia cuando se finaliza el plan estratégico

de la organización con el fin de asegurar que la revisión del BIA estratégico se lleve a
cabo al mismo tiempo;
• Incorporar la CN como un tema permanente en la agenda de las reuniones de gerencia;
• Incorporar los planes de CN en los procedimientos de operación estándar;
52
• Incluir sesiones de concientización de CN en las capacitaciones del personal o procesos
de inducción;
• Programar los ejercicios de CN para que coincidan con las paradas programadas o
períodos de baja operación; y
• Asegurar que los nuevos productos o servicios no sean lanzados sin tener presente la CN
como parte del proceso de aprobación.
Para poder integrar la CN en otras actividades normales del negocios, el profesional de Continuidad
del Negocio debe tener:
• Experiencia y conocimiento de los procedimientos empresariales y documentación del

negocio; e
• Influencia en la organización para garantizar que las acciones requeridas sean realizadas.
Los resultados de un proceso de incorporación son difíciles de medir pero, no obstante, sus objetivos
son importantes de lograr. Estos podrían medirse en términos de:
• Mayor liderazgo, gestión o desempeño del programa de GCN;

• Mayor confianza de las partes interesadas, especialmente el personal y los clientes, en la
capacidad de la organización para manejar alteraciones efectivamente;
• Mejoramiento de la resiliencia organizacional;
• Reducción en el impacto y la probabilidad de alteraciones (corrientes o potenciales); y
• Mayor eficiencia de los procesos del negocio.
53
DESTREZAS Y COMPETENCIAS GENERALIDADES

Introducción
Es fundamental que todos los individuos relacionados con la CN, a cualquier nivel, sean competentes
en sus actividades. La competencia se logra entendiendo primero las destrezas requeridas para
desempeñar sus funciones y luego, brindando las oportunidades necesarias para que los individuos
obtengan esas destreza. Estas se proporcionan mediante:
• Capacitación;
• Conocimiento; y
• Experiencia.
Todo el personal debe conocer el programa de GCN y el papel que cada uno juega dentro del mismo.
Las personas elegidas para realizar funciones específicas dentro del programa de GCN deben ser
suficientemente competentes y tener las destrezas adecuadas para llevar a cabo las tareas
asignadas.
Quizás sea necesario medir la competencia de algunas de las funciones mediante una certificación
que reconozca las destrezas requeridas. Asimismo, podría ser adecuado incluir la evaluación de estas
destrezas en la evaluación anual del individuo, con el fin de incluirlas dentro de las recompensas
salariales o la estructura de incentivos.
Se debe brindar una capacitación general y una concientización en temas afines a la CN para que
puedan:
• Reconocer un incidente;
• Alertar a los equipos de emergencia cuando corresponda;
• Recurrir al equipo de gestión de incidentes;
• Responder adecuadamente a amenazas específicas;
• Responder adecuadamente al evacuar el sitio;
• Comprender los planes relevantes y su papel en ellos; y
• Obtener más información acerca del programa de GCN de las organizaciones.
En el manejo de un incidente existen habilidades adicionales que una organización puede necesitar
pero que no forman parte de las destrezas específicas de un profesional de CN. Estas destrezas
pueden incluir:
• Dirección y seguridad en las evacuaciones de emergencia;

• Bienestar y primeros auxilios;
• Gestión de crisis;
• Continuidad de servicio de tecnologías de información y comunicación (TIC) y
recuperación de desastres;
• Evaluación de daños, salvamento de activos y restauración de equipos; y
• Liderazgo de incidentes y toma de decisiones.
54
La evaluación de destrezas y competencias debe incluir a todos los contratistas que trabajan en las
instalaciones de la organización o que prestan servicios relacionados con incidentes. Se debe
considerar la medida en que la concientización del programa de GCN se debe compartir con los
proveedores, clientes, contratistas de la organización y otras partes interesadas, con el fin de
generar confianza y certidumbre.
Se pueden usar los siguientes métodos para desarrollar destrezas y competencias:
• Expandir el conocimiento mediante una campaña de concientización que apoye el logro

del nivel de competencia requerido; y
• Desarrollar un programa de capacitación con el fin de asegurar que los individuos
pueden alcanzar y mantener el nivel de competencia requerido.
• Un programa de capacitación puede incluir:
• Capacitaciones en aulas de clase dirigidas por instructores – internas o externas;
• Capacitación en línea;
• Presentaciones en reuniones de equipos o para la Alta Gerencia;
• Incluir el contenido de Continuidad del Negocio en eventos de capacitación internos; y
• Ejercicios de CN.
Antes de iniciar un programa de capacitación, se puede justificar un análisis de necesidades de

capacitación. Esto comprende tres tareas principales:
• Establecer el nivel de conciencia o competencia actual;

• Especificar el nivel deseado de conciencia o competencia, y cómo medirlo;
• Identificar la naturaleza y alcance de la “brecha” que va a cerrar el programa de
capacitación.
Una campaña de concientización puede incluir:
• Distribución de boletines electrónicos, afiches, boletines de prensa, sitios web dedicados

y otras comunicaciones;
• Participación en talleres, seminarios, presentaciones, conferencias transmitidas por Web
(webinars) y ejercicios;
• Asistencia a eventos externos, tales como conferencias, foros de BCI locales o eventos
locales afines a CN;
• Participación en actividades de la BCAW (semana de concientización de la Continuidad
del Negocio del BCI); y
• Participación en ejercicios de CN.
Cada actividad debe ser adecuadamente preparada y requiere una evaluación de entrega y
seguimiento. Se debe prestar especial atención a despertar el interés de los participantes mediante
el uso del medio apropiado.
Cada una de estas actividades necesita recursos tales como:
55
• Planeación y preparación;
• Personal;
• Alojamiento;
• Equipo; y
• Gastos.
Estos recursos deben considerarse y los conflictos de disponibilidad deben ser resueltos. Se debe
garantizar igualmente que los recursos no se excedan.
Proceso
El diseño y entrega de un programa de capacitación o campaña de concientización comprende
cuatro actividades principales:
Diseño
• Identificar al público;
• Identificar y priorizar los temas que se van a tratar y definir los criterios de éxito; y
• Seleccionar los métodos de entrega más adecuados.
Planeación
• Discutir y convenir la actividad propuesta al nivel de gerencia apropiado;
• Poner a prueba los elementos clave del programa de capacitación y la campaña de

concientización con una selección del personal; y
• Programar eventos con el personal y los recursos disponibles.
Entrega
• Realizar las actividades de acuerdo con un calendario previamente acordado.
Seguimiento
• Medir la efectividad del programa de capacitación y la campaña de concientización en relación con

los criterios de éxito acordados al finalizar la actividad. La efectividad deberá ser cuantificada, si es
del caso;
• Evaluar periódicamente los niveles de conciencia y competencia; y
• Rediseñar el material cuando sea necesario para un mejoramiento continuo.
Los eventos internos y externos también pueden conducir a un incremento de la conciencia y

conocimiento de la Continuidad del Negocio. Debido a que las personas pueden olvidar estos
eventos con rapidez, el profesional de GCN debe estar preparado para aprovechar y desarrollar estas
oportunidades cuando se presentan.
56
GESTIÓN DE UN PROGRAMA DE CAPACITACIÓN

Para cada función del programa de GCN se deben identificar las destrezas necesarias y los niveles de
competencia deseados. Luego, el individuo nombrado se puede evaluar según su nivel de
competencia actual de acuerdo con su función, identificando las necesidades de capacitación
necesarias. Esto puede incluir:
• No se requiere capacitación (la persona es idónea para la función al nivel de

competencia deseado);
• Se necesita algo de capacitación;
• Se requiere una capacitación extensa;
• Se requiere contratar a una persona experimentada; o
• La destreza puede ser suministrada por un tercero (contratista).
En consecuencia, la capacitación se puede organizar para cada individuo o equipo. Esto incluye:
• Capacitación interna;
• Autoestudio;
• Capacitación externa;
• Tutoría;
• Conferencias y seminarios;
• Cursos académicos de estudio; y
• Evaluación de competencias (posterior a la capacitación).
La competencia posterior a la capacitación se puede evaluar mediante:
• Exámenes orales o escritos;

• Autoevaluación;
• Observación de los individuos o equipos;
• Evaluación durante el adiestramiento continuo o tutoría;
• Participación en ejercicios diseñados para evaluar la competencia;
• Adiestramiento y retos de grupo; y
• Reconocimiento de las cualificaciones profesionales.
Los registros de competencia pueden incluir:
• Registros de las capacitaciones del personal – asistencia a cursos, seminarios y

conferencias;
• Educación y cualificaciones académicas;
• Experiencia previa relevante;
• Competencia o destrezas demostradas durante la entrevista;
• Cualificaciones profesionales; y
• Evaluaciones del personal.
Es posible que el programa de capacitación deba tener en cuenta:
57
• Cambios en los procesos del negocio que afectan las prioridades organizacionales o la
operación;
• Legislación o reglamentos que afectan al programa de GCN;
• Cambios de amenazas y vulnerabilidades percibidas; y
• Requerimientos corporativos y del cliente/socio en cuanto a información y servicios
disponibles, incluido el cumplimiento de normas pertinentes.
58
GESTIÓN DE UNA CAMPAÑA DE CONCIENTIZACIÓN

Antes de emprender una campaña de concientización es importante determinar el nivel de la
conciencia de la Continuidad del Negocio. El objetivo es descubrir las brechas de conciencia
existentes y el compromiso de la CN con toda la organización. Las fuentes de información pueden
incluir:
• Documentación: incluye políticas y procedimientos corporativos, informes de incidentes,

y recuentos de ejercicios previos de CN;
• Retroalimentación del personal: incluye entrevistas con la Alta Gerencia, equipos
administrativos y grupos focales del personal a todos los niveles;
• Observación: incluye revisiones en el sitio de trabajo, prácticas laborales corrientes (por
ejemplo, comparadas con la política corporativa); e
• Informes de auditoría interna y externa, e informes relacionados con cualquier
incumplimiento notificado durante un proceso de certificación.
Especificar el nivel de conciencia deseado se relaciona con las actitudes y comportamientos

alcanzados por toda la organización. La especificación dependerá de la naturaleza, escala y
complejidad del negocio, y puede incluir lo siguiente:
• Destrezas específicas requeridas para responder a incidentes;

• Mejores prácticas laborales que incrementan la resiliencia organizacional apoyando el
programa de GCN;
• Una mayor comprensión y apoyo del programa GCN por parte de todo el personal; y
• Un perfil más alto de la Continuidad del Negocio en la toma de decisiones empresariales,
políticas y cultura corporativa.
Los recursos de información para las campañas de concientización pueden incluir:
• Portales, blogs y grupos de medios sociales afines a la CN;

• Libros, revistas especializadas, periódicos y otras publicaciones de la industria;
• Conferencias, talleres, conferencias transmitidas por la Web (webinars) y seminarios;
• Foros y grupos de trabajo regionales;
• Grupos de trabajo del sector de la industria.
El contenido de las comunicaciones del personal con el fin de crear conciencia de la CN debe ser
preparado cuidadosamente usar los canales adecuados. Es probable que las personas ya sean el
blanco de muchas campañas de concientización en otras disciplinas y fácilmente se sientan
abrumadas con tanta información. Se recomienda la coordinación y cooperación con otros
departamentos. Una presentación conjunta dirigida al personal sobre Seguridad, CN y Salud
Ocupacional y Protección Industrial puede ser más efectiva que varios eventos independientes.
La comunicación debe ser breve y relevante, pero debe brindar la oportunidad de ofrecer más
información a aquellos que demuestran un mayor interés en el tema. Los temas apropiados para esa
comunicación pueden ser:
• Un ejercicio reciente – que describa el escenario y las lecciones aprendidas;
59
• Una visita a instalaciones alternas – que podría incluir una foto y los comentarios de un
participante;
• Comentarios sobre un incidente reciente que afectó a la organización; y
• Pequeños incidentes de la vida real con una moraleja relacionada con la CN.
El propósito de gestionar una campaña de concientización exitosa es incrementar el nivel de
conocimiento de toda la organización. De esta forma la CN se convierte en parte de la cultura y “la
forma de hacer las cosas aquí”, lo cual incrementa la capacidad de las organizaciones de prever
amenazas y responder a ellas de manera adecuada en el momento oportuno, mejorando así los
niveles de resiliencia.
La revisión y evaluación deben abordar el nivel de conciencia deseado y acordado desde el principio.
60
– PP3 ANÁLISIS
61
PRÁCTICAS TÉCNICAS DE LA CONTINUIDAD DEL NEGOCIO
– PP3 ANÁLISIS
GENERALIDADES
Análisis es la Práctica Profesional del ciclo de vida del GCN que revisa y evalúa a una organización en
cuanto a sus objetivos, funcionamiento, y las restricciones ambientales de su operación. La
información que se reúne permite determinar cómo preparar mejor a una organización para
manejar las alteraciones que podrían afectarla grave o fatalmente.
La técnica más usada para analizar una organización en términos de la Continuidad del Negocio (CN)
es el Análisis de Impacto de Negocio, o BIA.
Sin embargo, el BIA no comprende una sola actividad o fase. Inicialmente puede ayudar a aclarar el
alcance del programa de GCN y luego se convierte en parte de las actividades para confirmar las
prioridades del negocio y los recursos requeridos para la continuidad y recuperación. A nivel
estratégico, puede formular preguntas a la Alta Gerencia afines a la misión de la organización, sus
metas, objetivos y prioridades. Asimismo, se puede usar a nivel táctico y operativo para examinar de
cerca e identificar la información más detallada.
Tradicionalmente, el análisis de los recursos necesarios para la continuidad y recuperación ha sido

considerado por el BIA como una actividad independiente pero la realidad es que el análisis casi
siempre se hace como parte del nivel operativo del BIA. Esta Guía brinda un análisis de los recursos a
lo largo de todo el marco de trabajo del BIA. Esto abarca un cálculo de los recursos, instalaciones y
servicios externos que requiere cada actividad para reanudar y retornar a las operaciones normales.
Otro método usado para analizar una organización se denomina “evaluación de amenazas”, el cual
se usa para calcular la probabilidad y el impacto potencial en actividades específicas provenientes de
amenazas conocidas. La evaluación de amenazas es parte de los métodos más amplios usados por
las organizaciones para evaluar los riesgos. Las medidas se pueden identificar para reducir la
probabilidad de que ocurra un incidente o el impacto de éste por dichas amenazas específicas. En el
programa de GCN, esta etapa se debe centrar en las amenazas inherentes a las actividades del
negocio identificadas como las más urgentes en el BIA en vez de todas las amenazas contra la
organización.
La asignación del tiempo y el presupuesto entre la disposición de las instalaciones por recuperar y las
medidas para mitigar las amenazas específicas deben ser determinados con base en la experiencia
ya que no existen fórmulas o reglas para guiar esta decisión. Este tema se aborda en la etapa de
Diseño.
Una comprensión integral de la organización mediante estas técnicas a menudo puede resaltar las
ineficiencias del negocio y las opciones de mejoramiento que de lo contrario no son aparentes para
la Alta Gerencia.
62
ANÁLISIS DE IMPACTO DE NEGOCIO

Introducción
El análisis de impacto de negocio (BIA) es la base del programa de GCN. El BIA identifica, cuantifica y
cualifica los impactos, en el tiempo, de un siniestro, interrupción o alteración de las actividades de
una organización, y ofrece datos para determinar las estrategias de continuidad apropiadas. El BIA
identifica la urgencia de cada actividad llevada a cabo por la organización evaluando el impacto de
una interrupción de esta actividad en el tiempo teniendo presente la entrega de productos y
servicios.
Los diferentes tipos de BIA son descritos a continuación:
• BIA inicial: para desarrollar un marco de trabajo con el fin de analizar y aclarar aún más
el alcance del programa de GCN;
• BIA estratégico: para dar prioridad a los productos y servicios de las organizaciones, y
entender los tiempos de recuperación y niveles de tolerancia a alteraciones de las
organizaciones;
• BIA táctico: para determinar las actividades de los productos y servicios más urgente, y
evaluar el impacto si alguno se altera;
• BIA operativo: para determinar los recursos que se requieren para la continuidad y
recuperación de las actividades más urgentes.
Una organización pequeña o sencilla puede combinar el BIA táctico y operativo, decidiendo en forma
alterna si sus procesos se asemejan lo suficiente para fusionar el BIA estratégico y táctico.
El BIA observa los productos y servicios que una organización entrega, y las actividades y
dependencias que sustentan esas entregas. El propósito de un BIA para cada producto o servicio es:
• Documentar los impactos, en el tiempo, que resultarían de un siniestro o alteración;

• Identificar el máximo período tolerable de una alteración o apagón (corte);
• Determinar las prioridades para una recuperación; e
• Identificar las dependencias y recursos (internos y externos) requeridos para lograr los
niveles de servicio acordados.
La norma ISO 22301 describe el período de alteración mencionado arriba como ‘el tiempo en el cual
los impactos de no reanudar la actividad son inaceptables.’ Estos dos términos se usan comúnmente
para describir este período:
• Máximo apagón (corte) aceptable (MAO), o

• Máximo período de alteración tolerable (MPTI), definidos como el tiempo que tomarían
los impactos adversos - que podrían surgir como resultado de no brindar un
producto/servicio o de no realizar una actividad – en algo inaceptable.
63
En el presente GPG, se usa el término ‘máximo período de alteración tolerable’ (MPTI, por sus siglas
en inglés). Proceso
No existe una metodología ‘única’ para la recolección de datos del BIA. Los métodos varían de un
sector industrial a otro al igual que de un profesional de la CN a otro. Cada industria tiene sus
necesidades específicas en cuanto a contenido, tipo de información, profundidad y cubrimiento.
Al preparar un BIA, se debe tener presente lo siguiente también:
• Al comenzar el BIA inicial, quizás no existe un alcance plenamente acordado. Los

supuestos acerca del alcance quizás deben ser modificados por lo hallazgos en el BIA
inicial;
• Determinar los impactos en el tiempo le demuestra a la Alta Gerencia lo rápido que se
debe recuperar la organización;
• Existe la necesidad de usar una metodología y marco de trabajo del BIA consistente a lo
largo de la organización;
• La metodología usada debe ser suficientemente robusta para asegurar que los datos se
recolectan de manera consistente e imparcial. Esto garantiza que los individuos no sobre
o sub enfatizan la urgencia de sus actividades;
• Solo se pueden recolectar y usar datos pertinentes y relevantes en el análisis;
• Los impactos no se pueden determinar con precisión; y
• Cuando se prepara un BIA por primera vez en una organización, es posible que la
estructura del análisis no sea clara y por lo tanto, se convierte en una parte significativa
del proceso. Sin embargo, una vez se termina el BIA inicial, la organización puede
adoptar una aproximación estructurada para realizar revisiones posteriores.
El MPTI se puede alcanzar cuando, por ejemplo:
• Los clientes se retiran de sus contratos, y la organización no puede atraer clientes

nuevos;
• La reputación de la organización ha sido golpeado tan duro debido a un incumplimiento
de entrega, legal o reglamentario, que las partes interesadas ya no quieren seguir
asociadas a la organización;
• La organización está, o pronto estará, en bancarrota o tomada por los acreedores; y
• Existe una presión externa de las partes interesadas para realizar un gran cambio en el
liderazgo o estrategia de la organización.
Los factores principales para estimar el MPTI de una alteración de la entrega de un producto o
actividades son:
• Daño de reputación o pérdida de confianza de la parte interesada;

• Daño del valor financiero o viabilidad (a corto o largo plazo); y
• Incumplimiento de los objetivos de la organización.
El incumplimiento de entregas en diferentes sectores puede resultar en uno o más de los siguientes:
64
• Implicaciones de salud por el incumplimiento de un servicio: por ejemplo, infecciones
ocasionadas por no recoger desperdicios residenciales, lo cual también puede causar
una mala publicidad y sanciones financieras;
• Incumplimientos de deberes legales o requerimientos regulatorios: por ejemplo, multas
y daño de la reputación por no transar acciones dentro de los tiempos requeridos;
• Impactos financieros: por ejemplo, pérdida de ingresos de ventas, problemas de flujo de
aja debido a pagos en mora, y penalidades por incumplimientos contractuales;
• Daño ambiental: por ejemplo, fugas de químicos debido a retrasos de mantenimiento o
la incapacidad de una entidad de respuesta de movilizar las operaciones de limpieza, lo
cual resulta en mala publicidad y penalidades financieras;
• Retrasos de proyectos mayores, proyectos de investigación o el lanzamiento de un
producto nuevo: por ejemplo, demora de un proyecto de desarrollo y pérdida de
ingresos esperados; y
• Oportunidades para los competidores: por ejemplo, un departamento oficial que no
brinde un servicio y esa función luego es ofrecida a una empresa privada.
La estacionalidad y variabilidad pueden afectar el MPTI y dificultar su determinación. En estos casos,

el BIA se debe centrar en la interrupción de una actividad durante períodos vulnerables tales como
entregas pico, cumplimiento de regulaciones o recursos limitados para la organización. Ejemplos
incluyen:
• Al finalizar el año financiero, el MPTI de la actividad financiera es más corto que durante
el resto del año;
• Un contrato único con penalidades de tiempo significativas puede reducir el MPTI para
una gama de actividades dentro de la organización durante la duración del contrato; y
La organización puede experimentar demandas pico y tiempos de MPTD reducidos en o cerca de los
períodos de festividades.
La duración o el plazo de producción del proceso puede ser un factor significativo para estimar el
MPTI. Un proceso que toma un tiempo significativo puede requerir supuestos establecidos en el
MPTI, por ejemplo, en qué punto ocurre la alteración y cuánto del proceso se debe repetir. Por
ejemplo, un experimento de laboratorio puede tener que ser repetido del todo si se interrumpió, en
cambio un proceso de fabricación puede ser reanudado en varios puntos diferentes.
El MPTI también puede dificultar determinar si el resultado de la alteración es incierta. Por ejemplo:
• El resultado de la demora de una respuesta de un centro de control de emergencias

depende si se presentó algún accidente durante el tiempo de la alteración; y
• Una alteración del negocio es inevitablemente impredecible a medida que los precios de
la acción se pueden desplazar en el sentido opuesto a lo pronosticado durante la
interrupción. El MPTI solo necesita ser suficientemente preciso para establecer los
límites para el tiempo de recuperación requerido, lo cual se estima generalmente en
minutos, horas, días, semanas y meses.
65
El tiempo objetivo de recuperación (TOR) es el lapso de tiempo posterior a un incidente en el cual un

producto o una actividad se deben reanudar o los recursos se deben recuperar. (FUENTE: ISO
22301:2012) El TOR debe ser menos que el MPTI por una cantidad que tenga en cuenta el apetito
del riesgo organizacional. Lógicamente que el TOR se determina en la etapa de Diseño del ciclo de
vida del GCN ya que es una decisión (no un hallazgo), pero se puede realizar un estimativo inicial
durante el BIA que se puede confirmar en una etapa posterior una vez se tenga toda la información
disponible.
El objetivo mínimo de la continuidad del negocio (MBCO, por sus siglas en inglés) es un nivel mínimo
de los servicios y/o productos aceptable para la organización para cumplir sus objetivos durante una
alteración. (FUENTE: ISO 22301:2012) Este nivel puede ser menos de lo normal, igual a lo normal, o
mayor – quizás para eliminar un trabajo pendiente. E l MBCO se debe diseñar para lograrlo a una
hora específica luego de una alteración. Quizás sea adecuado fijar varios MBCO para diferentes
horas después de un incidente y para cada grupo de producto.
Las palabras “critica” y “clave” se usan a menudo para describir actividades, productos y personal.
Sin embargo, estas palabras se entienden a menudo por su uso común como algo “importante”, lo
cual puede conllevar a malos entendidos y exageraciones cuando se reúnen datos para el BIA. Es
más, puede resultar en el supuesto equivocado de que no se requieren tácticas y planes de
recuperación para las actividades “no críticas” o el personal “no clave”.
Al determinar el MPTI de cada actividad, es conveniente vincular las actividades con requerimientos
de recuperación similares. Las organizaciones a veces denominan estos grupos de acuerdo con el
cronograma de recuperación (por ejemplo, un día, dos días, una semana, etc.); otros usan el término
“crítica” (o “misión crítica”) para las actividades requeridas en los primeros días. Sería mejor usar
términos menos ambiguos que no son afines al tiempo, tales como “actividades de prioridad” (como
se usan en la norma ISO 22301), “sensible al tiempo” y” urgente. Asimismo, el tema del personal se
debe centrar en el plantel cuya ausencia provocaría impactos inaceptables con mayor rapidez, lo
cual puede diferir mucho de su cargo (importancia) en la jerarquía de la organización.
Es posible que parte de la información sea sensible al mercado/industria en algunas organizaciones y

que no sea visible para el profesional de la continuidad de negocio. Sin embargo, no tener esta
información no debe de detener realizar el BIA pero puede afectar la precisión de los resultados
finales y debe anotarse en las conclusiones.
66
El BIA inicial
Introducción
Cuando una organización comienza a preparar su primer BIA, a menudo falta claridad para
describirla y analizarla en cuanto a productos y servicios, procesos y actividades. Esto es porque las
organizaciones normalmente manejan os productos y servicios por similitudes funcionales y
describen sus operaciones por departamento.
El BIA inicial debe desarrollar un marco de trabajo para analizar el negocio y puede requerir la
combinación de las tareas estratégicas, tácticas y operaciones del BIA. El marco de trabajo también
se puede usar para aclarar el alcance del programa de CGN.
Debido a la naturaleza exploradora del BIA inicial, es posible que el alcance sea ajustado durante el
curso del ejercicio y que el cronograma para su terminación deba ser flexible.
Esto va de la mano con el concepto del mejoramiento continuado definido para un Sistema de
Gestión de Continuidad del Negocio (SGCN), una técnica que aumenta y refina continuamente los
resultados del BIA hasta que satisface el alcance de la organización.
El objetivo mínimo de un BIA inicial es identificar los grupos de productos y servicios, y los procesos y
actividades dentro de la estructura organizacional. Los MPTD se puede estimar con un análisis de
actividades y recursos, si el tiempo lo permite. Desde la perspectiva del progreso hecho con el
programa de GCN, entregar el BIA inicial oportunamente puede ser más importante que el detalle,
siempre y cuando brinde el valor del negocio a la organización.
Asimismo, se debe obtener el apoyo pleno de la Alta Gerencia antes de realizar un BIA inicial. Es
poco probable que los gerentes dediquen tiempo a este ejercicio sin este apoyo.
Existe una variedad de productos de software disponible para realizar los BIA que pueden ser útiles
pero no son esenciales. Los beneficios clave de usar una herramienta de software incluyen la
facilidad para recolectar resultados, almacenar información y reportar los resultados. Usarlos no
elimina la necesidad de hacer entrevistas o de involucrar individuos que conocen a fondo la
actividad que se está analizando.
Proceso
El proceso incluye:
• Decidir los términos de referencia y el alcance del borrador del BIA inicial;
• Entender el impacto potencial de los desarrollos futuros significativos dentro de la
organización o en el ambiente en el cual opera;
• Para fines de análisis, asignar los productos y servicios de la organización a grupos con
base en la urgencia de entrega, dividiendo todo por cliente y locación, si es del caso;
• Acordar los impactos que se deben considerar al igual que los criterios necesarios para
determinar el nivel de inaceptable;
67
• Documentar los impactos en el tiempo ante la falla de entregar estos grupos de
productos;
• Estimar un MPTI para cada grupo de productos convenirlo con el promotor del
proyecto;
• Identificar los procesos del negocio a lo largo de la organización que entregan los
productos (lo cuales pueden cruzar varios departamentos);
• Identificar a los propietarios de la administración de cada proceso y al personal idóneo,
tales como expertos en temas específicos, para que brinden información acerca de los
procesos del negocio;
• Identificar cómo y cuándo una alteración del proceso puede afectar la entrega de
productos y servicios;
Revisar los impactos específicos que quizás no sean plenamente tenidos en cuenta por la Alta
Gerencia, tales como:
• Trabajos pendientes y problemas de capacidad;

• La duración o tiempo de elaboración del proceso;
• Aquellas actividades no estándares o únicos que son difíciles de recuperar y que puede
retrasar inesperadamente las reanudación de los procesos; y
• Presentar a la Ata Gerencia los hallazgos para su revisión y aprobación.
Un proceso se describe como un conjunto de actividades interrelacionadas o interactivas que

transforman entradas en salidas (ISO 22301:2012). Este proceso de entrada a salida puede requerir
esfuerzos de un número de departamentos y es aquí donde se lleva a cabo el análisis táctico.
Ejemplos de un proceso pueden ser: fabricación (desde la entrega hasta la recepción de bienes);
administración de inversiones; o recolección de desperdicio.
A su vez, un proceso se puede dividir en un número de actividades para un análisis a nivel operativo.
Una actividad se define como un proceso o conjunto de procesos llevados a cabo por una
organización (o en nombre de ésta) que produce o apoya uno o más productos y servicios (ISO
22301:2012) Para facilitar la recolección de datos y el desarrollo posterior de los planes de
recuperación de actividades, es normal definir las actividades de un solo departamento en una
organización. Ejemplos son: llevar a cabo visitas a hogares; diligenciar facturas; y responder llamadas
en un call center. El nivel de detalle de estas actividades se define dependiendo de la complejidad de
su recuperación y si se pueden identificar los MPTI para cada uno; de lo contrario, las actividades
similares se pueden agrupar entre si.
Los productos y servicios se definen con “resultados benéficos que brinda una organización a sus
clientes, receptores y partes interesadas”. ISO 22301:2012).
Los métodos, herramientas y técnicas para realizar un BIA inicial incluyen:
• Talleres;
• Cuestionario(s) – en papel y/o software automatizado; y
68
• Entrevistas
Como una guía general:
• Los talleres pueden ofrecer resultados rápidos y la oportunidad de comprometerse de

lleno con el programa, siempre y cuando todos los departamentos y participantes se
comprometan consistentemente;
• Los cuestionarios brindan grandes cantidades de datos, pero la calidad de la información
puede ser cuestionable si no se diligencian consistentemente; y
• Las entrevistas pueden suministrar información muy buena pero consumen mucho
tiempo y el resultado puede variar en cuanto a formato y detalle.
La combinación de los métodos arriba mencionados puede brindar excelentes resultados y

suministrar un adecuado nivel de detalle además de un formato de informes estándar que crea
informes y análisis de información consistentes a lo largo de múltiples procesos.
Cada organización tiene su propio estilo para crear informes. Se debe establecer y convenir el
formato de informes preferido por la organización en el momento de fijar el alcance de la actividad,
ya que los requerimientos para el formato del informe final pueden afectar el modo como se
recolecta, analiza y presenta la información.
Los resultados de un BIA inicial son:
• Una estructura organizacional de los productos y servicios, procesos y actividades;

• Una lista de todos los procesos y actividades que contribuyen a la entrega de los
productos y servicios;
• El MPTI y su justificación para cada producto, proceso y actividad. Esto ayuda a
determinar las prioridades de la continuidad y las estrategias de recuperación;
• Principales dependencias de actividades – internas y externas; y
• Una lista de productos, servicios y procesos que han sido excluidos, junto con la
justificación de esa decisión.
Este entendimiento de la estructura de la organización permite realizar en el futuro los BIA a

diferentes niveles. Luego, se pueden incorporar en los ciclos de mantenimiento periódico de la
organización, lo cual es una validación más eficiente y efectiva que repetir todos el extenso BIA
descrito arriba. Un BIA inicial como el descrito arriba no se necesita completar más de una vez a
menos que la organización sufra un cambio sustancial o transcurran varios años desde que se hizo el
último BIA.
69
EL ANÁLISIS DE IMPACTO DE NEGOCIOS ESTRATÉGICO

Introducción
En una BIA estratégico, a los productos y servicios de las organizaciones se les da prioridades y los
tiempos de recuperación o Máximo Periodo Tolerable de Alteración (MPTD) con el fin de determinar
los niveles de tolerancia u Mínimo Objetivo de Continuidad de Negocio (MBCO).
El BIA estratégico también se puede usar para aclarar el alcance del programa GCN en cuanto a
productos y servicios. La Alta Gerencia debe identificar los planes futuros significativos de la
organización que pueden afectar los impactos que serán evaluados en el BIA.
Un BIA se puede usar para determinar el impacto de una interrupción antes de que se presenten
cambios organizacionales significativos, tales como:
• Lanzamiento de un nuevo producto, proceso o tecnología;

• Reubicación o cambio geográfico del negocio;
• Cambio significativo de la operación, estructura o niveles del plantel del negocio; y
• Un nuevo proveedor significativo o contrato de tercerización.
Esto puede permitir a la organización aprovechar el cambio para incrementar su resiliencia o

mejorar su capacidad de recuperación.
Proceso
El BIA estratégico puede prepararse después de desarrollar o emitir la revisión estratégica de la
organización (o un documento que declare los objetivos actuales del negocio).
El proceso puede incluir:
• Evaluar de nuevo el alcance del programa GCN, revisando las exclusiones y considerando
la inclusión de productos nuevos;
• Entender el impacto potencial de los desarrollos recientes o futuros dentro de la
organización o en el ambiente donde opera;
• Para cuestiones de análisis, asignar productos y servicios a grupos con base en la
urgencia de entrega, divididos por cliente y locación, si es del caso;
• Revisar los impactos a considerar y los criterios para determinar el Mínimo Objetivos de
la Continuidad de Negocio (MBCO);
• Documentar los impactos en el tiempo en la organización por el incumplimiento de
entregar cada grupo de productos;
• Estimar un MPTI para cada grupo de productos;
• Obtener la firma de la Alta Gerencia; y
• Proceder a preparar un BIA táctico.
70
Los resultados de un BIA estratégico incluyen:
• Una validación o modificación del alcance del programa GCN;

• Un MBCO aprobado para la organización, firmado por la Alta Gerencia; y
• MPTIs aprobados (y posiblemente borradores de TORs) para cada grupo de productos y
servicios;
• Una lista de los grupos de productos y servicios más urgentes de la organización.
71
EL BIA TÁCTICO
Introducción
Un BIA táctico determina las dependencias de los grupos de productos y servicios más urgentes de la
organización y evalúa el impacto de una alteración en ellos.
El alcance del BIA táctico puede ser un subconjunto del alcance del BIA estratégico – examinando los
impactos de una alteración en uno o más grupos de productos y servicios.
En algunos casos, tales como un call center para el producto y servicio, el proceso que lo entrega y
las prioridades de recuperación pueden ser lo mismo. En otros casos (a menudos cuando el proceso
es demorado), es útil tratar los productos y servicios finales como resultados de los procesos
provenientes de combinar actividades, suministros y contratistas, todos con diferentes prioridades
de tiempo.
La pérdida de datos puede dificultarle a una organización la recuperación de su capacidad operativa.

Algunas actividades pueden operar adecuadamente sin datos o con datos de hace varias semanas.
Pocas actividades no pueden tolerar pérdida de datos alguna aunque algunas pueden tolerar una
pérdida parcial.
La norma ISO 22301 describe el punto en que la información usada por una actividad debe ser
restaurada para habilitar la actividad para reanudar la operación como un “objetivo del punto de
recuperación” (RPO), conocido también en la norma como una “máxima pérdida de datos”. La
máxima pérdida de datos debe ser determinada esta etapa de Análisis del ciclo de vida del BCM.
Proceso
Esto incluye las siguientes actividades:
• Identificar a los promotores de los procesos;

• Aprobar los términos de referencia del BIA con el promotor del proyecto;
• Determinar el alcance del BIA táctico:
• El alcance debe ser descrito por los grupos de productos y servicios examinados
(definidos en el BIA estratégico);(Si se determina que el BIA demora demasiado,
inicialmente se debe restringir su alcance a un subconjunto de productos y
servicios. El resto se puede abarcar en un BIA posterior);
 Identificar las dependencias de los procesos que producen los productos y servicios más
urgentes (puede cruzar varios departamentos a la vez);
 Identificar el personal idóneo, tales como expertos en temas específicos, para buscar
información acerca de los procesos del negocio;
 Identificar cómo una alteración del proceso puede resultar en una interrupción de la entrega
de los productos y servicios;
 Usar el MPTI del grupo de productos como una guía cuantifica el cronograma dentro del cual
la interrupción de cada proceso sería inaceptable debido a la alteración de la entrega de los
productos y servicios:
72
• Quizás debe tener en cuenta los impactos no calculados por la Alta Gerencia,
tales como retrasos de producción y problemas de capacidad;
• La duración o tiempo de producción del proceso;
 Estimar los Tiempos Objetivos de Recuperación (TOR) para los procesos;
 Estimar los Puntos Objetivos de Recuperación (RPO) para los procesos;
 Obtener la aprobación del propietario del proceso para confirmar la precisión de la
información del BIA táctico;
 Obtener el apoyo de la Alta Gerencia para las conclusiones del BIA táctico; y
 Publicar los resultados del BIA táctico.
El BIA táctico se ampara de los resultados del BIA estratégico. Asimismo, ofrece guías para identificar
los períodos de tiempo significativos que se pueden usar para tabular los impactos de cada proceso.
El BIA táctico también ayuda a verificar las conclusiones del BIA estratégico. Un número de períodos
de tiempo, para fines de análisis, generalmente debe ser acordados, pero cuántos y sus valores
exactos serán diferentes entre sectores de la industria. En algunos sectores, los impactos pueden
alcanzar niveles inaceptables en cuestión de minutos, pero en otros, una organización quizás no
experimenta efectos graves hasta que hayan transcurrido varios días de alteración.
Los resultados del BIA táctico son:
• Una lista de procesos que contribuyen a la entrega de productos y servicios dentro del
alcance; y
• El MPTI (un borrador del TOR y posiblemente del RPO) y su justificación para cada
proceso.
73
EL BIA OPERATIVO
Introducción
El BIA operativo determina los recursos que se requieren para la continuidad y recuperación de las
actividades más urgentes de la organización.
El nivel operativo del BIA es cuando se reúne información detallada sobre los recursos requeridos
para continuar, recuperar y reanudar las actividades del negocio para apoyar los objetivos y
obligaciones de la organización.
La dependencia en los proveedores externos se puede determinar a este nivel en el momento de

determinar los recursos requeridos, pero generalmente es mejor identificar los más comunes, tales
como los servicios públicos (energía, agua, telecomunicaciones, etc.) a también al nivel táctico ya
que afectan casi todos los procesos.
Se asume menudo que los recursos requeridos después de una alteración son una fracción de
aquellos usados durante una operación normal, al menos por un lapso de tiempo. Sin embargo, en
algunos casos, los recursos en las primeras etapas de recuperación quizás necesiten ser mayores a lo
normal para superar los trabajos pendientes. Por ejemplo, en un call center, quizás se necesite
personal adicional para lidiar con las llamadas adicionales que se reciben después de una
interrupción, y quizás se necesiten las TIC (tecnologías de información y comunicaciones) para tener
una mayor capacidad para recibir el número adicional de usuarios.
Las razones para reunir información de los recursos en esta etapa son:
• Brindar la información de los recursos cuando se una estrategia de recuperación

adecuada puede ser determinada y recomendada a la Alta Gerencia; y
• Identificar los recursos requeridos que surgen de las dependencias de una actividad
identificadas a un nivel táctico que existe interna y externamente.
Proceso
Cuantificar los recursos necesarios en el tiempo para mantener las actividades del negocio a un nivel
acordado y dentro del MPTI. Tener en cuenta las actividades adicionales generadas por la
interrupción y para despejar los retrasos de producción. Las siguientes categorías de recursos deben
ser consideradas:
• Personas (destrezas y conocimientos);

• Premisas (edificios e instalaciones);
• Recursos (TIC, información, equipos, materiales); y
• Proveedores (productos y servicios suministrados por terceros).
74
• Obtener la aprobación del propietario del proceso para confirmar la precisión de la
información;
• Obtener el apoyo de la Alta Gerencia para las conclusiones;
• Utilizar la información BIA reunida en esta etapa de Análisis para identificar y seleccionar
las estrategias y tácticas de la continuidad y recuperación en la etapa de Diseño del ciclo
de vida del GCN.
Durante el BIA operativo, se debe recolectar información sobre los recursos requeridos para
reanudar y continuar las actividades del negocio, apoyando los objetivos y obligaciones de la
organización.
Los requerimientos de recursos se pueden cotejar con los MPTI para crear tablas, tales como:
• Requerimientos de recursos acumulados por departamento y tiempo;

• Requerimientos de servicios de TIC por tiempo; y
• Dependencias que pueden impactar el proceso de alto nivel del negocio.
La recolección de datos para el BIA operativo debe ser llevada a cabo por un representante del
departamento bien entrenado.
Los resultados de una BIA operativo son:
• Una lista de los requerimientos de recursos internos y externos para la continuidad y

recuperación de los productos y servicios más urgentes de la organización.
El BIA operativo debe ser revisado por aquellas actividades afectadas por los cambios
organizacionales. Otras actividades pueden requerir una simple revisión y validación de los
resultados BIA previos. Esta información se debe alimentar directamente en la etapa de Diseño del
ciclo de vida del GCN.
75
ANÁLISIS DE AMENAZAS
Introducción
El proceso para evaluar amenazas usa técnicas de evaluación de riesgos con el fin de identificar las
concentraciones de riesgo inaceptables de actividades y puntos únicos de falla. El propósito se
considerar las medidas en la etapa de Diseño que puedan reducir la probabilidad o reducir el
impacto de su alteración.
El BIA documenta los impactos en un período de tiempo provenientes de una interrupción del
negocio, e identifica la urgencia de la entrega de productos y servicios además de las actividades que
habilitan esa entrega. Lo anterior permite establecer medidas de mitigación de las actividades más
urgentes dentro de la organización y así, mejorar la probabilidad de un retorno de la inversión y un
impacto mínimo durante la alteración.
Muchas organizaciones tienen una función de Gestión de Riesgos bien establecida, mantienen un
registro de los riesgos corporativos, y han incorporado la evaluación de riesgos. Asimismo, se espera
que todos los gerentes evalúen los riesgos como parte de sus prácticas y procedimientos normales.
Por lo tanto, las evaluaciones de amenazas pueden estar disponibles en las actividades de la
organización. Sin embargo, la presencia de una función de Gestión de Riesgos no es un prerrequisito
para un programa de GCN efectivo.
En algunos países y sectores, el uso de la evaluación de riesgos es obligatorio. Esto conlleva a realizar
una evaluación formal de los riesgos y a tener en cuenta de las medidas adecuadas necesarias para
transferir, aceptar, reducir o evitar los riesgos. Sin embargo, evaluar amenazas como parte del
programa de GCN no es lo mismo que llevar a cabo una Evaluación de Riesgos ya que a menudo se
realiza a un nivel de detalle menor. Usar las técnicas de evaluación de riesgos como parte de la CN
puede informar el programa de Gestión de Riesgos existente, pero no es su objetivo principal.
Hoy en día se usan muchos modelos de Gestión de Riesgos, algunos son de naturaleza general y
otros han sido completamente desarrollados para una industria o sector específico. Prácticamente
todos incluyen la identificación de amenazas específicas (o peligros) y usan una fórmula para calcular
un valor de riesgo con base en la probabilidad y el impacto de la amenaza (si ésta ocurrió).
Pese a que son razonablemente efectivos para abordar las amenazas conocidas y predecibles, tienen
defectos graves en el momento de evaluar las amenazas planteadas por situaciones operativas
catastróficas porque:
• Es imposible identificar todas las amenazas;

• Los cálculo de probabilidad son más una labor de adivinanza o se basan en información
histórica;
• La probabilidad de que ocurra un evento depende del período de tiempo considerado –
a mayor el período de tiempo, mayor la probabilidad de que ocurra un evento;
76
• Las escalas numéricas usadas a menudo para clasificar la probabilidad e impacto (por
ejemplo, 1 para bajo, 2 para mediano, 3 para alto) enfatizan demasiado el impacto de
los eventos menores y no puede usarse para calcular una medida comparativa del riesgo
(por ejemplo, ¿un riesgo de baja probabilidad y alto impacto tienen el mismo valor?), y
• El uso de una escala numérica para asignar un valor en los impactos no puede reflejar
adecuadamente la importancia de activos menos cuantificables, tales como la
reputación.
Las deficiencias anteriores demuestra lo difícil que es medir el riesgo y por ende, especificar estas
mediciones con alguna certidumbre.
Proceso
Los pasos clave para evaluar las amenazas son:
• Preparar una lista de las amenazas internas y externas que pueden provocar una
alteración en las actividades más urgentes de una organización, de acuerdo con lo
determinado en el BIA;
• Determinar un sistema de puntaje de evaluación de riesgos para los impactos y
probabilidades. Acordar la fórmula con la Alta Gerencia;
• Calcular el impacto en la organización de cada amenaza usando el sistema de puntaje
acordado;
• Determinar la probabilidad de que ocurra cada amenaza y ponderarla de acuerdo con el
sistema de puntaje;
• Calcular el riesgo de cada amenaza combinando los puntajes de impacto y probabilidad,
de acuerdo con la fórmula acordada;
• Revisar los resultados del análisis de riesgo con puntaje;
• Dar prioridad a las amenazas por nivel de impacto en las actividades más urgentes;
• Identificar las áreas de riesgo o únicos puntos de falla inaceptables;
• Identificar y registrar los riesgos previamente desconocidos o no documentados, que
carecen de un proceso cohesivo para llevar a cabo dichas actividades durante un
incidente perturbador; y
• Si la organización tiene un programa de control de Gestión de Riesgos existente,
entregar los resultados de la evaluación de amenazas a la persona responsable del
programa.
Si la organización tiene una función de Gestión de Riesgos establecida, se debe usar el método de
evaluación establecido o la técnica para evaluar amenazas.
Se pueden obtener numerosos sistemas de puntaje para la evaluación de riesgos en la literatura

publicada.
Al igual que el sistema de evaluación de riesgo elegido para impactos y probabilidades, los métodos
y técnicas que se pueden usar para identificar y evaluar las amenazas incluyen:
• El registro de riesgos de la organización (si existe uno);
77
• Determinar las amenazas internas y externas de las fuentes apropiadas;
• Análisis de árbol de sucesos;
• Análisis de árbol de fallas;
• Análisis de partes interesadas;
• Planeación de escenarios;
• Amenazas identificadas durante el proceso BIA;
• Incidentes previos experimentados por la organización, el sector de la industria o
inmediaciones;
• Peligros locales conocidos (naturales o del hombre);
• Mapeo geográfico; y
• Análisis de redes.
Las probabilidades se pueden evaluar usando:
• Estadísticas de seguros; y
• Estadísticas de frecuencia de desastres publicadas.
Los resultados provenientes de la evaluación de amenazas son:
• Una lista de las amenazas que pueden provocar una alteración de las actividades más
urgentes de la organización, con prioridad por nivel de impacto; y
• La identificación de algún punto único de falla inaceptable.
Las amenazas contra las actividades más urgentes de la organización se deben evaluar cada año o
más frecuentemente si:
• Se actualiza el BIA;
• Existe un cambio significativo en los procesos internos del negocio, su locación o
tecnología; y
• Existe un cambio significativo en el ambiente externo del negocio, por ejemplo, un
cambio en el mercado, legal o regulatorio.
78
– PP4 DISEÑO
79
– PP4 DISEÑO
GENERALIDADES
El Diseño es la Práctica Profesional del ciclo de vida del GCN que identifica y selecciona las
estrategias y tácticas adecuadas para determinar cómo se va a lograr la continuidad y recuperación
de una alteración o interrupción. La información obtenida de la etapa de Análisis y las decisiones
tomadas en la etapa de Gestión de la Política y el Programa se usan para diseñar soluciones para
estas tres áreas:
1. Estrategias y tácticas de continuidad y recuperación;
2. Medidas para mitigar amenazas; y
3. Estructura de respuesta a incidentes.
80
ESTRATEGIAS Y TÁCTICAS DE CONTINUIDAD Y RECUPERACIÓN
Introducción
El propósito de diseñar estrategias y tácticas de continuidad y recuperación es establecer
cronogramas para la recuperación e identificar los medios para lograr estos objetivos mejor. Esto se
puede llevar a cabo a tres niveles organizacionales:
• Estratégico – productos y servicios;

• Táctico – infraestructura de procesos; y
• Operativo – actividades que entregan los productos y servicios.
A nivel estratégico, la importancia de varios productos y servicios se determina en la etapa de

Análisis.
A nivel táctico, la infraestructura de procesos consiste de los servicios e instalaciones necesarios para
entregar un producto o servicio. Es donde:
• Se diseñan las soluciones que hacen que los planes funcionen en la práctica; y
• Se toman decisiones que probablemente incurren en un mayor gasto.
El diseño de soluciones operativas puede requerir destrezas técnicas que superan las de un
profesional de la CN. Quizás sea necesario buscar asesoría técnica de expertos en otros campos,
particularmente para negocios de manufactura. Por lo general, los especialistas en TICs (Tecnología
de la Información y la Comunicación), Compras y Suministros, Gestión de Inventarios, y Planeación
de Capacidad son necesarios para ayudar a determinar las estrategias y tácticas adecuadas.
La etapa de Análisis del ciclo de vida del GCN identifica el Máximo Período Tolerable de Interrupción
(MPTI) de los productos, servicios, procesos y actividades de la organización. La etapa de Diseño
configura el período de tiempo acordado para reanudar lo anterior y se conoce como el Tiempo
Objetivo de Recuperación (TOR).
El TOR de cada producto, servicio, proceso y actividad es menos que el MPTI. Se debe tener cuidado
de asegurar que el TOR de los procesos, actividades y servicios dependientes no supere el MPTI de
todo el proceso. El objetivo es asegurar que una interrupción individual no amenace la supervivencia
general de la organización.
El Punto Objetivo de Recuperación (POR) es el punto en el cual la información usada en una

actividad debe ser restaurada para habilitar la actividad para operar en reanudación (conocido
también como “máxima pérdida de datos) (ISO 22301:2012).
Equilibrar costo y velocidad de recuperación: si el costo no fuera tenido en cuenta, sería posible
definir e implementar una solución perfecta. Sin embargo, en la práctica siempre existe un
compromiso entre el costo y la velocidad de una recuperación.
81
En la mayor parte de las situaciones, es verdad es que a menor sea el TOR y POR, mayor el costo
para la organización, mientras que a mayor sea el TOR y POR, más barata es la solución. Por lo
general, un TOR mayor aumenta la posibilidad de no lograr la recuperación dentro del MPTI. Un POR
mayor aumenta la posibilidad de que los datos no sean recuperados.
En consecuencia, la organización siempre debe tratar de equilibrar la continuidad y la capacidad de

recuperación con costos razonables y accesibles.
Estrategias: existe un número de estrategias para la continuidad y recuperación que se pueden

implementar:
• Diversificar;
• Replicar;
• Instalaciones de reserva;
• Adquisición posterior al incidente;
• Hacer nada; y
• Subcontratación.
Asimismo, el Seguro es una estrategia que se usa para brindar una compensación financiera ante un
siniestro y alteración. Las estrategias de continuidad seleccionadas deben tener en cuenta el amparo
de seguro que la organización ha organizado.
Tácticas: el diseño de la continuidad y recuperación requiere elegir tácticas que se puedan

implementar en el evento del siniestro referentes a:
• Personas (destrezas y conocimiento);

• Premisas (edificios e instalaciones);
• Recursos (TIC, información, equipos, materiales, etc.); y
• Proveedores (productos y servicios suministrados por terceros).
Pese a que las tácticas seleccionadas deben funcionar en forma aislada (por ejemplo, si el siniestro
solo es un computador o una sola línea de producción) también deben funcionar combinadas (por
ejemplo, cuando se pierde un edificio en un incidente que destruye todos los recursos dentro del
edificio, deja a varias personas sin poder trabajar, y también interrumpe el servicio de un proveedor
local).
Debido a las grandes diferencias en tipos de negocios que implementan la CN, esta Guía no puede
establecer lo que sería apto para algunas organizaciones, sectores o geografías.
Las tácticas también deben abordar el modo como la organización financia a los empleados a corto y
largo plazo.
82
Estrategias:
Diversificación: La diversificación de las actividades y recursos necesarios para asegurar la
continuidad de las operaciones requiere llevar a cabo las actividades en dos o más lugares
geográficamente dispersos de manera que si se pierde una operación, la actividad pueda continuar
en los demás sitios. Aunque esta estrategia generalmente brinda un alto grado de resiliencia,
también puede ser muy costosa y quizás no protege a la organización si el incidente tiene un alcance
global, como una pandemia o virus informático. Esta estrategia es apta si el TOR se mide en minutos
u horas en vez de días.
Replicar: copiar los recursos para habilitar las operaciones que se van a recuperar con rapidez es una
diversificación ya que el sitio replicado está inactivo y su operación se habilita después de un
incidente. Replicar ofrece la capacidad de llevar a cabo todas las actividades necesarias pero
generalmente necesita trasladar a las personas requeridas al lugar de réplica después del incidente.
Esta estrategia puede ser apta si el TOR es más de unas pocas horas y menos de un día, siempre y
cuando el personal pueda ser trasladado al lugar de réplica lo suficientemente rápido para reanudar
sus actividades dentro de su TOR. Sin embargo, la estrategia depende de que el personal pueda y
esté dispuesto a trabajar lejos de su lugar habitual por un período de tiempo que puede ser
prolongado.
Instalaciones de reserva: cuando el TOR es más de un día, una estrategia adecuada puede ser tener
una instalación de reserva que puede ser operativa dentro del TOR. Esto es particularmente apto si
la instalación ha sido temporalmente parada pero puede volverse operativa en poco tiempo.
También depende de tener personal capacitado y dispuesto a trabajar lejos de su sitio habitual por
un período de tiempo que puede ser prolongado.
Adquisición posterior al incidente: adquirir recursos para llevar a cabo las actividades después de un
incidente con base en la lista de requerimientos aptos para un TOR medido en días o semanas,
depende de tener proveedores precalificados que ofrecen recursos en poco tiempo. Sin embargo,
esta no es la estrategia apropiada si se requieren equipos, instalaciones o destrezas especializadas
que pueden ser difíciles de obtener o que tengan tiempos de espera largos.
Hacer nada: esperar hasta que pase el incidente para decidir qué hacer puede ser una estrategia
adecuada cuando el RTO se mide en meses, pero solo en los casos cuando no se requieren equipos,
instalaciones o destrezas especializados o con largos tiempos de espera.
Las organizaciones siempre deben documentar las razones por qué hacer nada es la estrategia
seleccionada, para evitar disputas o conflictos posteriores si se presenta un incidente grave.
La estrategia de “hacer nada” es elegida por defecto por todas las organizaciones no han
implementado la continuidad del negocio.
Subcontratación: los terceros se pueden usar para producir un producto o servicio, brindar
infraestructura para el proceso, y llevar a cabo las actividades.
83
La selección de una estrategia de subcontratación apta depende de la rapidez con que la
organización requiere que el subcontrato cobre vida. La diversificación es apta para los TOR muy
cortos medidos en minutos, y la réplica de los TOR con más de pocas horas y menos de un día. En
estos casos, los diseños, hojas de cálculo e inventarios de repuestos y materias primas se deben
mantener en o cerca del sitio del subcontratista, y el personal de este último debe ser bien
entrenado.
La subcontratación puede ser particularmente apta para la manufactura, donde el costo adicional de
tener diversos sitios, réplicas o instalaciones de reserva puede ser demasiado alto. Sin embargo, en
algunos casos, la única opción de subcontratar puede ser usar otra organización que opere en el
mismo mercado (puede ser un competidor).
Seguro: El seguro, organizado adecuadamente, puede brindar una compensación financiera por la
pérdida de activos, mayores costos de trabajo, reanudación del negocio, y protección de
responsabilidades legales afines. Sin embargo, es poco probable que se ampare el gasto total de un
incidente, incluyendo la pérdida de clientes, el impacto del valor del accionista, o la pérdida de
reputación e imagen de la marca. En consecuencia, es importante que las medidas elegidas sean
consistentes con el amparo del Seguro de la organización.
La cobertura de Interrupción del Negocio (IN) casi siempre se relaciona con la continuidad del
negocio, pero no se trata, por si misma, de una estrategia apta a menos que los TOR se midan en
meses y los equipos, instalaciones o destrezas especializadas sean fáciles de obtener. Es importante
tener en cuenta que el seguro IN típico puede cubrir la pérdida de ingresos del negocio (márgenes
brutas) y/o los costos de trabajo adicionales, los cuales se vinculan con otro siniestro asegurable
(como pérdida de premisas). Algunas aseguradoras más recientemente han comenzado a brindar
coberturas para una mayor gama de interrupciones, tales como falla del proveedor por motivos
políticos o comerciales, pero esto es generalmente sumamente costoso para todos salvo las
compañías globales de mayor tamaño.
El seguro también puede ofrecer una compensación financiera después de la pérdida de individuos
claves ante su fallecimiento, lesión o renuncia.
Se debe tener presente que una póliza de seguros de por si no ofrece la continuidad de las
operaciones a menos que los TOR de la organización se midan en meses o años, ya que los esfuerzos
de recuperación y la coordinación de las pólizas pueden tomar muchos meses después de alguna
alteración o interrupción.
Consideraciones tácticas:
Distancia de separación segura: para mejorar su capacidad de continuidad y recuperación, una
organización debe mantener dos copias idénticas de los recursos vitales, usar múltiples proveedores,
replicar las operaciones en diferentes lugares, y designar los sitios de recuperación. Ya que muchos
incidentes resultan en la pérdida del acceso a, o el daño de, una área geográfica o locación, se
requiere una separación adecuada entre los recursos originales y los duplicados, los diferentes
proveedores, las operaciones replicadas o el sitio base, y el sitio de recuperación designado.
Asimismo, se debe tener en cuenta el uso de los registros de riesgo organizacionales y oficiales, los
84
cuales pueden ofrecer información útil en cuanto a posibles amenazas geográficas y su impacto
potencial.
La selección de una distancia de separación segura determina la máxima extensión geográfica de un

incidente que la organización puede recuperar directamente, y se debe seleccionar como pare del
proceso de desarrollar una política de CN. Esa selección depende en la estrategia, objetivos y cultura
de la organización. Algunas organizaciones pueden usar área de mercado o jurisdicción para definir
esta distancia, mientras otras eligen la alternativa pragmática de abrir un sitio de reubicación dentro
del límite de lo que consideran que viajaría su personal.
Una manera de determinar las distancias es observando las amenazas identificadas en la etapa de
Análisis y su relación con lugares geográficos específicos. Por ejemplo, las organizaciones pueden
requerir un lugar secundario con redes de energía y proveedores diferentes al del sitio primario
(tales como las de manufactura) donde la pérdida de energía es un gran riesgo para la continuidad
de las operaciones.
Aunque una mayor dispersión geográfica generalmente reduce la probabilidad de que dos sitios
sean afectados por el mismo incidente, hay algunas amenazas, tales como pandemias y virus
globales de computadores que no necesariamente brindan protección.
Niveles de servicio: muchas organizaciones han identificado solamente el mínimo nivel de servicio
aceptable para cumplir sus obligaciones inmediatas durante una alteración. Esto se define en la
etapa de Análisis como el mínimo objetivo de continuidad del negocio (MOCN). Otras han
identificado un nivel en fases de los recursos requeridos para habilitar los niveles de servicio que se
deben incrementar en un período de tiempo, desde el mínimo nivel aceptable hasta un nivel normal.
Detalle de diseño: La extensión y detalle para diseñar la continuidad, las estrategias recuperación y
las tácticas dependen de la urgencia con que se requieren y de la complejidad del proceso,
infraestructura o actividad a recuperar.
Se requiere un diseño detallado para los procesos y actividades con TOR corto, pero la recuperación
quizás no se necesite detallar si el TOR es de semanas o meses, a menos que la organización estime
algo diferente. En estos casos, es posible que la organización desee usar el incidente como una
oportunidad para cambiar su modo de operación.
Confiabilidad: cuando las tácticas de continuidad y recuperación tienen en cuenta a un tercero que
provee servicios, a menudo la Gerencia decide entre el costo y la confiabilidad de un proveedor
externo. Las promesas pueden variar entre acuerdos recíprocos verbales de mayores esfuerzos y un
nivel de servicio contractual. A menor el TOR, mayor la importancia de la confiabilidad de la entrega.
Las necesidades de partes interesadas: es posible que hayan individuos y grupos afectados por un
incidente. Por ejemplo, en un gran incendio puede haber contratistas heridos, residentes locales
evacuados de sus hogares, y negocios locales que tienen que cerrar por motivos de seguridad o que
sufren por menores ventas. El nivel de responsabilidad de la organización (legal y moral) hacia estos
grupos debe ser claramente entendido.
85
La organización debe asegurarse de que las necesidades de varias partes interesadas sean
identificadas, priorizadas y acordadas en el momento de diseñar la respuesta. De lo contrario, ellas
pueden impedir el esfuerzo de recuperación posterior. Por ejemplo, los residentes locales pueden
presionar a las autoridades locales a no otorgar permisos para reconstruir un sitio dañado.
Socorristas de emergencias civiles: La organización debe estar familiarizada con los procedimientos
de los socorristas de emergencias locales y comunicarse con estos grupos de antemano. Esto puede
brindar información útil para diseñar estrategias y tácticas de continuidad.
La disponibilidad de servicios de terceros: Los preparativos de un sitio alternativo de un tercero son

populares en muchos países y las opciones varían ampliamente. Sin embargo, los servicios
requeridos en algunos países quizás no están comercialmente disponibles y algunos gobiernos no
permiten que las organizaciones tercericen sus servicios por fuera de sus fronteras.
Cuando los servicios de recuperación de terceros no están disponibles, la organización se ve forzada

a reevaluar su diseño. Un resultado puede ser que la organización decida tener sus propias
instalaciones de recuperación y posiblemente se ofrezca a compartirlas comercialmente con otras
organizaciones que enfrentan el mismo dilema. Este planteamiento es particularmente relevante en
los países donde los proveedores externos no han establecido aún una presencia de su negocio.
Proceso
Al igual que el análisis de los requerimientos de la CN, el diseño de las estrategias y tácticas de
continuidad y recuperación se debe llevar a cabo desde la Gerencia hasta todos los niveles de la
organización. Una vez el diseño se finaliza, los recursos deben ser brindados a través de las
estrategias y tácticas seleccionadas necesarias para que la organización consolide una amplia visión
de los recursos requeridos.
Estratégico: A nivel estratégico, se determinan los TOR de los productos y servicio junto con las
estrategias que facilitan la selección de aquellos TOR.
Los pasos clave en el proceso que se deben llevar a cabo para cada producto o servicio dentro del
alcance del programa de GCN son:
• Identificar el MPTI y decidir el TOR (siempre y cuando el TOR sea menos que el MPTI);
• Si se requiere un nivel de reanudación en fases, identificar los TOR para cada nivel de
servicio;
• Si hay procesos o procedimientos existentes, realizar un “análisis de brechas o
diferencias” para identificar cómo se mide el desempeño existente contra el desempeño
requerido;
• Identificar las estrategias aptas que permiten alcanzar cada TOR;
• Analizar las opciones estratégicas para la efectividad y costo; y
• Suministrar a la Alta Gerencia una evaluación de las opciones estratégicas, hallazgos y
una recomendación.
86
Se debe obtener un acuerdo de las estrategias necesarias de la Alta Gerencia. Esto debe incluir el
gasto de capital y operativo esperado al igual que las provisiones requeridas para entregar los
productos y servicios a los niveles de servicio acordados.
Táctico y operativo: A estos niveles se determinan los TOR de cualquier proceso de infraestructura y
las actividades requeridas para entregar cada producto o servicio a los niveles de servicio acordados,
mientras que las tácticas de continuidad y recuperación que permiten alcanzar estos TOR son
seleccionadas. Estas tácticas se deben seleccionar en el contexto de las estrategias que han sido
elegidas para los productos y servicios, y deben asegurar que los TOR de los productos y servicios
sean alcanzados.
No es inusual reiterar la selección de las opciones para lograr un equilibrio aceptable entre el costo,
esfuerzo y tiempo para cumplir los objetivos estratégicos del programa.
La etapa de Análisis identifica los procesos y actividades requeridos para la entregar los productos y
servicios de la organización, las actividades más urgentes, y los recursos requeridos durante el
período para llevar a cabo las actividades hasta los niveles de servicio acordados. Usando los
resultados del BIA operativo, la organización conoce la infraestructura del proceso y las actividades
que necesitan estar operativas para entregar sus productos y servicios.
Los pasos clave del proceso que se deben llevar a cabo para la infraestructura del proceso y
actividades necesarias para entregar el producto o servicio son:
• Identificar el MPTI y decidir el TOR (siempre y cuando el TOR sea menos que el MPTI);
• Si se requiere un nivel de recuperación por fases, identificar los TOR de cada nivel de
servicio;
• Si la infraestructura del proceso o actividades brindan o usan datos, se debe decidir el
RPO;
• Si existen medidas de respuesta implementadas, se debe realizar un análisis de
diferencias o brechas para identificar donde se mide el desempeño existente contra el
desempeño requerido;
• Identificar las tácticas idóneas que permitan lograr cada TOR y RPO;
• Analizar las tácticas para la efectividad y costo;
• Entregar a la Alta Gerencia una evaluación de las opciones y una recomendación; e
• Identificar los proyectos de implementación de cada táctica seleccionada.
Se debe obtener un acuerdo de la Alta Gerencia respecto de las tácticas que se van a usar. Este
acuerdo debe incluir las provisiones financieras y recursos esperados para implementar las tácticas.
Consolidación: Las tácticas seleccionadas para la infraestructura del proceso y actividades se deben
consolidar:
• Verificando que sean consistentes a lo largo de la organización;
87
• Verificando que no entran en conflicto entre si (por ejemplo, que las actividades
diferentes no planean usar el mismo recurso para la recuperación);
• Verificando que no infringen o contradicen las políticas organizacionales claves, tales
como la seguridad de la información;
• Determinando cómo obtener mejor las fuentes externas (por ejemplo, sitos de
recuperación de terceros); y
• Ayudando a diseñar la estructura de respuesta a incidentes e identificando el número de
planes requeridos.
Los pasos clave para el proceso de consolidación son:
• Recopilar los requerimientos de recuperación de las tácticas seleccionadas;

• Verificar que las opciones seleccionadas sean consistentes a lo largo de la organización;
• Verificar que las opciones seleccionadas no entran en conflicto entre si;
• Verificar la obtención de los requerimientos de recuperación consolidados de terceros;
• Evaluar las implicaciones de los recursos de las tácticas seleccionadas a nivel operativo;
• Evaluar de nuevo las opciones disponibles que son inconsistentes o entran en conflicto;
y si es del caso,
• Reconfirmar la importancia estratégica de alto nivel de los productos y servicios;
• Entregar a la Alta Gerencia una evaluación de los requerimientos consolidados;
• Obtener de la Alta Gerencia un acuerdo para brindar las provisiones financieras y
recursos para implementar las medidas acordadas; y
• Establecer los proyectos para implementar las medidas acordadas.
Los productos principales al diseñar las estrategias y tácticas de la continuidad y recuperación son:
• Un conjunto de estrategias y tácticas de la continuidad y recuperación acordadas por la

Alta Gerencia;
• Un diseño de la continuidad y recuperación usado para desarrollar los planes;
• La creación de proyectos con la adecuada financiación y recursos para implementar las
estrategias y tácticas acordadas;
• Un conjunto consolidados de los requerimientos de terceros usado en los recursos de
compra; y
• Suficientes detalles para poder diseñar una estructura de respuesta a incidentes.
El diseño se debe revisar:
 Mínimo una vez al año después de revisar el análisis de requerimientos;

 Después de haber ensayado alguna capacidad de recuperación; y
Al presentar algún cambio significativo de:
 Productos o servicios;
 Infraestructura del proceso;
 Actividades;
88
 Regulaciones;
 Requerimientos legislativos;
 Requerimientos regulatorios;
 Requerimientos de clientes;
 Personas y destrezas;
 Premisas;
 Recursos;
 Proveedores.
89
MEDIDAS PARA MITIGAR AMENAZAS
Introducción
El propósito de diseñar medidas para mitigar amenazas es identificar y seleccionar las medidas
proactivas que se pueden implementar para reducir la probabilidad y/o impacto de alterar las
actividades más críticas y urgentes de la organización.
Las medidas para mitigar amenazas se centran en concentraciones de riesgo inaceptables, puntos
únicos de falla y en las amenazas principales contra las actividades más urgentes de la organización,
las cuales son identificadas y priorizadas en la etapa de Análisis del ciclo de vida del GCN. Estas
medidas son una parte integral del objetivo de incrementar la resiliencia organizacional.
La evaluación de las medidas para mitigar amenazas asume que los beneficios de las medidas
propuestas se pueden calcular con precisión. Sin embargo, calcular los beneficios depende de
conocer la probabilidad de que una amenaza ocurra, lo cual en muchos casos se trata de adivinar o
se basa en información histórica.
Proceso
Análisis de la relación costo-beneficio: El análisis de la relación costo-beneficio se puede usar para
determinar si vale la pena implementar o no la medida para mitigar amenazas comparando el costo
de la medida con el beneficio probable obtenido. Al llevar a cabo un análisis de la relación costo-
beneficio, se debe determinar el marco de tiempo en que la medida para mitigar amenazas sea
efectiva y la probabilidad de que ocurra la amenaza en este período.
El beneficio de aquellas medidas que reducen la probabilidad se calcula reduciendo la probabilidad

de la amenaza que ocurre después de implementar las medidas y multiplicándola por el impacto en
la organización si la amenaza ocurre, en términos de costos.
El beneficio de aquellas medidas que reducen el impacto se calcula mediante la reducción del
impacto de la amenaza contra la organización, en términos de costos, después de implementar las
medidas y multiplicándola por la probabilidad de que la amenaza ocurra.
Reducción de amenazas: Los ejemplos de técnicas y medidas específicas para reducir amenazas que
se pueden adoptar incluyen:
• Seguridad física – para prevenir robos e ingresos no autorizados;

• Seguridad de la información – para prevenir la pérdida de datos y el acceso no
autorizado;
• Sistemas de monitoreo – para brindar una advertencia oportuna de incendios, fallas de
servicios públicos, fallas de equipos, y amenazas perjudiciales;
• Sistemas de rociadores y extinción de incendios – para prevenir la propagación de
incendios; y
90
• Redes de telecomunicaciones resilientes –para asegurar que no hay puntos de falla
únicos.
Se puede obtener una asesoría sobre seguridad física de las diferentes asociaciones nacionales e
internacionales de seguridad profesional, las cuales publican guías y buenas prácticas.
Las asesorías sobre seguridad de la información se pueden obtener de diferentes órganos de

seguridad de TIC e información, nacionales e internacionales.
Los pasos clave para diseñar las medidas para mitigar amenazas son:
• Revisar el resultado del BIA operativo y el análisis de amenazas para confirmar las áreas
de riesgo inaceptables, únicos puntos de falla y amenazas por orden de prioridad
respecto de las actividades más urgentes de la organización;
• Identificar aquellas medidas que se pueden tomar para reducir la probabilidad y/o
impacto de una alteración de las actividades más urgentes de la organización – medidas
para mitigar amenazas;
• Analizar la efectividad y costo de las medidas para mitigar amenazas;
• Entregar a la Alta Gerencia una evaluación de las medidas para mitigar amenazas;
• Identificar los proyectos de implementación de cada una de las medidas para mitigar las
amenazas seleccionadas;
• Obtener un convenio de la Alta Gerencia para brindar las provisiones financieras y
recursos necesarios para implementar las medidas para mitigar amenazas, y
• Establecer los proyectos para implementar las medidas para mitigar las amenazas
acordadas.
Los productos principales del diseño de medidas para mitigar amenazas son los proyectos para
implementar las medidas acordadas con el fin de reducir la probabilidad y/o impacto de una
alteración de las actividades más urgentes de la organización.
La necesidad de identificar y seleccionar las medidas para mitigar amenazas se debe reevaluar:
• Anualmente;
• Cuando se haya presentado algún cambio de las actividades más urgentes de la
organización o del nivel de amenaza por la alteración; y
• Cuando la organización haya experimentado un incidente real, dentro de un sector
industrial similar o en una locación cercana.
91
ESTRUCTURA DE RESPUESTA A INCIDENTES
Introducción
El propósito de diseñar una estructura de respuesta a incidentes es verificar que existe un
mecanismo documentado y plenamente entendido para responder ante un incidente con el
potencial de alterar a la organización, no obstante su causa.
Una estructura de respuesta a incidentes identifica:
• Los equipos responsables de la actividad de respuesta y recuperación;

• Las relaciones entre los equipos; y
• Las funciones y responsabilidades de los equipos.
Una opción esencial de cualquier modelo de respuesta es tener un mecanismo para escalar la
información en forma ascendente y comunicar las decisiones en forma descendente.
El objetivo es que la CN se convierta simplemente en una parte normal del modo como opera la
organización, de manera que a menos que haya razones válidas contra ella, la estructura de
respuesta a incidentes debe ser un espejo de la estructura administrativa existente de la
organización.
No existe un diseño único y correcto para una estructura de respuesta a incidentes. Por lo tanto,
cada organización debe desarrollar una estructura que satisface sus propias necesidades.
Los niveles estratégico, táctico y operativo de la estructura de respuesta tienen diferentes funciones:
• Estratégico – describe la manera como la Alta Gerencia va a abordar y manejar los

problemas provenientes de un incidente mayor;
• Táctico – detalla la administración y coordinación de la recuperación de las operaciones
alteradas, asegurando que los recursos sean adecuadamente asignados; y
• Operativo – aborda la recuperación de las actividades o sistemas hasta los niveles de
servicio predefinidos.
Diseño de la estructura: La estructura de respuesta a incidentes debe identificar a los equipos que
cubren la respuesta a emergencias, la administración de los incidentes y su recuperación. Asimismo,
debe identificar cuáles equipos deben llevar a cabo las funciones estratégicas, tácticas y operativas.
Al diseñar una estructura, se deben tener en cuenta los siguientes factores:
• La estructura administrativa existente;

• La naturaleza, escala, complejidad e infraestructura de los procesos de la organización;
• Las estrategias y tácticas de continuidad y recuperación seleccionadas; y
• La naturaleza, escala, complejidad y urgencia de los requerimientos de recuperación.
92
En muchas organizaciones, los planes de respuesta a emergencias han sido desarrollados e

implementados antes de la introducción de la CN. En estos casos, las personas y equipos
responsables de usar los planes de respuesta a emergencias deben ser incorporados en la estructura
de respuesta a incidentes.
Del mismo modo, muchas organizaciones han desarrollado e implementado planes de gestión de
incidentes a un nivel estratégico (conocidos a menudo como planes de gestión de crisis) antes de la
introducción de CN. De nuevo, las personas y equipos responsables de usarlos deben ser
incorporados en la estructura de respuesta a incidentes.
Funciones y responsabilidades: Las funciones y responsabilidades de los equipos identificados en la

estructura de respuesta a incidentes deben ser identificadas y documentadas. Esto incluye
responsabilidades de:
• Movilizar a los equipos;

• Activar los planes;
• Solicitar los recursos;
• Comunicación con las partes interesadas;
• Comunicación con los medios;
• Bienestar del personal;
• Escalar;
• Comando y control;
• Límites de gastos y delegaciones; y
• Cambiar prioridades a medida que la situación evoluciona.
Proceso
Los pasos clave para diseñar la estructura de respuesta a incidentes son:
• Identificar la estructura existente, naturaleza, escala y complejidad, infraestructura del

proceso y requerimientos de recuperación de actividades de la organización;
• Identificar las personas y equipos responsables de usar alguna respuesta de emergencia,
gestión de crisis o planes de gestión de incidentes existentes;
• Desarrollar un borrador de la estructura de respuesta a incidentes;
• Revisar el borrador de la estructura de respuesta a incidentes;
• Preparar una estructura de respuesta a incidentes recomendada a la Alta Gerencia;
• Obtener de la Alta Gerencia la aprobación de la estructura de respuesta de incidentes; y
• Documentar y publicar la estructura de respuesta a incidentes aprobada.
El resultado de diseñar una estructura de respuesta a incidentes se usa para desarrollar e
implementar la respuesta y contiene detalles sobre:
• Los equipos de respuesta y recuperación;

• Las relaciones entre los equipos; y
93
• Las funciones y responsabilidades de los equipos.
La estructura de respuesta a incidentes se debe revisar cuando se presenta algún cambio

significativo en las organizaciones:
• Alcance del programa de GCN;

• Naturaleza, escala y/o complejidad del negocio;
• Estructura administrativa;
• Infraestructura de los procesos;
• Estrategias y tácticas de continuidad y recuperación; y
• Requerimientos de recuperación de actividades específicas; o
• Si se ha presentado un incidente real que afecte a la organización.
94
– PP5 IMPLEMENTACIÓN
95
– PP5 IMPLEMENTACIÓN
GENERALIDADES
La Implementación es la Práctica Profesional del ciclo de vida de GCN que ejecuta las estrategias y
tácticas acordadas, por medio del proceso de desarrollar el Plan de Continuidad del Negocio (PCN).
El propósito es identificar y documentar las prioridades, procedimientos, responsabilidades y
recursos que ayuden a la organización a manejar un incidente disruptivo a la vez que complementan
las estrategias de continuidad y recuperación hasta un nivel predeterminado de servicio.
Los requisitos fundamentales para una respuesta efectiva de parte de la organización son:
• La capacidad para reconocer y valorar amenazas actuales y potenciales cuando se

presenten, y definir una respuesta apropiada;
• Un procedimiento claro y bien entendido para la activación, desactivación y control de
los procedimientos de respuesta de la organización a los incidentes (la estructura de
respuesta a incidentes);
• Tener personal responsable, con la autoridad y capacidad necesarias para implementar
las estrategias (u objetivos) de continuidad acordadas tal como se encuentran definidas
dentro de los planes de la organización, para continuar y recuperar las actividades
interrumpidas;
• La capacidad para comunicarse de manera efectiva con las partes interesadas externas e
internas; y
• Acceso a suficientes recursos para apoyar la estrategia de continuidad del negocio.
Los resultados se pueden alcanzar por medio de diversos métodos y técnicas y, cualquiera que sea el
abordaje que se utilice, es importante que sea apropiado para las necesidades de la organización.
Las acciones que se esbozan en los planes no pretenden cubrir todas las eventualidades ya que, por
su misma naturaleza, todos los incidentes son diferentes. Puede ser necesario adaptar los
procedimientos al evento específico que se presente y a las oportunidades que pueda haber creado.
Se dispone de diversos productos de software para ayudar a crear y mantener un PCN, pero no son
esenciales. El uso de software común de oficina a menudo es suficiente y es más incluyente para
todo el personal ya que no requiere capacitación especial. El software especializado puede ofrecer
beneficios en las áreas de manejo del plan en organizaciones grandes.
96
EL PLAN DE CONTINUIDAD DEL NEGOCIO

Introducción
Aunque la expresión "Plan de Continuidad del Negocios" (PCN) implica un único documento, éste
puede existir en cualquier nivel de la organización y puede incluir cualquier nivel de detalles
procedimentales. Puede abarcar la organización completa o parte de ella y puede estar estructurado
por productos, servicios, publicaciones, divisiones o departamentos y, en ciertos casos extremos, por
escenarios determinados.
La expresión "plan de continuidad del negocio" se encuentra definida en la norma ISO 22301 como
"Procedimientos documentados que orientan a las organizaciones para responder, recuperar,
reanudar y restablecer hasta un nivel predeterminado las operaciones luego de una disrupción."
Se pueden utilizar otras expresiones para describir este conjunto de procedimientos documentados:
típicamente planes de respuesta a emergencias y planes para la gestión de crisis. Dentro de esta
Guía de Buenas Prácticas, éstas se consideran simplemente como formas especializadas del PCN.
Aunque están claramente dentro de la definición genérica indicada arriba, dichos planes se podrían
administrar separados del PCN en algunas organizaciones y podrían necesitar conocimientos
especializados, como en el caso de las claves para manejar incidentes de extorsión y secuestro, por
ejemplo.
En muchas organizaciones, los departamentos de tecnología informática y comunicaciones (TIC)

podrían llamarlos planes para recuperación de desastres.
Otros nombres para los planes especializados que tienen las características generales de un PCN
incluyen:
• plan para manejo de incidentes o crisis;

• plan de contingencias;
• plan de respuesta a los medios;
• plan de pandemia;
• plan para retiro de productos;
• plan para peligros mayores;
• plan para recuperación de desastres;
• plan para continuidad del servicio; y
• plan para continuidad de operaciones
En el contexto de esta GBP, todas estas clases de planes (como quiera que se llamen) se consideran
parte del PCN.
97
El propósito del PCN es usarlo en situaciones de mucha presión, cuando la gente está estresada. El
diseño del plan debe tener esto en cuenta para que el documento sea focalizado, específico y fácil
de usar. Entre las características importantes de un PCN efectivo se encuentran:
• Directo – los planes deben proporcionar instrucciones claras, orientadas a la acción y

basadas en el tiempo, a la vez que permiten acceso rápido a la información de apoyo
pertinente;
• Adaptable - los planes deben permitir a la organización reaccionar ante una amplia gama
de incidentes disruptivos, incluyendo aquellos que la organización tal vez no haya
anticipado;
• Conciso – los planes sólo deben contener orientación, información y herramientas que
tengan probabilidad de ser utilizados por el equipo durante un incidente disruptivo.
Todo lo demás es superfluo; y
• Relevante – la información contenida en el plan debe ser actual y aplicable para el
equipo que la va a utilizar.
El PCN puede cubrir cualquiera o todas las etapas de la respuesta a un incidente, desde la respuesta
inicial hasta la reanudación de las actividades normales.
El PCN también necesita enfocarse en los niveles estratégicos, técnicos y operativos en los cuales
funcionan todas las organizaciones. No hay una definición única de lo que es estratégico, táctico u
operacional. La cantidad y las clases de planes se definen por el contexto más que por la teoría.
No existe una solución única sobre la manera de estructurar los planes. Se requiere una combinación
de experiencia general en el negocio, conocimiento de la organización y pericia en la CN para
encontrar la estructura más apropiada para una organización determinada. La retroalimentación
obtenida a través de diversos aplicaciones del plan y un análisis de los resultados de las pruebas
también pueden ayudar a mejorar la estructura de los planes como parte del proceso de
mantenimiento que se describe en PP6, la etapa de Validación.
Los niveles de respuesta estratégico, táctico y operativo ofrecen un modelo apropiado para
organizaciones de todos los tamaños pero deben ser implementados de tal manera que se ajuste a
la estructura administrativa y a la cultura de la organización. A continuación se presentan ejemplos
de cómo se podrían implementar los niveles en distintos tipos de organización:
• Organizaciones pequeñas, con una sola sede - en las organizaciones pequeñas con una
sola sede todos los niveles de respuesta se podrían implementar como un solo plan con
un único equipo que se encargue de la respuesta de toda la organización.
• Organización mediana - en una organización mediana, los niveles de respuesta se
podrían implementar así:
98
o Estratégico – un plan para el manejo de incidentes, con un equipo de respuesta
conformado por la alta gerencia
o Táctico – un solo plan que abarca la recuperación de todas las operaciones de la
organización, y un equipo de respuesta conformado por los líderes funcionales o los
jefes de departamento
o Operativo – generalmente está cobijado por el plan táctico, excepto el de TIC el cual,
debido al nivel de detalles técnicos que se requiere tiene su propio plan para
recuperación de desastres con un equipo técnico de recuperación de TIC.
• Organización grande- en una organización grande, los niveles de respuesta se podrían

incrementar así:
o Estratégico – un plan para manejo de incidentes, con un equipo de respuesta
conformado por la alta gerencia;
o Táctico – varios planes, cada uno para cubrir una división grande, un producto, un
servicio o una ubicación, cada cual con su propio equipo de respuesta conformado
bien sea por los líderes funcionales o los jefes de división, producto o servicio
responsables de las áreas cobijadas por el PCN; y
o Operativo – generalmente está cubierto por los planes tácticos individuales, excepto
las principales funciones de apoyo como TIC, finanzas, sedes e instalaciones, y
recursos humanos (RR.HH.) cada uno de los cuales tiene su propio equipo
especializado de respuesta o recuperación.
• Gran organización multinacional - en una organización multinacional grande, los niveles

de respuesta se podrían implementar de la siguiente forma:
o Estratégico – un plan global para manejo de incidentes con un equipo de respuesta
conformado por la alta gerencia, que tenga responsabilidades globales, y un plan
para manejo de incidentes para cada territorio, con un equipo de respuesta
conformado por la alta gerencia del territorio. Las organizaciones multinacionales a
menudo tienen otro nivel de plan estratégico orientado hacia las regiones;
o Táctico – cada territorio podría tener varios planes, cada uno para cubrir una
división mayor, un producto o un servicio, y cada cual con su equipo de respuesta
conformado por los líderes funcionales o los jefes de producto, o servicio
responsables de las áreas cobijadas por el PCN; y
o Operativo – cada departamento o ubicación cobijado por el PCN puede tener su
propio plan operativo detallado, con su propio equipo de recuperación conformado
por los gerentes operativos del departamento o la ubicación.
La estructura de respuesta a incidentes desde la etapa de diseño se utiliza para determinar el

número y el tipo de planes que conforman el PCN. En general, habrá una correspondencia biunívoca
entre los equipos de recuperación y respuesta y los planes que utilizan.
99
Cualquiera que sea la forma de la estructura de respuesta, es necesario establecer, para cada plan
que se desarrolle e implemente bajo la estructura, un equipo de recuperación o respuesta, con
procedimientos claros para responder a un incidente disruptivo.
Un plan de nivel estratégico es un plan de alto nivel que define cómo debe manejar la alta gerencia
los problemas estratégicos derivados de un incidente mayor. Tiene algunas características especiales
que lo diferencia de los planes tácticos operativos que conforman la mayor parte de los planes.
La respuesta de los medios ante cualquier incidente generalmente la maneja la alta gerencia. El plan
para manejo de incidentes también se puede utilizar cuando el incidente está por fuera del alcance
del programa GCN. Estos podrían incluir incidentes que no causan interrupción de las operaciones,
como fraudes o exposición negativa en los medios, y aquellas donde el impacto afecta un área más
amplia que la prevista en la estrategia de CN, como una emergencia nacional.
Los planes a nivel táctico coordinan y manejan la recuperación de una parte definida de la
organización, asegurando que las operaciones cobijadas por el plan trabajen mancomunadamente
hacia un propósito común y que, donde los recursos son escasos, éstos se asignen a las actividades
más urgentes. Manejan la interrupción, disrupción o pérdida del negocio desde la respuesta inicial
hasta el punto en el cual las operaciones del negocio se recuperan, y se basan en las estrategias
acordadas para la CN.
Cuando hay múltiples planes a nivel operativo, uno de los roles del equipo de respuesta táctica es
resolver cualquier conflicto que se presente entre los planes para asegurar que la recuperación se
mantenga focalizada y coordinada. Los planes de nivel táctico pueden cambiar las prioridades y
estrategias acordadas para la recuperación con el fin de tener en cuenta cambios estacionales,
prioridades actuales del negocio, o para atender las instrucciones de la alta gerencia.
Si el evento y la consiguiente disrupción están por fuera del alcance en el cual se basó un plan
táctico, la situación se debe referir a la alta gerencia.
Los planes de nivel operativo facilitan la recuperación de las actividades del negocio cobijadas por el
PCN, desde el comienzo del incidente hasta las fases de recuperación. Se basan en los
requerimientos y medidas acordadas para la recuperación, y establecen procedimientos y procesos
para recuperar las actividades hasta unos niveles de servicio previamente acordados.
Para aquellos departamentos que manejan infraestructura, los planes a nivel operativo brindan una
estructura para restaurar los niveles existentes o proporcionar instalaciones alternas para apoyar la
recuperación de otras unidades de negocios. También se pueden preparar planes para otros
servicios de apoyo, como recursos humanos, que pueden tener un papel especializado apoyando la
recuperación general o brindando asesoría especializada.
Los equipos de recuperación y respuesta en los niveles estratégico, táctico y operativo tal vez no
invoquen sus planes al mismo tiempo. La activación podría iniciarse en el nivel operativo y ascender
hasta el nivel estratégico. Por el contrario, la activación podría iniciarse en el nivel estratégico y bajar
100
hasta los equipos operativos. A medida que la organización se recupera y reanuda sus operaciones
normales, es indispensable que el proceso de desmovilización sea controlado en todos los niveles
hasta llegar a una declaración formal de que el incidente ha concluido
101
DESARROLLO Y MANEJO DE PLANES
Introducción
El número y tipo de planes que se deben establecer se habrá determinado utilizando la estructura de
respuesta a incidentes, la estrategia de CN y las opciones tácticas elegidas, la estructura gerencial
existente, y la naturaleza, escala y complejidad de la organización.
Aunque los principios y el abordaje básicos para preparar un PCN son similares en todas las
situaciones, se requieren diferentes grados de énfasis para los planes de distintos niveles. Involucrar
a la alta gerencia en el desarrollo y la implementación de los planes es esencial para obtener un
resultado exitoso. Casos de estudio basados en incidentes mayores sugieren que el manejo eficaz y
rápido de un incidente es el factor más significativo para proteger a una organización contra los
daños operativos, financieros, y de reputación.
Debido a que los planes tácticos operativos contienen información sobre la recuperación, no se
pueden desarrollar hasta que se hayan definido y acordado la estrategia y las opciones tácticas para
la CN. Por el contrario, el plan del nivel estratégico generalmente no contiene esa información y se
puede poner en marcha al comienzo del proceso de CN para dar una protección limitada antes de
desarrollar los demás planes.
debe contener determinados supuestos sobre el máximo nivel del incidente para el cual se está
diseñando, en términos de extensión, duración o impacto.
Proceso
Los pasos clave para desarrollar un plan incluyen:
• nombrar un dueño/patrocinador del plan;

• definir los objetivos y el alcance;
• desarrollar y aprobar un proceso y un programa para desarrollar planes;
• formar un equipo de planeación;
• acordar las responsabilidades del equipo de respuesta y su relación con los otros planes
y equipos de respuesta (estratégicos, tácticos y operativos);
• formar un equipo de respuesta que tenga las destrezas necesarias;
• decidir la estructura, el formato, los componentes y el contenido del plan;
• determinar las estrategias, como sedes alternas, sobre las cuales se basará el plan;
• recopilar información para poblar el plan;
• redactar el plan;
• hacer circular el borrador del plan para consultas y revisiones;
• recoger la retroalimentación de la consulta;
• modificar el plan según se requiera;
• acordar y validar el plan, por ejemplo ensayándolo en un ejercicio; y
102
• acordar un programa para ejercitar y mantener el plan con el fin de asegurarse de que
se mantenga vigente y que los equipos de respuesta estén actualizados.
Entre los métodos, las herramientas y las técnicas para permitir el desarrollo de los planes se
incluyen:
• reuniones y entrevistas (estructuradas y no estructuradas);

• listas de cotejo; y
• talleres
Los planes deben ser concisos y fáciles de leer. Están diseñados para ser usados en situaciones de
mucha presión, cuando la gente está estresada. Los planes no son informes y no deben contener
información innecesaria que no se vaya a requerir durante un incidente disruptivo.
Los planes pueden ser modulares para que se puedan entregar secciones separadas solamente a
aquellos equipos que las necesitan. Si se adopta este abordaje, es importante que alguien de la
organización mantenga una versión "maestra" que contenga todas las secciones del plan.
Se pueden adoptar diferentes métodos y técnicas para desarrollar los planes, como se describe a
continuación. Sin embargo, cualquiera que sea el método utilizado, los planes no se deben
desarrollar aisladamente. A todo aquel que tenga un rol identificado se le debe consultar durante el
desarrollo de los planes.
Es indispensable que todos los planes se conserven en lugares publicitados y (cuando sea necesario)
seguros para las personas interesadas clave que necesiten acceso. Cuando los planes se conservan
electrónicamente, es necesario asegurar que estarán accesibles durante los períodos de interrupción
en caso de que, por ejemplo, no esté disponible el sistema de manejo de documentos de la
organización.
Cuando sea prudente, se deben tener copias del plan en papel almacenadas en sitios conocidos. Esto
también debe incluir copias de materiales adicionales o "vínculos" a los que se haga referencia
dentro de los planes.
Todos los planes de todos los niveles deben contener varios elementos similares:
• propósito y alcance;
• objetivos y supuestos;
• estructura para manejo de incidentes (para la organización como un todo);
• responsabilidades del equipo de respuesta;
• miembros del equipo de respuesta (líderes, miembros principales y suplentes);
• responsabilidades individuales de los integrantes del equipo;
• movilización del equipo (instrucciones);
• activación del plan (procedimientos y autorización);
• invocación (de arreglos para la recuperación);
• detalles de contacto (usualmente se incluyen como apéndices);
103
• ubicaciones de las salas de reunión del equipo (centros de mando);
• comunicaciones (incluyendo empleados, contratistas, partes interesadas, clientes, y los
medios);
• información clave de etapas anteriores del ciclo de vida de la GCN, como detalles de las
actividades prioritarias para la organización, y cronogramas;
• listas de acciones; y
• procedimientos para desmovilizar el equipo y la organización una vez resuelto el
incidente.
El plan debe contener los motivos iniciales para la acción y cualesquiera acciones específicas o
decisiones que el equipo deba tomar.
Roles y responsabilidades: el personal asignado al equipo debe tener la autoridad y las capacidades
necesarias para responder a un incidente al nivel apropiado (estratégico, táctico, u operativo). Las
responsabilidades del equipo y los roles de las personas específicas dentro del equipo se deben
documentar teniendo esto en mente. Se deben identificar suplentes para cada rol.
Los roles específicos para los equipos, cada uno con sus respectivas responsabilidades, podrían
incluir:
• Líderes del equipo – quien se debe encargar de que el equipo de respuesta sea activado,
informado y conformado debidamente. Pueden nominar o reclutar miembros para el
equipo, si es necesario;
• personal y bienestar;
• comunicaciones internas – establecer y mantener contacto con otros equipos de
respuesta;
• comunicaciones externas – establecer y mantener contacto con personas interesadas y
con los medios;
• operaciones;
• soporte técnico; y
• soporte administrativo, incluyendo un secretario para llevar una bitácora durante todo
el incidente.
Movilización del equipo: el plan debe documentar las condiciones o circunstancias bajo las cuales se
movilizará el equipo. El plan puede incluir niveles de perturbación o umbrales de impacto que
puedan sustentar evaluación de incidentes y permitir al equipo tomar y escalar decisiones
oportunamente.
El plan debe indicar claramente cuáles integrantes del equipo tienen la autoridad para movilizarlo,
los objetivos de continuidad de la organización, y el equipo o instalaciones de apoyo que se
requieren. Sin embargo, estos procedimientos deben ser flexibles y adaptarse a la ausencia de uno o
más integrantes del equipo. Es mejor que un equipo actúe en caso de duda ya que es más fácil
desmovilizar un equipo que movilizarlo después de que el incidente se ha desarrollado más allá de
su capacidad para responder eficazmente.
104
Se deben documentar los medios a través de los cuales se notificará, movilizará y desmovilizará el
equipo para que esto se pueda hacer en el menor tiempo posible. Muchas organizaciones utilizan
actualmente sistemas automáticos de notificación para contactar al personal luego de un incidente.
Salón de reunión: el equipo debe acordar, con antelación, varios sitios posibles para reunirse,
prefiriendo aquéllos que cuentan con los recursos necesarios. La primera persona en ser notificada
debe identificar el lugar de reunión más apropiado así como una alternativa, según la información
sobre la situación actual. Dependiendo de la naturaleza del incidente, el equipo puede reunirse de
manera permanente o a intervalos definidos durante el día.
deben identificar con anticipación al menos dos lugares para que sirvan de centro de mando (centro
de manejo de incidentes o sala de control). Probablemente uno de ellos sea en el sitio donde el
equipo de respuesta normalmente tiene su base, pero el otro debe ser fuera del sitio.
El lugar fuera del sitio no tiene que ser de propiedad de la organización. Mediante arreglos previos,
un sitio que ofrezca acceso seguro durante las 24 horas, como un hotel, puede ofrecer las
instalaciones necesarias para una sala de reuniones.
Para incidentes de gran escala u organizaciones muy dispersas podría ser apropiado el concepto de
un equipo virtual para el manejo de incidentes con un centro de comando virtual, siempre y cuando
se puedan garantizar la capacidad para comunicación y acceso compartido a la información crítica en
términos de tiempo.
Es necesario analizar la mejor manera de utilizar el espacio para satisfacer las necesidades de:
• comunicaciones – entrantes y salientes;

• registrar eventos, decisiones, acciones y problemas;
• monitorear información sobre el incidente; y
• control de acceso.
Se deben tener en cuenta los siguientes recursos para el lugar de la reunión:
• suministro de energía estable y continuo;

• varios teléfonos fijos, equipo para teleconferencias y sistemas de grabación de voz;
• computadora e impresora;
• teléfonos móviles y comunicadores móviles con cargadores;
• acceso seguro a correo electrónico, Internet y fax;
• hojas de bitácora;
• copias impresas de los planes pertinentes e información urgente;
• equipo de radio y televisión;
• papelería;
• tablero/papelógrafo y marcadores que funcionen para registrar detalles del incidente así
como las medidas emprendidas y las decisiones tomadas por el equipo; y
• acceso a:
o refrigerios;
o Transporte;
105
o facilidades para dormir en el sitio o en un lugar cercano;
o baños y sanitarios.
Los equipamientos y los recursos necesarios se deben guardar en un "cofre de batalla" o "caja de
recuperación" que se mantenga dentro o cerca del centro de mando o en un lugar seguro fuera de
las instalaciones.
Actividades relacionadas con el personal: las organizaciones tienen la responsabilidad (que puede
ser exigida por la ley) de proteger la salud, seguridad y bienestar de sus empleados, contratistas,
visitantes y clientes. La estrategia de CN debe tener en cuenta los temas de personal y bienestar
durante todas las etapas de un incidente disruptivo. Es más probable que el personal de la
organización coopere de buena gana con las exigencias adicionales que se les hacen durante un
incidente si se satisfacen sus necesidades de bienestar.
Los temas que se deben tener en cuenta incluyen:
• necesidades especiales, incluyendo:

o responsabilidades familiares;
o embarazo;
o discapacidad; y
• manejar los temas relacionados con las víctimas, consultando con los servicios de
emergencia y según las normas y costumbres locales.
Durante un incidente, una o más personas se deben hacer responsables de:
• evacuar el sitio;
• contabilizar el personal de la organización y los visitantes;
• comunicarse con el plantel y demás personal en el sitio;
• llamar a los contactos de emergencia;
• ponerse en contacto con los parientes;
• ayudar con el transporte;
• establecer una línea de ayuda para el personal; y
• servicios de traducción.
Posteriormente, pueden presentarse necesidades adicionales como:
• Servicios de consejería y rehabilitación – esto se podría ofrecer como parte de un

paquete de salud para los empleados;
• enlace con servicios especialistas cuando se trata con los parientes cercanos;
• alojamiento temporal;
• acceso a instalaciones o dinero para emergencias;
• necesidades de bienestar en sitios alternos:
o necesidades especiales;
o refrigerios;
o seguridad personal;
o transporte y accesibilidad
106
o capacitación adecuada sobre los equipos de reemplazo; y
o baños y sanitarios.
Enlace con los servicios de emergencia: si la organización es responsable de su propio sitio y sus
propias instalaciones, se debe nombrar personal con un nivel de experiencia y autoridad apropiado
para hacer el enlace con los servicios de emergencia desde el momento de su llegada y
posteriormente, según se requiera.
Los servicios de emergencia deben recibir información sobre la ubicación de cualquier víctima, el
estado actual de la situación y cualquier peligro conocido que puedan encontrar.
Mientras se encuentren en el sitio, las instrucciones impartidas por los servicios de emergencia
tienen prelación sobre las instrucciones dadas por la propia gerencia y el personal de la organización.
Una vez que los servicios de emergencia han entregado formalmente el control y han abandonado el
sitio, la organización retoma la responsabilidad por su propio sitio.
Es necesario establecer comunicaciones con las siguientes personas y entidades:
• empleados y contratistas;
• otras partes de la organización;
• parientes, amigos y contactos de emergencia;
• clientes y consumidores;
• accionistas, inversionistas, miembros de la junta o propietarios;
• proveedores y prestadores de servicios;
• autoridades regulatorias;
• miembros o sectores del público; y
• medios de comunicación – periódicos locales y nacionales, radio, televisión, internet,
redes sociales y otros.
La responsabilidad de comunicarse con cada uno de estos grupos debe ser definida por el equipo
como parte integral del desarrollo de la estructura para responder a los incidentes.
Existe una consideración práctica para asegurar que los mensajes sean rápidos y efectivos. Las
organizaciones grandes a menudo utilizan sistemas de notificación de emergencia para hacer frente
al gran volumen de llamadas que se requiere.
Para el caso de organizaciones más pequeñas, tal vez no se justifique el costo de instalar sistemas
automáticos de llamada, de modo que es necesario identificar y probar medios manuales. El método
más tradicional es usar árboles y cascadas de llamadas.
Enlace con los medios de comunicación: el plan a nivel estratégico debe tener en cuenta la forma
como la organización va a manejar las comunicaciones con los medios, pero todos los planes deben
incluir una referencia al plan de medios así como instrucciones para el personal de la organización
sobre lo que deben hacer cuando sean abordados por los medios.
107
Los planes también deben contener información sobre las medidas que debe tomar el personal de la
organización si se encuentra involucrado en un incidente que haya atraído, o probablemente atraiga,
la atención de los medios y a quién deben informar en la organización si son contactados por los
medios.
El resultado del proceso es un conjunto de planes actualizados y efectivos que cubren la respuesta
estratégica, táctica y operativa ante incidentes que puedan causar perturbaciones graves en las
operaciones de la organización. Se debe instaurar un programa de mantenimiento para cada plan
con el fin de asegurar que se mantenga actualizado.
108
PLANES ESTRATÉGICOS
Introducción
Los planes estratégicos definen cómo la alta gerencia debe tratar y manejar los problemas
estratégicos derivados de un incidente mayor.
Algunos incidentes requieren una respuesta estratégica que no es el resultado de una perturbación
física de las actividades (por ejemplo, aquellos que involucran solamente amenazas a la reputación)
y, por lo tanto, tal vez no impliquen la activación de un plan. Sin embargo, pueden producir la
movilización de un equipo para quienes tienes roles y responsabilidades en el manejo del área
afectada y el posible daño a la reputación. En esos casos, casi siempre es necesario involucrar al
equipo de nivel estratégico, así sea nada más para que estén enterados de la situación en caso de
que se crezca.
Es importante que una organización escoja un nombre para el plan que se ajuste a su propia cultura
y estructura. Usar términos familiares para los nombres de los planes y los equipos puede fomentar
la comprensión y la aceptación.
Debido a que, por naturaleza, todos los incidentes son diferentes, un plan estratégico es un conjunto
de información y pautas de alto nivel que serán útiles para el equipo que tenga la tarea de activar
una respuesta ante un incidente disruptivo.
Una vez activado, el plan de nivel estratégico debe referirse a la necesidad de comunicarse y
controlar las actividades de todas las partes involucradas. El contenido de un plan de nivel
estratégico se debe ajustar a la naturaleza, escala y complejidad de la organización.
El plan estratégico puede contener material de referencia sobre las estrategias para diferentes
partes de la organización, o información genérica de respuesta para incidentes específicos, tales
como la pérdida de un edificio o una pérdida mayor de TIC. El propósito no es fomentar el micro
manejo del incidente sino ofrecer al equipo información resumida, como la manera de responder o
los tiempos involucrados.
Durante un evento disruptivo, los integrantes del equipo estratégico son responsables de la
estabilidad, continuidad y reputación de la organización. Su responsabilidad es implementar y
adaptar la estrategia general de respuesta cuando la organización se encuentra amenazada. Algunas
responsabilidades específicas del equipo de nivel estratégico incluyen:
• definir los objetivos estratégicos de la respuesta al incidente;

• diseñar estrategias de corto, mediano y largo plazo, dependiendo de la naturaleza del
incidente;
• manejar las comunicaciones con todas las partes interesadas, incluyendo los medios de
comunicación;
109
• aprobar las declaraciones externas antes de que sean publicadas, y monitorear y ajustar
la estrategia de comunicaciones a medida que sea necesario;
• monitorear la respuesta general y el avance de la recuperación;
• resolver conflictos en la respuesta y la recuperación;
• asegurar que la respuesta y la recuperación estén acordes con los intereses a largo plazo
de la organización;
• identificar y maximizar las oportunidades o ventajas que surjan del incidente;
• aprobar los gastos significativos;
• asegurar la salud financiera de la organización; y
• asegurar que cualquier respuesta y recuperación satisfaga las obligaciones legales y
reglamentarias de la organización.
Algunos recursos específicos que el equipo estratégico podría utilizar, además de los identificados
anteriormente para todos los planes, incluyen:
• estudios de radio y televisión –para ensayar entrevistas;

• línea de comunicaciones y cámara para trasmitir entrevistas directamente a la estación
de radio o televisión, y para videoconferencias;
• un lugar separado y cercano para recibir a la prensa; y
• Instalaciones para monitorear y transmitir a través de las redes sociales.
Éstos se encuentran sujetos a limitaciones de presupuesto y disponibilidad del servicio.
Comunicaciones
El plan de comunicaciones debe considerar la forma como la organización manejará las
comunicaciones con las partes interesadas internas y externas, incluyendo los medios de
comunicación. El plan se puede incluir dentro del plan del nivel estratégico o puede existir como un
documento separado.
El plan de comunicaciones debe:
• identificar las partes interesadas y los públicos internos y externos, registrar los datos de
contacto y, cuando sea posible, definir los requerimientos o expectativas de
comunicación de cada grupo;
• definir los métodos o canales disponibles para comunicarse con cada grupo interesado,
por ejemplo, internet, redes sociales, radio local, y periódicos nacionales;
• incluir una selección de métodos y canales de comunicación para que el equipo tenga
una disponibilidad asegurada, incluso si el incidente afecta a uno o más canales;
• identificar al grupo o persona en la organización que tenga la responsabilidad, autoridad
y conocimientos técnicos para entregar comunicaciones a través de cada uno de los
métodos o canales disponibles. Cuando sea posible, se deben utilizar relaciones
existentes para comunicarse con las partes interesadas;
• decidir con anticipación quién será el vocero de la organización y luego asegurar que:
o el vocero o los voceros reciban entrenamiento para su papel;
110
o se conozca proceso para crear y difundir declaraciones a los medios, incluyendo la
manera de obtener la aprobación interna antes de su divulgación;
o haya suficiente personal para informar a los medios en un lugar central así como
representantes que puedan estar en el sitio de un incidente local;
o haya un vocero técnico designado, si es del caso, para el incidente; y
o asignar la responsabilidad de monitorear y revisar la respuesta de la parte
interesada a las comunicaciones difundidas a través de cada uno de los medios o
• canales con el fin de evaluar su efectividad y ajustar los mensajes según se requiera.
Si es del caso, la organización puede trabajar con especialistas como compañías de relaciones
públicas para desarrollar la respuesta a los medios y pueden pensar en contratar a un asesor para
usarlo durante un incidente. De ser posible, la organización de desarrollar una relación con personal
clave de los medios de comunicación antes de cualquier incidente disruptivo. La organización
también podría pensar en usar un servicio de monitoreo de medios y recortes de prensa, y de
monitoreo de redes sociales y salas de chat.
El volumen, la diversidad y la urgencia de las comunicaciones luego de un incidente pueden ser

considerables. El plan de comunicaciones puede acelerar la respuesta si incluye mensajes pre-
formateados o declaraciones escritas previamente. El plan de comunicaciones puede:
• adelantarse a buena parte de la información que probablemente requieran las partes

interesadas conocidas, como empleados, clientes, y accionistas;
• desarrollar declaraciones escritas previamente para estas comunicaciones previsibles,
conservando la capacidad para adaptar el mensaje al momento y las circunstancias del
incidente disruptivo;
• desarrollar preguntas y respuestas para los incidentes más probables; y
• desarrollar un texto predefinido sobre la organización que se pueda divulgar para
describir a la compañía en declaraciones al público y a los medios.
Los resultados del proceso de planeación estratégica incluyen:
• un plan que pueda apoyar a la alta gerencia de una organización durante un incidente
disruptivo;
• un plan para manejar las comunicaciones con las partes interesadas y con los medios
durante un incidente disruptivo;
• evidencia de preparación para el manejo de incidentes para mostrar a las partes
interesadas externas e internas; y
• cumplimiento con los requisitos legales, regulatorios y de buen gobierno.
Una revisión o auditoría debe estar alineada con la revisión de otros planes, estrategias y tácticas. El
plan puede ser activado por cambios significativos en el negocio o la organización, o por cambios
significativos en el entorno externo de las operaciones.
111
PLANES TÁCTICOS
Introducción
Los planes de nivel táctico recoge la respuesta de toda la organización a un incidente disruptivo
facilitando la continuidad y reanudación de las actividades del negocio. Quienes utilizan los planes
deben estar en capacidad de analizar la información provista por los equipos de respuesta sobre el
impacto del incidente, seleccionar y desarrollar estrategias o métodos apropiados entre los que se
ofrecen en los planes, dirigir la reanudación de las unidades del negocio según las prioridades
acordadas, y trasladar la información sobre el avance al equipo del nivel estratégico.
El contenido de estos planes varía de una organización a otra. Tendrá diferentes niveles de detalles
según la cultura de la organización, la complejidad técnica de las soluciones, y la medida en que las
soluciones planteadas por la respuesta difieran de las operaciones cotidianas. Rara vez es posible
escribir un plan efectivo a menos que estén establecidos o esté muy avanzada la planificación de los
elementos clave de la estrategia de reanudación.
El plan debe estar orientado hacia la acción y debe ser fácil de consultar en condiciones de estrés.
No debe ser prescriptivo ni debe incluir información ni documentos que no sean necesarios durante
un incidente.
Siempre debe contener supuestos sobre la escala del incidente a manejar (en términos de extensión,
duración o impacto sobre el personal). Si la escala del incidente sobrepasa los supuestos, éste se
debe trasladar al equipo del nivel estratégico.
Proceso
Los pasos específicos para desarrollar los planes tácticos pueden incluir las siguientes activitidades:
• nombrar una persona para manejar el desarrollo de todos los planes;

• desarrollar un proceso y un cronograma para la planificación. Normalmente
comenzando con los planes para las actividades de mayor prioridad para el negocio,
cuando esto sea técnicamente posible;
• decidir la estructura, el formato, los componentes y el contenido de los planes; y
• desarrollar un bosquejo o plantilla de plan para fomentar la estandarización de los
documentos pero permitir variaciones individuales cuando sea apropiado y
técnicamente posible.
Los planes tácticos deben contener suficiente información para permitir a los equipos del nivel
táctico continuar o recuperar las actividades del negocio cobijadas por el plan.
Un plan táctico debe incluir procedimientos detallados para que el equipo:
• responda rápidamente a la activación;

• evalúe la información y tomar decisiones (seguir/no seguir);
112
• movilice los equipos e invoque los recursos;
• inicie procedimientos de respuesta y actividades de recuperación;
• comunique y reciba información de otros equipos; y
• monitoree el progreso y reporte el estado al equipo de nivel estratégico
Las responsabilidades específicas de los equipos de respuesta pueden incluir:
• coordinar y monitorear la respuesta de recuperación de equipos subalternos

• asignar los recursos disponibles a equipos subalternos;
• cambiar las prioridades y acciones de recuperación acordadas para tener en cuenta
cambios estacionales, condiciones del negocio, o instrucciones emanadas del nivel
estratégico;
• monitorear las principales funciones de apoyo: TIC, RR.HH., Sitios e instalaciones, y
Finanzas;
• solicitar y recibir información de otros equipos de respuesta;
• reportar al equipo de manejo de incidentes; y
• movilizar proveedores de servicios especializados según se requiera, como proveedores
de servicios de salvamento y recuperación.
Los recursos disponibles podrían incluir listas de:
• personal;
• requisitos de bienestar;
• ubicaciones alternas;
• arreglos de seguridad
• tecnología, comunicaciones y datos;
• transporte y logística;
• otros proveedores y prestadores de servicios;
• información de contacto para acceder a esos recursos; y
• recursos necesarios para reanudar cada actividad.
El plan podría incluir:
• información de contactos de la organización;

• información sobre partes interesadas clave y detalles de contacto (clientes,
consumidores, prestadores de servicios);
• lugar seguro para depositar documentos legales, como contratos, acuerdos de nivel de
servicio y pólizas de seguros;
• espacios de trabajo contratados para la recuperación; y
• procedimientos para obtener fondos de emergencia.
113
La revisión del proceso de planeación incluye:
• aprobación de la alta gerencia; y

• un marco dentro del cual puedan trabajar los planes a nivel operativo.
Cierta información que puede perder actualidad rápidamente, como la información de contacto, se
debe revisar periódicamente, de acuerdo con la política de continuidad del negocio. Otra
información se debe revisar formalmente a intervalos preestablecidos y se debe validar validar por
medio de ejercicios.
Otros factores que pueden llevar a una revisión son:
• un cambio organizacional significativo (por ejemplo, adquisición, desinversión, fusión);

• un cambio mayor en el proceso del negocio;
• un cambio significativo en el personal; y
• un cambio significativo de los servicios de TIC.
114
PLANES OPERATIVOS
Introducción
los planes de nivel operativo cubren la respuesta que tienen los distintos departamentos o unidades
de negocios ante el incidente. Los planes de niveles inferiores rápidamente se vuelven inmanejables
si se incluyen todos los procedimientos de recuperación en un solo documento. Cuando esto sucede,
los planes de respuesta de recuperación para cada unidad de negocios se deben recoger en uno o
más planes discretos que se vuelvan responsabilidad de la unidad de negocios a la cual que se
refieren.
Algunos ejemplos de planes de nivel operativo son:
• un plan para que el departamento comercial reanude sus funciones dentro de un

período predeterminado;
• una respuesta de recursos humanos a los problemas de bienestar durante un incidente;
• procedimientos para ayudar a un equipo de nivel táctico, a menudo dirigido por un
departamento, que se encargue de la respuesta física al incidente, el salvamento y la
restauración; y
• la respuesta de un departamento de TIC a la pérdida y posterior reanudación de las
aplicaciones y servicios de TIC para el negocio.
La complejidad y la urgencia de los procesos del negocio pueden definir un plan operativo que cobije
una sola actividad o un plan a nivel departamental para varias actividades. De igual forma, estos
planes pueden estar apoyados en planes más detallados para respuestas, ubicaciones o equipos
específicos.
Debido a los muchos vínculos entre los planes tácticos y los de la respuesta operativa, los planes
tácticos se deben escribir, al menos en forma de bosquejo, antes de finalizar los planes operativos.
Proceso
El plan debe estar orientado hacia la acción y debe ser fácil de consultar en condiciones de estrés.
No debe incluir información ni documentos que no se necesiten durante un incidente.
Etapas específicas durante el desarrollo del plan:
• nombrar una persona para manejar el desarrollo de todos los planes operativos;
• nombrar un representante dentro de cada unidad de negocios para desarrollar su plan;
• desarrollar un proceso y un cronograma para la planificación. Cuando sea técnicamente
factible, comenzar con los planes para las actividades más urgentes del negocio;
• definir la estructura, el formato, los componentes y el contenido de los planes;
• desarrollar un plan modular, bosquejo o plantilla para fomentar la estandarización de los
documentos, pero permitir variaciones individuales donde sea apropiado y
técnicamente factible;
115
• documentar las conexiones con los planes de nivel táctico y entre planes operativos;
asegurar que las unidades de negocios nombran personas para desempeñar los roles
clave dentro de sus planes;
• manejar y coordinar el desarrollo de los planes dentro de las unidades de negocios;
• hacer circular el borrador del plan para consulta, revisión e impugnación dentro y,
donde sea necesario, fuera de la unidad de negocios;
• recoger la retroalimentación de las consultas;
• modificar el plan según se requiera;
• validar el plan por medio de un ejercicio con la unidad de negocios;
Los planes pueden incluir instrucciones referentes a:
• Bienestar del personal;

• acceso y uso de las instalaciones;
• reanudación de las actividades de la unidad de negocios dentro de determinados
tiempos deseados de recuperación;
• enlace con los equipos de continuidad de servicio de; y
• movilización de los equipos e invocación de los recursos que se requieren para la
recuperación.
Los anteriores planes pueden incluir los siguientes procedimientos e información apropiados, tales
como:
• Plan de evacuación y población de edificios (por ejemplo, albergues seguros;

• Respuesta inicial a la activación;
• Contactar a los integrantes del equipo;
• Puntos de evacuación (incluyendo puntos alternos o fuera del sitio)
• Plan de reanudación para cada actividad;
• Números de contacto personales;
• Enlace con servicios de emergencia;
• Otros contactos clave;
• Procedimiento para amenaza de bomba;
• Procedimiento para reanudación del negocio, por tiempo y datos requeridos
• Re-despliegue de personal y visitantes;
• Recursos de salvamente y asistencia contratados
• Actividades prioritarias, por tiempo;
• Procedimientos y requerimientos para escalación
• Requerimientos de espacio, asientos y recursos
• Asuntos de RR.HH. y bienestar;
• Riesgos de salud y seguridad;
• Procedimientos especiales o no estándar;
• Procedimientos para contabilizar el personal;
• Asuntos de trabajo en proceso;
116
• Procedimientos para contactar al personal;
• Recursos y materiales necesarios.
• Recursos de consejería y rehabilitación;
Los resultados del proceso de planificación operativa incluyen:
• Planes documentados para departamentos o unidades de negocios;

• Elementos de juicio para determinar el éxito, y procedimientos para desmovilización; y
• Roles claramente definidos dentro de las unidades de negocios;
Los planes operativos deben ser revisados si se presenta un cambio mayor en el proceso del negocio
o la tecnología dentro de la unidad de negocios, y cuando se hacen cambios en los planes asociados
o relacionados.
117
– PP6 VALIDACIÓN
118
– PP6 VALIDACIÓN
GENERALIDADES
La Validación es la Práctica Profesional del ciclo de vida del GCN que confirma que el Programa de
GCN reúne los objetivos fijados en la Política de CN y que el PCN de la organización es apto.
La Validación tiene como propósito garantizar que la capacidad refleja la naturaleza, escala y
complejidad de la organización, que además es actual, precisa y perfecta y que las acciones se toman
para mejorar la resiliencia organizacional continuamente.
La validación se logra a través de las siguientes tres actividades:
• Ejercicios;
• Mantenimiento; y
• Revisión
119
DESARROLLO DE UN PROGRAMA DE EJERCICIOS

Introducción
Se requiere un Programa de Ejercicios planeado de antemano para garantizar que todos los aspectos
de respuesta a un incidente se han probado mediante ejercicios. Esto se refiere particularmente a:
• Que toda la información de los planes sea verificada;

• Que todos los planes sean ensayados;
• Que todo el personal capacitado (incluyendo los suplentes) haya realizado los ejercicios.
La capacidad de la CN de una organización no es confiable hasta no haber realizado los ejercicios. Sin
importar qué tan bien diseñada una estrategia de CN o un Plan de Continuidad de Negocio (PCN)
aparenta ser, ejercicios robustos y sólidos identifican temas y supuestos que requieren atención.
Para que un Programa de Ejercicios sea exitoso debe iniciar sencillamente por lo simple y escalar
gradualmente en términos de complejidad y retos.
El programa de ejercicios incluye los siguientes objetivos:
• Evaluar la capacidad actual de la organización en términos de la CN;

• Identificar las áreas por mejorar o que carecen de información;
• Destacar los supuestos que requieren ser cuestionados;
• Inculcar confianza entre los participantes;
• Crear equipos de trabajo;
• Dar a conocer la CN a lo largo de toda la organización; y
• Probar la eficacia y la oportunidad de los procesos de restauración
El Programa de Ejercicios requiere una combinación de técnicas que garantice el cumplimiento de

los objetivos a lo largo de la organización mediante un cronograma preestablecido.
De igual manera debe incluir un adecuado número de elementos de la estrategia de CN. Éstos
pueden incluir:
• Técnica – ¿realiza todo el trabajo de equipo requerido?

• Procedimientos – ¿los procedimientos y planes son adecuados?
• Logística – ¿los procedimientos se enlazan de manera lógica?
• Oportunidad – ¿los procedimientos cumplen el objetivo del plan de recuperación en
cada actividad?
• Administración – ¿los procedimientos se pueden controlar? y
• Empleados - ¿las personas comprometidas son idóneas? ¿Tienen las habilidades,
autoridad y experiencia requeridas? ¿Cada uno conoce la función que desempeña?
La frecuencia del programa de ejercicios depende de la naturaleza, tamaño y complejidad de una

organización. Se recomienda que los ejercicios comprometan a cada uno de los miembros de la
organización responsables de responder a los incidentes (incluyendo los suplentes) y a estar
comprometidos, al menos, a realizar los ejercicios cada 12 meses.
120
La política de la CN de la organización y el programa de gestión de GCN lideran la planeación y la
administración del Programa de Ejercicios realizado por un especialista en capacitación y con los
recursos necesarios adecuados.
La norma ISO 22301 define un Ejercicio como un proceso de formación para capacitar, poner en
práctica y mejorar el desempeño en una organización.
Realizar ejercicios es una frase genérica usada en la Guía de Buenas Prácticas (GPG) que se ciñe a
realizar ‘pruebas’ con la intención de aprobar o desaprobar, comúnmente utilizado cuando se
ensaya un equipo o una tecnología. Los ejercicios se usan para validar la política, planes,
capacitación y comunicaciones, al igual que para revisar las funciones y responsabilidades de los
equipos y de las personas.
Cuando la entrega de un producto o servicio se subcontrata, la responsabilidad del programa de

ejercicios recae en la organización que realiza la subcontratación. Dicha organización debe
asegurarse, por medio de los ejercicios, que el subcontratista puede cumplir con sus obligaciones.
Asi mismo es conveniente establecer acuerdos interinstitucionales para realizar un programa de
ejercicios entre las partes interesadas. De esta manera otros proveedores de recursos, productos y
servicios prioritarios pueden ser identificados en la etapa de Análisis de Vida Útil de GCN, a quienes
se les debe solicitar que demuestren la capacidad de recuperación ante una urgencia.
Proceso
• Revisar el ámbito de aplicación (planes, recuperación de recursos y actividades) con
pruebas previas para identificar las áreas que no han tenido un programa de ejercicios
recientemente;
• Discutir con la Alta Gerencia cualquier área que perciba debilidades y tenga prioridad
para realizar un Programa de Ejercicios;
• Determinar el presupuesto del Programa de Ejercicios;
• Decidir los tipos de ejercicios adecuados para las áreas durante el período de
planificación (al menos con un año de anterioridad);
• Verificar la disponibilidad del personal requerido y de las instalaciones donde se
realizarán los ejercicios;
• Redactar un programa de ejercicios;
• Presentar el programa ante la Alta Gerencia, si es del caso; y
• Identificar los requisitos que los participantes o planeadores requieran e integrarlos al
Programa de Ejercicios
Tipos de ejercicios
Los ejercicios tienen diferentes nombres dependiendo de su rango y complejidad, pero en principio
se encuentran en las siguientes cinco categorías:
121
Ejercicios basados en la discusión
Entre los tipos de ejercicios éstos se consideran como los más rentables y los que menos tiempo
requieren. Usualmente se trata de acontecimientos estructurados donde los participantes exploran
temas pertinentes y elaboran planes en un ambiente sin ningún tipo de presión. Estos ejercicios se
concentran en un tema específico que se necesita mejorar, identificado con el objetivo de buscar
una posible solución.
Ejercicios de simulación
Son ejercicios comúnmente usados donde la discusión se basa en una situación relevante con un
cronograma en ‘tiempo real’ o incluye ‘saltos en el tiempo’ que muestra diferentes fases de la
situación que requiere del programa de ejercicios. Se espera que los participantes estén
familiarizados con los ejercicios debido a que se necesita demostrar cómo éstos trabajan a medida
que la hipótesis se va desarrollando. Los ejercicios de simulación pueden ser reales, con un método
de costo efectivo y eficiente. Esta clase de ejercicios puede mejorarse considerablemente con el uso
de medios de comunicación que crean un escenario más real.
Ejercicios de puestos de mando
Estos ejercicios típicamente incluyen equipos administrativos a nivel estratégico, táctico u

operativo. Los participantes se eligen de toda la organización (pueden integrar a otras partes
interesadas) y todos trabajan desde sus lugares habituales de trabajo.
En este programa de ejercicios la información es tal que los participantes simulan un incidente real.
Ellos deben responder como lo harían en la vida real y se espera que enfrenten todas las situaciones
que se presenten y vinculen a otros participantes, si es del caso. Los ejercicios tienen la ventaja
añadida de comprobar el flujo de información, comunicación y de equipos, como también los
procedimientos, toma de decisiones y coordinación.
Ejercicios en vivo
Los ejercicios en vivo pueden oscilar desde un ensayo a pequeña escala con un solo componente
como respuesta, (por ejemplo una evacuación) hasta uno a gran escala con toda la organización y
con la participación de otras partes interesadas. Estos ejercicios están diseñados para que participen
todos los interesados en buscar una solución. Son particularmente útiles donde hay un
requerimiento de tipo legal o reglamentario, o cuando se ha identificado que existe un alto riesgo
para la organización y la respuesta y planes de recuperación deben estar debidamente probados.
Estos ejercicios se consideran como el modo más apropiado y real para capacitar personas y para los
planes de prueba. Sin embargo poseen una serie de desafíos que por su naturaleza no siempre son
los del formato más eficaz, por ejemplo cuando los recursos requeridos son tan altos que tienen
implicaciones financieras. Se debe evitar la interrupción de la operación normal de la organización y
se debe considerar cualquier impacto que pueda sufrir su reputación.
Ejercicios de prueba
122
Este tipo de ejercicios único y particular incorpora la prueba con miras a aprobar o desaprobar un
elemento como una de las metas u objetivos de los ejercicios que se plantean (norma ISO
22301:2012). Usualmente se aplica a los equipos y a los procesos de recuperación o tecnologías. No
se aplica a las personas. Por ejemplo, la reconstrucción de un servidor con el back-up de casetes en
un número determinado de horas.
Los resultados son los siguientes:
• Un efectivo Programa de Ejercicios; y

• Los requisitos definidos para los recursos (incluyendo el presupuesto) y la capacitación
para el Programa de Ejercicios.
Un Programa de Ejercicios de la organización se debe revisar con regularidad para asegurar que
cumple con los objetivos y que valida totalmente la efectividad del programa de GCN.
123
CÓMO SE DESARROLLA UN PROGRAMA DE EJERCICIOS

Introducción
Cada uno de los ejercicios del Programa de Ejercicios debe ser preestablecido cuidadosamente para
obtener el mayor beneficio del tiempo invertido en el desarrollarlo y entregarlo.
Realismo: los ejercicios deben ser lo más reales posible. Éstos se deben efectuar usando los mismos
procedimientos y métodos como si se tratara de una situación real. Aunque es lo ideal, es poco
práctico realizar ciertos ejercicios sin alterar los métodos de ‘vivirlos’. La utilidad de un ejercicio se
reduce cuando se elige un escenario irreal. Establecer un escenario de negocio genuino ayuda a
garantizar que los participantes están plenamente identificados con los ejercicios y que se
benefician de la experiencia. La selección de un escenario apropiado ayuda a demostrar la validez de
los planes. Es primordial que el facilitador trabaje con hechos para asegurar que los participantes
obtengan el máximo provecho por medio del realismo en el escenario y del material de soporte.
Cada vez más la tecnología desarrollada por terceros se presenta con el fin de agregarle realismo a
los ejercicios. La mayoría de las veces aparece en forma de juegos que atraen el máximo interés de
los participantes y congrega a los empleados que anteriormente no habían estado interesados. La
participación de terceros, aunque causa cierto escepticismo, crea mayor atención e interés de los
participantes en los ejercicios.
Exposición mínima: el programa de ejercicios debe enfocarse a potencializar los beneficios

empresariales y a reducir al mínimo la exposición a una interrupción. Desafortunadamente los
ejercicios en algunas oportunidades, son la causa de que se presenten algunas fisuras en la
organización, por lo tanto es importante que quienes planean y gestionan los ejercicios se aseguren
de que:
• La posibilidad de que se presente alguna interrupción en la organización y el impacto

que ocasione están controlados; y
• La Alta Gerencia entiende y acepta el riesgo residual de que algo salga mal
Costos y beneficios: el costo de organizar y poner en marcha un programa de ejercicios depende del
tipo de ejercicios seleccionado. Mientras más complejos sean los ejercicios mayor es su costo y
pueden crear mayor riesgo a interrumpirse; sin embargo generan mucho más confianza en la
efectividad de la respuesta.
Preparación: el ámbito de aplicación y complejidad de los ejercicios determina las habilidades que el
equipo que lo diseña y ejecuta requieren. Lo ideal es que los miembros del equipo tengan un diseño
del ejercicio / habilidades de comunicación y conozcan la organización o el sector empresarial que
están probando.
Aunque generalmente se busca que el personal interno desarrolle y ejecute el programa de

ejercicios, existen otras opciones que incluye contratar a terceros. Entre estas alternativas están los
Servicios de Emergencia, siempre dispuestos a participar en algunos ejercicios básicos, entre ellos los
de evacuación.
124
Bien sea conducido por personal interno o contratado a terceros, una persona o un equipo debe ser
nombrado para ejecutar el programa de ejercicios. El elegido (algunas veces llamado el director de
los ejercicios) maneja los ejercicios de acuerdo con el plan /programa e inicia y controla las
diferentes etapas, a medida que se van desenvolviendo.
Participantes: quienes integran el programa de ejercicios pueden incluir:
• Facilitador(es);
• Observador(es);
• Equipos de respuesta a incidentes en niveles estratégicos, tácticos y operativos, según
corresponda;
• Representantes departamentales de BC;
• Proveedores de recursos y servicios de recuperación;
• Servicios de emergencia;
• Autoridades locales planificadoras de emergencias;
• Expertos en determinadas materias; y
• Auditor(es).
Siempre y cuando sea apropiado, debe incluirse un grupo interesado más amplio, como son los
clientes, proveedores, reguladores, legales / organismos de profesionales, agencias, servicios de
emergencia y el sector del voluntariado.
Invitar a observadores y medios de comunicación requiere especial consideración. Las ventajas y

desventajas de permitir que visitantes observen el programa de ejercicios debe consultarse con la
Alta Gerencia y pensar en los riesgos para la organización, como también las implicaciones para la
salud y la seguridad.
Aunque a veces es necesario realizar las pruebas sin previo aviso (por ejemplo, en horas extras),
generalmente a los participantes clave se les avisa sobre el programa de ejercicios con anterioridad
para minimizar el riesgo de tener que interrumpir el trabajo normal de la organización. El tiempo de
aviso y el número de participantes pre-avisados puede reducirse debido a que la organización se
vuelve más confiada en su capacidad de BC.
Proceso
Aunque una serie del programa de ejercicios es realizado con la validación del programa de GCN, el
siguiente proceso se utiliza (en grados distintos que dependen de su complejidad) para los ejercicios
individuales:
• Acordar el ámbito de aplicación, las ayudas requeridas, los objetivos y el resultado que
se espera del programa de ejercicios;
• Seleccionar el equipo que planeé el programa de ejercicios;
• Diseñar el programa de ejercicios, incluyendo el presupuesto y evaluar los riesgos que
los ejercicios en vivo puedan tener, en caso de que sean necesarios;
• Conducir – ejecutar el programa de ejercicios;
125
• Hacer una breve evaluación y un informe con los resultados de los ejercicios, que
incluya una corta valoración de los participantes, inmediatamente después de finalizado
el programa de ejercicios; y
• Hacer un seguimiento a los temas planteados en el programa de ejercicios
Planear el programa de ejercicios: el programa de ejercicios debe contener una lista cronológica de
eventos, con los resultados esperados de cada uno de los participantes. El programa vincula
simulación con acción y refleja el evento que pide a los jugadores aplicar el procedimiento que se
está validando. Los eventos programados de manera individual generalmente se conocen como
“inyectores” y puede entregarlos el facilitador o los medios de comunicación.
Cada inyector debe contener la siguiente información:
• Que el objetivo del programa de ejercicios se cumpla;

• Que el evento designado tenga un plazo de tiempo;
• Que el evento sea descrito;
• Que un miembro del equipo del programa de ejercicios entregue el inyector;
• Que haya un participante responsable de la acción del evento; y
• Que haya respuesta por parte de los participantes
Antes de comenzar el programa de ejercicios: todos los participantes deben saber lo que se espera
de ellos durante la ejecución y una vez finalizados los ejercicios. Para lograr este objetivo se les debe
entregar de antemano la información por escrito y una vez se han finalizado, entregarles un
resumen. Es importante que este informe no afecte el objetivo que se pretende lograr.
El material que debe entregarse con antelación al programa de ejercicios debe contener los
siguientes temas:
• Los propósitos y objetivos del programa de ejercicios;

• Las funciones y responsabilidades del programa de ejercicios;
• La información, comunicación y tecnología usada en el programa de ejercicios;
• Las acciones que deben tomarse si se presenta un imprevisto durante la ejecución del
programa de ejercicios;
• Enviar los requisitos del programa de ejercicios.
Es necesario que los participantes de los ejercicios y toda la organización estén al tanto de que un
programa de ejercicios se está llevando a cabo y que los incidentes presentados son ficticios para
evitar malentendidos u ocasionarle algún riesgo a la organización.
Si el programa de ejercicios debe dar una notificación sin previo aviso o la información es limitada,
los participantes deben ser informados tan pronto los ejercicios se hayan iniciado de que forman
parte del proceso y de que el escenario es ficticio.
126
Al comenzar el programa de ejercicios: una vez comenzados los ejercicios deben ser comunicados
de manera clara y sin ambigüedades a todos los participantes, usualmente se presenta en forma de
inyector.
Durante el programa de ejercicios: las actividades deben ocurrir de manera predeterminada, tal
como está descrito en el plan y en el programa de los ejercicios
Suspensión del programa de ejercicios: puede ser necesario hacer una pausa o suspender los
ejercicios. Los participantes necesitan conocer la palabra clave con la que se les exigirá suspender los
ejercicios. La palabra usada no debe ser ninguna que se use en el lenguaje del trabajo. Los ejercicios
pueden darse por terminados si la seguridad de los participantes está en juego o comprometida, o si
un incidente real ocurre.
En el caso de los ejercicios complejos, las personas responsables de planearlos y gestionarlos deben
asegurarse de que están de acuerdo en que los ejercicios se deben parar o continuar en etapas
clave, cuando el equipo está tomando decisiones que no son las apropiadas para el escenario
presentado y existen planes adecuados para darles un viraje, si las cosas van mal. Tomarse un
tiempo es una herramienta útil para discutir una serie de ocurrencias presentadas en el programa de
ejercicios y aprender la lección, o para implementar un cambio significativo debido a una acción
inesperada de los participantes que podría, si no es rectificada, afectar el desarrollo de los ejercicios.
Luego de una suspensión, los ejercicios pueden restablecerse o darse por finalizados.
Terminar un programa de ejercicios: la decisión de dar por terminado los ejercicios debe recaer en
la persona o equipo encargado de gestionarlos. Se debe considerar hasta qué punto los objetivos se
han cumplido y el período de tiempo invertido en los ejercicios.
Se debe dar el tiempo suficiente para que un interrogatorio tenga lugar.
Interrogatorio: el propósito de hacerle un interrogatorio al programa de ejercicios es comunicar las

experiencias de los participantes respecto a un incidente, de tal forma que las lecciones puedan
identificarse para incorporarlas al programa de GCN. Los planes, procedimientos y prácticas pueden
ser modificados de acuerdo a las lecciones aprendidas y poder mejorar la capacidad de la
organización para responder a futuras interrupciones de BC.
Esta clase de interrogatorio no debe confundirse con el interrogatorio terapéutico usado después de
un incidente real para identificar y poder tratar a los participantes del trauma psicológico.
Es muy importante que el personal capacitado, independientemente de su antigüedad en la

organización, comprenda que el interrogatorio es para mejorar la efectividad de la empresa y no
para buscar culpables.
Todo el personal comprometido en el programa de ejercicios debe tener la oportunidad de

contribuir en el proceso del interrogatorio.
El proceso del interrogatorio debe ser conducido de tal manera que fomente el aprendizaje de la
organización con una retroalimentación honesta y abierta.
127
El interrogatorio debe:
• Respetar los derechos de las personas;

• Valorar por igual a todos los participantes; y
• Continuar con la capacitación de grupos o personas de la organización
Para realizar el interrogatorio existen dos clases de ejercicios principales:
• El interrogatorio acalorado – es el que se realiza inmediatamente después de finalizar

un programa de ejercicios, antes de que el personal abandone las instalaciones. Permite
que los participantes tengan la oportunidad de destacar una serie de problemas y
preocupaciones mientras aún están frescos en sus mentes; y
• El interrogatorio oficial– es el que se realiza semanas después de que el programa de
ejercicios ha finalizado y debe abordar ampliamente los problemas de la organización en
lugar de las preocupaciones individuales o grupales. Debe buscar las fortalezas y
debilidades de la organización y dar ideas para futuras capacitaciones.
Informe posterior al programa de ejercicios: los resultados del interrogatorio deben usarse para
preparar un informe posterior a programa de ejercicios, que incluya las recomendaciones.
Para garantizar que las lecciones aprendidas se pongan en práctica, el informe debe ser distribuido a
todo el personal pertinente y a las partes interesadas.
Es primordial que se implemente una gestión de procesos a la actividad de mantenimiento, que

alimente los hallazgos del informe posterior a los ejercicios y se debe crear un plan de acción que
implemente las recomendaciones que requieren cambios en el Programa de GCN.
Especial consideración se debe tener para re- ejecutar un programa de ejercicios una vez las
acciones correctivas se han puesto en práctica y los problemas importantes se han identificado.
En una etapa inicial se debe tratar de establecer cómo los objetivos de los ejercicios (éxito o fracaso)
se miden y quién es el responsable de hacerlo. Un modo efectivo de lograrlo es por medio de la
identificación del desempeño de un número de objetivos que describen si el propósito se logró no.
Los resultados esperados de un programa de ejercicios pueden incluir:
• El grupo o persona del primer nivel de respuesta debe ser quien alerte, invoque o corra
la voz;
• El gerente de turno debe ser quien active el llamado al grupo de gestión de incidentes;
• Convocar a una reunión inicial de la gestión de incidentes;
• Desarrollar una estructura de gestión de incidentes, como se define en el PCN;
• Asignar funciones y responsabilidades de acuerdo al PCN; y
• Establecer líneas de comunicación con las partes interesadas
128
Los resultados generales de los ejercicios pueden incluir:
• Validar que el Programa de BC es efectivo;

• Confirmar que los miembros del grupo y el personal están familiarizados con las
funciones, responsabilidades y con la autoridad, al responder a un incidente;
• Validar los aspectos técnicos, logísticos y de gestión del PCN;
• Confirmar que la infraestructura (centros de mando, áreas de trabajo, tecnología y
telecomunicaciones) se han recuperado;
• Confirmar la disponibilidad del personal en los procesos de reubicación;
• Obtener la documentación de los resultados del programa de ejercicios para el informe
posterior a los ejercicios que se presentará a la Alta Gerencia, auditores, aseguradores,
cuerpos legales y reguladores, según sea apropiado;
• Documentar y resolver los temas identificados durante la ejecución de los ejercicios;
• Incrementar los conocimientos de los procedimientos de emergencia;
• Conocer más a fondo el significado de BC;
• Brindar la oportunidad de identificar las deficiencias y mejorar el programa de GCN;
• Dar ideas para ejercicios adicionales
129
MANTENIMIENTO
Introducción
El mantenimiento del Programa de GCN mantiene actualizadas las modalidades de BC de la
organización, para asegurar que la organización responde a gestionar los incidentes efectivamente, a
pesar de los continuos cambios.
Una parte importante del Ciclo de Vida de GCN es gestionar la documentación y asegurarse de que
el programa de mantenimiento de GCN mantiene al día esta documentación y que los documentos
actualizados y relevantes se distribuyan apropiadamente a las partes interesadas.
Para que sean efectivas, las actividades de mantenimiento deben ser incorporadas a los procesos
normales de gestión, en lugar de ser una actividad separada que se pueda ignorar u olvidar.
Es tan importante el mantenimiento requerido como el resultado de los cambios internos dentro de
la organización y el modo más efectivo de lograrlo es incorporar actividades de mantenimiento a los
cambios de procesos de gestión de la organización. Sin embargo esto no siempre es posible ya que
muchas organizaciones no tienen procesos de gestión.
Las actividades de mantenimiento se identifican por medio de:
• Las lecciones aprendidas a través de los ejercicios;

• Los cambios de entorno en el que opera la organización;
• Una revisión, particularmente una auditoría;
• Un incidente real, cuando las lecciones aprendidas pueden ser incorporadas; y
• Los resultados actualizados o debidamente cambiados de BIA
Aunque la necesidad para hacer un mantenimiento se puede desencadenar por alguna o cualquiera
de las actividades mencionadas en el párrafo anterior, el mantenimiento normal o planeado es
requerido para la totalidad del programa de GCN, como está descrito a lo largo de estos
Lineamientos de Buenas Prácticas.
Proceso
Se requiere establecer un proceso formal de mantenimiento del programa de GCN. El proceso se
debe realizar en intervalos planeados, que dependen de la naturaleza y el ritmo de cambio
programados que se esperan de la actividad de mantenimiento. Por ejemplo, los planes que
contienen los datos de contacto deben tener un mantenimiento mensual, mientras que el
mantenimiento de la Política de BC se puede programar para realizarla una vez al año.
La responsabilidad de emprender un proceso de mantenimiento planeado debe ser realizado por

una persona, o un equipo y consiste en:
• Revisar lo que ha cambiado desde que se hizo la última actualización;

• Analizar el impacto de cualquier cambio;
• Actualizar los planes, como se requiere;
• Identificar cualquier reacción en cadena que se presente en otras áreas;
130
• Avisar a la apersona o equipo responsable en otras áreas sobre la reacción en cadena;
• Evaluar si los cambios y enmiendas necesitan crear un programa de capacitación, una
campaña de sensibilización y/o una necesidad de comunicación;
• Suministrar, según se requiera, los medios necesarios para realizar el programa de
capacitación, la campaña de sensibilización y/o la necesidad de comunicación;
• Si los planes cambian, distribuir la nueva versión apropiadamente;
• Señalar la fecha para realizar el próximo plan de mantenimiento y programarlo.
El análisis del impacto de cualquier cambio debe incluir:
• Revisar y desafiar cualquier hipótesis que se haya hecho;

• Determinar si en cualquier momento los objetivos han cambiado;
• Determinar la idoneidad y disponibilidad de los servicios externos que puedan
necesitarse, tales como la restauración de activos, recuperación de sitios y los
subcontratos; y
• Revisar los acuerdos de Continuidad de Negocio con los proveedores claves
La responsabilidad del mantenimiento se le debe dar al personal local responsable de BC en la
organización, aunque la distribución del plan puede ser manejada por una persona o equipo de la
organización principal. Por ejemplo, un representante departamental de BC puede ser el
responsable de actualizar el plan y la información dinámica, tales como los números de teléfono del
personal para localizarlos en horas extras, las tareas en equipo, los detalles para contactar y notificar
a un proveedor, el contenido que un equipo de seguridad debe tener y, enviar el plan actualizado a
la central de recepción para que se distribuya debidamente.
Para que sea efectivo, la documentación actualizada debe ser distribuida bajo un proceso formal de
control de cambio (versión).
El mantenimiento debe ser gestionado, si requiere alcanzar su propósito. Para lograr su fin requiere
la producción de informes regulares que identifiquen el progreso del plan de mantenimiento, que
destaquen las áreas con debilidades y que hagan recomendaciones para mejorar el proceso.
El software patentado es muy efectivo para gestionar la documentación ya que muchos de estos
sistemas contienen seguimientos, rastros, informes y recordatorios para garantizar que el
mantenimiento programado se realiza como y cuando se planifica.
Los resultados del mantenimiento al Programa de GCN deben incluir lo siguiente:
• Un programa de mantenimiento documentado y planeado;

• Informes periódicos del progreso;
• Políticas y procedimientos eficaces y actuales;
• Documentación actualizada; y
• Distribución a las partes interesadas
131
El mantenimiento con éxito del Programa de GCN debe ser revisado formalmente al menos una vez
al año, y realizar cambios donde sea necesario para el mejoramiento continuo.
132
REVISIÓN
Introducción
El propósito de hacer una Revisión es evaluar el Programa de GCN e identificar los avances de la
organización en cuanto a implementación en el Ciclo de Vida del GCN y su resiliencia a nivel
organizacional.
Hay cinco tipos básicos de revisión:
• Auditoria (interna y externa) – es un proceso de revisión formal e imparcial que mide el

Programa de GCN de una organización comparada con una norma pre-acordada;
• Autoevaluación – es una evaluación de por sí del programa de GCN de la organización;
• Aseguramiento de Calidad (QA) – es un proceso que asegura que las diversas salidas del
programa de GCN cumple con los requisitos;
• Evaluación del desempeño – es una revisión de las funciones de las personas, de
acuerdo a las funciones y responsabilidades de BC; y
• Desempeño del proveedor – es una revisión de un proveedor clave respecto al Programa
de GCN, o una revisión del desempeño de un proveedor en los servicios de
recuperación.
Auditoría
La Auditoría se diseña para verificar que el proceso se ha seguido correctamente sin que esto
signifique que las soluciones adoptadas sean necesariamente correctas. La norma ISO 22301 define
a la auditoria como un proceso sistemático, independiente y documentado para obtener evidencia
de auditoría y evaluarla objetivamente para determinar el grado de cumplimiento de los criterios de
la auditoría.
Una auditoria de GCN tiene cinco funciones clave:
• Validar el cumplimiento de las políticas y normas de la CN (incluye cualquier legislación o

regulaciones), o;
• Revisar el programa de GCN de la organización;
• Validar el PCN de la organización;
• Verificar que los ejercicios y actividades de mantenimiento adecuados se llevan a cabo; y
• Resaltar las deficiencias y problemas, y asegurar su solución.
El proceso de auditoria se debe realizar con regularidad de acuerdo con lo estipulado en las políticas
de auditoría y gobernabilidad de la organización. Se recomienda que el período entre las auditorías
no supere los 2 años, lo cual va de la mano con los órganos de normas esperadas.
La auditoría se debe realizar contra una Política de la CN y se deben identificar las normas
adecuadas. El propósito de una auditoria de GCN es realizar un escrutinio del programa de GCN
existente de la organización, verificarlo contra las normas y criterios predefinidos, y entregar un
informe de auditoría estructurado..
133
Autoevaluación
El propósito de la autoevaluación es que la organización revise su implementación del programa de
GCN, con miras a crear un plan de acción para las mejoras.
La autoevaluación se puede llevar a cabo entre auditorías para identificar el progreso hecho contra
las recomendaciones de la auditoría.
Asimismo, la autoevaluación se debe realizar durante y inmediatamente después de la

implementación inicial del programa de GCN.
Aseguramiento de la calidad
El Aseguramiento de la Calidad es el proceso que determina si los resultados del programa de GCN
cumplen con los requerimientos y expectativas de la organización que quizá han sido o no
formalmente definidos.
Esto se trata de un proceso formal y documentado para aquellas organizaciones certificadas por
normas internacionales o nacionales. Para otras organizaciones, esto puede probablemente
represente una revisión informal comparada con las expectativas.
Evaluación de desempeño
Las funciones y responsabilidades de la CN se definen como parte de la Política de CN. Las
evaluaciones de desempeño deben ser usados para verificar lo bien que se desempeñan esas
funciones y responsabilidades.
Desempeño de proveedores
La revisión del programa de GCN de un proveedor del cual dependa la organización debe ser similar
al que emplea la organización para revisar su propio programa.
El desempeño de los servicios de recuperación de los proveedores debe revisarse con regularidad.
Auditoría
Una auditoria asume que si el proceso es correcto y bien aplicado el resultado debe evidenciar un
programa de GCN efectivo. También asume que la norma adoptada por la organización efectiva y
ofrece un marco de trabajo apto para la auditoría.
El método de evaluación adoptado por la organización se define en el documento de la Política de

CN y puede ser una norma reconocida nacional e internacionalmente (como la ISO 22301) o un
método creado por la organización misma (posiblemente basada en estas Guías de Buenas
Prácticas), o un requerimiento obligatorio impuesto en la organización por motivos legales o
reglamentarios.
Autoevaluación
La autoevaluación asume que una organización ha identificado sus objetivos y metas contra el cual
se puede evaluar su programa de GCN.
134
El Aseguramiento de la Calidad asume que los requerimientos de los resultados del programa de
GCN han sido identificados.
La evaluación de desempeño asume que las funciones y responsabilidad de la CN han sido definidas.
El Desempeño de Proveedores asume que los proveedores en los que depende la organización han
sido identificados y que las expectativas de su programa de GCN han sido definidas.
Proceso
Auditoría
La auditoría de CN aborda los procesos complejos y requiere interactuar con una amplia gama de
funciones administrativas y operativas desde la perspectiva administrativa y técnica.
El proceso de auditoría de la GCN incluye:
• Desarrollar un plan de auditoria de la GCN;

• Definir el alcance de la auditoría;
• Definir enfoque de la auditoría;
• Revisar la información recolectada por las actividades de la auditoría de la GCN;
• Recopilar y sintetizar las notas de las entrevistas, cuestionarios y otras fuentes;
• Identificar los vacíos en el contenido y nivel de información reunida al realizar las
entrevistas de seguimiento, si es del caso;
• Obtener y comprar documentación relevante, por ejemplo, el BIA con los datos de
entrevistas, y otras fuentes (recorridos, inspecciones físicas, muestreos);
• Establecer referencias a fuentes secundarias, por ejemplo, normas, regulaciones,
legislación y guías de ‘buenas prácticas’ para validar los hallazgos preliminares;
• Formarse una opinión que debe reflejar los intereses del patrocinador de la auditoria y
las medidas fijadas por fuentes externas, por ejemplo, regulatorias, legales, normas de la
industria;
• Preparar un borrador del informe de auditoría y discutirlo con las partes interesadas
clave;
• Preparar el informe de auditoría acordado, incluyendo las recomendaciones y las
respuestas auditadas si persisten diferencias de opinión;
• Preparar un plan de acción correctivo acordado, incluyendo el cronograma para
implementar las recomendaciones acordadas del informe de auditoría (esto también
debe ser un elemento clave del Programa de CGN); y
• Preparar un proceso de monitoreo para verificar que el plan de acción de la auditoría
aborda las deficiencias mayores y se implementa dentro del cronograma acordado.
Autoevaluación
El proceso de autoevaluación debe incluir:
135
• Identificar los objetivos o medidas del programa de GCN contra el desempeño que se
puede evaluar;
• Revisar el desempeño contra los objetivos o medidas seleccionados;
• Identificar las tendencias del desempeño;
• Resaltar las áreas para mejorar;
• Desarrollar planes de acción para mejorar estas áreas; y
• Preparar un informe de autoevaluación.
El Aseguramiento de la Calidad se puede llevar a cabo como un proceso continuado de todos los
resultados o mediante un muestreo periódico.
El proceso incluye:
• Identificar los requerimientos o expectativas;

• Comparar el resultado con los requerimientos o expectativas;
• Identificar las deficiencias en los requerimientos o expectativas; y
• Tomar acciones para remediar alguna deficiencia.
El incumplimiento persistente delos requerimientos debe ser abordado por motivo de cambios en
los procesos, procedimientos o recursos usados para producir los resultados.
El proceso de la evaluación de desempeño se puede llevar a cabo como parte de un proceso de
evaluación periódico del personal, o solamente para revisar el desempeño de un individuo en
términos de su función CN.
El proceso incluye:
• Confirmar la función y responsabilidades de CN del individuo;

• Definir los Indicadores Claves de Desempeño (ICD) para la función (objetivos, metas de
medición y normas);
• Definir los factores de éxito de los ICD;
• Incorporar los ICD en las evaluaciones anuales;
• Evaluar y revisar el desempeño contra los ICD;
• Producir puntajes de desempeño ICD; y
• Brindar un plan de acción correctiva para remediar alguna deficiencia en el desempeño.
El proceso para revisar el programa GCN de los proveedores clave y para revisar los servicios de
recuperación de estos últimos debe ser definido mediante un contrato.
El programa de CN de los proveedores clave se debe revisar como si fueran parte de la organización
misma, o como si fuera el programa de CN de cualquier departamento interno, locación o subsidiaria
que ofrece productos y servicios de los que depende la organización.
136
Auditoría
Los métodos usados para la Auditoría deben ser determinados por aquellos que la llevan a cabo y
cumplir con la política de la organización.
Un plan de auditoria de GCN debe incluir la identificación de:
• Tipo de auditoria que va a llevar a cabo, por ejemplo, gestión/control de proyecto,

estudio de factibilidad, debida diligencia o investigación;
• Objetivos de la auditoria, que en parte pueden ser impulsados y gobernados, o
restringidos por requerimientos legales o regulatorios. Esto incluye temas clave de alta
prioridad; y
• El marco de trabajo de auditoria estándar (si corresponde) que se va a usar. El marco de
trabajo puede ser gobernado o restringido por requerimientos legales o regulatorios.
La definición del alcance de la auditoria debe incluir la determinación de:
• Gobierno corporativo, cumplimiento u otros temas que sean auditados; y

• El área / departamento / sitio de la organización que sea auditado.
La definición del enfoque de la auditoria debe incluir:
• Las actividades de auditoria que se van a llevar a cabo, por ejemplo,

cuestionarios/entrevistas personales/revisión de documentos/revisión de soluciones;
• Cronograma de actividades y plazos previstos;
• Identificación de los criterios de la evaluación de la auditoría; y
• Determinar el requerimiento de pericia en un tema específico o la ayuda de un tercero
para realizar la auditoría.
Formarse una opinión puede incluir:
• Asignar un peso del riesgo de un solo concepto de la auditoria con el fin de distinguir los
hallazgos de riesgo alto, mediano y bajo;
• Definir los criterios para calificar los hallazgos usando un nivel de calificación predefinido
y claramente diferenciado por categorías.
Autoevaluación
Los objetivos o medidas que se deben usar en la autoevaluación pueden incluir lo siguiente:
• Hitos del proyecto para el programa de GCN;

• Porcentajes de los planes mantenidos por la fecha programada;
• Porcentaje de miembros de los equipos de respuesta que participan en un ejercicio cada
año;
• Número de lecciones aprendidas de los ejercicios sin abordar aún; y
• Extensión de la terminación de los BIA contra el alcance.
•
137
Los requerimientos se pueden identificar revisando el programa de GCN. Sin embargo la
identificación de las expectativas requiere entrevistar al personal y las partes interesadas.
Al comparar el resultado del programa de GCN con los requerimientos o expectativas, e identificar
las deficiencias:
• ¿El documento cumple con las normas de control de documentos?

• ¿El propietario ha verificado el plan?
• ¿El BIA identifica los MPTI de todas las actividades urgentes?
• ¿Se han identificado los recursos necesarios para recuperar una actividad?
• ¿Las estrategias y tácticas recomendadas han sido acordadas por la Alta Gerencia?
• ¿El PCN tiene un alcance acordado y firmado por la Alta Gerencia?
Los ICD puede incluir cosas tales como:
• El número de veces en que las fechas del mantenimiento programado se cumplieron;

• El porcentaje de terminación del BIA;
• El número de ejercicios llevados a cabo de acuerdo con lo planeado;
• El número de planes terminados;
• El número de temas pendientes que resultaron de incidentes, ejercicios y la auditoría; y
• Los gastos versus el presupuesto.
El desempeño de los proveedores se debe revisar teniendo en cuenta los Acuerdos de Nivel de
Servicio (ANS) contractuales. En el caso de los proveedores clave, éstos deben relacionarse con el
programa de GCN.
El resultado debe ser una mejora del nivel de resiliencia de la organización, y uno o más planes de
acción para una mejora adicional.
Cada elemento del proceso de Revisión en si debe ser revisado anualmente, y se debe preparar un
plan de acción para mejorar el proceso.
Auditoría
Los resultados de una auditoría de GCN incluyen:
• Un informe de auditoría de GCN independiente, acordada y aprobada por la gerencia;

• Un plan (planes) de acción correctiva, acordado(s) y aprobado(s) por la Alta Gerencia;
• El resultado de una evaluación desfavorable es:
o Aceptación de los planes por parte de la Gerencia como ‘inadecuados’; y
o La iniciación de una revisión dirigida por un profesional de CN para ayudar a mejorar
la posición del equipo.
o
138
Autoevaluación
Los resultados de la autoevaluación incluyen:
• Un plan de acción para las mejoras;

• Una mejora del programa GCN; y
• Una mejora del nivel de resiliencia de la organización.
El resultado del Aseguramiento de la Calidad debe ser una mejora en el modo como los resultados
del programa de GCN cumplen los requerimientos y expectativas de la organización.
El resultado de una Evaluación de Desempeño debe ser una mejora del modo como un individuo se
desempeñó con la función de CN:
• Lleva a cabo su función;

• Lleva a cabo sus responsabilidades; y
• Cumple sus objetivos.
Evaluación de proveedores
Los resultados de revisar el desempeño de los proveedores incluyen:
• Una calificación del desempeño comparado con los SLA;

• Entender el programa GCN del proveedor; y
• Un plan de acción para mejorar al proveedor.
139
GLOSARIO DE TÉRMINOS
Clave Referencias de colores del Diccionario del BCI*
Rojo Terminología de la ISO aceptada por BCI y usada como referencia en el GPG
Ámbar Terminología de las Guías de Buenas Prácticas
Azul Definido por fuera de la Continuidad de Negocio
El Diccionario del BCI consolida los términos y definiciones que existen en todo el
*
mundo. Para obtener la versión más reciente, visite: www.thebci.org
Término Abreviatura Definición Fuente
Un proceso o conjunto de procesos

llevados a cabo por una
BS ISO
Actividad organización (o en nombre de ésta)
22301:2012
que produce o apoya uno o más
productos y servicios.
La Práctica Técnica del Ciclo de Vida

del GCN que revisa y evalúa a una
organización en cuanto a sus
Análisis PP3 GPG 2013
objetivos, funcionamiento y
restricciones en el ambiente donde
opera.
Nivel de membrecía con derecho a

voto del Business Continuity
Miembro con derecho
Institute - una certificación
a voto del Business AMBCI GPG 2013
profesional. Para los Profesionales
Continuity Institute
de la Continuidad de Negocio con
mínimo un año de experiencia.
140
Un proceso sistemático,
independiente y documentado para
obtener una evidencia de auditoría
BS ISO
Auditoría y evaluarla objetivamente para
22301:2012
determinar el alcance del
cumplimiento de los criterios de la
auditoría.
El documento clave que establece el

alcance y gobierno del programa
Política de CN GPG 2013
GCN y que refleja las razones para
implementarlo.
Un individuo experimentado con

responsabilidades para ejercer y/o
admnistrar la Continuidad de
Profesional de CN GPG 2013
Negocio. Para el BDI, un profesional
de CN es un individuo certificado
con nivel de AMBCI o mayor.
Un grupo internacional de
Consejo de profesionales de la Continuidad de
Membrecía Global del GMC Negocio elegido para representar a GPG 2013
BCI los Miembros del BCI a nivel
mundial.
El ciclo de actividades continuas que

comprende las seis etapas de las
Ciclo de Vida de GCN Prácticas Profesionales descritas en GPG 2013
las Guías de Buenas Prácticas del
BCI.
La capacidad de una organización

de continuar la entrega de
Continuidad de
BC productos o servicios a niveles ISO 22300
Negocio
redefinidos aceptables posterior a
un incidente de interrupción.
141
El BCI es una Institución de

Membrecía Global para los
Profesionales de la Continuidad de
Business Continuity
BCI Negocio. El propósito general del BCI
Institute
BCI es promover el arte y la ciencia
de la continuidad de negocios a
nivel mundial.
Un proceso de gestión holístico que

identifica las amenazas potenciales
de una organización y los impactos
en las operaciones de un negocio,
en el caso de que las amenzas, de
Gestión de la realizarse, podrían causa, y que
Continuidad de BCM brinda un marco de trabajo para ISO 22301:2012
Negocio construir la resiliencia organización
con la capacidad de dar una
respuesta efectiva que salvaguarda
los itnereses de sus partes
interesadas claves, reputación,
marca y actividades que crean valor.
El proceso continuo de gestión y

gobierno apoyado por la Alta
Programa de Gestión
Gerencia y con los recursos
de la Continuidad de ISO 22301:2012
adecuados para implementar y
Negocio
mantener la gestión de la
continuidad de negocio.
Parte del sistema general de gestión

Sistema de Gestión de
que establecer, implemente, opera,
la Continuidad de BCMS ISO 22301:2012
monitorea, revisa, mantienen y
Negocio
mejora la continuidad de negocio.
Procedimientos documentados que

guían a las organizaciones a
Plan de la Continuidad responder, recuperar, reanudar y
BCP ISO 22301:2012
de Negocio restaurar un nivel de operación
predefinido posterior a una
interrupción de operación.
142
El proceso de analizar actividades y

el efecto que puede tener en ellas
una interrupción del negocio.
Análisis de Impacto (NOTA: El GPG 2013 recomienda
BIA ISO 22301:2012
del Negocio que este proceso sea de la etapa
cuatro, comenzando con un GCN
Inicial seguido por GCN a nivel
estratégico, táctico y operativo)
La examinación del BCI que conlleva

Certificado del a una desginación post-nominado
CBCI GPG 2013
Examen del BCI del CBI, una credencial reconocida
de la industria.
La capacidad de aplicar el
Competencia conocimiento y destrezas para ISO 22301:2012
lograr los resultados objetivos.
Mejoramiento Una actividad recurrente para

ISO 22300:2012
continuo mejorar el desempeño.
Una acción para eliminar una no-
Acción correctiva ISO 22300:2012
conformidad detectada.
Una situación con un alto nivel de

incertidumbre que altera las
Crisis actividades clave y/o la credibilidad ISO 22300:2012
de una organización, y requiere
acciones urgentes.

de GCN que identifica y elije las
estrategias y tácticas adecuadas
Diseño PP4 GPG 2013
para determinar cómo lograr la
continuidad y recuperación por una
interrupción.
Interrupción Ver 'Incidente'.
143
Una estrategia de continuidad y

recuperación que requiere llevar a
Diversificación GPG 2013
cabo actividades en dos o más
lugares geográficamente dispersos.
The Management Practice within

Incorporación de la the BCM Lifecycle that continually
Continuidad de PP2 seeks to intergrate Business GPG 2013
Negocio Continuity into day-to-day activities
and organizational culture.
A process to train for, assess,

Ejercicio practice and improve performance ISO 22301
in an organisation.
Programa de Una serie de ejercicios diseñados
ISO22300:2012
ejercicios para cumplir un objetivo general.
El Nivel de Membrecía con derecho

a voto del Business Continuity
Miembro del Business Institute para la certificación
FBCI GPG 2013
Continuity Institute profesional El mayor nivel que
brinda el BCI para miembros muy
experiementados y activos .
Una discusión sostenida a semanas

del ejercicio, que aborda los temas
Reunión formal organizaciones más amplios e GPG 2013
identifica las oportunidades de
aprendizaje.
Una Guía de Gestión para las

buenas prácticas globales de la
Guía de Buenas
GPG Continuidad de Negocio. El cuerpo GPG 2013
Prácticas
de conocimiento producido por el
Business Continuity Institute.
Una discusión sobre los problemas y

Reunión preocupaciones sostenida
GPG 2013
extraordinaria inmediatamente después de un
ejercicio.
144

de la Gestión de la Continuidad de
Negocio (GCN) que ejecuta las
Implementación PP5 estrategias y tácticas acordadas GPG 2013
mediante el proceso de desarrollar
el Plan de Continuidad de Negocio
(PCN).
Una situación que puede ser o

puede conllevar a, una interrupción
, pérdida, emergencia o crisis.
Incidente ISO22300:2012
(NOTA: el GPG 2013 también se
refiere a un incidente como un
evento, interrupción o alteración)
Una persona u organización que
puede afectar, ser afectada por, o
Parte interesada ISO 22301
percibirse como afectada por una
decisión o actividad.
La acción de declarar que la
continuidad de negocio de una
Invocar organización se debe implementar ISO 22301
para seguir brindando los productos
y servicios claves.
La Gestión de Políticas y Programas
Prácticas y la Incorporación de las etapas de
GPG 2013
administrativas la Continuidad de Negocio del Ciclo
de Vida de GCN.
El tiempo que tomaría para que los

impactos adversos, que pueden
Máximo período de
MPIT surgir por no brindar un ISO 22301
interrupción tolerable
producto/sericio o no realizar una
actividad, se vuelvan inaceptables.
El nivel de membrecía con derecho

a voto del Business Continuity
Institute - para la certificación
Membro del Business
MBCI profesional Para profesionales GPG 2013
Continuity Institute
experiementado en la Continuidad
de Negocio con mínimo tres años de
experiencia.
145
Un mínimo nivel de servicios y/o

Objetivo Mínimo de la
productos aceptable para la
Continuidad de MBCO ISO 22301
organización con el fin de lograr sus
Negocio
objetivos durante una interrupción.
Una persona o grupo de personas
que tiene sus propias funciones, con
Organización responsabilidades, autoridades y ISO 22301
relaciones para cumplir sus
objetivos.
La combinación de supuestos,
creencias, valores y patrones de
comportamiento compartidos por
los miembros de una organización.
Cultura organizacional GPG 2013
La manera como una organización
se ve a si misma, su lugar en el
mercado, y el ambiente en que
opera.
La capacidad de anticipar los

eventos anticipados claves ante
Resiliencia tendencias que surjen, adaptándose
GPG 2013
organizacional constantemente al cambio y
rebotando de nuevo de incidentes
de interrupción o daño.
Aquellos procesos realizados por un

Tercerizar GPG 2013
tercero.
Establecer, implementar y operar,

Planear, Ejecutar,
PERA monitorear y revisar, mantener y ISO 22301:2012
Revisar, Actuar
mejorar.
La primera etapa del Ciclo de Vida

de GCN. Es la Práctica Profesional
que define la política organizacional
Gestión de Políticas y
PP1 relacionada con la Continuidad de GPG 2013
Programas
Negocio y la manera cómo se
implementa, controla y valida esa
política a través del programa GCN.
146

Adquisición posterior recuperación donde se brindan los
GPG 2013
a un incidente recursos con poca anticipación
posterior a un incidente.
Un conjunto de actividades
interrelacionadas o que interactúan,
Proceso ISO 22301:2012
que transforman las entradas en
producciones.
Las producciones benéficas
brindadas por una organización a
Productos y servicios ISO 22301:2012
sus clientes, receptores y partes
interesadas.
Las actividades que comprenden las
Prácticas seis etapas de las Guías de Buenas
PPs GPG 2013
profesionales Prácticas de BCI del Ciclo de Vida de
GCN.
El punto en donde la información
usada por una actividad debe ser
Punto de restaurada para habilitar la
RPO ISO 22301:2012
recuperación objetivo reanudación de una operación.
Conocido también como Máxima
Pérdida de Datos.
Tiempo de
RTO ISO 22301:2012
recuperación objetivo
recuperación donde los recursos
Replicar son copiados en un sitio inactivo y GPG 2013
solo se usan en operaciones
después de un incidente.
La capacidad que tiene una
Resiliencia organización de adaptarse a un ISO Guía 73
ambiente complejo cambiante.
El efecto de la incertidumbre en los

Riesgo ISO Guía 73
objetivos.
El proceso general de identificar

Gestión de riesgo riesgos, analizar riesgos y evaluar ISO Guía 73
riesgos.
147
Actividades coordinadas para dirigir

Administración de
RM y controlar a una organización ISO Guía 73
riesgo
respecto al riesgo.
Una separación geográfica
adecuada entre los recursos
Distancia de originales y duplicados, diferentes
GPG 2013
separación segura proveedores, y operaciones
replicados, o entre el sitio base y su
sitio de recuperación.
recuperación donde hay una
Reserva GPG 2013
instalación disponible para la
operación requerida.

recuperaicón donde los terceros son
Subcontratación usados para producir un producto o GPG 2013
servicio, brindar infraestructura del
proceso, y llevar a cabo actividades.
Las etapas de análisis, diseño,

Prácticas técnicas implementación y validación del GPG 2013
Ciclo de Vida de GCN.
Un ejercicio único y particular que

incorpora una expectativa de pasar
Prueba o rechazar un elemento de una ISO 22301:2012
meta o los objetivos trazados en el
ejercicio.
La causa potencial de un incidente

no deseado, que puede resultar en
Amenaza ISO 22300:2012
daños a individuos, un sistema o la
organización.
El proceso de evaluar amenazas

para identificar las concentraciones
Análisis de amenazas de riesgo inaceptables en las GPG 2013
actividades y puntos de fallas
únicas.
148
Una persona o grupo de personas

Alta Gerencia que dirige y controla a una ISO 22301
organización al nivel más alto.

de GCN que confirma que el
programa de Gestión de la
Continuidad de Negocio (GCN)
cumple con los objetivos fijados en
Validación PP6 GPG 2013
la Política de Continuidad de
Negocio (CN), y que el Plan de
Continuidad de Negocio (PCN) de la
organización es apto para su
propósito.
149
150

GPG Guias de Buenas Prácticas - 2013 Spanish Version PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

GPG Guias de Buenas Prácticas - 2013 Spanish Version PDF

Uploaded by

Copyright:

Available Formats

BUSINESS CONTINUITY INSTITUTEGOOD PRACTICE

GUIDELINES 2013 GUÍA DE BUENAS PRÁCTICAS 2013EDICIÓN

El equipo responsable del GPG 2013 es:

Jefe de Redacción: Lyndon Bird FBCI

Editor Asistente: Deborah Higgins MBCI

Administrador: Jan Gilbert

La BCI reconoce el tiempo y la experiencia aportada voluntariamente por todos aquellos

Lyndon Bird FBCI

INTRODUCCIÓN A LAS GUÍAS DE BUENAS PRÁCTICAS - EDICIÓN 2013

La CN es un tema particularmente relevante hoy en día. El mundo no se ha recuperado del todo de

CN Continuidad del la capacidad de una organización para seguir ofreciendo productos o

¿POR QUÉ TENEMOS UNAS GUÍAS DE BUENAS PRÁCTICAS?

¿QUÉ HA CAMBIADO DESDE LA VERSIÓN 2010?

 PP1 – Política y Gestión de Programas

¿QUIÉN DEBE LEER ESTA GUÍA?

La CN no se limita a un sector industrial en particular. De hecho, al aplicar los códigos estándares

ORIGEN DE LA CONTINUIDAD DEL NEGOCIO Y EL BCI

Otro desarrollo clave fue el lanzamiento de la norma británica para la Seguridad de la

En el siglo 21 se determinó codificar la CN y clasificarla como parte de una familia de normas de

¿Para qué se usa la Continuidad del Negocio (CN)?

La aplicación exitosa de CN incrementa la capacidad de recuperación de una organización y a la vez,

En primer lugar, la resiliencia no se fundamenta en la detención o prevención de una alteración.

¿Están capacitados los profesionales de CN para realizar una auditoría

¿Son Continuidad de Negocios y Resiliencia Organizacional la misma cosa?

¿Se necesita una disciplina de Gestión de Crisis independiente?

La pregunta de si existe o no la necesidad de tener una disciplina de gestión de crisis

¿Qué tanto se sobrepone la CN y la Gestión de Riesgos?

¿Puede CN encajar en un marco de trabajo formal basado en riesgos?

Los gerentes de riesgo a menudo consideran que la CN es simplemente un tratamiento de riesgo

¿Cómo puede contribuir la CN al Gobierno Corporativo?

 La resiliencia del negocio y el modelo de operación de la empresa;

¿Cuál es la diferencia entre la CN y la Gestión de Emergencias?

¿Cambian las normas internacionales nuestra percepción de CN?

La norma internacional ISO 22301 ofrece un proceso aprobado, un conjunto de principios y

¿Cómo se superponen las normas SGCN con otras normas?

¿Cuál es el perfil típico de un profesional de CN?

La CN es multifuncional por naturaleza propia. El profesional de CN básicamente ejerce un papel

Aquellos implicados en el programa de GCN diferirán por lo tanto de organización a

¿Es esencial que un profesional comprometido en la CN maneje el programa

Durante las primeras fases de implementación de CN en una organización, se necesitará a un

EL CICLO DE VIDA DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

 Incorporación de CN (PP2) se refiere la a Práctica Profesional que busca constantemente

 Implementación (PP5) es la Práctica Profesional del ciclo de vida de la Gestión de CN que

PRÁCTICAS PROFESIONALES DE BCI –

PRÁCTICAS DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

- PP1 POLÍTICA Y GESTIÓN DEL PROGRAMA

La terminología de la norma ISO 22301:2012 es relevante a lo largo de estas Guías de Buenas

FIJACIÓN DE LA POLÍTICA DE CONTINUIDAD DEL NEGOCIO

 Acordar una definición de CN;

 Enmendar el borrador de la política, si es del caso, con base en la retroalimentación de la

La revisión y auditoria de una política de CN debe demostrar lo siguiente:

• La Alta Gerencia ha comunicado la política ampliamente en toda la organización;

DETERMINACIÓN DEL ÁMBITO DE APLICACIÓN DEL PROGRAMA

El Programa de GCN es un proceso en constante desarrollo lo que permite a una organización

El ámbito de aplicación debe ser aprobado formalmente por la Alta Gerencia.

Los productos y servicios deben ser identificados a un nivel de detalle adecuado.

Ejemplos de productos y servicios incluyen:

• Un producto o línea de productos fabricados;

• Los puntos de vista de todas las partes clave interesadas;

Cualquier daño a la reputación pueda resultar de la interrupción o terminación del suministro de un

• La relevancia de alguna evaluación de riesgo; y

Si se incluye un producto o servicio en particular en el programa de GCN, se deben implementar

• Aceptar que existe un riesgo de alteración;